Kategorie: News

HiSolutions Research
News

Kinky Fun for Attackers: Dating Apps leaken Privatestes

Über die Dating-App „3fun“ soll man „lokale kinky, offene Menschen“ finden können. Doch wie Ken Munro vom Unternehmen Pen Test Partners aufzeigte, konnten durch eklatante Sicherheitslücken die privatesten Daten von mehr als 1,5 Millionen Menschen des Gruppen-Dating-Dienstes potenziell extrahiert werden, inklusive Bilder, Präferenzen – und Lokation. Letztere war laut den Forschern bei einigen Nutzern auf das Weiße Haus, den US-Supreme-Court und die Downing Street Nr. 10 gesetzt, was aber nicht zwangsweise der Wahrheit entsprechen muss.

https://www.pentestpartners.com/security-blog/group-sex-app-leaks-locations-pictures-and-other-personal-details-identifies-users-in-white-house-and-supreme-court/

HiSolutions Research
News

NULL != Nichts. Scherzkeks stellt sich selbst ein Bein

Ein Prank (Scherz) des amerikanischen Hackers „Droogie“, die automatische Kfz-Kennzeichenerkennung zu foppen, ist gewaltig schiefgegangen. Zwar speicherte das System der Behörde DMV sein selbst gewähltes Kennzeichen brav wörtlich als die Zeichenkette „NULL“ ab, die er beantragt und erhalten hatte. Wie er auf der Konferenz Black Hat berichtete, ordnete das System aber in dem Moment, als er tatsächlich einmal „geblitzt“ wurde, ihm automatisch alle Geschwindigkeitsüberschreitungsvergehen zu, die kein korrekt erkanntes Kennzeichen enthielten (Wert (NULL) in der Datenbank). Wie es mit den über 12.000 USD an ihm zugewiesenen Strafen weitergeht, ist noch in Diskussion – ebenso wie die Frage, ob Droogie nun sein Kennzeichen ändern muss.

https://mashable.com/article/dmv-vanity-license-plate-def-con-backfire/?europe=true

HiSolutions Research
News

Lesetipps August 2019

Offene Bücher

Onboarding neuer Mitarbeiter im Bereich der Security ist eine Herausforderung – und einer der wesentlichen Faktoren für eine erfolgreiche, langfristige Zusammenarbeit. Moderne „remote first“ / „remote only“-Firmen wie GitLab sind inzwischen dazu übergegangen, Prozessbeschreibungen und Handbücher öffentlich zu machen. So können sich nicht nur zukünftige Mitarbeiter, Bewerber oder Interessenten ein sehr genaues Bild über die Arbeitsbedingungen machen, sondern die ganze Branche profitieren. Ein wahres Füllhorn von Informationen und Best Practices zu Themen wie Endpoint Security, IAM und Zero Trust bieten etwa folgende Einstiegsseiten:

Onboarding Startseite: https://about.gitlab.com/handbook/general-onboarding/
Onboarding Security: https://gitlab.com/gitlab-com/people-ops/employment/blob/master/.gitlab/issue_templates/onboarding.md#for-security-only
Security Handbook: https://about.gitlab.com/handbook/security/

Tiefe Theorien

Die Security- und DevOps-Vordenkerin Kelly Shortridge setzt in ihrem neusten Blogeintrag auf ihren jüngsten Black Hat-Vortrag „Controlled Chaos – The Inevitable Marriage of DevOps & Security“ noch einmal ein Schippchen drauf: In „When Prospect Theory Meets Chaos Engineering“ verbindet sie virtuos Psychologie, Chaostheorie und Security, um einen Weg zu beschreiben, wie eine kulturelle Veränderung in Richtung „Dinge werden gehackt werden“ (things will be pwned) helfen kann, angemessenere Risikoentscheidungen zu treffen.

https://swagitda.com/blog/posts/when-prospect-theory-meets-chaos-engineering

Ausgeseitete Kampfzonen

Hacker-Zines (Fan-/Liebhaberzeitschriften) sind tot? Keineswegs, wie eine neue kostenlose Publikation zeigt, die der bei Google in Lohn und Brot stehende polnische Sicherheitsforscher Gynvael Coldwind und Friends herausgeben. Das besondere bei „Paged Out“ ist, dass die Artikel zu Themen wie „programming (especially programming tricks!), hacking, security hacking, retro computers, modern computers, electronics, demoscene, and other similar topics“ jeweils nur eine Seite lang sind. Ideale Pausenlektüre!

https://pagedout.institute/

HiSolutions Research
News

Endspurt vor dem Brexit? Rekord-Datenschutzbußgelder in Großbritannien

Die britische Datenschutzaufsichtsbehörde hat wegen eines Datenschutzvorfalls ein Bußgeld über 205 Millionen Euro gegen British Airways verhängt. Interessanterweise hatten diese den Vorfall selbst gemeldet, weswegen die Firma Widerspruch gegen die Entscheidung einlegen will. Ein weiteres Bußgeld von rund 110 Millionen Euro droht Marriott International. Auch hier ist der Grund ein Datenschutzvorfall.
Aber nicht nur auf der Noch-EU-Insel wird es ernst: Die Niederländer haben gegen ein Krankenhaus ein Bußgeld von 460.000 Euro verhängt. Grund war, dass die Patientenakte eines Prominenten zu vielen Personen zugänglich gemacht wurde (Art. 32 DSGVO).

https://www.heise.de/security/meldung/Marriott-Daten-von-500-Millionen-Hotelgaesten-abgegriffen-4236576.html

https://www.spiegel.de/netzwelt/netzpolitik/british-airways-millionenstrafe-wegen-datenpanne-a-1276270.html

https://autoriteitpersoonsgegevens.nl/nl/nieuws/haga-beboet-voor-onvoldoende-interne-beveiliging-pati%C3%ABntendossiers

HiSolutions Research
News

Bisschen bipartisan schadet nie: Securing Energy Infrastructure Act verabschiedet

Der US-Senat hat ein von Abgeordneten beider großen Parteien („bipartisan“) eingebrachtes Gesetz zum Schutz der Stromnetze verabschiedet: Der „Securing Energy Infrastructure Act (SEIA)“ schafft ein auf zwei Jahre angelegtes Pilotprogramm, um Möglichkeiten zu erforschen, das Grid zukünftig durch „Low-Tech“ resilienter gegen Cyberattacken zu machen. Entgegen dem allgemeinen Trend der Automatisierung und Vernetzung sollen wieder verstärkt „analoge und nicht-digitale Geräte“ zum Einsatz kommen.

https://www.utilitydive.com/news/senate-passes-cybersecurity-bill-to-decrease-grid-digitization-move-toward/557959/

HiSolutions Research
News

Aber sicher, Partner: 2FA für Microsoft Cloud Partner

Microsoft will die Sicherheitsbedingungen für Partner verschärfen. „Cloud Partner“ verkaufen Leistungen von Microsoft weiter und bieten dabei administrative Hilfe an. Unter anderem soll Zwei-Faktor-Authentifizierung (2FA) Pflicht werden. Zuletzt hatte etwa PCM Inc. einen Sicherheitsvorfall aufgrund eines Phishing-Angriffs erlitten.

https://krebsonsecurity.com/2019/06/microsoft-to-require-multi-factor-authentication-for-cloud-solution-providers/

https://krebsonsecurity.com/2019/06/breach-at-cloud-solution-provider-pcm-inc/

HiSolutions Research
News

Millionen? Ich dachte Milliarden! Quantencomputer rücken dank Rechentricks näher

Quantencomputer gefährden bekanntlich, wenn sie einmal in ausreichender Größe gebaut werden können, das Gros der heute im Einsatz befindlichen kryptographischen Verfahren. Unter anderem sind asymmetrische Kryptographie wie RSA und elliptische Kurven sowie die meisten Arten von Signaturen hinfällig, symmetrische Algorithmen wie AES büßen de facto „nur“ die Hälfte ihrer effektiven Schlüssellänge ein. Noch gibt es jedoch große technische Hürden, ausreichend Stabilität hinzubekommen, um einen Quantenrechner ernstzunehmende Dechiffrierung ausführen zu lassen –theoretisch. Forschern von Google und des Royal Institute of Technology in Stockholm ist es nun gelungen, die Algorithmen so umzuformen, dass 20 Millionen wackelige Qubits genügen könnten, um RSA 2048 zu brechen. Das ist immer noch weit über dem aktuellen Rekord von 70 Qubits, aber zwei Größenordnungen unter der zuvor benötigten Zahl von einer Milliarde Qubits. Sollte die Forschung in diesem Tempo weitergehen, wären praktische Quantencomputer vermutlich weniger als 10 Jahre entfernt.

https://www.technologyreview.com/s/613596/how-a-quantum-computer-could-break-2048-bit-rsa-encryption-in-8-hours

HiSolutions Research
News

Sicherer Brausen: BSI-Mindeststandard Browsersicherheit

Das BSI hat einen Draft des überarbeiteten Mindeststandards für sichere Browser publiziert. Ein Muss sind demnach inzwischen moderne Sicherheitstechniken wie HSTS (HTTP Strict Transport Security; erzwungenes TLS), CSP (Content Security Policy; Schutz vor Einschleusung von Daten wie XSS) und SRI (Subresource Integrity; Integritätsschutz von Drittparteikomponenten einer Webseite wie etwa auf einem CDN gehosteter Skripte). Anmerkungen der Community sind gerne gesehen.

https://www.bsi.bund.de/DE/Themen/StandardsKriterien/Mindeststandards_Bund/Sichere_Web-Browser/Sichere_Web-Browser_node.html

HiSolutions Research
News

I Query the Power: Neue Angriffe auf Excel

Excels Power-Query-Feature kann über das Uraltprotokoll DDE (Dynamic Data Exchange) Dateien von Remote-Quellen importieren. Damit lässt sich auch bösartiger Code in ein System einschleusen – schwer zu erkennen für den Nutzer, da kaum Interaktion notwendig ist. Den Forschern von Mimecast gelang damit die Umgehung der Sandbox, die per E-Mail versandte Dokumente analysieren soll, bevor Nutzer sie öffnen. Normalerweise müsste der Nutzer DDE per Doppelklick in eine Zelle und einen weiteren Klick erlauben – nicht aber, wenn der Angreifer das bösartige Dokument in einer älteren Version von Office erstellt. In Word ist DDE wegen ähnlicher Probleme schon seit 2017 deaktiviert.

https://www.mimecast.com/blog/2019/06/exploit-using-microsoft-excel-power-query-for-remote-dde-execution-discovered/

HiSolutions Research
News

War das 1 Game – innogy eröffnet Energie-Cyberrange

Interaktivität und Realismus werden im Training von Cyberzwischenfällen immer wichtiger, um Komplexität und auch Stressniveau realer Angriffe abbilden und üben zu können. Der Essener Energiekonzern innogy ist nun für die deutsche Energiebranche vorgeprescht und hat die „Cyberrange-e“ eröffnet, ein interaktives Trainingszentrum für „War Gaming“. Das blaue Team, bestehend aus Mitarbeitern verschiedener Energiefirmen, muss die Angriffe des roten Teams „professioneller Hacker“ (FAZ), das in einem anderen Raum untergebracht ist, abwehren. Innogy hat das Konzept mit einer von israelischen Sicherheitsexperten gegründeten Firma erarbeitet, die schon länger solche „CyberGyms“ betreibt.

https://www.faz.net/aktuell/wirtschaft/diginomics/innogy-eroeffnet-trainingszentrum-gegen-hackerangriffe-16262688.html