Nicht billig: Augenzeugenbericht SIM Port Hack

Zwei-Faktor-Authentifizierung ist eine gute Sache – wenn der zweite Faktor nicht leicht zu stehlen ist. Leider werden SIM-Port-Angriffe, also die Übernahme der Rufnummer durch Angreifer via Standardprozesse der Mobilfunkanbieter, immer häufiger. Dies erzählt der Augenzeugenbericht eines Kryptowährungsbesitzers („teuerste Lektion meines Lebens“).
https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124?sk=4c29b27bacb2eff038ec8fe4d40cd615

Nicht totzukriegen: Der Traum von sicherer E-Mail

Google hat angekündigt, dass der sogenannte „Confidential Mode“ zukünftig für alle Nutzer von Gmail verfügbar ist. Die Funktion erlaubt ein Rechtemanagement, über das beispielsweise E-Mails mit einem Ablaufdatum versehen werden können, sowie das Zurückziehen bereits gesendeter Nachrichten. Weiterhin soll es auch möglich sein, zusätzliche Authentifizierung zum Lesen einer Nachricht einzufordern.

Experten sehen dies kritisch, da bestimmte Angriffsvektoren wie Zwischenspeichern oder Screenshots prinzipiell schwer zu verhindern sind bzw. in der Regel ein Trade-Off zwischen verschiedenen Sicherheitszielen wie Vertraulichkeit und Verfügbarkeit notwendig ist. Trotzdem ist es wichtig, weiter an der Absicherung von E-Mails zu arbeiten, wird uns dieses besonders unsichere Kommunikationsmedium doch noch geraume Zeit weiter begleiten.
https://gsuiteupdates.googleblog.com/2019/05/gmail-confidential-mode-launching-on-by.html

Lesetipps Juni 2019

Not Just Someone Else’s Computer

Angesichts der neuen Cloud-Meldungen und der Nicht-Totkriegbarkeit des Spruchs „Cloud ist nur Somebody Else’s Computers“ lohnt sich noch einmal das Nachlesen eines Beitrags auf ZDNet von 2016, warum Cloud eben doch mehr – und vor allem anders – ist. 
https://www.zdnet.com/article/stop-saying-the-cloud-is-just-someone-elses-computer-because-its-not/

Auch nicht totzukriegen: Blockchain-Revival

Nach dem letzten großen Crash von Bitcoin und Co. Ende 2017 hatten viele Beobachter Kryptowährungen und meist auch gleich Blockchain als Konzept abgeschrieben. Nun hat das BSI eine umfassende Analyse der Blockchain-Technologie veröffentlicht. Schwerpunkt der Betrachtung sind die Sicherheitseigenschaften, aber auch die Auswirkungen der technischen Grundkonzeption etwa auf Effizienz und Datenschutz sowie der aktuelle Rechtsrahmen. 
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Kryptografie/Blockchain/blockchain_node.html

Dies kommt (zufällig!) passgenau zur Ankündigung der Firma Facebook, eine eigene Kryptowährung zu schaffen. Die Einschätzung der Fachwelt zu „Libra“ reichen von interessant (viele ungewöhnliche Eigenschaften, aber keine Kryptowährung) bis vernichtend: „Can’t wait for a cryptocurrency with the ethics of Uber, the censorship resistance of Paypal, and the centralization of Visa, all tied together under the proven privacy of Facebook.“ (https://twitter.com/sarahjamielewis/status/1139429913922957312)

Hier eine Kurzanalyse von Sicherheitsguru Robert Graham: https://twitter.com/erratarob/status/1141070089971802112

Ewig blau: Kollateralschäden der NSA

Das der NSA 2017 abhandengekommene Angriffswerkzeug EternalBlue hat vermutlich einen deutlich größeren Schaden für die USA (und viele andere Länder) verursacht als das öffentlich weit bekanntere Leak der Dokumente durch Edward Snowden 2013. Der New York Times-Bericht zeichnet den Weg der Zerstörung nach, die hätte verhindert werden können, wenn die NSA die Schwachstelle frühzeitig an Microsoft gemeldet hätte.
https://www.nytimes.com/2019/05/25/us/nsa-hacking-tool-baltimore.html

Das kosmische Hintergrundrauschen der IT

Unendliche Weiten … Manchmal nähern sich IT und Security kosmischen Dimensionen an. Beim Thema Hintergrundrauschen etwa: Liefert uns dieses in der Physik Hinweise auf die Entstehung des Universums, so kann die Beobachtung der „Internet Background Radiation“ – also desjenigen Internetverkehrs, der in ungenutzten Adressbereichen aufschlägt – Rückschlüsse auf große Ausfälle und Fehlkonfigurationen im Netz ermöglichen. Welten, die noch nie ein Mensch erblickt hat.
https://arxiv.org/pdf/1906.04426.pdf

Nicht witzig: Google sperrt Adblocker aus

Google hat vor, die technische Grundlage von Adblockern wie uBlock Origin, uMatrix und Privacy Badger im Chrome-Browser stark zu beschneiden. Nach Angaben des Konzerns ist dies geplant, um die Leistung zu verbessern. Der Mutterkonzern Alphabet nennt Werbeblocker allerdings eine Bedrohung für Googles Geschäftsmodell. Neben den datenschutzrechtlichen Problemen von Online-Werbung allgemein und kartellrechtlichen Fragen im Besonderen ist aus Security-Sicht vor allem problematisch, dass mit den Adblockern auch eine wichtige Schutzfunktion gegen eingeschleusten Code verschwinden könnte.
https://www.heise.de/newsticker/meldung/Google-provoziert-Unmut-mit-geplanter-Aenderungen-fuer-Adblocker-in-Chrome-4435601.html

Inzwischen musste Google bereits Zugeständnisse machen: https://www.heise.de/newsticker/meldung/Chrome-Erweiterungen-Google-macht-Zugestaendnis-im-Werbeblocker-Streit-4445967.html

Nicht rückholbar: Biometrische Daten gestohlen

Als Vorteil für Biometrie wird immer die Usability genannt: Finger, Iris, Gesicht haben wir immer dabei und können sie nie vergessen oder verlegen. Die Schattenseite ist allerdings, dass einmal entwendete biometrische Daten unweigerlich verbrannt sind, da ich sie nicht ändern kann. Nun hat die Washington Post enthüllt, dass bei einem Cyberangriff auf einen Dienstleister der US-Grenzschutzbehörde CBP biometrische Fotos (und Nummernschilder) von bis zu 100.000 Reisenden abgezogen wurden. Die Daten standen im Darknet zum Verkauf.
https://www.golem.de/news/us-grenzschutz-datenleck-bei-einreisefotos-und-nummernschildern-1906-141806.html

Nicht möglich? SQL-Lücke in NoSQL-Datenbank

Bei einem Penetrationstest stießen HiSolutions-Sicherheitsberater auf eine Injection-Schwachstelle im NoSQL-Datenbank-Produkt Couchbase Sync Gateway. Durch diese ließen sich im ersten Schritt Statements der Sprache N1QL – eine Verbindung von SQL und JSON – injizieren. Im zweiten Schritt konnten so klassische SQL-Angriffs-Snippets wie „UNION ALL SELECT …“ an die Datenbank weitergereicht werden, um etwa massenhaft Werte auszulesen. Die kritische Schwachstelle wurde in Version v2.5 und v2.1.3 behoben – alle Nutzer sollten die Patches installieren. Unser Security-Advisory (CVE-2019-9039):
https://research.hisolutions.com/2019/06/n1ql-injection-in-couchbase-sync-gateway-cve-2019-9039/

Ich Cyberwar’s nicht: US-Offensivmaßnahmen gegen Grids werden verschärft

Etwas verworren sind noch die Berichte und Spekulationen um angeblich akut zunehmende Offensivmaßnahmen der US-Administration in Richtung der russischen Stromnetze. Unstrittig ist, dass seit Jahren mehrere Länder – ganz vorne mit dabei die USA – im Bereich offensive Cyberfähigkeiten aufrüsten. Nun berichtet die New York Times über eine im letzten Sommer fast unbemerkt im Kongress verabschiedete Änderung der Military Authorization Bill. Demnach kann die „routinemäßige Durchführung versteckter militärischer Aktivität im Cyberspace zur Abschreckung, Sicherung oder Verteidigung gegen Angriffe oder bösartige Cyberaktivitäten gegen die Vereinigten Staaten“ durch den Verteidigungsminister autorisiert werden, ohne den Präsidenten einzubinden.
Die aktuellen Cyber-Operationen gegen den Iran werden Thema des nächsten Digest sein.
https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html

Lesetipps Mai 2019

Fetter Fund: 100.000 Zeilen Malware

Die amerikanische Sicherheitsfirma FireEye veröffentlicht Hintergründe und technische Details zur Malware der Carbanak-Gruppe, die in den vergangenen Jahren bis zu eine Milliarde Euro bei Angriffen auf Banken und Zahlungsdienstleister sowie viele andere Unternehmen erbeutet hatte. Der mutmaßliche Kopf der Gruppe wurde – wie damals hier berichtet – vor einem Jahr verhaftet. Im Zuge von Untersuchungen sind den Analysten von FireEye nun zwei RAR-Dateien in die Hände gefallen, die den Quellcode der Malware samt zugehörigen Tools enthielten. Besteht sonst bei Analysen in der Regel Zugriff auf einige wenige Skripte oder Programme, so enthielt dieser Fund 755 Dateien, 39 Binaries und mehr als 100.000 Zeilen Code. Diese wurden nun ausgewertet und die Erkenntnisse in äußerst aufschlussreichen Blog-Beiträgen verarbeitet.
Erster Teil der Serie „CARBANAK Week Part One: A Rare Occurrence”:
https://www.fireeye.com/blog/threat-research/2019/04/carbanak-week-part-one-a-rare-occurrence.html

Netflix Original: Zero Trust

Technologisch ist die Streaming-Firma Netflix einer der großen Player und Treiber. Konzepte wie Zero Trust, Adaptive Authentication, Device Health & Authorization werden hier unter dem Slogan „Cloud First Company“ weiter getrieben als bei vielen anderen Unternehmen. Hier, standesgemäß, als Video dargestellt:
Tejas Dharamshi, Netflix, @ USENIX Enigma 2019 – Building Identity for an Open Perimeter
https://www.youtube.com/watch?v=a195I3SXa1E&

Hinter dem Kleingedruckten

Eine umfassende wissenschaftliche Analyse aus Oxford untersucht im großen Maßstab Cyberversicherungen und deren Inhalt: Was wird abgedeckt, welche Schäden und wie viel, welche Schadensereignisse und Ausschlüsse sind üblich, welche indirekten Kosten werden übernommen? Daneben gibt es auch einen Vergleich der Abschlussbedingungen, etwa welche Arten von Fragebögen zur Erhebung des Risikos verwendet werden.
https://academic.oup.com/cybersecurity/article/5/1/tyz002/5366419

Handel mit Zero Days/Exploits und der Staat

Eine gute Zusammenfassung der Debatte, auch für „Nicht-Techies“:
https://www.spiegel.de/netzwelt/netzpolitik/zero-day-exploits-ein-gesetz-mit-sicherheitsluecke-a-1266067.html

Europa kann auch was

Innovation im Bereich IT und Cyber muss nicht immer aus den USA, China oder Israel kommen. Die folgende Publikation der niederländischen KPN zeigt – nunmehr schon in sechster Auflage –, dass es auch in Europa spannende Ideen und Perspektiven im Bereich Security gibt.
https://overons.kpn/en/news/2019/kpn-publishes-sixth-edition-of-the-european-cyber-security-perspectives

Stau as a Service? Tracking-Apps lassen remote Motoren stoppen

Ein Hacker hat demonstriert, dass sich über mindestens zwei verbreitete Apps für das Tracking von Fahrzeugflotten nicht nur die privaten Daten der Nutzer stehlen lassen, sondern in bestimmten Fällen auch remote die Motoren stoppen – solange die Autos mit weniger als 20 km/h unterwegs sind. Dies zeigt, dass schon heute zunehmend safety-relevante Fahrzeugbusse mit solchen verbunden werden, die für Entertainment, Kommunikation u. ä. vorgesehen sind.
https://www.vice.com/amp/en_us/article/zmpx4x/hacker-monitor-cars-kill-engine-gps-tracking-apps

Reale Windows gehackt: Fensterbauer lahmgelegt

Fenster-Expertise hilft nicht automatisch gegen Ransomware: Der Sorpetaler Fensterbau ist das neueste in einer langen Reihe von Unternehmen, die nach einer erfolgreichen Attacke – und deren Bewältigung – an die Öffentlichkeit gegangen sind, damit andere daraus lernen können. In diesem Fall waren Backups auf externen Festplatten vorhanden, sodass nach sechs Stunden der erste Server wieder einsatzbereit war. Trotzdem dauerte es bis zur kompletten Wiederherstellung mehrere Tage. Der Schaden lag bei mehreren zehntausend Euro. Dass es beileibe nicht immer so glimpflich ausgeht, zeigen die Erfahrungen der HiSolutions-Incident Response-Hotline. So ist in einem nicht unerheblichen Teil der Fälle entweder kein umfassendes Backup vorhanden oder der Restore hat mangels vorhergehender Tests nicht erwartungsgemäß funktioniert. Teilweise waren sogar Backups durch den Trojaner gleich mitverschlüsselt worden.
https://www.welt.de/regionales/