HiSolutions Research

Nicht witzig: Google sperrt Adblocker aus

Google hat vor, die technische Grundlage von Adblockern wie uBlock Origin, uMatrix und Privacy Badger im Chrome-Browser stark zu beschneiden. Nach Angaben des Konzerns ist dies geplant, um die Leistung zu verbessern. Der Mutterkonzern Alphabet nennt Werbeblocker allerdings eine Bedrohung für Googles Geschäftsmodell. Neben den datenschutzrechtlichen Problemen von Online-Werbung allgemein und kartellrechtlichen Fragen im Besonderen ist aus Security-Sicht vor allem problematisch, dass mit den Adblockern auch eine wichtige Schutzfunktion gegen eingeschleusten Code verschwinden könnte.
https://www.heise.de/newsticker/meldung/Google-provoziert-Unmut-mit-geplanter-Aenderungen-fuer-Adblocker-in-Chrome-4435601.html

Inzwischen musste Google bereits Zugeständnisse machen: https://www.heise.de/newsticker/meldung/Chrome-Erweiterungen-Google-macht-Zugestaendnis-im-Werbeblocker-Streit-4445967.html

HiSolutions Research

Nicht rückholbar: Biometrische Daten gestohlen

Als Vorteil für Biometrie wird immer die Usability genannt: Finger, Iris, Gesicht haben wir immer dabei und können sie nie vergessen oder verlegen. Die Schattenseite ist allerdings, dass einmal entwendete biometrische Daten unweigerlich verbrannt sind, da ich sie nicht ändern kann. Nun hat die Washington Post enthüllt, dass bei einem Cyberangriff auf einen Dienstleister der US-Grenzschutzbehörde CBP biometrische Fotos (und Nummernschilder) von bis zu 100.000 Reisenden abgezogen wurden. Die Daten standen im Darknet zum Verkauf.
https://www.golem.de/news/us-grenzschutz-datenleck-bei-einreisefotos-und-nummernschildern-1906-141806.html

HiSolutions Research

Nicht möglich? SQL-Lücke in NoSQL-Datenbank

Bei einem Penetrationstest stießen HiSolutions-Sicherheitsberater auf eine Injection-Schwachstelle im NoSQL-Datenbank-Produkt Couchbase Sync Gateway. Durch diese ließen sich im ersten Schritt Statements der Sprache N1QL – eine Verbindung von SQL und JSON – injizieren. Im zweiten Schritt konnten so klassische SQL-Angriffs-Snippets wie “UNION ALL SELECT …” an die Datenbank weitergereicht werden, um etwa massenhaft Werte auszulesen. Die kritische Schwachstelle wurde in Version v2.5 und v2.1.3 behoben – alle Nutzer sollten die Patches installieren. Unser Security-Advisory (CVE-2019-9039):
https://research.hisolutions.com/2019/06/n1ql-injection-in-couchbase-sync-gateway-cve-2019-9039/

HiSolutions Research

Ich Cyberwar’s nicht: US-Offensivmaßnahmen gegen Grids werden verschärft

Etwas verworren sind noch die Berichte und Spekulationen um angeblich akut zunehmende Offensivmaßnahmen der US-Administration in Richtung der russischen Stromnetze. Unstrittig ist, dass seit Jahren mehrere Länder – ganz vorne mit dabei die USA – im Bereich offensive Cyberfähigkeiten aufrüsten. Nun berichtet die New York Times über eine im letzten Sommer fast unbemerkt im Kongress verabschiedete Änderung der Military Authorization Bill. Demnach kann die „routinemäßige Durchführung versteckter militärischer Aktivität im Cyberspace zur Abschreckung, Sicherung oder Verteidigung gegen Angriffe oder bösartige Cyberaktivitäten gegen die Vereinigten Staaten“ durch den Verteidigungsminister autorisiert werden, ohne den Präsidenten einzubinden.
Die aktuellen Cyber-Operationen gegen den Iran werden Thema des nächsten Digest sein.
https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html

HiSolutions Research

Not OK Computer: Radiohead gehackt

Was tut die Band Radiohead, als ihre PCs gehackt und das MiniDisc-Archiv – die etwas Älteren unter uns erinnern sich vielleicht – abgezogen wird, mit dem Zweck, die berühmte Band um 150.000 US-Dollar zu erpressen? Kreative Flucht nach vorne: Die 18 Stunden bisher unveröffentlichten Rohmaterials kann man sich jetzt (bis Ende des Monats) ganz legal für 18 britische Pfund kaufen – und sämtliche Erlöse gehen an die Klimaschutzorganisation Extinction Rebellion. 
https://twitter.com/JnnyG/status/1138403690350596098

Im selben Geiste veröffentlichte die Schauspielerin Bella Thorne vor einigen Tagen Nacktfotos lieber selbst, anstatt sich einem Erpresser zu beugen: „Ich werde heute Nacht besser schlafen können, denn ich habe die Macht über mein Leben zurück.“
https://www.derwesten.de/panorama/bella-thorne-schauspielerin-wird-mit-nacktfotos-erpresst-krasse-reaktion-id226195883.html

Auch für Unternehmen gibt es Situationen, in denen es im Sinne des Krisenmanagements geraten ist, offensiv an die Öffentlichkeit zu gehen – es müssen ja nicht gleich Nacktfotos sein.

HiSolutions Research

Lesetipps Mai 2019

Fetter Fund: 100.000 Zeilen Malware

Die amerikanische Sicherheitsfirma FireEye veröffentlicht Hintergründe und technische Details zur Malware der Carbanak-Gruppe, die in den vergangenen Jahren bis zu eine Milliarde Euro bei Angriffen auf Banken und Zahlungsdienstleister sowie viele andere Unternehmen erbeutet hatte. Der mutmaßliche Kopf der Gruppe wurde – wie damals hier berichtet – vor einem Jahr verhaftet. Im Zuge von Untersuchungen sind den Analysten von FireEye nun zwei RAR-Dateien in die Hände gefallen, die den Quellcode der Malware samt zugehörigen Tools enthielten. Besteht sonst bei Analysen in der Regel Zugriff auf einige wenige Skripte oder Programme, so enthielt dieser Fund 755 Dateien, 39 Binaries und mehr als 100.000 Zeilen Code. Diese wurden nun ausgewertet und die Erkenntnisse in äußerst aufschlussreichen Blog-Beiträgen verarbeitet.
Erster Teil der Serie „CARBANAK Week Part One: A Rare Occurrence”:
https://www.fireeye.com/blog/threat-research/2019/04/carbanak-week-part-one-a-rare-occurrence.html

Netflix Original: Zero Trust

Technologisch ist die Streaming-Firma Netflix einer der großen Player und Treiber. Konzepte wie Zero Trust, Adaptive Authentication, Device Health & Authorization werden hier unter dem Slogan „Cloud First Company“ weiter getrieben als bei vielen anderen Unternehmen. Hier, standesgemäß, als Video dargestellt:
Tejas Dharamshi, Netflix, @ USENIX Enigma 2019 – Building Identity for an Open Perimeter
https://www.youtube.com/watch?v=a195I3SXa1E&

Hinter dem Kleingedruckten

Eine umfassende wissenschaftliche Analyse aus Oxford untersucht im großen Maßstab Cyberversicherungen und deren Inhalt: Was wird abgedeckt, welche Schäden und wie viel, welche Schadensereignisse und Ausschlüsse sind üblich, welche indirekten Kosten werden übernommen? Daneben gibt es auch einen Vergleich der Abschlussbedingungen, etwa welche Arten von Fragebögen zur Erhebung des Risikos verwendet werden.
https://academic.oup.com/cybersecurity/article/5/1/tyz002/5366419

Handel mit Zero Days/Exploits und der Staat

Eine gute Zusammenfassung der Debatte, auch für „Nicht-Techies“:
https://www.spiegel.de/netzwelt/netzpolitik/zero-day-exploits-ein-gesetz-mit-sicherheitsluecke-a-1266067.html

Europa kann auch was

Innovation im Bereich IT und Cyber muss nicht immer aus den USA, China oder Israel kommen. Die folgende Publikation der niederländischen KPN zeigt – nunmehr schon in sechster Auflage –, dass es auch in Europa spannende Ideen und Perspektiven im Bereich Security gibt.
https://overons.kpn/en/news/2019/kpn-publishes-sixth-edition-of-the-european-cyber-security-perspectives

HiSolutions Research

Stau as a Service? Tracking-Apps lassen remote Motoren stoppen

Ein Hacker hat demonstriert, dass sich über mindestens zwei verbreitete Apps für das Tracking von Fahrzeugflotten nicht nur die privaten Daten der Nutzer stehlen lassen, sondern in bestimmten Fällen auch remote die Motoren stoppen – solange die Autos mit weniger als 20 km/h unterwegs sind. Dies zeigt, dass schon heute zunehmend safety-relevante Fahrzeugbusse mit solchen verbunden werden, die für Entertainment, Kommunikation u. ä. vorgesehen sind.
https://www.vice.com/amp/en_us/article/zmpx4x/hacker-monitor-cars-kill-engine-gps-tracking-apps

HiSolutions Research

Reale Windows gehackt: Fensterbauer lahmgelegt

Fenster-Expertise hilft nicht automatisch gegen Ransomware: Der Sorpetaler Fensterbau ist das neueste in einer langen Reihe von Unternehmen, die nach einer erfolgreichen Attacke – und deren Bewältigung – an die Öffentlichkeit gegangen sind, damit andere daraus lernen können. In diesem Fall waren Backups auf externen Festplatten vorhanden, sodass nach sechs Stunden der erste Server wieder einsatzbereit war. Trotzdem dauerte es bis zur kompletten Wiederherstellung mehrere Tage. Der Schaden lag bei mehreren zehntausend Euro. Dass es beileibe nicht immer so glimpflich ausgeht, zeigen die Erfahrungen der HiSolutions-Incident Response-Hotline. So ist in einem nicht unerheblichen Teil der Fälle entweder kein umfassendes Backup vorhanden oder der Restore hat mangels vorhergehender Tests nicht erwartungsgemäß funktioniert. Teilweise waren sogar Backups durch den Trojaner gleich mitverschlüsselt worden.
https://www.welt.de/regionales/

HiSolutions Research

Stille Post von hinten durch die Brust: Daten-Extraktion via DNS-over-HTTPS

DNS war lange ein beliebtes bzw. gefürchtetes Mittel, um Daten aus sicheren Unternehmensnetzen hinauszuexfiltrieren. Man hat dies heute halbwegs unter Kontrolle, indem Techniken wie Sinkholing und Filterung eingesetzt werden – theoretisch, denn in der Praxis hinken viele Unternehmen hier noch hinterher. Doch die Behebung eines anderen Problems von DNS – fehlende Verschlüsselung – bringt nun die alten Gespenster wieder zurück. Zwar kann durch Techniken wie DNS-over-HTTPS (DoH) die Namensauflösung gesichert bei einem der großen Anbieter geschehen – doch wenn diese dann wieder per DNS bei einem vom Angreifer kontrollierten DNS-Server anfragen, hat der Angreifer nicht nur den Exfiltrationskanal wieder geöffnet, sondern er hat auch noch die perfekte Tarnung dafür. Denn welche Firewall oder welche DLP-Lösung würde schon Böses hinter DNS-Verbindungen zu Google oder Cloudflare vermuten? 
https://sensepost.com/blog/2018/waiting-for-godoh/

HiSolutions Research

Langsam immer toter: SHA-1-Kollisionen werden praktischer

Der Hashalgorithmus SHA-1 gilt schon mindestens seit dem sogenannten „SHAttered-Angriff“ (shattered.io) vor zwei Jahren als derart angeschlagen, dass er nicht mehr verwendet werden sollte. Bisher waren Angriffe allerdings so aufwändig, dass sie kaum in der Reichweite von realen Angreifern waren. Dies hat sich nun geändert: Mit der ersten Chosen-Prefix Kollisionsattacke stehen nun Angriffswerkzeuge bereit, die den weiteren Einsatz von SHA-1 hochgefährlich machen. Denn nun können Signaturen – wenn auch aktuell noch mit Kosten in der Größenordnung von 100.000 USD – über beliebige Daten gefälscht werden.
https://www.zdnet.com/article/sha-1-collision-attacks-are-now-actually-practical-and-a-looming-danger/