Lesetipps Oktober 2019

Klima der Unsicherheit

Beim Lesen des folgenden Kommentars in der New York Times wird klar, dass die Begrenzung des Klimawandels und die Schaffung nachhaltiger Security zum Teil vor vergleichbaren Herausforderungen stehen – wenn auch die Auswirkungen auf unser Leben sehr unterschiedlich sind. Insbesondere die Bepreisung zukünftiger, bisher nicht eingetretener Risiken ist ein schweres Problem. Zu wünschen wäre, dass die zwei Felder voneinander lernen können.

https://www.nytimes.com/2019/10/23/opinion/climate-change-costs.html


Sinnkrise der Security

Heute hörens- und sehenswerter denn je ist Thomas Dulliens (Hackerhandle @halvarflake) Keynote „Why We are Not Building a Defendable Internet“ von der Black Hat Asia 2017. Er stellt darin genau die Fragen, die wir alle beantworten müssen, um zu begründen, warum und auf welche Weise wir heute weiter Security betreiben wollen, um unseren Beitrag zur Verbesserung der Welt zu leisten.

https://www.youtube.com/watch?v=PLJJY5UFtqY

It’s Magic: Wieder Fortinet-Backdoor

In der FortiGate SSL-VPN-Appliance des kalifornischen Security-Hardware-Herstellers Fortinet ist eine kritische Backdoor gefunden worden. Durch einfaches Setzen eines „magic“-Parameters konnte jeder Unbefugte die Passwörter ändern. Fortinet, schon 2016 in einen Backdoor-Skandal verwickelt, ist um Schadensbegrenzung bemüht. Allerdings lässt sich solch eine gravierende Lücke nur durch Vorsatz oder ganz grobe Mängel in der Qualitätssicherung erklären – beides keine guten Aussichten für einen Security-Vendor. Fortinet selbst deutet in sozialen Medien vielsagend-nebulös an, dass „ein bestimmter Kunde“ diese Backdoor gefordert habe, die nur „versehentlich“ in den Master für alle Appliances gelangt sei. Das Vertrauen wird man nun erst wieder herstellen müssen.

https://www.securitynewspaper.com/2019/08/29/fortinet-backdoored-fortios-or-hackers-did-for-monitoring-since-last-5-years/

Security für die Biotonne? Bioterrordatenpanne

Das US-Department für Homeland Security hat Daten des nationalen „Bioterrorismus-Verteidigungsprogramms“ über zehn Jahre auf einer unsicheren Website im Internet gehostet. Informationen wie die Lokationen bestimmter Luftsensoren in U-Bahn-Stationen und an weiteren öffentlichen Orten in mehr als 30 Städten waren ebenso verfügbar wie Testergebnisse und Listen von Stoffen, die erkannt werden können. Auch Response-Pläne für den Ernstfall hätten Interessierte jederzeit relativ leicht herunterladen können. Es ist unklar, ob die Daten tatsächlich in falsche Hände gelangt sind.

https://www.latimes.com/science/sciencenow/la-sci-biowatch-20190402-story.html

Messbasher: Cyberangriff auf Stuttgarter Messe

Ein Angriff auf die IT der Messe Stuttgart hat auch Prozesse bei drei Tochterfirmen der Stadt Stuttgart lahmgelegt, welche von der Messe-IT mitversorgt werden. Die Stadtwerke Stuttgart, in.stuttgart und Stuttgart-Marketing waren für einige Tage nicht per E-Mail erreichbar. Das Landeskriminalamt Baden-Württemberg und die Kriminalpolizei Esslingen ermittelten. Laut offiziellen Angaben sind keine Daten abhandengekommen.

https://www.stadtwerke-stuttgart.de/aktuelles-presse/news/2019/sep/04/cyber-attacke-auf-die-landesmesse-stuttgart/

Und alle so: No Hackback. Gutachten des Bundestags rät ab

Ein nicht öffentliches Gutachten, das Oberstleutnant John Zimmermann, Historiker am Zentrum für Militärgeschichte und Sozialwissenschaften der Bundeswehr, für den wissenschaftlichen Dienst des Bundestags erstellt hat, rät dringend von „Hackback“ ab. Zu hoch sei das Eskalationsrisiko, viel zu gering die abschreckende Wirkung. Das Geld sei in der Absicherung von Systemen besser angelegt.

https://www.heise.de/newsticker/meldung/Geheimgutachten-zu-Hackbacks-Eindringliche-Warnung-vor-digitalem-Gegenschlag-4512930.html

Wolkenphisher: Cloud-Dienste als Angriffsvektoren

Cloud-Dienste entwickeln sich aufgrund ihrer Verbreitung und Vielfalt immer mehr zu möglichen Angriffsvektoren. Der Security-Journalist Brian Krebs berichtet von einem Fall, in dem ein Benutzerkonto eines cloudbasierten CRM nicht mittels Multi-Faktor-Authentifizierung geschützt war und hierdurch eine Phishing-Kampagne angeblich im Namen der Firma durchgeführt werden konnte.

https://krebsonsecurity.com/2019/08/phishers-are-angling-for-your-cloud-providers/

So klingt hunter2: Tastaturgeräusch verrät Passwort

Eine Studie der Southern Methodist University hat gezeigt, dass Passwörter und andere Tastatureingaben durch das bloße Ablauschen der Tastengeräusche beim Tippen mit ausreichender Genauigkeit rekonstruiert werden können. Das Mikrofon eines Smartphones in der Nähe reicht hierfür aus. Der Angriff funktioniert sogar in lauten Konferenzräumen mit anderen tippenden Personen.

https://dl.acm.org/citation.cfm?id=3328916

Deep Mouse gegen Deep Fake: Mäuse erkennen Fälschungen

Bereits seit Juni geistert die Geschichte des Chefs eines nicht näher genannten britischen Energieanbieters durch die Medien: Dieser soll nach einem angeblichen Anruf des CEOs des deutschen Mutterkonzerns 220.000 Euro auf ein fremdes Konto überwiesen haben. Das ganze klingt als typischer CEO-Fraud zwar plausibel, die angeblich hier erstmals „professionell-kriminell“ eingesetzte künstlich erzeugte Deep Fake-Stimme des Oberchefs ist heute allerdings doch noch nicht im Arsenal der Angreifer angekommen. Trotzdem nimmt die Bedrohung durch Deep Fakes langsam zu. Eine verrückte Idee hierzu hat der Forscher George Williams im August auf der IT-Sicherheitskonferenz Black Hat in Las Vegas vorgestellt. Zusammen mit dem Neurobiologen Jonathan Saunders und dem Datenwissenschaftler Alexander Comerford behauptet er, Mäuse könnten Menschen verraten, ob eine Stimme echt oder von einem System wie Googles Tacotron 2 erzeugt sei. “Mäuse haben ein ähnliches Gehörsystem wie Menschen. Sie müssen aber keinen Sinn in den Tönen erkennen, die man ihnen vorspielt. Sie erkennen deshalb Artefakte, die auf synthetisierte Stimmen hindeuten, besser als wir Menschen.” Es sei möglich, Mäusen in 18 Wochen eine achtzigprozentige Trefferquote bei der Erkennung von gefälschten Aufnahmen beizubringen.

https://www.spiegel.de/netzwelt/web/deepfakes-werden-erkennungsmethoden-die-naechsten-uploadfilter-a-1286373.html

Lesetipps September 2019

Besser nicht im Eimer

Inzwischen gibt es öffentlich verfügbare Suchmaschinen für öffentlich zugreifbare AWS-S3-Buckets. Es kann sich für größere Organisationen lohnen, dort präventiv einmal hineinzuschauen, ob durch Fehlkonfigurationen oder Leichtfertigkeit in Entwicklungsabteilungen versehentlich die ganze Welt am eigenen Informationsschatz teilhat.

https://buckets.grayhatwarfare.com


Besser erklärt

Das Blog „Better Explained“ enthält eine ganze Reihe wertvoller Beiträge mit Tipps zum Lernen insbesondere komplexer Zusammenhänge, wie sie auch in der IT und insbesondere in der Security anzutreffen sind. Bei „Fix the Limiting Factor“ geht es etwa darum, herauszufinden, an welcher Stelle das eigene Verständnis noch hakt und hier mit einer Analogie, einem Diagramm oder einem Beispiel anzusetzen, um den nächsten Erkenntnisschritt zu erlangen.

https://betterexplained.com/articles/limiting-factor/