Glossar zu den Security News und - Bites

Hinweis: Die Liste ist bei weitem nicht vollständig und wird es wohl nie werden. Sollte jedoch etwas offensichtliches fehlen schreiben Sie mich bitte an. Das gleiche gilt natürlich auch wenn Sie Fehler finden ;)

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

A

top

Advisory (dt. Warnhinweis) - sind vom Hersteller herausgegebene Informationen zu Sicherheitslücken und Patches.

Advanced Persistent Threat (APT, dt. Fortgeschrittene anhaltende Bedrohung) - bezeichnet eine Gruppe von Angreifern die erweiterte Kenntnisse, Ressourcen und Durchhaltevermögen besitzt. Hierbei werden diese im speziellen durch das Durchhaltevermögen (oftmals über mehrere Jahre hinweg) sowie die erweiterten Ressourcen (aka Geld spielt keine Rolle) von normalen Angreifern und Cyberkriminellen unterschieden. APTs handeln häufig im staatlichen Auftrag (siehe auch Threat Actor).

Amplification Attack - kommt meist in Zusammenhang mit DDoS zum Einsatz. Hierbei wird ein relativ kleiner Angriffstraffic von Bots “verstärkt” (amplified) und gegen das Opfer gesendet (z.B. eine kurze Frage erzeugt eine lange Antwort). I.d.R. gaukelt der Angreifer dem Bot vor das Opfer zu sein (siehe auch Spoofing). Bei Angriffen über das Internet wird häufig UDP verwendet.

Attribution - unter Attribution versteht man die Zuordnung eines Cyberangriffs zu einer bestimmten Person oder Gruppe. Im weiteren Schritt soll dann die wahre Identität der beteiligten Personen ermittelt werden.

B

top

Backdoor (dt. Hintereingang) - ist typischerweise eine Software, welche einem Angreifer einen versteckten Zugang zu einem übernommenen System zur Verfügung stellt.

Blue Team - ist ein Team/Gruppe innerhalb von Organisationen, welche sich mit der Verteidung und zur Stärkung der IT-Sicherheit in Unternehmen einsetzt. Meist übernimmt dieses die auch die Schadensbehandlung nach einen Vorfall (vgl. Red Team)

Bot (oder auch Zombie) - ein System, welches durch einen Angreifer innerhalb eines Botnets für Angriffe verwendet werden kann.

Botnet - ein Zusammenschluss vieler gekaperter Systeme ( Bots), welche durch einen Angreifer kontrolliert werden.

Bug Bounty (dt. etwa Kopfgeld für eine Wanze) - Firmen bezahlen häufig ethiche Hacker dafür, dass diese gefundene ZeroDay Schwachstellen an die Firma melden (und nicht etwa anderweitig nutzen oder verkaufen). Diese sind oftmals in sog. Responsible Disclosure-Programmen definiert.

C

top

Command and Control (C2 oder C&C) - beschreibt die Kommunikation zwischen einem gekaperten Computer (sog. Bot) und dem Kontrollserver. Hierbei werden u.a. die auszuführenden Angriffe gesteuert.

Copy-paste compromises - beschreibt eine Angriffsart bei welcher fast ausschließlich Angriffswerkzeuge aus öffentlichen Quellen verwendet werden. Dies erschwert eine Attribution; hebt jedoch das Risiko durch Virenscanner o.ä. identifiziert zu werden.

Coordinated-Disclosure (dt. koordinierte Offenlegung) - beschreibt eine Strategie, wie mit einer gefundenen Schwachstelle umgegangen wird. Bei Coordinated-Disclosure wird die Lücke mit den zur verfügungstehenden Informationen dem Hersteller der Software gemeldet. Im Unterschied zu Responsible-Disclosure wird hierbei jedoch versucht eine vertrauensvolle Zusammenarbeit zwischen dem Hersteller und dem/der EntdeckerIn zu etablieren (siehe auch Full-Disclosure und Non-Disclosure).

Covertness - ist eine andere Bezeichnung für Ghosting.

Common Platform Enumeration (CPE) - ist ein Bezeichnungsschema mit welchem Systeme, Plattformen und Anwendungen eindeutig bezeichnet werden. Diese sind oftmals in CVEs hinterlegt um das betroffene Sytem zu klassifizieren..

Credential Harvesting (aka Password Harvesting) - beschreibt das massenhafte Sammeln und Speichern von Zugangskennungen und Passwörtern aus bekannten Data Breaches. Dies findet in der Hoffnung statt, dass das Opfer das bereits geleakte Passwort wiederverwendet (recycled) und somit der Angreifer Zugriff auf das System erhält.

Cross-site Scripting (XSS, selten auch CSS) - ist eine Web-Applikations- Schwachstelle, die es einem Angreifer ermöglich JavaScript Code in die Webseite einzuschleusen oder beim Opfer auszuführen. Typischerweise werden vier Arten unterschieden:

  • Reflected XSS
  • Stored XSS
  • DOM-based XSS
  • Mutation XSS

Cross-site Request Forgery (CSRF) - ist eine Web-Applikations- Schwachstelle, bei welcher der Angreifer Aktionen im Namen des Opfers tätigt.

Coordinated Vulnerability Disclosure (CVD) - beschreibt ein Vorgehen, bei welchem Schwachstellen, welche verschiedene Hersteller betreffen, koordiniert behandelt und veröffentlicht werden - siehe auch Responsible-Disclosure, Full-Disclosure, Non-Disclosure sowie Cordinated-Disclosure.

Common Vulnerabilities and Exposures (CVE) - ist ein Schema, nach welchen mögliche Schwachstellen gelistet werden - siehe auch https://cve.mitre.org, https://nvd.nist.gov/vuln/search oder https://www.cvedetails.com/.

Common Vulnerability Scoring System (CVSS) - bewertet die Kritikalität einer Schwachstelle anhand von verschiedenen Metriken - siehe auch https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator. Der CVSS teilt sich in drei verschiedene Scores auf:

  • Base Score (i.d.R. wird dieser genannt)
  • Temporal Score
  • Environmental Score

Common Weakness Enumeration (CWE) - ist eine Liste mit verschiedenen Schwachstellen- und Verwundbarkeitenkategorien - siehe auch https://cwe.mitre.org/.

D

top

Data Breaches - werden Daten aus einer fremden Quelle gestohlen (siehe auch Exfiltration), so spricht man von einem DataBreach.

Day Zero (dt. Tag 0) - ist der Tag an dem eine Schwachstelle (siehe auch ZeroDay Vulnerability) öffentlich (einem breiteren Publikum) bekannt wird.

Distributed Denial of Server (DDoS) - dies ist verteilter DoS. Hierbei wird häufig ein Botnet für den Angriff verwendet.

Dependency Confusion (dt. etwa Abhängigkeitsverwirrung) - ist eine Erweiterung von Typo Squatting (vgl. auch Doppelganger). Hierbei wird jedoch nicht auf Tippfehler sondern auf Dependencies aus Drittquellen gesetzt. Gibt es Software Pakete unter gleichem Namen an verschiedenen Stellen (z.B. im und außerhalb des Unternehmens) ist die Reihenfolge, welche gewählt wird, nicht angegeben. Somit lässt sich schädliche Software in Unternehmen einschleusen (siehe auch https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610).

Data Leakage Prevention (DLP) - bezeichnet ein System, welches den Abfluss von kritischen Unternehmensdaten erkennen und verhindern soll. Hierfür sind die Daten bereits bestmöglichst klassifiziert.

DNS Sinkhole - geben auf DNS Anfragen falsche Ergebnisse zurück. Diese werden sowohl von Angreifer:innen (z.B. für DoS- oder Phishing-Attacken) als auch zur Abwehr von Angriffen (z.B. zur Stilllegung von Botnetzen) eingesetzt. Ein anderes Einsatzszenario ist das Blockieren von Werbung im lokalen Netzwerk. Weitere Bezeichnungen sind “sinkhole server”, “internet sinkhole” oder “blackhole DNS”.

Denial of Service (DoS) - ist eine Angriffsart, in welcher ein Service oder ein System so gestört wird, dass dieses den Dienst verweigert. Die benötigte Funktionalität steht somit nicht zur Verfügung.

Doppelganger (für das deutsche Wort: “Doppelgänger”) - bezeichnet eine Phishing Methode bei welcher das Opfer auf Phishing-Webseiten gelotst werden soll. Hierbei werden Tippfehler (siehe auch TypoSquatting) eingesetzt um die URL der Webseite legitim aussehen zu lassen. Moderne Methoden setzen auch auf internationalisierte Domainnamen (“Umlautdomains” bzw. internationalized domain name (IDN)).

Drive-by Downloads (dt. Drive-by Downloads) - bezeichnet eine Infektionsmöglichkeit bei der reinen Betrachtung (also ohne Nutzerinteraktion) einer Webseite. Hierbei kommen oftmals browserbasierte Exploit-Kits zur Anwendung.

Dropper - ist ein ausführbares Programm, welches meist zur initialen Ausführung der eigentlichen Malware (siehe auch Malware) dient und damit den eigentlichen Angriff startet.

Dwell Time - ist die Zeit in Tagen zwischen einer initialen Kompromittierung eines Systems und der Zeit bis der Angriff vollständig abgewehrt wurde. Diese ist im Durchschnitt häufig mehrere Monate und, bei APT, oftmals auch im Bereich eines halben Jahres.

E

top

Egress (auch Egress-Datenverkehr oder -Firewallregeln) - bezeichnet einen Netzübergang, welcher von Innen nach Außen stattfindet (siehe auch Ingress).

Elevation of Privilege (EOP; Microsoft Term) - eine andere Bezeichnung für Privilege Escalation.

Exfil (kurz für Exfiltration) - bezeichnet einen Vorgang, bei welchem ein Angreifer Daten seiner Opfer ausleitet und auf Server, welche unter eigener Kontrolle sind, überträgt.

Exploit (dt. Exploit) - ist ein Programm, welches eine Sicherheitslücke (auch Schwachstelle oder Vulnerability) ausnutzt.

Exploit-Kit (dt. Exploit-Kit) - oftmals reicht ein einzelner Exploit nicht aus um das Ziel zu erreichen. Hier werden verschiedene Exploits zu einem Exploit-Kit zusammengefasst. Diese werden dann der Reihenfolge nach auf dem Opfersystem ausgeführt. Meist sind Eploit-Kits speziell für verschiedene Softwarekomponenten und Versionen vorhanden.

Exploitation (dt. Ausnutzung) - nach der erfolgreichen Auslieferung der Malware (siehe auch Malware) startet (teilweise durch das Opfer) diese. Hierbei startet die Phase der Ausbeutung. Hierbei wird die eigentliche Payload ausgeführt.

Exposure (dt. Anfälligkeit) - sind Verwundbarkeiten (siehe auch (Vulnerabilities)[#Vulnerability]) in Systemen. Diese sind meist weniger Fehler in der Software selbst sondern entstehen im Betrieb (z.B. durch eine fehlerhafte Konfiguration).

F

top

Full-Disclosure (dt. vollständige Veröffentlichung) - beschreibt eine Strategie, wie mit einer gefundenen Schwachstelle umgegangen wird. Bei Full-Disclosure wird die Lücke mit allen zur verfügungstehenden Informationen für alle zugänglich im Internet veröffentlicht. Der Softwarehersteller hat hierbei keine Möglichkeit im Vorfeld Patches zu erstellen und verteilen (siehe auch Responsible-Disclosure, Coordinated-Disclosure und Non-Disclosure).

G

top

Ghosting (oder auch covertness) - beschreibt die Spurenverwischung nach erfolgreichen Angriffen. Das Ziel ist hierbei nicht nur die Nachverfolgbarkeit der Aktionen zu verhindern sondern bestmöglichst alle Spuren zu eliminieren (siehe auch Operational Security und Plausible Deniability).

H

top

Hardening - beschreibt im Allgemeinen Maßnahmen, welche die IT-Sicherheit eines Systems mit vorhandenen Mitteln erhöhen. Der Begriff findet häufig im Zusammenhang mit dem Betriebssystem Verwendung (Server oder OS Hardening), ist jedoch nicht darauf begrenzt.

Horizontal Movement - beschreibt die Erweiterung der bisher vorhanden Privilegien innerhalb eines Computers/Systems. Schwachstellen dieser Art werden oft auch als Privilege Escalation bezeichnet.

High Privilege Account (HPA) - ein Account, welcher sehr hohe Rechte in einem Computer/System besitzt. Häufig ist dies der Administratoren/Root Account, es gibt aber auch weitere Account in diesem Bereich.

Human Intelligence (HUMINT) - ist eine Informationsbeschaffungsmethode bei welcher Informationen von Menschen gesammelt und anschließend analysiert werden. HUMINT wird häufig für die Attribution eingesetzt und zählt zu den nachrichtendienstlichen Methoden (siehe auch SIGINT und OSINT).

I

top

Insecure Direct Object Reference (IDOR) - ist eine Web-Applikations-Schwachstelle, bei welcher der Webbrowser eine direkte Referenz of Objekte des Webservers mitgeteilt bekommt.

Identitiy and Access Management (IAM) (manchmal auch Identity Management (IdM)) - beschäftigt sich mit der Verwaltung verschiedenener Identititäten und Rechte (siehe auch NPA, UPA, HPA).

Indicators of Attack (IoA) - beschreiben Indizien, nach welchen gesucht werden kann, um einen erfolgreichen Angriff zu erkennen.

Indicators of Compromise (IoC) - beschreiben Indizien, nach welchen gesucht werden kann, um auf einen möglichen Angriff zu erkennen. Diese werden häufig über Threat Intelligence Platformen verteilt.

Ingress (auch Ingress-Datenverkehr oder -Firewallregeln) - bezeichnet einen Netzübergang, welcher von Außen nach Innen stattfindet (siehe auch Egress).

Injection (dt. Injizieren) - bezeichnet eine Angriffskategorie bei welcher schädliche Inhalte in das System eingebracht werden (z.B. SQL Injection).

Implants - sind Soft- oder Hardware-Komponenten, welche in ein System eingebracht werden um einen Foothold (dt. etwa “Fuß in der Tür”) zu erreichen. (siehe auch Backdoor)

Intrusion Set - Die Zusammenfassung ähnlicher Vorfälle. Ein Intrusion Set ist ein gruppierter Satz von Verhaltensweisen und Ressourcen (siehe auch TTPs)

Island Hopping (dt. Inselhüpfen) - bezeichnet eine Angriffstrategie, bei welcher zunächst kleinere Firmen (oder alternativ auch Standorte in fremden Ländern), welche mit dem eigentlichen Ziel zusammenarbeiten, angegriffen und übernommen werden. Von dort aus starten dann die echten Angriffe gegen das Ziel. ANM: Meist werden aber auch Daten des eigentlichen Ziels aus dem inital infiltierten System exfiltriert (siehe auch Exfil).

K

top

Kritische Infrastruktur (KRITIS) - Systeme von wesentlicher Bedeutung von gesellschaftlicher Funktionen Wikipedia:Kritische_Infrastrukturen.

L

top

Lateral Movement - beschreibt die Ausbreitung eines Intruders in Netzwerk. Sprich’ der/die AngreiferIn bewegt sich lateral von einem Computer/System zu einem anderen.

Least Privilege Principle - ist ein Design-Prinzip, welches besagt, dass alle Subjekte mit möglichst geringen Rechten ausgestattet werden.

M

top

Malware (dt. schädliche Software) - ist ein Programm, welches unter Nutzung eines Exploits die gewünschte Payload auf dem Zielsystem ausführt.

N

top

Non-Disclosure (dt. keine Offenlegung) - beschreibt eine Strategie, wie mit einer gefundenen Schwachstelle umgegangen wird. Bei Non-Disclosure werden keinerlei Informationen zur gefundenen Schwachstelle veröffentlicht (siehe auch Full-Disclosure, Responsible-Disclosure und Coordinated-Disclosure).

Non-Personal Account (NPA) - typischerweise ein Systemaccount. Diese werden häufig zum Starten von Prozessen o.ä. eingesetzt (siehe auch Identity and Access Management).

O

top

Operational Security (OpSec) - im allgemeinen bezeichnet OpSec den Prozess missionswichtige sowie kritische Daten zu aggregieren und zu schützen. Ein Beispiel dafür ist der Schutz wichtiger Firmendaten durch Methoden und standartisierte Handlungsabläufe. Weiterhin wird OpSec auch von AngreiferInnen verwendet um die eigenen Spuren zu verwischen und somit eine Attribution zu erschweren.

Open Source Intelligence (OSINT) - ist eine Informationsbeschaffungsmethode bei welcher Daten aus freizugänglichen Quellen gesammelt und analysiert werden. OSINT wird häufig für die Attribution eingesetzt und zählt zu den nachrichtendienstlichen Methoden (siehe auch SIGINT und HUMINT).

P

top

Payload (dt. Nutzdaten) - entspricht dem auszuführenden schädlichen Code in einer Malware.

Persistence - bezeichnet den Zustand dauerhaft Zugang zu einem übernommenen System zu besitzen (siehe auch Backdoor und Implants).

Phishing - bezeichnet eine Angriffsart, bei welcher der Angreifer mittels Social Engineering Methoden versucht das Opfer zu einer bestimmten Aktion zu bewegen. Diese sind z.B. aus Ausführen von Malware, die Preisgabe von Anmeldeinformationen auf Phishing-Webseiten o.ä.

Plausible Deniability (dt. Glaubhafte Abstreitbarkeit) - siehe auch Wikipedia:Glaubhafte_Abstreitbarkeit.

Privilege Escalation (auch Elevation of Privilege (kurz: EOP)) - stellen eine Kategorie an Schwachstellen dar, mit welcher die Privilegien erweitert werden können, z. B.: vom normalen Nutzer ( UPA) zum Administratorennutzer ( HPA).

Proof of Concept (PoC) - im Bereich der IT-Sicherheit meist ein kleines Programm, welches beweist, dass eine Schwachstelle vorhanden ist und genutzt werden kann. Hierbei wird meist eine unschädliche Payload (z.B. der Taschenrechner) ausgeführt.

R

top

Remote Code Execution (RCE; manchmal auch: Remote Command Execution) - beschreibt eine Schwachstelle in welcher ein schadhafter Code oder Kommando aus der ferne auf einem fremden Computer/System ausgeführt werden kann.

Red Team - das Red Team übernimmt den Gegenpart zum Blue Team und greift die Organisation an um die IT-Sicherheit und Ressilience zu testen. Red/Blue Team Excersices sind dem Blue Team oftmals nicht angekündigt, so dass das Blue Team von einem echten Angriff ausgeht.

Reverse Shell (oder auch Reverse TCP-Shell, Connect Back Shell) - entspricht normalerweise einer Payload innerhalb einer Malware, welche selbstständig eine TCP-Verbindung zu dem Angreifersystem (siehe auch Command and Control) aufbaut und dem Angreifer eine Shell auf dem Opfersystem zur Verfügung stellt (vgl. meterpreter).

Responsible-Disclosure (dt. verantwortungsvolle Offenlegung) - beschreibt eine Strategie, wie mit einer gefundenen Schwachstelle umgegangen wird. Bei Repsonsible-Disclosure wird die Lücke mit den zur verfügungstehenden Informationen dem Hersteller der Software gemeldet. Typischerweise bekommt dieser eine Frist von 90 Tagen um die Lücke zu schließen und Patches zu verteilen. Danach werden Informationen zur Schwachstelle im Internet veröffentlicht (siehe auch Full-Disclosure, Coordinated-Disclosure und Non-Disclosure).

Risk Appetit (dt. Risikoappetit) - ist der Wert auf einer festgelegten Skala, der das Risikoverhalten wiederspiegelt.

S

top

Scrubbing Farm - ist meist ein vorgeschaltenes Netzwerk, welches im Falle eines DDoS Angriffs den Netzwerktraffic bestmöglichst von den Angriffstraffic reinigt um den zu schützenden Service aufrecht zu erhalten.

Security Appetit (vergleiche auch Risk Appetit) - ist der Wert auf einer festgelegten Skala, der das Schutzbedürfnis bezüglich IT-Sicherheit wiederspiegelt.

Signals Intelligence (SIGINT) - ist eine Informationsbeschaffungsmethode bei welcher Kommunikationsdaten und Signale gesammelt und analysiert werden. SIGINT wird häufig für die Attribution eingesetzt und zählt zu den nachrichtendienstlichen Methoden (siehe auch HUMINT und OSINT).

Sinkhole - siehe DNS Sinkhole.

Social Engineering - ist eine Sammlung diverser Methoden und Vorgehensweisen um zunächst eine vertrauenswürdige Stellung bei dem Opfer zu erreichen um dieses anschließend dazu zu bewegen Aktionen auszuführen, welche das Opfer eigentlich nicht ausführen wollte.

Spoofing - bedeutet das Vorgaukeln einer falschen Identität um ein Opfer zu täuschen.

SQL Injection (SQLI) - ist eine Injection Web-Applikations- Schwachstelle mit deren man die SQL Abfragen im Backend manipuliert.

Server-Side Request Forgery (SSRF) - ist eine Web-Applikations- Schwachstelle. Hierbei wird der angegriffene Web-Server als Proxy-Server verwendet um u.A. das dahinterliegende Netz anzugreifen. Der Web-Server versendet hierbei gefälschte Requests und liefert die Responses an den Angreifer zurück.

T

top

Threat Actor (dt. Bedrohungsakteur) - eine formale oder lose Organisation, welche über längere Zeiträume Cyberangriffe durchführt; z. B. Vereinigung von Hackern oder eine (militärische) Einheit (siehe auch APT).

Tactics, Tools and Procedures (TTP, dt. Taktiken, Tools und Vorgehen) - beschreiben das typische Verhaltensmuster von Angreifern. Besonders bei wiederkehrenden Aufgaben werden diese nach strikten vorgelöst.

typosquatting - bezeichnet eine Angriffsart bei welcher man absichtlich Schreibfehler einbaut in der Hoffnung, dass das Opfer diesen tippt und damit falsche Commands oder Code ausführt. Hierbei wird beispielsweise gerne beliebte OpenSource Software kopiert und um Malware erweitert. (vgl. Doppelganger)

U

top

Universal Private Account (UPA) - das ist der Account mit welchem man typischerweise an einem Computer/System arbeitet (siehe auch Identity and Access Management).

V

top

Vulnerability (dt. Verwundbarkeit oder auch Sicherheitslücke) - bezeichnet eine ausnutzbare Schwachstelle in einer Anwendung.

W

top

Weaponization (dt. Bewaffung) - hierbei verbindet der Angreifer einen Exploit mit dem auszuführenden schädlichen Code (siehe auch Payload).

Webshell - werden häufig auf kompromittierten Webservern platziert um diese aus der Ferne steuern zu können.

Wormable (Microsoft Sprachweise) - bezeichnet eine Schwachstelle, welche durch eine Malware (sog. Würmern) zur selbstständigen Ausbreitung genutzt werden kann. Diese sind meist:

  • aus der Ferne nutzbar (siehe auch RCE)
  • mit hohen Privilegien versehen (z.B. die betroffene Software wird mittels eines High Privilege Accounts ausgeführt)
  • ohne Authentifizierung/Anmeldung nutzbar

Diese Kombination gehört somit zu den kritischen (critical) Schwachstellen und hat i.d.R. einen CVSS BaseScore von 9 - 10.

X

top

eXternal XML Entities (XXE) - ist eine Web-Applikations-Schwachstelle, bei welcher mittels Input Injection die XML Daten manipuliert werden.

Z

top

ZeroDay Exploit (auch 0-day Exploit oder kurz als 0-day bezeichnet) - ist ein Exploit der dazu benutzt wird eine ZeroDay Vulnerability auszunutzen. Siehe auch Day Zero

ZeroDay Vulnerability (auch 0-day Vulnerability) - ist eine dem Hersteller unbekannte oder noch nicht behobenene Schwachstelle. Existiert ein Exploit dazu wird dieser als ZeroDay Exploit bezeichent. Siehe auch Day Zero.

Zombie - eine andere Bezeichnung für Bot.