Autor: David Fuhr

Twitter: 0xdhf
News

Stau as a Service? Tracking-Apps lassen remote Motoren stoppen

Ein Hacker hat demonstriert, dass sich über mindestens zwei verbreitete Apps für das Tracking von Fahrzeugflotten nicht nur die privaten Daten der Nutzer stehlen lassen, sondern in bestimmten Fällen auch remote die Motoren stoppen – solange die Autos mit weniger als 20 km/h unterwegs sind. Dies zeigt, dass schon heute zunehmend safety-relevante Fahrzeugbusse mit solchen verbunden werden, die für Entertainment, Kommunikation u. ä. vorgesehen sind.
https://www.vice.com/amp/en_us/article/zmpx4x/hacker-monitor-cars-kill-engine-gps-tracking-apps

News

Reale Windows gehackt: Fensterbauer lahmgelegt

Fenster-Expertise hilft nicht automatisch gegen Ransomware: Der Sorpetaler Fensterbau ist das neueste in einer langen Reihe von Unternehmen, die nach einer erfolgreichen Attacke – und deren Bewältigung – an die Öffentlichkeit gegangen sind, damit andere daraus lernen können. In diesem Fall waren Backups auf externen Festplatten vorhanden, sodass nach sechs Stunden der erste Server wieder einsatzbereit war. Trotzdem dauerte es bis zur kompletten Wiederherstellung mehrere Tage. Der Schaden lag bei mehreren zehntausend Euro. Dass es beileibe nicht immer so glimpflich ausgeht, zeigen die Erfahrungen der HiSolutions-Incident Response-Hotline. So ist in einem nicht unerheblichen Teil der Fälle entweder kein umfassendes Backup vorhanden oder der Restore hat mangels vorhergehender Tests nicht erwartungsgemäß funktioniert. Teilweise waren sogar Backups durch den Trojaner gleich mitverschlüsselt worden.
https://www.welt.de/regionales/

News

Stille Post von hinten durch die Brust: Daten-Extraktion via DNS-over-HTTPS

DNS war lange ein beliebtes bzw. gefürchtetes Mittel, um Daten aus sicheren Unternehmensnetzen hinauszuexfiltrieren. Man hat dies heute halbwegs unter Kontrolle, indem Techniken wie Sinkholing und Filterung eingesetzt werden – theoretisch, denn in der Praxis hinken viele Unternehmen hier noch hinterher. Doch die Behebung eines anderen Problems von DNS – fehlende Verschlüsselung – bringt nun die alten Gespenster wieder zurück. Zwar kann durch Techniken wie DNS-over-HTTPS (DoH) die Namensauflösung gesichert bei einem der großen Anbieter geschehen – doch wenn diese dann wieder per DNS bei einem vom Angreifer kontrollierten DNS-Server anfragen, hat der Angreifer nicht nur den Exfiltrationskanal wieder geöffnet, sondern er hat auch noch die perfekte Tarnung dafür. Denn welche Firewall oder welche DLP-Lösung würde schon Böses hinter DNS-Verbindungen zu Google oder Cloudflare vermuten? 
https://sensepost.com/blog/2018/waiting-for-godoh/

News

Langsam immer toter: SHA-1-Kollisionen werden praktischer

Der Hashalgorithmus SHA-1 gilt schon mindestens seit dem sogenannten „SHAttered-Angriff“ (shattered.io) vor zwei Jahren als derart angeschlagen, dass er nicht mehr verwendet werden sollte. Bisher waren Angriffe allerdings so aufwändig, dass sie kaum in der Reichweite von realen Angreifern waren. Dies hat sich nun geändert: Mit der ersten Chosen-Prefix Kollisionsattacke stehen nun Angriffswerkzeuge bereit, die den weiteren Einsatz von SHA-1 hochgefährlich machen. Denn nun können Signaturen – wenn auch aktuell noch mit Kosten in der Größenordnung von 100.000 USD – über beliebige Daten gefälscht werden.
https://www.zdnet.com/article/sha-1-collision-attacks-are-now-actually-practical-and-a-looming-danger/

News

Version 2.0 verlangt 1.3 oder 1.2: Neue TLS-Vorgaben des BSI

Das BSI hat Version 2.0 seines Mindeststandards TLS veröffentlicht. Darin werden, zumindest für die Bundesverwaltung, TLS 1.2 und TLS 1.3 als einzige erlaubte Protokollvarianten gesetzt. Forward Secrecy ist nun Pflicht. Die umstrittene Neuentwicklung eTLS – wir berichteten – wird nicht erwähnt, ist somit also nicht statthaft.
Aktualisierung: Inzwischen gilt Version 2.4 der Mindeststandardshttps://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_Version_2_4.html

News

Immer diese Chinesen? Backdoor in Cisco-Switches

Der amerikanische Netzwerkausrüster Cisco hat „versehentlich“ in seinem Nexus 9000-Switch, mit dem in der Cloud „SDN“ (Software Defined Networks“) gebaut werden, hart-codierte SSH-Schlüsselpaare verwendet. So kann jeder, der ein solches Gerät in der Hand hat, den privaten Schlüssel auslesen und sich damit in alle anderen Nexus weltweit einloggen, auf die er per IPv6 Zugriff hat – und zwar als root. Die Interpretation „extreme Fahrlässigkeit“ ist nicht um vieles besser als die der „absichtlichen Backdoor“.
https://www.theregister.co.uk/2019/05/02/cisco_vulnerabilities/

News

Chias muss nicht mehr: Weiteres Tool für VS-NfD zugelasse

Chiasmus hat Konkurrenz bekommen: Als weiteres erlaubtes Software-Verschlüsselungstool für die Nutzung im Zusammenhang mit VS-NfD/EU-RESTRICTED/NATO-RESTRICTED ist nun Gpg4win bzw. GnuPG für KMail unter Linux freigegeben worden.
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2019/Gpg4win-mit-VS-NfD-070519.html

Liste aller zugelassenen VS-NfD-Tools (Hardware und Software):
https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Zulassung/Liste-zugelassener-Produkte/liste-zugelassener-produkte_node.html

News

Mühsam stirbt das Eichhörnchen: Microsoft-Baselines ohne erzwungenen Passwortwechsel

Das Sterben des regelmäßigen Passwortwechselns schreitet langsam, aber unaufhaltsam voran. Über Jahre hinweg haben Sicherheitsstandards von den Anwendern verlangt, dass sie ihre Passwörter regelmäßig wechseln. Diese Anforderung wurde immer wieder kontrovers diskutiert. Mittlerweile sind sich die Sicherheitsfachleute weitgehend einig, dass ein regelmäßig erzwungener Passwortwechsel für die Sicherheit eher nachteilig ist.
Nun hat Microsoft ihn aus den Entwürfen für die neuen Security Baselines – technischen Empfehlungen für MS-Produkte, welche in Konfigurationen (GPOs) gegossen sind – für die aktuellen Windows-Produkte (Windows 10 v1903 und Windows Server 2019 v1903) entfernt. Darüber gibt es auch noch einen interessant argumentierenden Vorschlag, das zwanghafte Deaktivieren der built-in Admin- und Guest-Accounts zukünftig wegzulassen.
https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/

News

IT-Grundschutzbausteine Loadbalancer, Windows Server 2016, Container unter Openshift

Das IT-Grundschutz-Kompendium des BSI macht anhand von themenspezifischen Bausteinen konkrete Vorgaben und Empfehlungen zur Umsetzung der IT-Grundschutz-Methodik. Es wird durch benutzerdefinierte Bausteine aus der Hand erfahrener Anwender ständig erweitert. Jetzt hat HiSolutions aus der Erfahrung durchgeführter Projekte drei benutzerdefinierte Bausteine zu den Themen „Loadbalancer“, „Windows Server 2016“ und „Container unter Openshift“ erstellt, welche dem BSI und der Community kostenfrei zur Verfügung stehen.

News

Ganz normaler Patch Tuesday? Schwachstellenschwemme im Mai

Die Anzahl der bekanntwerdenden Schwachstellen nimmt seit Jahren zu. Immer wieder sind auch kritische dabei, und in manchen Monaten kommt mehr zusammen als in anderen. So knüppeldick wie in diesem Mai kam es allerdings lange nicht: Eine „wurmbare“, sprich potenziell im Schneeballeffekt millionenfach ausnutzbare Lücke in RDP (CVE-2019–0708) bei Windows 7 und Server 2008/R2 plus 22 weitere kritische Lücken bei Microsoft, ein Bug in WhatsApp, über den schon mit einem einzigen bösartigen Anruf das i- oder Android-Phone unbemerkt übernommen werden kann (CVE-2019–3568) sowie allein über 80 Schwachstellen bei Adobe (Flash, Acrobat/Reader). Wegen des RDP-Problems patchte Microsoft auch noch ein weiteres „letztes“ Mal ausgelaufene Windows-Versionen wie XP. Interessant an der Lücke ist auch, dass sie vom britischen National Cyber Security Centre (NCSC) gemeldet wurde – dessen Mutter, der technische Geheimdienst GCHQ, sich durchaus vorbehält, Schwachstellen nicht zu veröffentlichen, sondern für das eigene Arsenal aufzusparen. Mögliche Gründe für die Veröffentlichung könnten ein vorausgegangener Verlust der Kontrolle über die Schwachstelle sein, die Erkenntnis, dass andere Geheimdienste diese ebenfalls kennen, oder auch späte Einsicht in die Vorgänge um WannaCry vor zwei Jahren, als GCHQ und NSA in die Kritik kamen, im Interesse ihrer Angriffswaffen Nutzer nicht genügend zu schützen. 

https://medium.com/asecuritysite-when-bob-met-alice/just-another-patch-tuesday-ncsc-stops-another-wannacry-adobe-hits-83-and-whatsapp-hits-zero-96b49cf61d08?sk=ef2f8a0772bd2df974a373dcb95dcd28