News – Seite 28 – HiSolutions Research

27. Februar 202020. April 2020News

Schludrig, Euer Ehren! IT-GAU beim Kammergericht Berlin

Im Kammergericht Berlin ist der Albtraum aller Informationssicherheitsexperten wahr geworden. Eine völlig veraltete IT-Infrastruktur ohne ernst zu nehmendes Sicherheitskonzept (keine Netzwerksegmentierung, keine Filterung am Gateway, keine Proxy-Logdaten, lokale Administratoren, mangelnde AD-Logs) führte zunächst zu einem Trojaner-Incident und dann zum Vollausfall der IT – und das mit Ansage: Ein Auditbericht hatte eklatante Lücken zuvor dringend bemängelt. Inzwischen ist der Wiederanlauf mit völlig neuer Technik im Gang – der Reputationsschaden der verfassungsgemäß unabhängigen Justiz jedoch noch längst nicht behoben.

https://www.golem.de/news/gutachten-zu-emotet-datenabfluss-beim-berliner-kammergericht-2001-146294.html

27. Februar 202020. April 2020News

Shitrix Happens Again: Hacker gingen bei Citrix ein und aus

Wie der auf Cyber-Scoops, also Enthüllungsgeschichten mit Bezug zum Thema Informationssicherheit, spezialisierte Journalist Brian Krebs berichtete, gingen Hacker fünf Monate lang in den Netzwerken des Anbieters von Applikationsvirtualisierung Citrix ein und aus. Zugang hatten sie über sogenanntes „Password Spraying“ erhalten. Das meint das Durchprobieren einer überschaubar großen Liste typischer Passwörter an einer großen Menge von Accounts, im Gegensatz zum Brute Forcing, welches in der Regel das Durchtesten einer sehr großen Menge von Credentials an einem oder ein paar wenigen Accounts umschreibt. Einmal drin, konnten die Angreifer sich lange Zeit weitgehend ungestört umsehen und potenziell bisher unbekannten weiteren Schaden anrichten. Citrix-Produkte werden von vielen Unternehmen häufig an kritischer Stelle für den Fernzugriff bzw. Zugriff auf Geschäftsanwendungen eingesetzt.

https://krebsonsecurity.com/2020/02/hackers-were-inside-citrix-for-five-months/

27. Februar 202020. April 2020News

CIS transformiert: CIS Benchmarks aktualisiert

Die Benchmarks des gemeinnützigen Center for Internet Security (CIS) haben sich zu Best Practices für die Härtung von Systemen aller Arten entwickelt. Über 100 Benchmarks von Docker bis Juniper helfen dabei, eine sichere Baseline zu setzen oder aber zu auditieren. Nun sind die Benchmarks gerade alle aktualisiert worden und können hier abgerufen werden:

https://www.cisecurity.org/

27. Februar 202020. April 2020News

Damit der Kuber net is: Kubernetes-Security-Tools

K8s (Kubernetes) hat sich zum de facto-Standard bei der Orchestrierung von Containern entwickelt. Die Sicherheit derartiger Systeme ist jedoch noch nicht Allgemeinwissen. Nun wurden mit kube-scan und kccss zwei Tools für die Allgemeinheit bereitgestellt, die helfen, zumindest die automatisierbaren Aspekte der K8s-Sicherheit zu überprüfen.

https://techcrunch.com/2020/01/22/octarine-releases-open-source-security-scanning-tool-for-kubernetes

https://www.heise.de/developer/meldung/Containerisierung-KCCSS-bewertet-die-Risiken-fuer-Kubernetes-4644164.html

27. Februar 202020. April 2020News

Signing Party verschoben: Microsoft verspricht und verschiebt LDAP Signing

Das Protokoll LDAP (Lightweight Directory Access Protocol) ist die Basis vieler kritischer Authentifizierungssysteme. So beruht unter anderem auch die Basis der Active Directory Services (ADS, oft einfach AD genannt) darauf. Bestimmte Angriffe auf die Authentifizierung lassen sich dadurch verhindern, dass Signaturen in LDAP eingeführt werden. In Windows ist dies bisher nicht der Fall.
Microsoft war mit der Ankündigung vorgeprescht, LDAP Signing ab März zum Standard zu machen – und ruderte kurze Zeit später wieder zurück. Wohl aufgrund des Aufschreis bestimmter Nutzergruppen, die um die Kompatibilität ihrer Legacy-Systeme fürchten, wurde das Sicherheitsfeature nun auf die zweite Jahreshälfte 2020 verschoben.
Der folgende Beitrag beschreibt, wie sich anhand der Event ID 2887 im Event Log der Domain Controller überprüfen lässt, ob die eigene Landschaft mit dem Change klarkommen würde.

https://opensecurity.global/forums/topic/249-preventing-ldap-apocalypse-in-march-2020-ldap-signing-requirements/

27. Februar 202020. April 2020News

40 nicht nett: „Private“ Schlüssel auf Fortinet Firewall

Der Firewallhersteller Fortinet hat auf seiner Appliance FortiSIEM, die für das Einsammeln und Auswerten von sicherheitsrelevanten Logdaten eingesetzt wird, einen für alle Geräte einheitlichen Schlüssel in der Firmware hardcodiert. Wer Zugang zu einem Gerät oder einem Firmware-Image hat, kann den Schlüssel extrahieren und sich damit auf allen Geräten dieser Serie anmelden – wenn auch nur mit eingeschränkten Berechtigungen. Diese reichen aber aus, um den Betrieb zu stören (Denial-of-Service) und gegebenenfalls weitere Angriffe zur Rechteerweiterung zu versuchen.

https://fortiguard.com/psirt/FG-IR-19-296

27. Februar 202020. April 2020News

Lesetipps Februar 2020

Nicht neutral

Washington Post und ZDF enthüllten, wie CIA und BND über Jahrzehnte die Mitarbeiter, Produkte und damit die weltweiten Kunden des Schweizer Krypto-Herstellers Crypto AG manipulierten und abhörten.

https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage

Drei Ecken

Urgestein Ross Anderson über die Nachhaltigkeit von Security, Safety und Privacy beim Chaos Communication Congress 2019 (36c3).

https://media.ccc.de/v/36c3-10924-the_sustainability_of_safety_security_and_privacy#t=2049

Zum Bärte raufen

Über den spannenden Generationen- und Philosophiekampf in der Unix-/Linux-Welt, welcher nicht zuletzt auch für die Security entscheidende Weichenstellungen bedeutet, berichtet:

https://www.heise.de/newsticker/meldung/FOSDEM-Die-Container-Revolution-ist-der-Alptraum-der-Unix-Graubaerte-4651575.html

Nicht zum Lesen,

sondern zum Umschauen und Ausprobieren: Das Cryptomuseum lohnt einen Online-Besuch.

https://www.cryptomuseum.com

29. Januar 202014. Februar 2020News

We are the Champions, leider: Cyber weltweites Top Risk

Versicherer müssten es wissen: Im jährlichen Allianz Risk Barometer ist „Cyber“ erstmalig zum weltweiten Top-Risiko aufgestiegen. Hatte sich unser aller Lieblingsthema in den letzten Jahren in einer rasanten Aufholjagd bis auf Platz 2 hinter dem Platzhirsch „Betriebsunterbrechung“ vorgeschoben, gelang in der 2020er-Version des Berichts, der neben Daten der Versicherung auch Experteninterviews mit einbezieht, die Entthronung, mithin der Sprung auf Platz 1. Außer in Deutschland: Hierzulande wird die handelsübliche Betriebsunterbrechung noch ein Quäntchen mehr gefürchtet als das böse C-Wort. Allerdings zählen IT-Vorfälle wiederum global zu den wichtigsten Gründen für Ausfälle, insofern: Die Weltherrschaft steht kurz bevor. Wir „freuen“ uns schon auf das Risk Barometer 2021, welches mit großer Wahrscheinlichkeit den finalen Cyber-Triumph vermelden wird. Oder aber wir strengen uns alle ein bisschen mehr an, um genau das zu vermeiden.

https://www.allianz.com/de/presse/news/studien/200115_Allianz-Risk-Barometer-2020.html

Passend dazu hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Aufsichtsschwerpunkte für 2020 veröffentlicht. An erster Stelle stehen auch hier Digitalisierungs- und Cyberrisiken: „Dies gilt insbesondere, da der überwiegende Teil der IT-Sicherheitsvorfälle bei Finanzmarktteilnehmern auf hausinterne Schwächen der Unternehmen zurückzuführen ist – und nur zu einem kleineren Teil auf externe Angriffe.“

https://www.bafin.de/SharedDocs/Downloads/DE/Broschuere/dl_Aufsichtsschwerpunkte2020.pdf?__blob=publicationFile&v=3

29. Januar 202014. Februar 2020News

Firmen, Politiker, Privatleute, Sondereinsatzkommandos: Datenleak bei Autovermieter

Autos mieten (fast) alle. Insofern trifft es auch eine beachtliche Menge von Personengruppen, wenn drei Millionen Kundendatensätze einer großen deutschen Autovermietung versehentlich ungeschützt als SMB-Share im Internet stehen. Genau das geschah beim Anbieter Buchbinder, der zur Europcar-Gruppe gehört und diverse Tochterfirmen sein Eigen nennt. Private Adressen und Telefonnummern von Politikern konnten ebenso abgerufen werden wie Fahrtenprofile von Firmenvertretern und Spezialeinsatzkommandos, Unfallprotokolle und Informationen über angeordnete Blutproben. Zwar wurde das Problem von Sicherheitsforschern entdeckt, da das Scannen nach offenen SMB-Shares jedoch ein Kinderspiel ist, scheint es unwahrscheinlich, dass niemand sonst zugegriffen hat. Auf das Datenschutzbußgeld dürfen wir jedenfalls gespannt sein.

https://www.heise.de/ct/artikel/Daten-Leak-bei-Autovermietung-Buchbinder-3-Millionen-Kundendaten-offen-im-Netz-4643015.html

29. Januar 202014. Februar 2020News

Datenschutz made in USA: NIST Privacy Framework und CCPA

Die amerikanische Standardisierungsbehörde NIST hat Version 1.0 ihres „Privacy Frameworks“ veröffentlicht. Es stellt keinen verpflichtenden Standard wie die DSGVO dar, ist jedoch insofern bemerkenswert, als dass sich sogar die föderale Ebene in den USA inzwischen langsam in Richtung Datenschutz bewegt. Im progressiven Kalifornien wurde bereits 2018 eine Regulierung beschlossen, die in einer Reihe von Punkten der europäischen ebenbürtig ist. Nun ist der CCPA (California Consumer Privacy Act) am Jahresanfang in Kraft getreten.

https://www.nist.gov/privacy-framework

https://datenschutz-generator.de/california-consumer-privacy-act-ccpa-dsgvo/