HiS-Cybersecurity Digest Februar 2017 veröffentlicht

HiS-Cybersecurity Digest Februar 2017

Die Top Themen des letzten Monats: Hinter den Kulissen der DDoS-Kriege, Leistung von Quantencomputer verdoppelt, kreative Ransomware, die Sinnhaftigkeit von Virenschutz, PKI wird immer wichtiger, kritische Lücke in WebEx nach mehreren Anläufen gefixt, Firefox und Chrome warnen vor unsicheren Login-Formularen.
 

Liebe Leserinnen und Leser!

Sehr herzlich darf ich Sie mit dieser Ausgabe als neuer Herausgeber unseres Cybersecurity Digest begrüßen. Dem Gründer und bisherigen Verfasser des Digest, Christoph Puppe, danken wir zutiefst für seine wertvolle Arbeit der letzten 15 Jahre bei der HiSolutions AG und wünschen ihm alles Gute für seinen weiteren Weg.

Ich verspreche, Sie weiterhin monatlich darüber auf dem Laufenden zu halten, was sich in "the Cyber" (Donald Trump) wichtiges getan und ereignet hat, ohne den Fokus auf zukünftige Entwicklungen zu verlieren: Big Data, Quantencomputer und das IoT sind drei, die allein in dieser Ausgabe eine Rolle spielen.

Ich wünsche Ihnen viel Spaß beim Lesen!
Ihr Feedback ist wie immer herzlich willkommen.

Mit besten Grüßen
David Fuhr
Head of Research
HiSolutions AG

Top Thema

Die wachsende Macht von Big Data
Im Dezember hatte der Artikel "Ich habe nur gezeigt, dass es die Bombe gibt" des Magazins des Schweizer Tages-Anzeigers für Aufsehen gesorgt. Darin ging es um den Beitrag der Datenanalysefirma Cambridge Analytica zu Trumps Wahlsieg. Big Data-Methoden sollen im Verein mit Verhaltensanalysen und extrem gezielter Werbung demnach angeblich entscheidende Wählergruppen motiviert bzw. abgehalten haben - und das bei einem im Vergleich zu Clinton deutlich geringeren Werbebudget. Inzwischen wurde diese Aussage von verschiedenen Experten im Hinblick auf weitere wesentliche Effekte wie etwa Fehlentscheidungen der demokratischen Kampagne relativiert. Einigkeit besteht jedoch weitgehend darüber, dass die Macht von Big Data Analytics weiter zunehmen wird und neben äußerer politischer Einmischung (bis hin zu Hackerangriffen) eine immer größere Rolle in Wahlkämpfen auch in Europa spielen dürfte.
http://www.sueddeutsche.de/politik/us-wahl-nein-big-data-erklaert-donald-trumps-wahlsieg-nicht-1.3281871 

Neuigkeiten im Januar:

Bunte Klötzchen und Erpressung: Hinter den Kulissen der DDoS-Kriege
Der investigative Sicherheitsforscher Brian Krebs hat über viele Monate hinweg den Schöpfer des berüchtigten Mirai-Botnetzes verfolgt und aufgespürt. Die nach einem japanischen Manga-Film benannte Schadsoftware befällt IoT-Devices und ist für die größten verteilten Denial-of-Service-(DDoS)-Angriffe des letzten Jahres verantwortlich. Davon betroffen waren anfangs vor allem Betreiber von Servern des virtuellen Klötzchenspiels Minecraft. Der lange Artikel gibt einen tiefen Einblick in Motivationenund Geschäftsmodelle sowie einen Ausblick darauf, was uns mit der weiteren Verbreitung des Internet der Dinge (IoT) in den nächsten Jahren erwartet.
https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/ 

--------------------------------------------------------------
Sie kommen näher: Leistung von Quantencomputer verdoppelt
Die Firma D-Wave hat die Leistung ihres umstrittenen Quantencomputers verdoppeln können. Das Modell "2000Q" kann nach Angaben des Herstellers nun mit 2.000 QBits (Quanten-Bits) arbeiten. Die Modelle der Firma sind allerdings keine universellen Quantencomputer, die beliebige mathematische Aufgaben wie etwa das Brechen von Codes berechnen können. Es handelt sich um Spezialrechner zur Lösung bestimmter mathematischer Probleme (v.a. der Optimierung). Immerhin hat Google Ende 2015 die grundsätzliche Überlegenheit des Vorgängermodells gegenüber klassischen Computern bestätigt und baut nun mit Hochdruck an einem eigenen - universellen - Quantenchip. Forscher gehen davon aus, dass bereits in diesem Jahr 50 (universelle) QBits realistisch seien, und einige Experten schätzen, dass um 2025 die meisten heute eingesetzten asymmetrischen Kryptoverfahren hinfällig werden könnten.
https://www.heise.de/tr/artikel/Doppelte-Quantenleistung-3610340.html 

--------------------------------------------------------------
Kreative Ransomware: Erpressen durch Einsperren
Ransomware - also Erpressungsversuche mittels Schadsoftware - stellt, wie auch hier bereits mehrfach berichtet, inzwischen eines der wachstumsstärksten Felder der Cyberkriminalität dar. Die Methoden und Auswirkungen werden dabei immer vielfältiger: In Österreich hat es nun unter anderem die Türverriegelung eines Hotels getroffen, sodass Gäste ihre Zimmer nicht mehr verlassen konnten. Ein Bezahlen des Lösegelds in der teilanonymen Währung Bitcoin war in diesem Fall - darauf setzten die Angreifer - billiger als das Rückspielen der Systeme. Darauf, dass es mit der Zahlung des Lösegeldes getan sei, sollte allerdings nicht gebaut werden, da Ransomware das Entschlüsselungsversprechen häufig nicht mehr einhält. Stabile, getestete Wiederherstellungsprozesse sind daher unabdingbar.
https://bitcoinblog.de/2017/01/30/hacker-legen-schliesssystem-von-zimmern-in-hotel-in-oesterreich-lahm/ 

--------------------------------------------------------------
Virenschutz: Unverzichtbar oder Schlangenöl?
Immer lauter werden die Stimmen, die meinen, dass Virenschutzsoftware im Sinne der Eröffnung von Angriffsvektoren mehr Schaden anrichte, als sie verhindern kann. In diesem Beitrag analysiert der SSL-Forscher Hanno Böck die Pro- und Kontraargumente sowie Alternativen ausführlich und ausgewogen. Es scheint, als käme bald die Zeit, in der sich der CISO bei bestimmten, sehr gut gemanagten Infrastrukturen guten Gewissens gegen einen Virenschutz entscheiden darf, ohne damit gleich seinen Stuhl zu riskieren. Auf der anderen Seite muss dann natürlich in Patching, Whitelisting und ähnliche Prozesse investiert werden, um das Risiko anderweitig - möglicherweise besser - in den Griff zu bekommen.
https://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-1612-125148-4.html 

--------------------------------------------------------------
Totgesagte leben länger: PKI wird immer wichtiger
PKI gewinnt zumindest im Web immer weiter an Bedeutung. Das lässt sich z. B. daran ablesen, dass Google im Januar den Betrieb einer eigenen Top-Level-CA angekündigt hat, welche zunächst neben den zugekauften Zertifikaten genutzt werden soll. Auf der anderen Seite kann dies als Hinweis darauf verstanden werden, dass wenige kommerzielle CAs ihre spezifischen Risiken gut in den Griff bekommen - geschweige denn die grundsätzlichen Schwächen des PKI-Systems insgesamt.
https://pki.goog 

--------------------------------------------------------------
WhatsApp: It's not a Backdoor, it's a Feature
Am 13. Januar berichtete der britische Guardian unter Verweis auf einen Sicherheitsforscher über eine vermeintliche Backdoor in der Verschlüsselung von WhatsApp, welche auf dem Signal-Protokoll der Firma Open Whisper Systems basiert. Dadurch sei es WhatsApp bzw. der Eigentümerin Facebook möglich, als Man-in-the-Middle (MITM) die ansonsten sehr starke Ende-zu-Ende-Verschlüsselung aufzubrechen. Der Artikel löste heftige Debatten unter Fachleuten aus, von denen die meisten keine Backdoor sehen. Die unter Laien geführte Diskussion könnte Nutzer demnach gerade in autoritären Regimen weg von WhatsApp hin zu kryptographisch wesentlich unsichereren Diensten treiben. Für Serverbetreiber und Apphersteller eines nicht komplett serverlosen Kommunikationsdienstes besteht immer die Möglichkeit eines MITM. In diesem Fall wurde eine Designentscheidung bewusst getroffen, um die Usability zu erhöhen, was statistisch betrachtet schließlich auch der Sicherheit nützt. Der Vorfall zeigt, dass die Bewertung einer "Backdoor" unter anderem vom Risikoprofil und der Bedrohungsmodellierung abhängt und nicht vorschnell getroffen werden sollte.
http://www.welivesecurity.com/deutsch/2017/01/16/whatsapp-verschluesselung-ohne-backdoor/ 

--------------------------------------------------------------
Patchwork: Kritische Lücke in WebEx nach mehreren Anläufen gefixt
Der bei Softwareherstellern gefürchtete Sicherheitsforscher Tavis Ormandy von Google hat eine kritische Lücke in Ciscos Videokonferenzlösung WebEx gefunden. Genauer gesagt handelt es sich um eine Remote Code Execution (RCE)-Schwachstelle in den Browser-Plugins für IE, Chrome und Firefox. Der Besuch einer bösartigen Website reichte hier aus, um das System zu kompromittieren. Cisco reagierte umgehend, benötigte jedoch mehrere Tage und Patches, um das Problem verlässlich zu beheben. 
https://www.heise.de/newsticker/meldung/Kritische-Luecke-in-WebEx-Cisco-stellt-offensichtlich-finale-Sicherheitsupdates-bereit-3610749.html 

--------------------------------------------------------------
EU-NIS-Richtlinie: Deutschland ist Musterschüler beim Schutz kritischer Infrastrukturen
Am 26. Januar veröffentlichte das BMI einen Gesetzentwurf zur Umsetzung der NIS-Richtlinie in Deutschland. Die „Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union" muss von den Mitgliedstaaten in nationales Recht umgesetzt werden. In Deutschland wurde 2015 mit dem IT-Sicherheitsgesetzt für den Schutz kritischer Infrastrukturen bereits vieles vorweggenommen. Trotzdem bleibt noch eine Vielzahl an Regelungen für verschiedene Sektoren zu implementieren. Unter anderem ist eine Meldepflicht für Sicherheitsvorfälle in großen Unternehmen mit "wesentlichen Diensten" vorgesehen.
http://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/entwurf-umsetzung-nis-richtlinie.pdf 
Zum Inhalt der Richtlinie selbst: http://www.skwschwarz.de/de/Aktuelles/Article-Detail/++/art_id/248/ 

--------------------------------------------------------------
FTP: Stirb langsam
Sehr langsam, aber sicher, stirbt FTP aus. Am 27. Januar kündigte kernel.org, die Heimat des Linux-Kernels, als eine weitere Instanz im Internet an, das unsichere Protokoll abzuschalten.
https://kernel.org/shutting-down-ftp-services.html 

--------------------------------------------------------------
Fünffach hält auch nicht immer: Check Your Backups!
Auch fünf verschiedene Arten von Backups helfen nicht unbedingt, wenn der Restore nie getestet wird. Diese schmerzliche Erfahrung musste am 31. Januar der GitHub-Konkurrent GitLab machen, als ein Entwickler, der sich auf dem Staging-System wähnte, versehentlich eine Produktivdatenbank löschte. Glücklicherweise hatte besagter Entwickler sechs Stunden zuvor, übrigens entgegen manch üblicher, doch möglicherweise überdenkenswerter Empfehlungen zur (Nicht-)Nutzung von Produktivdaten auf Testsystemen, eine Kopie der Produktivdaten auf dem Stagingsystem angelegt. Die verlorenen Issues und Merge Requests konnten daraufhin in einem mehrstündigen Krimi mit nur wenigen Inkonsistenzen wieder zurückkopiert werden.
Die vergeblichen Backupstrategien: http://checkyourbackups.work/ 
Das Live-Protokoll des ganzen Dramas: https://docs.google.com/document/d/1GCK53YDcBWQveod9kfzW-VCxIABGiryG7_z_6jHdVik/pub 

--------------------------------------------------------------
Das Web wird strenger: Firefox und Chrome warnen vor unsicheren Login-Formularen
Die Sicherheitserwartungen im Web werden von den großen Browserherstellern schrittweise angezogen. Google und Mozilla haben angekündigt, in Chrome bzw. Firefox vor Login-Formularen zu warnen, welche die Credentials über unsichere, unverschlüsselte Verbindungen verschicken. Das ist ein guter Anlass, die Umstellung auf HTTPS für die eigenen, auch internen Anwendungen voranzutreiben.
https://support.mozilla.org/en-US/kb/insecure-password-warning-firefox 

--------------------------------------------------------------
OK Google, was ist Code Injection?
Die Liste der mehr oder weniger lustigen Ereignisse, welche die Verletzlichkeit moderner vernetzter Systeme für Code Injection-Angriffe lebhaft vorführen, ist um einen Eintrag länger geworden. Nach dem Klassiker des Gamers, der seinen Avatar "XBOX, Shutdown" genannt hatte und den Armeen von Amazon Echos, die kürzlich nach einem Fernsehbeitrag über ein Mädchen, das per Amazon Echo ein Puppenhaus bestellen wollte, Puppenhäuser bestellen wollten, hat Google nun mit seinem Werbeclip über Google Homebeim Super Bowl die Heimautomatisierung in vielen Teilen Amerikas durcheinandergebracht. Es empfiehlt sich, die Aktivierungsphrase vom Standard "OK Google" auf etwas Einzigartiges zu ändern, damit nicht landesweit gleichzeitig überall das Licht aus, die Heizung an oder die Garage auf geht, wenn der Fernseher (oder ein Angreifer) dies vorschlägt.
http://www.spiegel.de/netzwelt/gadgets/super-bowl-google-werbung-aktiviert-google-home-a-1133315.html 


Der nächste HiS-Cybersecurity Digest erscheint Anfang März 2017.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: