HiS-Cybersecurity Digest April 2018 veröffentlicht

HiS-Cybersecurity Digest April 2018

Die Top Themen des letzten Monats: „Bundes-Hack“ doch größer als angenommen, Kopf der Carbanak-Gruppe gefasst, TLS 1.3 ist fertig, Java verschwindet vom Client, Cyberschäden überschreiten 50 Milliarden Euro, Illegale Daten in der Blockchain.


Top Thema

Datenkrake am Abgrund? Facebooks Daten-GAU
Eigentlich war fast alles seit Jahren bekannt. Manchmal braucht es aber noch einen zusätzlichen Anstoß, damit ein Skandal auch praktisch zu einem solchen wird. Seit der Whistleblower Christopher Wylie ausführlich berichtete, wie Cambridge Analytica versucht hat, u. a. die Wahlen in den USA und die Brexit-Entscheidung zu manipulieren, herrscht Panik bei Zuckerberg und Co. Nicht nur, dass Facebooks laxe Sicherheitseinstellungen das Auslesen der Vorlieben von zig Millionen Nutzern erlaubt haben. Das Unternehmen hat seit dem Bekanntwerden des zunächst bestrittenen „Breaches“ erst einmal lange Zeit nicht konsequent dafür gesorgt, dass die Daten gelöscht werden. So konnten „psychologische Massenvernichtungswaffen“ (Wylie) programmiert werden, welche die Persönlichkeitsstruktur vorhersagen und genau den richtigen Individuen daraufhin für relativ wenig Geld die „optimal“-perfide Manipulation vorsetzen konnten. Diesmal wird es mit ein paar zusätzlichen Sicherheitsmaßnahmen nicht getan sein. Vielmehr muss das ganze Geschäftsmodell, das auf dem „Targeting“ einzelner Nutzer beruht und bisher allgemein akzeptiert ist, solange es „nur“ um Werbung im wirtschaftlichen Sinn ging, in Frage gestellt werden. Die nächsten Wochen und Monate werden zeigen, ob Facebook als Idee überleben kann.
https://www.tagesanzeiger.ch/ausland/europa/Ich-habe-nur-gezeigt-dass-es-die-Bombe-gibt/story/17474918 


Neuigkeiten im März: 

Mehr „Bundes-Hack“? Angriff doch größer als angenommen
Beim Hackerangriff auf die Bundesregierung könnten deutlich mehr Daten abgeflossen sein, als bislang bekannt und hier berichtet wurde. Die Bundespolizei vermutet offenbar, dass rund 3.000 Zugangsdaten ihrer Mitarbeiter abgegriffen wurden. Laut der Zeitung „Die Welt“ geht man davon aus, dass die Angreifer mit Phishing-Mails Zugangsdaten für ein Portal der Lernplattform Ilias der Hochschule des Bundes (HS Bund) erbeutet haben. Anfang März war zunächst bekannt geworden, dass die Angreifer über einen Webserver der HS Bund mithilfe eines Trojaners 17 Rechner im Auswärtigen Amt kompromittieren konnten. Sie sollen hier allerdings lediglich sechs Dokumente erbeutet haben. In Ilias wurden kürzlich weitere Schwachstellen gefunden, inklusive des Mangels, dass Admin-Passwörter ggf. auf der Voreinstellung "changeme" verbleiben könnten. Es ist nicht bekannt, ob dies bei der HS Bund der Fall war.
https://www.heise.de/newsticker/meldung/Bundeshack-Bundespolizei-stellt-Strafanzeige-tausende-Logindaten-koennten-betroffen-sein-4008961.html 

--------------------------------------------------------------
1 Milliarde Euro Beute – Kopf der Carbanak-Gruppe gefasst
Die Carbanak/Cobalt-Gruppe hat es geschafft, in den letzten Jahren insgesamt etwa eine Milliarde Euro zu erbeuten. Über zielgerichtete Attacken mit einfachen Phishing-E-Mails hat die Bande weltweit Banken und Zahlungsdienstleister um bis zu 10 Millionen Euro pro Angriff beraubt. Nun wurde der mutmaßliche Kopf der Bande in Spanien festgenommen.
https://www.zdnet.de/88329635/milliardenschwerer-cyber-bankraeuber-der-carbanak-bande-festgenommen/ 

--------------------------------------------------------------
Schneller und sicherer – TLS 1.3 ist fertig
Nach vier Jahren intensiven Testens ist der Authentifikations- und Verschlüsselungsstandard TLS 1.3 finalisiert worden. Zwar unterstützen einige Browser schon länger eine Entwurfsversion, aber erst jetzt kann die massenhafte Verbreitung beginnen. Bis zuletzt hatte es hitzige Diskussionen um Details gegeben, u. a. zwischen Sicherheitsforschern und dem britischen Geheimdienst GCHQ. TLS empfiehlt sich als logische Weiterentwicklung von TLS 1.2 für die Transportabsicherung im Web (HTTPS) und darüber hinaus. Besonderes Augenmerk wurde auf Geschwindigkeit bzw. Latenz („Zero Round Trip“, d. h. schlankerer Handshake) und den Schutz vor Downgrade-Attacken (das Erzwingen eines schlechteren Schutzniveaus durch Angreifer) gelegt.
https://t3n.de/news/verschluesselung-tls-1-3-1000927/ 

--------------------------------------------------------------
Sag zum Web Start leise Abschied? Java verschwindet vom Client
Oracle hat weitere Pläne angekündigt, sich von Java auf dem Desktop und im Browser zu verabschieden. Applets wurden bereits 2016 abgekündigt. Auch das damals als Alternative empfohlene Java Web Start soll nun langsam in die Mottenkiste der Technikgeschichte verschwinden. Java SE 10 soll vermutlich die letzte Version sein, die Web Start enthält. Dies passt zur allgemeinen Strategie, sich von Java auf dem Client zu verabschieden. Mehr und mehr clientseitige Anwendungen setzen inzwischen auf Mobile First native Methoden und Webinterfaces in HTML5 und JavaScript.
https://www.heise.de/developer/meldung/Neues-Roadmap-Update-fuer-Java-Sag-zum-Client-leise-Servus-4005272.html 

--------------------------------------------------------------
Nicht mehr Portokasse – Cyberschäden überschreiten 50 Milliarden Euro
Einer Studie des Versicherers Hiscox zufolge hatte ein deutsches Mittelstandsunternehmen in den letzten 12 Monaten durchschnittlich Cyberschäden von 46.000 Euro zu verzeichnen. Insgesamt belaufen sich die Schäden durch Cyberangriffe in der deutschen Wirtschaft demnach auf 55 Milliarden Euro jährlich. Zu den größten Risiken zählen dabei nicht nur direkte Vermögensschäden, sondern auch längerfristige Betriebsunterbrechungen mit hohen Folgekosten.
http://www.procontra-online.de/artikel/date/2018/03/cyber-das-kostet-ein-datenverlust/ 

-------------------------------------------------------------- 
Don’t be evil? Google-Mitarbeiter protestieren gegen KI-Projekt für das Pentagon
Über 3.000 Google-Mitarbeiter (von rund 70.000) haben einen offenen Brief an ihren CEO Sundar Pichai unterschrieben, der unter Googles erstem Slogan „Don’t be evil“ dazu aufruft, sich nicht an Rüstungsprojekten zu beteiligen. Im aktuellen Fall geht es um Bilderkennungssoftware in Googles Cloud-Plattform, die für Drohnen des Pentagon genutzt werden soll. Dass die Konzernbelegschaft und das Management hier gespalten sind, passt gut zu den aktuellen Debatten um die Gefahren der künstlichen Intelligenz.
https://www.nytimes.com/2018/04/04/technology/google-letter-ceo-pentagon-project.html 

--------------------------------------------------------------
Attribution 4.0? Guccifer 2.0
Im Fall des Hacks der US-Demokraten von 2016 geht die Attribution – der Versuch der Beantwortung der Frage „Wer war’s?“ – in die nächste Runde: Angaben westlicher Geheimdienste zufolge sollen russische Dienste hinter dem Angriff stecken. Eine angebliche Einzelperson mit der Online-Identität „Guccifer 2.0“ hatte jedoch für sich beansprucht, der alleinige Täter zu sein. Er nutzte einen russischen VPN-Dienstleister mit Exit-Node in Frankreich, vergaß jedoch angeblich einmal, das VPN einzuschalten, sodass seine IP-Adresse bis zu einem Gebäude und angeblich sogar einem konkreten Mitarbeiter des russischen Militärgeheimdienstes GRU zurückverfolgt werden konnte. Im fröhlichen Attributionsreigen (der in seiner Machbarkeit und Sinnhaftigkeit bei Experten hoch umstritten ist) stehen also momentan die Zeichen (wieder) auf Russland – bis jemand den Deutungsspieß wieder umdrehen kann.
https://www.heise.de/newsticker/meldung/Hacker-Guccifer-2-0-Es-waren-doch-die-Russen-4003322.html 

Derweil brüsten sich angebliche amerikanische Patrioten mit der Manipulation von Cisco-Infrastruktur in Russland und dem Iran als vermeintliche Rache für Cyberangriffe:
https://motherboard.vice.com/en_us/article/a3yn38/election-hacking-vigilante-russia-iran-cisco/ 

--------------------------------------------------------------
In Stein gemeißelt – Illegale Daten in der Blockchain
Eine der Haupteigenschaften und „Unique Selling Points“ von Blockchains soll deren Unveränderbarkeit sein: Keiner realistisch vorstellbaren Gruppe von Angreifern soll es möglich sein, den Konsens über den Inhalt der bisherigen Blöcke zu verändern. Was der Sicherung von Transaktionen oder Verträgen dient, kann auch beliebige sonstige Daten „bis in alle Ewigkeit“ festschreiben. So enthält der „Genesis-Block“, der erste Block der ersten Kryptowährung Bitcoin, ein Zitat einer Überschrift der London Times vom 3. Januar 2009. Nun haben Forscher festgestellt, dass in die Bitcoin-Blockchain u. a. Links auf und sogar ein kodiertes Bild mit Kinderpornographie eingewoben wurden. Die rechtlichen Auswirkungen auf die vielen tausend Rechner weltweit, die Kopien der Blockchain besitzen müssen, um Bitcoins zu schürfen oder Transaktionen durchzuführen, ist momentan völlig unklar.
https://www.heise.de/newsticker/meldung/Bitcoin-Forscher-finden-Kinderpornographie-in-der-Blockchain-4000693.html 


LESETIPPS

Big Data, Big Trouble?
Hinter dem aktuellen Facebook-Skandal stecken tiefgreifende Fragen dazu, wie wir mit den Möglichkeiten, der Macht und den Gefahren von Big Data/Data Analytics als Gesellschaften umgehen möchten. Im Folgenden finden Sie ein paar wichtige Beiträge zum Weiterlesen:

Die Zunft der „Online-Marketer“ wusste bereits seit Jahren, was technisch möglich ist, ohne dass dies groß skandalisiert wurde. Eine von ihnen berichtet darüber in diesem Artikel.
https://www.theverge.com/2018/3/25/17161726/facebook-cambridge-analytica-data-online-marketers/ 

Es gab bereits mehrere Versuche, Facebook und die anderen großen „Messaging-Silos“ zu ersetzen. Bisher sind alle krachend gescheitert. Insbesondere das sogenannte Kalt-Start-Problem (zunächst nutzt kaum jemand etwas Neues) ist schwer zu lösen. Neue Überlegungen gehen in die Richtung, eine Infrastruktur von interoperablen sozialen Mininetzen auf Basis verbreiteter offener Standards wie IMAP und föderalen Identitäten zu schaffen.
https://www.theregister.co.uk/2018/03/27/open_source_takes_on_facebook/ 

Wer sich zuerst einlesen möchte, was man Facebook vorwirft und wie die Spekulationen zu bewerten sind, wird beispielsweise beim Digitalexperten der ARD, Dennis Horn, fündig, der kritisch alle Seiten beleuchtet.
https://medium.com/@dennishorn/der-facebook-skandal-aber-sortiert-e3d58bc67d98/ 

--------------------------------------------------------------
Phishing phür Phortgeschrittene
Was tun, wenn man (fast) sehr geschickt gephisht wird? Ist man selbst Chef des bürgerlichen Arms des britischen IT-Geheimdienstes GCHQ und ist der Phisher ein bekannter Internet-Witzbold, dann vielleicht darüber bloggen! Der Dialog der beiden ist nicht nur unterhaltsam, sondern lehrt auch einiges über gut gemachtes Phishing.
https://www.ncsc.gov.uk/blog-post/serious-side-pranking/ 


Der nächste HiS-Cybersecurity Digest erscheint Mitte Mai 2018.

Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate:
Übersicht aller bisher erschienenen HiS-Cybersecurity Digests.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: