Autor: Abraham Söyler

In der letzten Veröffentlichung 800-63-4 hat das NIST die Richtlinien zum Umgang mit Digitalen Identitäten überarbeitet, unter anderem zum Thema Passwörter. Insbesondere die Maßgabe der periodischen Passwortänderung wurde von einem “SHOULD NOT” zu “SHALL NOT” geändert. Wenngleich also vorher eine regelmäßige Passwortänderung nicht empfohlen aber erlaubt war, ist dies zukünftig nicht mehr mit dem Standard konform. Auch die Nutzung der immer noch weit verbreiteten Sicherheitsfragen (knowledge based authentication – KBA) ist nun nicht mehr erlaubt.

Auch die bekannten Komplexitätsklassen werden infrage gestellt. Die explizite Anforderung von Sonderzeichen und Ziffern in Passwörtern erhöht zwar die Entropie der Zeichenfolge, tut dies aber auf eine vorhersehbare Art. Aus einem „passwort“ wird dann gerne ein „Passwort!“, was zwar auf dem Papier „sicherer“, für Angreifende aber leicht zu knacken ist. Es ist immer wichtig zu bedenken, wie Menschen auf technische und organisatorische Änderungen reagieren und die daraus resultierenden Folgen im Blick zu behalten.

Übrigens: Das BSI hat seine Empfehlung zur Änderung der Passwörter in regelmäßigen Zeitabständen im Grundschutz aus dem Baustein ORP.4 bereits in der Edition 2020 entfernt.

https://pages.nist.gov/800-63-4/

https://arstechnica.com/security/2024/09/nist-proposes-barring-some-of-the-most-nonsensical-password-rules/

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2022/02_ORP_Organisation_und_Personal/ORP_4_Identitaets_und_Berechtigungsmanagement_Editon_2022.html

https://dl.acm.org/doi/10.1145/1866307.1866327

Schlagzeilen machten deutsche Ermittler wegen einer Plattform mit Child Sexual Abuse Material (CSAM) im TOR-Netzwerk. Nach offenbar jahrelangem Observieren von Entry-Knoten und einer Verfügung beim ISP konnte eine Schlüsselfigur festgenommen und verurteilt werden. Die genauen Details der Ermittlungen sind nicht öffentlich bekannt, weshalb über den Verlauf auch im TOR-Projekt diskutiert wird. Relevant war wohl der Einsatz eines Messenger-Dienstes, der die neuen Vanguards nicht einsetzte, sowie die „letzte Meile“ zum Entry-Knoten, die nach einer Abfrage der Ermittler beim ISP aufgedeckt wurde.

Aufgrund des hohen Aufwandes bei der Durchführung ist nicht von einer allgemeinen Kompromittierung des gesamten Netzwerkes auszugehen. Der Vorfall erinnert aber an bekannte Probleme aus der Vergangenheit, bei denen nicht das Protokoll selbst, sondern eine Anwendung darum herum gebrochen wurde (z. B. durch den Flash Player).

https://www.dw.com/de/qa-ist-das-tor-netzwerk-noch-sicher/a-70320968

https://blog.torprojekt.org/tor-is-still-safe/

https://blog.torprojekt.org/announcing-vanguards-add-onion-services/

https://torproject.github.io/manual/plugins/

Heartbleed, Hafnium, xz und viele Weitere: Alle paar Monde bescheren uns Malware-Schmieden neue Exploits und Werkzeuge, die uns das Leben schwerer machen in unterschiedlichen Variationen und Größen. Sicherheitsforscher von Aqua Security fanden eine auffällige Linux-Malware namens perfctl, die wohl diverse Lücken ausnutzt, um weitreichend Systeme zu kompromittieren.

Spannend sind die vielseitig genutzten TTPs (Tactics, Techniques, Procedures), die in der Laborumgebung beobachtet wurden. Die konkrete Sicherheitslücke ist allerdings bereits seit einem Jahr behoben; ein weitreichender Fallout blieb bisher aus.

https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/