HiS-Cybersecurity Digest Juli 2018 veröffentlicht

HiS-Cybersecurity Digest Juli 2018

Die Top Themen des letzten Monats: Der unbekannte Dritte – Gefahr durch "Third Parties", 7.000 Systeme einer Bank zur Ablenkung überschrieben, Hackerangriffe nur an fünfter Stelle der Bedrohungen, Passwortvarianten leicht zu erraten, Neue Angriffe auf 4G-Mobilnetze

Top Thema

Der unbekannte Dritte – Gefahr durch "Third Parties"
Große Firmen wie Google oder Facebook geben sich in der Regel viel Mühe, die Daten ihrer Nutzer zu schützen. Zu viel steht auf dem Spiel, als dass man eine Rufschädigung wegen Sicherheitsproblemen leichtfertig riskieren würde. Gleichzeitig ist die Verlockung groß, das „Ökosystem“ möglichst offen zu gestalten, auf dass weitere Firmen sich mit den eigenen Anwendungen und Diensten vernetzen und diese für die Nutzer wertvoller machen.
Diese sogenannten Drittanbieter unterliegen in der Regel wesentlich weniger strengen Security-Vorgaben, als sie die internen Prozesse der Internetriesen vorsehen. Zwar ist die Tatsache, dass App-Entwickler und ähnliche Symbionten oder auch Parasiten technischen Zugriff auf E-Mails haben, grundsätzlich lange bekannt – natürlich immer mit (eventuell kleingedruckter) Zustimmung der Nutzer!
Aber auch wenn dies nicht mit Manipulationen wie Facebooks Cambridge Analytica-Skandal zu vergleichen ist, verbirgt sich hier ein hartes Problem: Wie können hunderte oder auch tausende Dritte die Daten mitnutzen, ohne dass die Kontrolle über sie verloren geht? Dafür braucht es neue Konzepte. Die heute eher laxen Prüfverfahren für App-Entwickler scheinen dafür noch ungenügend.

https://www.golem.de/news/datenschutz-drittfirmen-lesen-massenweise-gmail-postfaecher-1807-135289.html


Neuigkeiten im Juni: 

Kollateral heißt nicht klein – 7.000 Systeme zur Ablenkung überschrieben
Cyberkriminelle wollten das internationale Überweisungs-System SWIFT der Banco de Chile manipulieren. Nur um das Security-Team abzulenken und so 10 Millionen US-Dollar erbeuten zu können, überschrieben sie kurz davor die Speichersysteme von über 6.000 Computern und 500 Servern.
Die Vorgehensweise erinnert fast an Hollywood: Zuerst die Sabotage der Infrastruktur durch großflächige Malware-Attacke, dann die Nutzung des Chaos in der IT-Abteilung (und im SOC) für betrügerische Geld-Transfers via SWIFT. Es bietet sich auf jeden Fall an, das Szenario in Notfallübungen einzubeziehen.
Das Problem ist, dass eine internationale Großbank zehntausende von Drittparteien in ihrem digitalen Ökosystem hat, es aber nur eines schwachen Glieds bedarf, um potenziell Millionenschäden anrichten zu können.

https://www.wired.de/collection/business/hacker-erbeuten-10-millionen-dollar-durch-angriff-auf-chilenische-bank/

-------------------------------------------------------------- 

Hacker können einpacken: Angriffe nur an fünfter Stelle der Bedrohungen
So gefürchtet Hackerangriffe auch sind, stehen sie nach Zahlen, die die Wirtschaftswoche zusammengetragen hat, erst an fünfter Stelle der größten IT-Bedrohungen: Gegen Technik und die „Good Guys“ können sie einpacken. Schlimmer sind Headcrashs, versehentliches Löschen, Virusangriffe und Diebstähle. Die Gesamtkosten bei Datenverlusten infolge von IT-Sicherheitsproblemen betragen im Schnitt vier Millionen US-Dollar, selbst kleinere Vorfälle sorgen bei KMUs noch für Kosten von im Schnitt rund 18.000 Dollar.

http://blog.wiwo.de/look-at-it/2018/06/13/140-000-festplatten-crashs-pro-woche-in-den-usa-darum-sind-regelmaessige-backups-so-wichtig/

--------------------------------------------------------------

123456b und iloveyou2 – Passwortvarianten leicht zu erraten
Forscher der amerikanischen Universität Virginia Tech haben sich empirisch mit Wiederverwendung und Änderungsmustern von Passwörtern beschäftigt. Dafür haben sie über acht Jahre lang öffentlich zugängliche Passwortdatensätze aus dem Internet gesammelt und die ca. 61 Millionen Einträge daraufhin analysiert, wie Nutzer ihre Passwörter wiederverwenden und modifizieren. Wenig überraschend ist, dass die Änderungsmuster relativ einfach vorhersagbar sind. Erstaunlich ist jedoch, dass die Forscher einen Algorithmus konstruieren konnten, der die Mehrheit der modifizierten Passwörter mit nur zehn Versuchen erraten kann – ein weiteres Argument dafür, dass häufige Passwortwechsel in den meisten Anwendungsszenarien nicht zu mehr Security führen.

https://people.cs.vt.edu/gangwang/pass.pdf

--------------------------------------------------------------

Ein Quäntchen Trost – Quantencomputer kommen immer noch „bald“
Das BSI hat eine Studie zum Entwicklungsstand von Quantencomputern veröffentlicht. Sie stellt vor allem eine Auswertung und Zusammenfassung bereits bekannter Informationen dar. Heute übliche asymmetrische und hybride Kryptosysteme (z. B. TLS) werden, wenn die bisherige Entwicklung weitergeht, mittelfristig komplett gebrochen sein. Für symmetrische Kryptosysteme bleibt es dabei, dass nach heutigem Stand die Verdopplung der Schlüssellängen ausreichen könnte, um das Sicherheitsniveau zu halten. Ähnliches gilt auch für Hashfunktionen.
Die Studie macht keine zeitliche Aussage darüber, wann mit ausreichend großen Quantencomputern zu rechnen ist. Allerdings gibt es einige nationale Forschungen wie z. B. das chinesische Programm zum Quanten-Schlüsselaustausch, die durchaus aufzeigen, dass folgende Schätzung von Dr. Mosca (University of Waterloo) zutreffend sein kann: 1:7-Chance RSA-2048 bis 2026 zu brechen, 50/50-Chance, dass dies bis 2031 geschieht.

https://www.bsi.bund.de/DE/Publikationen/Studien/Quantencomputer/quantencomputer_node.html

Die amerikanische Standardisierungsbehörde NIST untersucht derweil Einreichungen für "Quantencomputer-sichere" Algorithmen, um in fünf bis sieben Jahren einen neuen Standard herauszubringen.

https://csrc.nist.gov/Projects/Post-Quantum-Cryptography/

--------------------------------------------------------------

aLTEr faLTEr! Neue Angriffe auf 4G-Mobilnetze
Mobilnetze der letzten Generationen (2G=GSM, 3G=UMTS) haben bekanntermaßen Schwachstellen, wie immer wieder demonstriert werden konnte. Etwa mangelnde Authentifizierung und Downgrade-Attacken, also das Erzwingen schwächerer Sicherheitsparameter durch den Angreifer. Auch in LTE (4G) wurden immer wieder Schwächen entdeckt, bisher allerdings meist in Form von Implementierungsfehlern, welche grundsätzlich behoben werden können. Nun haben Forscher der Ruhr-Uni Bochum drei neue Angriffsvektoren auf LTE entwickelt, welche zwar noch sehr teuer in der Umsetzung sind, wahrscheinlich aber weiterentwickelt werden können. Mit der aufwändigen aLTEr-Attacke etwa könnten Angreifer mit sehr teurer Hardware in physischer Nähe zum Opfer DNS-Anfragen fälschen und damit Verkehr umleiten und manipulieren.

https://alter-attack.net/

--------------------------------------------------------------

Die minende Mehrheit: 51%-Attacken in der Praxis
Die Sicherheit vieler Blockchains beruht darauf, dass es zu teuer wäre, mehr als 50 % der Rechenkraft, die deren Integrität immer wieder neu berechnet, für einen wie auch immer großen Betrug hinter sich zu vereinen. Nun haben erstmalig Forscher für über 50 Kryptowährungen berechnet, wie teuer eine einstündige „51%-Attacke“ jeweils wäre – mit erstaunlichem Ergebnis: Während man bei Bitcoin oder Ethereum eine halbe bzw. eine Drittelmillion US-Dollar investieren müsste, um eine Stunde lang Fake-Transaktionen legitimieren zu können, genügen bei Exoten wie „Einsteinium“ – immerhin fast 30 Millionen US-Dollar Marktkapitalisierung – ganze 25 Dollar, um eine Stunde lang Geldströme beliebig hin- und herzuleiten. Derartige Rechenkapazitäten lassen sich sehr einfach anmieten. Einen möglichen Schutz bietet der Übergang von Proof-of-Work-(PoW-) zu Proof-of-Stake-(PoS-)Verfahren, bei denen nicht mehr die reine Rechenpower zählt, sondern eine Teilhabe an der jeweiligen Ökonomie.

https://www.crypto51.app/

--------------------------------------------------------------

Backlash gegen Hackback – Digitaler Vergeltungsschlag verfassungswidrig
Ein Cyberangriff auf fremde Computersysteme außerhalb des deutschen Territoriums durch Bundeswehr oder Geheimdienste verstößt nach Einschätzung eines Gutachtens des wissenschaftlichen Dienstes des Bundestages gegen geltendes Recht. Ein solcher "Hackback" genannter Vergeltungsschlag, der nicht nur der Verteidigung dient, sondern auch die einem Angreifer zugeordneten Computersysteme sabotieren soll, sei verfassungs- und völkerrechtswidrig. Die Bundesregierung wiederum ist bisher der Ansicht, dass noch nicht mal eine spezielle Rechtsgrundlage geschaffen werden müsste.

https://netzpolitik.org/2018/wissenschaftlichen-dienste-des-bundestages-hackbacks-im-ausland-sind-verfassungswidrig/

--------------------------------------------------------------
Trojaner im Elektronenhirn – Manipulation von KI-Chips
Je tiefer im System eine Manipulation stattfindet, desto schwerer kann sie entdeckt werden. Der untenstehende Artikel beschreibt, wie bereits ins Chip-Design leichte Veränderungen eingebaut werden können, die dazu führen, dass neuronale Netze am Ende falsche Entscheidungen treffen. Eine Manipulation von 0,03 % der Neuronen genügt beispielsweise, um einen Regenschirm als Kriegsschiff zu erkennen oder umgekehrt. Das Grundproblem dahinter ist, dass die Gründe für die Entscheidungen von neuronalen Netzen praktisch nicht nachvollziehbar sind.

https://www.theregister.co.uk/2018/06/19/hardware_trojans_ai/

Eigentlich geht es sogar noch tiefer: Die aktuellen in der KI gehypten neuronalen Netze bilden nur Korrelationen ab, nicht aber Kausalitäten, anders als etwa Expertensysteme. Das muss statistisch-systematisch immer wieder schief gehen:
http://www.tylervigen.com/spurious-correlations

-------------------------------------------------
Zero Zerodays – Schwachstellen versehentlich verraten
Sicherheitslücken können sehr wertvoll sein – vor allem, wenn niemand sonst sie kennt. Die Firma Zerodium etwa zahlt für solche Zerodays wie "Sandbox-Ausbrechen und Code-Ausführen" in Adobe PDF bis zu 80.000 US-Dollar. Für einen Windows-Bug (Privilege Escalation) sind es bis zu 30.000 Dollar. Der Wert für Angreifer kann natürlich je nach Ziel noch wesentlich höher sein.
Schon Mitte Mai hat jemand diese Werte bzw. Chance verschenkt, indem er versehentlich oder leichtfertig ein PDF mit gleich zwei Zerodays bei dem Scandienst Virustotal hochlud. Virustotal scannt die Dateien automatisiert mit sehr vielen Virenscannern. Wenn jedoch etwas besonders Spannendes enthalten ist, schauen die Hersteller gerne auch genauer hin. In dem Fall erkannte die slowakische Firma ESET den Schatz. Inzwischen sind Patches vorhanden und die Zerodays nun ganz normale Schwachstellen.

https://www.golem.de/news/zero-day-luecken-angreifer-verraten-sich-durch-virustotal-upload-1807-135294.html

-------------------------------------------------

Enkeltrick 4.0 – APT post als Sicherheitsfirma
Eine der ältesten iranischen APT-Gruppen hat angeblich versucht, sich als diejenige israelische Sicherheitsfirma auszugeben, von der sie zuvor enttarnt wurde. Die Gruppe Charming Kitten hatte bereits eine Phishing-Website mit Material von der Originalwebsite von ClearSky Security angelegt. Es kam aber scheinbar nicht zur Fertigstellung, bevor ClearSky die Kopie entdeckte.

https://www.bleepingcomputer.com/news/security/iranian-apt-poses-as-israeli-cyber-security-firm-that-exposed-its-operations/

LESETIPPS

Web-Security-Wissen kompakt
Manchmal ersetzt ein Tweet einen ganzen Artikel. Zum Beispiel dieser hier von Jake Archibald:
"HTTPS = "Is the response untampered & from the expected sender?"
CORS = "Can I access the content of this resource?"
CSP = "Only allow requests that look like this…"
SRI = "Only allow content that looks like this…"
CORB = "Don't allow my data into another origin's process""

https://twitter.com/jaffathecake/status/1006445088820506626/

Erbschuld
Der Sicherheitsforscher Hanno Böck holt wie versprochen weit aus, um die umstrittene Frage zu beantworten, wer an dem Efail-Debakel im letzten Monat schuld war, also der Entschlüsselung von E-Mails durch Angreifer via HTML-E-Mails. Sein Schluss: veraltete Security-Standards, die in manchen Produkten und Ökosystemen wie z. B. S/MIME und PGP noch eingesetzt werden.

https://blog.hboeck.de/archives/893-efail-Outdated-Crypto-Standards-are-to-blame.html

Security als Disabler
Wendy Nather beschreibt im Blog "Decipher" ihres Arbeitgebers Duo Security eindrücklich die "Usability-Krise" der Security. Augenöffnend ist ihre Liste von 11(!) Schritten, die man heutzutage braucht, um sicher für eine Essenslieferung zu bezahlen.

https://duo.com/decipher/why-we-cant-have-nice-things-only-secure-ones/

---------------------------------------------------------------
Der nächste HiS-Cybersecurity Digest erscheint Mitte August 2018.

Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate:
Übersicht aller bisher erschienenen HiS-Cybersecurity Digests.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: