Ist die NSA vielen noch primär als „Big Brother“-Agentur aus den Snowden-Enthüllungen und Crypto-Wars in Erinnerung geblieben, so wurde dieser Tage wieder einmal die sanfte, konstruktive Seite präsentiert: Der US-Geheimdienst ermahnt zur Installation von Updates, Nutzung von VPN und sicheren Konfiguration von Kryptographie und Firewalls.
Da die Prioritäten der CIA stark auf der Offensive lagen, vernachlässigte sie gerade im Cyberspace in den 2010er Jahren die Defensive, was 2016 zu einer umfangreichen Veröffentlichung von Tools und Taktiken auf Wikileaks führte. Bekannt geworden war dadurch eine Vielfalt an Möglichkeiten und Werkzeuge des US-Auslandsgeheimdienstes, IT-Systeme aller Arten zu kompromittieren. Vielfältig dürften auch die bis zu 34 Terabyte an kopierten Daten sein, die bei der Kompromittierung unbemerkt abgeflossen sind. Besonders peinlich: Der Datenabfluss hätte ohne die Veröffentlichung unbemerkt bleiben können, wie ein kürzlich veröffentlichter Untersuchungsbericht zeigt.
Bitkom-Studie: 75 % bewölkt
In 3 von 4 Unternehmen werden Cloud-Infrastrukturen genutzt. Aber 70 % der Nicht-Nutzer fürchten einen unberechtigten Zugriff, 60 % ist die Rechtslage unklar, 59 % zweifeln an der Integration einer Public-Cloud in bestehende Lösungen und 43 % fehlen Ressourcen im Personal. Sichere Cloud ist zwar machbar, aber keinesfalls kostenlos zu haben.
https://www.bitkom.org/Presse/Presseinformation/Drei-von-vier-Unternehmen-nutzen-Cloud-Computing
Crowd-Sourced Tech-Talk Best-Of
Mit der Frage „What’s the best tech talk you’ve ever seen?“ hat Microsoft Azures Open-Source-Evangelistin Ashley Willis einen langen Reply-Thread aus Vortragsempfehlungen geschaffen:
https://twitter.com/ashleymcnamara/status/1278537744352862208
Can you see me swinging: Abhören via Lamphone
Nur im Dunkeln ist gut munkeln: Wenn Schallwellen das Licht flackern lassen, ermöglicht das unter bestimmten Umständen bereits ein passives Abhören. Ein klarer Vorteil gegenüber herkömmlichen Lasermikrofonen, welche aktiv arbeiten und daher wesentlich teurer und prinzipiell auch detektierbar sind.
https://www.heise.de/news/l-f-Verraeterische-Gluehlampen-4784368.html
Dein Freund und Chat-Buddy: EncroChat von Polizei übernommen
Mit modifizierten Smartphones und einer eigenen Infrastruktur betrieb EncroChat einen Dienst, auf dem Nutzer Drogen- und Waffengeschäfte abwickelten. Anfang 2020 gelang die Infiltration der Infrastruktur und damit die Exfiltration der unverschlüsselten Kommunikation. Nachdem Mitte Juni die Kompromittierung auffiel, nahmen die Ermittler in mehreren europäischen Ländern umfangreiche Verhaftungen vor.
https://en.wikipedia.org/wiki/EncroChat#References
https://www.vice.com/en_us/article/3aza95/how-police-took-over-encrochat-hacked
Man hätte es wissen müssen in Redmond: Die Stabübergabe an eine KI war vor ein paar Jahren schon einmal medial kolossal schiefgegangen, als Twitter-Nutzer einen gutgläubigen Microsoft-Chatbot zu einem Nazi-Plappermaul umdressierten. Doch nun war die Verlockung, 77 Redakteure des Nachrichtenportals MSN.com mit einem Schlag durch einen Algorithmus ersetzen zu können, scheinbar zu groß. Dies(er) rächte sich nach kurzer Zeit, indem er einen Artikel des britischen „Independent“ über eine Popgruppe als interessant auswählte – und beim automatisch hinzugefügten Bild zwei nicht-weiße Musikerinnen verwechselte. Nicht nur, aber gerade in Zeiten der neuen Black Lives Matter-Bewegung ist das zunächst mehr als peinlich, da es zeigt, wie sehr der Algorithmus vor allem auf weiße Gesichter trainiert war.
Aus einem ganz anderen Grund sollten wir für den Vorfall jedoch dankbar sein: Er zeigt einmal öffentlich, was sonst meist hinter den Kulissen verschleiert abläuft. Machine Learning ist extrem effektiv darin, uns unsere Stereotypen und Vorurteile abzugucken und deren Anwendung zu perfektionieren. Angesichts der immer weiter voranschreitenden Delegation von Entscheidungen an Algorithmen ist klar: Lernen wir nicht, Bias und Diskriminierung zu detektieren und Gegenmaßnahmen zu entwickeln, dann wird dies zukünftig nicht nur großen Anbietern auf die Füße fallen, sondern der Gesellschaft insgesamt.
Die kriminelle Ransomware-Gang hinter der Malware REvil (auch bekannt als „Sodin“ oder „Sodinokibi“) hat damit begonnen, gestohlene Daten in Auktionen zu verhökern. Dies stellt eine weitere Eskalation der Taktik dar, Opfer von Schadsoftware nicht nur mit Verschlüsselung der Daten zu erpressen, sondern auch mit Veröffentlichung im Darknet oder Internet. Anscheinend nagt der Corona-Shutdown nicht nur an den Finanzen der Opfer, sondern lässt auch die Täter die ihnen zur Verfügung stehenden Daumenschrauben anziehen.
In einer Auktion von Daten eines landwirtschaftlichen Unternehmens etwa wurde für drei Datenbanken mit mehr als 22.000 Dateien ein minimales Gebot von 5.000 US-Dollar in Kryptogeld festgesetzt. Eine Garantie, dass die Übeltäter die Daten nach Zahlung wirklich löschen, gibt es selbstverständlich auch hier nicht.
https://krebsonsecurity.com/2020/06/revil-ransomware-gang-starts-auctioning-victim-data/
Opfer von Verschlüsselungstrojanern reagieren erfahrungsgemäß oft panisch. Dies zeigt sich auch auf der HiSolutions-Response-Hotline immer wieder. Da wird schnell jeder Strohhalm ergriffen, der Rettung verspricht. Gemein nur, wenn manche Erpresser dies ausnutzen und ein „Entschlüsselungstool“ bereitstellen, welches die Daten einfach noch einmal verschlüsselt, anstatt sie wieder lesbar zu machen.
BND, BfV und BSI haben eine Warnung vor gezielten Cyberangriffen unter TLP-Amber (Kenntnis nur wenn nötig) an alle KRITIS-Betreiber in den Sektoren Energie, Wasser und Telekommunikation sowie an ausgewählte Zulieferer und Partner veröffentlicht. Neben Verweisen auf US-amerikanische Dokumente, welche russische Akteure beschuldigen, enthält die Warnung auch konkrete IOCs (Indicators of Compromise) sowie Details zu TTPs (Tactics, Techniques and Procedures), wie etwa ausgenutzte Schwachstellen.
https://www.tagesschau.de/investigativ/br-recherche/hacker-angriff-infrastruktur-101.html
Ein Angreifer? Hondate! Wie viele Ransom-Viren Honda heimgesucht haben, ist ungewiss. Dass der Autohersteller Opfer einer Ransomware-Attacke wurde, welche zweitweise den weltweiten (IT-)Betrieb zum Erliegen brachte, war spätestens dann klar, als auf dem zu Google gehörenden Analysedienst VirusTotal eine verdächtige Datei hochgeladen wurde, die eine Referenz auf eine nur innerhalb des Honda-Netzes erreichbare Domain enthielt. Auch wenn es bequem ist Erkennungsraten von Schadsoftware auf die Art und Weise messen zu lassen: Angreifer wie Analysten unterschätzen häufig, wie viele sensitive Informationen an Dienste wie VirusTotal übermittelt werden.
Nach Auskunft von BKA, Staatsanwaltschaft Itzehoe und Landeskriminalamt Schleswig-Holstein ist es gelungen, nicht nur einen verdächtigen Hacker „naifu“ ausfindig zu machen, sondern gleich zwei junge Männer (16 und 20). Wegen großangelegter DDoS-Attacken u. a. auf die DKB droht ihnen nun ein Verfahren wegen des Verdachts der Computersabotage in besonders schweren Fällen und versuchter Erpressung.
Der Hersteller von Antivirenschutz Kaspersky hat einen Dienst veröffentlicht, der interne Analysten bereits seit Jahren darin unterstützt, Malware(-Fragmente) bestimmten Akteuren zuzuordnen. Die Software „Kaspersky Threat Attribution Engine“ (KTAE), verfügbar für alle Abonnenten des „Kaspersky Intelligence Reporting“, kann über Machine Learning Ähnlichkeiten in Code-Fragmenten erkennen und so Verwandtschaften finden und eventuell eine Attribution des Urhebers vornehmen.
Über die technische Schwierigkeit von Attribution und die politischen Risiken bei Fehlern wurde schon viel gesagt. Interessanterweise hat KTAE ausgerechnet dabei helfen können, sogenannte „False Flags“, also absichtlich gepflanzte, gefälschte Hinweise auf einen anderen Ursprung, zu entdecken, weil die Techniken der Täuschung an der Stelle noch nicht so ausgefeilt sind.
https://securelist.com/big-threats-using-code-similarity-part-1/97239/
