Autor: David Fuhr

Das BSI hat Ende Mai eine Liste von Dienstleistern veröffentlicht, die bei sogenannten APTs (Advanced Persistent Threats) zu Hilfe gerufen werden können. Anhand der Liste geeigneter Dienstleister und der transparenten Gestaltung der Auswahlkriterien werden Unternehmen im Sinne von § 3 BSI-Gesetz in die Lage versetzt, im Fall von oder bei Verdacht auf einen derartigen gezielten Angriff geeignete Unterstützung durch externe Experten anzufordern.
https://www.hisolutions.com/infocenter/detail/detail/News/bsi-weist-hisolutions-als-qualifizierten-apt-response-dienstleister-aus/

Einem DDoS-Tester ist laut eigener Aussage aufgefallen, dass man „große“ Firewalls vieler Hersteller mit TCP-Datenmüll komplett überlasten kann, dessen Bandbreite lediglich 1-2 % dessen beträgt, was die Firewall eigentlich verarbeiten könnte. Teure DDoS-Attacken kommen so bei Kosten von unter 5 Euro im Monat in die Reichweite von Script-Kiddies und anderen ressourcenarmen Akteuren. Der Mechanismus dahinter scheint noch nicht verstanden zu sein, und die Hersteller haben wohl noch nicht reagiert. Zumindest liefert der Blogeintrag aber ein Testskript (Einzeiler), mit dem das eigene Firewall-Cluster geprüft werden kann, sowie eine Liste von Herstellern, die nicht betroffen sind.
https://www.secjuice.com/rubber-bands-and-firewalls/

Google hat angekündigt, dass der sogenannte „Confidential Mode“ zukünftig für alle Nutzer von Gmail verfügbar ist. Die Funktion erlaubt ein Rechtemanagement, über das beispielsweise E-Mails mit einem Ablaufdatum versehen werden können, sowie das Zurückziehen bereits gesendeter Nachrichten. Weiterhin soll es auch möglich sein, zusätzliche Authentifizierung zum Lesen einer Nachricht einzufordern.

Experten sehen dies kritisch, da bestimmte Angriffsvektoren wie Zwischenspeichern oder Screenshots prinzipiell schwer zu verhindern sind bzw. in der Regel ein Trade-Off zwischen verschiedenen Sicherheitszielen wie Vertraulichkeit und Verfügbarkeit notwendig ist. Trotzdem ist es wichtig, weiter an der Absicherung von E-Mails zu arbeiten, wird uns dieses besonders unsichere Kommunikationsmedium doch noch geraume Zeit weiter begleiten.
https://gsuiteupdates.googleblog.com/2019/05/gmail-confidential-mode-launching-on-by.html

Not Just Someone Else’s Computer

Angesichts der neuen Cloud-Meldungen und der Nicht-Totkriegbarkeit des Spruchs „Cloud ist nur Somebody Else’s Computers“ lohnt sich noch einmal das Nachlesen eines Beitrags auf ZDNet von 2016, warum Cloud eben doch mehr – und vor allem anders – ist. 
https://www.zdnet.com/article/stop-saying-the-cloud-is-just-someone-elses-computer-because-its-not/

Auch nicht totzukriegen: Blockchain-Revival

Nach dem letzten großen Crash von Bitcoin und Co. Ende 2017 hatten viele Beobachter Kryptowährungen und meist auch gleich Blockchain als Konzept abgeschrieben. Nun hat das BSI eine umfassende Analyse der Blockchain-Technologie veröffentlicht. Schwerpunkt der Betrachtung sind die Sicherheitseigenschaften, aber auch die Auswirkungen der technischen Grundkonzeption etwa auf Effizienz und Datenschutz sowie der aktuelle Rechtsrahmen. 
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Kryptografie/Blockchain/blockchain_node.html

Dies kommt (zufällig!) passgenau zur Ankündigung der Firma Facebook, eine eigene Kryptowährung zu schaffen. Die Einschätzung der Fachwelt zu „Libra“ reichen von interessant (viele ungewöhnliche Eigenschaften, aber keine Kryptowährung) bis vernichtend: „Can’t wait for a cryptocurrency with the ethics of Uber, the censorship resistance of Paypal, and the centralization of Visa, all tied together under the proven privacy of Facebook.“ (https://twitter.com/sarahjamielewis/status/1139429913922957312)

Hier eine Kurzanalyse von Sicherheitsguru Robert Graham: https://twitter.com/erratarob/status/1141070089971802112

Ewig blau: Kollateralschäden der NSA

Das der NSA 2017 abhandengekommene Angriffswerkzeug EternalBlue hat vermutlich einen deutlich größeren Schaden für die USA (und viele andere Länder) verursacht als das öffentlich weit bekanntere Leak der Dokumente durch Edward Snowden 2013. Der New York Times-Bericht zeichnet den Weg der Zerstörung nach, die hätte verhindert werden können, wenn die NSA die Schwachstelle frühzeitig an Microsoft gemeldet hätte.
https://www.nytimes.com/2019/05/25/us/nsa-hacking-tool-baltimore.html

Das kosmische Hintergrundrauschen der IT

Unendliche Weiten … Manchmal nähern sich IT und Security kosmischen Dimensionen an. Beim Thema Hintergrundrauschen etwa: Liefert uns dieses in der Physik Hinweise auf die Entstehung des Universums, so kann die Beobachtung der „Internet Background Radiation“ – also desjenigen Internetverkehrs, der in ungenutzten Adressbereichen aufschlägt – Rückschlüsse auf große Ausfälle und Fehlkonfigurationen im Netz ermöglichen. Welten, die noch nie ein Mensch erblickt hat.
https://arxiv.org/pdf/1906.04426.pdf

Google hat vor, die technische Grundlage von Adblockern wie uBlock Origin, uMatrix und Privacy Badger im Chrome-Browser stark zu beschneiden. Nach Angaben des Konzerns ist dies geplant, um die Leistung zu verbessern. Der Mutterkonzern Alphabet nennt Werbeblocker allerdings eine Bedrohung für Googles Geschäftsmodell. Neben den datenschutzrechtlichen Problemen von Online-Werbung allgemein und kartellrechtlichen Fragen im Besonderen ist aus Security-Sicht vor allem problematisch, dass mit den Adblockern auch eine wichtige Schutzfunktion gegen eingeschleusten Code verschwinden könnte.
https://www.heise.de/newsticker/meldung/Google-provoziert-Unmut-mit-geplanter-Aenderungen-fuer-Adblocker-in-Chrome-4435601.html

Inzwischen musste Google bereits Zugeständnisse machen: https://www.heise.de/newsticker/meldung/Chrome-Erweiterungen-Google-macht-Zugestaendnis-im-Werbeblocker-Streit-4445967.html

Als Vorteil für Biometrie wird immer die Usability genannt: Finger, Iris, Gesicht haben wir immer dabei und können sie nie vergessen oder verlegen. Die Schattenseite ist allerdings, dass einmal entwendete biometrische Daten unweigerlich verbrannt sind, da ich sie nicht ändern kann. Nun hat die Washington Post enthüllt, dass bei einem Cyberangriff auf einen Dienstleister der US-Grenzschutzbehörde CBP biometrische Fotos (und Nummernschilder) von bis zu 100.000 Reisenden abgezogen wurden. Die Daten standen im Darknet zum Verkauf.
https://www.golem.de/news/us-grenzschutz-datenleck-bei-einreisefotos-und-nummernschildern-1906-141806.html

Bei einem Penetrationstest stießen HiSolutions-Sicherheitsberater auf eine Injection-Schwachstelle im NoSQL-Datenbank-Produkt Couchbase Sync Gateway. Durch diese ließen sich im ersten Schritt Statements der Sprache N1QL – eine Verbindung von SQL und JSON – injizieren. Im zweiten Schritt konnten so klassische SQL-Angriffs-Snippets wie „UNION ALL SELECT …“ an die Datenbank weitergereicht werden, um etwa massenhaft Werte auszulesen. Die kritische Schwachstelle wurde in Version v2.5 und v2.1.3 behoben – alle Nutzer sollten die Patches installieren. Unser Security-Advisory (CVE-2019-9039):
https://research.hisolutions.com/2019/06/n1ql-injection-in-couchbase-sync-gateway-cve-2019-9039/

Etwas verworren sind noch die Berichte und Spekulationen um angeblich akut zunehmende Offensivmaßnahmen der US-Administration in Richtung der russischen Stromnetze. Unstrittig ist, dass seit Jahren mehrere Länder – ganz vorne mit dabei die USA – im Bereich offensive Cyberfähigkeiten aufrüsten. Nun berichtet die New York Times über eine im letzten Sommer fast unbemerkt im Kongress verabschiedete Änderung der Military Authorization Bill. Demnach kann die „routinemäßige Durchführung versteckter militärischer Aktivität im Cyberspace zur Abschreckung, Sicherung oder Verteidigung gegen Angriffe oder bösartige Cyberaktivitäten gegen die Vereinigten Staaten“ durch den Verteidigungsminister autorisiert werden, ohne den Präsidenten einzubinden.
Die aktuellen Cyber-Operationen gegen den Iran werden Thema des nächsten Digest sein.
https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html

Fetter Fund: 100.000 Zeilen Malware

Die amerikanische Sicherheitsfirma FireEye veröffentlicht Hintergründe und technische Details zur Malware der Carbanak-Gruppe, die in den vergangenen Jahren bis zu eine Milliarde Euro bei Angriffen auf Banken und Zahlungsdienstleister sowie viele andere Unternehmen erbeutet hatte. Der mutmaßliche Kopf der Gruppe wurde – wie damals hier berichtet – vor einem Jahr verhaftet. Im Zuge von Untersuchungen sind den Analysten von FireEye nun zwei RAR-Dateien in die Hände gefallen, die den Quellcode der Malware samt zugehörigen Tools enthielten. Besteht sonst bei Analysen in der Regel Zugriff auf einige wenige Skripte oder Programme, so enthielt dieser Fund 755 Dateien, 39 Binaries und mehr als 100.000 Zeilen Code. Diese wurden nun ausgewertet und die Erkenntnisse in äußerst aufschlussreichen Blog-Beiträgen verarbeitet.
Erster Teil der Serie „CARBANAK Week Part One: A Rare Occurrence”:
https://www.fireeye.com/blog/threat-research/2019/04/carbanak-week-part-one-a-rare-occurrence.html

Netflix Original: Zero Trust

Technologisch ist die Streaming-Firma Netflix einer der großen Player und Treiber. Konzepte wie Zero Trust, Adaptive Authentication, Device Health & Authorization werden hier unter dem Slogan „Cloud First Company“ weiter getrieben als bei vielen anderen Unternehmen. Hier, standesgemäß, als Video dargestellt:
Tejas Dharamshi, Netflix, @ USENIX Enigma 2019 – Building Identity for an Open Perimeter
https://www.youtube.com/watch?v=a195I3SXa1E&

Hinter dem Kleingedruckten

Eine umfassende wissenschaftliche Analyse aus Oxford untersucht im großen Maßstab Cyberversicherungen und deren Inhalt: Was wird abgedeckt, welche Schäden und wie viel, welche Schadensereignisse und Ausschlüsse sind üblich, welche indirekten Kosten werden übernommen? Daneben gibt es auch einen Vergleich der Abschlussbedingungen, etwa welche Arten von Fragebögen zur Erhebung des Risikos verwendet werden.
https://academic.oup.com/cybersecurity/article/5/1/tyz002/5366419

Handel mit Zero Days/Exploits und der Staat

Eine gute Zusammenfassung der Debatte, auch für „Nicht-Techies“:
https://www.spiegel.de/netzwelt/netzpolitik/zero-day-exploits-ein-gesetz-mit-sicherheitsluecke-a-1266067.html

Europa kann auch was

Innovation im Bereich IT und Cyber muss nicht immer aus den USA, China oder Israel kommen. Die folgende Publikation der niederländischen KPN zeigt – nunmehr schon in sechster Auflage –, dass es auch in Europa spannende Ideen und Perspektiven im Bereich Security gibt.
https://overons.kpn/en/news/2019/kpn-publishes-sixth-edition-of-the-european-cyber-security-perspectives