Kategorie: News

News

Verzer(r)tifiziert – Schwachstelle in elliptischen Kurven

Wenn Implementierungen von kryptografischen Signaturen mit elliptischen Kurven nicht vor Timing-Angriffen geschützt werden, kann ein Angreifer unter Umständen den privaten Schlüssel berechnen. Das zeigte ein tschechisches Forscherteam am Beispiel eines Krypto-Chips namens Athena. Auch mehrere Open-Source-Bibliotheken sind verwundbar. Die verwundbaren Chipkarten wurden nach FIPS und Common Criteria zertifiziert. Den Angriff nennen die Forscher Minerva.

Am selben Forschungsinstitut wurde 2017 die Sicherheitslücke ROCA in der RSA-Implementierung von Infineon-Chips gefunden. Auch Letztere waren zertifiziert, unter anderem vom BSI. 

Dies zeigt wieder einmal, dass Zertifizierungen nicht alle Aufgaben erfüllen können, die ihnen zugeschrieben werden. 

https://www.golem.de/news/elliptische-kurven-minerva-angriff-zielt-auf-zertifizierte-krypto-chips-1910-144256.html

News

I got the sPower – Cyberattacke auf Ökostrom

sPower ist der erste Erzeuger von regenerativen Energien, der bekanntermaßen von einer Cyberattacke getroffen wurde. Das Unternehmen aus Utah betreibt Stromnetze im Bereich der erneuerbaren Energien und wurde nach eigenen Angaben bereits im März Opfer eines Cyberangriffs, welcher Erzeuger und Netz voneinander trennte. Damit wird zum ersten Mal öffentlich, dass eine Cyberattacke eine Unterbrechung der Kommunikation mit Wind- und Solaranlagen bewirkte. Die Erzeugung selbst war nach Unternehmensangaben nicht beeinträchtigt. Bekannt wurde der Vorfall durch eine Anfrage auf Grundlage des Informationsfreiheitsgesetzes (Freedom of Information Act, FOIA).

https://securityaffairs.co/wordpress/93271/hacking/spower-cyber-attack.html

News

Lesetipps November 2019

Skandal um ROSI

„You can’t control what you can’t measure“ ist ein beliebter Glaubenssatz. Gleichzeitig ist Messen in der Informationssicherheit ein schweres Problem, an dem schon viele gescheitert oder aber zumindest wahnsinnig geworden sind. Eine Galerie der ehrenwertesten Versuche rund um Frameworks, Scorecards, ROI und ROSI (Return On Security Investment) findet sich hier auf 24 Seiten PDF.

https://www.rstreet.org/wp-content/uploads/2019/10/Final-Cyberbibliography-2019.pdf

hacker:HUNTER – WannaCry: The Marcus Hutchins Story

Nun ist sie endlich verfilmt: Die Geschichte von Marcus Hutchins aka MalwareTech, der – wir berichteten hier schon öfter darüber – wesentlich dazu beitrug, dass WannaCry nicht die ganze Welt in Ransom genommen hat, in seinen eigenen Worten. 

https://www.youtube.com/watch?v=vveLaA-z3-o

News

(Not Only) Size Matters: 179 GB Rekord-Leak mit Regierungs- und Militärdaten

Rein mit der Größe können Datenleaks heute kaum mehr Aufmerksamkeit erhaschen. 179 GB sensible Daten klingt zwar nach einer Menge (und ist es auch). Was dieses Leak jedoch besonders pikant macht, ist, dass vergangene und zukünftige Reisen- und Buchungsdaten auch von amerikanischen Regierungs- und Militärangehörigen frei abrufbar im Internet standen. So konnten Forscher etwa die Reisen von US-Generälen nach Russland und Israel nachvollziehen. Nach Benachrichtigung durch das Security-Scanning-Projekt des VPN-Anbieters vpnMentor, dass die Elasticsearch-Datenbank eines Reisedienstleisters in AWS ohne jeden Zugriffsschutz offenstand, benötigten die Behörden noch mehr als zwei Wochen, um die Datenbank abzusichern. Ein Fall wie viele – hier einmal (wieder) mit besonders kritischen Daten.

https://www.zdnet.com/article/autoclerk-database-leaked-customer-government-and-military-personal-records/

News

Ununhackbar: NordVPN erleidet (Breach und) Shitstorm

Der renommierte und von vielen Experten empfohlene VPN-Anbieter NordVPN hat auf die Finger bekommen. Einerseits wegen eines Breaches: Bei einem finnischen Rechenzentrumsbetreiber bestand Zugriff über ein NordVPN unbekanntes Managementinterface auf einen Server, welcher jedoch keine Verbindungsdaten der Kunden enthielt. Selbstverständlich lag hier ein Fehler des Betreibers vor, welchen NordVPN durch Ablösung des Rechenzentrums sowie verschärfte Audits in den Griff zu bekommen verspricht. Der größere Schaden dürfte der Reputationsverlust sein, den sich zum Teil die Marketingabteilung zuschreiben darf: Kurz vor Bekanntwerden des Incidents hatte die Firma mit besonders selbstbewussten Statements à la „unhackbar“ geworben, was in der Kombination eine entsprechende Aufmerksamkeit und Häme in den sozialen Netzen entfachte. Merke: Sage nur, Du seist unhackbar, wenn Du es wirklich bist. Also quasi nie.

https://nordvpn.com/blog/official-response-datacenter-breach/

News

Mal überlegen ob überlegen: Erste „Quanten-Supremacy“ erreicht

Nachdem bereits vor einer Weile die erste tatsächlich erreichte „Quanten-Supremacy“ verkündet worden war, hat Google nun endlich den offiziellen Bericht zu dem Erfolg in der Grundlagenforschung herausgebracht. Supremacy (Überlegenheit) bedeutet hier, dass ein Quantencomputer ein praktisches Problem schneller als jeder konventionelle Computer löst. Objektiv ist dies eindrucksvoll gelungen: Der supraleitende Quantenrechner konnte in 200 Sekunden eine Aufgabe berechnen, für die ein konventioneller Supercomputer 10.000 Jahre brauchen würde. Der Konkurrent IBM behauptet zwar, das Problem in einem theoretisch möglichen Supercomputer in 2 ½ Tagen bewältigen zu können, aber an der Überlegenheit ändert dies nichts.

Allerdings war das zu berechnende Problem aus der theoretischen Chemie so speziell auf den Erfolg geschneidert, dass es keinerlei sinnvolle Anwendung hat. Insofern ist Supremacy nicht gleich sinnvolles Ergebnis. Trotzdem ist hiermit ein technischer und theoretischer Meilenstein erreicht worden, den einige Kritiker den Quantencomputern bzw. ihren Konstrukteuren nie zugetraut hatten. Bis zum Brechen von Verschlüsselung ist noch ein längerer Weg – von dem allerdings ein wichtiger Schritt nun geschafft wurde.

https://www.heise.de/newsticker/meldung/Jetzt-auch-offiziell-Googles-Quantencomputer-zeigt-Quantum-Supremacy-4565771.html

News

Selbstvertrauen oder klein bei? Browser geben XSS-Schutz auf

In der aktuell verteilten Version des Chrome-Browsers ist der sogenannte XSS-Auditor, der seit 2010 (Chrome Version 4) versucht hatte, Nutzer vor Cross-Site Scripting (XSS) zu schützen, nicht mehr enthalten. Das Katz- und Maus-Spiel mit den Angreifern war zu schwierig, immer wieder wurden Lücken in dem Filter gefunden. Nun hat Google an dieser Front aufgegeben, so wie schon Microsoft letztes Jahr in Edge. Zwar stehen Web-Standards wie Content Security Policy (CSP) bereit, die XSS weitgehend einschränken können. Diese müssten jedoch von Seitenbetreibern viel konsequenter eingesetzt werden.

Für den Selbstschutz des Browsers ist ein Neubeginn angekündigt. Ein neuer offener Standard „Trusted Types API“ soll angeblich in der Lage sein, zumindest DOM-basiertem XSS ein für alle Mal den Garaus zu machen.

https://www.zdnet.com/article/google-to-remove-chromes-built-in-xss-protection-xss-auditor/

News

Mixed Feelings: Mixed Content zum Abschuss freigegeben

„Mixed Content“ im WWW bedeutet, dass sich auf einer verschlüsselten Seite auch unverschlüsselte Elemente befinden. Bisher erlaubten Browser dies noch – in der Rege mit Warnung – oder ließen es zumindest freischalten. In Chrome 80 (1/2020) werden zunächst audio+video von http: zu https: auto-remapped. Mixed Content kann immer noch freigeschaltet werden. Ab Chrome 81 (2/2020) werden auch Bilder auf https: zwangsgemapped. Mixed Content kann dann nicht mehr freigeschaltet werden. Andere Browser dürften nachziehen. Höchste Zeit also, alten Seiten mit diesem archaischen und unsicheren Überbleibsel das Gnadenbrot zu entziehen.

https://blog.chromium.org/2019/10/no-more-mixed-messages-about-https.html

News

Google petzt gegen Google: GP0 findet Android Zeroday

Eine Sicherheitslücke in Android-Telefonen wird offenbar bereits aktiv von Kunden des berüchtigten Anbieters NSO Group ausgenutzt. Das geht aus einem Bericht von Maddie Stone, einer Sicherheitsforscherin von Googles Project Zero, hervor. Es handelt sich um einen Use-after-Free-Bug im Linux-Kernel, mit dem sich auf Android-Telefonen Rechte ausweiten lassen. Ausgenutzt werden kann er von einer bösartigen Applikation oder im Zusammenspiel mit weiteren Bugs auch im Browser.

https://www.golem.de/news/linux-kernel-android-bug-wird-von-nso-group-angegriffen-1910-144250.html