Top Thema
Das Private ist politisch: Der große Doxkampf
Doxing – das Veröffentlichen privater Daten gegen den Willen der Betroffenen – ist ein bereits aus vorinternetösen Zeiten bekanntes Phänomen. Neu war vielen hierzulande, dass es nicht nur eine aktive „Doxing-Szene“ mit personellen Überschneidungen zu Kreisen von „Minecraft-Griefern“ (bösartigen Störenfrieden im Computerspielumfeld) gibt, sondern dass diese teilweise auch Verbindungen in die rechte Szene haben. Und neu ist, dass die Debatte mit dem „Adventskalender“, in welchem der Schüler Johannes S. aka „0rbit“ die Daten von Prominenten und Politikern (außer der AfD) veröffentlichte, nun auch in Deutschland vollends angekommen ist. Weder war hier großes „Hacker-Fu“ im Spiel (die Informationen stammten größtenteils aus anderen Hacks bzw. Leaks oder fielen schwachen Passwörtern zum Opfer), noch haben Sicherheitsbehörden oder deutsche Celebrities „versagt“. Vielmehr müssen wir wohl alle lernen, dass sich das Private (private Daten, Email-Accounts, Social Media-Profile) und das Öffentliche/Politische in Bezug auf Cyber immer schlechter trennen lassen. Ob das BSI für die Absicherung privater Accounts von Amts- und möglicherweise sogar Mandatsträgern zuständig sein sollte, ist eine andere Debatte. Fakt ist jedoch, dass „Hacks“ und Doxing dieser Art einen Einfluss auf das öffentliche Leben, vermutlich sogar auf die öffentliche Sicherheit, haben. Es muss daher darum gehen, als Gesellschaft resilienter zu werden. Dies betrifft sowohl persönliche E-Mail-Accounts, die eben häufig auch für berufliche Dinge (mit-)genutzt werden oder als zweiter Faktor der Absicherung aller möglichen Assets dienen, als auch Profile mit großer „Follower-Power“: Hier haben nicht nur Betreiber wie Twitter und YouTube eine Verantwortung, allzu leichten Missbrauch zu verhindern, sondern möglicherweise zukünftig auch die Nutzer der Accounts. Zumindest sollte dies breit diskutiert werden in Zeiten, in denen gewisse Gamer, Influencer oder sonstige Unterhaltungskünstler weit mehr Fans haben als die größten „alten“ Medien. Hierbei soll es keinesfalls um Zensur gehen – die in unseren Breiten (allen) offene Kommunikation ist schließlich immer noch eine der Haupterrungenschaften des Internets. „Mit großer Macht kommt große Verantwortung“ muss sich jedoch zunehmend auch im Cyberspace widerspiegeln.
https://netzpolitik.org/2019/doxing-doxing-der-kampf-um-datensicherheit-wird-auf-unseren-computern-entschieden/
Neuigkeiten:
Rekord: Über 700 Millionen Passwörter gestohlen
Im bisher größten bekannt gewordenen Passwort-Leak sind über 700 Millionen Kombinationen aus Login (in der Regel E-Mail-Adresse) und Passwort gestohlen und veröffentlicht worden. Die scheinbar einige Jahre alten Daten stammen aus einer hohen Anzahl von Diebstählen und wurden nun gesammelt zum Kauf angeboten. Der australische Sicherheitsforscher Troy Hunt hat sie alle in seinen Dienst „Have I Been Pwned“ (HIBP) eingespeist, wo jeder überprüfen kann, ob eine bestimmte E-Mail-Adresse betroffen ist. Zudem beschreibt er ausführlich, was dies für die Sicherheit und die Nutzung von Passwörtern bedeutet. Leider kann HIBP nicht immer beantworten, bei welchem Dienst oder bei welcher Seite das Passwort – das hoffentlich nur einmal genutzt wurde – entwendet wurde.
https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
Die Daten stammen vermutlich u. a. von diesen fast 3.000 Seiten; die vollständige Liste liegt leider nicht öffentlich vor: https://pastebin.com/N9wnyjsx
Hier haben wir für Sie zur schnellen Übersicht die .de, .at und .ch-Domains daraus extrahiert: https://pastebin.com/UsxU4gXA
Es deutet sich jedoch bereits an, dass die schon etwas ältere „Collection #1“ nur die Spitze eines noch deutlich größeren Eisbergs von vielen Terabyte auch aktuellerer erbeuteter Daten sein könnte: https://krebsonsecurity.com/2019/01/773m-password-megabreach-is-years-old/
Krieg? Kriegste nix. Cyberversicherung zahlt nicht bei „kriegerischen Akten“
Das Kleingedruckte lohnt sich immer zu lesen, besonders wenn es um viel Geld und sogenannte „schwarze Schwäne“ geht – seltene, dafür aber sehr teure Ereignisse. Das musste die Firma Mondelez International schmerzhaft erfahren, als sie Schäden durch die Schadsoftware notPetya der Zurich American Insurance Company meldete. Der Cyberversicherer weigerte sich zu zahlen mit Verweis auf den kriegerischen Hintergrund ("hostile or warlike action") der Ransomware. Dies hätte komplexe Auswirkungen auf die Nutzung von Cyberversicherungen als Teil der Risikobehandlungsstrategie. Branchenkenner gehen jedoch davon aus, dass die kreative Interpretation des Versicherers der gerichtlichen Überprüfung nicht standhalten wird.
https://www.techlawx.com/blog/notpetya-insurance-coverage-dispute
HISOLUTIONS
Wir schulen regelmäßig! Hier eine Auswahl der nächsten Wochen:
* Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG: 20./21.02. (Bonn) und 2./3.4. (Berlin)
* Zertifizierter IT-Notfallmanager: 4.-7.3. (Berlin)
* Sicherheit mit dem IT-Grundschutz 27./28.2. (Hannover).
Mehr Veranstaltungen finden Sie hier.
Stillgestanden! Auswirkungen des Shutdown
Der „Shutdown“ der amerikanischen Regierung hat viele Auswirkungen, direkt und indirekt, unter anderem auch technische und mithin für die Security: Neben dem unverschuldeten Verlust von Sicherheitsfreigaben von Mitarbeitern liefen bereits einige TLS-Zertifikate ab, welche nicht erneuert werden konnten. Die Seiten des NIST mit den wichtigsten Security-Standards sind nicht erreichbar und Behörden wie FBI und DHS stark in ihrer Arbeit eingeschränkt. Am gravierendsten jedoch dürfte der langfristige Effekt der Verstärkung des Mangels an Fachkräften sein, welche sich aktuell auf den privaten Sektor umorientieren.
https://josephsteinberg.com/government-shutdown-could-create-long-term-cybersecurity-problems-for-the-united-states/
Geht noch was: NIST Risk Management Framework 2.0
Nicht alle Aktivitäten sind jenseits des großen Teichs vollends eingestellt. So veröffentlichte das NIST kurz vor dem Shutdown noch schnell Version 2.0 des NIST Risk Management Framework (RMF). Es umfasst vor allem eine Ausrichtung am NIST Cyber Security Framework, welches sich immer mehr zum Rahmenwerk für Standards der Informationssicherheit in den USA entwickelt.
https://csrc.nist.gov/news/2018/rmf-update-nist-publishes-sp-800-37-rev-2
IoT-Hacking, Folge #4711: Chromecast
Selbst Firmen mit den Ressourcen und der Expertise von Google schaffen es nicht, ihre IoT-Devices wirksam gegen Angriffe zu schützen. Zuletzt spielten gutmütige Hacker auf zehntausenden Streaming-Geräten des Typs Chromecast ein YouTube-Video ab, welches auf das Problem hinwies.
https://www.heise.de/security/meldung/CastHack-Zehntausende-Chromecast-Adapter-spielten-ploetzlich-Youtube-Video-ab-4263887.html
Game Over, Please Enter Coin: Java kostet jetzt
Einige hatten es schon beim Kauf der Open-Source-freundlichen Firma SUN Microsystems durch Oracle 2009 befürchtet: Nachdem Java (SE und Vorgänger) für die meisten Einsatzzwecke kostenfrei zur Verfügung gestellt wurde, hat Oracle nun angekündigt, dass mit 2019 für Java SE Version 11 ein neues Release- und Supportmodell eingeführt wird. Nur noch die aktuelle Version wird dann kostenfrei für die private Nutzung mit Updates versorgt. Eingeschränkt soll dies auch für das kommerzielle Entwickeln, Testen, Prototyping und Demonstrieren gelten. Für die kommerzielle Nutzung, die Nutzung aller anderen Versionen und vor allem für die neuen „Long-Term-Support“-Versionen wird zukünftig eine kostenpflichtige Lizenz mit Wartung benötigt. Diese war bis dato nur dann notwendig, wenn die kommerziellen Features von Java SE genutzt wurden. Nun wird es ohne etwa keine Security-Updates mehr geben.
Hier die Empfehlungen unserer Kollegen vom Software Asset Management (SAM) zum Umgang mit dem Thema: https://sam.news/achtung-java-lizenzierung-was-sie-jetzt-tun-muessen/
War’s das, Facebook?
2018 war das Jahr, in dem die Skandale um Facebook den Diskurs um die Firma weitgehend dominiert haben. Die letzte Schramme im Image entstand durch die Enthüllung, dass besonders guten Werbekunden weitreichender Zugriff auf private Daten von Nutzern eingeräumt wurde. So konnte Spotify private Chatnachrichten lesen, Microsofts Bing und Amazon die Namen und Kontaktdetails von Freunden. Zuletzt wurden – auch wenn dies noch andere Gründe haben mag – stagnierende Nutzerzahlen gemeldet.
https://www.theregister.co.uk/2018/12/20/facebook_disaster
Lesetipps
So war 2018
Zum Ende von 2018 gab es – wie jedes Jahr – eine Schwemme von Rückblicken und Vorhersagen. Aus der ersten Kategorie bot der „Data Breach“-Bericht des Anbieters Bitdefender einen gut verdaulichen Überblick, was uns das Jahr über beschäftigt hat.
https://businessinsights.bitdefender.com/2018-data-breaches-review
Den ultimativen und darüber hinaus fast zeitlosen Blick in die Glaskugel 2019 hat hingegen zeroBS geliefert: Bis jetzt zu 100 % akkurat! ;-)
https://zero.bs/vorhersagen-fur-2019.html
So war Equifax
Die meisten Leaks verschwinden nach dem medialen Rummel, den sie verursachen, mehr oder weniger schnell wieder in den Tiefen von Twitter, Facebook und Google News. Dabei lohnt es sich durchaus, mit etwas Abstand nachzulesen, was genaue Analysen von Ablauf, Root Cause und Lessons Learned ergeben haben. Zum Equifax-Breach – einem der großen Skandale von 2017 – hat das amerikanische Government Accountability Office (GAO – grob vergleichbar dem Bundesrechnungshof) dem Kongress einen Bericht vorgelegt, der auf 35 Seiten genau darstellt, woran es lag, dass die personenbezogenen Daten und Kreditkarteninformationen von 145 Millionen Menschen abhandenkommen konnten. Interessanterweise war Equifax von der technischen Security her sehr gut aufgestellt. Der Angriff, der eine erst seit zwei Tagen bekannte Lücke ausnutzte („beinahe-Zero-Day“), wurde immerhin entdeckt, wenn auch erst nach zwei Monaten. Unter anderem hatte ein abgelaufenes Zertifikat dazu geführt, dass eine Sicherheitssoftware die Detektion nicht erfolgreich durchführen konnte.
https://www.warren.senate.gov/imo/media/doc/2018.09.06%20GAO%20Equifax%20report.pdf
So war der 35C3
Groß. Spannend. Vielfältig. Hier eine subjektive Auswahl von Vorträgen zum nachträglich Anschauen:
- What The Fax?!
- Exploring fraud in telephony networks
- Compromising online accounts by cracking voicemail systems
- Du kannst alles hacken – du darfst dich nur nicht erwischen lassen
- Archäologische Studien im Datenmüll
- Security Nightmares 0x13
- How Facebook tracks you on Android
- Venenerkennung hacken
- Inside the Fake Science Factories
- Hackerethik - eine Einführung
- Jahresrückblick des CCC 2018
- All Your Gesundheitsakten Are Belong To Us
---------------------------------------------------------------
Der nächste HiS-Cybersecurity Digest erscheint Anfang Februar 2019 – jetzt abonnieren!
Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate:
Übersicht aller bisher erschienenen HiS-Cybersecurity Digests.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!
