Autor: Dr. Jörg Schneider

Senior Expert
HiSolutions Research
News

Seitenkanal des Monats: Die Finger des VR-Nutzers

Beim Seitenkanal des Monats darf die KI natürlich nicht fehlen. Diesmal betrachten wir Nutzer, die sich mit VR-Brillen auf dem Kopf in virtuellen Meetingräumen treffen. In Meetings wird häufig auch Zugriff auf den Computer gebraucht, allein um Notizen machen zu können. Das ist aber kein Problem, da man sich in bestehenden VR-Welten bereits den Bildschirm oder die einzelne Anwendung als schwebendes Fenster einblenden kann. Auch kann man für seine Notizen eine physische Tastatur nutzen – entweder wird die Realität per Augmented Reality eingeblendet oder man nutzt sein Wissen aus dem Schreibmaschinenkurs zum Blindschreiben.

Falls Sie nach all den Annahmen noch dabei sind, haben wir jetzt eigentlich ein schönes Set-up mit dem wir ungestört im VR-Meeting Notizen machen können, ohne dass der Gesprächspartner sieht, was wir tippen.

Ein Team der University of Chicago hat jedoch gezeigt, dass die von der VR-Brille aufgezeichneten und als Teil des Avatars dargestellten Hände ausreichend genau sind, um die gedrückten Tasten zu rekonstruieren. Ein anderer Teilnehmender im virtuellen Raum könnte also Notizen oder gar eingetippte Passwörter rekonstruieren.

https://arxiv.org/abs/2310.16191

• Frohe neue 100.000.000!
Netzwerk

Frohe neue 100.000.000!

Haben Sie am Dienstagabend auch die Sekunden runtergezählt, um auf die runden 1.700.000.000 anzustoßen? In einigen Hackerspaces wurde dieser besondere Unix-Zeitstempel wie bei einer Neujahrsfeier begrüßt. Für die Darstellung von Daten und Uhrzeiten als Binärzahl gibt es viele Konventionen. Sehr weit verbreitet ist der für das Unix-Betriebssystem entwickelte Ansatz, einen Zeitpunkt über die Anzahl von Sekunden seit dem 01.01.1970 darzustellen. Diese Sekundenzahl überschritt am Dienstagabend die nächste 100-Millionen-Marke. Falls Sie das Ereignis verpasst haben: Merken Sie sich schon einmal den 15.01.2027 vor – da sind die nächsten 100 Millionen Sekunden vorbei.

Bei der Darstellung von Daten kommt unweigerlich die Erinnerung an das Jahr-2000-Problem auf. Tatsächlich wird bei den Unix-Zeitstempeln im Jahr 2038 Ähnliches passieren. Wie beim Jahr-2000-Problem hängt dies aber von einigen Details ab: Waren damals nur Anwendungen und Systeme betroffen, die Jahreszahlen als zweistellige Dezimalzahl gespeichert haben, sind es jetzt Zeitstempel, die als 32-Bit-Zahl mit Vorzeichen gespeichert sind. Das ist die Mindestgröße, die der Standard vorschreibt, und traditionell wurden die Zeitstempel in einem Speicherformat entsprechend der Länge eines „Word“ beim verwendeten Prozessor gespeichert – also 32 Bit auf 32-Bit-CPUs und 64 Bit auf 64-Bit-CPUs. Damit sind moderne Client- und Serversysteme nicht mehr betroffen. In vielen eingebetteten Systemen werden jedoch weiterhin viele 32-Bit-CPUs eingesetzt. Diverse Betriebssysteme und Anwendungen mit Unix-Zeitstempel haben bereits reagiert und nutzen auch auf diesen Systemen die längeren Speicherformate. Schwierig ist die Umstellung bei Binärdateiformaten und Netzwerkprotokollen, die nur 32 Bit Platz für die Zeitstempel vorsehen. Ob die Darstellung überall angepasst wurde, zeigt der 19.01.2038 – an diesem Datum wird der größtmögliche 32-Bit-Zeitstempel überschritten.

Die nächsten runden Termine zum Vormerken: https://de.wikipedia.org/wiki/Unixzeit#Besondere_Werte

Die Jahre 2000 und 2038 sind nicht die einzigen interessanten Zeitpunkte:
https://en.wikipedia.org/wiki/Time_formatting_and_storage_bugs

HiSolutions Research
News

BSI-Lagebericht 2023

Das BSI hat seinen jährlichen Lagebericht veröffentlicht. Spoiler: Er enthält keine Überraschungen für alle, die das Thema Informationssicherheit regelmäßig verfolgen. Aber mit knapp unter 100 Seiten ist er eine schöne, kompakte Zusammenfassung der aktuellen Lage. Konkret werden die wichtigsten Bedrohungen vorgestellt – hier ist wieder Ransomware die Nummer 1 –, die Gefährdungslagen für Wirtschaft, Gesellschaft und den Staat diskutiert und abschließend ein Blick auf Trends geworfen.

Neu ist der große Raum, den KI insbesondere in Form von großen KI-Sprachmodellen (LLM), einnimmt. Sie werden nicht nur beim Blick in die Zukunft im Abschnitt Trends besprochen, sondern auch in der konkreten aktuellen Bedrohungslage – schließlich ist KI längst bei Nutzern wie Angreifern auf vielfältige Weise im Einsatz. Die wichtigsten Punkte zur Absicherung von großen KI-Sprachmodellen hatten wir schon im Sommer in unserem Blog diskutiert.

BSI-Lagebericht 2023:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.html

HiSolutions Research Blog zu großen KI-Sprachmodellen:
https://research.hisolutions.com/2023/08/llms-sind-auch-nur-schuetzenswerte-informationen/

HiSolutions Research
News

Schwachstelle in Confluence

In der Wiki-Software Confluence ist vor kurzem eine Lücke in der Wiederherstellungsfunktion bekannt geworden. Angreifer können diese auch ohne Zugangsdaten nutzen, um eigene Administrator-Accounts anzulegen. Mit diesen lassen sich dann weitere Manipulationen durchführen – zum Beispiel Plug-ins installieren, die wiederum einen weiterreichenden Zugriff auf das Betriebssystem des Servers ermöglichen. Die Lücke wird bereits bei selbstgehosteten Confluence-Servern, die im Internet erreichbar sind, ausgenutzt, und wir unterstützen bereits mehrere Betroffene bei der Bewältigung des Vorfalls.

https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html

HiSolutions Research
News

DORA kann kommen

Mit dem Digital Operational Resilience Act (DORA) werden die Sicherheitsvorgaben für Finanzinstitute in Europa vereinheitlicht und geschärft. Ab Januar 2025 ist die EU-Verordnung anzuwenden, es bleibt also nur noch etwas mehr als ein Jahr Zeit. Daher hat die BaFin jetzt eine eigene Informationsseite zum Thema erstellt, auf der sie aktuell über die Entwicklungen berichtet und mit einer FAQ auch praktische Fragen beantworten will.

www.bafin.de/dora

HiSolutions Research
News

Seitenkanal des Monats: Apples Wo-Ist-Netzwerk

Während viele spektakuläre Seitenkanal-Angriffe in der Praxis eher selten ausgenutzt werden, hat Fabian Bräunlein zusammen mit der c’t-Redaktion im letzten Monat eine sehr realistische Demonstration präsentiert. Dabei nutzten sie Apples Wo-Ist-Netzwerk – hinter diesem etwas sperrigen Namen verbirgt sich die Magie, über die Apple-Geräte beispielsweise fremde AirTags orten und die Standortinformation an den Besitzer weitergeben.

Für die Demonstration wurde ein AirTag-Nachbau zusammen mit einem Keylogger in eine Tastatur eingebaut. Hardware-Keylogger haben immer das Problem, dass der Angreifer später irgendwie an die mitgeschnittenen Eingaben kommen muss, etwa indem das Gerät wieder entfernt und ausgelesen wird. Selbst wenn der Keylogger seine Daten per Funk weiterreicht, muss der Angreifer diese Informationen physisch in der Nähe empfangen. Genau dafür wird jetzt das Wo-Ist-Netzwerk ausgenutzt. Der vermeintliche AirTag sendet seine Kennung inkl. der codierten mitgeschnittenen Tasteneingaben aus. Sobald ein iPhone in der Nähe ist, leitet dieses die Daten an den vorgeblichen Besitzer des AirTags weiter. Da die Daten ggf. zwischengespeichert und später verschickt werden, gelingt das auch in Bereichen, wo kein Mobilfunk- oder WLAN-Empfang ist.

Video inklusive Transkript: https://www.heise.de/news/Wir-haben-Apples-Wo-Ist-Netzwerk-gehackt-Keylogger-selbstgebaut-9353128.html

Artikel in der c’t 25/2023: https://www.heise.de/select/ct/2023/25/2328511244570117163

Cyberwar, Schwachstelle

Was haben drei Töne mit Informationssicherheit zu tun?

Als am späten Abend des 25. August bei mehreren Zügen der polnischen Bahn PKP plötzlich eine Notbremsung ausgelöst wurde, dachten einige gleich an einen komplexen Cybervorfall. Mehr als 20 Züge wurden zum Halten gebracht, und weitere wurden anschließend aus Sicherheitsgründen gar nicht erst auf die Strecken gelassen.

Die Angreifer mussten sich nicht aufwendig über mehrere Netzgrenzen hinweg bis in die Steuerungstechnik des Bahnnetzes hacken. Der Angriff erfolgte per Funksignal. Eine Folge von drei Tönen auf einer bestimmten Frequenz reichte aus, um die Züge zu stoppen. Dahinter steckt die Sicherheitsmaßnahme (Sicherheit im Sinne von Safety) RADIOSTOP des PKP-Funksystems. Diese Funktion kann an jedem Funkgerät im Zug oder an der Strecke ausgelöst werden und sorgt dafür, dass im Gefahrenfall alle Züge im Empfangsbereich so schnell wie möglich zum Stehen kommen. Bei einem Unfall geht eine sehr große Gefahr von anderen, insbesondere entgegenkommenden Zügen aus – und diese an sichsehr hilfreiche Funktion ermöglicht es, schnell reagieren zu können.

Die Tonfolge ist wohlbekannt und steht sogar in EU-Dokumenten, und die notwendige Funktechnik ist leicht selbst zu bauen. Bei einer Analyse auf der Webseite des Technik-Magazins Wired sprach sich der Sicherheitsforscher Lukasz Olejnik daher dagegen aus, den Vorfall als Cybervorfall zu bewerten. Aber muss ein Cybervorfall sich immer um kompromittierte Computer drehen? Mit den vermutlich selbst zusammengelöteten Funkgeräten, konnten doch auch Schutzziele der Bahn verletzt werden.

Aber andersrum gefragt: Hätten Sie den analogen Zugfunk in Ihre Betrachtungen zur Informationssicherheit einbezogen? Gibt es auch in Ihrem Haus Sicherheitslösungen, die im Gefahrenfall beispielsweise Türen öffnen oder den Serverraum trotz Netzersatzanlage vom Strom trennen?

Wie das polnische Beispiel ausgeht, ist noch offen. Obwohl erste Verdächtige verhaftet und passendes Equipment gefunden wurde, gab es einige Tage lang auch in anderen Landesteilen weitere Vorfälle.

HiSolutions Research
News

Vorfallupdates – Microsoft und LastPass

Zu zwei Vorfällen, die wir bereits in unserem Digest behandelt haben, gab es in den letzten Tagen Neuigkeiten, die ich gern aufgreifen möchte.

Zuerst zu Microsofts Problem mit unberechtigten Anmeldungen in der Cloud, ein Thema aus dem letzten Digest. Eine zentrale Rolle spielte dabei ein privater Schlüssel, den die Angreifer erbeutet hatten, und mit dem sie sich dann beliebige Zugangstoken selbst unterschreiben konnten. Zu diesem Fall gibt es inzwischen von Microsoft eine detaillierte Beschreibung, wie der Schlüssel über mehrere Stufen aus dem produktiven Server auf eine Testumgebung gelangen konnte. Es wird vermutet, dass er dort von den Angreifern entwendet wurde.

Zusammengefasst wurde zur Rekonstruktion eines Fehlers ein Crashdump des produktiven Servers in die Testumgebung zur Analyse kopiert. Dabei hätte der Crashdump keine Schlüssel enthalten dürfen und falls doch, hätte es an mehreren Stellen in dem Kopierprozess auffallen müssen – keiner der Filter hat jedoch angeschlagen. Das ist aus meiner Sicht eine der Lektionen aus dem Vorfall: Vertraue keinem automatischen Bereinigungsprozess – gerade bei komplexen, unstrukturierten Daten wie Crashdumps –, sondern behandle diese Daten so sensibel wie die ursprünglichen.

Die andere Lektion ist, dass sich die Spur ab der Testumgebung verliert. Es waren keine Protokolldaten mehr da, um die Spur weiter zu verfolgen. Es bleibt also eine bloße Vermutung, dass die Schlüssel über diesen Weg zu den Angreifern gelangten. Gerade bei weiter zurückliegenden Vorfällen stehen auch unsere Forensiker immer wieder vor dem Problem, dass Protokolldaten fehlen. Entweder sie wurden gar nicht erst aufgezeichnet oder aber automatisch gelöscht bzw. überschrieben.

Das zweite Info-Update betrifft den Vorfall beim Passwortmanager LastPass im letzten Jahr, den wir in unserem Januar-Digest thematisierten. Jetzt gibt es einen Verdacht, was mit den gestohlenen Passwörtern passiert sein könnte. Es wird vermutet, dass die Angreifer in den LastPass-Daten Seeds Phrases – also Zugangsdaten für Konten von Krypto-Währungen – gefunden und damit unberechtigte Abbuchungen vorgenommen haben. Taylor Monahan vom Krypto-Wallet-Hersteller MetaMask hatte angesichts einer Reihe von Diebstählen von Krypto-Werten Verdacht geschöpft und die LastPass-Nutzung als gemeinsamen Nenner identifiziert. Sicherheitsexperte Brian Krebs ist in seinem Blog dieser Vermutung nachgegangen und hat noch ein paar weitere Indizien ergänzt.

HiSolutions Research
News

Trojanisierte Messenger-Apps aus dem Appstore

Moderne Messenger nutzen immer häufiger Ende-zu-Ende-Verschlüsselung, um ein Mitlesen der Nachrichten beim Transport im Netz auszuschließen. Einfacher gelingt das Spionieren, wenn man Zugriff auf eines der beiden Telefone hat, in denen die Nachrichten eingetippt und lesbar angezeigt werden. Noch einfacher wird es, wenn man nicht das ganze Telefon kompromittiert und anschließend die Daten mühsam aus den Apps extrahieren muss, sondern direkt in der Messenger-App mitlesen kann.

In einem Bericht von ESET-Forschern werden zwei trojanisierte Messenger-Apps analysiert. Die mutmaßlich staatlichen Hersteller haben dazu einfach die verfügbaren Quellcodes des Telegram- und des Signal-Clients genommen. Die Apps wurden um die Spionagefunktionen ergänzt, umbenannt und als Messenger-Client mit zusätzlichen Features in den App-Stores angeboten. Die besondere Telegram-App hatte als beworbenes Zusatzfeature zum Beispiel eine Back-up-Funktion, die jedoch nicht nur für die Nutzer praktisch war. Da das Back-up bei den Spionen landete, standen ihnen damit gleich alle Daten gebündelt zur freien Verfügung.

Die Apps wurden aktiv beworben und waren über verschiedene App-Stores verfügbar. Die Nutzer haben sie dann selbst installiert und damit den Zugriff auf alle ihre Nachrichten ermöglicht.

HiSolutions Research
News

Seitenkanal des Monats: Mit dem Beschleunigungssensor mithören

Seitenkanalangriffe machen immer wieder Schlagzeilen, und auch im Digest haben wir in fast jeder Ausgabe ein spannendes neues Beispiel dafür. Diesmal haben sich Forscher der Texas A&M University den Beschleunigungssensor von modernen Smartphones angeschaut. Während eine App, die Zugang zum Mikrofon anfordert, direkt verdächtig ist, erscheint der Zugriff auf den Beschleunigungssensor harmloser – niemand wird dabei an abgehörte Gespräche denken. Der Doktorand Ahmed Tanvir Mahdad konnte aber zeigen, wie er mit dem Beschleunigungssensor wiederkehrende Anrufer und das Geschlecht des Anrufers recht sicher erkennen konnte. In Telefonaten gesprochene Ziffern konnte er zumindest mit 56 % Genauigkeit rekonstruieren, auch das ist schon recht erschreckend.