Kategorie: News

News

Toter als tot: SHA1

Der immer noch viel zu häufig eingesetzte Hash-Algorithmus SHA1 gilt schon seit Jahren als theoretisch gebrochen und deutlich geschwächt. Bisher waren praktische Angriffe für die meisten Akteure jedoch außer Reichweite. Nun konnten Forscher die Kosten für eine sogenannte Kollisionsattacke und vor allem für die wesentlich gefährlichere „Chosen-Prefix Kollisionsattacke“, mit der sich etwa digitale Signaturen fälschen lassen, noch einmal entscheidend auf wenige 10.000 Euro senken, Tendenz fallend.

Höchste Zeit, den diversen Empfehlungen (u. a. des BSI) zu folgen und SHA1 durch modernere Algorithmen wie SHA2 oder SHA3 zu ersetzen.

https://sha-mbles.github.io/

News

Lesetipps Januar 2020

Wissen: NCSC Cyber Body of Knowledge

Das britische National Cyber Security Centre (NCSC) hat versucht, in einem Dokument das derzeit aktuelle Wissen zum Thema Cybersicherheit zusammenzutragen. Der „Cyber Security Body of Knowledge“ kann für einige der Themen durchaus ein guter Startpunkt sein.

https://www.ncsc.gov.uk/blog-post/full-version-of-the-cyber-security-body-of-knowledge-published

Modellieren: MITRE ATT&CK Framework

Weniger zum Lesen, sondern viel mehr zum Ausprobieren: Das MITRE ATT&CK Framework hat sich zu einem mächtigen Tool entwickelt, wenn es um die Modellierung von Angreiferverhalten („Tools, Tactics, Procedures – TTP“) geht.

https://attack.mitre.org/resources/getting-started

Mit dem Navigator lässt sich direkt im Browser herumspielen, um etwa zu schauen, welche Angriffsvektoren man noch nicht auf dem Schirm hatte.

https://mitre-attack.github.io/attack-navigator/enterprise

Cheaten: OWASP im neuen Gewand

Ebenfalls einen Blick lohnt die neue Website des OWASP-Projekts, bekannt vor allem für die „Top 10“ der Schwachstellen bei Webapplikationen, aber auch für eine große Sammlung brauchbarer Security-Cheat-Sheets, welche nun einfacher zu finden sind.

https://www.owasp.org

Aufgeben: Undercover in den 2020ern

Gerade Geheimdienste haben es schwer angesichts der immer allgegenwärtigeren personenbezogenen Daten und Überwachungstechniken. Über den vergeblichen Kampf, heute noch undercover zu sein:

https://news.yahoo.com/shattered-inside-the-secret-battle-to-save-americas-undercover-spies-in-the-digital-age-100029026.html

News

Vertracked: Geo-Lokation als Safety-, Security- und Privacy-Katastrophe

Eine neue Enthüllungsgeschichte der New York Times nimmt sich den Markt der Sammler und Anbieter von Geo-Lokationsdaten vor. Die gemeinhin unbekannten Firmen verarbeiten Daten, die von Smartphones und vor allem von Tausenden Apps unterschiedlichster Funktion erzeugt werden. Dadurch sind sie in der Lage, genaue Bewegungs- und Persönlichkeitsprofile der meisten Menschen anzulegen. Die Times zeigt eindrucksvoll, wie anhand eines eingeschränkten Auszugs eines solchen Datensatzes Besucher bei Celebrities und im Weißen Haus, Mitarbeiter im Pentagon und Demonstranten unterschiedlicher Couleur nicht nur mühelos identifiziert, sondern virtuell bis zu ihren Wohnungen und Arbeitsstätten verfolgt werden konnten. In den Händen eines Stalkers wäre ein solcher Datensatz, der auf dem grauen Markt bereits heute käuflich zu erwerben ist, ein Albtraum – in den Händen eines autoritären oder sich in die autoritäre Richtung entwickelnden populistischen politischen Systems eine Katastrophe. Denn diese Art von Daten ist kaum zu anonymisieren und zudem bisher faktisch und praktisch nicht ausreichend reguliert.

https://www.nytimes.com/tracked ​​​​​

News

Rechnung von der Schwiegermutter: Emotet-Masche zieht

Die neue Masche von Emotet und Co., die Glaubwürdigkeit von SPAM-Nachrichten mit Viren-Anhängen zu erhöhen, indem Kontakte und frühere Konversationen bei bereits befallenen Opfern angezapft und genutzt werden, um neue potenzielle Opfer anzusprechen (wir berichteten), scheint unheilvoll zu ziehen. So traf es in den letzten Tagen unter anderem das Klinikum Fürth, die Stadtverwaltung Frankfurt und die Uni Gießen (wobei hier die Hintergründe noch nicht klar sind). Ganz nach dem Motto: Auch wenn es irgendwie merkwürdig ist, warum mir meine Schwiegermutter eine Rechnung schickt, klicke ich aus reiner Neugier trotzdem. Aktuelle Awareness-Kampagnen reichen nicht mehr aus, um die Nutzer immun zu machen.

https://www.faz.net/aktuell/rhein-main/diese-schadsoftware-hat-das-it-system-der-uni-giessen-befallen-16543809.html

Dies lässt sich gut im Rahmen einer größeren „Marktverschiebung“ zu immer komplexeren Viren lesen. Hier gut zusammengefasst von Heise: https://www.heise.de/security/artikel/Emotet-Trickbot-Ryuk-ein-explosiver-Malware-Cocktail-4573848.html

News

APT meets Rent-a-Ransom: Cybercrime-as-a-Service 2.0

Die Entstehung und Entwicklung der komplexen Schadsoftware TrickBot, ihrer Vorgänger, Methoden und Verknüpfungen bis hin zu APTs und nordkoreanischen Hackergruppen zu verstehen ist wichtig, um aktuelle Angriffswellen einordnen und verstehen zu können. Kern der Geschichte ist laut Analysten von SentinelOne, dass TrickBot es geschafft habe, die vielen ehemals vereinzelten Bereiche der „Cyber“-Kriminalität wie Banking-Fraud, Ransomware, Diebstahl von persönlichen Informationen und Cryptomining zusammenzubringen und in einer modularen Schadsoftware hochautomatisiert zu verpacken, die dann als Cybercrime-as-a-Service an Dritte vermietet wird.

https://labs.sentinelone.com/the-deadly-planeswalker-how-the-trickbot-group-united-high-tech-crimeware-apt

Technische Details: https://assets.sentinelone.com/labs

News

Eingebaute Löschfrist: Zeitbombe in HP-Storage

Große Koalitionen halten manchmal vier Jahre – bestimmte Speichersysteme von Hewlett Packard Enterprise (HPE) nur 3 Jahre, 270 Tage und 8 Stunden. Nach genau 215 (32.768) Stunden Laufzeit geben die Enterprise-SSD-Komponenten den Löffel ab und die auf ihnen gespeicherten Daten nie mehr her. Der GAU lässt sich mit einem Update der Firmware verhindern.

https://www.heise.de/newsticker/meldung/HPE-warnt-vor-SSD-Ausfaellen-4596674.html

Einen ähnlich unglücklichen Fehler produzierte Cisco: Alle mit IOS signierten X.509-Zertifikate verlieren Anfang 2020 ihre Gültigkeit – und dann können keine neuen mehr erzeugt werden, wenn bis dahin kein Update eingespielt wurde.

https://www.heise.de/security/meldung/Cisco-Admins-aufgepasst-Selbst-signierte-X-509-Zertifikate-laufen-am-1-1-20-aus-4620903.html

News

Contingent Business Continuity Continues Continuously: ISO 22301:2019

Der führende internationale BCM-Standard ISO 22301 wurde am 31.10.2019 in neuer Version veröffentlicht. Unter anderem wurden im Vergleich zur bisher gültigen Version von 2012 die aktuellen ISO-Anforderungen an Managementsysteme berücksichtigt, Anforderungen geklärt und ergänzt sowie redaktionelle Umstrukturierungen vorgenommen.

https://www.continuitycentral.com/index.php/news/business-continuity-news/4587-revised-version-of-iso-22301-business-continuity-standard-now-available

Auch das BSI überarbeitet mit Unterstützung von HiSolutions gerade seinen Standard für das Notfallmanagement, 100-4 -> 200-4.

News

Drei Tage wach: 72h Schwarzfallredundanz

Für Übertragungsnetzbetreiber gibt es seit neuestem eine Verpflichtung zu einer „72 Stunden Schwarzfallredundanz“. Dies impliziert, dass alle versorgungsrelevanten Informationssysteme ebenfalls angemessen gegen Stromausfall abgesichert werden müssen. Die 72 Stunden leiten sich ab aus der EU-Verordnung 2017/2196 vom 24. November 2017 in Verbindung mit einem Begleitdokument der Bundesnetzagentur vom 2. Oktober 2019. 

https://www.bundesnetzagentur.de/DE/Service-Funktionen/Beschlusskammern/1_GZ/BK6-GZ/2018/BK6-18-249/BK6-18_249_begleitdokument_vom_02_10_2019_vergleichsversion.pdf?__blob=publicationFile&v=1
News

Hack Yourself mit Microsoft: Das Security Portal kommt

Microsoft ist dabei, die Sichten und Daten diverser Ökosystem-eigener (Cloud-)Sicherheitstools im „Microsoft Security Portal“ zusammenzuführen (in Zukunft erreichbar unter security.microsoft.com – noch läuft dort ein „private preview“ für ausgewählte Nutzer). Ein Blogpost anlässlich der jüngsten Microsoft-Ignite-Konferenz zeigt in Form eines „Hack Yourself“-Experiments anschaulich, was dort an Funktionen zu erwarten ist, mit denen O365 & Co. abgesichert werden können.

https://emptydc.com/2019/11/21/go-hack-yourself-ignite-2019-edition/

News

Auf Sicht: Neue EBA-Richtlinie

Die Europäische Bankenaufsicht EBA hat eine neue Richtlinie zum Informationssichereitsmanagement und Business Continuity Management in Banken veröffentlicht. U. a. werden Anforderungen an das ISMS (inkl. Vorgaben-Framework, Assessments, Tests usw.), an das IT-Management sowie an das BCM (inkl. Methodik für die Business-Impact-Analyse, Business-Continuity-Plänen, Tests und Krisenkommunikation) gestellt. Wie so häufig steckt der Teufel im Detail. So wird etwa konkret gefordert, dass in der Business-Impact-Analyse auch Schutzziele zur Informationssicherheit betrachtet werden und somit die Verzahnung aus BIA und Schutzbedarfsfeststellung erfolgen muss. Die Guideline wird zum 30. Juni 2020 in Kraft gesetzt und ab dann auch geprüft.

https://eba.europa.eu/eba-publishes-guidelines-ict-and-security-risk-management