Autor: Abraham Söyler

Allgemein, Forensics

Wie funktioniert eigentlich Malware auf Handys?

Dass einige Staaten unliebsame Journalisten und Oppositionelle über Mobilgeräte überwachen, ist mittlerweile keine große Neuigkeit mehr. Oftmals wird die israelische Firma Cellebrite in dem Kontext genannt. Wie genau dieser Prozess abläuft, wird von Amnestys SecurityLab [1] am Beispiel NoviSpy beschrieben. Neben den technischen Details, die natürlich für die IT-Security Community spannend sind, ist insbesondere die Art der initialen Kompromittierung fundamental für die Entwicklung des eigenen Threat Models.

Werden Mobilgeräte (oder überhaupt technische Geräte) durch einen Dritten in einen anderen Raum geschafft, beispielsweise bei einer Grenzkontrolle, so kann man davon ausgehen, dass diese Geräte möglicherweise kompromittiert sind. Erst nach ausreichender Untersuchung sollten solche Geräte wiederverwendet werden. Warum diese Untersuchungen nicht durch Hersteller wie Apple angeboten werden, kann man auf techcrunch [2] nachlesen.

Bei IT-Sicherheit wird oft als Erstes an Windows-Clients, Firewalls und Ransomware gedacht. Aber unsere kleinen Taschencomputer haben einen oft unterschätzten Anteil an unserem täglichen Leben, sei es privat oder bei der Arbeit. Auch dort sollte das Thema Sicherheit bedacht werden.

[1] https://securitylab.amnesty.org/latest/2024/12/serbia-a-digital-prison-spyware-and-cellebrite-used-on-journalists-and-activists/

[2] https://techcrunch.com/2024/12/20/why-apple-sends-spyware-victims-to-this-nonprofit-security-l

News

NSO vs. Whatsapp

Ein anderer großer Player im mobilen Spyware-Markt ist NSO Group Technologies mit ihrer Software Pegasus. Nachdem die Firma 2019 von WhatsApp bzw. Meta verklagt wurde, gab das Gericht nun der Klage statt [1]. Auch wenn die Schadenssumme noch ausgehandelt wird, wird dies in der Branche als ein großer Schlag gegen Firmen wie NSO gedeutet. Einerseits stellte NSO ihre Malware unzureichend zur Verfügung. Andererseits wurde NSO auf Basis des Computer Fraud and Abuse Act (CFAA) und des California Comprehensive Computer Data Access and Fraud Act (CDAFA) verurteilt. Die Übertragbarkeit auf andere Rechtssysteme ist daher nicht zwingend gegeben.

Das Thema ist und bleibt spannend – insbesondere im Kontext der US-Sanktionen gegen die NSO Group [2].

[1] https://storage.courtlistener.com/recap/gov.uscourts.cand.350613/gov.uscourts.cand.350613.494.0.pdf

[2] https://www.commerce.gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other-foreign-companies-entity-list

News

Windows-BitLocker-Probleme

BitLocker ist die Microsoft-Implementierung der Verschlüsselung des gesamten Datenträgers. Es bietet mehrere Betriebsmodi, wobei die Secure-Boot-basierte Verschlüsselung am weitesten verbreitet ist. Diese ist bei neueren Windows-11-Installationen standardmäßig unter „Geräteverschlüsselung“ aktiviert. In diesem Modus ist die Festplatte im Ruhezustand verschlüsselt, wird aber automatisch entschlüsselt, wenn ein legitimes Windows gestartet wird. Der Benutzer muss sich lediglich mit seinem normalen Benutzerkonto anmelden. Die wenig bekannte Schwachstelle Bitpixie (CVE-2023-21563), die Microsoft seit 2022 nicht mehr gepatcht hat, kann ausgenutzt werden, um die BitLocker-Verschlüsselung auf einem brandneuen Windows-11-System mit Secure Boot durch einen Downgrade-Angriff zu umgehen.

https://media.ccc.de/v/38c3-windows-bitlocker-screwed-without-a-screwdriver

Allgemein

Lageberichte und Erkenntnisse aus dem Jahr 2024

Wie jedes Jahr beglücken uns das BSI und ähnliche Organisationen mit ihren Lageberichten und Erkenntnissen. Welche Defekte in diesem Jahr besonders häufig in Software festgestellt wurden, kann man der Top 25 CWE (Common Weakness Enumeration) von MITRE entnehmen.

Ein beunruhigender Trend ist die ungewöhnlich häufige Nutzung von 0-day-Schwachstellen durch Ransomware-Gruppen. So kommt nun zu der mittlerweile hoffentlich bekannten Empfehlung, Patches zeitnah einzuspielen, die Frage hinzu, wie man mit 0-days umgeht. Eine Lösung: Security by Design. Auch wenn es sich dabei meist um sicheres Architekturdesign im Software Engineering handelt, kann und sollte dieses Prinzip beim Thema Netzwerkarchitektur ebenfalls bedacht werden. Im Rahmen einer Risikoanalyse werden für jede Komponente die Gefahr einer Kompromittierung und weiteren Bewegung möglicher Angreifer erörtert und entsprechende Maßnahmen getroffen. Oftmals hört man in diesem Kontext Begriffe wie „Zero Trust“ und „Defense-in-Depth“. Die so erreichte Resilienz schützt auch gegen bisher unbekannte Lücken in vielfältig ausgenutzten Komponenten wie z. B. VPN-Zugängen.

Gerade in Deutschland konnten wir auch erleben, welche Auswirkungen diese Angriffe auf die Supply-Chain und Dienstleister haben. Der Vorfall bei der Südwestfalen-IT ist zwar nicht der erste seiner Art, mit circa 1,7 Millionen Betroffenen aber einer der Größeren. Mit der zunehmenden Digitalisierung wächst auch die Abhängigkeit und damit die mögliche Auswirkung solcher Angriffe. Nicht umsonst möchte der Gesetzgeber mit NIS-2 gegensteuern.

Es bleibt abzuwarten, ob sich diese Trends im Jahr 2025 fortsetzen werden, oder ob uns etwas ganz Neues überraschen wird. Klar ist, dass IT-Sicherheit auch im nächsten Jahr ein wichtiges Thema bleibt.

https://cwe.mitre.org/top25/archive/2024/2024_cwe_top25.html https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2024.pdf?__blob=publicationFile&v=5

News

Kritische Abhängigkeiten in unserem (digitalen) Alltag

Wenn wir von IT-Sicherheit reden, dann meinen wir oft die Welt der Bits und Bytes. Aber auch der Layer 1 – der Physical Layer – ist Teil dieser Welt. So wurden zunächst im November zwei Unterseekabel in der Ostsee beschädigt und Anfang Dezember ein weiteres zwischen Finnland und Schweden. Ursächlich war wohl ein Schaden durch Bauarbeiten, wobei einige Beobachter auch von Sabotage ausgehen. Die Untersuchungen dauern aktuell noch an.

Kritische Abhängigkeiten kennen wir viele, aber einige sind uns auch unbekannt. Mein Kollege Manuel Atug (@HonkHase) skizziert in einem Interview die Vulnerabilität dieser für die Kommunikation kritischen Unterseekabel.
Kennen Sie Ihre Abhängigkeiten und deren Vulnerabilität?

https://www.hs.fi/suomi/art-2000010875402.html

News

iOS 18: Sicherheitsfeatures und Mythen über Mobilgeräte

Apple hat mit iOS 18.1 ein spannendes Sicherheitsfeature hinzugefügt: inactivity reboot. Diese Funktion erzwingt einen Neustart des Geräts, wenn es länger als drei Tage lang nicht benutzt wurde. Jiska hat dazu einen wunderbaren Artikel geschrieben, der auch die technischen Details beleuchtet. Einige Nachrichten behaupteten, dass sich iPhones gegenseitig zu Neustarts veranlassen konnten. Dabei handelte es sich offensichtlich um Falschinformationen. Nichtsdestotrotz sorgt das neue Feature dafür, dass Dritte, die ein inaktives Gerät in die Hände bekommen, für einen Zugriff darauf die Sicherungen vom BFU (before first unlock) state überwinden müssen, was einen erheblichen Schutz gegen physische Angriffe bietet.

Nutzende von GrapheneOS haben das Feature bereits seit 2021.

Die Sicherheitsmaßnahmen auf Mobilgeräten entwickeln sich kontinuierlich weiter und bieten so weiterhin eine hohe Sicherheit, wenn es um technische Geräte geht.

https://naehrdine.blogspot.com/2024/11/reverse-engineering-ios-18-inactivity.html https://grapheneos.social/@GrapheneOS/113450097776800819

News

Technische Geräte und Remote-Zugriffe durch Hersteller

Wenn es um die Sicherheit technischer Geräte geht, dann stehen IoT und Home Devices eher unten auf der Liste. Immer wieder hört man von Geräten, die bereits ab Werk mit Schadsoftware ausgestattet sind. In Südkorea wurden sechs Personen verhaftet, die Satellitenreceiver hergestellt und mit DDoS-Funktionalität ausgestattet hatten. Teilweise wurde diese bereits bei der Herstellung eingebaut, bei wesentlich mehr Geräten jedoch im Nachhinein per Firmwareupgrade hinzugefügt.

Ein anderer Fernzugriff geschah mit Solar-Anlagen der Marke „Deye“ in den USA. Dort wurden, anscheinend aufgrund eines Lizenzproblems, alle Inverter dieser Art deaktiviert. Diese Geräte werden ausschließlich vom Unternehmen Sol-Ark in den USA vertrieben. Mit der Deaktivierung sollten Geräte stillgelegt werden, die an diesem Vertriebskanal vorbei in Umlauf geraten waren.

Solche Fernzugriffe werden häufig für Updates genutzt, sind jedoch auch ein mögliches Einfallstor für Angreifende – entweder für einen Einbruch in das verbundene Netzwerk oder als Ausgangsbasis für Botnetze. Daher empfiehlt sich ein genauer Blick auf die Funktionalität und besondere Vorsicht beim Einbauen in die lokale Umgebung.

https://www.golem.de/news/ceo-verhaftet-satellitenreceiver-jahrelang-mit-ddos-funktion-ausgeliefert-2412-191354.html

https://solarboi.com/2024/11/17/sol-ark-oem-disables-all-deye-inverters-in-the-us/

Netzwerk, Schwachstelle

Perimeter Defense

Zuletzt häuften sich erneut herstellerübergreifend die Sicherheitslücken in Firewalls, also gerade in den Geräten, die die Umgebung eigentlich schützen sollten. Die Rolle der Perimeterverteidigung wird nunmehr infrage gestellt und Zero Trust nicht nur als neues Buzzword verwendet, sondern auch als innovative Lösung der Hersteller versprochen.

Das Konzept dahinter ist aber gar nicht so innovativ: Bereits 1994 wurde „Zero Trust“ im Rahmen einer Dissertation definiert. Über die Jahre finden sich viele weitere Talks und Beiträge, die gegen Firewalls als alleinige Sicherheitskonzepte plädieren, aber auch die grundsätzliche Rolle dieser Geräte hinterfragen. Eine eindeutige Definition des Begriffes „Zero Trust“ wird zunehmend durch die Derivationen der Hersteller schwieriger, aber das Konzept ist recht simpel: statt einer geschützten Grenze zwischen dem „bösen“ Internet und dem „guten“ Intranet wird das gesamte Transportmedium als grundsätzlich nicht vertrauenswürdig angesehen. Ein Schutz der Daten findet dann direkt über das Anwendungsprotokoll statt.

Wenngleich der Begriff das Misstrauen gegenüber allen beteiligten Instanzen suggeriert, verbleibt die Notwendigkeit dem Anbieter einer solchen Lösung zu vertrauen. Das heißt wie auch schon heute mit Firewalls ist dessen Reputation entscheidend. Besonders klar machte uns das die Meldung über die Ausnutzung eben dieser besonderen Privilegien durch das X-Ops Team von Sophos, um eine chinesische APT-Gruppe zu verfolgen, indem die Sicherheitsforschenden eigene Malware auf den Geräten hinterlegten.

Wie so oft ist die vorgestellte Lösung also nicht das Allheilmittel, es ist weiterhin wichtig alle Optionen im Blick zu haben und die beste Umsetzung für die eigene Umgebung auszuwählen.

https://www.wired.com/story/sophos-chengdu-china-five-year-hacker-war

https://news.sophos.com/en-us/2024/10/31/pacific-rim-neutralizing-china-based-threat/

https://www.securityweek.com/security-perimeter-dead

https://media.ccc.de/v/gpn21-88-perimeter-security-is-dead-get-over-it-

https://www.cvedetails.com/vulnerability-list/vendor_id-3080/Fortinet.html?page=1&year=2024&month=-1&order=1

https://dspace.stir.ac.uk/bitstream/1893/2010/1/Formalising%20trust%20as%20a%20computational%20concept.pdf

News

DDoS-Attacke auf das Internet Archive: Ein Schlag gegen die digitale Bewahrung

Anfang Oktober wurde das „Internet Archive“, ein Web-Angebot, das sich zum Ziel gesetzt hat, die flüchtigen Inhalte des World Wide Web durch Archivierung dauerhaft recherchierbar zu machen, durch mehrere Angreifergruppen kompromittiert und war Ziel einer DDoS-Aktion. Neben dem Datenabfluss der dort gespeicherten Zugangsdaten ist jedoch auch eine fehlende Verfügbarkeit sowohl beim Abruf als auch bei der Archivierung der Seiten problematisch. Alle Links in diesem Blog könnten irgendwann nicht mehr funktionieren, wenn die ursprünglichen Zielseiten offline genommen werden oder die Linkstruktur sich ändert (Stichwort: link rot). Mit dem Internet Archive besteht die Möglichkeit, Inhalte permanent zu speichern und das Wissen zu erhalten: ein wichtiger Grundbestandteil unserer Kultur, den wir schützen sollten.

https://infosec.exchange/@briankrebs/113279512399397674