HiS-Cybersecurity Digest Juli 2016 veröffentlicht

HiS-Cybersecurity Digest Juli 2016

Die Top Themen des letzten Monats: TEMPEST: Jeden Monat neue Angriffe, HiSolutions` Schwachstellenreport, Offline als letzte Zuflucht?, Internet der Dinge - Kameras greifen an, 154 Millionen Datensätze amerikanischer Bürger im Netz, Schlüsselwechsel bei Biometrie, Angriff gegen die Festplattenverschlüsselung von Android.


Top Thema 

Privacy Shield fast in Kraft
Nach dem Ende des Safe-Harbor-Abkommens soll nun ein neues Abkommen den Datenaustausch zwischen Europa und den USA regeln. Unter Hochdruck wurde es verhandelt und auf den Weg gebracht. Noch im August soll es in Kraft treten und verhindern, dass europäische Unternehmen weiterhin Bußgeldbescheide der Datenschützer erhalten. Wichtiges Zugeständnis der USA: Überwachung soll nur noch anlassbezogen erfolgen und nur, wenn sie absolut notwendig ist. Datenschützer haben allerdings bereits angekündigt, auch dieses Abkommen anzufechten, da ihnen der Schutz der Daten vor - insbesondere staatlichen - Begehrlichkeiten nicht weit genug geht. 
http://www.zeit.de/digital/datenschutz/2016-06/privacy-shield-schroedinger-massenueberwachung 


Neuigkeiten im Juni:

TEMPEST: Jeden Monat neue Angriffe
Aktuell findet die Problematik von elektromagnetischen Abstrahlungen für die Sicherheit große Beachtung. Zumeist sind es kryptografische Schlüssel, die dem Angriff zum Opfer fallen. Der hier verlinkte Artikel zeigt den aktuellen Stand der Technik und dokumentiert den erfolgreichen Angriff mit einem Mikrofon auf einen PC, der 4096 Bit lange RSA-Schlüssel nutzt. Innerhalb einer Stunde konnten die Forscher den Schlüssel rekonstruieren. Schneller geht es, die Erdung des PC zu belauschen und so innerhalb weniger Sekunden an den Schlüssel zu kommen. Die Forscher zeigten auch erfolgreiche Angriffe über elektromagnetische Abstrahlungen.
http://cacm.acm.org/magazines/2016/6/202646-physical-key-extraction-attacks-on-pcs/fulltext 

--------------------------------------------------------------
HiSolutions` Schwachstellenreport
Jedes Jahr veröffentlicht HiSolutions eine statistische Auswertung der Ergebnisse der Penetrationstests des Vorjahres. Der Schwachstellenreport 2015 beruht auf den Ergebnissen aus 46 Penetrations- und Schwachstellentests des letzten Jahres. Die Untersuchung deckt besonders schwerwiegende oder sehr häufig auftretende Schwachstellen auf. Im Jahr 2015 hat insbesondere der Anteil kritischer Schwachstellen in den Tests wieder deutlich zugenommen.
HiSolutions Schwachstellenreport 2015 

--------------------------------------------------------------
Offline als letzte Zuflucht?
Um sich gegen Angriffe aus dem Cyberraum zu schützen, hat die Regierung von Singapur beschlossen, den Mitarbeitern der öffentlichen Verwaltung zukünftig keinen Internetzugang mehr zu erlauben. Surfen geht dann nur noch über die eigenen Smartphones oder separate Surfstationen. Ob auch der Zugang zu E-Mail betroffen sein wird, ist noch nicht geklärt.
http://www.spiegel.de/netzwelt/netzpolitik/singapur-geht-aus-angst-vor-cyber-angriffen-offline-a-1097339.html 

--------------------------------------------------------------
Internet der Dinge - Kameras greifen an
Rund 25.000 an das Internet angeschlossene, von einem Hacker gekaperte Videokameras haben die Webseite eines Online-Shops mit Anfragen überlastet und so zum Stillstand gebracht. Dies war nicht der erste Angriff dieser Art und wird mit der weiteren Verbreitung des IoT auch nicht der Letzte bleiben.
http://arstechnica.com/security/2016/06/large-botnet-of-cctv-devices-knock-the-snot-out-of-jewelry-website/ 

--------------------------------------------------------------
Digitale Währung Ethereum angegriffen
Über einen Fehler in der Software der "Smart Contracts" konnten Angreifer rund 50 Millionen US-Dollar auf eigene Konten verschieben. Um weitere Abflüsse zu verhindern, verschoben White-Hat-Hacker die verbleibenden 100 Millionen US-Dollar auf ein anderes Konto. Aktuell wird versucht, die Angreifer über einen Abzweig (Fork) der Blockchain des Projekts daran zu hindern, dass sie das Geld nutzen können. Dies birgt allerdings auch seine eigenen Gefahren, da diese Änderung der Software das gesamte System anfällig für Angriffe gegen die Verfügbarkeit macht.
https://www.cryptocoinsnews.com/ether-price-plumets-ethereum-dao-may-be-hacked/ 

--------------------------------------------------------------
154 Millionen Datensätze amerikanischer Bürger im Netz
Der Sicherheitsforscher Chris Vickery hat eine in der Google-Cloud gehostete Datenbank mit umfassenden Daten amerikanischer Bürger ungeschützt im Netz gefunden. Die Datensätze enthalten unter anderem Geschlecht, politische Gesinnung, Einstellung zu brisanten Themen wie Abtreibung und privatem Waffenbesitz sowie Adresse, Alter und E-Mail. Ob es sich um einen Angriff oder ein Versehen handelt, ist noch unklar.
https://nakedsecurity.sophos.com/2016/06/23/154-million-voter-records-exposed-including-gun-ownership-facebook-profiles-and-more/ 

--------------------------------------------------------------
Erneut Gefahren von Software-Bibliotheken gezeigt
Moderne Betriebsumgebungen und Anwendungen laden Programmcode meist dynamisch von diversen Stellen auf die Server oder in die Web-Anwendung. Weil ein Nachladen neuer Versionen automatisch erfolgt, kann eine gelöschte Bibliothek ganze Anwendungen zum Stillstand bringen. Aufgefallen war dies Anfang des Jahres, als ein Programmierer mehrere seiner Bibliotheken löschte. Auch Schadsoftware kann so auf die eigenen Systeme gelangen. Besonders einfach ist der von Herrn Tschacher im folgenden Artikel beschriebene Angriff. Im Rahmen seiner Bachelorarbeit stellte er Bibliotheken mit typischen Tippfehlern im Namen ein. Immerhin 17.000 unterschiedliche Domains luden seinen Code und führten ihn aus. Da er keine bösartigen Routinen einbaute, ist kein Schaden entstanden.
http://arstechnica.com/security/2016/06/college-student-schools-govs-and-mils-on-perils-of-arbitrary-code-execution/ 

--------------------------------------------------------------
Schlüsselwechsel bei Biometrie
Das größte Problem der biometrischen Verfahren zur Authentifizierung ist der Schlüsselwechsel. Immer wenn der Verdacht besteht, dass ein Schlüssel Dritten bekannt geworden ist, sollte der Nutzer einen neuen erstellen. Das ist bei Passworten einfach, bei Fingerabrücken jedoch nicht. Dafür gibt es jetzt eine Lösung. Das Identity Pad sieht aus wie ein Fingerhut und enthält einen Fingerabdruck, den Smartphones und andere Fingerabdruckleser akzeptieren. Sollte nun also die Datenbank mit den Fingerabdrücken in falsche Hände gelangen, kann man den Fingerhut schnell wechseln. Da man diesen jedoch immer dabei haben muss, ist er allerdings nicht sehr praktikabel und wird sich wahrscheinlich nicht durchsetzen.
http://www.csmonitor.com/World/Passcode/Security-culture/2016/0627/Fake-fingerprints-The-latest-tactic-for-protecting-privacy 

--------------------------------------------------------------
Angriff gegen die Festplattenverschlüsselung von Android
Auf Basis eines Exploits gegen den sicheren Kernel von Qualcom (CVE-2015-6639 Patched Januar 2016) kann es Angreifern gelingen, den im Keymaster gespeicherten Schlüssel zu erlangen. Mit diesem ist es möglich, einen Brute-Force-Angriff gegen den zur Verschlüsselung des Speichers verwendeten Schlüssel durchzuführen. Der Angreifer muss dann lediglich alle möglichen Passwörter des Benutzers auf einem oder mehreren eigenen Rechnern ausprobieren. Sollte jemand also einen neuen Angriff gegen die TrustZone finden, oder ein Hersteller sich an der Entschlüsselung beteiligen, sind die verschlüsselten Daten relativ einfach zu erhalten. Um diesen Angriff durchzuführen, muss der Nutzer allerdings die Schadsoftware auf dem Gerät ausführen. Für ein ausgeschaltes Gerät stellt dieser Angriff keine Gefahr dar.
https://bits-please.blogspot.de/2016/06/extracting-qualcomms-keymaster-keys.html 

--------------------------------------------------------------
500.000 US-Dollar pro Tag mit Android-Malware
Diesen Betrag soll eine Hacker-Gruppe laut Schätzungen mit der Malware "Hummer" verdienen. Sie steckt in Apps, die sich über alternative App-Stores verbreiten und installiert dem Benutzer Ad-Ware. Jede Installation bringt rund 50 Cent ein. Zu deinstallieren ist sie kaum, da Hummer das Telefon mit einem von insgesamt 18 Exploits hackt.
http://thehackernews.com/2016/07/android-hacking-tool.html?m=1 

--------------------------------------------------------------
Wovor schützen sich Bürger im Internet?
Pew Research fragte Amerikaner, welche Risiken sie im Internet sehen und vor welchen Risiken sie sich aktuell schützen. Ein überwältigender Anteil von 91 % der Befragten äußerte dabei die Ansicht, sie hätten keine ausreichende Kontrolle über die Verwendung ihrer persönlichen Daten durch Unternehmen.
http://www.pewresearch.org/fact-tank/2016/01/20/the-state-of-privacy-in-america/

 

Der nächste HiS-Cybersecurity Digest erscheint Anfang August 2016.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: