Kategorie: News

Don’t Cry For Me, Internet

Der Tech-Journalist Zack Whittaker schreibt zwei Jahre nach dem verheerenden WannaCry-Angriff die Geschichte der Malware nieder, vor allem aber der Personen, die mit Mut, Glück und sehr viel Schlafmangel einen noch übleren Ausbruch verhindern konnten und deren Leben seitdem nie mehr dasselbe war.

https://techcrunch.com/2019/07/08/the-wannacry-sinkhole

Marcus „MalwareTech“ Hutchins hat sich im April in zwei der zehn von der US-Anwaltschaft gegen ihn erhobenen Anklagepunkte schuldig bekannt. Das Urteil des in der Security-Szene für seine späteren „Heldentaten“ und seine Online-Schulungen (Live-Reverse-Engineering) verehrten Sicherheitsforschers dürfte in Kürze fallen und von dauerhafter Ausweisung bis maximal 10 Jahre Gefängnis reichen.

https://krebsonsecurity.com/2019/04/marcus-malwaretech-hutchins-pleads-guilty-to-writing-selling-banking-malware

Hacke Backe Eierkuchen?

Ein längerer Beitrag in der ZEIT beleuchtet die verschiedenen Bestrebungen, das umstrittene und nach Meinung vieler Experten risikobehaftete Thema „Hackback“, also den aktiven Gegen- oder präventiven Erstschlag mit Cyberwaffen, zu etablieren.

https://www.zeit.de/digital/internet/2019-07/hackback-cyberwar-datensicherheit-digitaler-angriff-bundesregierung

The Times They Are A-Changing

In den weltgrößten Tech-Firmen tobt ein „Bürgerkrieg“ (Zitat Fortune). Nachdem das „Don’t Be Evil“-Mantra bereits seit Jahren angekratzt ist (bzw. Microsoft sich durch Umarmung von Open Source erst langsam in der Tech-Community Respekt erarbeitet hatte und Amazon von ethischen Überlegungen eh immer weitgehend ungetrübt agierte), haben sich die Auseinandersetzungen um Chancengleichheit, Geschlechtergerechtigkeit, sexuelle Belästigung, Stalking und Arbeitsbedingungen inzwischen auf viele „hippe“ Firmen im Silicon Valley und anderswo ausgeweitet. Ein langes Feature in Fortune untersucht, wie es dazu kommen konnte. Möglicherweise stehen uns in Europa einige Diskussionen erst noch bevor.

https://fortune.com/longform/inside-googles-civil-war

Das BSI hat Ende Mai eine Liste von Dienstleistern veröffentlicht, die bei sogenannten APTs (Advanced Persistent Threats) zu Hilfe gerufen werden können. Anhand der Liste geeigneter Dienstleister und der transparenten Gestaltung der Auswahlkriterien werden Unternehmen im Sinne von § 3 BSI-Gesetz in die Lage versetzt, im Fall von oder bei Verdacht auf einen derartigen gezielten Angriff geeignete Unterstützung durch externe Experten anzufordern.
https://www.hisolutions.com/infocenter/detail/detail/News/bsi-weist-hisolutions-als-qualifizierten-apt-response-dienstleister-aus/

Einem DDoS-Tester ist laut eigener Aussage aufgefallen, dass man „große“ Firewalls vieler Hersteller mit TCP-Datenmüll komplett überlasten kann, dessen Bandbreite lediglich 1-2 % dessen beträgt, was die Firewall eigentlich verarbeiten könnte. Teure DDoS-Attacken kommen so bei Kosten von unter 5 Euro im Monat in die Reichweite von Script-Kiddies und anderen ressourcenarmen Akteuren. Der Mechanismus dahinter scheint noch nicht verstanden zu sein, und die Hersteller haben wohl noch nicht reagiert. Zumindest liefert der Blogeintrag aber ein Testskript (Einzeiler), mit dem das eigene Firewall-Cluster geprüft werden kann, sowie eine Liste von Herstellern, die nicht betroffen sind.
https://www.secjuice.com/rubber-bands-and-firewalls/

Google hat angekündigt, dass der sogenannte „Confidential Mode“ zukünftig für alle Nutzer von Gmail verfügbar ist. Die Funktion erlaubt ein Rechtemanagement, über das beispielsweise E-Mails mit einem Ablaufdatum versehen werden können, sowie das Zurückziehen bereits gesendeter Nachrichten. Weiterhin soll es auch möglich sein, zusätzliche Authentifizierung zum Lesen einer Nachricht einzufordern.

Experten sehen dies kritisch, da bestimmte Angriffsvektoren wie Zwischenspeichern oder Screenshots prinzipiell schwer zu verhindern sind bzw. in der Regel ein Trade-Off zwischen verschiedenen Sicherheitszielen wie Vertraulichkeit und Verfügbarkeit notwendig ist. Trotzdem ist es wichtig, weiter an der Absicherung von E-Mails zu arbeiten, wird uns dieses besonders unsichere Kommunikationsmedium doch noch geraume Zeit weiter begleiten.
https://gsuiteupdates.googleblog.com/2019/05/gmail-confidential-mode-launching-on-by.html

Not Just Someone Else’s Computer

Angesichts der neuen Cloud-Meldungen und der Nicht-Totkriegbarkeit des Spruchs „Cloud ist nur Somebody Else’s Computers“ lohnt sich noch einmal das Nachlesen eines Beitrags auf ZDNet von 2016, warum Cloud eben doch mehr – und vor allem anders – ist. 
https://www.zdnet.com/article/stop-saying-the-cloud-is-just-someone-elses-computer-because-its-not/

Auch nicht totzukriegen: Blockchain-Revival

Nach dem letzten großen Crash von Bitcoin und Co. Ende 2017 hatten viele Beobachter Kryptowährungen und meist auch gleich Blockchain als Konzept abgeschrieben. Nun hat das BSI eine umfassende Analyse der Blockchain-Technologie veröffentlicht. Schwerpunkt der Betrachtung sind die Sicherheitseigenschaften, aber auch die Auswirkungen der technischen Grundkonzeption etwa auf Effizienz und Datenschutz sowie der aktuelle Rechtsrahmen. 
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Kryptografie/Blockchain/blockchain_node.html

Dies kommt (zufällig!) passgenau zur Ankündigung der Firma Facebook, eine eigene Kryptowährung zu schaffen. Die Einschätzung der Fachwelt zu „Libra“ reichen von interessant (viele ungewöhnliche Eigenschaften, aber keine Kryptowährung) bis vernichtend: „Can’t wait for a cryptocurrency with the ethics of Uber, the censorship resistance of Paypal, and the centralization of Visa, all tied together under the proven privacy of Facebook.“ (https://twitter.com/sarahjamielewis/status/1139429913922957312)

Hier eine Kurzanalyse von Sicherheitsguru Robert Graham: https://twitter.com/erratarob/status/1141070089971802112

Ewig blau: Kollateralschäden der NSA

Das der NSA 2017 abhandengekommene Angriffswerkzeug EternalBlue hat vermutlich einen deutlich größeren Schaden für die USA (und viele andere Länder) verursacht als das öffentlich weit bekanntere Leak der Dokumente durch Edward Snowden 2013. Der New York Times-Bericht zeichnet den Weg der Zerstörung nach, die hätte verhindert werden können, wenn die NSA die Schwachstelle frühzeitig an Microsoft gemeldet hätte.
https://www.nytimes.com/2019/05/25/us/nsa-hacking-tool-baltimore.html

Das kosmische Hintergrundrauschen der IT

Unendliche Weiten … Manchmal nähern sich IT und Security kosmischen Dimensionen an. Beim Thema Hintergrundrauschen etwa: Liefert uns dieses in der Physik Hinweise auf die Entstehung des Universums, so kann die Beobachtung der „Internet Background Radiation“ – also desjenigen Internetverkehrs, der in ungenutzten Adressbereichen aufschlägt – Rückschlüsse auf große Ausfälle und Fehlkonfigurationen im Netz ermöglichen. Welten, die noch nie ein Mensch erblickt hat.
https://arxiv.org/pdf/1906.04426.pdf

Google hat vor, die technische Grundlage von Adblockern wie uBlock Origin, uMatrix und Privacy Badger im Chrome-Browser stark zu beschneiden. Nach Angaben des Konzerns ist dies geplant, um die Leistung zu verbessern. Der Mutterkonzern Alphabet nennt Werbeblocker allerdings eine Bedrohung für Googles Geschäftsmodell. Neben den datenschutzrechtlichen Problemen von Online-Werbung allgemein und kartellrechtlichen Fragen im Besonderen ist aus Security-Sicht vor allem problematisch, dass mit den Adblockern auch eine wichtige Schutzfunktion gegen eingeschleusten Code verschwinden könnte.
https://www.heise.de/newsticker/meldung/Google-provoziert-Unmut-mit-geplanter-Aenderungen-fuer-Adblocker-in-Chrome-4435601.html

Inzwischen musste Google bereits Zugeständnisse machen: https://www.heise.de/newsticker/meldung/Chrome-Erweiterungen-Google-macht-Zugestaendnis-im-Werbeblocker-Streit-4445967.html

Als Vorteil für Biometrie wird immer die Usability genannt: Finger, Iris, Gesicht haben wir immer dabei und können sie nie vergessen oder verlegen. Die Schattenseite ist allerdings, dass einmal entwendete biometrische Daten unweigerlich verbrannt sind, da ich sie nicht ändern kann. Nun hat die Washington Post enthüllt, dass bei einem Cyberangriff auf einen Dienstleister der US-Grenzschutzbehörde CBP biometrische Fotos (und Nummernschilder) von bis zu 100.000 Reisenden abgezogen wurden. Die Daten standen im Darknet zum Verkauf.
https://www.golem.de/news/us-grenzschutz-datenleck-bei-einreisefotos-und-nummernschildern-1906-141806.html

Bei einem Penetrationstest stießen HiSolutions-Sicherheitsberater auf eine Injection-Schwachstelle im NoSQL-Datenbank-Produkt Couchbase Sync Gateway. Durch diese ließen sich im ersten Schritt Statements der Sprache N1QL – eine Verbindung von SQL und JSON – injizieren. Im zweiten Schritt konnten so klassische SQL-Angriffs-Snippets wie „UNION ALL SELECT …“ an die Datenbank weitergereicht werden, um etwa massenhaft Werte auszulesen. Die kritische Schwachstelle wurde in Version v2.5 und v2.1.3 behoben – alle Nutzer sollten die Patches installieren. Unser Security-Advisory (CVE-2019-9039):
https://research.hisolutions.com/2019/06/n1ql-injection-in-couchbase-sync-gateway-cve-2019-9039/