Seitenkanal des Monats: Der Sound des Displays

Kann man Bilder hören? Der Forscher Mordechai Guri kann es – und zeigte, wie er durch die Ausgabe von geschickt gewählten Pixelmustern gezielt Töne mit einem Display erzeugte. Im Test konnte er die Töne in bis zu 2,5m Entfernung aufzeichnen. Dafür nutzte er die leisen Töne aus, die die elektronischen Komponenten innerhalb des Displays beim Schalten von sich geben – und verstärkte sie durch geschicktes gleichzeitiges Umschalten vieler Pixel. Nutzen könnte man den Angriff etwa, um Daten aus einem vorher kompromittierten System auszuleiten, das nach der Kompromittierung nur noch ohne Netz-Zugang verwendet wird („air gapped“). Die im Test genutzten Pixelmuster sind jedoch sehr auffällig – der Angreifer müsste also einen unbeobachteten Moment ausnutzen oder den Angriff durch subtilere Muster verfeinern.

Kein Ton von der Magnetplatte

Die Datenrettungsfirma Iron Mountain unterstützt die Musikindustrie dabei, Rohfassungen von Musikaufnahmen zu retten. Interessanterweise gab es in der Branche Anfang dieses Jahrhunderts den Trend weg von Bandaufnahmen hin zu digital auf Festplatten gespeicherten Aufnahmen. Viele Originalfassungen wurden also auf Festplatten archiviert – und jetzt funktioniert jede fünfte davon nicht mehr, so die Beobachtung von Iron Mountain. In der IT werden Festplatten eigentlich nicht als Langzeitarchiv genutzt, aber die günstigen Preise können verführerisch wirken, eine Platte einfach in den Schrank zu legen – etwa die mit der letzten funktionieren Installation einer historischen Workstation, die schon seit 10 Jahren abgelöst werden soll?  

Das Leben der Software – jetzt auch BSI-reguliert

Das BSI hat in der gerade veröffentlichten technischen Richtlinie TR-03185 beschrieben, wie man in allen Phasen des Lebenszyklus einer Software Sicherheit berücksichtigen kann. Ähnlich wie bei den schon länger existierenden Leitfäden für die Entwicklung von Webanwendungen, teilt sich die Richtlinie in einen Teil mit der Perspektive des Software-Anwenders und einen Teil mit Fokus auf den Software-Produzenten auf. In diesem Fall ist mit Anwender allerdings nicht die tatsächlich nutzende Institution gemeint ist, sondern Hersteller, die auch andere Software in ihre Produkte integrieren oder diese nutzen. Open-Source-Software wurde dabei ausgeklammert, unter anderem wegen der abweichenden Entwickler-Nutzer-Beziehungen.

Der kurze Link ins Nichts

Cloud-Anbieter stellen immer wieder neue Funktionen vor. Da ist es nur verständlich, dass gleichzeitig ältere, weniger genutzte Funktionen deaktiviert werden. Bei Google passiert dies sogar so regelmäßig, dass es eigene Webseiten gibt, die von Google abgekündigte Dienste sammeln.

Jetzt trifft es Googles URL-Shortener, der ab August 2025 die Besucher nicht mehr zu der gewünschten Zielseite leiten wird. Viele Besucher gibt es wohl auch nicht mehr, denn bereits seit sechs Jahren können hier keine neuen Kurzlinks mehr angelegt werden.

Dennoch hat die Ankündigung von Google für Aufregung gesorgt, da der Dienst in seiner Blütezeit sehr beliebt war und auch jetzt noch viele Dokumente, Forenposts und Tickets solche Links enthalten. Jonathan Corbet hat beispielsweise mehr als 19.000 betroffene Nachrichten in den Linux-Kernelmailinglisten gefunden. Viele davon sind vermutlich aktuell nicht relevant. Aber in einigen wird der fragliche Link nötig sein, um Entscheidungen von damals nachzuvollziehen.

Das Problem könnte auch in unternehmensinternen Dokumenten und Tickets vorhanden sein, die zur Dokumentation von Entscheidungen archiviert wurden.

Abkündigung: https://developers.googleblog.com/en/google-url-shortener-links-will-no-longer-be-available/

Diskussion zum Linux-Kernel: https://social.kernel.org/objects/39125e2b-0997-4c90-86f9-b16229bf4b52 

Friedhof der abgekündigten Google-Dienste: https://killedbygoogle.com/

Zweiter Faktor wird zu keinem Faktor

Fügt man der Anmeldung mit Passwort noch einen zweiten unabhängigen Faktor (2FA) hinzu, kann man die klassischen Risiken von Passwörtern reduzieren. Durch die zusätzlichen Funktionen und Systeme erhöht man aber gleichzeitig auch die Angriffsoberfläche. Zwei Vorfälle in den letzten Wochen haben das wieder gezeigt:

Der Chaos Computer Club (CCC) hatte eine Datenbank des Anbieters IdentifyMobile mit vielen SMS gefunden, die 2FA-Token und Einmalpasswörter enthielten. Neben den Telefonnummern der Empfänger und Hinweisen auf die genutzten Dienste als Absender enthielten die Nachrichten teilweise auch Kontext – beispielsweise Kontonummern und Beträge bei Onlinebanking-TANs. Der betroffene Dienstleister ist einer der großen Anbieter mit über 200 nutzenden Firmen, die von der Lücke betroffen waren. Bei fast allen 200 Millionen SMS in der Datenbank waren die Token vermutlich abgelaufen – aber ein zielgerichteter Angreifender hätte die Datenbank auch aktiv beobachten können. Inzwischen ist der Zugriff nicht mehr möglich.

Zuvor wurde bekannt, dass wegen eines Fehlers die Telefonnummern der Nutzenden der beliebten 2FA-App Authy bestimmt werden konnten. Die Telefonnummer ist für die Anmeldung kein kritisches Geheimnis. Mit dem Wissen lassen sich jedoch leichter zielgerichtete Phishingkampagnen gegen die Nutzenden starten.

Wenn beide Faktoren stark und unabhängig sind, führt ein Sicherheitsproblem bei einem der Faktoren nicht direkt zu einer erfolgreichen Anmeldung. Im ersten Fall hätten Angreifende also zusätzlich noch die Passwörter der Nutzenden, deren SMS sie sahen, kennen müssen. Daher ist es auch nach der Einführung von 2FA wichtig, für jeden der Faktoren weiterhin einen hohen Schutz zu organisieren statt zu sagen: „Die Passwörter können jetzt einfacher werden, wir haben ja zusätzlich die 2FA-App“.

https://www.ccc.de/en/updates/2024/2fa-sms

https://www.bleepingcomputer.com/news/security/hackers-abused-api-to-verify-millions-of-authy-mfa-phone-numbers

Seitenkanal des Monats: Richtfunk unbemerkt anzapfen

Richtfunk kommt oft bei der Anbindung von entfernten Standorten ohne Tiefbauarbeiten zum Einsatz. Moderne Systeme können dabei die Strahlen so stark bündeln, dass sich hierfür der Begriff „Pencil Beam“ eingebürgert hat. Das hat viele Vorteile für die Übertragung, aus Sicht der Angreifenden aber macht es das Abhören sehr schwer. Gut mithören kann man nur hoch in der Luft, möglichst nah an der Sichtlinie zwischen den Antennen in der Mitte des Strahls. Fliegt man nun eine Drohne in den Strahl, könnte man zwar mithören, würde aber schnell auffallen, da das Signal beim Empfänger gestört würde. Mit MetaFly wurde beim IEEE Symposium on Security and Privacy eine Abhörtechnik vorgeschlagen, bei der eine Art halbdurchlässiger Spiegel aus Metamaterial mit einer Drohne in den Strahl geflogen wird. Der größte Teil des Signals kommt dann weiter beim Empfänger an und nur ein kleiner Teil wird an eine Abhörstation ausgeleitet. Für die Umsetzung dieser recht einfach klingenden Idee waren dann aber viele Detailfragen zu klären, wie zum Beispiel zur Steuerung der Drohne, um den Spiegel dauerhaft in den Strahl zu halten, ohne selbst hineinzufliegen, oder zum Umgang mit Vibrationen am Spiegel. Die Forschenden fanden Antworten und konnten im Experiment den Angriff in einer städtischen Umgebung nachstellen.

Pressemeldung: https://news.rice.edu/news/2024/discovery-highlights-critical-oversight-perceived-security-wireless-networks

Wissenschaftlicher Artikel: https://www.computer.org/csdl/proceedings-article/sp/2024/313000a151/1Ub2491z20w

Sicherheitsvorfall: Auszeichnung und Aberkennung

Ein Cyberschaden kann viele Auswirkungen haben. Zwei ungewöhnliche Reaktionen möchte ich Ihnen kurz vorstellen.

Fangen wir mit einer negativen Auswirkung an: Nach einem Vorfall wollte eine betroffene Firma den Schaden bei ihrer Versicherung geltend machen. Diese stellte dabei fest, dass beim Abschluss der Versicherung ein Risikofragebogen falsch ausgefüllt wurde, und bestritt daher die Gültigkeit des Vertrags. Das Landgericht Kiel gab jetzt der Versicherung recht. Im konkreten Fall gab es aber eine große Diskrepanz zwischen einem ohne Nachfrage und Recherche angekreuzten „Ja, wir machen Updates“ und der tatsächlichen Praxis. In anderen Fällen, in denen beispielsweise fehlende Patches nicht direkt mit dem Vorfall im Zusammenhang standen, wurde zugunsten der Versicherten geurteilt.

Es kann jedoch auch ungewöhnliche positive Auswirkungen geben: Der Radiosender DONAU 3 FM wurde Opfer eines Ransomware-Angriffs und bekam jetzt eine Auszeichnung in diesem Zusammenhang. Die Bayerische Landeszentrale für neue Medien vergab ihren Hörfunkpreis 2024 in der Kategorie Moderation an das Team, das während der Schadensbeseitigung den Radiobetrieb aufrechterhielt. Dass ein Notbetrieb häufig kreative Lösungen erfordert, erleben wir auch bei den von uns begleiteten Vorfällen. Beim Radiosender wurde auf den vorbereiteten Notfallprozess zurückgegriffen und auf CD-Player und analoges Mischpult umgestellt – und was es nicht auf CD gab, wurde von den Moderatoren live gesungen.

Zu nicht-zahlenden und zahlenden Versicherungen

Zum prämierten Radiosender

Wie sicher ist KI? Safety und Security!

Ein erschreckendes Beispiel für einen KI-Fehler gab es kürzlich in Kanada. Ein Mann hatte Probleme mit dem Übertragen seiner Facebook-App auf ein neues Telefon und suchte nach Hilfe. Facebook bietet dort keinen telefonischen Support an, aber er fand trotzdem eine angebliche Facebook-Nummer. Wie in allen Awareness-Trainings immer gelehrt wird, wollte er die Nummer aber zuerst verifizieren. Also fragte er den Meta-AI-Chatbot und dieser bestätigte die Echtheit der Nummer. So rief er vertrauensvoll dort an. Das Resultat: Die Betrüger brachten ihn dazu, ihnen Zugriff auf sein Handy zu gewähren, und konnten so auf seine Kosten PayPal-Guthaben und Bitcoins erwerben.

„Beispiele wie diese zeigen uns, dass sich mittlerweile beim Einsatz von KI-Tools ganz neue Sicherheitsdimensionen ergeben. Die bekannten Begriffe „Safety“ und „Security“ müssen für den Einsatz von KI erweitert werden. Gerade bei der KI-Safety geht es nicht nur um klassische Maschinen, die Menschen körperlich wehtun können, sondern auch um andere negative Auswirkungen der KI auf die Gesellschaft und die Menschen. 

Mein Kollege Constantin Kirsch hat diese Aspekte in einem neuen Blogpost ausführlich dargelegt.

https://www.cbc.ca/news/canada/manitoba/facebook-customer-support-scam-1.7219581

Wenn versteckte Informationen öffentlich werden

Passend zum Top-Thema schauen wir uns jetzt eine ungewollte Veröffentlichung an, die passenderweise über die legendäre Full-Disclosure-Mailingliste bekannt gemacht wurde.

Ausgangspunkt war ein Forumsbeitrag, in dem mutmaßlich ein Microsoft-Mitarbeitender über einen Absturz berichtete und einen Crashdump anhängte. Crashdumps sind sehr hilfreich, um Abstürze zu rekonstruieren. Da man im Fehlerfall nicht weiß, was der Auslöser war, werden in den Crashdumps in der Regel recht großzügig Ausschnitte aus dem Hauptspeicher und andere Zustandsinformationen abgespeichert. Mit dieser Menge an Informationen kann ein Entwickelnder nicht nur den Zustand des Programms selbst, sondern auch mögliche Wechselwirkungen einsehen.

In diesem Fall wurde der Crashdump auf einem Entwickler-PC erstellt, auf dem auch mit Microsofts DRM-Lösung PlayReady gearbeitet wurde. Die notwendigen Konfigurationen und Quelldateien waren also vorhanden und – da kürzlich damit gearbeitet wurde – auch so geladen, dass sie im Crashdump mitgeliefert wurden. Der Crashdump enthielt damit alles Nötige, um den Kopierschutz selbst zu übersetzen. Da solche DRM-Lösungen das Brechen des Kopierschutzes primär durch Verschleierungen verzögern, war das ein schwerer Verlust.

Dass diese Daten sich so leicht rekonstruieren ließen, war dem Fragenden vermutlich nicht bewusst, obwohl die Forumsregeln explizit auf das Risiko hinweisen. Doch man braucht nicht erst auf solch technische Datenformate wie Crashdumps schauen – Ähnliches passiert auch regelmäßig mit Änderungsinformationen in Word-Dokumenten oder, wie letztes Jahr publik wurde, bei unvollständig abgeschnittenen Bildern.

https://seclists.org/fulldisclosure/2024/Jun/7

Threat Intelligence jetzt in unserem Blog

Bei unseren Einsätzen, in denen wir Kunden bei Sicherheitsvorfällen begleiten, erfahren wir auch viel über typische Vorgehensweisen von Angreifenden. Diese sogenannte Threat Intelligence kann sehr hilfreich sein, wenn wir bei weiteren Vorfällen auf die gleiche Angreifergruppe oder die gleichen Angriffstools stoßen. Um die Datenbasis für die Threat Intelligence zu vergrößern, tauschen wir uns auch mit Partnern aus.

Nun gehen wir noch einen Schritt weiter und veröffentlichen anonymisierte Erkenntnisse zu besonders häufigen Vorfällen auch in unserem Blog. Die Beiträge richten sich an Vorfallexpertinnen und -experten, die ähnliche Spuren gefunden haben und dann mit unserer Analyse weitere Anhaltspunkte erhalten, in welche Richtung sich eine vertiefende Suche lohnt. Sie sollen auch den Abgleich mit eigenen Erfahrungen anderer Teams ermöglichen.

Den Anfang macht unser Beitrag zum Fernsteuerungstool (remote access tool, RAT) CSHARP-STREAMER.