Kategorie: Allgemein

Nachdem das IT-Sicherheitsgesetz 2.0 insbesondere beim Thema Angriffserkennung den betroffenen Unternehmen neue Anforderungen bescherte, hat nun das BSI die einschlägige „Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung“ als Community Draft veröffentlicht.

Sie beschreibt Anforderungen an KRITIS- und Energieanlagen-Betreiber sowie prüfende Stellen.

Der Community Draft kann noch bis zum 8. Juli 2022 kommentiert werden.

Community Draft: https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Orientierungshilfe_Angriffserkennung_220613.html

Darstellung des Inhalts: https://www.openkritis.de/massnahmen/angriffserkennung_kritis_siem_soc.html#orientierungshilfe

Die bei auf Security bedachten Admins beliebte Local Administrator Password Solution (LAPS) von Microsoft musste bisher als zusätzliches Dienstprogramm installiert werden. Mit der neuen Windows 11 Preview wird LAPS nun zum nativen Bestandteil des Betriebssystems. LAPS macht es deutlich leichter, die lokalen Account-Passwörter auf domänenverbundenen Computern sicher zu verwalten. Die Ausweitung auf Azure AD ist ebenfalls bereits angekündigt.

https://blogs.windows.com/windows-insider/2022/06/22/announcing-windows-11-insider-preview-build-25145/

Abhängig

Der „Dependency Graph“ beschreibt alle unsere Abhängigkeiten – zumindest was unsere Software betrifft.

https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph

Wissbegierig

Nick Jones, Cloud Security Specialist bei WithSecure (bis vor Kurzem als F-Secure Business bekannt) weiß, welches Wissen sein Feld benötigt.

https://www.nojones.net/posts/breaking-into-cloudsec

Eingebettet

Cory Doctorow kennt alle Tricks, mit denen Backdoors in KI-Modelle eingeschleust werden können.

https://doctorow.medium.com/undetectable-backdoors-for-machine-learning-models-8df33d92da30

Wieder einmal sind Sicherheitsforscher selbst ins Fadenkreuz von Angreifern geraten. Ein angeblicher Sicherheitsforscher mit dem Pseudonym „rkxxz“ hat einen vorgeblichen PoC (Proof of Concept) für einen Satz jüngerer Remote-Code-Execution-Schwachstellen in Windows veröffentlicht. Dieser enthielt jedoch Schadcode, der ein sogenanntes Cobalt Strike Beacon in den Arbeitsspeicher injiziert. Cobalt Strike ist ein Pentest-Tool, das legal wie illegal gerne genutzt wird, um sich lateral im Netzwerk weiterzubewegen.

Es ist nicht das erste Mal, dass sich Angreifer Schwachstellenforscher und Pentester als Ziel ausgeguckt haben. Die nordkoreanische Lazarus-Gruppe hatte im Januar 2021 via Social Media und Browser-Zero-Days auf die Community abgezielt. Im März 2021 erschufen nordkoreanische Akteure gar eine fiktive türkische Cybersicherheitsfirma namens SecuriElite. Und im November versteckte Lazarus in trojanisierten IDA Pro Reverse Engineering Tools den Fernzugriffstrojaner NukeSped.

Vermutlich erhoffen sich die Angreifer, nicht nur Zugriff auf die sicherheitsrelevanten Forschungsdaten ihrer Opfer zu erhalten, sondern mittelbar auch auf die Infrastruktur der Kunden.

https://www.bleepingcomputer.com/news/security/fake-windows-exploits-target-infosec-community-with-cobalt-strike/

Im Medienrummel um den ukrainischen Triumph beim „ESC“, dem Eurovision Song Contest, ist weitgehend untergegangen, dass die IT-Infrastruktur des Festivals während der Show angegriffen wurde. Die prorussische Cybergruppierung Killnet hat versucht, die Abläufe zu stören und möglicherweise das Ergebnis zu verfälschen.

Da derartige Versuche erwartet wurden, konnten sie im laufenden Betrieb abgewehrt werden, sodass die Veranstaltung reibungslos über die Bühne gehen konnte. Trotzdem warnen Verfassungsschutzorganisationen weiterhin vor den Aktivitäten derartiger Gruppen auch in Deutschland, die das Ziel haben könnten, die öffentliche Meinung zu beeinflussen.

https://www1.wdr.de/fernsehen/aktuelle-stunde/alle-videos/video-angeklickt-der-hybride-krieg-weitet-sich-aus-100.html

Anfänglich

Wie sich Denken und Argumentationen auf „First Principles“ zurückführen lassen: https://twitter.com/jackbutcher/status/1354820709042638848

Zwiespältig

Wie Datenschutz zur Marktverzerrung missbraucht werden kann:
https://venturebeat.com/2022/04/18/how-big-tech-uses-data-privacy-concerns-for-market-dominance/

Reiflich

Wie Maturity-Modelle wirklich zu verstehen sind: https://twitter.com/johncutlefish/status/1156727594210881538

Algebraisch

Wie mathematische Abstraktionen Big Data handlebar machen:
https://corecursive.com/050-sam-ritchie-portal-abstractions-2/

Einige Diebe in der realen physischen Welt haben sich soweit spezialisiert, dass sie es nicht mehr nur auf das Bargeld und die physischen Wertsachen ihrer Opfer abgesehen haben, sondern außerdem auf den Inhalt ihrer Crypto-Wallets. Zuletzt häuften sich in Städten wie London die Fälle von „Crypto Mugging“, wo Menschen unter (Androhung von) Gewalt um ihre privaten Schlüssel oder Zugangscodes und letztlich um ihre Cryptowährungs-Münzen gebracht wurden.

Es ist anzunehmen, dass nun stärkere Sicherheitsmaßnahmen wie Multi-Sig-Wallets, bei denen für eine Überweisung zwei verschiedene Parteien ihr Einverständnis geben müssen, einen Aufschwung erhalten.

https://www.theguardian.com/technology/2022/may/08/crypto-muggings-thieves-in-london-target-digital-investors-by-taking-phones

Analysten des in Moskau beheimateten Security-Dienstleisters Positive Technologies haben Aktivitäten einer neuen Angreifergruppe entdeckt, die sie „Space Pirates“ getauft haben. Die mutmaßlich mit China in Verbindung stehende Gruppe soll es seit 2017 vor allem auf russische Raumfahrtorganisationen abgesehen haben, die mit Phishing-E-Mails zur Installation neuartiger Malware bewegt werden sollten.

Zwar gibt es wohl Verbindungen zu bereits bekannten Gruppen wie APT41 (Winnti), Mustang Panda und APT27, doch scheint es sich bei Space Pirates um eine eigene Struktur zu handeln.

https://www.bleepingcomputer.com/news/security/chinese-space-pirates-are-hacking-russian-aerospace-firms/

Eine Blockchain ist ein „public ledger“, also ein öffentliches, schwer zu manipulierendes Kontobuch. Diese zwei Hauptmerkmale müssten eigentlich eine Blockchain zum Albtraum jeder Zensurbehörde machen, kann man doch in sie eingefügte Inhalte nur mit größtem Aufwand wieder entfernen oder manipulieren.

Dissidenten in China machen sich das in letzter Zeit zunutze, um etwa verbotene Videos in bekannte Blockchains zu schreiben, auf dass sich diese oder zumindest die Links zu ihnen möglichst weit und robust verteilen.

Die Zensoren haben allerdings schon dazugelernt und versuchen ihrerseits, bestimmte Medien bereits an der Quelle zu entfernen, die Suche nach derartigen Inhalten zu behindern oder von ihrem Konsum mit Drohungen und empfindlichen Sanktionen abzuschrecken.

https://www.ft.com/content/3bbb2af3-e934-4603-8aae-26b758140c65

AWS hat ein sogenanntes AWS Security Maturity Model veröffentlicht, das vier Phasen definiert, in welchen die Absicherung einer Cloudumgebung in AWS angegangen werden sollte. Die erste davon enthält nur schnell umzusetzende Quick Wins; Backups etwa werden erst in Phase 2 (Foundational) eingerichtet. In Phase 3 (Efficient) kommen Infrastructure as Code (IaC) und die Benennung von Security Champions in der Entwicklung hinzu. Erst Phase 4 (Optimized) fordert die Einrichtung eines Red Teams (Pentest/Red Teaming) und eines Blue Teams (Incident Response).

Aus der Security-Community kommt viel Zustimmung zu dem Modell, allerdings auch einiges an Kritik. Insbesondere wird bemängelt, dass die Automatisierung der Infrastruktur erst relativ spät angegangen wird. So könnte sich bis dahin schon viel technical debt angesammelt haben, der möglicherweise nur schwer wieder einzufangen ist.

https://maturitymodel.security.aws.dev/en/model/