HiS-Cybersecurity Digest Dezember 2018 veröffentlicht

Top Thema

Entenpreis 2019? Der Kampf um eTLS
Der neue TLS 1.3-Standard hat viele unsichere Bestandteile wie Hashfunktionen und Algorithmen über Bord geworfen und bringt damit deutlich mehr Sicherheit. Das passt nicht allen. Neben Nachrichtendiensten befürchten auch einige Lobbyverbände, dass Unbequemlichkeiten und mithin höhere Kosten auf auf ihr Klientel zu kommen, wenn verschlüsselte Verbindungen nicht mehr einfach aufgebrochen werden können. Zwar sind sie mit einer Aufweichung der sogenannten „Forward Security“ in TLS selbst bei der IETF nicht durchgekommen, es wurde jedoch ein „Enterprise TLS“ (eTLS) genannter Standard durch die europäische Standardisierungsbehörde ETSI herausgebracht. Dieser kastriert willentlich TLS 1.3, um Data Loss Prevention, Monitoring, Trouble Shooting und Überwachung – natürlich zu Compliance-Zwecken – zu erleichtern. Technische Erkennungs- und Blockademaßnahmen gegen eTLS wurden durch Sicherheitsforscher schon vorgeschlagen, waren von den eTLS-Befürwortern jedoch bereits vorausgeahnt worden. So schlagen sie Tarnmaßnahmen vor, die die Unterscheidung von eTLS und standardkonformem TLS 1.3 erschweren. Der Kampf ist damit nicht am Ende: Zuletzt verlegte er sich auf das Ringen um den Namen: Darf eTLS TLS im Titel tragen, obwohl ein Kernbestandteil fehlt? Es bleibt spannend – auch auf der höheren Ebene der Frage, wer zu welchem Gut über Standards im Netz entscheiden sollte.
https://www.heise.de/security/meldung/IETF-an-ETSI-Finger-weg-von-TLS-4245220.html

Neuigkeiten:

Volle Breitseite Sicherheit? Technische Richtlinie Breitband-Router erschienen
Nach längerer Zusammenarbeit von BSI, Sicherheitsexperten und Vertretern von Verbänden und Herstellern hat das BSI die erste Technische Richtlinie herausgebracht, die die Security für (zumindest in Summe vieler Geräte) kritische (Smart-)Home-Technik verbessern soll. Die TR-03148 „Secure Broadband Router“, kurz „TR (Breitband-)Router“, beschreibt auf netto 13 Seiten Mindestanforderungen an WLAN- und andere Heimrouter. Sie gilt als wichtiger Schritt in Richtung eines IT-Sicherheitskennzeichens, wie es die Bundesregierung in der Cyber-Sicherheitsstrategie von 2016 und im Koalitionsvertrag vorgesehen hat. Aus der Security-Community gab es prompt Kritik, da die TR zwei zentrale Forderungen nicht enthält: Das „Mindesthaltbarkeitsdatum“ für die Pflege der auf dem Router laufenden Software muss laut TR nicht sichtbar auf der Verpackung angebracht werden. Außerdem werden Hersteller per TR nicht verpflichtet, dem Verbraucher die Möglichkeit zu geben, alternative Software auf dem Router einzuspielen, um auch nach Ende der Produktpflege durch den Hersteller ein Gerät sicher weiterbetreiben zu können.
Pressemitteilung des BSI: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/TR-Router_16112018.html
Replik des CCC: https://www.ccc.de/en/updates/2018/risikorouter

HISOLUTIONS
Vom 4.-7. März 2019 findet das Training „Zertifizierter IT-Notfallmanager“ statt, welches mit einem Zertifikat vom TÜV abgeschlossen werden kann. Es richtet sich an IT-Sicherheitsbeauftragte, CISOs, IT- und IT-Sicherheitsverantwortliche, Business Continuity Manager (Notfallmanager) sowie Auditoren. Grundwissen zur Informationstechnik und Informationssicherheit sowie Kenntnis von Organisationsstrukturen und Prozessen in der IT werden vorausgesetzt.
https://www.hisolutions.com/infocenter/detail/detail/News/zertifizierter-it-notfallmanager-tuev/

Nicht billig: Investitionen in KI
Deutschland will als Staat in den nächsten sechs Jahren drei Milliarden Euro in die Erforschung der künstlichen Intelligenz stecken, die als eine der Schlüsseltechnologien des 21. Jahrhunderts gilt. Was nach einer mutigen Investition klingt, ist gerade mal ein Fünftel von dem, was bestimmte chinesische Städte(!) wie etwa Shanghai in die Hand nehmen. Hier dürfte noch Luft nach oben sein, wenn man es mit der Weltspitze ernst meint.
http://www.spiegel.de/wissenschaft/mensch/kuenstliche-intelligenz-warum-deutschland-mehr-investieren-muss-a-1238851.html    

Zweiter Aufguss: IT-SiG 2.0 kommt
Derzeit nähern wir uns der Prüfphase des zweiten Korbes Kritische Infrastrukturen. Ende 2019 soll dann das überarbeitete IT-Sicherheitsgesetz 2.0 verabschiedet werden. Es wird erwartet, dass weitere Sektoren dazukommen. Dabei könnten auch die produzierende Großindustrie und Hersteller von Komponenten für kritische Infrastrukturen weiteren Meldepflichten unterworfen werden. Ebenso wird angenommen, dass die Schwellwerte abgesenkt werden. Voraussichtlich rückt auch der Mittelstand damit stärker in den Fokus. Unklar ist noch, ob sich diese Überlegungen auf die reine Meldepflicht oder auch auf die Umsetzung von Sicherheitsmaßnahmen beziehen. – Daniel Jedecke, HiSolutions AG, auf DQS.de
https://www.dqs.de/de/inhalte-newsletter/it-sig-20-fakten-und-wuensche/

Wer knackt die Milliarde? Datenlecks immer häufiger und immer größer
Bedeutende Datenlecks sind inzwischen fast an der Tagesordnung. Dass hinsichtlich der Frequenz und vor allem des Ausmaßes noch nicht das Ende der Fahnenstange erreicht war, haben kürzlich Zwischenfälle bei Quora und Marriott gezeigt. Während dem Onlinedienst über 100 Millionen Nutzerdatensätze abhandenkamen – anscheinend nur mit gehashten Passwörter und ohne Kreditkartendaten –, verkündete die Hotelkette den Diebstahl von 500 Millionen Datensätzen – inklusive vieler sensibler Daten, einschließlich Kreditkarten. Auch beim Krisenmanagement schwächelte der Konzern und informierte die Betroffenen zwei Monate später.
https://www.engadget.com/2018/12/03/quora-breach/
https://www.heise.de/newsticker/meldung/Kommentar-zum-Datenklau-bei-Marriot-Die-Folgen-sind-weitreichend-4239043.html 

Nicht jeder zweite Faktor taugt gleichermaßen: Massenhaft SMS geleakt
Beim amerikanischen Kommunikationsdiensteanbieter Vovox fanden sich 26 Millionen SMS Textnachrichten der Kunden auf einem ungeschützten Server. Dank der gleichfalls installierten Elasticsearch-Datenbank von Amazon samt Kibana-Frontend konnte jedermann die Daten nach Namen, Telefonnummern und sogar Texten durchsuchen. Der Vorfall illustriert auch, dass eine 2-Faktor-Authentifikation per SMS nicht der Weisheit letzter Schluss ist, gibt es doch zu viele Möglichkeiten, an deren Inhalt zu kommen.
https://winfuture.de/news,106185.html

Giraffe hackt Drucker für YouTube-Star
Verrückter Titel? Verrückte Geschichte: Ein anonymer Sicherheitsforscher mit dem Künstlernamen „HackerGiraffe“ hat 800.000 Drucker weltweit „gehackt“ und 50.000 von ihnen Werbung für den YouTube-Star PewDiePie drucken lassen. Weiterer Schaden ist nicht entstanden.
https://www.wired.com/story/pewdiepie-printers-propaganda-hack-brief/
Er beschreibt sein (relativ einfaches) Vorgehen auf Twitter Schritt für Schritt: https://twitter.com/HackerGiraffe/status/1068714506770149376

Google zerschellt an der großen Firewall: BGP-Angriffe werden häufiger
Angriffe auf das Routingprotokoll BGP, welches die verschiedenen Autonomen Systeme (AS) des Internets zusammenkittet, nehmen seit Jahren zu. So hatte es im April 2018 einen bedeutenden Diebstahl von Kryptomünzen gegeben, welcher die Umleitung des gesamten Amazon-DNS-Providers Route53 beinhaltete. Ein Jahr davor war der Anbieter Rostelecom darin verwickelt, den Verkehr einer großen Anzahl von E-Commerce- und Finanzdienstleistungs-Webseiten umzusteuern. Diesmal hat es Google getroffen: Für eine kurze Weile wurden Google-Dienste vor allem institutioneller Kunden via Nigeria nach China verschifft, wo sie größtenteils von der staatlichen „großen Firewall“ weggefiltert wurden. Der Hintergrund ist unklar.
Internetserviceprovidern ist das Problem heute mehr und mehr bewusst, aber existierende technische Lösungen wie ROA und IRR-Filter sind alles andere als perfekt – und bergen immer das Risiko, versehentlich größere Teile des Internet abzuschneiden.
https://blog.thousandeyes.com/internet-vulnerability-takes-down-google/

Industrielle Kronjuwelen: ICS-Hersteller als Ziele
Passend zu den Überlegungen des BSI, das IT-Sicherheitsgesetz mittelfristig auf die Lieferkette auszuweiten, geraten Hersteller von industrieller Steuerungs- und Automatisierungstechnik immer häufiger ins Fadenkreuz von Angriffen. Der Hersteller OSIsoft hat zugegeben, dass zwischen März 2017 und Juli 2018 wichtige Daten abgeflossen sind. Der Credential Theft umfasste 29 interne Computer und 135 Accounts – mithin alle internen OSIsoft Domänenaccounts.
https://techsupport.osisoft.com/Troubleshooting/Alerts/AL00343

Lesetipps

Aufgrund der drohenden Feiertage fällt diesmal unsere Liste etwas länger aus – damit auch nach Gans, Karpfen und guten Vorsätzen noch etwas zum Weiterlesen da ist:

The Good, the Bad and the Ugly
Good: Die kurzzeitig wertvollste Firma der Welt Microsoft macht sich Gedanken über die Gefahren der Totalüberwachung durch umfassende Gesichtserkennung:
http://www.spiegel.de/netzwelt/apps/microsoft-warnt-vor-staatlicher-totalueberwachung-durch-gesichtserkennung-a-1242596.html
Bad: Immer mehr Apps können uns tracken, wo wir gehen, stehen, schlafen. Die New York Times hat eine interaktive Story dazu erstellt, was wir dabei über uns preisgeben. Dabei ist das Datensammeln der Mobilfunkanbieter noch nicht einmal berücksichtigt.
https://www.nytimes.com/interactive/2018/12/10/business/location-data-privacy-apps.html
Ugly: Facebook hat seit einigen Jahren – spätestens seit den Wahlmanipulationen von Cambridge Analytica einen herben Imageverlust erlitten, den Gründer Mark Zuckerberg durch eine Reihe von Entschuldigungen zumindest abmildern konnte. Vor Gericht bekannt gewordene Dokumente zeigen nun eindeutig, dass der Firma bestimmte „PR-Risiken“ durch Datenschutzverstöße nicht nur bewusst waren, sondern dass im Sinne des Wachstums dezidierte Entscheidungen für eine Täuschung der Nutzer trotz PR-Risiko getroffen wurden.
https://www.golem.de/news/facebook-du-uns-auch-mark-1812-138107.html

Cloudish für Anfänger
Cloud-Computing ist nicht nur eine immer noch neue und sich rasant entwickelnde Technologie, sondern bedient sich auch einer eigenen Sprache, die für Außenstehende, Einsteiger und viele Nutzer nicht leicht zu durchdringen ist – zumal sich die Begriffe von Anbieter zu Anbieter unterscheiden. Ist ein Application Gateway bei Azure nun ein ALG oder doch eher ein Load Balancer? Die folgenden Vokabellisten helfen, etwas Licht ins Dunkel der Amazon-, Google- und Microsoft-Wolken zu bringen:
AWS: https://www.expeditedssl.com/aws-in-plain-english
GCP: https://github.com/gregsramblings/google-cloud-4-words
Azure: https://quizlet.com/76013766/microsoft-azure-terminology-flash-cards/

IT vs. OT oder IT & OT?
Dale Peterson, Gründer der ICS-Security-Konferenzen S4, behandelt in seinem Blog das ewige Thema „IT vs. OT“. Wobei – Spoiler Alarm – das „vs.“ schon falsch ausgedrückt ist. Den Links folgen lohnt!
https://www.linkedin.com/pulse/its-ot-v-dale-peterson/

---------------------------------------------------------------
Der nächste HiS-Cybersecurity Digest erscheint Anfang Januar 2019 – jetzt abonnieren!

Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate:
Übersicht aller bisher erschienenen HiS-Cybersecurity Digests.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: