Praktisch unsicher: Elektronische Patientenakte stolpert über Konfigurationslücken

Veröffentlicht Veröffentlicht in News

Ab Januar ist die elektronische Patientenakte (ePA) in Arztpraxen, Krankenhäusern und Apotheken in Betrieb. Dann können über die Telematik-Infrastruktur sensible Gesundheitsinformationen miteinander ausgetauscht werden. Doch IT-Sicherheitsforscher fanden gravierende Sicherheitslücken bei der Konfiguration der sogenannten Konnektoren, welche die Praxen an die Infrastruktur anbinden. In etwa 30 Fällen hätten Angreifer der Telematik-Infrastruktur vortäuschen können, eine Arztpraxis zu sein, und damit ohne Passwortschutz Zugriff auf alle Patientenakten der Praxis bekommen.

https://www.tagesschau.de/investigativ/br-recherche/sicherheit-telematik-101.html

Oh IOT oh IOT, fast verjessen: AMNESIA:33

Veröffentlicht Veröffentlicht in News

AMNESIA:33 ist eine Sammlung von 33 Schwachstellen in vier weit verbreiteten TCP/IP-Stack-Implementierungen. uIP, FNET, picoTCP und Nut/Net decken als Basiskomponenten insgesamt viele Millionen vernetzter Geräte ab. Die Schwachstellen ermöglichen via Memory Corruption Angriffe wie Remote Code Execution (RCE), Denial of Service (DoS) und den Diebstahl von Informationen.

HUNTER2 genügt nicht – Angriffe auf BitLocker

Veröffentlicht Veröffentlicht in News

Die Windows-eigene Funktion BitLocker zur Festplattenverschlüsselung (FDE, Full Disk Encryption) gilt als ausgereift und – je nach Bedrohungsmodell – in Kombination mit anderen Maßnahmen wie Mehrfaktorauthentifizierung als ausreichend sicher. Insbesondere sind hier Funktionen implementiert, die die Ansprüche an das Passwort reduzieren. Bei naiver Implementierung einer Verschlüsselungssoftware müssen Passwörter mindestens 20 Zeichen lang sein. Bei BitLocker und Co. genügen ggf. auch 6-8 Zeichen – wenn diese zufällig genug sind. Dass man es mit Letzterem nicht zu locker nehmen sollte, zeigen neue Forschungsarbeiten. Durch die erste Open-Source-Implementierung für effiziente Wörterbuch-Attacken auf BitLocker wurden die Grenzen dessen, was mit Brute Force möglich ist, deutlich nach oben verschoben.

Mit einer einzigen High End GPU können immerhin 122 Millionen Passwörter pro Tag durchprobiert werden. Damit kommen Crack-Erfolge in greifbare Nähe, sobald Passwörter aus Zusammensetzungen oder leichten Abwandlungen von Wörterbucheinträgen bestehen. HUNTER2, iloveyou! oder P455W0RT69 sind hiermit auch für BitLocker gestorben.

http://www.sicherheitsforschung-magdeburg.de/uploads/journal/MJS_068_Agostini_Bitlocker.pdf