Der bekannte Security-Journalist Brian Krebs berichtet auf seiner Webseite KrebsOnSecurity.com, dass das amerikanische Gesundheitswesen aktuell im Visier der Ransomware-Kampagne Ryuk ist. Dabei beschreibt er auch, wie einzelne Gruppen mit Ryuk-Bezug erkannt werden können, und erklärt die aktuellen Exploit-Techniken.
Die europäische Cybersicherheitsbehörde Enisa hat einen Bericht über die Cyber-Security der europäischen Eisenbahnen veröffentlicht. Auf 50 Seiten werden die Eigenschaften des Sektors, seine Regulierung in den verschiedenen Mitgliedstaaten sowie die heute implementierten Sicherheitsmaßnahmen dargestellt.
https://www.enisa.europa.eu/publications/railway-cybersecurity/at_download/fullReport
Auch Sicherheitssoftware ist nicht gefeit vor Schwachstellen – obwohl gerade hier das Schadenspotenzial beträchtlich sein kann. Für den Cisco Security Manager, eine Anwendung für „Enterprise-Class Security Management“, wurde nun gleich eine ganze Reihe von Schwachstellen bekannt – und direkt mit PoCs (Proofs of Concept, also Beispielen für die Ausnutzung der Schwachstelle) veröffentlicht. Das Scrollen durch die Codeschnipsel zeigt vor allem, wie leicht hier zum Teil kritische Angriffe wie Remote Code Execution (RCE) ausgeführt werden konnten.
https://gist.github.com/Frycos/8bf5c125d720b3504b4f28a1126e509e
Die Sicherheit von verschlüsselnden Messengern ist ein heiß diskutiertes Thema, versprechen diese doch Ende-zu-Ende-Security auf einem Niveau, das E-Mail niemals in großem Maßstab erreicht hat. Das in Security-Fachkreisen geschätzte Threema hat nun einen weiteren Meilenstein erreicht: Nachdem 2019 bereits das Labor für IT-Sicherheit der FH Münster ein Audit durchgeführt hatte, wurden jetzt die Kollegen von Cure53 auf die App losgelassen. Der Gesamteindruck der Codequalität und der Struktur des Projekts, das bald auch Open Source werden soll, wurde als „außergewöhnlich solide“ bewertet, schwerwiegende Schwachstellen wurden nicht entdeckt. Die geplante Veröffentlichung des Sourcecodes ist insbesondere vor dem Hintergrund relevant, dass aktuell verschiedene politische Initiativen versuchen, die Sicherheit der Verschlüsselung in Messengern zu untergraben.
Das Internationale Komitee des Roten Kreuzes in Genf hat die zweite Ausgabe seines „Handbook on Data Protection in Humanitarian Action“ herausgebracht. Das 312 Seiten starke eBook, das kostenlos erhältlich ist, beleuchtet angewandten Datenschutz zwar vor allem aus Sicht humanitärer Hilfsorganisationen, bietet aber auch für andere Institutionen wertvolle Analysen und Empfehlungen.
Ende des Jahres wird die überarbeitete europäische Zahlungsdiensterichtlinie (Revised Payment Services Directive, PSD 2) nach mehrmaligem Aufschub auch für die letzten säumigen Umsetzer final gültig. Während die meisten Banken die härteren Maßnahmen wie „Strong Customer Authentication“ (SCA) – also im Wesentlichen Zwei-Faktor-Authentifizierung an neuralgischen Stellen – längst umgesetzt haben, sträubten sich Online-Bezahldienste teilweise aus Sorge vor Kundenverlust bis zuletzt. Und so hatte sich die Energie der Cyber-Kriminalität zuletzt auf Dienste wie PayPal und Co. konzentriert, was viele Kunden schmerzhaft erfahren mussten.
Der mit Beratung durch HiSolutions entstandene ZDFzoom-Beitrag „Gestohlene Identität – Auf der Spur der Online-Betrüger“ (02.12.2020 um 23 Uhr) gibt Einblicke in die Szene und ihre Geschäftsmodelle sowie die unrühmliche Rolle der Anbieter.
Deine Neue Verantwortung
Die Stiftung Neue Verantwortung hat ihr Diskussionspapier zur Absicherung von KI…
https://www.stiftung-nv.de/de/publikation/securing-artificial-intelligence
… ergänzt um eines zur Absicherung der KI-Supply-Chain:
Dein erster Freund
Die (nicht nur) bei Kindern beliebte Hip-Hop-Formation Deine Freunde rappt in ihrem neuen „Weihnachtsalbum“ dem C64 eine Hymne – hörenswert, sage selbst ich als Atari-Jünger.
Dein Cryptowar
Es ist vermutlich ein gutes Zeichen für eine Demokratie, wenn sich verschiedene Ressorts offensichtlich nicht einig sind. Während aus dem Innenministerium neue Vorstöße kommen, Verschlüsselung durch Hintertüren abschwächen zu wollen, stärkt das Forschungsministerium die Kryptographie durch einen Wettbewerb: Beim Knobel-Adventskalender „Krypto im Advent“ für Kinder der 3.-9. Klasse dürfen auch Erwachsene mitmachen – außer Konkurrenz.
Die Ransomware-Gruppe SunCrypt gibt an, zukünftig Organisationen im Gesundheitsbereich schonen zu wollen und hat auch bereits ein Unternehmen von der Opferliste gestrichen. Zwar haben sich derartige Versprechungen in der Vergangenheit schon als Augenwischerei oder zumindest nicht nachhaltig entpuppt, die ethische Diskussion ist bei SunCrypt jedoch schon weit fortgeschritten. So will man nicht allgemein den Sektor verschonen, sondern etwa an COVID-Impfstoffen Forschende und Krankenhäuser, nicht jedoch Firmen, die Tierversuche für Kosmetika durchführen. Die nächste Kampagne soll übrigens gegen Cybersecurity-Firmen gerichtet sein…
Nicht der gefürchtete „Bundestrojaner“ wird nach langem Ringen voraussichtlich demnächst zum Abhören zugelassen – sondern neben BND, Bundes-Verfassungsschutz und MAD dürfen bald auch alle 16 Landesämter für Verfassungsschutz Endgeräte hacken, um Kommunikation auszuleiten („Quellen-TKÜ“), wenn der Gesetzentwurf der Koalition im Bundestag verabschiedet wird. Die Methode wird von Experten kritisiert, da sie bei den Ämtern das Interesse erhöht, Schwachstellen nicht an die Hersteller zu melden, sondern eher zu horten, um sie für ihre eigenen Abhörtrojaner einsetzen zu können.
https://netzpolitik.org/2020/bundesregierung-beschliesst-staatstrojaner-fuer-alle-geheimdienste/
Anfang Oktober wurde der deutsche Software-Riese Software AG durch die Ransomware-Gruppe „Clop“ heimgesucht; angeblich wurden über 20 Millionen US-Dollar an Lösegeld gefordert. Interne Systeme wie E-Mail und Helpdesk mussten für einige Zeit offline genommen werden. Glücklicherweise waren andere Kommunikationsmedien wie Chat und Kundendaten nicht betroffen.