IT-Sicherheitsforschung bezieht sich häufig auf Protokolle der Anwendungs- oder vielleicht noch der Transportschicht. Seltener gibt es neue Forschung zu Angriffen auf der Netzwerkschicht oder darunter. Und ein Buch mit sieben Siegeln stellen für viele die Protokolle dar, die das Internet an sich zusammenhalten – allen voran BGP, das Border Gateway Protocol. Dieses organisiert das Routing zwischen den verschiedenen autonomen Systemen, aus denen das Internet besteht. Dass BGP an sich Schwachstellen hat und angreifbar ist, ist seit Langem bekannt und wird […]

Jedes Jahr steigt die Anzahl der Organisationen, die von einer Ransomware-Attacke oder einem ähnlich ernsten Cyberangriff betroffen sind – und es ist schwer, den Überblick zu behalten, zumal die Dunkelziffer hoch ist. Für 2022 hat die Online-Zeitschrift CSO den Versuch unternommen, die bekannten Fälle zusammenzutragen. Die stetig aktualisierte Liste umfasst bereits über 60 Einträge allein deutscher Unternehmen. https://www.csoonline.com/de/a/diese-unternehmen-hat-s-schon-erwischt,3674038

Auch bei der Entwicklung von Schadsoftware wird nur mit Wasser gekocht und mit dem Fachkräftemangel gekämpft. Insbesondere bei der Nutzung von Kryptografie – bei Ransomware prinzipbedingt ein Kernbestandteil der Funktionalität – ist es leicht, sich selbst in den Fuß zu schießen. Besonders schön versemmelt hat es eine Malware, die den Mitarbeitenden des Schweizer Unternehmens Compass Security vor die Flinte kam: Die Verschlüsselung wurde nicht nur mit dem symmetrischen Verfahren AES vorgenommen. Zusätzlich war der Entschlüsselungsschlüssel, der identisch zum Verschlüsselungsschlüssel ist, […]

Noch immer ist nicht geklärt, wann Quantencomputer einen Großteil der heute verwendeten Kryptografie obsolet machen. Sehr wahrscheinlich ist, dass wir unsere Algorithmen und Verfahren mittelfristig austauschen müssen, um nicht von der „Kryptokalypse“ überrascht zu werden. Bisher hat es nur viele kleinere und einige wenige größere Experimente gegeben, um Post-Quanten-Kryptografie (PQC) in freier Wildbahn zu testen. Diese waren jedoch alle zeitlich begrenzt. Mit der Beendigung der dritten Runde im Standardisierungsprozess des NIST im Juli hatten allerdings bei einigen großen Anbietern fieberhafte […]

„Fault Tolerance“, also Ausfallsicherheit auch beim Versagen einer definierten Anzahl beliebiger Komponenten, ist ein Schlagwort, das schnell gesagt und versprochen ist. Dabei steigt die Komplexität, welche Abhängigkeiten und Pfade zu beachten sind, bei großen verteilten Systemen schnell sprunghaft an. Gerade Cloud-Anbieter müssen Redundanzen auf sehr vielen Ebenen vorhalten, um das Gesamtsystem in einer Vielzahl von Fehlerzuständen funktionsfähig zu halten. Aber auch Cloud-Kunden können vieles falsch machen in der Architektur und Konfiguration und sich so unnötige „Single Points of Failure“ bauen. […]

Command-and-Control-Frameworks haben sich längst zu einem zentralen Bestandteil des Werkzeugkastens für Security-Assessments entwickelt. Diese Tools dienen dazu, bei Pentests oder Red Teaming Zugriff auf kompromittierte Maschinen zu halten, zu steuern und weiter auszunutzen. Vom Marketing her auf „Adversary Emulation“ zielend, also das gutartige Simulieren böser Angreifer, werden die Frameworks auch in vielen echten Angriffen verwendet. Ob für die Verteidigung oder zur Detektion – es lohnt sich, die Tools zu kennen. Die beliebte Seite „The C2 Matrix“ stellt die verschiedenen Frameworks […]

26 Seiten … lang ist die Antwort auf die Frage, was beim Aufruf eines Hello-World-Programms (hier in Python unter Windows) passiert: https://asawicki.info/articles/Hello_world_under_the_microscope.php5 6 Bedeutungen … von Security beschwört Kelly Shortridge, von Platon bis zu den Römern: https://kellyshortridge.com/blog/posts/what-do-we-mean-when-we-say-security-part-1/ 10 Mythen … der Supply-Chain-Security führt sie darüber hinaus an und legt sich dabei mit dem „US-amerikanischen BSI“ (CISA) und der NSA an:https://kellyshortridge.com/blog/posts/securing-the-supply-chain-of-nothing/

Wie alle Jahre hat das BSI auch jetzt wieder den Bericht „Die Lage der IT-Sicherheit in Deutschland“ veröffentlicht. Laut der Cybersicherheitsbehörde des Bundes spitzte sich 2022 die bereits zuvor angespannte Lage weiter zu. Neben neuen und verschärften Bedrohungen im Bereich Cybercrime kamen insbesondere Gefahren im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine hinzu. Steht für Unternehmen und den öffentlichen Sektor Ransomware weiterhin ganz oben auf der Liste der Top-Bedrohungen, so ist für Individuen bzw. die Gesellschaft neben Identitätsdiebstahl und […]

Bei Microsoft hat es ein ernstes Datenleck gegeben. 2,4 Terabyte vertrauliche Kundendaten standen in einem fehlkonfigurierten Azure-Blob frei lesbar im Internet zur Verfügung und waren sogar über Suchmaschinen auffindbar. Es handelte sich dabei unter anderem um Verträge, Rechnungen, Angebote, Aufträge und andere Arbeitsdokumente von kritischen Infrastrukturen und Daten von 65.000 Kunden und potenziellen Kunden der letzten fünf Jahre. Der Softwarehersteller hatte zunächst die Security-Firma, die das Leck meldete, öffentlich der Übertreibung bezichtigt, musste aber in der Folge selbst Kritik in […]