HiS-Cybersecurity Digest Juni 2018 veröffentlicht

HiS-Cybersecurity Digest Juni 2018

Die Top Themen des letzten Monats: Das Ringen um die Bedeutung von Schwachstellen, Efail, EnBW-Tochter gehackt, Herzschrittmacher benötigen Update, Update des BDEW Whitepapers, Neue Sicherheitsfeatures bei Apple, Zugangsdaten zu DNA-Test-Plattform geleakt, Drohnen helfen Gangstern.

Top Thema

Hype oder Vorurteil? Das Ringen um die Bedeutung von Schwachstellen

Die Diskussion begann bereits Mitte Mai, als Forscher der Ruhr-Uni Bochum auf Twitter unter dem plakativen Namen #Efail die Veröffentlichung einer kritischen Schwachstelle in den wichtigsten Verschlüsselungsverfahren für E-Mail ankündigten. Nachdem die Details bereits wenige Stunden nach der Ankündigung geleakt waren, brach eine heftige Debatte mit teilweise persönlichen Angriffen los. Es ist unstrittig, dass das ehrwürdige E-Mail-Protokoll seit Jahrzehnten nicht mehr den modernen Sicherheitsanforderungen entspricht. Umstritten hingegen ist, wie grundsätzlich die ebenfalls in die Jahre gekommenen Verschlüsselungsverfahren S/MIME und PGP durch den Angriff gebrochen werden bzw. schon längst waren. Außerdem wurde heftig darüber debattiert, wie hilfreich Warnungen ohne konkrete Details sind bzw. ob die zu erwartenden Gruselstories der Massenmedien nicht einen stärkeren negativen Einfluss auf die Gesamtsecurity haben als die Schwachstellen selbst.
In einer Welt, in der die Frequenz der Veröffentlichung von Schwachstellen und die mediale Aufmerksamkeit für das Thema zunehmen, muss tatsächlich abgewogen werden, welches Problem wie viel Aufmerksamkeit verdient. Zu wenig, und es wird sich nichts ändern – zu viel, und der Schockeffekt nutzt sich ab. Dies kann nicht allein der Umsicht (und in manch anderen Fällen dem Ego) einzelner Sicherheitsforscher überlassen werden. Vielmehr braucht es allgemein akzeptierte Prozesse der Disclosure und der Belohnung (sowohl finanziell als auch mit Ruhm) von „ehrlichen Findern“, auch durch öffentliche Förderung. Ein Staat, der Schwachstellen horten möchte, wäre hierfür ein schlechtes Vorbild.


Neuigkeiten im Mai: 

Efail – Und ewig stirbt die E-Mail
#Efail umfasst zwei Angriffe: Einer betrifft bestimmte Clients (u. a. Apple Mail, iOS Mail, Thunderbird), die man mit einem Trick dazu bringen kann, den Klartext via PGP oder S/MIME verschlüsselter E-Mails an einen Angreifer auszuleiten. Dazu muss dies E-Mails abgefangen und quasi mit einer Falle aus HTML-Bild-Tags an den Empfänger weitergeleitet werden. Voraussetzung: Der Angreifer hat zuvor die Kommunikation abgehört. Dagegen hilft: Clients patchen (dies ist teilweise bereits erfolgt), automatisches Entschlüsseln abstellen (z. B. den Private Key aus dem E-Mail-Client löschen und eine andere Anwendung zur Ver- und Entschlüsselung nutzen) oder keine HTML-Mails darstellen. Keine HTML-Mails zu verschicken allein nutzt hier nichts, da der Angreifer sie einfach in HTML verpacken kann.
Der zweite Angriff ist schwerwiegender, da er die Spezifikationen von PGP und S/MIME betrifft. Mit einer Angriffsmail lassen sich so bis zu 500 E-Mails zwangsentschlüsseln. Grundproblem ist hier Kryptographie aus den 90er Jahren, die laut Signal-Entwickler Moxie Marlinspike schon lange hätte abgelöst werden sollen: https://moxie.org/blog/gpg-and-me/ 
https://efail.de/ 

-------------------------------------------------------------- 
Die Einschläge kommen näher – EnBW-Tochter gehackt
Medienberichten zufolge hat es einen Angriff auf Netcom BW gegeben, Tochterunternehmen des Energieversorgers EnBW. Das BSI analysiert den Vorfall in Zusammenarbeit mit dem betroffenen Unternehmen im Rahmen des Nationalen Cyber-Abwehrzentrums. Netcom BW ist ein Internet-Service-Provider, weshalb die Versorgungssicherheit der Stromnetze nicht bedroht war. Der Angriff verlief mutmaßlich über das Konto eines externen Dienstleisters.
http://www.sueddeutsche.de/digital/enbw-tochter-hacker-haben-deutschen-energieversorger-angegriffen-1.3980625 

--------------------------------------------------------------
Internet of Extremely Important Things – Herzschrittmacher benötigen Update
Eine Drittelmillion Defibrillatoren des Herstellers Abbott benötigen ein Update, welches verhindert, dass Unbefugte aus der Ferne kritische Einstellungen ändern können. Das Unternehmen war unter seinem früheren Namen St. Jude Medical im Zusammenhang mit Schwachstellen schon einige Male erwähnt worden. 2017 mussten ähnliche Updates bereits für Herzschrittmacher durchgeführt werden. Das Problem ist ein fest kodiertes Passwort. Nachdem St. Jude Medical zunächst die Sicherheitsforscher von MedSec und Muddy Waters verklagt hatte, schwenkte es auf Druck amerikanischer Aufsichtsbehörden auf einen Rückruf der Geräte um, damit diese gepatcht werden.
https://threatpost.com/abbott-addresses-life-threatening-flaw-in-a-half-million-pacemakers/131709/ 

--------------------------------------------------------------
Alles neu macht der Mai – Update BDEW Whitepaper
Der Bundesverband der Energie- und Wasserwirtschaft (BDEW) war einer der ersten Branchenverbände im Kritis-Bereich, der einen eigenen Standard für ICS-Security entwickelte. Das unter Experten und Anwendern geschätzte BDEW Whitepaper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ wurde zuerst 2007 veröffentlicht. Später erfolgte eine Erweiterung in Zusammenarbeit mit Oesterreichs Energie (OE), der Interessenvertretung der österreichischen Energie-Wirtschaft. Auch die ISO/IEC 27019 basiert in Teilen darauf. Nun ist die neue Version von BDEW und OE erschienen. Sie glänzt insbesondere mit konkreten Anwendungsfällen.
https://www.bdew.de/energie/whitepaper-ueber-sicherheitsanforderungen-fuer-it-und-steuerungstechnik-der-energiewirtschaft/ 

Ebenfalls frisch erschienen ist das BITKOM-Diskussionspapier „Ausfallsicherheit des Energieversorgungssystems – Von der Robustheit zur Resilienz“. 
https://www.bitkom.org/noindex/Publikationen/2018/Leitfaeden/180530-Ausfallsicherheit-des-Energieversorgungssystems/180530-Diskussionspapier-Resilienz-des-Energieversorgungssystems-online-final-2.pdf 

--------------------------------------------------------------
Alles neu macht der Mai 2 – Neue Sicherheitsfeatures bei Apple
Bei Apples jährlicher Geek-Hauptversammlung Worldwide Developers Conference (WWDC), welche Anfang Juni in San José, Kalifornien, stattfand, drehte sich in diesem Jahr fast alles um Software. Dabei wurden auch diverse neue Sicherheitsfeatures für macOS und iOS vorgestellt. iPhones und iPads sollen zukünftig besser gegen Brute-Force-Angriffe durch Sicherheitsbehörden und andere Kunden der Firma GrayKey geschützt werden, welche den Passcode per USB zu umgehen versuchen. Dazu wird der USB-Port der Devices defaultmäßig nach einer Stunde gesperrt anstatt, wie zuvor, erst nach einer Woche. Der Browser Safari soll das Tracking durch Webseiten und insbesondere Apples aktuellen Lieblingsgegner Facebook deutlich erschweren. Eine ganze Reihe von Funktionen zielen darauf ab, die Verwendung guter Passwörter zu vereinfachen – durch Nutzung von Cloud- und Synchronisierungsfunktionen, aber auch mit lokalen Features wie Warnungen vor Wiederverwendung.
https://twitter.com/ryanaraine/status/1003723256589778945/ 

--------------------------------------------------------------
DSGVO, war da was? Millionen Zugangsdaten zu DNA-Test-Plattform geleakt
Vor wenigen Tagen ist die DSGVO in Kraft getreten – und wurde prompt von Internet-Milliardär Peter Thiel auf der NOAH-Konferenz in Berlin als „ganz dummes Eigentor Europas“ mit der Berliner Mauer verglichen. Nun ist das erste bekannte Opfer eines größeren Datendiebstahls ausgerechnet ein Anbieter von DNA-Tests. Ein Sicherheitsforscher fand 92 Millionen Nutzernamen und Passwörter der Ahnenforschungs-Firma MyHeritage auf einem anderen Server. Vom Hack sollen alle Nutzer betroffen sein, die sich bis Oktober 2017 angemeldet hatten. Hinweise auf Missbrauch gibt es bisher keine, der Anbieter hat jedoch die Einführung einer 2-Faktor-Authentifizierung versprochen.
https://www.heise.de/security/meldung/DNA-Webseite-MyHeritage-Hacker-kopiert-Daten-von-92-Millionen-Nutzern-4069752.html 

--------------------------------------------------------------
Hollywood? Drohnen helfen Gangstern
Was beim Lesen wie Fiktion aus einem Hollywood-Blockbuster klingt, ist mittlerweile Realität: Drohnen behindern die Polizei gelegentlich bei Observationen und im Einsatz. Gleichzeitig werden Live- und Lagebilder den „Bad Guys“ via YouTube online zur Verfügung gestellt. Im beschriebenen Fall hatten die Verdächtigen Drohnen in Rucksäcken zu dem Ort transportiert, wo sie den FBI-Einsatz erwarteten. Die unbemannten Flugobjekte störten nicht nur das Einsatzkommando und beobachteten die Beamten, sondern streamten die Bilder kontinuierlich ins Netz. Drohnen werden mittlerweile auch schon eingesetzt, um physische Sicherheitslücken in größeren Gebäuden oder Geländen auszuspionieren.
https://www.defenseone.com/technology/2018/05/criminal-gang-used-drone-swarm-obstruct-fbi-raid/147956/ 


LESETIPPS

1. Lösegeld ist nicht alles
Die österreichische Computerwelt geht in dem Artikel „Was kostet eine Ransomware-Attacke? Vorsicht vor versteckten Ausgaben“ ausführlich der Frage nach, welche weiteren Kosten neben einer möglichen Lösegeldzahlung auf die Opfer zukommen und warum eine Zahlung daher kein Allheilmittel sein kann.
https://computerwelt.at/knowhow/was-kostet-eine-ransomware-attacke-vorsicht-vor-versteckten-ausgaben/ 

2. Alle sind auf GitHub
Im größten weltweiten Software-Repository GitHub, das gerade unter heißen Diskussionen von Microsoft übernommen wird, finden sich nicht nur viele der wichtigsten Open-Source-Projekte, sondern auch Teile des Codes von Institutionen aller Art. Auch die NSA betreibt ganz öffentlich mindestens zwei GitHub-Accounts. Der offizielle Account enthält 15 öffentliche Projekte mit Namen wie „lemongrenade“ (eine „data-driven automation platform“) oder „fractalrabbit“ (zur „Simulation realistischer Trajektorien-Daten, welche durch sporadisches Reporting gewonnen wurden“). Die beliebtesten Sprachen sind hier Python, Java , Ruby und C. Unter https://github.com/nsacyber/ ist der Code der sogenannten „defensiven Cybersecurity Mission“ zu finden; hier rangiert PowerShell noch vor Python, C und HTML.

3. Alle hören mit
Die Unsicherheit der globalen Mobilnetze ist seit längerem bekannt. Die Washington Post hat versucht, den aktuellen Stand der Security von GSM, UMTS, SS7 verständlich zusammenzufassen: www.washingtonpost.com/business/technology/how-spies-can-use-your-cellphone-to-find-you--and-eavesdrop-on-your-calls-and-texts-too/2018/05/30/246bb794-5ec2-11e8-a4a4-c070ef53f315_story.html
Ein weiterer Artikel greift Angriffe auf Mobilinfrastukturebene (IMSI-Catcher) auf: https://www.washingtonpost.com/news/the-switch/wp/2018/06/01/signs-of-sophisticated-cell-phone-spying-found-near-white-house-say-u-s-officials/ 


Der nächste HiS-Cybersecurity Digest erscheint Mitte Juli 2018.

Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate:
Übersicht aller bisher erschienenen HiS-Cybersecurity Digests.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: