Autor: David Fuhr

Die Verhandlungen um ein Nachfolgeabkommen des im Juli 2020 durch den EuGH gekippten Privacy-Shield-Abkommens sollen weiter vorangekommen sein. Laut EU-Kommission konnte man sich auf ein Framework einigen, das die Kritikpunkte des “Schrems II”-Urteils behandelt. Bisher ist öffentlich nur ein Einseiter (“Fact Sheet”) dazu bekannt.

Das Ganze stellt erst den Startpunkt dar in Richtung eines möglichen sogenannten Angemessenheitsbeschlusses nach Artikel 45 DSGVO, der von der Kommission getroffen werden kann, um ein angemessenes Schutzniveau für personenbezogene Daten in einem Drittland zu bestätigen.

https://ec.europa.eu/commission/presscorner/detail/en/ip_22_2087

Dass Zugriffe von Strafverfolgungsbehörden auch ausarten können, beweist ein anderer „Hack“: Unbekannte konnten zeigen, dass der Zugriff von LEOs (Law Enforcement Organizations) auf Kundendaten zumindest in den USA leicht missbraucht werden kann. Sie konnten mit geringem Aufwand sogenannte Notfall-Anfragen an Apple und die Facebook-Mutter Meta fälschen, sodass Kundendaten auch ohne Gerichts- oder Durchsuchungsbeschluss herausgegeben wurden.

Solche rechtlichen Notfallanfragen sind eigentlich für außergewöhnliche Situationen vorgesehen, etwa wenn Leib und Leben, die nationale Sicherheit oder kritische Infrastrukturen in Gefahr sind. Der Hack zeigt auf, wie solche Ausnahmetatbestände Missbrauch Tür und Tor öffnen können.

https://www.theguardian.com/technology/2022/apr/04/us-law-enforcement-agencies-access-your-data-apple-meta

So, wie das zauberhafte übernatürliche Papier („psychic paper“) der fiktiven Figur Dr. Who erlaubte, andere in seinem leeren Personalausweis das sehen zu lassen, was er möchte, hat es eine böse Schwachstelle in Java ermöglicht, digitale Signaturen zu erzeugen, die leer sind und trotzdem als gültig durchgehen. Damit können beliebige Daten signiert werden, ob Dokumente oder WebAuthn/FIDO-Tokens etwa aus Yubikeys.

Ermöglicht wurde das Problem durch einen Fehler in der Übertragung von C++-Code auf nativen Java-Code in Java 15, welcher offensichtlich nicht durch Kryptographie-Fachleute vorgenommen wurde.

Java-Installationen in den Versionen 15-18 sollten dringend mit dem April Critical Patch Update gefixt werden, auch wenn Oracle selbst den CVSS nur mit 7.5 taxiert; andere Experten sehen hier eine glatte 10.

https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/

Bored Apes – die poppigen Bilder gelangweilter Affen – gehören zu den begehrtesten Objekten auf dem „Kunstmarkt“ der NFTs. Sie werden zum Teil für Millionenbeträge auf der Blockchain gehandelt.

Nun wurden einige Liebhaber um ihren virtuell zertifizierten Besitz geprellt. Angreifern gelang es, die Discord- und Instagram-Accounts des „Bored Apes Yacht Clubs“ zu hacken und Besuchern einen Link unterzuschieben, über den ihre Crypto-Wallets leergeräumt werden konnten. Der Link lockte mit dem Versprechen, sich Land in einer Metaverse-Instanz sichern zu können, die später in der Woche starten sollte.

Mindestens 24 „Bored Apes“ und 30 „Mutant Apes“ wurden in andere Wallets entführt, doch scheint der Schaden noch höher zu sein als die öffentlich berichteten 13,7 Millionen US-Dollar.

https://watcher.guru/news/bayc-instagram-and-discord-hacked-over-13-million-in-nfts-stolen

Nicht immer braucht es einen zigseitigen Standard, um sinnvolle Security-Maßnahmen zu finden.

„Welche Top 10 Aktivitäten würdest Du einem KMU raten, um sich 2022 gegen Ransomware zu schützen?“ Diese Frage löste auf Twitter eine rege und produktive Diskussion aus. Ein Beispiel in 280 Zeichen (auf Englisch):
1) MFA
2) Getestete Offline-Backups
3) Kein RDP im Internet
4) EDR (Antivirus), wenn möglich gemanagt
5) Kein Passwort-Reuse
6) Admins arbeiten nicht mit ihren Admin-Accounts
7) Finanzprozesse mit Schutz gegen CEO-Fraud
8) Server & OT isolieren
9) Security-Patches automatisch einspielen
10) Robuste Zugriffs-Management-Prozesse

https://twitter.com/jotunvillur/status/1516973840924037120

Bitflipper

Auch Halbleiter können sich irren und eine 1 mit einer 0 verwechseln. Zwar passiert ein solcher Bit Flip nicht besonders häufig, aber gerade die Strahlung in den kosmischen Weiten kann die Chance hierfür erhöhen. Weltraum-IT wird daher besonders robust ausgelegt. Trotzdem gibt es hin und wieder Effekte, die uns an Aliens glauben lassen können.

https://astroengineer.wordpress.com/2010/05/12/voyager-2-has-flipped-its-bit/

Fitbitter

Welche Produkte wichtiger werden, kann man auch immer an der Ökonomie ablesen. Steigt die Relevanz einer Plattform, steigt auch der Preis für 0days auf dieser. Und steigt die Verbreitung eines Produkttyps, werden die Bug-Bounties erhöht. Aktuell geht es etwa für Smart-Watches und IoT bergauf.

https://www.zdnet.com/article/google-increases-its-bug-bounty-for-fitbit-and-nest-security-flaws/

Twitterkitter oder Twitterkiller?

Das meistdebattierte Thema im Netz ist dieser Tage die Übernahme von Twitter durch Elon Musk. Aus Security-Sicht etwa wird debattiert, ob das durch ihn angekündigte Open Sourcing von Twitters Code der Sicherheit nutzt oder ihr einen Bärendienst erweist, wenn verschiedenste Akteure versuchen werden, die Algorithmen zu „gamen“.

https://techcrunch.com/2022/04/26/elon-musk-twitter-privacy/

Neue Technologien bringen neue Angriffsvektoren mit sich, die nicht immer offensichtlich sind. Gerade im Cloud-Umfeld wird eine Vielzahl von Funktionen innerhalb kurzer Zeit eingeführt. Dabei droht gerade hier großer Schaden, wenn ein Zugriff auf andere Mandanten möglich ist.

AutoWarp ist eine solche Schwachstelle, mittels der auf die Cloud-Daten anderer Kunden von Microsoft Azure hätte zugegriffen werden können. Sicherheitsforscher von Orca Security benötigten nach eigenen Angaben lediglich zwei Stunden, um die Lücke zu entdecken. Der Fehler bestand in der Funktionsweise sogenannter Azure Automation Accounts. Diese sind zur Automatisierung von Cloud-Diensten gedacht, konnten aber auch zum Erschleichen von Rechten missbraucht werden. Microsoft hat das Problem inzwischen behoben.

https://orca.security/resources/blog/autowarp-microsoft-azure-automation-service-vulnerability/

Die in letzter Zeit extrem effizient und öffentlichkeitswirksam agierende Hackergruppe LAPSUS$ hat die IT-Infrastruktur des südkoreanischen Elektronikherstellers Samsung kompromittiert. Dabei wurden 190 GB sicherheitsrelevanter Daten erbeutet, die als Torrent geleakt wurden.

Darin enthalten ist der Quelltext diverser Softwareprodukte, etwa für Trusted Applets (Hardware-Encryption), biometrische Entsperrmechanismen und Bootloader für alle aktuellen Samsung-Geräte. Auch Samsungs Authentifizierungssystem dürfte nun als allgemein bekannt gelten.

https://www.golem.de/news/lapsus-hacker-veroeffentlichen-sicherheitsrelevante-samsung-daten-2203-163669.html

Ein weitverbreitetes NPM-Paket wurde sabotiert, um russische und belarussische Systeme zu manipulieren.

Wohl um gegen die Invasion der Ukraine zu protestieren, haben Entwickler des Pakets Node-ipc den Code so modifiziert, dass bei Systemen mit in Russland oder Belarus zu verortenden IP-Adressen Dateien gelöscht (Wiper) und mit Herz-Emojis überschrieben werden.

Node-ipc ist ein beliebtes Modul für Inter-Prozess-Kommunikation (IPC) im Node.js-Ökosystem. Es wird über 1,1 Millionen Mal pro Woche heruntergeladen. Betroffen waren die Versionen 10.1.1 und 10.1.2.

https://thehackernews.com/2022/03/popular-npm-package-updated-to-wipe.html

Mit der Lücke Log4Shell in der Java-Bibliothek Log4j kam die Angst, dass ein Wurm auftauchen könnte, der sich über Log4Shell eigenständig und großflächig im Internet verbreitet – ähnlich wie 2017 WannaCry, welches die Lücke EternalBlue ausnutzte.

Nun wurde eine Schadsoftware namens „B1txor20“ entdeckt, welche zum Ziel hat, ein Linux-Botnetz aufzubauen. Sie nutzt DNS-Tunneling für die Steuerung (C&C) und zur Datenausleitung – und die Log4j-Schwachstelle zur Verbreitung. Da „B1txor20“ noch fehlerbehaftet ist und nur Linux infizieren kann, dürfte hier noch nicht die große Pandemie drohen. Der Fund sollte uns jedoch als Erinnerung dienen, dass die Gefahr eines nächsten großen Wurms alles andere als gebannt ist.

https://thehackernews.com/2022/03/new-b1txor20-linux-botnet-uses-dns.html