Autor: Dr. Jörg Schneider

Zu den Wahlen in den USA gab es in den letzten Wochen viele Nachrichten, aber Eine erstaunte Sicherheitsexperten weltweit: Im Bundesstaat Colorado wurde eine Liste mit Details zu den eingesetzten Wahlmaschinen veröffentlicht. Die Liste war jedoch nicht einfach eine Liste, sondern ein Excel-Dokument, das vermutlich initial für den internen Gebrauch gedacht war. Jedenfalls enthielt die Tabelle eine ausgeblendete Seite mit den Administrations-Passwörtern für den Großteil der Geräte. Das Passwort konnte man nur mit direktem Zugang zum Gerät nutzen, und es wurde vermutlich auch noch ein zweites Passwort für die Anmeldung gebraucht. Dennoch wurden nach dem Bekanntwerden die Passwörter aller Geräte geändert.

Welche Lektion kann man aus der Geschichte ziehen? Es fängt mit der Veröffentlichung der Tabelle an, die offensichtlich nicht ausreichend auf versteckte Informationen geprüft wurde. Wissen in Ihrer Organisation alle, worauf sie bei einer solchen Prüfung achten sollten?
Weiterhin sollten die Passwörter auch für den internen Gebrauch nicht in einer Excel-Tabelle gesammelt werden. Hier bieten sich Passwortmanager an. In diesem Fall vermutlich nur solche, die auch mehreren Personen den Zugriff auf die Passwörter gewähren und eine gewisse Verfügbarkeit garantieren, damit am Wahltag die berechtigten Personen auch die Geräte in Betrieb nehmen können.
Kennen in Ihrer Organisation auch die Personen außerhalb der IT die Möglichkeiten und Grenzen von Passwortmanagern? In unseren Tests finden wir auch heute noch regelmäßig Listen mit Zugangsdaten, über die meist nicht-technische Teams ihre Online-Zugänge verwalten.

https://www.coloradosos.gov/pubs/newsRoom/pressReleases/2024/PR20241101Passwords.html

https://www.sos.state.co.us/pubs/elections/FAQs/passwords.html

In der Öffentlichkeit kann man allzu oft Handygespräche mithören. In der Regel hört man aber nur die eine Hälfte des Gesprächs und muss sich den Rest zusammenreimen. Forscher der Pennsylvania State University haben jetzt gezeigt wie sich auch dieser Teil des Gesprächs mit Standardhardware rekonstruieren lässt. Sie nutzten dafür Radar-Sensoren, wie sie inzwischen in vielen Anwendungsszenarien vom Auto bis zur automatischen Türöffnung zum Einsatz kommen.

Beim Telefonieren wird zwar ein eigener Lautsprecher genutzt, der gezielt das Ohr beschallen soll, aber Smartphones sind sehr kompakt gebaut. Daher breiten sich kaum spürbare Vibrationen von diesem Lautsprecher auf das Gehäuse und vor allem auf die große flache Rückseite aus. Die genutzten Radarsensoren arbeiteten mit 60 bzw. 77 GHz und konnten daher auch diese Bewegungen sehr fein aufzeichnen. Am besten gelang es im Laboraufbau mit einem fest eingespannten Telefon. Hier konnte man nach diversen Nachbearbeitungsschritten das gesprochene Wort heraushören. Es wurden aber auch Versuche mit Probanden gemacht, die einen Meter vom Sensor entfernt saßen und das Telefon in der Hand hielten. Auch hier ließen sich Teile rekonstruieren. Lediglich Personen, die sich beim Telefonieren bewegen, lassen sich aktuell mit der Technik nicht abhören. Wer beim Telefonieren in der Öffentlichkeit also sicher sein will, sollte dabei immer in Bewegung bleiben.

Pressemitteilung der Uni: https://www.psu.edu/news/engineering/story/sensors-can-tap-mobile-vibrations-eavesdrop-remotely-researchers-find

Wissenschaftlicher Artikel: https://www.computer.org/csdl/proceedings-article/sp/2022/131600a995/1FlQPzg7p60

Vielleicht haben Sie auch die Schlagzeile gesehen, dass Smart-TVs angeblich dabei erwischt wurden, wie sie Screenshots der angezeigten Bilder an die Hersteller schicken und das selbst dann, wenn die Inhalte per HDMI-Kabel zum Fernseher gelangen.

Müssen wir jetzt in den Besprechungsräumen die Fernseher, die dort als Leinwand-Ersatz eingezogen sind, wieder verbannen? Dafür muss man bis zum ursprünglichen wissenschaftlichen Artikel zurückgehen, der im November auf der ACM IMC’24 Konferenz in Spanien vorgestellt wird. Die Forscher haben sich die Funktionsweise der Automatic Content Recognition (ACR) in Fernsehern von LG und Samsung angeschaut. Sie haben die Geräte in verschiedenen Regionen mit unterschiedlichen Einstellungen und auch mit unterschiedlichen Inhaltsquellen in Betrieb genommen und dann den Netzwerkverkehr analysiert. Das im Netzwerk beobachtbare Verhalten war tatsächlich von all diesen Faktoren abhängig, und die Inhaltserkennung hat vermutlich auch versucht, per HDMI-Kabel zugespielte Inhalte zu erkennen. Da die Verbindungen verschlüsselt sind, konnten die Forscher nicht sagen, was genau übertragen wurde. Aber auch sie gehen nicht davon aus, dass es vollständige Screenshots des Bildinhalts waren, sondern Fingerprints, mit denen Unterhaltungsmedien wiedererkannt werden könnten. Außerdem wurden die Übertragungen bei den Geräten von beiden Herstellern gestoppt, sobald man die Inhaltserkennung im Menü des Fernsehers deaktiviert hat.

Noch leichter lässt sich das Risiko vermeiden, wenn die Smart-TV-Funktionen im Besprechungsraum nicht gebraucht werden: Dann kann man den Fernseher einfach ohne Netzwerkzugang betreiben – und er kann auch keine Geheimnisse verraten.

https://arxiv.org/pdf/2409.06203

Der Cloud-Anbieter Okta hilft bei der Verwaltung von Zugängen zu Anwendungen und bietet eine Single-Sign-On-Lösung über Produktgrenzen hinweg an. Ende September meldete der Anbieter, eine „Sign-On Policy Bypass“-Lücke gefunden und behoben zu haben. Standen jetzt alle von Okta verwalteten Türen offen?

Für die genaue Bewertung muss man sich noch einmal den Unterschied zwischen Authentisieren und Autorisieren in Erinnerung rufen. Oktas Lösung kann beide Schritte übernehmen: Sicherstellen, dass der zugreifende User wirklich der ist, für den er sich ausgibt, und dann im nächsten Schritt entscheiden, ob dieser User den angefragten Dienst auch nutzen darf. Bei der vorliegenden Lücke konnte der zweite Schritt umgangen werden – es konnten also unter sehr bestimmten Voraussetzungen Nutzer in der Organisation auf Dienste und Inhalte zugreifen, für die sie nicht berechtigt waren. Das ist auch nicht gut, aber das Risiko war doch kleiner, als wenn jeder aus dem Internet Zugriff gehabt hätte.

https://trust.okta.com/security-advisories/okta-classic-application-sign-on-policy-bypass-2024/

Die meisten unserer „Seitenkanäle des Monats“ bezogen sich auf Forschungsarbeiten. Dort wurde zwar in praktischen Versuchen gezeigt, dass sie tatsächlich funktionieren, aber es blieb meistens unklar, ob es auch reale Vorfälle gab. Diesen Monat haben möchten wir einen realen Fall aus einem Bericht der Incident-Response-Kollegen von ESET vorstellen, in dem Daten von air-gapped Systemen abgeflossen sind.

Genutzt wurden dafür USB-Sticks. Das klingt nicht ganz so spektakulär wie Töne von flackernden Bildschirmen oder Drohnen mit halbdurchlässigen Spiegeln, aber es hat offenbar funktioniert.

Die Angreifer haben in der Organisation initial Rechner mit Internetzugang unter ihre Kontrolle gebracht. Wenn in diese dann ein USB-Stick eingesteckt wurde, haben sie den ersten Ordner darauf umbenannt, versteckt und dafür eine EXE-Datei mit dem Namen des Ordners und einem passenden Icon abgelegt. Sie ahnen schon, wie es weiterging: Wurde der USB-Stick dann später in einen anderen Rechner, z. B. ein vom Netz isoliertes System gesteckt, und der Nutzer wollte den Ordner öffnen, startete er stattdessen die Malware. Auch der Informationsaustausch zwischen dem kompromittierten System und dem Command-&-Control-Server lief dann über versteckte Dateien auf dem USB-Stick und das System mit Internetzugang.

Liest man den Artikel, kommen einem viele der Angriffsschritte bekannt vor. Es ist vor allem die Orchestrierung der vielen kleinen Schritte, die in Summe den Angriff so erfolgreich machte. Werfen Sie doch mal selbst einen Blick in den Beitrag und überlegen dabei, welche Ihrer Gegenmaßnahmen den Angriff entdeckt hätte.

https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails/

Die Kollegen von watchTowr Labs haben in einem amüsant zu lesenden Artikel ihre Erfahrungen aufgeschrieben, wie sie versuchten, eine quasi nicht ausnutzbare Lücke auszunutzen, und dann über mehrere Schritte am Ende gültige TLS-Zertifikate für fremde Domains signiert bekamen. Die dabei ausgenutzten Lücken klingen im Einzelnen nicht sonderlich spektakulär. Beispielsweise ist da eine Command-Line-Injection, die aber auf WHOIS-Daten beruht – die wiederum nur schwer zu manipulieren sind. Oder ein früher genutzter Domainname eines Domainverwalters, der inzwischen für jeden zu registrieren war. Insgesamt ist es aber eine sehr plastische Beschreibung der verschlungenen Wege, die eine erfolgreiche Ausnutzung nehmen kann.

• https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/

Kann man Bilder hören? Der Forscher Mordechai Guri kann es – und zeigte, wie er durch die Ausgabe von geschickt gewählten Pixelmustern gezielt Töne mit einem Display erzeugte. Im Test konnte er die Töne in bis zu 2,5m Entfernung aufzeichnen. Dafür nutzte er die leisen Töne aus, die die elektronischen Komponenten innerhalb des Displays beim Schalten von sich geben – und verstärkte sie durch geschicktes gleichzeitiges Umschalten vieler Pixel. Nutzen könnte man den Angriff etwa, um Daten aus einem vorher kompromittierten System auszuleiten, das nach der Kompromittierung nur noch ohne Netz-Zugang verwendet wird („air gapped“). Die im Test genutzten Pixelmuster sind jedoch sehr auffällig – der Angreifer müsste also einen unbeobachteten Moment ausnutzen oder den Angriff durch subtilere Muster verfeinern.

• https://www.golem.de/news/air-gapped-systeme-malware-nutzt-lcd-pixelmuster-fuer-datenausleitung-per-schall-2409-188883.html

Die Datenrettungsfirma Iron Mountain unterstützt die Musikindustrie dabei, Rohfassungen von Musikaufnahmen zu retten. Interessanterweise gab es in der Branche Anfang dieses Jahrhunderts den Trend weg von Bandaufnahmen hin zu digital auf Festplatten gespeicherten Aufnahmen. Viele Originalfassungen wurden also auf Festplatten archiviert – und jetzt funktioniert jede fünfte davon nicht mehr, so die Beobachtung von Iron Mountain. In der IT werden Festplatten eigentlich nicht als Langzeitarchiv genutzt, aber die günstigen Preise können verführerisch wirken, eine Platte einfach in den Schrank zu legen – etwa die mit der letzten funktionieren Installation einer historischen Workstation, die schon seit 10 Jahren abgelöst werden soll?  

• https://www.tomshardware.com/pc-components/storage/twenty-percent-of-hard-drives-used-for-long-term-music-storage-in-the-90s-have-failed