Top Thema
Dunkle Seiteneffekte: Versehentlich größte amerikanische Pipeline gehackt
Am 7. Mai wurde Amerikas größte Pipeline Opfer einer Ransomware. Der Betrieb der Pipeline wurde sofort gestoppt und erst am 12. Mai wiederaufgenommen. Bereits einige Stunden nach der Attacke zahlte der Betreiber Colonial das geforderte Lösegeld in Höhe von 75 Bitcoin (ca. 5 Mio. USD). Mit der dadurch erhaltenen Software konnte das System (langsam) wiederhergestellt werden. Außerdem wurde das IT-Sicherheitsunternehmen FireEye für Nachforschungen und Hilfe bei der Wiederherstellung beauftragt. Um den Transport des dringend benötigten Treibstoffs aufrechtzuerhalten, wurden der regionale Notstand ausgerufen und der Transport über die Straße regulatorisch vereinfacht.
Der Angriff wurde vom FBI der russischen Erpressergruppe DarkSide zugeordnet. Diese betreibt ihre Malware nach dem „Ransomware as a service“-Modell und war sich nach eigener Aussage nicht bewusst, dass ein Partner Colonial angreifen würde. Trotzdem stellten sie die Lösegeldforderung und drohten zusätzlich, fast 100 Gigabyte gestohlener Daten zu veröffentlichen.
Aufgrund der politischen Brisanz beim Thema Kritische Infrastruktur geriet DarkSide schnell ins Visier amerikanischer Behörden. Mehrere Konten wurden gesperrt und die Infrastruktur offline genommen. Daraufhin kündigte DarkSide an, den kriminellen Betrieb zu stoppen. Allerdings ist es für Ransomware-Gruppen üblich, unter neuem Namen fortzufahren, um der unerwünschten Aufmerksamkeit zu entkommen.
Ob der Vorsatz vieler Gruppen, Kritische Infrastrukturen in Zukunft zu meiden, Bestand haben wird, muss sich erst noch erweisen.
Neuigkeiten
Die Multi-Variant-Targeter greifen an! Signal vs. Facebook
Sie bekommen diesen Newsletter, weil Sie männlich, 44 und CISO in einem deutschen Mittelständler sind. Jedenfalls ungefähr. Für alles andere müssten wir Facebook fragen.
Die Entwickler der Ende-zu-Ende-verschlüsselnden Chat-App Signal haben einen Blogpost veröffentlicht, in dem plastisch aufgezeigt wird, welche persönlichen Daten Facebook sammelt. Dabei wurde Facebooks eigenes Werbesystem als Datenquelle verwendet. Eigens geschaltete Werbung stellte die extrem treffgenauen Daten der betrachtenden Person in einem stark personalisierten Text in der Anzeige selbst dar – sogenannte „multi-variant targeted ads“. Das Experiment mit politischer Aussage wurde jedoch durch Facebook mit Verweis auf die Nutzungsbedingungen schnell verboten.
https://signal.org/blog/the-instagram-ads-you-will-never-see/
HISOLUTIONS
Cybersecurity Talks – Law meets Tech: Reaktion
In der Veranstaltungsreihe Cybersecurity Talks der Allianz für Cybersicherheit und reuschlaw beleuchten HiSolutions-Kollegen die technischen Aspekte von Sicherheitsvorfällen.
In der vierten Veranstaltung steht die Reaktion auf IT-Sicherheitsvorfälle im Mittelpunkt. Frank Rustemeyer, COO von HiSolutions, zeigt in seinem Vortrag verschiedene Angriffsarten auf und erläutert, mit welchen Methoden und Hilfsmitteln eine Bewältigung und Aufklärung der Vorfälle gelingen kann, während die Referenten von reuschlaw die Rechtsfolgen von IT-Sicherheitsvorfällen und Bewältigungsstrategien aufzeigen.
10. Juni 2021 11:00 – 12:00
https://www.reuschlaw.de/events/cybersecurity-talks-law-meets-tech-reaktion/
reuschlaw Legal Consultants gehört zu den führenden wirtschaftsberatenden Kanzleien im Produkthaftungsrecht und berät seit 2004 national und international tätige Unternehmen mit Schwerpunkt Produktsicherheitsrecht, Produkthaftungsrecht, Data Protection & Cybersecurity, Rückrufmanagement, Versicherungsrecht, Compliance Management und Vertragsrecht.
Exitus? Tor-Netzwerk unter Belagerung
Seit über einem Jahr greifen Unbekannte Tor-Nutzer an, indem sie eine beträchtliche Anzahl von Endpunkten des Tor-Netzwerkes – sogenannte Exit-Nodes – betreiben. Weil die Exit-Nodes den Übergang zum übrigen Internet bilden, ist an dieser Stelle mindestens einer der Kommunikationspartner bekannt. Diese Information kann für die De-Anonymisierung der Verbindungen verwendet werden; unverschlüsselte Verbindungen können zudem mitgelesen werden. Über die letzten 12 Monate kontrollierten sie im Schnitt gut 14 % der Endpunkte und erreichten im frühen Februar einen Höchstwert von über 27 % der Nodes. Der Angriff erfolgte in zwei Wellen, da die Tor-Autoritäten erkannte Endpunkte zwischenzeitlich aus dem Netzwerk entfernt hatten.
Ziel des Angriffes waren anscheinend Bitcoin-Transaktionen. So konnte ein Endpunkt den Datentransfer beeinflussen, um anstelle von HTTPS nur HTTP zu ermöglichen. Blieb dies vom Nutzer unbemerkt, konnten unter Umständen Bitcoin-Adressen ausgetauscht und so Transaktionen umgeleitet werden.
https://thehackernews.com/2021/05/over-25-of-tor-exit-relays-are-spying.html
Die Faxen dicke: Keine Faxe(n) mehr mit personenbezogenen Daten
Laut der Bremer Landesdatenschutzbeauftragten dürfen keine personenbezogenen Daten mehr per Fax versandt werden. Der Grund hierfür ist die Digitalisierung von Faxgeräten. Heutzutage ist eine Ende-zu-Ende-Telefonleitung beim Faxen nicht mehr garantiert. Da Faxgeräte unverschlüsselt senden, können die Nachrichten beim Versand über das Internet mitgelesen werden und sind somit dem Datenschutzniveau einer unverschlüsselten E-Mail gleichzusetzen. Demnach dürfen keine Daten gefaxt werden, die unter Artikel 9 Absatz 1 DSGVO (besondere Kategorien personenbezogener Daten) fallen. Es bleibt abzuwarten, ob sich weitere Datenschutzbehörden dieser Auffassung anschließen.
Frag lieber nicht: Attacken auf WLAN
Eine neue Art von Angriffen auf WLAN-Netzwerke, die unter dem Namen FragAttacks (fragmentation and aggregation attacks) zusammengefasst werden, haben Updates vieler WLAN-Produkte notwendig gemacht. Gefunden wurden Schwachstellen in allen modernen WLAN-Sicherheitsprotokollen sowie dem veralteten WEP-Standard. Hierbei handelt es sich um Designfehler, die glücklicherweise schwer auszunutzen sind. So kann Schadcode nur in unverschlüsselten Datentransfer injiziert werden.
Allerdings können auch Fehler in der Programmierung von WLAN-Produkten Angriffe ermöglichen. Mehrere Implementierungsfehler ermöglichen das Injizieren von WLAN-Frames in das gesicherte Netzwerk. Dadurch kann etwa der Datenfluss auf einen schädlichen DNS-Server umgeleitet und abgefangen werden. Weiterhin ist das Umgehen von NAT und Firewalls von Routern möglich, was Angriffe auf das lokale Netzwerk ermöglicht.
Über neun Monate wurden in Zusammenarbeit mit der Wi-Fi Alliance entsprechende Updates veröffentlicht. Trotzdem sollten FragAttacks nicht vernachlässigt werden, da viele Smart-Home- und IoT-Geräte selten gepatcht werden und somit möglicherweise angreifbar bleiben.
Nicht ubi quitt: Ubiquiti spielt Datenleak herunter
Der Netzkomponenten-Hersteller Ubiquiti hatte am 11. Januar 2021 ein Leck bei einem „Cloud-Provider-Drittanbieter“ gemeldet, das zum Abfluss von Nutzerkontendaten geführt habe. Ein Whistleblower deckte am 30. März das tatsächliche Ausmaß des „katastrophal schlimmer als gemeldeten“ Lecks auf. Ihm zufolge erhielten die Angreifer Administrator-Rechte auf den Datenbanken von Ubiquiti in AWS. Die nötigen Zugangsdaten kamen aus einem LastPass-Account eines IT-Mitarbeiters. Mit den in der Datenbank hinterlegten Daten ist ein Zugriff auf viele von Ubiquitis Cloud-fähigen Geräten möglich.
Aufgefallen war Ubiquitis Sicherheitsteam bereits im späten Dezember 2020, dass eine Hintertür im System angelegt worden war. Die Beseitigung führte zu einem Erpresserschreiben der Angreifer, worin diese 50 Bitcoins (ca. 2,8 Mio. USD) für ihr Stillschweigen verlangten. Außerdem bewiesen sie, den Sourcecode gestohlen zu haben, und behaupteten, eine weitere Hintertür zu besitzen. Ein Incident-Response-Team konnte die zweite Hintertür finden, und so wurde auf die Forderung nicht eingegangen. Im Anschluss ließ Ubiquiti die Passwörter aller Mitarbeiter ändern, bevor sie ihre Kunden informierten. Allerdings wurde, anstatt alle Accounts von Kunden zurückzusetzen, lediglich der Hinweis auf eine empfohlene Passwortänderung gegeben.
https://krebsonsecurity.com/2021/03/whistleblower-ubiquiti-breach-catastrophic/
Noch ohne meine Mutter: Deutschland verzögert Datenaustausch zwischen WhatsApp und Facebook
Ab 15. Mai 2021 sieht WhatsApp umstrittene neue Datenschutz-Bestimmungen zum Austausch der Nutzerdaten mit dem Mutterkonzern Facebook, aber auch mit Drittunternehmen vor. Wer nicht zustimmt, kann WhatsApp nach einer Woche nicht mehr nutzen. Allerdings wurde vom Hamburger Datenschutzbeauftragten durch ein auf der DSGVO beruhendes Dringlichkeitsverfahren ein Moratorium erwirkt. Der Aufschub beträgt zunächst nur drei Monate, da rechtlich die irische Datenschutz-Behörde für Facebook in Europa zuständig ist. Währenddessen wird der Fall an den Europäischen Datenschutzausschuss übergeben, der eine Entscheidung für alle 27 Mitgliedstaaten treffen kann.
Facebook reagierte, indem ein Annehmen der neuen Datenschutz-Bestimmungen nicht mehr sofort erzwungen wird. Stattdessen soll die Nutzung von WhatsApp zunächst eingeschränkt und erst später gesperrt werden.
https://www.tagesschau.de/wirtschaft/verbraucher/whatsapp-messenger-facebook-datenschutz-101.html
SMS-SIM-MSM-SOS: Ein Drittel aller Smartphones von Sicherheitslücke betroffen
Im Mobile Station Modem (MSM) auf Chips von Qualcomm wurde von Forschern bei Checkpoint eine Schwachstelle entdeckt. Diese Chips werden bei ungefähr 30 % aller Smartphones auf der ganzen Welt eingesetzt. Die Einstufung der Lücke am 8. Oktober 2020 war schwerwiegend. Sie ermöglicht, Schadcode ins Modem zu injizieren. Dadurch können Angreifer die SIM entsperren, SMS mitlesen, Anrufe mithören und die Liste vergangener Anrufe einsehen. Ende Dezember 2020 veröffentlichte Qualcomm ein Sicherheitsupdate, das die Schwachstelle behebt. Ältere Smartphones sind jedoch unter Umständen weiter gefährdet. Der konkrete Angriff ist auf Android-Geräte gemünzt, jedoch sind auch andere Betriebssysteme potenziell durch vergleichbare Schwachstellen gefährdet.
https://research.checkpoint.com/2021/security-probe-of-qualcomm-msm/
Faden light v2: VDMA-Leitfaden IEC 62443
Der VDMA hat Version 2 des Leitfadens IEC 62443 veröffentlicht. Das Update unterstützt den Maschinen- und Anlagenbau bei der Security in Betriebsprozessen und der Resilienz der Produkte gegen Cyber-Angriffe und andere IT-induzierte Schäden im Unternehmen. Anhand einer Modell-Maschine wird beispielhaft die Umsetzung des Security Levels 2 aufgezeigt.
https://www.vdma.org/viewer/-/v2article/render/16110956
Süße Innentäter: Vierjähriger kauft eiskalt online ein
Manchmal lauert die Gefahr in der eigenen Organisation, im eigenen Haushalt. Hier war es ein vierjähriger Junge, der über den Prime-Account seiner Mutter 51 Großpackungen SpongeBob-Eis an seine Tante liefern ließ – fast 1.000 Eis am Stiel für über 2.600 US-Dollar.
Zwar hat Amazon die Lieferung nicht zurückgenommen, aber dafür konnten Spenden den Schaden mehr als Decken.
https://edition.cnn.com/2021/05/08/us/spongebob-popsicles-amazon-trnd/index.html
Lesetipps
Editorial
HiSolutions‘ Manuel Atug in der iX zum Thema Cyberresilienz
https://www.heise.de/select/ix/2021/6/2109708021108956113
Kolumne
HiSolutions‘ David Fuhr in der iX zum Thema Lernen von Covid
https://www.heise.de/meinung/Patch-me-if-you-can-Wirologie-Lernen-von-Covid-6029416.html
Medium
Sarah Fluchs über Security Engineering für Automation Engineers
https://fluchsfriction.medium.com/a-security-engineering-tool-for-automation-engineers-914e79657c47
Der nächste HiSolutions-Cybersecurity Digest erscheint Ende Juni 2021.
Lesen Sie hier auch alle HiSolutions-Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!