HiSolutions Cybersecurity Digest November 2023
Frohe neue 100.000.000!
Liebe Leserinnen, liebe Leser,
diesen Digest beginnen wir mit einem Anlass zum Feiern, bevor wir uns dann wieder den Gefahren der Informationssicherheit zuwenden. Unsere Themen des Monats sind:
- Frohe neue 100.000.000!
- BSI-Lagebericht 2023
- Schwachstelle in Confluence
- DORA kann kommen
- Seitenkanal des Monats: Apples Wo-Ist-Netzwerk
Wir wünschen Ihnen viel Spaß beim Lesen – Ihr Feedback ist wie immer herzlich willkommen!
Mit besten Grüßen
Jörg Schneider
Frohe neue 100.000.000!
Haben Sie am Dienstagabend auch die Sekunden runtergezählt, um auf die runden 1.700.000.000 anzustoßen? In einigen Hackerspaces wurde dieser besondere Unix-Zeitstempel wie bei einer Neujahrsfeier begrüßt. Für die Darstellung von Daten und Uhrzeiten als Binärzahl gibt es viele Konventionen. Sehr weit verbreitet ist der für das Unix-Betriebssystem entwickelte Ansatz, einen Zeitpunkt über die Anzahl von Sekunden seit dem 01.01.1970 darzustellen. Diese Sekundenzahl überschritt am Dienstagabend die nächste 100-Millionen-Marke. Falls Sie das Ereignis verpasst haben: Merken Sie sich schon einmal den 15.01.2027 vor – da sind die nächsten 100 Millionen Sekunden vorbei.
Bei der Darstellung von Daten kommt unweigerlich die Erinnerung an das Jahr-2000-Problem auf. Tatsächlich wird bei den Unix-Zeitstempeln im Jahr 2038 Ähnliches passieren. Wie beim Jahr-2000-Problem hängt dies aber von einigen Details ab: Waren damals nur Anwendungen und Systeme betroffen, die Jahreszahlen als zweistellige Dezimalzahl gespeichert haben, sind es jetzt Zeitstempel, die als 32-Bit-Zahl mit Vorzeichen gespeichert sind. Das ist die Mindestgröße, die der Standard vorschreibt, und traditionell wurden die Zeitstempel in einem Speicherformat entsprechend der Länge eines „Word“ beim verwendeten Prozessor gespeichert – also 32 Bit auf 32-Bit-CPUs und 64 Bit auf 64-Bit-CPUs. Damit sind moderne Client- und Serversysteme nicht mehr betroffen. In vielen eingebetteten Systemen werden jedoch weiterhin viele 32-Bit-CPUs eingesetzt. Diverse Betriebssysteme und Anwendungen mit Unix-Zeitstempel haben bereits reagiert und nutzen auch auf diesen Systemen die längeren Speicherformate. Schwierig ist die Umstellung bei Binärdateiformaten und Netzwerkprotokollen, die nur 32 Bit Platz für die Zeitstempel vorsehen. Ob die Darstellung überall angepasst wurde, zeigt der 19.01.2038 – an diesem Datum wird der größtmögliche 32-Bit-Zeitstempel überschritten.
Die nächsten runden Termine zum Vormerken: https://de.wikipedia.org/wiki/Unixzeit#Besondere_Werte
Die Jahre 2000 und 2038 sind nicht die einzigen interessanten Zeitpunkte: https://en.wikipedia.org/wiki/Time_formatting_and_storage_bugs
BSI-Lagebericht 2023
Das BSI hat seinen jährlichen Lagebericht veröffentlicht. Spoiler: Er enthält keine Überraschungen für alle, die das Thema Informationssicherheit regelmäßig verfolgen. Aber mit knapp unter 100 Seiten ist er eine schöne, kompakte Zusammenfassung der aktuellen Lage. Konkret werden die wichtigsten Bedrohungen vorgestellt – hier ist wieder Ransomware die Nummer 1 –, die Gefährdungslagen für Wirtschaft, Gesellschaft und den Staat diskutiert und abschließend ein Blick auf Trends geworfen.
Neu ist der große Raum, den KI insbesondere in Form von großen KI-Sprachmodellen (LLM), einnimmt. Sie werden nicht nur beim Blick in die Zukunft im Abschnitt Trends besprochen, sondern auch in der konkreten aktuellen Bedrohungslage – schließlich ist KI längst bei Nutzern wie Angreifern auf vielfältige Weise im Einsatz. Die wichtigsten Punkte zur Absicherung von großen KI-Sprachmodellen hatten wir schon im Sommer in unserem Blog diskutiert.
BSI-Lagebericht 2023: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.html
HiSolutions Research Blog zu großen KI-Sprachmodellen: https://research.hisolutions.com/2023/08/llms-sind-auch-nur-schuetzenswerte-informationen/
Schwachstelle in Confluence
In der Wiki-Software Confluence ist vor kurzem eine Lücke in der Wiederherstellungsfunktion bekannt geworden. Angreifer können diese auch ohne Zugangsdaten nutzen, um eigene Administrator-Accounts anzulegen. Mit diesen lassen sich dann weitere Manipulationen durchführen – zum Beispiel Plug-ins installieren, die wiederum einen weiterreichenden Zugriff auf das Betriebssystem des Servers ermöglichen. Die Lücke wird bereits bei selbstgehosteten Confluence-Servern, die im Internet erreichbar sind, ausgenutzt, und wir unterstützen bereits mehrere Betroffene bei der Bewältigung des Vorfalls.
DORA kann kommen
Mit dem Digital Operational Resilience Act (DORA) werden die Sicherheitsvorgaben für Finanzinstitute in Europa vereinheitlicht und geschärft. Ab Januar 2025 ist die EU-Verordnung anzuwenden, es bleibt also nur noch etwas mehr als ein Jahr Zeit. Daher hat die BaFin jetzt eine eigene Informationsseite zum Thema erstellt, auf der sie aktuell über die Entwicklungen berichtet und mit einer FAQ auch praktische Fragen beantworten will.
Seitenkanal des Monats: Apples Wo-Ist-Netzwerk
Während viele spektakuläre Seitenkanal-Angriffe in der Praxis eher selten ausgenutzt werden, hat Fabian Bräunlein zusammen mit der c’t-Redaktion im letzten Monat eine sehr realistische Demonstration präsentiert. Dabei nutzten sie Apples Wo-Ist-Netzwerk – hinter diesem etwas sperrigen Namen verbirgt sich die Magie, über die Apple-Geräte beispielsweise fremde AirTags orten und die Standortinformation an den Besitzer weitergeben.
Für die Demonstration wurde ein AirTag-Nachbau zusammen mit einem Keylogger in eine Tastatur eingebaut. Hardware-Keylogger haben immer das Problem, dass der Angreifer später irgendwie an die mitgeschnittenen Eingaben kommen muss, etwa indem das Gerät wieder entfernt und ausgelesen wird. Selbst wenn der Keylogger seine Daten per Funk weiterreicht, muss der Angreifer diese Informationen physisch in der Nähe empfangen. Genau dafür wird jetzt das Wo-Ist-Netzwerk ausgenutzt. Der vermeintliche AirTag sendet seine Kennung inkl. der codierten mitgeschnittenen Tasteneingaben aus. Sobald ein iPhone in der Nähe ist, leitet dieses die Daten an den vorgeblichen Besitzer des AirTags weiter. Da die Daten ggf. zwischengespeichert und später verschickt werden, gelingt das auch in Bereichen, wo kein Mobilfunk- oder WLAN-Empfang ist.
Video inklusive Transkript: https://www.heise.de/news/Wir-haben-Apples-Wo-Ist-Netzwerk-gehackt-Keylogger-selbstgebaut-9353128.html
Artikel in der c’t 25/2023: https://www.heise.de/select/ct/2023/25/2328511244570117163
Kompetenztraining Stabsarbeit: 25.01.2024 – Berlin
Die Mitglieder eines Krisenstabs sehen sich in Krisenlagen besonderen und zum Teil individuellen Herausforderungen gegenüber, die im Arbeitsalltag selten anzutreffen sind. Unklare Informationslagen, hohes Kommunikationsaufkommen und enormer Entscheidungsdruck sind dabei ebenso typische Gegebenheiten wie das anspruchsvolle Zusammenarbeiten verschiedener Persönlichkeiten in einer besonderen Bewältigungsorganisation. Diese Umstände erfordern neben organisatorischen Maßnahmen des Krisenmanagements auch gesonderte Kompetenzen der Stabsmitglieder. Ebendiese lassen sich schulen, indem die Funktionsträger aus ihrem Alltag herausgezogen und in simulierte Krisenlagen versetzt werden. So können sie wertvolle, praxisnahe Erfahrungen sammeln und sich auf den konkreten Ereignisfall vorbereiten.
In der Veranstaltung „Kompetenztraining Stabsarbeit“ kommen die Funktionsträger besonderer Aufbauorganisationen verschiedener Institutionen zusammen, um unabhängig vom eigenen beruflichen Umfeld die persönlichen Fähigkeiten zu verbessern.
https://www.hisolutions.com/security-consulting/academy#c12565
KI – Chancen und Risiken für die Sicherheit bewerten: 27.02.2024 – remote
Der Wunsch, sich von künstlicher Intelligenz bei der Arbeit unterstützen zu lassen, ist groß. Aber was bedeutet das aus Sicherheitssicht? Um entscheiden zu können, ob und wie der Einsatz reglementiert werden kann und sollte, muss man die Chancen und Risiken für die Informationssicherheit kennen. In dieser Schulung werden wir uns zuerst die wichtigsten Grundlagen zu aktuellen KI-Verfahren wie maschinelles Lernen (ML) und große Sprachmodelle (LLM) anschauen. Darauf basierend gehen wir dann auf die aktuellen Sicherheitsauswirkungen beim Einsatz dieser Verfahren in der Praxis ein. Die Themenauswahl orientiert sich an den häufigsten Fragestellungen, die Informationssicherheitsbeauftragte (ISB) an uns herantragen.
https://www.hisolutions.com/security-consulting/academy#c12585
Der nächste HiSolutions Cybersecurity Digest erscheint Mitte Dezember 2023.
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!