Ransomware

Ich weiß, wo Du online Geld verdienst: Cyber-OK lernt dazu

Ransomware ist seit vielen Monaten die größte Geißel der IT – und zumindest derjenigen Menschen, die für diese verantwortlich sind. Erst letztens hatten wir berichtet, dass Emotet und Co. dazugelernt haben und statt mit dummen Standard-E-Mails in schlechter Übersetzung, nun frühere Kommunikationsstränge wiederverwerten, um so die Klickrate auf die Malware deutlich zu erhöhen. Unterdessen hat die im Hintergrund die Geschäftsprozesse spinnende organisierte Cyber-Kriminalität (Cyber-OK) anscheinend gelernt, dass es noch weitere gemeine Hebel gibt, um Opfer zur Zahlung zu bewegen. Es […]

KI/ML, Veranstaltungen

Don't Train Evil – Keynote bei den Machine Learning Essentials 2020

Ethik und Sicherheit im Machine Learning Heidelberg, 17.-19. Februar 2020 Machine Learning gewinnt Einfluss auf immer größere Bereiche unseres täglichen Arbeits- und Privatlebens. Man muss nicht die Angst vor der bösartigen AGI oder der Singularität teilen, um angesichts zunehmender Überwachung und der Diskussion um autonome Waffensysteme zu erkennen: Ohne eine gewisse möglichst frühzeitig und grundsätzlich ins Design einbezogene Sicherheit droht KI mehr Schaden als Nutzen zu bringen. Die Keynote wirft die grundlegenden Fragen auf, mit denen sich alle beschäftigen sollten, […]

Incidents

When #Shitrix hits the Fan

Massenhafte Hacks via NetScaler Reihenweise Unternehmen und Behörden fallen aktuell einer Lücke zum Opfer, die den besonders „schönen“ Spitznamen #Shitrix (offiziell CVE 2019-19781) erhalten hat. Benannt ist dieser nach dem amerikanischen Netzwerk-Ausrüster Citrix, der das Debakel durch einen Schusselfehler im weitverbreiteten Enterprise-Gateway ADC (Application Delivery Controller) ausgelöst hat – vielen auch bekannt unter dem Namen NetScaler. Bereits seit der ersten Januarhälfte erreichen die HiSolutions-Hotline immer neue Fälle, da teilweise Administratoren noch nichts von der Lücke gehört haben. Ein erfolgreicher Angriff hat neben […]

Security Engineering

SHIFT LEFT – Linksruck im Neuland?

Linksruck in der IT? Was soll das bedeuten? Gewerkschaften bei Amazon? Google-style Walkouts bei SAP? Mindestlohn für Consultants bei Accenture und Co.? Keineswegs! Der aktuell „trendende“ Kampfruf „Shift Left“ spielt an auf die Bewegung nach links im Entwicklungszyklus von Software oder anderen IT-Produkten, also im SDLC (Software Development Life Cycle). Es mag merkwürdig anmuten, in Bezug auf einen Kreis(lauf) von „links“ und „rechts“ zu sprechen. Gemeint ist eine Bewegung hin zu den Tätigkeiten, die in der Entwicklung früh vorgenommen werden […]

Malware

BlueKeep of Death – Kommt der nächste Wurm?

Aktuell werden wieder Wetten angenommen, wann wir mit der nächsten wirklich großen Infektionswelle rechnen können. „BlueKeep“ – so der umgangssprachliche Name für die Schwachstelle CVE-2019-0708 vom Typ „nicht authentifizierte Remote Code Execution“ unter Windows 7, Windows Server 2008 und Windows Server 2008 R2 – hat Microsoft bereits am 14. Mai gepatcht. Aber noch, das war nicht anders zu erwarten, sind viele Systeme weltweit verwundbar. In den letzten vier Wochen haben Angreifer nun mit der systematischen Ausnutzung begonnen. Bisher produzieren sie […]

Cyberwar

Sie sind unter uns – Cyber-Einheiten in der EU

Einige Beobachter haben es länger schon vermutet, nun ist es Gewissheit: Staatliche Akteure haben begonnen, dezentrale Cyber-Einheiten in Europa zu stationieren. Nun wurde bekannt, dass tschechische Sicherheitsbehörden bereits 2018 eine Gruppe ausgehoben haben, die unter dem Deckmantel des Handels mit IT über Jahre verdeckte Cyberoperationen auf dem Boden der Tschechischen Republik bzw. von diesem aus durchgeführt hatte. Wie die Analyse des renommierten OPSEC- und Cyberspionageexperten „The Gruc“ – kaum jemand kennt den Klarnamen des Südafrikaners – zeigt, wurden die russischstämmigen […]

Zeroday

Die Kehrseite der Monokultur? Zeroday-Inflation bei iOS

Tief sind die Gräben zwischen Apple-Fanboys/-girls und Android-Jüngern schon immer gewesen. Speziell in Bezug auf Security hatten jedoch die Geräte aus Cupertino bei der Mehrheit der Experten die Nase vorn. Klar, der „Walled Garden“ von Apple hat Nachteile, ebenso das Quasimonopol auf den Geräteverkauf, aber dafür ist das Ökosystem leichter „sauber“ zu halten als Googles Zoo von Versionen auf Geräten von zig Herstellern. Auch wenn die Android-Security in letzter Zeit deutlich aufgeholt hat: Sollte es besonders sicher sein (aber nicht […]

Blockchain

Proof of Does Not Work? E-Voting unsicher – „trotz“ Blockchain

Bei demnächst anstehenden Wahlen zum Moskauer Stadtparlament soll ein neues System zum Einsatz kommen, welches eine Wahlbeteiligung via Privatrechner und Smartphone erlaubt. Die Software, welche als erste ihrer Art produktiv eine Blockchain(!) einsetzt, um die Integrität der Daten zu sichern, wurde nun von Wissenschaftlern des französischen nationalen Forschungsinstituts für digitale Wissenschaften INRIA auseinandergenommen. Eine kritische Schwachstelle in der eingesetzten Kryptographie erlaubt es jedem, der an eine Kopie der verschlüsselten Daten gelangt, die Wahlentscheidungen aller teilnehmenden Bürger mit einem handelsüblichen Rechner […]

Cloud

Alles ist verbunden – Multiple Single Points of Failure

Von großen – im Sinn von weitreichenden – Cloudausfällen war an dieser Stelle und in den Weiten des Internets in letzter Zeit häufig zu hören. Denn je mehr der Markt reift (sprich, je mehr Unternehmen relevante Teile ihrer Infrastruktur in die Wolke verlagern) und je mehr sich der Kuchen des Cloud-Geschäfts im Wesentlichen auf eine Handvoll großer Cloudanbieter und ein paar Dutzend Security-Services-Anbieter verteilt, desto größer kann der Impact eines einzelnen Zwischenfalls sein. Nun war Cloudflare an der Reihe, dies […]

Cloud

Paging Münchhausen – Cloud braucht Cloud

Am 2. Juni standen weite Teile der Google Cloud für bis zu vier Stunden still. Dass Google damit die Jahres-SLAs gerissen hat, ist nur ein Teil des Problems, schließlich kamen und kommen Downtimes auch in selbstbetriebener IT immer wieder vor. Bedenklich ist vielmehr, dass es zu einem derart langen länderübergreifenden Ausfall kommen konnte, obwohl Google derart viel in Redundanz, Notfallplanung und Desaster Recovery investiert. Und zwar technisch wie konzeptionell. Nach ersterem Maßstab hat sich der Betreiber nicht viel vorzuwerfen, denn […]