Millionen? Ich dachte Milliarden! Quantencomputer rücken dank Rechentricks näher

Veröffentlicht Veröffentlicht in News

Quantencomputer gefährden bekanntlich, wenn sie einmal in ausreichender Größe gebaut werden können, das Gros der heute im Einsatz befindlichen kryptographischen Verfahren. Unter anderem sind asymmetrische Kryptographie wie RSA und elliptische Kurven sowie die meisten Arten von Signaturen hinfällig, symmetrische Algorithmen wie AES büßen de facto „nur“ die Hälfte ihrer effektiven Schlüssellänge ein. Noch gibt es jedoch große technische Hürden, ausreichend Stabilität hinzubekommen, um einen Quantenrechner ernstzunehmende Dechiffrierung ausführen zu lassen –theoretisch. Forschern von Google und des Royal Institute of Technology in Stockholm ist es nun gelungen, die Algorithmen so umzuformen, dass 20 Millionen wackelige Qubits genügen könnten, um RSA 2048 zu brechen. Das ist immer noch weit über dem aktuellen Rekord von 70 Qubits, aber zwei Größenordnungen unter der zuvor benötigten Zahl von einer Milliarde Qubits. Sollte die Forschung in diesem Tempo weitergehen, wären praktische Quantencomputer vermutlich weniger als 10 Jahre entfernt.

https://www.technologyreview.com/s/613596/how-a-quantum-computer-could-break-2048-bit-rsa-encryption-in-8-hours

Sicherer Brausen: BSI-Mindeststandard Browsersicherheit

Veröffentlicht Veröffentlicht in News

Das BSI hat einen Draft des überarbeiteten Mindeststandards für sichere Browser publiziert. Ein Muss sind demnach inzwischen moderne Sicherheitstechniken wie HSTS (HTTP Strict Transport Security; erzwungenes TLS), CSP (Content Security Policy; Schutz vor Einschleusung von Daten wie XSS) und SRI (Subresource Integrity; Integritätsschutz von Drittparteikomponenten einer Webseite wie etwa auf einem CDN gehosteter Skripte). Anmerkungen der Community sind gerne gesehen.

https://www.bsi.bund.de/DE/Themen/StandardsKriterien/Mindeststandards_Bund/Sichere_Web-Browser/Sichere_Web-Browser_node.html

I Query the Power: Neue Angriffe auf Excel

Veröffentlicht Veröffentlicht in News

Excels Power-Query-Feature kann über das Uraltprotokoll DDE (Dynamic Data Exchange) Dateien von Remote-Quellen importieren. Damit lässt sich auch bösartiger Code in ein System einschleusen – schwer zu erkennen für den Nutzer, da kaum Interaktion notwendig ist. Den Forschern von Mimecast gelang damit die Umgehung der Sandbox, die per E-Mail versandte Dokumente analysieren soll, bevor Nutzer sie öffnen. Normalerweise müsste der Nutzer DDE per Doppelklick in eine Zelle und einen weiteren Klick erlauben – nicht aber, wenn der Angreifer das bösartige Dokument in einer älteren Version von Office erstellt. In Word ist DDE wegen ähnlicher Probleme schon seit 2017 deaktiviert.

https://www.mimecast.com/blog/2019/06/exploit-using-microsoft-excel-power-query-for-remote-dde-execution-discovered/

War das 1 Game – innogy eröffnet Energie-Cyberrange

Veröffentlicht Veröffentlicht in News

Interaktivität und Realismus werden im Training von Cyberzwischenfällen immer wichtiger, um Komplexität und auch Stressniveau realer Angriffe abbilden und üben zu können. Der Essener Energiekonzern innogy ist nun für die deutsche Energiebranche vorgeprescht und hat die „Cyberrange-e“ eröffnet, ein interaktives Trainingszentrum für „War Gaming“. Das blaue Team, bestehend aus Mitarbeitern verschiedener Energiefirmen, muss die Angriffe des roten Teams „professioneller Hacker“ (FAZ), das in einem anderen Raum untergebracht ist, abwehren. Innogy hat das Konzept mit einer von israelischen Sicherheitsexperten gegründeten Firma erarbeitet, die schon länger solche „CyberGyms“ betreibt.

https://www.faz.net/aktuell/wirtschaft/diginomics/innogy-eroeffnet-trainingszentrum-gegen-hackerangriffe-16262688.html

Lesetipps Juli 2019

Veröffentlicht Veröffentlicht in News

Don’t Cry For Me, Internet

Der Tech-Journalist Zack Whittaker schreibt zwei Jahre nach dem verheerenden WannaCry-Angriff die Geschichte der Malware nieder, vor allem aber der Personen, die mit Mut, Glück und sehr viel Schlafmangel einen noch übleren Ausbruch verhindern konnten und deren Leben seitdem nie mehr dasselbe war.

https://techcrunch.com/2019/07/08/the-wannacry-sinkhole

Marcus „MalwareTech“ Hutchins hat sich im April in zwei der zehn von der US-Anwaltschaft gegen ihn erhobenen Anklagepunkte schuldig bekannt. Das Urteil des in der Security-Szene für seine späteren „Heldentaten“ und seine Online-Schulungen (Live-Reverse-Engineering) verehrten Sicherheitsforschers dürfte in Kürze fallen und von dauerhafter Ausweisung bis maximal 10 Jahre Gefängnis reichen.

https://krebsonsecurity.com/2019/04/marcus-malwaretech-hutchins-pleads-guilty-to-writing-selling-banking-malware

Hacke Backe Eierkuchen?

Ein längerer Beitrag in der ZEIT beleuchtet die verschiedenen Bestrebungen, das umstrittene und nach Meinung vieler Experten risikobehaftete Thema „Hackback“, also den aktiven Gegen- oder präventiven Erstschlag mit Cyberwaffen, zu etablieren.

https://www.zeit.de/digital/internet/2019-07/hackback-cyberwar-datensicherheit-digitaler-angriff-bundesregierung

The Times They Are A-Changing

In den weltgrößten Tech-Firmen tobt ein „Bürgerkrieg“ (Zitat Fortune). Nachdem das „Don’t Be Evil“-Mantra bereits seit Jahren angekratzt ist (bzw. Microsoft sich durch Umarmung von Open Source erst langsam in der Tech-Community Respekt erarbeitet hatte und Amazon von ethischen Überlegungen eh immer weitgehend ungetrübt agierte), haben sich die Auseinandersetzungen um Chancengleichheit, Geschlechtergerechtigkeit, sexuelle Belästigung, Stalking und Arbeitsbedingungen inzwischen auf viele „hippe“ Firmen im Silicon Valley und anderswo ausgeweitet. Ein langes Feature in Fortune untersucht, wie es dazu kommen konnte. Möglicherweise stehen uns in Europa einige Diskussionen erst noch bevor.

https://fortune.com/longform/inside-googles-civil-war

Paging Münchhausen – Cloud braucht Cloud

Veröffentlicht Veröffentlicht in Cloud

Am 2. Juni standen weite Teile der Google Cloud für bis zu vier Stunden still. Dass Google damit die Jahres-SLAs gerissen hat, ist nur ein Teil des Problems, schließlich kamen und kommen Downtimes auch in selbstbetriebener IT immer wieder vor. Bedenklich ist vielmehr, dass es zu einem derart langen länderübergreifenden Ausfall kommen konnte, obwohl Google derart viel in Redundanz, Notfallplanung und Desaster Recovery investiert. Und zwar technisch wie konzeptionell. Nach ersterem Maßstab hat sich der Betreiber nicht viel vorzuwerfen, denn der Root-Cause war eine schwer vorauszusehende Interaktion drei verschiedener Bugs. Das Problem war schnell erkannt, verstanden und die Lösung schnell entworfen.

Allerdings gibt es zwei große Lessons Learned hier (für Google wie für die Kunden der großen Cloudanbieter): Erstens, die komplexen internen Abhängigkeiten der Gesamtsysteme, die Cloud-Dienste/-Rechenzentren/-Angebote darstellen, sind noch nicht ausreichend verstanden. Denn erst beim Incident-Handling fiel auf, dass man zur Behebung des Problems die, *tada*, Google Cloud benötigt, welche ja gerade nicht verfügbar war. Es fehlt also noch die Fähigkeit eines Baron Münchhausen, sich am eigenen Schopf aus dem Sumpf zu ziehen, sogenanntes Bootstrapping, im Energiesektor als Schwarzstartfähigkeit bekannt. Eine solche vorrätig zu halten, kostet Geld, was dem Kostendruck in der Cloud zuwiderläuft.

Das zweite Thema ist noch eine Ebene prinzipieller: Die großen Kosten- und Effizienzvorteile erzielt man im Cloud-Computing durch weitgehende Automatisierung – und die braucht als Basis Mono- oder zumindest Oligokulturen. Wie in der industriellen Landwirtschaft steigt mit der Effizienz hierbei auch das Risiko, dass ein einzelner Schädling/eine einzelne Schwachstelle/Bug/Fehlkonfiguration ganze Landstriche verwüsten und Hungersnöte auslösen kann. Meist wird man dies mittels viel Chemie unter Kontrolle halten können – was aber wieder nur das Risiko konzentriert und vertagt.

Sicher ist: Das dicke Ende kommt noch – und wir tun uns auf Dauer keinen Gefallen, wenn wir die Auseinandersetzung damit einfach nur in die Zukunft verschieben.

Zum Thema Cloud Security empfehle ich unseren aktuellen Webcast „Wege in die Cloud – aber sicher!“

Hitting Home Hard: Emotet sucht Heise heim

Veröffentlicht Veröffentlicht in News

Was für die Mitarbeiter und Administratoren von Heise – Heimat von iX, c’t, Heise Online, Telepolis und vielen anderen Medien, die die IT-Branche in Deutschland seit Jahrzehnten prägen – ein Fluch war, ist für die Leser ein Segen: Anfang Juni erlitt der Verlag einen schwerwiegenden Befall der momentan vermutlich gefährlichsten Schadsoftware Emotet. Denn die wackeren Journalisten machten nicht nur Überstunden, um des Incidents Herr zu werden, sondern berichteten auch ausführlich und detailliert darüber, auf dass andere die Chance haben, selbigen zu vermeiden. Interessant ist vor allem, welche grundlegende Umstrukturierung der IT-Infrastruktur aufgrund des Vorfalls beschlossen wurde: Hier könnten sich viele Unternehmen durchaus etwas abgucken.
https://www.heise.de/ct/artikel/Trojaner-Befall-Emotet-bei-Heise-4437807.html

HiSolutions kennt das Vorgehen der Emotet-Gang aus eigenen Erfahrungen im Rahmen der Cyber Response. Der Heise-Vorfall repräsentiert dabei einen durchaus typischen Angriff, wie wir sie seit Ende letzten Jahres verstärkt beobachten konnten. Ziele sind dabei Unternehmen aus allen Branchen, von der Arzt- und Anwaltspraxis bis hin zum Industrieunternehmen.

HiSolutions ist qualifizierter APT-Response-Dienstleister

Veröffentlicht Veröffentlicht in News

Das BSI hat Ende Mai eine Liste von Dienstleistern veröffentlicht, die bei sogenannten APTs (Advanced Persistent Threats) zu Hilfe gerufen werden können. Anhand der Liste geeigneter Dienstleister und der transparenten Gestaltung der Auswahlkriterien werden Unternehmen im Sinne von § 3 BSI-Gesetz in die Lage versetzt, im Fall von oder bei Verdacht auf einen derartigen gezielten Angriff geeignete Unterstützung durch externe Experten anzufordern.
https://www.hisolutions.com/infocenter/detail/detail/News/bsi-weist-hisolutions-als-qualifizierten-apt-response-dienstleister-aus/

Leicht umzuhauen: Wattebäusche auf Firewalls

Veröffentlicht Veröffentlicht in News

Einem DDoS-Tester ist laut eigener Aussage aufgefallen, dass man „große“ Firewalls vieler Hersteller mit TCP-Datenmüll komplett überlasten kann, dessen Bandbreite lediglich 1-2 % dessen beträgt, was die Firewall eigentlich verarbeiten könnte. Teure DDoS-Attacken kommen so bei Kosten von unter 5 Euro im Monat in die Reichweite von Script-Kiddies und anderen ressourcenarmen Akteuren. Der Mechanismus dahinter scheint noch nicht verstanden zu sein, und die Hersteller haben wohl noch nicht reagiert. Zumindest liefert der Blogeintrag aber ein Testskript (Einzeiler), mit dem das eigene Firewall-Cluster geprüft werden kann, sowie eine Liste von Herstellern, die nicht betroffen sind.
https://www.secjuice.com/rubber-bands-and-firewalls/

Nicht billig: Augenzeugenbericht SIM Port Hack

Veröffentlicht Veröffentlicht in News

Zwei-Faktor-Authentifizierung ist eine gute Sache – wenn der zweite Faktor nicht leicht zu stehlen ist. Leider werden SIM-Port-Angriffe, also die Übernahme der Rufnummer durch Angreifer via Standardprozesse der Mobilfunkanbieter, immer häufiger. Dies erzählt der Augenzeugenbericht eines Kryptowährungsbesitzers („teuerste Lektion meines Lebens“).
https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124?sk=4c29b27bacb2eff038ec8fe4d40cd615