Eine Studie der Southern Methodist University hat gezeigt, dass Passwörter und andere Tastatureingaben durch das bloße Ablauschen der Tastengeräusche beim Tippen mit ausreichender Genauigkeit rekonstruiert werden können. Das Mikrofon eines Smartphones in der Nähe reicht hierfür aus. Der Angriff funktioniert sogar in lauten Konferenzräumen mit anderen tippenden Personen.
Bereits seit Juni geistert die Geschichte des Chefs eines nicht näher genannten britischen Energieanbieters durch die Medien: Dieser soll nach einem angeblichen Anruf des CEOs des deutschen Mutterkonzerns 220.000 Euro auf ein fremdes Konto überwiesen haben. Das ganze klingt als typischer CEO-Fraud zwar plausibel, die angeblich hier erstmals „professionell-kriminell“ eingesetzte künstlich erzeugte Deep Fake-Stimme des Oberchefs ist heute allerdings doch noch nicht im Arsenal der Angreifer angekommen. Trotzdem nimmt die Bedrohung durch Deep Fakes langsam zu. Eine verrückte Idee hierzu hat der Forscher George Williams im August auf der IT-Sicherheitskonferenz Black Hat in Las Vegas vorgestellt. Zusammen mit dem Neurobiologen Jonathan Saunders und dem Datenwissenschaftler Alexander Comerford behauptet er, Mäuse könnten Menschen verraten, ob eine Stimme echt oder von einem System wie Googles Tacotron 2 erzeugt sei. “Mäuse haben ein ähnliches Gehörsystem wie Menschen. Sie müssen aber keinen Sinn in den Tönen erkennen, die man ihnen vorspielt. Sie erkennen deshalb Artefakte, die auf synthetisierte Stimmen hindeuten, besser als wir Menschen.” Es sei möglich, Mäusen in 18 Wochen eine achtzigprozentige Trefferquote bei der Erkennung von gefälschten Aufnahmen beizubringen.
Besser nicht im Eimer
Inzwischen gibt es öffentlich verfügbare Suchmaschinen für öffentlich zugreifbare AWS-S3-Buckets. Es kann sich für größere Organisationen lohnen, dort präventiv einmal hineinzuschauen, ob durch Fehlkonfigurationen oder Leichtfertigkeit in Entwicklungsabteilungen versehentlich die ganze Welt am eigenen Informationsschatz teilhat.
https://buckets.grayhatwarfare.com
Besser erklärt
Das Blog „Better Explained“ enthält eine ganze Reihe wertvoller Beiträge mit Tipps zum Lernen insbesondere komplexer Zusammenhänge, wie sie auch in der IT und insbesondere in der Security anzutreffen sind. Bei „Fix the Limiting Factor“ geht es etwa darum, herauszufinden, an welcher Stelle das eigene Verständnis noch hakt und hier mit einer Analogie, einem Diagramm oder einem Beispiel anzusetzen, um den nächsten Erkenntnisschritt zu erlangen.
Forscher der Ruhr-Uni Bochum haben einen Bericht über die Hackergruppe „Winnti“ veröffentlicht, die aktuell deutsche Unternehmen wie Thyssenkrupp und Bayer angreifen soll. Winnti späht seit mindestens zehn Jahren – laut Berichten aus China – Unternehmen weltweit aus.
Nach Analysen des Teams um Prof. Thorsten Holz vom Horst-Görtz-Institut für IT-Sicherheit seien mindestens ein Dutzend Firmen von Schadcode der Gruppe Winnti betroffen, darunter sechs DAX-Konzerne. Im Fokus stehe besonders die chemische Industrie, aber auch Hersteller von Computerspielen, Telekommunikationskonzerne, Pharmaindustrie und die Halbleiterbranche. Die an den Recherchen beteiligten Reporter des Bayerischen Rundfunks (BR) und des Norddeutschen Rundfunks (NDR) kontaktierten nach eigenen Angaben insgesamt 14 Firmen, um sie auf die mögliche Infektion hinzuweisen. Einige Unternehmen räumten einen entsprechenden Angriff ein, teilweise laufen die Analysen noch.
Kommunen in der westlichen Welt, insbesondere den USA, klagen seit längerem über Ransomware-Angriffe, welche in der Vergangenheit bereits des Öfteren ganze Stadtverwaltungen lahmgelegt haben. Diesmal hat es 23 kleine texanische Städte gleichzeitig getroffen. Angesichts dessen kann nicht mehr von Zufallstreffern gesprochen werden, vielmehr muss von einem koordinierten Angriff ausgegangen werden. Aufgrund des Zwischenfalls wurde die zweithöchste Stufe (“Level 2 Escalated Response”) des dortigen Katastrophenschutzamtes (Department of Emergency Management) ausgelöst.
Auch die HiSolutions-Notfallhotline verzeichnet seit geraumer Zeit eine zunehmende Professionalisierung der Angriffe.
https://www.cnbc.com/2019/08/19/alarm-in-texas-as-23-towns-hit-by-coordinated-ransomware-attack.html
Ein Artikel im Handelsblatt gibt einen aktuellen Einblick in den zuletzt stark gewachsenen Markt der Cyberversicherungen. Laut Eco-Verband plant jedes fünfte Unternehmen in Deutschland den Abschluss einer solchen Police, welche nicht nur die Betriebsunterbrechung und die Haftpflicht im Fall eines Datenmissbrauchs übernimmt, sondern im Idealfall auch die Kosten für Krisenmanagement, IT-Forensik, rechtlichen Beistand und Wiederherstellung der Systeme. Der Anbieter Hiscox etwa, der für Risikobewertung, Incident-Response und Krisenmanagement exklusiv mit HiSolutions zusammenarbeitet, hat zwischen 2016 und 2018 weltweit rund 2.000 Schadensfälle reguliert. Teuerstes Ereignis in Deutschland war ein Angriff auf eine Digitalagentur, bei der ein Angreifer eine Woche lang die Systeme lahmgelegt und Besucher von Kundenwebseiten auf Pornoangebote umgeleitet hatte. Neben dem Reputationsschaden beliefen sich die Kosten für Abwehr und Reparaturen damals auf fast drei Millionen Euro.
Insider-Angriffe sind unbeliebt – insbesondere natürlich bei den (potenziellen) Opfern. Nicht nur wegen der möglichen gravierenden Folgen; vielmehr bereitet schon das Nachdenken und Sprechen darüber Schmerzen, wollen sich viele doch die Vorstellung von Vertrauen und Integrität innerhalb der eigenen Mitarbeiterschaft bewahren. Eine aktuelle Verhaftungswelle beim amerikanischen Mobilfunk- und Kommunikationsriesen AT&T rüttelt nun wach: Eine Reihe von Mitarbeitern wurde hier bestochen, in großem Maßstab SIM-Locks aufzuheben. In diesem Fall stellt das „nur“ einen wirtschaftlichen Schaden für den Anbieter dar. Derselbe Angriffsvektor ließe sich aber genauso leicht für Angriffe auf Daten von Kunden oder Kommunikationsverbindungen nutzen. Dies wirft nicht zuletzt tiefere Fragen in Bezug auf Supply Chain Security auf.
https://www.wired.com/story/att-insiders-bribed-unlock-phones/
Interessanterweise gilt in manchen Gebieten Biometrie immer noch als geeignetes Mittel, um Zugriffsschutz auf besonders sensible Bereiche oder Daten zu implementieren. Dass dieser Glaube Gefahren birgt, zeigt eindrucksvoll ein Leak der Fingerabdrücke und Gesichtserkennungsdaten, die für über eine Million Menschen unverschlüsselt und ungehasht im Internet abrufbar waren.
Das web-basierte(!) biometrische Schließsystem Biostar 2 wird von über 5.000 Organisationen in 83 Ländern genutzt, darunter Regierungen, Banken, Rüstungsproduzenten und die Metropolitan Police von Großbritannien. Über eine relativ simple Manipulation einer URL, welche eine Elasticsearch-Datenbank abfragt, ließen sich 23 Gigabyte sensibler Daten abgreifen – inklusive Echtzeit-Informationen über weltweite Zugriffe der Nutzer.
Die Webseite „GDPR Enforcement Tracker“ versucht, die Bußgelder zusammenzutragen, die Datenschutzbehörden in der EU nach der DSGVO verhängt haben. Da die Liste aus verschiedenen Gründen notwendigerweise nicht vollständig ist und ständiger Veränderung unterliegt, sind weitere Meldungen willkommen.
Die beiden höchsten Einträge (> 200 Mio. € bzw. > 100 Mio. €) sind übrigens die im letzten Digest berichteten Strafen für British Airways und Marriott International.
Der Vortrag des Oxforder PhD-Studenten James Pavur auf der Black Hat hat gezeigt, dass man mit Verweis auf die DSGVO per Abfrage der angeblich “eigenen” Informationen viele teils streng private Daten von anderen erschleichen kann. Ein von seiner Freundin erlaubtes Experiment mit ihren Accounts ergab, dass 24 % der Firmen ihm ohne weitere Prüfung ihre sämtlichen persönlichen Daten preisgaben. Immerhin 16 % fragten zunächst weitere Nachweise wie Identitätsinformationen an, welche aber häufig leicht zu fälschen waren. Und 5 bzw. 3 % besonders schlaue Firmen behaupteten, nicht von der DSGVO betroffen zu sein bzw. löschten einfach schnell ihre Accounts. U. a. bekam Pavur ihre Kreditkartennummer und diverse Passwörter frei Haus – sogar von Unternehmen, mit denen sie nie bewusst in Kontakt war.
Der Forscher beklagt diese offensichtlichen Sicherheitslücken in der rechtlichen Implementation der DSGVO sowie die Tatsache, dass die zuständigen Stellen in den Unternehmen häufig nicht über Social Engineering aufgeklärt sind.
https://www.theregister.co.uk/2019/08/09/gdpr_identity_thief/