Kategorie: News

HiSolutions Research
News

Eines Morgens erwachte ich und fand den Eindringling vor – Minarette spielen „Bella Ciao“

Unbekannte Hacker haben Lautsprechersysteme mehrerer Moscheen in der türkischen Stadt Izmir gehackt und von den Minaretten anstelle des Rufes der Muezzins das weltbekannte italienische Partisanenlied “Bella Ciao” ertönen lassen. Der türkische Staat versucht dies als Gotteslästerung zu verfolgen und geht auch gegen eine Verbreitung von Aufnahmen der Aktion im Internet vor.

https://www.sueddeutsche.de/panorama/tuerkei-bella-ciao-moschee-izmir-1.4914330

HiSolutions Research
News

Lesetipps Mai 2020

Freiheit

Die ISO ist dem Beispiel vieler internationaler Organisationen gefolgt, angesichts der Coronakrise relevante Standards im Bereich Medizintechnik und Risikomanagement kostenlos zur Verfügung zu stellen, darunter ISO 22301 (BCM) und ISO 31000 (Risikomanagement). Eine Besonderheit hier ist ein Differenz-Viewer, der Änderungen zur jeweiligen Vorgängerversion grafisch hervorhebt. Die Texte stehen als Online-View bereit, nicht als PDF zum Download.

https://www.iso.org/covid19


Sicherheit

Security by Safety by Design – Safety als Hebel für Security? Safety und Security werden häufig als unterschiedliche Domänen gesehen, die zwar am Ende an einem Strang ziehen müssen, teilweise aber auch orthogonale oder gar widersprüchliche Ziele verfolgen. Security by Design wiederum ist ein häufig zitiertes Prinzip, welches in der Praxis schwer umzusetzen ist. Im Umfeld der ISA (International Society for Automation) wurden nun Überlegungen angestellt, wie Security-Engineering gerade dadurch verbessert werden könnte, dass man das „Spezialthema“ Security für Safety-Systems (SIS) als Start- und Kristallisationspunkt wählt.

https://medium.com/@fluchsfriction/security-for-safety-as-a-seed-crystal-414ca6a3ad43


Liebe

Zwanzig Jahre nachdem der ILOVEYOU-Virus als eine der ersten digitalen Pandemien Systeme und Netzwerke weltweit lahmgelegt hat, konnte der mutmaßliche Autor des Schädlings in einem Computerreparaturshop in Manila, Philippinen aufgespürt werden.

https://www.bbc.com/news/technology-52458765

HiSolutions Research
News

Neu erschienen: HiSolutions Schwachstellen-Report 2020

Im Rahmen von Penetrationstests und anderen technischen Audits taucht immer wieder die Frage auf, wie das Abschneiden im Vergleich mit „typischen“ Ergebnissen einzustufen ist, und ob die identifizierten Probleme bei anderen Unternehmen in ähnlicher Form und Schwere bestehen. Die HiSolutions Schwachstellen-Report 2020 wertet die von uns im letzten Jahr durchgeführten Tests aus und analysiert die identifizierten Schwachstellen nach Schweregrad und Kategorie. So werden interessante Trends und wichtige Entwicklungen in der Sicherheitslage deutlich.

2019 bestand weiterhin eine Vielzahl unterschiedlicher Sicherheitsprobleme in den geprüften IT-Systemen. Besonders fehlerhafte Konfigurationen und die Häufigkeit, mit der verwundbare Komponenten eingesetzt wurden, haben sich im Vergleich zu den Vorjahren deutlich erhöht. Abgenommen haben hingegen die Preisgabe sensibler Informationen und mangelhafte Authentifizierung. Kritische Sicherheitslücken wurden, nach einem leichtem Rückgang 2018, im vergangenen Jahr wieder häufiger festgestellt – kein einziger Test wurde hier ohne Befund abgeschlossen. 

Mehr denn je bestehen anscheinend die größten Herausforderungen in der korrekten Konfiguration und Wartung von Software. Durch den Variantenreichtum der in der Praxis vorgefundenen Schwachstellen wird ein einfaches und schnelles Auffinden, beispielsweise durch automatisierte Verfahren, erschwert: Das Testen auf ausgewählte „Top-10“-Lücken erweist sich weiterhin als nicht hinreichend. Die Auswertung zeigt außerdem, dass gerade schwerwiegende Sicherheitslücken oft erst aufgedeckt werden können, wenn dem Testteam mehr Zugangsrechte eingeräumt werden. Für viele Unternehmen kann es daher sinnvoll sein, über eine externe Untersuchung der Systeme hinauszugehen und auch interne Strukturen prüfen zu lassen.

In vielen Fällen wurde auf Befunde im Nachgang des Tests korrekt reagiert. So wurden insbesondere kritische und schwere Sicherheitslücken bis zu einem Nachtest signifikant reduziert. Daher erweisen sich regelmäßige Penetrationstests mit wiederholter Überprüfung identifizierter Sicherheitslücken und der zur Mitigation eingesetzten Sicherheitsmaßnahmen als wichtiger Schritt zu mehr Sicherheit.

HiSolutions Schwachstellen-Report 2020
HiSolutions Research
News

Die Grenzen des guten Geschmacks: Zoom Bombing, WebEx Wardialing, Teams Raiding und Co.

Organisierte Kriminalität und andere Angreifergruppen bis hin zu bösartigen Spaßvögeln haben sich wieder einmal als äußerst anpassungsfähig erwiesen. Altbekannte Techniken wie das Stören oder Sprengen von Zusammenkünften (Trolling) oder das Durchprobieren von Zugangsdaten für (Telefon-)Netze (War Dialing) erfreuen sich nicht nur neuer „Beliebtheit“, sondern laufen auch zu neuen Formen auf. Insbesondere fehlende oder schwache Passwörter bei Online Tools sind ein Problem. Denn die Eindringlinge können nicht nur nerven, sondern sogar strafrechtlich relevante oder im schlimmsten Fall traumatisierende Inhalte einspielen. Daher erfordert die Nutzung solcher Tools ein Sicherheitskonzept, welches insbesondere auch den Zugriffsschutz behandelt.

https://krebsonsecurity.com/2020/04/war-dialing-tool-exposes-zooms-password-problems

HiSolutions Research
News

Die Grenzen der Elastizität: Auch die Cloud skaliert nicht immer

Das Heilsversprechen der Cloud – instantane, unbegrenzte Skalierbarkeit – wurde zuletzt auf eine harte Probe gestellt. Viele große Anbieter gingen aufgrund des Ansturms zeitweise in die Knie oder mussten ihr Angebot einschränken. Dabei ist das Problem bei kleinen Anbietern oder bei DIY nicht geringer: Nicht jede Firma kann plötzliche Nachfrageänderungen um mehrere Größenordnungen so passabel abfedern wie große Cloud-Provider. Häufig fallen den Akteuren ganz profane Probleme auf die Füße: zu wenige Server (z. B. Terminalserver), VPN-untaugliche Fachanwendungen, fehlende VPN-Lizenzen bzw. unterdimensionierte VPN-Gateways, mangelnde Brandbreite vor allem im Upload oder auch schlicht: fehlende Laptops, die nicht immer sofort beschafft werden können.

Azure: https://www.theregister.co.uk/2020/03/24/azure_seems_to_be_full/ 

O365: https://www.zdnet.com/article/microsoft-throttles-some-office-365-services-to-continue-to-meet-demand/ 

GCP: https://www.theregister.co.uk/2020/03/26/google_gsuite_outage/ 

Laptop-Mangel: https://www.telegraph.co.uk/technology/2020/03/12/surge-home-working-threatens-laptop-shortage-warns-computacenter/

HiSolutions Research
News

Die Grenzen der Geduld: Kriminelles Callcenter gehackt

Ein Sicherheitsforscher hat zu „robusten“ Maßnahmen gegriffen und sich in die Prozesse krimineller digitaler Machenschaften gehackt. Durch die Übernahme von Systemen in einem Callcenter der Verbrecher konnte er u. a. 70.000 Anrufmitschnitte und Livebilder der Videoüberwachung erbeuten. Die Aufnahmen wurden in einer Dokumentation der BBC und auf YouTube veröffentlicht.

https://www.golem.de/news/callcenter-sicherheitsexperte-hackt-microsoft-betrueger-2003-147058.html

HiSolutions Research
News

KRITIS-Krise in Griff gekriegt: Angriff auf nationale Wasserversorgung in Israel abgewehrt

Israel hat nach Aussage des Nationalen Cyber-Direktorats eine groß angelegte Cyberattacke auf die nationale Wasserversorgung verhindert. Diese hatte insbesondere auf die SCADA-Systeme von Kläranlagen, Pumpwerken und weiterer Abwasserinfrastruktur gezielt. Schäden an der kritischen Infrastruktur seien in diesem mutmaßlich koordinierten Angriff allerdings nicht entstanden.

https://www.datensicherheit.de/cyberangriff-wasserversorgung-israel-kritische-infrastruktur

HiSolutions Research
News

Post für das Quantum – BSI-Handlungsempfehlungen zur Post-Quantum-Kryptografie

Laut BSI sollten nicht mehr die Fragen im Vordergrund stehen, ob und wann es einen leistungsfähigen Quantencomputer geben wird, sondern wie wir die Migration zu quantensicheren Verfahren heute schon gestalten können, um auf der sicheren Seite zu sein. Dies beschreiben die neuen Handlungsempfehlungen „Migration zu Post-Quanten-Kryptografie“ auf netto sieben Seiten kurz und prägnant.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Krypto/Post-Quanten-Kryptografie.pdf?__blob=publicationFile&v=2

HiSolutions Research
News

Rechte Hacker: Neonazis jagen Bill Gates

Rechtsextreme Aktivisten sind an eine Liste mit mehr als 20.000 Zugangsdaten u. a. der WHO und der Gates Foundation, die sich für die Bewältigung der Corona-Krise engagiert, gelangt. Angeblich wollen sie diese Informationen einsetzen, um die „Corona-Pandemie in eine Waffe zu verwandeln“. Verschwörungstheoretiker, Rechtsradikale und von ausländischen Diensten gesteuerte Troll-Armeen nutzen häufig Krisen aus, um Falschinformationen zu verbreiten, Unsicherheit und Dissens zu sähen und so ihre Agenda voranzutreiben.

https://www.businessinsider.com/neo-nazis-alleged-email-addresses-who-gates-foundation-nih-leak-2020-4

Auch bei der umstrittenen Gesichtserkennungsapp Clearview AI, die vor allem an Strafverfolgungsbehörden vermarktet wird und über eine der größten Gesichtsdatenbanken der Welt verfügt, wurden kürzlich Verbindungen zu Neonazigruppen enthüllt. Diese könnten ein Interesse daran haben, die Technik von Clearview im „Heimatschutz“ flächendeckend einzusetzen. Ein weiteres verbindendes Element ist einer der ersten Investoren von Clearview, der Tech-Unternehmer und Milliardär Peter Thiel. Seine Firma Palantir versorgt die US-Grenzschutzbehörde ICE bereits mit Big Data Tools. 

https://www.huffpost.com/entry/clearview-ai-facial-recognition-alt-right_n_5e7d028bc5b6cb08a92a5c48

HiSolutions Research
News

Lesetipps April 2020

Zum Aufhängen

Die Stiftung Neue Verantwortung hat ihre beliebte „Tapete“ aktualisiert: Das Diagramm visualisiert die komplexe Cyber-Sicherheitsarchitektur des Bundes und der Länder samt aller Aus- und Zuwüchse.

https://www.stiftung-nv.de/de/publikation/akteure-und-zustaendigkeiten-der-deutschen-cybersicherheitspolitik


Zum Ausdenken

Das kleine Büchlein „How To Solve It“ des ungarischen Mathematikers George Pólya ist bereits 75 Jahre alt. Trotzdem ist der Untertitel „A system of thinking which can help you solve any problem“ nicht komplett unrealistisch, sodass gerade heute sich ein Blick mehr als lohnt: Die Probleme sind uns ja immerhin nicht ausgegangen.

https://en.wikipedia.org/wiki/How_to_Solve_It (mit guter Zusammenfassung)
 

Zum Ablachen

Es soll niemand sagen, Künstliche Intelligenz (KI) habe keine wichtigen Anwendungsfelder. Kurz hinter medizinischen bildgebenden Verfahren dürfte aktuell folgendes kommen: der automatische Meme-Generator. Dieser erfindet nicht nur tiefe Wahrheiten, sondern sorgt auch für den einen oder anderen Lachanfall, der ja bekanntlich die beste Medizin ist.

https://imgflip.com/ai-meme