< Zurück
News

HiS-Cybersecurity Digest Februar 2018 veröffentlicht

Security Consulting , Cybersecurity Newsletter

HiS-Cybersecurity Digest Februar 2018

Die Top Themen des letzten Monats: Fitness-App verrät Militärbasen, IT-Grundschutzkompendium erschienen, junge Leute akzeptieren Biometrie, Unterschiede in Private Browsing Modes, Grundlagenforschung zu „Weird Machines“.


Top Thema

Run For Your Life? Fitness-App verrät Militärbasen
Dass massenhafte Datensammlung in (insbesondere mobilen) Clouddiensten Gefahren mit sich bringt, ist kein Geheimnis. Selten wurde dies jedoch so deutlich sichtbar wie in der Fitness-App Strava. Die „Heat Map“ – die grafische Darstellung der Fitnessaktivitäten der Nutzer auf der Weltkarte – lässt neben anderen spannenden Details auch Militärbasen und sogar Außenstellen von Geheimdiensten wunderschön hervortreten. Das Problem einer solchen Offenlegung beschränkt sich selbstverständlich nicht auf den staatlichen Bereich, wird hier nur besonders anschaulich. Die berühmte IT-Sozilogin Zeynep Tufekci schreibt in der New York Times: „Datenschutz ist kein Endverbraucherprodukt, bei dem man einfach 'akzeptieren' klickt, und dann ist alles gut. Datenschutz ist eher wie Luftqualität oder sicheres Trinkwasser, ein öffentliches Gut, das man nicht effektiv regulieren kann, indem man auf die Weisheit von Millionen individueller Entscheidungen vertraut." (siehe LESETIPPS).
http://www.spiegel.de/wissenschaft/datenlese/cia-fitness-app-strava-enttarnt-militaerbasen-a-1190998.html  


Neuigkeiten im Januar:

Gespensterjagd: Mühsame Aufräumarbeiten nach Spectre
Während sich Meltdown dank gemeinsamer Anstrengungen aller Betriebssystemhersteller für gepatchte Systeme relativ schnell in den Griff kriegen ließ, dauern die Rettungsmaßnahmen nach Spectre noch an. Die Schwierigkeit des Problems kann man im Linuxbereich etwa anhand der Heftigkeit der Diskussionen abschätzen. Der ohnehin nicht für eine sanfte Zunge bekannte Erfinder des Linux-Kernels, Linus Torvalds, etwa keilte gegen einen ehemaligen Intel-Ingenieur aus, er wolle „wirklich nicht sehen, dass solche Müll-Patches ohne Hirn und Verstand einfach herumgeschickt werden“. Dabei werden auf der Linux kernel mailing list gerade die entscheidenden Diskussionen um Abhilfe geführt. http://lkml.iu.edu/hypermail/linux/kernel/1801.2/05282.html 
Viel Lesenswertes zu Meltdown und Spectre findet sich in der aktuellen c’t wie auch in der iX, z. B. der Leitartikel „Spekulatives Vertrauen“ des Autors dieses Cybersecurity Digest, David Fuhr, Head of Research, in welchem eine anschauliche Erklärung der Exploits versucht wird.
https://www.heise.de/ix/heft/Spekulatives-Vertrauen-3948221.html 

-------------------------------------------------------------- 
Was lange währt: IT-Grundschutzkompendium erschienen
Am 1. Februar erschien das IT-Grundschutz-Kompendium, der Nachfolger der IT-Grundschutz-Kataloge. Es ist das „Fleisch“ zum modernisierten IT-Grundschutz-Vorgehen nach den BSI-Standards 200-2 und 200-3. Nachdem die neue „Community Draft“-Kommentierungsphase erfolgreich durchlaufen wurde, ist die jetzt vorliegende 1. Edition zertifizierungsrelevant. Ab dem 9. Februar steht eine PDF-Version auf den Webseiten des BSI zur Verfügung.
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/itgrundschutzKompendium_node.html 

-------------------------------------------------------------- 
Die (technische) Revolution frisst ihre Eltern: Kauft VMware DELL?
Einem Medienbericht zufolge überlegt der PC-Hersteller Dell, sich in einem riesigen sogenannten „Reverse Merger“ selbst an seine Tochterfirma VMware zu verkaufen. Erst 2015 hatte Dell den Virtualisierungs-Anbieter für 67 Milliarden Dollar als Teil von EMC gekauft.
Auch wenn diese Transaktion nicht sofort Security-Implikationen hat, zeigt sich hier besonders deutlich, dass die alten Geschäftsmodelle abtreten und Cloud-Computing und damit dessen Sicherheit immer mehr in den Mittelpunkt rücken.
http://www.handelsblatt.com/unternehmen/it-medien/us-technologiekonzern-dell-prueft-den-eigenen-verkauf-an-vmware/20904532.html 

-------------------------------------------------------------- 
Von „Krypto“ lernen heißt Einstecken lernen: 4 Mio. Dollar IOTA abgefischt
Die Liste spektakulärer Diebstähle von bzw. im Rahmen von „Krypto“, wie Kryptowährungen zum Missfallen aller Kryptologen immer häufiger genannt werden, ist um einen Eintrag länger geworden. Über eine Phishing-Seite, die weit oben in den Suchergebnissen von Google erschien, ist es Kriminellen gelungen, Nutzern der IOT-Kryptowährung IOTA „Zufallszahlengeneratoren“ unterzujubeln. Über die Kenntnis der Zufallswerte konnten sie umgerechnet 4 Mio. USD abräumen. Dabei hätte ein einfacher Kommandozeilenbefehl à la „cat /dev/urandom |tr -dc A-Z9|head -c${1:-81}“ ausgereicht, um einen sicheren Seed zu erstellen. Lessons Learned: 1. Kontrolle über Schlüssel (inkl. Seeds!) ist essentiell. 2. Minimale Kenntnisse einer neuen Technologie und Misstrauen gegen Tools ebenso. 3. An Kryptowährungen lassen sich IT-Sicherheitsprobleme idealtypisch studieren, da die Werte hoch sind, Effekte schnell eintreten und Schäden sofort öffentlich sichtbar sind.
https://t3n.de/news/raubzug-cyberkriminelle-iota-926420/ 

-------------------------------------------------------------- 
Traue meinen Augen: Junge Leute akzeptieren Biometrie
Aktuelle Studien zeigen, dass junge Leute – also die Haupt(Business)-Nutzer von morgen – mehr und mehr biometrischen Verfahren vertrauen. Und das, obwohl Biometrie zwar große Usability-Vorteile bringen kann, in der Regel aber leichter zu umgehen ist als gut implementierte klassische Authentifikationssysteme. Vor allem aber können gestohlene biometrische Merkmale per Definition kaum geändert werden. Es kommt also für die Zukunft darauf an, alternative Authentifikationssysteme mit Hochdruck schneller in Richtung Security und Usability weiterzuentwickeln sowie die Nutzung von Biometrie an die Auflagen einer ehrlichen Risikoanalyse zu binden.
https://www.heise.de/newsticker/meldung/Studie-Junge-Leute-akzeptieren-biometrische-Verfahren-statt-Passwort-3952855.html 

-------------------------------------------------------------- 
Privat ist nicht gleich privat. Unterschiede in Privat Browsing Modes
Alle modernen Browser verfügen über einen „Privat Browsing Mode“, teilweise auch Incognito- oder InPrivate-Browsing genannt. Welche Informationen dort nicht gespeichert bzw. ob und wann sie wieder gelöscht werden, ist jedoch durchaus unterschiedlich. Hadley Beeman vom W3C hat eine Zusammenstellung begonnen, welche Browser welche von über 30 Datentypen privat zu halten versuchen.
https://docs.google.com/spreadsheets/d/10kulKoA6b_EWXDjzlg2DXS2vKL1NbW0NvPbcnWo5v0s/edit#gid=0 

-------------------------------------------------------------- 
Kommen drei Bewaffnete in eine Bank. War aber eine Bitcoin-Wechselbörse.
Drei Bewaffnete haben in Kanada versucht, eine Exchange, also Wechselbörse für Kryptowährungen auszurauben. Sie verletzten einen Mitarbeiter und mussten ohne Beute fliehen. Dabei hätte das Unterfangen theoretisch klappen können: Wäre es ihnen gelungen, die Mitarbeiter zu zwingen bestimmte mathematische Operationen auszuführen und hätte es keine technischen Maßnahmen gegeben, die dies verhindern, etwa „Cold Wallets“, bei der größere Beträge auf isolierten Datenträgern in Tresoren mit Zeitschaltern gespeichert werden, so hätten sie ihre Beute noch nicht einmal tragen müssen. Lediglich ihre Adressen (Public Keys) hätten sie dabeihaben müssen. Für das perfekte Verbrechen scheint bei Bitcoin und Co. jedoch noch die Praxis zu fehlen - auf Räuber- wie auf Eigentümerseite. Was schon erfolgreich war, sind klassische Methoden wie Entführung, etwa des Geschäftsführers einer britischen Exchange 2017 in der Ukraine.
https://motherboard.vice.com/en_us/article/ne4pvg/police-in-ottawa-canada-charged-a-teen-with-armed-bitcoin-robbery-are-hunting-two-suspects 


LESETIPPS
In dieser Rubrik stellen wir Ihnen interessante Beiträge zum Weiterlesen vor.

Komische Maschinen
Um die neuesten Exploits in ihrer Tiefe zu verstehen und eine Chance zu haben, mit der Komplexität aktueller IT-Systeme Schritt zu halten, wird Grundlagenforschung immer wichtiger. Thomas Dullien („Halvar Flake“) von der Ruhr-Uni Bochum ist jemand, der seit Jahren an diesem Thema forscht. Heute arbeitet er bei Googles Project Zero. Sein Paper „Weird machines, exploitability, and provable unexploitability“ ist relativ harter Tobak. Sein Vortrag an der Universität Oxford dagegen ist etwas zugänglicher. Es geht um die Grundfragen: Was ist ein Exploit? Wogegen gilt es sich im Kern zu verteidigen?
Zum Paper: https://eprint.iacr.org/2018/119.pdf 
Der Vortrag: https://vimeo.com/252868605 

Ein Ort, wo der Nachschub komischer Maschinen nur durch die Phantasie der Nutzer (und Hersteller) begrenzt ist, ist das Internet der Dinge (IOT). „Dildo-Wardriving“ ist der neu vorgeschlagene Gattungsbegriff für Angriffe auf unsicheres Sexspielzeug.
https://www.sec-consult.com/en/blog/2018/02/internet-of-dildos-a-long-way-to-a-vibrant-future-from-iot-to-iod/index.html 

Noch lesenswerter ist der Aufsatz von Ryan McGeehan („Starting Up Security“) über fünf Faktoren eines sicheren IOT.
https://medium.com/starting-up-security/the-five-factors-used-to-secure-systems-7f58be0f447f 

Für unser Verhältnis zu den komischen Maschinen, hier in Bezug auf Datenschutz, lohnt sich immer das Lesen der Beiträge der Soziologin Zeynep Tufekci.
https://www.nytimes.com/2018/01/30/opinion/strava-privacy.html   

 

Der nächste HiS-Cybersecurity Digest erscheint Anfang März 2018.

Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate: 
Übersicht aller bisher erschienenen HiS-Cybersecurity Digests.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: