Top Thema
Hier bin ich, Mensch, hier schreib ich’s rein: KI textet täuschend echt
Dieser Digest wurde für Sie wie immer von David Fuhr und diesmal auch Robert Waniek geschrieben. Sicher? Sind wir uns selbst ganz sicher? Die künstliche Intelligenz (KI) hat beim Verfassen von Texten jüngst die Schwelle überschritten, vor der sie durch uns Menschen leicht als Maschine zu erkennen war. Das maschinell an Millionen von Texten trainierte Modell GPT-3 des von Tesla-Gründer Elon Musk und Microsoft finanzierten Unternehmens Open AI kann Texte unterschiedlicher Art produzieren, welche oft auf den ersten und zweiten Blick nicht von denen menschlicher Autoren zu unterscheiden sind.
Neben einer riesigen Menge nützlicher bis lustig-alberner oder auch sinnloser Anwendungsszenarien fallen in Security-Denke geschulten Zeitgenossen sofort mögliche Missbrauchsszenarien ein. Wie viel besser kann hiermit das Schreiben täuschend echter Phishing-Mails skaliert werden? Wie viel vertrauenswürdiger können nigerianische Prinzen wirken, wenn sie jede/n Autor/-in und jeden Stil perfekt imitieren können? Und wie sehr können wir der Wahrheit noch trauen, wenn jeder sie auf Knopfdruck mit einem Meer von Fiktion überschwemmen kann?
Noch ist die KI mit ihren eigenen Mitteln leicht zu schlagen, und die Fälschungen sind technisch gut zu erkennen, wenn man denn weiß wie und den Aufwand betreibt. Aber diese Kinderkrankheiten werden im üblichen Katz- und Maus-Spiel bald immer weiter ausgemerzt. Wir tun gut daran, uns bei Texten schon heute langsam einen wachsenden Skeptizismus anzutrainieren, wie wir dies auch mit Bildern lernen mussten und zukünftig verstärkt alternative Herkunfts- und Wahrheitsbeweise einzufordern, wie wir es etwa in der Kryptografie tun.
Neuigkeiten
Oh Autsch! OAuth-Phishing
Multi-Faktor-Authentisierung gehört inzwischen zum Stand der Technik und ist regelrecht ein Standard im stärker exponierten Cloud-Umfeld. Um ihren Erfolg beim Abgriff von Zugangsdaten weiterhin zu sichern, nutzen Angreifer nun Authentisierungstoken für Cloud-Apps, denn: Wurde eine Angreifer-App mit ausreichend Berechtigungen versehen, können darüber weitreichende Schäden in der gesamten IT-Umgebung verursacht werden. Inzwischen warnt Microsoft Unternehmenskunden vor dieser Angriffsmethode. Es gibt also genug Gründe, sich mal mit den methodischen Details auseinanderzusetzen.
https://research.hisolutions.com/2020/08/oauth-phishing/
HiSolutions Veranstaltungshinweis: Webinar Ripple20
Aufgrund der starken, aber verdeckten Verbreitung zeichnet sich die Tragweite der IoT-Schwachstellen-Gruppe Ripple20 erst schrittweise ab. Beim Umgang mit diesem Problem treten neben technischen Aspekten auch rechtliche Fragestellungen in den Fokus. Zu beidem findet am 25. August 2020 von 15 16:30 Uhr ein Webinar von reuschlaw Legal Consultants mit unserem Kollegen Manuel Atug statt.
Weitere Informationen zur Anmeldung finden Sie unter:
Zu Ripple20 siehe:
https://research.hisolutions.com/2020/07/jack-the-ripple-iot-mit-kritischen-sicherheitsluecken/
Sommerolympiade der Security Gateways: Angreifer nutzen bekannte Schwachstellen
F5, Cisco, Palo Alto, Citrix, Pulse Secure: Die Produkte mehrerer großer Anbieter sind dieses Jahr von hochbewerteten Schwachstellen betroffen, sodass sich Administratoren die Zeit für nötige Sicherheitsupdates nehmen sollten. Dies bekräftigen nun Ransomware-Angreifer und zielen auf ungepatchte Systeme mit diesen Schwachstellen, was großes Potenzial für weitreichende Kompromittierungen umfangreicher IT Umgebungen birgt.
Won’t Fix: Netgear lässt Kunden mit öffentlichem Exploit hängen
Mit dem Fix-Status „None; outside security support period“ teilt Netgear seinen Kunden mit, dass 45 von 79 betroffenen Gerätemodellen umgehend außer Betrieb genommen werden sollen, da es für öffentlich bekannte Remote-Code-Execution-Schwachstellen kein Sicherheitsupdate geben wird.
https://www.theregister.com/2020/07/30/netgear_abandons_45_routers_vuln_patching/
Multi-OS-Strategie: Emotets Trickbot goes Linux
Die Vielseitigkeit der Schadsoftware-Toolchain Emotet beschäftigt seit geraumer Zeit Incident Responder, IT-Forensiker und Administratoren gleichermaßen. Nun kommt eine neue Facette hinzu, indem das angestammte Wirtsbetriebssystem Windows um Linux-Systeme ergänzt wird. Neben den offensichtlichen Linux-Servern (und ggf. -Clients) droht hier auch Persistenz über Embedded Linux in Geräten wie Druckern und Routern.
https://www.heise.de/news/Emotet-Trickbot-nimmt-Linux-Systeme-ins-Visier-4860584.html
Auch die Methodik der Angreifer entwickelt sich weiter, sodass nun reale Dateianhänge in E Mails gestohlen und für Angriffe verwendet werden.
Eins, zwei, drei, vier, Eckstine: Wordpress nun mit Plugin-Auto-Update
Nachdem Wordpress bereits vor Jahren mit einer Auto-Update-Funktion für seine Kernkomponenten die Angriffsoberfläche für viele Websites stark reduzierte, verlagerte sich das Geschäft der Angreifer auf Sicherheitslücken in verwendeten Plugins. Diese werden oft vergessen und oft genug nicht einmal mehr benötigt. Ab Version 5.5, benannt nach dem amerikanischen Jazzsänger Billy Eckstine, steht die Auto-Update-Funktion nun endlich auch für Plugins und Themes zur Verfügung.
https://wordpress.org/news/2020/08/eckstine/
Less Trustworthy Encryption: LTE-Telefonate abhörbar
Durch VoLTE werden Telefonate innerhalb des LTE-Standards realisiert. Allerdings wurden hier in einigen verbreiteten Implementationen kryptografische Schlüssel wiederverwendet, sodass ein Angreifer, der ein geeignet langes Telefonat mit dem Opfer führen konnte, entsprechend lange frühere Telefonate desselben Opfers entschlüsseln konnte. Die zugehörige Forschung der Ruhr-Uni Bochum wurde nach umfangreichsten Koordinierungsaktionen mit den großen Mobilfunk-Betreibern nun auf der USENIX vorgestellt.
https://www.usenix.org/conference/usenixsecurity20/presentation/rupprecht
Wenn der Stiefel aber nun ein Loch hat: UnSecure Boot im Bootloader Grub
Secure Boot-Funktionen dienen als Vertrauensanker, um von vertrauenswürdiger Hardware ausgehend die Authentizität und Integrität zumindest von Kernfunktionen der Software sicherzustellen. Wenn das Booten von signiertem Programmcode das Einklinken von Angreifern nun nicht lückenlos verhindert, öffnet dies eine Vielzahl von Angriffsvektoren. Entsprechende Updates wurden für alle gängigen Distributionen zur Verfügung gestellt.
https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/
https://www.linux-magazin.de/news/boothole-bricht-secure-boot/
„LESE“TIPPS
DEFCON *Is* Cancelled – Still Hackers Gonna Hack
2020 ist zum ersten Mal in der Geschichte der legendären Hackerkonferenz der Running Gag „DEFCON fällt aus“ beinahe wahr geworden: Unter dem Titel „Safe Mode“ fand auch die DEFCON dieses Jahr nur virtuell statt. Neben Vorträgen zum Hacking von Lichtanlagen im Straßenverkehr und Geldautomaten erfreute sich insbesondere der Vortrag „Hacking the Hybrid Cloud“ von Sean Metcalf großer Beliebtheit. Oder mit den Worten des Vortragenden gesprochen: „How bad can this get?“ – „Don't want all my eggs in one basket... So now eggs are in all baskets.“
https://www.youtube.com/watch?v=AR5aLszXA2E
Why, oh, why, PyPI?
Fipptehler treten auf, binsedonsere dort, wo Menschen Dinge über Tostatüren einbegen können. Das Potenzial von Supply-Chain-Angriffen via Benutzerfehleingaben hat der Sicherheitsforscher William Bengtson genauer betrachtet und gezielt knapp falsch benannte Pakete wie „pythonjsonlogger“ erstellt, die irrtümlich statt des korrekten „python-json-logger“ installiert werden sollen. Bösartige Pakete könnten an dieser Stelle Schadcode einschleusen und z. B. Zugangsdaten abgreifen. Details und Geschichten, die er mit seinem Engagement für die Python-Community erlebt hat, finden Sie unter:
https://medium.com/@williambengtson/python-typosquatting-for-fun-not-profit-99869579c35d
Der nächste HiS-Cybersecurity Digest erscheint Mitte September 2020.
Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!