Iss Dein eigenes Hundefutter, heißt es. Denn erst dann merkst Du, was es taugt. Die auf Ransomware-Detektion spezialisierte Firma Cygilant wurde Opfer einer Ransomware. Keine weiteren Anmerkungen.
Fail Safe
Wunderschöne Liebeserklärung von Bloggerlegende Felix von Leitner (Fefe) an die Programmiersprache Rust im Speziellen und an sichere Programmiersprachen im Allgemeinen.
Priceless
Der Privacy-Forscher Lukasz Olejnik rechnet vor, was anderen unsere Datenspuren im WWW wert sind.
https://lukaszolejnik.com/rtbdesc
Spannend
Sherrod DeGrippo von Proofpoint erzählt von den neuesten Entwicklungen in der Ransomware-Industrie. „Fallen zwei oder drei Gangs weg, kommen fünf neue.”
It’s always DNS – aber sicher!
Das Tunneln von DNS-Anfragen über TLS (DoT) oder HTTPS (DoH) verspricht Sicherheits- und Datenschutzvorteile, die unser Kollege Michael Sehring hier untersucht:
Multi-Faktor-Authentisierung gehört inzwischen zum Stand der Technik und ist regelrecht ein Standard im stärker exponierten Cloud-Umfeld. Um ihren Erfolg beim Abgriff von Zugangsdaten weiterhin zu sichern, nutzen Angreifer nun Authentisierungstoken für Cloud-Apps, denn: Wurde eine Angreifer-App mit ausreichend Berechtigungen versehen, können darüber weitreichende Schäden in der gesamten IT-Umgebung verursacht werden. Inzwischen warnt Microsoft Unternehmenskunden vor dieser Angriffsmethode. Es gibt also genug Gründe, sich mal mit den methodischen Details auseinanderzusetzen.
F5, Cisco, Palo Alto, Citrix, Pulse Secure: Die Produkte mehrerer großer Anbieter sind dieses Jahr von hochbewerteten Schwachstellen betroffen, sodass sich Administratoren die Zeit für nötige Sicherheitsupdates nehmen sollten. Dies bekräftigen nun Ransomware-Angreifer und zielen auf ungepatchte Systeme mit diesen Schwachstellen, was großes Potenzial für weitreichende Kompromittierungen umfangreicher IT Umgebungen birgt.
Mit dem Fix-Status „None; outside security support period“ teilt Netgear seinen Kunden mit, dass 45 von 79 betroffenen Gerätemodellen umgehend außer Betrieb genommen werden sollen, da es für öffentlich bekannte Remote-Code-Execution-Schwachstellen kein Sicherheitsupdate geben wird.
https://www.theregister.com/2020/07/30/netgear_abandons_45_routers_vuln_patching/
Die Vielseitigkeit der Schadsoftware-Toolchain Emotet beschäftigt seit geraumer Zeit Incident Responder, IT-Forensiker und Administratoren gleichermaßen. Nun kommt eine neue Facette hinzu, indem das angestammte Wirtsbetriebssystem Windows um Linux-Systeme ergänzt wird. Neben den offensichtlichen Linux-Servern (und ggf. -Clients) droht hier auch Persistenz über Embedded Linux in Geräten wie Druckern und Routern.
https://www.heise.de/news/Emotet-Trickbot-nimmt-Linux-Systeme-ins-Visier-4860584.html
Auch die Methodik der Angreifer entwickelt sich weiter, sodass nun reale Dateianhänge in E Mails gestohlen und für Angriffe verwendet werden.
Nachdem WordPress bereits vor Jahren mit einer Auto-Update-Funktion für seine Kernkomponenten die Angriffsoberfläche für viele Websites stark reduzierte, verlagerte sich das Geschäft der Angreifer auf Sicherheitslücken in verwendeten Plugins. Diese werden oft vergessen und oft genug nicht einmal mehr benötigt. Ab Version 5.5, benannt nach dem amerikanischen Jazzsänger Billy Eckstine, steht die Auto-Update-Funktion nun endlich auch für Plugins und Themes zur Verfügung.
Durch VoLTE werden Telefonate innerhalb des LTE-Standards realisiert. Allerdings wurden hier in einigen verbreiteten Implementationen kryptografische Schlüssel wiederverwendet, sodass ein Angreifer, der ein geeignet langes Telefonat mit dem Opfer führen konnte, entsprechend lange frühere Telefonate desselben Opfers entschlüsseln konnte. Die zugehörige Forschung der Ruhr-Uni Bochum wurde nach umfangreichsten Koordinierungsaktionen mit den großen Mobilfunk-Betreibern nun auf der USENIX vorgestellt.
https://www.usenix.org/conference/usenixsecurity20/presentation/rupprecht
Secure Boot-Funktionen dienen als Vertrauensanker, um von vertrauenswürdiger Hardware ausgehend die Authentizität und Integrität zumindest von Kernfunktionen der Software sicherzustellen. Wenn das Booten von signiertem Programmcode das Einklinken von Angreifern nun nicht lückenlos verhindert, öffnet dies eine Vielzahl von Angriffsvektoren. Entsprechende Updates wurden für alle gängigen Distributionen zur Verfügung gestellt.
https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot
DEFCON Is Cancelled – Still Hackers Gonna Hack
2020 ist zum ersten Mal in der Geschichte der legendären Hackerkonferenz der Running Gag „DEFCON fällt aus“ beinahe wahr geworden: Unter dem Titel „Safe Mode“ fand auch die DEFCON dieses Jahr nur virtuell statt. Neben Vorträgen zum Hacking von Lichtanlagen im Straßenverkehr und Geldautomaten erfreute sich insbesondere der Vortrag „Hacking the Hybrid Cloud“ von Sean Metcalf großer Beliebtheit. Oder mit den Worten des Vortragenden gesprochen: „How bad can this get?“ – „Don’t want all my eggs in one basket… So now eggs are in all baskets.“
Why, oh, why, PyPI?
Fipptehler treten auf, binsedonsere dort, wo Menschen Dinge über Tostatüren einbegen können. Das Potenzial von Supply-Chain-Angriffen via Benutzerfehleingaben hat der Sicherheitsforscher William Bengtson genauer betrachtet und gezielt knapp falsch benannte Pakete wie „pythonjsonlogger“ erstellt, die irrtümlich statt des korrekten „python-json-logger“ installiert werden sollen. Bösartige Pakete könnten an dieser Stelle Schadcode einschleusen und z. B. Zugangsdaten abgreifen. Details und Geschichten, die er mit seinem Engagement für die Python-Community erlebt hat, finden Sie unter:
https://medium.com/@williambengtson/python-typosquatting-for-fun-not-profit-99869579c35d