HiS-Cybersecurity Digest August 2016 veröffentlicht

HiS-Cybersecurity Digest August 2016

Die Top Themen des letzten Monats: Datenschutz vor US-amerikanischen Gerichten, Automatisierung der IT-Sicherheit, Bug Bounty von Apple, Cyberkriminalität in UK und Deutschland, Betrug mit Kreditkarten betrifft 1/3 aller Kunden, Europol verhaftet 105 Cyberkriminelle, Microsoft Secure Boot unsicher, Android mit schwerer Verwundbarkeit, SMS ist kein guter zweiter Faktor, Bitcoin im Wert von 77 Millionen USD gestohlen.

Top Thema

Weltweiter Ausbildungsnotstand in der IT-Sicherheit
Einer Schätzung zufolge fehlt weltweit eine Million qualifizierter Mitarbeiter in der IT-Sicherheit. Auch in Deutschland ist dies stark zu spüren. Immerhin sind mittlerweile einige Lehrstühle eingerichtet. Auch die Bundeswehr bietet zukünftig ein Studium zum Thema mit fünf zusätzlichen Professoren an.
Wünschenswert sind weiterhin ein praxisbezogenes Studium mit stark technischem Fokus, in dem die Studierenden genügend Zeit für eigene Forschung haben, sowie ein starker Anteil von IT-Sicherheit in allen Informatikstudiengängen.
http://www.fastcompany.com/3061737/how-the-cybersecurity-industry-is-coping-with-a-skills-shortage 


Neuigkeiten im Juli:

Datenschutz vor US-amerikanischen Gerichten
Seit 2014 ist eine Klage vor einem New Yorker Gericht anhängig. Sie betrifft Beweismittel, die auf einem europäischen Server von Microsoft liegen. Der Bezirksrichter hatte entschieden, dass diese Daten durch Microsoft an das Gericht zu übergeben sind. Im amerikanischen Case Law hätte diese Entscheidung sehr weitreichende Folgen gehabt. Sie hätte amerikanischen Gerichten Zugang zu allen Daten aller Kunden amerikanischer Firmen verschafft, auch wenn diese nicht in den USA lagern. 
Diesen Zugang haben Ermittlungsbehörden bei Daten in den USA bereits über den PATRIOT Act, einer der Gründe für die Aufhebung des Safe Harbor Abkommens durch den Europäischen Obersten Gerichtshof.

Der Richterspruch ist allerdings auch gegen den ausdrücklichen Wunsch der Regierung der USA durch eine Revisionsgericht aufgehoben worden (Microsoft vs. United States, 2nd U.S. Circuit Court of Appeals, No. 14-2985). Damit ist es Microsoft gelungen, die Daten der europäischen Kunden vor Beschlagnahme durch US-amerikanische Gerichte zu schützen, sofern diese auf europäischen Servern liegen. Dies hat erhebliche Auswirkungen auf die datenschutzrechtliche Bewertung der Angebote von Microsoft. Besonders die neuen Angebote für ein europäisches Azure sind von diesem Richterspruch betroffen.

Abzuwarten bleibt, ob der Staat New York weitere Rechtsmittel einlegt.
http://www.heise.de/newsticker/meldung/Urteil-Microsoft-muss-Daten-aus-EU-Rechenzentrum-nicht-der-US-Regierung-uebergeben-3268104.html 

--------------------------------------------------------------
Automatisierung der IT-Sicherheit
"Mayhem" heißt die von Studenten der Carnegie Mellon University entwickelte Software, die ein Preisgeld von 2 Millionen USD gewann. In einem 12-stündigen, vollständig automatisierten Capture-The-Flag-Hacking-Wettbewerb schnitt sie am besten ab. Die "Cyber Grand Challenge" wurde auf der diesjährigen DEFCON ausgetragen. Sie ist Teil der Bemühungen der DARPA, Angriff und Verteidigung gegen die „dunklen Künste“ zu automatisieren.

Besonders in Zeiten eines chronischen Fachkräftemangels ist dies eine gute Idee. Aber auch wenn es genügend Mitarbeiter gäbe: Die Reaktionszeit eines Menschen ist der der künstlichen Intelligenz unterlegen. Wenn erfolgreiche Angriffe in unter zwei Minuten ein komplettes Intranet übernehmen, muss auch die Verteidigung so schnell oder noch schneller sein.

Wer sich jetzt an William Gibson's ICE aus dem Roman "Neuromancer" von 1984 erinnert, liegt sicherlich nicht falsch.
https://nakedsecurity.sophos.com/2016/08/05/resistance-is-futile-darpas-competition-to-automate-security/amp/ 

--------------------------------------------------------------
HiSolutions:
Auf das nächste Software Lizenzaudit optimal vorbereitet sein
Softwarehersteller nutzen besonders die zweite Jahreshälfte, um ihre Umsätze mit Lizenzaudits zu steigern. Der Audit Defense Workshop der HiSolutions bereitet ihr Unternehmen mit seinem einzigartigen Ansatz innerhalb nur eines Tages optimal auf kommende Audits vor!
HiSolutions Audit Defense Workshop 

--------------------------------------------------------------
Bug Bounty von Apple
Als wohl einer der letzten namhaften Software-Konzerne bietet nun auch Apple Belohnungen für das Finden von Schwachstellen an. 
http://thehackernews.com/2016/08/apple-bug-bounty-program.html 

Die Firma Exodus, die sich auf den Handel mit Schwachstellen, auch für kriminelle Zwecke, spezialisiert hat, bietet allerdings das 2,5-fache.
http://thehackernews.com/2016/08/zero-day-exploit-buy.html 

--------------------------------------------------------------
Berichte zu Cyber-Kriminalität in UK und Deutschland
Sehr unterschiedlich fallen die Berichte aus, welche die Regierungen in UK und Deutschland im letzten Monat veröffentlichten.

Die National Crime Agency (NCA) in UK berichtet im „Cyber Crime Assessment 2016“, dass Cyber-Kriminalität im vereinigten Königreich mittlerweile für mehr Schäden verantwortlich ist, als alle anderen Arten von Kriminalität zusammengenommen. Betrug mit Hilfe von Computern mache demnach 36% aller gemeldeten Straftaten aus. Davon sind ca. 17.000 Cybercrime-Fälle im engeren Sinne. Insgesamt gebe es ein Dunkelfeld von 2,5 Millionen Fällen mit Cyberbezug, denen 700.000 gemeldete Fälle gegenüberstünden. 
http://krebsonsecurity.com/2016/07/cybercrime-overtakes-traditional-crime-in-uk/ 

Das für Deutschland vom BKA veröffentlichte "Cybercrime Bundeslagebild 2015" führt knapp 250.000 Fälle auf, die insgesamt einen Schaden von 40 Millionen Euro verursacht haben sollen. Immerhin ist die Aufklärungsquote gemäß dem Bericht bei den Cybercrime-Fällen im engeren Sinne (ca. 45.000) mit 33% sehr hoch. Obwohl die Definitionen sehr ähnlich sind, stehen Schadenssumme und Fallzahlen aus Deutschland im starken Kontrast zu den Daten aus UK.
http://www.heise.de/newsticker/meldung/BKA-zu-Cybercrime-Das-Darknet-ist-innovativ-3279559.html 

--------------------------------------------------------------
Betrug mit Kreditkarten betrifft 1/3 aller Kunden
Früher wurden noch die Belege aus dem Müll von Tankstellen gefischt. Heute sind Kreditkartendaten durch Einbrüche in Web-Shops und Card-Processor-Seiten millionenfach verfügbar. Eine Schätzung beruht auf den bekannt gewordenen Fällen und geht davon aus, dass rund ein Drittel aller Kunden innerhalb der letzten 5 Jahren Opfer eines solchen Betrugsfalls waren.
https://nakedsecurity.sophos.com/2016/07/15/card-fraud-now-hits-nearly-one-third-of-consumers-worldwide/amp/ 

--------------------------------------------------------------
Europol verhaftet 105 Cyberkriminelle
Die festgenommenen Personen hatten mit gestohlenen Daten Kreditkarten erstellt und diese für Einkäufe genutzt. Laut dem European Cybercrime Centre (EC3) geht es um einen Schaden von rund 5 Millionen Euro.
https://www.europol.europa.eu/content/international-credit-card-fraud-syndicate-active-europe-and-asia-disrupted 

--------------------------------------------------------------
Microsoft Secure Boot unsicher
Microsoft hat einen geheimen Schlüssel, mit dem die Betriebssysteme für Telefone und Tablets so signiert werden, dass der Bootloader die Echtheit und Unverfälschtheit verifizieren kann. Dieser geheime Schlüssel wurde nun versehentlich von Microsoft selbst veröffentlicht. Damit kann jeder eine Signatur erzeugen, die als valide erkannt wird. Mit solchen Signaturen können alternative Betriebssysteme, aber auch manipulierte Windows-Versionen, auf den Geräten zum Laufen gebracht werden. Die mit "Secure Boot" beabsichtigte Schutzwirkung ist damit faktisch nicht mehr gegeben.
http://www.theregister.co.uk/2016/08/10/microsoft_secure_boot_ms16_100/ 

--------------------------------------------------------------
Schnelle Eingreiftruppen und Incident Response
Wie auch Deutschland formalisieren die USA aktuell ihre Reaktion auf Cybercrime und Cyberwar.
https://www.schneier.com/blog/archives/2016/08/new_presidentia.html 

--------------------------------------------------------------
Autos Hacken im Juli
Derzeit erscheinen sehr viele Meldungen zu Verwundbarkeiten bei Autos. Diese sind einerseits über die Elektronik fernsteuerbar (1), veraltete Verschlüsselungen bei Funkschlüsseln ermöglichen es außerdem, alle VW der letzten 20 Jahre zu öffnen (2).
1: https://nakedsecurity.sophos.com/2016/08/03/the-jeep-hackers-return-to-ditch-a-car-going-60-mph/amp/  
2: https://www.wired.com/2016/08/oh-good-new-hack-can-unlock-100-million-volkswagens/ 

--------------------------------------------------------------
Neuer TCP-Bug erlaubt Man-In-The-Middle
Die in RFC 5961 eingeführten Sicherheitsmaßnahmen können so missbraucht werden, dass ein Angreifer Daten in eine TCP-Verbindung einschleusen kann. Aktuell ist nur Linux betroffen, da die anderen Betriebssysteme den RFC noch nicht umgesetzt haben.
http://arstechnica.com/security/2016/08/linux-bug-leaves-usa-today-other-top-sites-vulnerable-to-serious-hijacking-attacks/ 

--------------------------------------------------------------
Android mit schwerer Verwundbarkeit
Ein Fehler im Code des meistgenutzten Prozessors erlaubt es einer App unter Android, beliebigen Code als Root auszuführen. Immerhin sind rund 900 Millionen Geräte betroffen. Patche sind bereits teilweise verfügbar.
http://thehackernews.com/2016/08/hack-android-phone.html 

--------------------------------------------------------------
Malware auf Android, wie schlimm ist es wirklich?
Auch wenn jeden Tag neue Verwundbarkeiten und Schadsoftware auftauchen, das Risiko einer Infektion ist gering, sofern man grundlegende Regeln einhält.
http://www.androidcentral.com/android-malware-should-you-be-worried 

--------------------------------------------------------------
SMS ist kein guter zweiter Faktor
Dies sagt das National Institute of Standards and Technology (NIST) in einer neuen Veröffentlichung (1). Um dies zu verdeutlichen wurden Benutzer des verschlüsselten Messengers Telegram mit Hilfe von abgefangenen SMS abgehört (2).
1: https://www.schneier.com/blog/archives/2016/08/nist_is_no_long.html  
2: http://m.heise.de/newsticker/meldung/Messenger-Telegram-mit-Hilfe-von-Mobilfunkprovider-gehackt-3289434.html 

--------------------------------------------------------------
Bitcoin im Wert von 77 Millionen USD gestohlen
Ein erneuter Einbruch in eine Bitcoin-Wechselstube untergrub das Vertrauen in die Krypto-Währung. Der Kurs sank um 20%.
http://arstechnica.com/security/2016/08/bitcoin-value-falls-off-cliff-after-58m-in-btc-stolen-in-hong-kong-exchange-hack/ 

--------------------------------------------------------------
3 BTC für 200 Millionen Yahoo! Accounts
Ein Sonderangebot besonderen Ausmaßes ist der anonyme Verkauf der Zugangsdaten zu 200 Millionen Yahoo!-Accounts für nur 3 BTC, eine Woche nachdem Yahoo! selbst für 4.8 Mrd. USD den Besitzer wechselte.
http://thehackernews.com/2016/08/hack-yahoo-account.html 

--------------------------------------------------------------
Hilfe gegen Überwachung von Snowden
Ein Gehäuse für iPhones zeigt dem Besitzer, ob das Gerät ihn überwacht. Früher reichten dafür noch die per Induktion aufleuchtenden Dioden, die es in Mobilfunk-Shops zu kaufen gab.
http://arstechnica.com/security/2016/07/edward-snowden-designed-accessory-would-warn-if-your-iphone-has-been-hacked/ 

--------------------------------------------------------------
APT: Strider / Sauron
Strider ist eine hoch entwickelte, modulare Malware mit Fähigkeiten zum Überwinden von Air-Gaps und zum Exfiltrieren von Daten über diverse Kanäle. Sie war ca. 5 Jahre im Einsatz, bis sie entdeckt wurde.
https://securelist.com/analysis/publications/75533/faq-the-projectsauron-apt/ 
--------------------------------------------------------------
ASN.1-Bibliothek in der Mobilfunkinfrastruktur mit Schwachstelle
Für Kommunikationsprotokolle im Mobilfunk kommt häufig das Datenkodierungsverfahren ASN.1 zum Einsatz. In einer dafür häufig verwendeten Bibliothek wurde nun eine Schwachstelle entdeckt. Um diese Schwachstelle anzugreifen, muss der Angreifer bereits im Wirk-Netz des Providers sein, denn die verwundbare Bibliothek verarbeitet Befehle, die der Provider an die Geräte sendet. Allerdings sind ein IMSI-Catcher/Stingray oder seine OpenSource-Alternative auch ausreichend, um Smartphones anzugreifen.
http://arstechnica.com/security/2016/07/software-flaw-puts-mobile-phones-and-networks-at-risk-of-complete-takeover/  
--------------------------------------------------------------
IMSI-Catcher / Stingray für LTE / 4g DIY für 1.400 USD
Einen eigenen Stingray auch für LTE/4G-Netzwerke kann sich jeder mit geringen Kosten aus öffentlich zugänglicher Soft- und Hardware zusammen bauen. Damit sind diverse Angriffe gegen Smartphones in der näheren Umgebung möglich, auch der oben erwähnte, der die ASN.1-Lücke ausnutzt.
http://arstechnica.com/security/2015/10/low-cost-imsi-catcher-for-4glte-networks-track-phones-precise-locations/ 

Der nächste HiS-Cybersecurity Digest erscheint Anfang September 2016.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: