Microsoft will die Sicherheitsbedingungen für Partner verschärfen. „Cloud Partner“ verkaufen Leistungen von Microsoft weiter und bieten dabei administrative Hilfe an. Unter anderem soll Zwei-Faktor-Authentifizierung (2FA) Pflicht werden. Zuletzt hatte etwa PCM Inc. einen Sicherheitsvorfall aufgrund eines Phishing-Angriffs erlitten.
Quantencomputer gefährden bekanntlich, wenn sie einmal in ausreichender Größe gebaut werden können, das Gros der heute im Einsatz befindlichen kryptographischen Verfahren. Unter anderem sind asymmetrische Kryptographie wie RSA und elliptische Kurven sowie die meisten Arten von Signaturen hinfällig, symmetrische Algorithmen wie AES büßen de facto „nur“ die Hälfte ihrer effektiven Schlüssellänge ein. Noch gibt es jedoch große technische Hürden, ausreichend Stabilität hinzubekommen, um einen Quantenrechner ernstzunehmende Dechiffrierung ausführen zu lassen –theoretisch. Forschern von Google und des Royal Institute of Technology in Stockholm ist es nun gelungen, die Algorithmen so umzuformen, dass 20 Millionen wackelige Qubits genügen könnten, um RSA 2048 zu brechen. Das ist immer noch weit über dem aktuellen Rekord von 70 Qubits, aber zwei Größenordnungen unter der zuvor benötigten Zahl von einer Milliarde Qubits. Sollte die Forschung in diesem Tempo weitergehen, wären praktische Quantencomputer vermutlich weniger als 10 Jahre entfernt.
Interaktivität und Realismus werden im Training von Cyberzwischenfällen immer wichtiger, um Komplexität und auch Stressniveau realer Angriffe abbilden und üben zu können. Der Essener Energiekonzern innogy ist nun für die deutsche Energiebranche vorgeprescht und hat die „Cyberrange-e“ eröffnet, ein interaktives Trainingszentrum für „War Gaming“. Das blaue Team, bestehend aus Mitarbeitern verschiedener Energiefirmen, muss die Angriffe des roten Teams „professioneller Hacker“ (FAZ), das in einem anderen Raum untergebracht ist, abwehren. Innogy hat das Konzept mit einer von israelischen Sicherheitsexperten gegründeten Firma erarbeitet, die schon länger solche „CyberGyms“ betreibt.
Don’t Cry For Me, Internet Der Tech-Journalist Zack Whittaker schreibt zwei Jahre nach dem verheerenden WannaCry-Angriff die Geschichte der Malware nieder, vor allem aber der Personen, die mit Mut, Glück und sehr viel Schlafmangel einen noch übleren Ausbruch verhindern konnten und deren Leben seitdem nie mehr dasselbe war. https://techcrunch.com/2019/07/08/the-wannacry-sinkhole Marcus „MalwareTech“ Hutchins hat sich im April in zwei der zehn von der US-Anwaltschaft gegen ihn erhobenen Anklagepunkte schuldig bekannt. Das Urteil des in der Security-Szene für seine späteren „Heldentaten“ und […]
Am 2. Juni standen weite Teile der Google Cloud für bis zu vier Stunden still. Dass Google damit die Jahres-SLAs gerissen hat, ist nur ein Teil des Problems, schließlich kamen und kommen Downtimes auch in selbstbetriebener IT immer wieder vor. Bedenklich ist vielmehr, dass es zu einem derart langen länderübergreifenden Ausfall kommen konnte, obwohl Google derart viel in Redundanz, Notfallplanung und Desaster Recovery investiert. Und zwar technisch wie konzeptionell. Nach ersterem Maßstab hat sich der Betreiber nicht viel vorzuwerfen, denn […]
Was für die Mitarbeiter und Administratoren von Heise – Heimat von iX, c’t, Heise Online, Telepolis und vielen anderen Medien, die die IT-Branche in Deutschland seit Jahrzehnten prägen – ein Fluch war, ist für die Leser ein Segen: Anfang Juni erlitt der Verlag einen schwerwiegenden Befall der momentan vermutlich gefährlichsten Schadsoftware Emotet. Denn die wackeren Journalisten machten nicht nur Überstunden, um des Incidents Herr zu werden, sondern berichteten auch ausführlich und detailliert darüber, auf dass andere die Chance haben, selbigen […]
Das BSI hat Ende Mai eine Liste von Dienstleistern veröffentlicht, die bei sogenannten APTs (Advanced Persistent Threats) zu Hilfe gerufen werden können. Anhand der Liste geeigneter Dienstleister und der transparenten Gestaltung der Auswahlkriterien werden Unternehmen im Sinne von § 3 BSI-Gesetz in die Lage versetzt, im Fall von oder bei Verdacht auf einen derartigen gezielten Angriff geeignete Unterstützung durch externe Experten anzufordern.https://www.hisolutions.com/infocenter/detail/detail/News/bsi-weist-hisolutions-als-qualifizierten-apt-response-dienstleister-aus/
Einem DDoS-Tester ist laut eigener Aussage aufgefallen, dass man „große“ Firewalls vieler Hersteller mit TCP-Datenmüll komplett überlasten kann, dessen Bandbreite lediglich 1-2 % dessen beträgt, was die Firewall eigentlich verarbeiten könnte. Teure DDoS-Attacken kommen so bei Kosten von unter 5 Euro im Monat in die Reichweite von Script-Kiddies und anderen ressourcenarmen Akteuren. Der Mechanismus dahinter scheint noch nicht verstanden zu sein, und die Hersteller haben wohl noch nicht reagiert. Zumindest liefert der Blogeintrag aber ein Testskript (Einzeiler), mit dem das eigene […]
Zwei-Faktor-Authentifizierung ist eine gute Sache – wenn der zweite Faktor nicht leicht zu stehlen ist. Leider werden SIM-Port-Angriffe, also die Übernahme der Rufnummer durch Angreifer via Standardprozesse der Mobilfunkanbieter, immer häufiger. Dies erzählt der Augenzeugenbericht eines Kryptowährungsbesitzers („teuerste Lektion meines Lebens“).https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124?sk=4c29b27bacb2eff038ec8fe4d40cd615
Google hat angekündigt, dass der sogenannte „Confidential Mode“ zukünftig für alle Nutzer von Gmail verfügbar ist. Die Funktion erlaubt ein Rechtemanagement, über das beispielsweise E-Mails mit einem Ablaufdatum versehen werden können, sowie das Zurückziehen bereits gesendeter Nachrichten. Weiterhin soll es auch möglich sein, zusätzliche Authentifizierung zum Lesen einer Nachricht einzufordern. Experten sehen dies kritisch, da bestimmte Angriffsvektoren wie Zwischenspeichern oder Screenshots prinzipiell schwer zu verhindern sind bzw. in der Regel ein Trade-Off zwischen verschiedenen Sicherheitszielen wie Vertraulichkeit und Verfügbarkeit notwendig […]
