HiSolutions Cybersecurity Digest September 2023
Was haben drei Töne mit Informationssicherheit zu tun?
Liebe Leserinnen, liebe Leser,
Sicherheit kann man im Sinne von Safety oder Security betrachten. Aber müssen bei Security immer Computer involviert sein? Diese Frage wollen wir an einem Beispiel der letzten Wochen klären. Auch sonst präsentiert Ihnen dieser Cybersecurity-Digest wieder eine Zusammenfassung besonderer wie aktueller Themen des letzten Monats:
- Was haben drei Töne mit Informationssicherheit zu tun?
- Vorfallupdates – Microsoft Azure und LastPass
- Trojanisierte Messenger-Apps aus dem App-Store
- Seitenkanal des Monats: Mit dem Beschleunigungssensor mithören
- Slide to unlockWir wünschen Ihnen viel Spaß beim Lesen – Ihr Feedback ist wie immer herzlich willkommen!
Mit besten Grüßen
Jörg Schneider
Was haben drei Töne mit Informationssicherheit zu tun?
Als am späten Abend des 25. August bei mehreren Zügen der polnischen Bahn PKP plötzlich eine Notbremsung ausgelöst wurde, dachten einige gleich an einen komplexen Cybervorfall. Mehr als 20 Züge wurden zum Halten gebracht, und weitere wurden anschließend aus Sicherheitsgründen gar nicht erst auf die Strecken gelassen.
Die Angreifer mussten sich nicht aufwendig über mehrere Netzgrenzen hinweg bis in die Steuerungstechnik des Bahnnetzes hacken. Der Angriff erfolgte per Funksignal. Eine Folge von drei Tönen auf einer bestimmten Frequenz reichte aus, um die Züge zu stoppen. Dahinter steckt die Sicherheitsmaßnahme (Sicherheit im Sinne von Safety) RADIOSTOP des PKP-Funksystems. Diese Funktion kann an jedem Funkgerät im Zug oder an der Strecke ausgelöst werden und sorgt dafür, dass im Gefahrenfall alle Züge im Empfangsbereich so schnell wie möglich zum Stehen kommen. Bei einem Unfall geht eine sehr große Gefahr von anderen, insbesondere entgegenkommenden Zügen aus – und diese an sichsehr hilfreiche Funktion ermöglicht es, schnell reagieren zu können.
Die Tonfolge ist wohlbekannt und steht sogar in EU-Dokumenten, und die notwendige Funktechnik ist leicht selbst zu bauen. Bei einer Analyse auf der Webseite des Technik-Magazins Wired sprach sich der Sicherheitsforscher Lukasz Olejnik daher dagegen aus, den Vorfall als Cybervorfall zu bewerten. Aber muss ein Cybervorfall sich immer um kompromittierte Computer drehen? Mit den vermutlich selbst zusammengelöteten Funkgeräten, konnten doch auch Schutzziele der Bahn verletzt werden.
Aber andersrum gefragt: Hätten Sie den analogen Zugfunk in Ihre Betrachtungen zur Informationssicherheit einbezogen? Gibt es auch in Ihrem Haus Sicherheitslösungen, die im Gefahrenfall beispielsweise Türen öffnen oder den Serverraum trotz Netzersatzanlage vom Strom trennen?
Wie das polnische Beispiel ausgeht, ist noch offen. Obwohl erste Verdächtige verhaftet und passendes Equipment gefunden wurde, gab es einige Tage lang auch in anderen Landesteilen weitere Vorfälle.
https://www.wired.com/story/poland-train-radio-stop-attack/
https://tvpworld.com/72337089/poland-another-25-trains-stopped-by-unjustified-radiostop-signal-use
Vorfallupdates – Microsoft und LastPass
Zu zwei Vorfällen, die wir bereits in unserem Digest behandelt haben, gab es in den letzten Tagen Neuigkeiten, die ich gern aufgreifen möchte.
Zuerst zu Microsofts Problem mit unberechtigten Anmeldungen in der Cloud, ein Thema aus dem letzten Digest. Eine zentrale Rolle spielte dabei ein privater Schlüssel, den die Angreifer erbeutet hatten, und mit dem sie sich dann beliebige Zugangstoken selbst unterschreiben konnten. Zu diesem Fall gibt es inzwischen von Microsoft eine detaillierte Beschreibung, wie der Schlüssel über mehrere Stufen aus dem produktiven Server auf eine Testumgebung gelangen konnte. Es wird vermutet, dass er dort von den Angreifern entwendet wurde.
Zusammengefasst wurde zur Rekonstruktion eines Fehlers ein Crashdump des produktiven Servers in die Testumgebung zur Analyse kopiert. Dabei hätte der Crashdump keine Schlüssel enthalten dürfen und falls doch, hätte es an mehreren Stellen in dem Kopierprozess auffallen müssen – keiner der Filter hat jedoch angeschlagen. Das ist aus meiner Sicht eine der Lektionen aus dem Vorfall: Vertraue keinem automatischen Bereinigungsprozess – gerade bei komplexen, unstrukturierten Daten wie Crashdumps –, sondern behandle diese Daten so sensibel wie die ursprünglichen.
Die andere Lektion ist, dass sich die Spur ab der Testumgebung verliert. Es waren keine Protokolldaten mehr da, um die Spur weiter zu verfolgen. Es bleibt also eine bloße Vermutung, dass die Schlüssel über diesen Weg zu den Angreifern gelangten. Gerade bei weiter zurückliegenden Vorfällen stehen auch unsere Forensiker immer wieder vor dem Problem, dass Protokolldaten fehlen. Entweder sie wurden gar nicht erst aufgezeichnet oder aber automatisch gelöscht bzw. überschrieben.
Das zweite Info-Update betrifft den Vorfall beim Passwortmanager LastPass im letzten Jahr, den wir in unserem Januar-Digest thematisierten. Jetzt gibt es einen Verdacht, was mit den gestohlenen Passwörtern passiert sein könnte. Es wird vermutet, dass die Angreifer in den LastPass-Daten Seeds Phrases – also Zugangsdaten für Konten von Krypto-Währungen – gefunden und damit unberechtigte Abbuchungen vorgenommen haben. Taylor Monahan vom Krypto-Wallet-Hersteller MetaMask hatte angesichts einer Reihe von Diebstählen von Krypto-Werten Verdacht geschöpft und die LastPass-Nutzung als gemeinsamen Nenner identifiziert. Sicherheitsexperte Brian Krebs ist in seinem Blog dieser Vermutung nachgegangen und hat noch ein paar weitere Indizien ergänzt.
https://krebsonsecurity.com/2023/09/experts-fear-crooks-are-cracking-keys-stolen-in-lastpass-breach/
Trojanisierte Messenger-Apps aus dem Appstore
Moderne Messenger nutzen immer häufiger Ende-zu-Ende-Verschlüsselung, um ein Mitlesen der Nachrichten beim Transport im Netz auszuschließen. Einfacher gelingt das Spionieren, wenn man Zugriff auf eines der beiden Telefone hat, in denen die Nachrichten eingetippt und lesbar angezeigt werden. Noch einfacher wird es, wenn man nicht das ganze Telefon kompromittiert und anschließend die Daten mühsam aus den Apps extrahieren muss, sondern direkt in der Messenger-App mitlesen kann.
In einem Bericht von ESET-Forschern werden zwei trojanisierte Messenger-Apps analysiert. Die mutmaßlich staatlichen Hersteller haben dazu einfach die verfügbaren Quellcodes des Telegram- und des Signal-Clients genommen. Die Apps wurden um die Spionagefunktionen ergänzt, umbenannt und als Messenger-Client mit zusätzlichen Features in den App-Stores angeboten. Die besondere Telegram-App hatte als beworbenes Zusatzfeature zum Beispiel eine Back-up-Funktion, die jedoch nicht nur für die Nutzer praktisch war. Da das Back-up bei den Spionen landete, standen ihnen damit gleich alle Daten gebündelt zur freien Verfügung.
Die Apps wurden aktiv beworben und waren über verschiedene App-Stores verfügbar. Die Nutzer haben sie dann selbst installiert und damit den Zugriff auf alle ihre Nachrichten ermöglicht.
Seitenkanal des Monats: Mit dem Beschleunigungssensor mithören
Seitenkanalangriffe machen immer wieder Schlagzeilen, und auch im Digest haben wir in fast jeder Ausgabe ein spannendes neues Beispiel dafür. Diesmal haben sich Forscher der Texas A&M University den Beschleunigungssensor von modernen Smartphones angeschaut. Während eine App, die Zugang zum Mikrofon anfordert, direkt verdächtig ist, erscheint der Zugriff auf den Beschleunigungssensor harmloser – niemand wird dabei an abgehörte Gespräche denken. Der Doktorand Ahmed Tanvir Mahdad konnte aber zeigen, wie er mit dem Beschleunigungssensor wiederkehrende Anrufer und das Geschlecht des Anrufers recht sicher erkennen konnte. In Telefonaten gesprochene Ziffern konnte er zumindest mit 56 % Genauigkeit rekonstruieren, auch das ist schon recht erschreckend.
https://arxiv.org/abs/2212.12151
Slide to unlock
Der Linktipp dieses Monats funktioniert nur mit einem Touch-Device. Ähnlich wie die Herausforderung mit den Passwort-Richtlinien im Juli-Digest gibt es heute wieder eine ganz einfache Aufgabe: „Slide to unlock“: https://cs.uwaterloo.ca/~csk/slide/
HiSolutions-Academy-Schulung zu Social Engineering - 05.10.2023, Berlin
Kleiner Gefallen, hoher Preis: Unsere neue Schulung Social Engineering verdeutlicht, wie Hacker mit perfiden Techniken Millionenschäden bewirken – und wie Sie sich davor schützen können. Lernen Sie sich selbst aus der Täterperspektive kennen und erfahren Sie, wie Sie besser und effektiver kommunizieren.
https://www.hisolutions.com/security-consulting/academy#c2082
HiSolutions-Academy-Schulung zum Business Continuity Manager mit TÜV-Rheinland-geprüfter Qualifikation - 18.-22.09.2023, remote
Nach dem Prinzip „Learning by doing“ wenden die Teilnehmer unserer Schulung im Rahmen von Workshops die Mittel und Methoden des BCM anhand von Fallbeispielen selbst an. Die jeweiligen Kerninhalte des Tages werden in Einzel- oder Gruppenarbeit erprobt.
Die angehenden Business Continuity Manager lernen die BCM-relevanten Standards und ihre Komponenten, BCM-relevante Gesetze und Good Practice Guides kennen. Sie erhalten einen umfassenden Blick auf den BCM-Lebenszyklus inklusive Business-Impact- und Risikoanalyse, Strategie & Maßnahmen, Tests & Übungen, Pflege & Qualitätssicherung. Gleichzeitig lernen die Teilnehmer die BCM-Organisation, ihre Rollen und Schnittstellen kennen. Sie erlangen darüber hinaus Grundlagenkenntnisse über die Business-Continuity-relevanten Themenfelder wie IT-Service Continuity Management, ISMS und Notfallmanagement.
https://www.hisolutions.com/security-consulting/academy#c4868
Vierter IT-Grundschutz-Tag des BSI
360° Einblick: Praxisorientierte Perspektiven der IT-Grundschutz-Zertifizierung
Wir freuen uns, Sie am 11.10.2023 beim vierten IT-Grundschutz-Tag auf der it-sa in Nürnberg und remote zu treffen! Fokus des hybriden Events ist ein "360° Einblick: Praxisorientierte Perspektiven der IT-Grundschutz-Zertifizierung".
Von der fundamentalen Bedeutung des IT-Grundschutzes für die Informationssicherheit über eine effiziente Auditierung und verschiedene Praxisberichte aus dem Zertifizierungsdschungel wird alles geboten. Verschiedene Experten teilen an diesem Tag ihr Wissen und ihre Erfahrung und möchten mit Ihnen diskutieren.
Wir freuen uns auf Ihre Teilnahme - ob vor Ort oder digital.
https://www.hisolutions.com/grundschutztag
Kompetenztraining Stabsarbeit - 30.11.2023, Berlin
Die Mitglieder eines Krisenstabs sehen sich in Krisenlagen besonderen und zum Teil individuellen Herausforderungen gegenüber, die im Arbeitsalltag selten anzutreffen sind. Unklare Informationslagen, hohes Kommunikationsaufkommen und enormer Entscheidungsdruck sind dabei ebenso typische Gegebenheiten wie das anspruchsvolle Zusammenarbeiten verschiedener Persönlichkeiten in einer besonderen Bewältigungsorganisation. Diese Umstände erfordern neben organisatorischen Maßnahmen des Krisenmanagements auch gesonderte Kompetenzen der Stabsmitglieder. Ebendiese lassen sich schulen, indem die Funktionsträger aus ihrem Alltag herausgezogen und in Krisenlagen versetzt werden. So können sie wertvolle, praxisnahe Erfahrungen sammeln und sich auf den konkreten Ereignisfall vorbereiten.
In der Veranstaltung „Kompetenztraining Stabsarbeit“ kommen die Funktionsträger besonderer Aufbauorganisationen verschiedener Institutionen zusammen, um unabhängig vom eigenen beruflichen Umfeld die persönlichen Fähigkeiten zu verbessern.
https://www.hisolutions.com/security-consulting/academy#c12565
Der nächste HiSolutions Cybersecurity Digest erscheint Mitte Oktober 2023.
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!