HiS-Cybersecurity Digest August 2018
Die Top Themen des letzten Monats: Immer mehr Vertraulichkeit im Web, Supply-Chain-Massacre, Cyberangriff auf Chlorfabrik in der Ukraine, Ransomware 2.0, Microsoft Managed Desktop
Top Thema
Die Lücken schließen sich – Immer mehr Vertraulichkeit im Web
Während sich der Druck zur Nutzung von TLS erhöht und damit dessen Verbreitung im Web immer weiter voranschreitet – seit kurzem zeigt die neuste Version von Google Chrome jede Seite ohne HTTPS als „nicht sicher“ an – bleiben noch viele weitere Lücken, über die Informationen über unser Surfverhalten und unsere Aktionen im WWW abfließen können. Mit dem neuen Standardentwurf „Encrypted Server Name Indication (SNI) for TLS 1.3“ will die IETF (Internet Engineering Task Force) nun eine weitere solche schließen. SNI ist dafür da, bei geteilten IP-Adressen dem angesprochenen Server mitteilen zu können, mit welcher Seite oder welchem Dienst der Client reden möchte. Dies ist natürlich für Zensoren und sonstige Überwacher eine interessante Information. Wieder einmal ist der Entwurf umstritten, die üblichen Verdächtigen beschreien das Ende des Internets: Hersteller befürchten die Überforderung ihrer veralteten „Middleboxen“, Geheimdienste Unbequemlichkeiten und Werbetreibende Einnahmeverluste. Durchsetzen wird er sich glücklicherweise wahrscheinlich trotzdem.
Es bleiben jedoch noch viele weitere Baustellen, die sich die IETF nach Snowden auf den Plan gesetzt hatte. Das besonders geschwätzige DNS ist heute theoretisch bereits vollständig verschleierbar – wenn man denn möchte. Auch Zertifikate geben noch viele Informationen über die Kommunikationspartner preis, können aber seit kurzem mit TLS 1.3 ebenfalls verschlüsselt werden. Wir scheinen also auf dem – sehr langsamen – richtigen Weg zu sein.
https://www.heise.de/newsticker/meldung/IETF-Verschluesselte-Server-Namen-fuer-TLS-4110844.html
Neuigkeiten im Juni:
Supply-Chain-Massacre: 157 GB Datenleck von Autobauern
Angeblich ist im Bereich der Automatisierung Vertraulichkeit meist nicht so kritisch wie Verfügbarkeit oder auch Integrität. Selbstverständlich wird beim Thema Industrie 4.0 in der Regel auch auf den Datenschutz verwiesen und in Branchen wie Automobil oder Maschinenbau auch gerne auf Know-How-Protection – aber beim wichtigen Thema Supply Chain Security geht es häufig vor allem um sichere Fernwartung und Schutz vor dem versehentlichen Lahmlegen oder Sabotieren der Anlage. Ein 157 GB großes Datenleck zeigt nun eindrucksvoll, wie schnell große Mengen an Geschäftsgeheimnissen über einen Zulieferer verloren gehen können.
Ein Sicherheitsforscher hatte die Datei auf einem Backupserver frei zugreifbar im Internet gefunden. Sie enthielt technische Informationen zu Produktionsabläufen, Verträge, Arbeitspläne und sogar Verschwiegenheitsverpflichtungen. Insgesamt handelt es sich um fast 50.000 Dateien von mehr als 100 Unternehmen wie Volkswagen, Toyota, General Motors, Ford, Fiat Chrysler und Tesla, die mit der kleinen kanadischen Firma Level One Robotics and Controls gearbeitet haben.
--------------------------------------------------------------
James Bond ist nichts dagegen: Erkenntnisse des US-Sonderermittlers zur Wahlkampfeinmischung
Die Ergebnisse des Sonderermittlers Robert Mueller zu den möglichen russischen Einmischungen in den amerikanischen Präsidentschaftswahlkampf 2016 lesen sich nicht nur wie ein Agententhriller, sondern bieten auch aus Security-Sicht einiges an interessantem Anschauungsmaterial. Fast schon Standard war die aufwändige Spear-Phishing-Kampagne. Hier wurden allerdings Server für Angriffe in den USA angemietet und mit selbstgeschürften Bitcoins bezahlt. Die erfundene Figur des angeblichen rumänischen Hackers Guccifer 2.0 (wir berichteten) wird u. a. dadurch auf russische Agenten zurückgeführt, dass diese im Internet mehrere englische Phrasen gesucht hatten, die dann in genau dem Wortlaut in Guccifers Blog verwendet wurden. Und eine Linux-Malware entpuppte sich als besonders zielführend für die Angreifer, um lange in der Infrastruktur präsent zu sein.
--------------------------------------------------------------
Die Einschläge kommen näher: Cyberangriff auf Chlorfabrik in der Ukraine
Die amerikanische Sicherheitsfirma Dragos berichtet von einem Angriff auf eine Fabrik für Chlorgas in der Ukraine. Unbekannte konnten über die eingeschleuste Malware „VPNfilter“ den Datenverkehr zwischen einem Leitstand und Automatisierungskomponenten überwachen und dadurch Informationen für mögliche weitere Angriffe sammeln. Über ein weiteres Modul hätten sie auch Modbus-Befehle abhören und mit etwas Entwicklungsaufwand ggf. auch verändern können, womit der gesamte Prozess manipuliert worden wäre bis hin zu einer möglichen Explosion. Die Schadsoftware wurde jedoch in diesem Fall bereits nach Minuten entdeckt.
https://dragos.com/blog/20180716UkraineChemicalPlantEvent.html
--------------------------------------------------------------
Tot bringt mehr – Ransomware 2.0
Im Zusammenhang um die Diskussion einer Meldepflicht bei Ransomwareattacken im Rahmen der Regulierung von Gesundheitsdaten in den USA (HIPAA) kam die Frage auf, ob sich die Erpresser mit den Lösegeldzahlungen für verschlüsselte Daten zufriedengeben. Da BCM-Teams einen immer besseren Job machen, können Ransomware-Opfer heute immer häufiger auf Überweisungen in Bitcoins verzichten, um verschlüsselte Daten wiederherzustellen. Die Bad Guys würden aber ihren Namen nicht verdienen, wenn sie nicht einen erbitterten Wettbewerb um das Geschäft “Ransomware-as-a-service” führten und dabei auch neue Geschäftsfelder ausloten würden, z. B. den Handel mit gestohlenen Gesundheitsdaten.
Allerdings fällt momentan deren Preis aufgrund des wachsenden Angebots auf dem Schwarzmarkt. Deshalb werden jetzt insbesondere Daten von verstorbenen Patienten gesucht und beworben, da diese einen höheren Wert haben als z. B. gültige Kreditkartendaten. Das liegt daran, dass in der Regel der Identitätsdiebstahl von verstorbenen Personen weniger schnell auffällt.
https://threatpost.com/deceased-patient-data-being-sold-on-dark-web/133871/
--------------------------------------------------------------
OSaaS? Der Microsoft Managed Desktop kommt
Einigen Wirbel hat die Ankündigung – bzw. zunächst bloße Erwähnung des Begriffs in Stellenanzeigen – eines „Microsoft Managed Desktops“ ausgelöst. Erste Befürchtungen, der Windows-Hersteller plane ein Abo, bei dem erstens für Windows 10 monatlich bezahlt werden muss und zweitens Nutzer nicht mehr entscheiden können, wann welche Updates eingespielt werden, haben sich als falsch erwiesen. Richtig ist, dass in Redmond wie andernorts neue Betriebsmodelle erdacht und offeriert werden. Bei MMD least ein Unternehmen PCs, auf denen Microsoft tatsächlich für die Funktionsfähigkeit und damit Updates geradesteht. Privatnutzer und Unternehmen, welche die Verwaltung selbst übernehmen möchten, können weiterhin Windows 10 einmalig kaufen und erhalten kostenlose „rollende“, also Versionssprünge unnötig machende Updates. Es ist allerdings auch wahr, dass mit Windows 10 die Bewegung bereits ein ganzes Stück in Richtung „as a Service“ gegangen ist, was ein Artikel bei HowToGeek.com gut darstellt. Seit kurzem werden übrigens auch Windows 7 und 8.1 per „kritischem Update“ gezwungen, „Telemetrie“, also Diagnosedaten, „nach Hause“ zu schicken.
--------------------------------------------------------------
Ein Quäntchen Post: RFC 8391 für Post-Quantum-Signatur
Ein Forscherteam der TU Darmstadt und des deutschen Security-Anbieters genua hat ein Signaturverfahren entwickelt, das gegen zukünftige Quantencomputer resistent ist. „XMSS“ (eXtended Merkle Signature Scheme) wurde nun als Internet-Standard RFC 8391 veröffentlicht. Genua setzt das Verfahren bereits ein, um die Integrität von Updates zu sichern, und will es bald auf den Integritätsschutz von VPN-Verbindungen ausweiten.
Anders als die üblichen Signaturverfahren, die meist auf RSA oder dem Diskreten Logarithmusproblem (DLP) beruhen, basiert XMSS auf Hashes. Die zum Bilden der Signatur verwendeten Merkle-Bäume sind diejenigen mathematischen Objekte, die auch die Integrität von Blockchains oder des Sourcecodes im Versionsverwaltungssystem git sicherstellen.
https://tools.ietf.org/html/rfc8391/
--------------------------------------------------------------
Gesagt ist gesagt? Zitate in WhatsApp manipulierbar
Die Sicherheitsfirma Checkpoint hat eine Reihe von Sicherheitslücken in der Gruppenchat-Funktion von WhatsApp entdeckt. So lassen sich etwa Nachrichten von Nutzern beim Zitieren verändern oder Nachrichten an eine Person senden, die so aussehen, als wären sie an die gesamte Gruppe gegangen. Das Problem liegt hier nicht in der Verschlüsselung von WhatsApp, sondern an den nicht ausreichend gesicherten Kommunikationswegen zwischen (Android-) App und Desktop-Version. Gefährlich ist dies vor allem in Zeiten, wo massenhaft weitergeleitete Fake News zu Lynchmorden führen können, wie zuletzt in Indien.
https://www.nytimes.com/2018/08/07/technology/whatsapp-security-concern.html
LESETIPPS, heute mal kurz:
RTFM – TLDR?*
Wie lauteten nochmal die wichtigsten Kommandozeilenoptionen von sed, awk, grep oder einem anderen Unix-Kommando? Die eingebaute Hilfe „man“ (manual) liefert erstmal zehn Seiten Text, bevor es ans Konkrete geht? Hier hilft das charmante kleine Tool cht.sh (Cheat Sheet, also Spickzettel) im Browser oder lokal auf geschickte Art und Weise. Eine Art tl;dr von man.
* RTFM = Internet-Akronym für „Please consult the appropriate Documentation“, der genervte Standardverweis auf die Dokumentation
TLDR oder TL;DR = Too long, didn’t read (Zu lang, daher nicht gelesen), die übliche Antwort auf (zu) lange Texte
---------------------------------------------------------------
Der nächste HiS-Cybersecurity Digest erscheint Anfang September 2018.
Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate:
Übersicht aller bisher erschienenen HiS-Cybersecurity Digests.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!
