Autor: David Fuhr

Twitter: 0xdhf
News

(Not Only) Size Matters: 179 GB Rekord-Leak mit Regierungs- und Militärdaten

Rein mit der Größe können Datenleaks heute kaum mehr Aufmerksamkeit erhaschen. 179 GB sensible Daten klingt zwar nach einer Menge (und ist es auch). Was dieses Leak jedoch besonders pikant macht, ist, dass vergangene und zukünftige Reisen- und Buchungsdaten auch von amerikanischen Regierungs- und Militärangehörigen frei abrufbar im Internet standen. So konnten Forscher etwa die Reisen von US-Generälen nach Russland und Israel nachvollziehen. Nach Benachrichtigung durch das Security-Scanning-Projekt des VPN-Anbieters vpnMentor, dass die Elasticsearch-Datenbank eines Reisedienstleisters in AWS ohne jeden Zugriffsschutz offenstand, benötigten die Behörden noch mehr als zwei Wochen, um die Datenbank abzusichern. Ein Fall wie viele – hier einmal (wieder) mit besonders kritischen Daten.

https://www.zdnet.com/article/autoclerk-database-leaked-customer-government-and-military-personal-records/

News

Ununhackbar: NordVPN erleidet (Breach und) Shitstorm

Der renommierte und von vielen Experten empfohlene VPN-Anbieter NordVPN hat auf die Finger bekommen. Einerseits wegen eines Breaches: Bei einem finnischen Rechenzentrumsbetreiber bestand Zugriff über ein NordVPN unbekanntes Managementinterface auf einen Server, welcher jedoch keine Verbindungsdaten der Kunden enthielt. Selbstverständlich lag hier ein Fehler des Betreibers vor, welchen NordVPN durch Ablösung des Rechenzentrums sowie verschärfte Audits in den Griff zu bekommen verspricht. Der größere Schaden dürfte der Reputationsverlust sein, den sich zum Teil die Marketingabteilung zuschreiben darf: Kurz vor Bekanntwerden des Incidents hatte die Firma mit besonders selbstbewussten Statements à la „unhackbar“ geworben, was in der Kombination eine entsprechende Aufmerksamkeit und Häme in den sozialen Netzen entfachte. Merke: Sage nur, Du seist unhackbar, wenn Du es wirklich bist. Also quasi nie.

https://nordvpn.com/blog/official-response-datacenter-breach/

News

Mal überlegen ob überlegen: Erste „Quanten-Supremacy“ erreicht

Nachdem bereits vor einer Weile die erste tatsächlich erreichte „Quanten-Supremacy“ verkündet worden war, hat Google nun endlich den offiziellen Bericht zu dem Erfolg in der Grundlagenforschung herausgebracht. Supremacy (Überlegenheit) bedeutet hier, dass ein Quantencomputer ein praktisches Problem schneller als jeder konventionelle Computer löst. Objektiv ist dies eindrucksvoll gelungen: Der supraleitende Quantenrechner konnte in 200 Sekunden eine Aufgabe berechnen, für die ein konventioneller Supercomputer 10.000 Jahre brauchen würde. Der Konkurrent IBM behauptet zwar, das Problem in einem theoretisch möglichen Supercomputer in 2 ½ Tagen bewältigen zu können, aber an der Überlegenheit ändert dies nichts.

Allerdings war das zu berechnende Problem aus der theoretischen Chemie so speziell auf den Erfolg geschneidert, dass es keinerlei sinnvolle Anwendung hat. Insofern ist Supremacy nicht gleich sinnvolles Ergebnis. Trotzdem ist hiermit ein technischer und theoretischer Meilenstein erreicht worden, den einige Kritiker den Quantencomputern bzw. ihren Konstrukteuren nie zugetraut hatten. Bis zum Brechen von Verschlüsselung ist noch ein längerer Weg – von dem allerdings ein wichtiger Schritt nun geschafft wurde.

https://www.heise.de/newsticker/meldung/Jetzt-auch-offiziell-Googles-Quantencomputer-zeigt-Quantum-Supremacy-4565771.html

News

Selbstvertrauen oder klein bei? Browser geben XSS-Schutz auf

In der aktuell verteilten Version des Chrome-Browsers ist der sogenannte XSS-Auditor, der seit 2010 (Chrome Version 4) versucht hatte, Nutzer vor Cross-Site Scripting (XSS) zu schützen, nicht mehr enthalten. Das Katz- und Maus-Spiel mit den Angreifern war zu schwierig, immer wieder wurden Lücken in dem Filter gefunden. Nun hat Google an dieser Front aufgegeben, so wie schon Microsoft letztes Jahr in Edge. Zwar stehen Web-Standards wie Content Security Policy (CSP) bereit, die XSS weitgehend einschränken können. Diese müssten jedoch von Seitenbetreibern viel konsequenter eingesetzt werden.

Für den Selbstschutz des Browsers ist ein Neubeginn angekündigt. Ein neuer offener Standard „Trusted Types API“ soll angeblich in der Lage sein, zumindest DOM-basiertem XSS ein für alle Mal den Garaus zu machen.

https://www.zdnet.com/article/google-to-remove-chromes-built-in-xss-protection-xss-auditor/

News

Mixed Feelings: Mixed Content zum Abschuss freigegeben

„Mixed Content“ im WWW bedeutet, dass sich auf einer verschlüsselten Seite auch unverschlüsselte Elemente befinden. Bisher erlaubten Browser dies noch – in der Rege mit Warnung – oder ließen es zumindest freischalten. In Chrome 80 (1/2020) werden zunächst audio+video von http: zu https: auto-remapped. Mixed Content kann immer noch freigeschaltet werden. Ab Chrome 81 (2/2020) werden auch Bilder auf https: zwangsgemapped. Mixed Content kann dann nicht mehr freigeschaltet werden. Andere Browser dürften nachziehen. Höchste Zeit also, alten Seiten mit diesem archaischen und unsicheren Überbleibsel das Gnadenbrot zu entziehen.

https://blog.chromium.org/2019/10/no-more-mixed-messages-about-https.html

News

Google petzt gegen Google: GP0 findet Android Zeroday

Eine Sicherheitslücke in Android-Telefonen wird offenbar bereits aktiv von Kunden des berüchtigten Anbieters NSO Group ausgenutzt. Das geht aus einem Bericht von Maddie Stone, einer Sicherheitsforscherin von Googles Project Zero, hervor. Es handelt sich um einen Use-after-Free-Bug im Linux-Kernel, mit dem sich auf Android-Telefonen Rechte ausweiten lassen. Ausgenutzt werden kann er von einer bösartigen Applikation oder im Zusammenspiel mit weiteren Bugs auch im Browser.

https://www.golem.de/news/linux-kernel-android-bug-wird-von-nso-group-angegriffen-1910-144250.html

News

Lesetipps Oktober 2019

Klima der Unsicherheit

Beim Lesen des folgenden Kommentars in der New York Times wird klar, dass die Begrenzung des Klimawandels und die Schaffung nachhaltiger Security zum Teil vor vergleichbaren Herausforderungen stehen – wenn auch die Auswirkungen auf unser Leben sehr unterschiedlich sind. Insbesondere die Bepreisung zukünftiger, bisher nicht eingetretener Risiken ist ein schweres Problem. Zu wünschen wäre, dass die zwei Felder voneinander lernen können.

https://www.nytimes.com/2019/10/23/opinion/climate-change-costs.html


Sinnkrise der Security

Heute hörens- und sehenswerter denn je ist Thomas Dulliens (Hackerhandle @halvarflake) Keynote „Why We are Not Building a Defendable Internet“ von der Black Hat Asia 2017. Er stellt darin genau die Fragen, die wir alle beantworten müssen, um zu begründen, warum und auf welche Weise wir heute weiter Security betreiben wollen, um unseren Beitrag zur Verbesserung der Welt zu leisten.

https://www.youtube.com/watch?v=PLJJY5UFtqY

Cyberwar

Sie sind unter uns – Cyber-Einheiten in der EU

Einige Beobachter haben es länger schon vermutet, nun ist es Gewissheit: Staatliche Akteure haben begonnen, dezentrale Cyber-Einheiten in Europa zu stationieren. Nun wurde bekannt, dass tschechische Sicherheitsbehörden bereits 2018 eine Gruppe ausgehoben haben, die unter dem Deckmantel des Handels mit IT über Jahre verdeckte Cyberoperationen auf dem Boden der Tschechischen Republik bzw. von diesem aus durchgeführt hatte. Wie die Analyse des renommierten OPSEC- und Cyberspionageexperten „The Gruc“ – kaum jemand kennt den Klarnamen des Südafrikaners – zeigt, wurden die russischstämmigen Personen, die teilweise über tschechische Pässe verfügten, quasi als „freie Mitarbeiter“ des russischen Inlandsgeheimdienstes FSB geführt, von diplomatischen Fahrzeugen aus mit Technik versorgt und vermutlich auch kontrolliert.

Das Rezept „People. Ideas. Hardware. In that order.“ des Militärstrategen John Boyd ist also bereits von der Russischen Föderation – und anzunehmenderweise weiteren Akteuren – auf eine neue Ebene gehoben worden. Zwar ist Geolokation für Cyberangriffe weniger relevant als für andere Waffengattungen, Staaten können jedoch auf diese Weise kostengünstig und risikoarm ihre Cyber-Zweitschlagskapazität hochfahren und geografisch verteilen.

Neu ist also: Akteure können auch „Auftragnehmer“ in anderen Ländern sein. TTPs (Tactics, Techniques and Procedures, anhand derer Angreifergruppen teilweise erkannt und ihre Aktionen u. U. vorausgesagt werden können) passen dann besonders schlecht zum üblichen Fußabdruck des Auftraggebers. Sie können sich in relativ kurzer Zeit frei bewegen und die logistischen Anforderungen sind extrem niedrig. Zeit für die Verteidiger, sich hierauf einzustellen.

https://gru.gq/2019/10/24/fsb-deploys-cyber-units-inside-europe-for-years/

News

It’s Magic: Wieder Fortinet-Backdoor

In der FortiGate SSL-VPN-Appliance des kalifornischen Security-Hardware-Herstellers Fortinet ist eine kritische Backdoor gefunden worden. Durch einfaches Setzen eines „magic“-Parameters konnte jeder Unbefugte die Passwörter ändern. Fortinet, schon 2016 in einen Backdoor-Skandal verwickelt, ist um Schadensbegrenzung bemüht. Allerdings lässt sich solch eine gravierende Lücke nur durch Vorsatz oder ganz grobe Mängel in der Qualitätssicherung erklären – beides keine guten Aussichten für einen Security-Vendor. Fortinet selbst deutet in sozialen Medien vielsagend-nebulös an, dass „ein bestimmter Kunde“ diese Backdoor gefordert habe, die nur „versehentlich“ in den Master für alle Appliances gelangt sei. Das Vertrauen wird man nun erst wieder herstellen müssen.

https://www.securitynewspaper.com/2019/08/29/fortinet-backdoored-fortios-or-hackers-did-for-monitoring-since-last-5-years/