Top Thema
Der 0 Millionen Dollar Raub: Mr. White Hat gibt's zurück
Kryptowährungen an sich sind riskante Investitionsobjekte – nicht nur aufgrund der Volatilität und der häufigen Scam-Versuche, sondern auch wegen spektakulärer Security Incidents, die hier nicht selten gleichbedeutend sind mit dem Verlust von vielen Millionen Euro bzw. Dollar.
Umso wilder geht es bei „#Defi“ zu: „Decentralized Finance“ ist die nächste Entwicklungsstufe der „Kryptos“ und verbindet mehrere Blockchains zu größeren Netzwerken.
Hier konnte ein unbekannter Angreifer – später durch das bestohlene Poly-Netzwerk „Mr. White Hat“ getauft – umgerechnet 610 Millionen US-Dollar auf eigene Adressen in verschiedenen Kryptowährungen abzweigen. Dabei nutzte er einige spannende Designfehler von Poly aus. Insbesondere wurden Hashes nicht exakt genug geprüft.
Nach anfänglichem Betteln um Rückgabe der Beute schwenkte Poly bald um und bot dem Angreifer den Job als Sicherheitsberater an. Zwar scheint das Jobangebot im engeren Sinn nicht angenommen worden zu sein, aber das Geld wurde doch Stück für Stück zurückgebracht, ohne die Identität von Mr. White Hat zu enthüllen.
Sollte es wirklich seine bzw. ihre Absicht gewesen sein, auf Sicherheitslücken in #Defi bzw. Poly hinzuweisen – es wäre spektakulär gelungen.
https://threatpost.com/poly-network-recoups-610m-stolen-from-defi-platform/168906/
Neuigkeiten
Zu mobile Daten: 50-Millionen-Data-Breach bei T-Mobile
T-Mobile wurde zum vierten Mal Opfer eines größeren Hackingangriffs. Diesmal traf es beim viertgrößten Mobilfunkanbieter in den USA die personenbezogenen und teilweise auch kritischen Daten von über 50 Millionen Kunden, wie etwa Sozialversicherungsnummern.
Das Malheur fiel erst auf, als die Daten in einem Untergrundforum für 6 Bitcoin (knapp 280.000 USD) zum Kauf angeboten wurden. Die Zahl der Betroffenen wurde später noch einmal nach oben korrigiert.
HISOLUTIONS
KRITIS Zusätzliche Prüfverfahrenskompetenz nach § 8a (3)
Die zweitägige Schulung bereitet auf zukünftige Prüfungen im Rahmen der Umsetzung des § 8a (3) des BSI-Gesetzes vor. Nach bestandener Abschlussprüfung erhalten Sie die Zusatzqualifikation „Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG“, mit der Sie Prüfungen nach § 8a BSIG durchführen können.
Die Remote-Schulung findet vom 8. bis 9. September 2021 statt.
https://www.hisolutions.com/security-consulting/academy#c1968
Hätte, hätte, Lieferkette: ENISA-Papier zu Supply-Chain-Angriffen
Supply-Chain-Attacken sind der letzte (Schmerzens-)Schrei - und immer noch weniger erforscht als "klassische" IT-Sicherheitsprobleme. Die europäische Security-Behörde ENISA hat nun ein lesenswertes Papier veröffentlicht, welches die Natur sowie die Zunahme der Cyberangriffe auf Lieferketten beleuchtet und einordnet.
Was daten? Excel manipuliert Forschungsergebnisse
Seit langem ist es bekannt - und den meisten von uns immer einmal wieder schmerzhaft bewusst (gemacht) worden: Microsoft Excel meint, unsere Daten besser zu verstehen als wir selbst und interpretiert daher eingegebene Zeichenketten nach "Maximum Likelihood". 1.1? Kann keine Kapitelnummer sein, muss 1. Januar heißen. 3/4? Brüche, was ist das? 3. April. Oder 4. März, je nach Spracheinstellung.
Soweit, so (meistens) lustig. Doch nun wird langsam erst das Ausmaß des Problems klar: In manchen Branchen der Wissenschaft wird fast ein Drittel aller Datenbestände auf diese Art fehlinterpretiert.
Wirklich Sorgen machen sollte uns allerdings, dass das bisher kaum jemandem auffiel.
Ordentlich verordnet: Neue Kritisverordnung
Die überraschend plötzlich veröffentlichte "zweite Verordnung zur Änderung der BSI-Kritisverordnung", welche Anfang 2022 in Kraft treten wird, bringt nicht die konkrete Ausgestaltung des kürzlich verabschiedeten IT-Sicherheitsgesetzes 2.0 mit dem neuen Sektor Siedlungsabfallentsorgung und den UNBÖFIs (Unternehmen in besonderem öffentlichen Interesse). Vielmehr bildet die neue Kritisverordnung ab, was von der Exekutive längst hätte geliefert werden sollen: Die Evaluierung der ersten Generation der Kritis-Regulierung.
Der Änderungen sind viele, allerdings wenig Bahnbrechendes. Vor allem kommen weitere Kritis-Betreiber hinzu (z. B. bei den Stromerzeugungsanlagen, Stauanlagen, Laboren und Satelliten-Bodenstationen), und hier und da werden Vorgaben erweitert oder präzisiert.
Der bekannte Regelschwellwert von 500.000 versorgten Bürgern wird, außer bei den Energieanlagen, im Wesentlichen beibehalten.
Können mehr als mittel boxen: DDoS durch "Middle Boxes"
„Middle Boxes“ sind die „Black Boxes“ des Internets: Firewalls, Router, NAT-Devices und ähnliche Gerätschaften, die eigentlich ihre Schwerstarbeit diskret und transparent erledigen, und die wir in der Regel nur bemerken, wenn es ein Problem gibt.
Das könnte sich nun ändern. Denn laut den Ergebnissen aktueller Forschung lassen sich viele der Geräte für besonders schwere DDoS-Angriffe missbrauchen.
Klassischerweise funktionieren „Distributed Denial-of-Service reflective amplification attacks“ so, dass ein Angreifer die IP-Adresse seines Opfers spooft, massenhaft Anfragen verschickt und möglichst viele andere Maschinen dazu bewegt, diesem angeblichen Absender zu antworten. Das funktioniert insbesondere dann gut, wenn die Antwort größer ausfällt als die Anfrage („amplification factor“) – und schien bisher nur bei UDP zu funktionieren, da das Protokoll im Gegensatz zu TCP keinen Handshake benötigt und so nicht beim angeblichen Absender nachfragt. Mit UDP-basierten amplification attacks sind Faktoren von 2-10 typisch, bei einigen Protokollen auch 100 oder mehr.
Die Forscher aus Maryland und Boulder zeigten nun, dass mit TCP-basierten amplification attacks Faktoren von mehreren Tausend bis hin zu unglaublichen 100 Millionen möglich sind: Ein einziges gefälschtes TCP-Paket könnte so zu 100 Millionen Antwortpaketen an ein nichtsahnendes Opfer führen.
Insbesondere sind es Devices, die für die Einschränkung der Netzneutralität verwendet werden (um nicht zu sagen für Zensur), die hier in Waffen umgewandelt werden könnten.
https://therecord.media/firewalls-and-middleboxes-can-be-weaponized-for-gigantic-ddos-attacks/
Lesetipps
Steine mitbauen
Das BSI hat neue IT-Grundschutzbausteine zu Kubernetes und Containerisierung als Community Drafts veröffentlicht und freut sich über Kommentare bis zum 20. September.
Bauklötze staunen
„Performance Engineering“, also die Optimierung von Code bzw. die Minimierung von Ressourcenverbrauch durch IT-Anwendungen, ist ein boomendes Feld. Von den stochastischen Methoden, die dort inzwischen angewandt werden, könnte sich die Security möglicherweise ein Scheibchen abschneiden. Hier ein Einstiegspunkt (Vorsicht, mathematisch zum Teil harter Tobak!).
Der nächste HiSolutions-Cybersecurity Digest erscheint Ende September 2021.
Lesen Sie hier auch alle HiSolutions-Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!