Top Thema:
Ruck ohne Hau – Corona-Warn-App kein Security-Albtraum
Es geht diese Tage ein Ruck durch das Neuland – und zwar kein Hau-Ruck, den viele gleichwohl befürchtet hatten, als sich abzuzeichnen drohte, dass auch die deutsche Corona-Warn-App bei Datenschützenden und anderen IT-Justice Warriors von Anfang an in Ungnade stehen würde. Nun staunt der Laie – und selbst der Chaos Computer Club und sein Umfeld wundern sich: Ist die Macht der Datenverbraucherschützer wirklich so groß geworden, dass Behörden sich wandeln und plötzlich agile Open Source produzieren (lassen)? Anscheinend haben das Schreiben offener Briefe und das Führen hitziger Diskussionen in den sozialen Medien diesmal zwei Großkonzerne und mehrere Behörden dazu gebracht, in entscheidenden (auch datenschutz- bzw. sicherheitskritischen) Fragen umzusteuern. Das sind wir nicht gewöhnt!
Gezeigt hat sich auf jeden Fall schon jetzt: Die frühzeitige und umfassende Einbindung, gerade auch kritischer Kunden- und Gesellschaftsgruppen hat der Verbreitung der App zumindest nicht geschadet. Ob dies auch massenhafte Nutzung garantiert, steht auf einem anderen Blatt. Aber in einer idealen Welt wird auch dieser Prozess wie alle anderen gesellschaftlich relevanten Veränderungen von einer informierten und kritisch-produktiven Öffentlichkeit begleitet und wenn notwendig in die richtige Richtung gestupst. Auch angesichts einiger anderer Meldungen in diesem Digest: Zu Tode gesiegt hat sich die digitale Bürgerrechtsbewegung noch lange nicht.
https://www.zdf.de/nachrichten/politik/corona-app-launch-100.html
Neuigkeiten:
Von hinten durch die Brust ins Knie: KI-Fail bringt Microsoft in Bredouille
Man hätte es wissen müssen in Redmond: Die Stabübergabe an eine KI war vor ein paar Jahren schon einmal medial kolossal schiefgegangen, als Twitter-Nutzer einen gutgläubigen Microsoft-Chatbot zu einem Nazi-Plappermaul umdressierten. Doch nun war die Verlockung, 77 Redakteure des Nachrichtenportals MSN.com mit einem Schlag durch einen Algorithmus ersetzen zu können, scheinbar zu groß. Dies(er) rächte sich nach kurzer Zeit, indem er einen Artikel des britischen „Independent“ über eine Popgruppe als interessant auswählte – und beim automatisch hinzugefügten Bild zwei nicht-weiße Musikerinnen verwechselte. Nicht nur, aber gerade in Zeiten der neuen Black Lives Matter-Bewegung ist das zunächst mehr als peinlich, da es zeigt, wie sehr der Algorithmus vor allem auf weiße Gesichter trainiert war.
Aus einem ganz anderen Grund sollten wir für den Vorfall jedoch dankbar sein: Er zeigt einmal öffentlich, was sonst meist hinter den Kulissen verschleiert abläuft. Machine Learning ist extrem effektiv darin, uns unsere Stereotypen und Vorurteile abzugucken und deren Anwendung zu perfektionieren. Angesichts der immer weiter voranschreitenden Delegation von Entscheidungen an Algorithmen ist klar: Lernen wir nicht, Bias und Diskriminierung zu detektieren und Gegenmaßnahmen zu entwickeln, dann wird dies zukünftig nicht nur großen Anbietern auf die Füße fallen, sondern der Gesellschaft insgesamt.
HiSolutions Research
HiSolutions Research bündelt die Forschungs- und Entwicklungsaktivitäten von HiSolutions im Security-Bereich. Besuchen Sie unseren Research-Blog und informieren Sie sich über Cloud-Security, KI, KRITIS, Blockchain und viele weitere Innovationsthemen.
https://research.hisolutions.com/ - Forschung für die Informationssicherheit von morgen
Webinar: Cyber-Risiken – Auswirkungen auf die M&A-Transaktion
Jörg Schäfer von HiSolutions und Maximilian Vocke von Osborne Clarke erläutern anhand von Praxisbeispielen die aktuelle Bedrohungslage durch Cyberattacken und die typischen Schadenfälle sowie den Umgang mit Cyber-Risiken im Rahmen des M&A-Prozesses.
Termin: 24.06.2020/15:00 – 16:00
https://www.osborneclarke.com/de/events/cyber-risken-auswirkungen-auf-die-ma-transaktion/
3 – 2 – 1 – Gemeines! Ransomware-Gang versteigert Opferdaten
Die kriminelle Ransomware-Gang hinter der Malware REvil (auch bekannt als „Sodin“ oder „Sodinokibi“) hat damit begonnen, gestohlene Daten in Auktionen zu verhökern. Dies stellt eine weitere Eskalation der Taktik dar, Opfer von Schadsoftware nicht nur mit Verschlüsselung der Daten zu erpressen, sondern auch mit Veröffentlichung im Darknet oder Internet. Anscheinend nagt der Corona-Shutdown nicht nur an den Finanzen der Opfer, sondern lässt auch die Täter die ihnen zur Verfügung stehenden Daumenschrauben anziehen.
In einer Auktion von Daten eines landwirtschaftlichen Unternehmens etwa wurde für drei Datenbanken mit mehr als 22.000 Dateien ein minimales Gebot von 5.000 US-Dollar in Kryptogeld festgesetzt. Eine Garantie, dass die Übeltäter die Daten nach Zahlung wirklich löschen, gibt es selbstverständlich auch hier nicht.
https://krebsonsecurity.com/2020/06/revil-ransomware-gang-starts-auctioning-victim-data/
Nicht gut, aber gemein(t): Fake-Rettungstool erpresst erneut
Opfer von Verschlüsselungstrojanern reagieren erfahrungsgemäß oft panisch. Dies zeigt sich auch auf der HiSolutions-Response-Hotline immer wieder. Da wird schnell jeder Strohhalm ergriffen, der Rettung verspricht. Gemein nur, wenn manche Erpresser dies ausnutzen und ein „Entschlüsselungstool“ bereitstellen, welches die Daten einfach noch einmal verschlüsselt, anstatt sie wieder lesbar zu machen.
Geh in den Keller, die Bären kommen: Bxx-hörden warnen vor Angriffen
BND, BfV und BSI haben eine Warnung vor gezielten Cyberangriffen unter TLP-Amber (Kenntnis nur wenn nötig) an alle KRITIS-Betreiber in den Sektoren Energie, Wasser und Telekommunikation sowie an ausgewählte Zulieferer und Partner veröffentlicht. Neben Verweisen auf US-amerikanische Dokumente, welche russische Akteure beschuldigen, enthält die Warnung auch konkrete IOCs (Indicators of Compromise) sowie Details zu TTPs (Tactics, Techniques and Procedures), wie etwa ausgenutzte Schwachstellen.
https://www.tagesschau.de/investigativ/br-recherche/hacker-angriff-infrastruktur-101.html
Total verraten: VirusTotal verpetzt Honda(-Angreifer)
Ein Angreifer? Hondate! Wie viele Ransom-Viren Honda heimgesucht haben, ist ungewiss. Dass der Autohersteller Opfer einer Ransomware-Attacke wurde, welche zweitweise den weltweiten (IT-)Betrieb zum Erliegen brachte, war spätestens dann klar, als auf dem zu Google gehörenden Analysedienst VirusTotal eine verdächtige Datei hochgeladen wurde, die eine Referenz auf eine nur innerhalb des Honda-Netzes erreichbare Domain enthielt. Auch wenn es bequem ist Erkennungsraten von Schadsoftware auf die Art und Weise messen zu lassen: Angreifer wie Analysten unterschätzen häufig, wie viele sensitive Informationen an Dienste wie VirusTotal übermittelt werden.
https://techcrunch.com/2020/06/09/honda-ransomware-snake/
Denial of Denial of Service – Naifu geschnappt
Nach Auskunft von BKA, Staatsanwaltschaft Itzehoe und Landeskriminalamt Schleswig-Holstein ist es gelungen, nicht nur einen verdächtigen Hacker „naifu“ ausfindig zu machen, sondern gleich zwei junge Männer (16 und 20). Wegen großangelegter DDoS-Attacken u. a. auf die DKB droht ihnen nun ein Verfahren wegen des Verdachts der Computersabotage in besonders schweren Fällen und versuchter Erpressung.
https://www.presseportal.de/blaulicht/pm/7/4625910
AaaS: Attribution as a Service
Der Hersteller von Antivirenschutz Kaspersky hat einen Dienst veröffentlicht, der interne Analysten bereits seit Jahren darin unterstützt, Malware(-Fragmente) bestimmten Akteuren zuzuordnen. Die Software „Kaspersky Threat Attribution Engine“ (KTAE), verfügbar für alle Abonnenten des „Kaspersky Intelligence Reporting“, kann über Machine Learning Ähnlichkeiten in Code-Fragmenten erkennen und so Verwandtschaften finden und eventuell eine Attribution des Urhebers vornehmen.
Über die technische Schwierigkeit von Attribution und die politischen Risiken bei Fehlern wurde schon viel gesagt. Interessanterweise hat KTAE ausgerechnet dabei helfen können, sogenannte „False Flags“, also absichtlich gepflanzte, gefälschte Hinweise auf einen anderen Ursprung, zu entdecken, weil die Techniken der Täuschung an der Stelle noch nicht so ausgefeilt sind.
https://securelist.com/big-threats-using-code-similarity-part-1/97239/
Status: Kein Status. IBM-Cloud fällt aus
Cloudanbieter pflegen Webseiten zu betreiben, die den aktuellen und meist auch historischen Status aller Services anzeigen. Dumm nur, wenn im Fall einer größeren Outage die Statuspage selbst ebenfalls nicht mehr erreichbar ist. So geschehen bei IBM am 9. Juni, als cloud.ibm.com/status nur noch einen Statusfehler anzeigte. Schuld waren am Ende Netzwerkprobleme bei einem Dritten. Die Verantwortung für die zugesicherten SLAs bleibt dessen ungeachtet beim Cloud-Anbieter, der an seinen großen Versprechen gemessen wird. Unüblich und für das Kundenvertrauen nicht förderlich war in diesem Fall auch, dass IBM auch auf anderen Kanälen, wie etwa Twitter, zunächst keine Informationen zum Incident zur Verfügung stellte.
https://techcrunch.com/2020/06/09/ibm-cloud-suffers-prolonged-outage/
Lesetipps:
Erhört
Die Cloud hat ihre eigene Sprache. Da hilft ein mehrsprachiges Wörterbuch mit Übersetzung in die On-Prem-Welt:
https://www.managedsentinel.com/2019/05/28/on-prem-vs-cloud/
Erfahren
Security-Urgestein Ross Anderson, Professor am berühmten „Computer Laboratory“ in Cambridge, England, arbeitet an der Neuauflage seines bekannten Buches „Security Engineering“. Das hat den Vorteil, dass das Manuskript momentan frei verfügbar ist:
https://www.cl.cam.ac.uk/~rja14/book.html
Der Aufruf seiner spartanischen Website verbraucht übrigens nur 0.07g CO2 verglichen mit 2g für eine typische Business-Website.
(www.hisolutions.com gehört immerhin zu den besten 25%)
Korrelational
Korrelationen spielen auch in der Security eine Rolle – etwa im Risikomanagement. Wie täuschend diese scheinbaren Zusammenhänge oft sein können, zeigt eindrucksvoll:
https://www.tylervigen.com/spurious-correlations
Der nächste HiS-Cybersecurity Digest erscheint Mitte Juli 2020.
Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!