Autor: David Fuhr

Twitter: 0xdhf
News

40 nicht nett: „Private“ Schlüssel auf Fortinet Firewall

Der Firewallhersteller Fortinet hat auf seiner Appliance FortiSIEM, die für das Einsammeln und Auswerten von sicherheitsrelevanten Logdaten eingesetzt wird, einen für alle Geräte einheitlichen Schlüssel in der Firmware hardcodiert. Wer Zugang zu einem Gerät oder einem Firmware-Image hat, kann den Schlüssel extrahieren und sich damit auf allen Geräten dieser Serie anmelden – wenn auch nur mit eingeschränkten Berechtigungen. Diese reichen aber aus, um den Betrieb zu stören (Denial-of-Service) und gegebenenfalls weitere Angriffe zur Rechteerweiterung zu versuchen. 

https://fortiguard.com/psirt/FG-IR-19-296

News

Lesetipps Februar 2020

Nicht neutral

Washington Post und ZDF enthüllten, wie CIA und BND über Jahrzehnte die Mitarbeiter, Produkte und damit die weltweiten Kunden des Schweizer Krypto-Herstellers Crypto AG manipulierten und abhörten.

https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage

Drei Ecken

Urgestein Ross Anderson über die Nachhaltigkeit von Security, Safety und Privacy beim Chaos Communication Congress 2019 (36c3).

https://media.ccc.de/v/36c3-10924-the_sustainability_of_safety_security_and_privacy#t=2049


Zum Bärte raufen

Über den spannenden Generationen- und Philosophiekampf in der Unix-/Linux-Welt, welcher nicht zuletzt auch für die Security entscheidende Weichenstellungen bedeutet, berichtet:

https://www.heise.de/newsticker/meldung/FOSDEM-Die-Container-Revolution-ist-der-Alptraum-der-Unix-Graubaerte-4651575.html


Nicht zum Lesen,

sondern zum Umschauen und Ausprobieren: Das Cryptomuseum lohnt einen Online-Besuch.

https://www.cryptomuseum.com

Ransomware

Ich weiß, wo Du online Geld verdienst: Cyber-OK lernt dazu

Ransomware ist seit vielen Monaten die größte Geißel der IT – und zumindest derjenigen Menschen, die für diese verantwortlich sind. Erst letztens hatten wir berichtet, dass Emotet und Co. dazugelernt haben und statt mit dummen Standard-E-Mails in schlechter Übersetzung, nun frühere Kommunikationsstränge wiederverwerten, um so die Klickrate auf die Malware deutlich zu erhöhen. Unterdessen hat die im Hintergrund die Geschäftsprozesse spinnende organisierte Cyber-Kriminalität (Cyber-OK) anscheinend gelernt, dass es noch weitere gemeine Hebel gibt, um Opfer zur Zahlung zu bewegen. Es gilt schließlich für die Angreifer, die empfindlichste Stelle eines Unternehmens zu finden und auszunutzen. Denn je mehr Unternehmen auf starke Backup-Konzepte mit schreibgeschützten Sicherungen und realistischen, regelmäßigen Restoretests umstellen, desto mehr bewegt sich das Wettrüsten in Richtung anderer Erpressungsvektoren.

Mit salamitaktikhafter Veröffentlichung gestohlener Informationen haben Erpresser ebenfalls bereits gedroht (teils erfolgreich, teils nicht). Was lässt sich – möglichst (teil-)automatisiert, denn das Ganze soll ja skalieren – einem Unternehmen außer Datenkidnapping noch antun? Nun wurde eine weitere Masche in freier Wildbahn gesichtet: Für Publisher – „Verlage“, wie es in der alten Welt heißt – ist das Wertvollste die Schnittstelle zu ihren Anzeigenkunden, heutzutage meist vermittelt über Internetgiganten wie Google. Statt also die Webserver in Geiselhaft zu nehmen, haben Angreifer begonnen, die Anzeigen auf den Seiten derart oft klicken zu lassen, dass dies bei Google, Facebook & Co. als Werbemissbrauch gewertet wird und die dortigen Sicherheitsmechanismen den Werbeträger automatisch sperren. Bei Wiederholung droht sogar eine permanente Verbannung von der Werbeplattform – mithin der Entzug der Existenzgrundlage.

Selbstverständlich bietet die freundliche Gang von nebenan da zufälligerweise ein „Traffic Management“ an, das sich gegen Einwurf geeigneter Bitcoins gerne um dieses Problem kümmert und den Betrug-Betrug umgehend beendet.
Auf eine Art ist dies alles in der analogen Welt schon da gewesen. Überträge in die digitale ergeben trotzdem immer wieder neue und überraschende Gemengelagen.

https://krebsonsecurity.com/2020/02/pay-up-or-well-make-google-ban-your-ads

Dass Eingeweihte dies bereits seit langem wussten, dokumentiert sehr schön dieser Blog-Post von Security-Guru Bruce Schneier inklusive der Kommentare:

https://www.schneier.com/blog/archives/2020/02/crypto_ag_was_o.html

News

We are the Champions, leider: Cyber weltweites Top Risk

Versicherer müssten es wissen: Im jährlichen Allianz Risk Barometer ist „Cyber“ erstmalig zum weltweiten Top-Risiko aufgestiegen. Hatte sich unser aller Lieblingsthema in den letzten Jahren in einer rasanten Aufholjagd bis auf Platz 2 hinter dem Platzhirsch „Betriebsunterbrechung“ vorgeschoben, gelang in der 2020er-Version des Berichts, der neben Daten der Versicherung auch Experteninterviews mit einbezieht, die Entthronung, mithin der Sprung auf Platz 1. Außer in Deutschland: Hierzulande wird die handelsübliche Betriebsunterbrechung noch ein Quäntchen mehr gefürchtet als das böse C-Wort. Allerdings zählen IT-Vorfälle wiederum global zu den wichtigsten Gründen für Ausfälle, insofern: Die Weltherrschaft steht kurz bevor. Wir „freuen“ uns schon auf das Risk Barometer 2021, welches mit großer Wahrscheinlichkeit den finalen Cyber-Triumph vermelden wird. Oder aber wir strengen uns alle ein bisschen mehr an, um genau das zu vermeiden.

https://www.allianz.com/de/presse/news/studien/200115_Allianz-Risk-Barometer-2020.html

Passend dazu hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Aufsichtsschwerpunkte für 2020 veröffentlicht. An erster Stelle stehen auch hier Digitalisierungs- und Cyberrisiken: „Dies gilt insbesondere, da der überwiegende Teil der IT-Sicherheitsvorfälle bei Finanzmarktteilnehmern auf hausinterne Schwächen der Unternehmen zurückzuführen ist – und nur zu einem kleineren Teil auf externe Angriffe.“

https://www.bafin.de/SharedDocs/Downloads/DE/Broschuere/dl_Aufsichtsschwerpunkte2020.pdf?__blob=publicationFile&v=3
News

Firmen, Politiker, Privatleute, Sondereinsatzkommandos: Datenleak bei Autovermieter

Autos mieten (fast) alle. Insofern trifft es auch eine beachtliche Menge von Personengruppen, wenn drei Millionen Kundendatensätze einer großen deutschen Autovermietung versehentlich ungeschützt als SMB-Share im Internet stehen. Genau das geschah beim Anbieter Buchbinder, der zur Europcar-Gruppe gehört und diverse Tochterfirmen sein Eigen nennt. Private Adressen und Telefonnummern von Politikern konnten ebenso abgerufen werden wie Fahrtenprofile von Firmenvertretern und Spezialeinsatzkommandos, Unfallprotokolle und Informationen über angeordnete Blutproben. Zwar wurde das Problem von Sicherheitsforschern entdeckt, da das Scannen nach offenen SMB-Shares jedoch ein Kinderspiel ist, scheint es unwahrscheinlich, dass niemand sonst zugegriffen hat. Auf das Datenschutzbußgeld dürfen wir jedenfalls gespannt sein.

https://www.heise.de/ct/artikel/Daten-Leak-bei-Autovermietung-Buchbinder-3-Millionen-Kundendaten-offen-im-Netz-4643015.html

News

Datenschutz made in USA: NIST Privacy Framework und CCPA

Die amerikanische Standardisierungsbehörde NIST hat Version 1.0 ihres „Privacy Frameworks“ veröffentlicht. Es stellt keinen verpflichtenden Standard wie die DSGVO dar, ist jedoch insofern bemerkenswert, als dass sich sogar die föderale Ebene in den USA inzwischen langsam in Richtung Datenschutz bewegt. Im progressiven Kalifornien wurde bereits 2018 eine Regulierung beschlossen, die in einer Reihe von Punkten der europäischen ebenbürtig ist. Nun ist der CCPA (California Consumer Privacy Act) am Jahresanfang in Kraft getreten.

https://www.nist.gov/privacy-framework

https://datenschutz-generator.de/california-consumer-privacy-act-ccpa-dsgvo/

News

C5v2: BSI stellt aktualisierten C5-Katalog vor

Das BSI hat den 2016 veröffentlichten „Cloud Computing Compliance Criteria Catalogue“ einer umfassenden Revision unterzogen. Der „C5“ wird von Cloud-Anbietern aller Größen zum Nachweis der Sicherheit von Cloud-Diensten verwendet. Die Aktualisierungen betreffen sowohl Formalia als auch die Kriterien, die an den aktuellen Stand der Technik angepasst wurden. Er enthält außerdem eine neue Domäne zur Produktsicherheit und berücksichtigt damit nun auch die Regelungen und Anforderungen des 2019 in Kraft getretenen EU Cybersecurity Acts. Zudem wurde – insbesondere für kleinere Cloud-Anbieter – der Nachweisweg über die direkte Prüfung eröffnet.

Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen einhält und die Aussagen zur Transparenz korrekt sind, wird durch einen Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 erbracht.

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html

News

Vor der eigenen Garage kehren: Microsoft-Parkhäuser im Internet

Auch der beste SDL (Security Development Lifecycle), Rolling Updates in den aktuellen Betriebssystemen und noch so viele Patch Tuesdays bewahren anscheinend nicht davor, dass der eigene Dienstleister versagt: Die Parkhaussteuerung am Microsoft-Firmensitz sollte normalerweise nicht aus dem Internet erreichbar sein. Trotzdem konnte man auf die Server in Redmond problemlos zugreifen. Immerhin war das Problem schnell behoben.

https://www.golem.de/news/sicherheitsluecken-microsoft-parkhaeuser-ungeschuetzt-im-internet-2001-146025.html

News

Am Pulse der Unzeit: SSL-Gateway nicht Secure

Eine Schwachstelle, die auf der international gebräuchlichen Skala CVSS einen Score von 10 erreicht – den Höchstwert –, sieht man nicht alle Tage. Inzwischen wird die seit April letzten Jahres bekannte und (im Idealfall) gepatchte Schwachstelle der von Juniper ausgegründeten SSL-Gateways von PulseSecure aktiv zur Verbreitung von Ransomware ausgenutzt. Das CERT-Bund hatte zuletzt im August öffentlich gewarnt, trotzdem finden sich immer noch ungepatchte Gateways im Internet.
Prominentestes Opfer ist die Firma Travelex, die es jüngst hart traf. Dabei hatten Sicherheitsforscher die Firma schon Mitte September vor ihren ungepatchten SSL-VPNs gewarnt.

https://arstechnica.com/information-technology/2020/01/unpatched-vpn-makes-travelex-latest-victim-of-revil-ransomware/

News

Toter als tot: SHA1

Der immer noch viel zu häufig eingesetzte Hash-Algorithmus SHA1 gilt schon seit Jahren als theoretisch gebrochen und deutlich geschwächt. Bisher waren praktische Angriffe für die meisten Akteure jedoch außer Reichweite. Nun konnten Forscher die Kosten für eine sogenannte Kollisionsattacke und vor allem für die wesentlich gefährlichere „Chosen-Prefix Kollisionsattacke“, mit der sich etwa digitale Signaturen fälschen lassen, noch einmal entscheidend auf wenige 10.000 Euro senken, Tendenz fallend.

Höchste Zeit, den diversen Empfehlungen (u. a. des BSI) zu folgen und SHA1 durch modernere Algorithmen wie SHA2 oder SHA3 zu ersetzen.

https://sha-mbles.github.io/