Lesetipps Februar 2020

Nicht neutral Washington Post und ZDF enthüllten, wie CIA und BND über Jahrzehnte die Mitarbeiter, Produkte und damit die weltweiten Kunden des Schweizer Krypto-Herstellers Crypto AG manipulierten und abhörten. https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage Drei Ecken Urgestein Ross Anderson über die Nachhaltigkeit von Security, Safety und Privacy beim Chaos Communication Congress 2019 (36c3). https://media.ccc.de/v/36c3-10924-the_sustainability_of_safety_security_and_privacy#t=2049 Zum Bärte raufen Über den spannenden Generationen- und Philosophiekampf in der Unix-/Linux-Welt, welcher nicht zuletzt auch für die Security entscheidende Weichenstellungen bedeutet, berichtet: https://www.heise.de/newsticker/meldung/FOSDEM-Die-Container-Revolution-ist-der-Alptraum-der-Unix-Graubaerte-4651575.html Nicht zum Lesen, sondern zum Umschauen […]

Ich weiß, wo Du online Geld verdienst: Cyber-OK lernt dazu

Ransomware ist seit vielen Monaten die größte Geißel der IT – und zumindest derjenigen Menschen, die für diese verantwortlich sind. Erst letztens hatten wir berichtet, dass Emotet und Co. dazugelernt haben und statt mit dummen Standard-E-Mails in schlechter Übersetzung, nun frühere Kommunikationsstränge wiederverwerten, um so die Klickrate auf die Malware deutlich zu erhöhen. Unterdessen hat die im Hintergrund die Geschäftsprozesse spinnende organisierte Cyber-Kriminalität (Cyber-OK) anscheinend gelernt, dass es noch weitere gemeine Hebel gibt, um Opfer zur Zahlung zu bewegen. Es […]

We are the Champions, leider: Cyber weltweites Top Risk

Versicherer müssten es wissen: Im jährlichen Allianz Risk Barometer ist „Cyber“ erstmalig zum weltweiten Top-Risiko aufgestiegen. Hatte sich unser aller Lieblingsthema in den letzten Jahren in einer rasanten Aufholjagd bis auf Platz 2 hinter dem Platzhirsch „Betriebsunterbrechung“ vorgeschoben, gelang in der 2020er-Version des Berichts, der neben Daten der Versicherung auch Experteninterviews mit einbezieht, die Entthronung, mithin der Sprung auf Platz 1. Außer in Deutschland: Hierzulande wird die handelsübliche Betriebsunterbrechung noch ein Quäntchen mehr gefürchtet als das böse C-Wort. Allerdings zählen […]

Firmen, Politiker, Privatleute, Sondereinsatzkommandos: Datenleak bei Autovermieter

Autos mieten (fast) alle. Insofern trifft es auch eine beachtliche Menge von Personengruppen, wenn drei Millionen Kundendatensätze einer großen deutschen Autovermietung versehentlich ungeschützt als SMB-Share im Internet stehen. Genau das geschah beim Anbieter Buchbinder, der zur Europcar-Gruppe gehört und diverse Tochterfirmen sein Eigen nennt. Private Adressen und Telefonnummern von Politikern konnten ebenso abgerufen werden wie Fahrtenprofile von Firmenvertretern und Spezialeinsatzkommandos, Unfallprotokolle und Informationen über angeordnete Blutproben. Zwar wurde das Problem von Sicherheitsforschern entdeckt, da das Scannen nach offenen SMB-Shares jedoch […]

Datenschutz made in USA: NIST Privacy Framework und CCPA

Die amerikanische Standardisierungsbehörde NIST hat Version 1.0 ihres „Privacy Frameworks“ veröffentlicht. Es stellt keinen verpflichtenden Standard wie die DSGVO dar, ist jedoch insofern bemerkenswert, als dass sich sogar die föderale Ebene in den USA inzwischen langsam in Richtung Datenschutz bewegt. Im progressiven Kalifornien wurde bereits 2018 eine Regulierung beschlossen, die in einer Reihe von Punkten der europäischen ebenbürtig ist. Nun ist der CCPA (California Consumer Privacy Act) am Jahresanfang in Kraft getreten. https://www.nist.gov/privacy-framework https://datenschutz-generator.de/california-consumer-privacy-act-ccpa-dsgvo/

Vor der eigenen Garage kehren: Microsoft-Parkhäuser im Internet

Auch der beste SDL (Security Development Lifecycle), Rolling Updates in den aktuellen Betriebssystemen und noch so viele Patch Tuesdays bewahren anscheinend nicht davor, dass der eigene Dienstleister versagt: Die Parkhaussteuerung am Microsoft-Firmensitz sollte normalerweise nicht aus dem Internet erreichbar sein. Trotzdem konnte man auf die Server in Redmond problemlos zugreifen. Immerhin war das Problem schnell behoben. https://www.golem.de/news/sicherheitsluecken-microsoft-parkhaeuser-ungeschuetzt-im-internet-2001-146025.html

Am Pulse der Unzeit: SSL-Gateway nicht Secure

Eine Schwachstelle, die auf der international gebräuchlichen Skala CVSS einen Score von 10 erreicht – den Höchstwert –, sieht man nicht alle Tage. Inzwischen wird die seit April letzten Jahres bekannte und (im Idealfall) gepatchte Schwachstelle der von Juniper ausgegründeten SSL-Gateways von PulseSecure aktiv zur Verbreitung von Ransomware ausgenutzt. Das CERT-Bund hatte zuletzt im August öffentlich gewarnt, trotzdem finden sich immer noch ungepatchte Gateways im Internet.Prominentestes Opfer ist die Firma Travelex, die es jüngst hart traf. Dabei hatten Sicherheitsforscher die […]

Toter als tot: SHA1

Der immer noch viel zu häufig eingesetzte Hash-Algorithmus SHA1 gilt schon seit Jahren als theoretisch gebrochen und deutlich geschwächt. Bisher waren praktische Angriffe für die meisten Akteure jedoch außer Reichweite. Nun konnten Forscher die Kosten für eine sogenannte Kollisionsattacke und vor allem für die wesentlich gefährlichere „Chosen-Prefix Kollisionsattacke“, mit der sich etwa digitale Signaturen fälschen lassen, noch einmal entscheidend auf wenige 10.000 Euro senken, Tendenz fallend. Höchste Zeit, den diversen Empfehlungen (u. a. des BSI) zu folgen und SHA1 durch modernere […]

Lesetipps Januar 2020

Wissen: NCSC Cyber Body of Knowledge Das britische National Cyber Security Centre (NCSC) hat versucht, in einem Dokument das derzeit aktuelle Wissen zum Thema Cybersicherheit zusammenzutragen. Der „Cyber Security Body of Knowledge“ kann für einige der Themen durchaus ein guter Startpunkt sein. https://www.ncsc.gov.uk/blog-post/full-version-of-the-cyber-security-body-of-knowledge-published Modellieren: MITRE ATT&CK Framework Weniger zum Lesen, sondern viel mehr zum Ausprobieren: Das MITRE ATT&CK Framework hat sich zu einem mächtigen Tool entwickelt, wenn es um die Modellierung von Angreiferverhalten („Tools, Tactics, Procedures – TTP“) geht. https://attack.mitre.org/resources/getting-started […]

Don't Train Evil – Keynote bei den Machine Learning Essentials 2020

Ethik und Sicherheit im Machine Learning Heidelberg, 17.-19. Februar 2020 Machine Learning gewinnt Einfluss auf immer größere Bereiche unseres täglichen Arbeits- und Privatlebens. Man muss nicht die Angst vor der bösartigen AGI oder der Singularität teilen, um angesichts zunehmender Überwachung und der Diskussion um autonome Waffensysteme zu erkennen: Ohne eine gewisse möglichst frühzeitig und grundsätzlich ins Design einbezogene Sicherheit droht KI mehr Schaden als Nutzen zu bringen. Die Keynote wirft die grundlegenden Fragen auf, mit denen sich alle beschäftigen sollten, […]