HiSolutions Cybersecurity Digest September 2019 veröffentlicht

Top Thema

Die Kehrseite der Monokultur? Zeroday-Inflation bei iOS

Tief sind die Gräben zwischen Apple-Fanboys/-girls und Android-Jüngern schon immer gewesen. Speziell in Bezug auf Security hatten jedoch die Geräte aus Cupertino bei der Mehrheit der Experten die Nase vorn. Klar, der „Walled Garden“ von Apple hat Nachteile, ebenso das Quasimonopol auf den Geräteverkauf, aber dafür ist das Ökosystem leichter „sauber“ zu halten als Googles Zoo von Versionen auf Geräten von zig Herstellern. Auch wenn die Android-Security in letzter Zeit deutlich aufgeholt hat: Sollte es besonders sicher sein (aber nicht allzu exotisch), waren für viele Organisationen iPhone und iPad die Smart Devices der Wahl – zumal beim Thema Datenschutz aufgrund der unterschiedlichen Geschäftsmodelle die Krake Google deutlich schlechter abschneidet – zumindest heute noch. iPhones galten vielen als kaum zu hacken, seltene Zeroday-Exploits waren Millionen wert.

Das Bild hat sich in den letzten Wochen etwas geändert. Nachdem ausgerechnet Google aufgefallen war, dass eine Reihe von Seiten, die besonders von der politisch unterdrückten Gruppe der Uiguren in China frequentiert werden, ungewöhnliche Malware enthielt, nahmen sich Mitglieder von Googles Project Zero diese einmal genauer vor – und wurden spektakulär fündig. Nicht ein hochwertiger Zeroday wurde da auf eine relativ kleine Gruppe von Dissidenten losgelassen, sondern gleich fünf verschiedene, meisterartig gemachte, die auf dem grauen Markt jeweils Millionenbeträge erzielt haben dürften.

Es scheint also ein Akteur am Werk, bei dem Geld eine geringe Rolle spielt. Und scheinbar sind auch beim Qualitätsprodukt iOS kritische Schwachstellen doch leichter zu finden als bisher gedacht. Das verändert das ganze ökonomische Denken über Bedrohungen – und lässt Google vergleichsweise etwas besser dastehen, obwohl später herauskam, dass Android-Exploits ebenfalls im Einsatz waren.

Den Preisen für iOS-Zerodays hat das Ganze übrigens keinen Abbruch getan. Allerdings haben führende Schwachstellenverkäufer ihre Einkaufspreise für Android-Zerodays angehoben, sodass diese inzwischen über den Preisen für iOS-Exploits liegen. Denn es ist schwieriger, einen Exploit zu finden bzw. zu bauen, der über eine große Bandbreite von Android-Versionen und Varianten verlässlich funktioniert. Apple wird sich überlegen müssen, wie die hier zum Vorschein kommende Kehrseite der leichter managebaren Monokultur eingehegt werden kann.

https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html

Neuigkeiten

It’s Magic: Wieder Fortinet-Backdoor

In der FortiGate SSL-VPN-Appliance des kalifornischen Security-Hardware-Herstellers Fortinet ist eine kritische Backdoor gefunden worden. Durch einfaches Setzen eines „magic“-Parameters konnte jeder Unbefugte die Passwörter ändern. Fortinet, schon 2016 in einen Backdoor-Skandal verwickelt, ist um Schadensbegrenzung bemüht. Allerdings lässt sich solch eine gravierende Lücke nur durch Vorsatz oder ganz grobe Mängel in der Qualitätssicherung erklären – beides keine guten Aussichten für einen Security-Vendor. Fortinet selbst deutet in sozialen Medien vielsagend-nebulös an, dass „ein bestimmter Kunde“ diese Backdoor gefordert habe, die nur „versehentlich“ in den Master für alle Appliances gelangt sei. Das Vertrauen wird man nun erst wieder herstellen müssen.

https://www.securitynewspaper.com/2019/08/29/fortinet-backdoored-fortios-or-hackers-did-for-monitoring-since-last-5-years/

HiSolutions

Schulung zum IT-Grundschutz-Praktiker und IT-Grundschutz-Berater

Seit Neustem bietet HiSolutions vom BSI empfohlene Basis- und Aufbauschulungen zum „IT-Grundschutz“ an, die zum „IT-Grundschutz-Praktiker“ bzw. „IT-Grundschutz-Berater“ führen. Nächste Termine: 
26.-29.11.2019 IT-Grundschutz Praktiker (4 Tage)
03.-04.03.2020 IT-Grundschutz Berater (2 Tage)

https://www.hisolutions.com/detail/basisschulung-zum-bsi-it-grundschutz-praktiker-und-it-grundschutz-berater


Security für die Biotonne? Bioterrordatenpanne

Das US-Department für Homeland Security hat Daten des nationalen „Bioterrorismus-Verteidigungsprogramms“ über zehn Jahre auf einer unsicheren Website im Internet gehostet. Informationen wie die Lokationen bestimmter Luftsensoren in U-Bahn-Stationen und an weiteren öffentlichen Orten in mehr als 30 Städten waren ebenso verfügbar wie Testergebnisse und Listen von Stoffen, die erkannt werden können. Auch Response-Pläne für den Ernstfall hätten Interessierte jederzeit relativ leicht herunterladen können. Es ist unklar, ob die Daten tatsächlich in falsche Hände gelangt sind.

https://www.latimes.com/science/sciencenow/la-sci-biowatch-20190402-story.html


Messbasher: Cyberangriff auf Stuttgarter Messe

Ein Angriff auf die IT der Messe Stuttgart hat auch Prozesse bei drei Tochterfirmen der Stadt Stuttgart lahmgelegt, welche von der Messe-IT mitversorgt werden. Die Stadtwerke Stuttgart, in.stuttgart und Stuttgart-Marketing waren für einige Tage nicht per E-Mail erreichbar. Das Landeskriminalamt Baden-Württemberg und die Kriminalpolizei Esslingen ermittelten. Laut offiziellen Angaben sind keine Daten abhandengekommen.

https://www.stadtwerke-stuttgart.de/aktuelles-presse/news/2019/sep/04/cyber-attacke-auf-die-landesmesse-stuttgart/


Und alle so: No Hackback. Gutachten des Bundestags rät ab

Ein nicht öffentliches Gutachten, das Oberstleutnant John Zimmermann, Historiker am Zentrum für Militärgeschichte und Sozialwissenschaften der Bundeswehr, für den wissenschaftlichen Dienst des Bundestags erstellt hat, rät dringend von „Hackback“ ab. Zu hoch sei das Eskalationsrisiko, viel zu gering die abschreckende Wirkung. Das Geld sei in der Absicherung von Systemen besser angelegt.

https://www.heise.de/newsticker/meldung/Geheimgutachten-zu-Hackbacks-Eindringliche-Warnung-vor-digitalem-Gegenschlag-4512930.html


Wolkenphisher: Cloud-Dienste als Angriffsvektoren

Cloud-Dienste entwickeln sich aufgrund ihrer Verbreitung und Vielfalt immer mehr zu möglichen Angriffsvektoren. Der Security-Journalist Brian Krebs berichtet von einem Fall, in dem ein Benutzerkonto eines cloudbasierten CRM nicht mittels Multi-Faktor-Authentifizierung geschützt war und hierdurch eine Phishing-Kampagne angeblich im Namen der Firma durchgeführt werden konnte.

https://krebsonsecurity.com/2019/08/phishers-are-angling-for-your-cloud-providers/


So klingt hunter2: Tastaturgeräusch verrät Passwort

Eine Studie der Southern Methodist University hat gezeigt, dass Passwörter und andere Tastatureingaben durch das bloße Ablauschen der Tastengeräusche beim Tippen mit ausreichender Genauigkeit rekonstruiert werden können. Das Mikrofon eines Smartphones in der Nähe reicht hierfür aus. Der Angriff funktioniert sogar in lauten Konferenzräumen mit anderen tippenden Personen.

https://dl.acm.org/citation.cfm?id=3328916


Deep Mouse gegen Deep Fake: Mäuse erkennen Fälschungen

Bereits seit Juni geistert die Geschichte des Chefs eines nicht näher genannten britischen Energieanbieters durch die Medien: Dieser soll nach einem angeblichen Anruf des CEOs des deutschen Mutterkonzerns 220.000 Euro auf ein fremdes Konto überwiesen haben. Das ganze klingt als typischer CEO-Fraud zwar plausibel, die angeblich hier erstmals „professionell-kriminell“ eingesetzte künstlich erzeugte Deep Fake-Stimme des Oberchefs ist heute allerdings doch noch nicht im Arsenal der Angreifer angekommen. Trotzdem nimmt die Bedrohung durch Deep Fakes langsam zu. Eine verrückte Idee hierzu hat der Forscher George Williams im August auf der IT-Sicherheitskonferenz Black Hat in Las Vegas vorgestellt. Zusammen mit dem Neurobiologen Jonathan Saunders und dem Datenwissenschaftler Alexander Comerford behauptet er, Mäuse könnten Menschen verraten, ob eine Stimme echt oder von einem System wie Googles Tacotron 2 erzeugt sei. "Mäuse haben ein ähnliches Gehörsystem wie Menschen. Sie müssen aber keinen Sinn in den Tönen erkennen, die man ihnen vorspielt. Sie erkennen deshalb Artefakte, die auf synthetisierte Stimmen hindeuten, besser als wir Menschen." Es sei möglich, Mäusen in 18 Wochen eine achtzigprozentige Trefferquote bei der Erkennung von gefälschten Aufnahmen beizubringen.

https://www.spiegel.de/netzwelt/web/deepfakes-werden-erkennungsmethoden-die-naechsten-uploadfilter-a-1286373.html

Lesetipps

Besser nicht im Eimer

Inzwischen gibt es öffentlich verfügbare Suchmaschinen für öffentlich zugreifbare AWS-S3-Buckets. Es kann sich für größere Organisationen lohnen, dort präventiv einmal hineinzuschauen, ob durch Fehlkonfigurationen oder Leichtfertigkeit in Entwicklungsabteilungen versehentlich die ganze Welt am eigenen Informationsschatz teilhat.

https://buckets.grayhatwarfare.com


Besser erklärt

Das Blog „Better Explained“ enthält eine ganze Reihe wertvoller Beiträge mit Tipps zum Lernen insbesondere komplexer Zusammenhänge, wie sie auch in der IT und insbesondere in der Security anzutreffen sind. Bei „Fix the Limiting Factor“ geht es etwa darum, herauszufinden, an welcher Stelle das eigene Verständnis noch hakt und hier mit einer Analogie, einem Diagramm oder einem Beispiel anzusetzen, um den nächsten Erkenntnisschritt zu erlangen.

https://betterexplained.com/articles/limiting-factor/

 

-------------------------------------------------------------- 

Der nächste HiSolutions Cybersecurity Digest erscheint Ende Oktober 2019

Jetzt abonnieren!

Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: