HiS-Cybersecurity Digest März 2018 veröffentlicht

HiS-Cybersecurity Digest März 2018

Die Top Themen des letzten Monats: Cryptojacking auf dem Vormarsch, US CLOUD Act, Handynetze auch mit LTE unsicher, Pures HTTP angezählt, Spectre knackt auch Intels, Sicherheitsenklaven, Bugs in Smart Contracts.

Top Thema

Bären? Schlangen? Falsche Flaggen? Hackerangriff auf das Auswärtige Amt
Zum Hack des Auswärtigen Amtes (AA) über die Hochschule des Bundes für öffentliche Verwaltung kursieren momentan immer noch mehr Fragen als Antworten. Bekannt ist, dass ein gutes Dutzend Rechner infiziert und wohl nur einige mittelmäßig brisante Dokumente zu den Themen Brexit und Russland abgezogen wurden. Nach anfänglichen Spekulationen zu den berüchtigten, vermutlich russischen Auslandsgeheimdiensten nahestehenden Gruppen FancyBear (APT28) und CozyBear (APT29) machten bald Hinweise auf eine angebliche Beteiligung der seit Jahren wesentlich ausgefeilter agierenden Turla-Gruppe (aka Uroburos – griechisch „Schwanzverzehrer“) die Runde. Diese war in der Vergangenheit durch spektakuläre Techniken wie das Kapern von Satellitenverbindungen oder das Verstecken von Command&Control-Kommunikation in Britney Spears' Instagram-Account aufgefallen. Symantec ordnet sie der russischen Einflusssphäre zu. Attribution – zumal schnelle – auf einen Urheber sollte jedoch immer mit Vorsicht begegnet werden.
https://arstechnica.com/information-technology/2017/06/russian-hackers-turn-to-britney-spears-for-help-concealing-espionage-malware/ 


Neuigkeiten im Februar: 

Hackerangriff auf das Auswärtige Amt – Methodik
Im Fall der Attacke auf das Auswärtige Amt nutzten die Angreifer sehr elegant normale Outlook-E-Mails zur unauffälligen Kommunikation und Exfiltration. Die Infektion erfolgte wahrscheinlich bereits vor langer Zeit über eine Schwachstelle in der Lernsoftware Ilias bei der Bundesakademie der öffentlichen Verwaltung (BAkÖV), durch die infizierte Lernmaterialen für die Mitarbeiter des AA platziert werden konnten. Entgegen des ursprünglichen Verdachts, dass das „sichere Regierungsnetzwerk“ Informationsverbund Berlin Bonn (IVBB) an sich kompromittiert gewesen sei, wurde es nach neusten Quellen aus Sicherheitskreisen lediglich als Kommunikationsweg von der BAkÖV zum AA verwendet. In der Regel werden Systeme wie E-Learning-Plattformen in Risikoanalysen eher als weniger kritisch bewertet. Dies kann sich rächen, wenn sie, wie im vorliegenden Fall, als Einfallstore missbraucht werden können.
https://www.heise.de/security/meldung/Bundeshack-Daten-sollen-ueber-Outlook-ausgeleitet-worden-sein-3987759.html 

--------------------------------------------------------------
Alle schürfen mit – Cryptojacking auf dem Vormarsch
Der unvergleichliche Aufstieg der Kryptowährungen hat neue Geschäftsmodelle ermöglicht – darunter auch eine Reihe zwielichtige. War das Interesse von Schadsoftware klassischerweise Datendiebstal (z. B. Keylogger), so kamen in den letzten Jahren Erpressung (Kryptotrojaner) und Ressourcenmissbrauch (z. B. Spam) hinzu. Zu Letzterem hat sich nun eine neue Variante etabliert: Immer mehr Webseiten nutzen JavaScript, um die Rechenpower und Energie der besuchenden Rechner oder Smartphones für das Schürfen (Mining) von Kryptomünzen zu missbrauchen. Die so berechneten Kryptomünzen kommen selbstverständlich nicht dem Besucher, sondern dem Malware-Autor zugute. Häufig ist das JavaScript dabei über bösartige Werbeanzeigen eingeschleust. CheckPoint zählt für den Januar eine Betroffenheitsrate von fast 25% aller Organisationen, die bereits mit Miningsoftware wie Coinhive in Berührung kamen. Im Einzelfall mag zwar nur die hohe Rechenlast im Browser-Tab störend auffallen, das Ganze sollte jedoch für Seitenbetreiber wie -nutzer ein Weckruf sein, fremdem Code nicht blind zu vertrauen und im Zweifel dessen Ausführung zu verbieten.
https://www.infosecurity-magazine.com/news/coinhive-cryptominer-now-affecting/ 

Neben Webseiten werden auch immer mehr Anwendungen befallen:
https://www.theregister.co.uk/2018/02/20/unpatched_jenkins_servers_mining_monero/ 

Und auch vor KRITIS macht Cryptojacking keinen Halt. Schürfparasiten wurden bereits im SCADA-System eines europäischen Wasserwerks gefunden. In diesem Bereich drohen natürlich noch ganz andere Gefahren als erhöhter Stromverbrauch oder Produktivitätsverlust.
https://www.wired.com/story/cryptojacking-critical-infrastructure/ 

--------------------------------------------------------------

HISOLUTIONS
Konzernweite Steuerung des Cyberrisikos bei innogy mit Cyber-Risk-Assessment by HiSolutions
Mit dem von HiSolutions entwickelten Cyber Security Risk Assessment wurde bei innogy ein realistischer, zentraler Blick auf das Cyber-Risiko im ganzen Konzern inklusive aller Töchter geschaffen. Dadurch konnten die Aufhängung der Security im Konzern optimiert sowie Mittel und Personal für IT-Sicherheit bedarfsgerecht budgetiert werden. Die ganze Erfolgsgeschichte erschien auch im <kes> Special Referenzprojekte Februar 2018.
https://www.hisolutions.com/detail/innogy-und-hisolutions-praesentieren-success-story

--------------------------------------------------------------
Wolkenkuckucksnest? US CLOUD Act
Anfang Februar wurde in den USA ein neuer Gesetzentwurf eingebracht. Der "CLOUD Act" ("Clarifying Lawful Overseas Use of Data") ist ein komplexes Änderungspaket bestehender Gesetze. Seine Ratifizierung würde US-Behörden den Zugriff auf Daten in Europa ermöglichen – und das sogar ohne Richterbeschluss. Gleichzeitig ist geplant, anderen Staaten über bilaterale Abkommen ohne internationalen Rechtsweg den Zugriff auf Daten in den USA einzuräumen. Die Auswirkungen auf Datenschutz und Vertraulichkeit wären beträchtlich, der Sinn von Treuhändermodellen wie bei der Microsoft Cloud Deutschland gänzlich in Frage gestellt.
https://netzpolitik.org/2018/ohne-richterliche-anordnung-neue-gesetze-sollen-zugriff-auf-cloud-daten-im-ausland-erleichtern/ 

--------------------------------------------------------------
Generation X – Handynetze auch mit LTE unsicher
Mit jeder neuen Mobilfunknetzgeneration erneuert sich die Hoffnung, dass Gespräche und Datenübertragungen über LTE ("4G") und demnächst 5G endlich sicher sein werden. Die Sicherheitsforscherin Silke Holtmanns zeigt seit Jahren immer wieder, dass dies unwahrscheinlich ist, solange die Betreiber immer noch auf alte Strukturen wie SS7 oder dessen Nachfolger IPX setzen.
https://motherboard.vice.com/de/article/9kz537/hacker-konnen-auch-neueste-lte-netze-knacken-und-alle-daten-von-nutzern-abfangen/ 

--------------------------------------------------------------
Fast so teuer wie Datenschutzverstoß: Hohe KRITIS-Strafen in Großbritannien
Nicht nur bei Datenschutzverstößen drohen (über die neue EU-Datenschutzgrundverordnung (DSGVO)) ab dem 25. Mai hohe Strafen. In Großbritannien gelten ab dem 9. Mai in Umsetzung der EU-NIS-Direktive auch Bußgelder bis zu £17 Mio. (gut 19 Mio. Euro) als "letzter Ausweg", wenn KRITIS-Unternehmen es nicht schaffen, angemessene Maßnahmen gegen Cyberangriffe umzusetzen.
https://techcrunch.com/2018/01/29/uk-security-fine-nis-directive/ 

--------------------------------------------------------------
"Not Secure" – Pures HTTP angezählt
Ab Juli 2018 sollte Schluss sein mit Webseiten ohne HTTPS. Zumindest Nutzern des Browsers Chrome wird ab dann bei reinen HTTP-Seiten ein zwar noch unauffällig graues, aber sprachlich eindeutiges "Nicht sicher" angezeigt. Google hatte die Messlatte in den letzten zwei Jahren stetig höher gelegt. So warnt Chrome seit 2016 vor unverschlüsselten Passwortfeldern und seit 2017 vor unverschlüsselten Formularen. SSL-Labs passt derweil die Ratings für Webseitenverschlüsselung an und erteilt eine A-Wertung demnächst nur noch an Sites mit Forward Secrecy und Authenticated Encryption (AEAD).
security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html
https://blog.qualys.com/ssllabs/2018/02/02/forward-secrecy-authenticated-encryption-and-robot-grading-update/ 

--------------------------------------------------------------
Nicht sehr sichere sichere Chat-App – Telegram verbreitete Viren
Die Desktop-Version der beliebten, angeblich sicheren Chat-App Telegram hat beim Anzeigen von Unicode-Strings über Monate gepatzt und Cyberkriminellen so das Verbreiten von Schadsoftware ermöglicht. Durch Ausnutzung eines Steuerzeichens für das Umschalten des Sprachverlaufs von rechts nach links konnten Codedateien wie JavaScript als harmlose Bilder getarnt und damit zur Ausführung gebracht werden. Es ist nicht das erste Mal, dass Telegram Sicherheitsprobleme hat.
https://www.theregister.co.uk/2018/02/13/telegram_messaging_app_bug/ 

--------------------------------------------------------------
Ghost Busted – Spectre knackt auch Intels Sicherheitsenklaven
Wie bereits berichtet kann der nur schwer verhinderbare Spectre-Angriff über den Cache Daten aus anderen Prozessen stehlen, beispielsweise aus anderen VMs. Intels SGX-Technik soll durch Hardware-basierte Kapselung von Code gerade derartige Angriffe eigentlich unmöglich machen. Forscher der Ohio State University konnten nun jedoch zeigen, dass sich Spectre auf das Auslesen von SGX-Enklaven erweitern lässt. Der Glaube an die sichere Hardware erhält damit einen weiteren schweren Schlag.
https://www.techrepublic.com/article/spectre-like-attack-exposes-entire-contents-of-intels-sgx-secure-enclave/ 

--------------------------------------------------------------
Begrenzt smart – Bugs in Smart Contracts
In sogenannten Smart Contracts können auf Basis von Kryptowährungen wie Ethereum vertragliche Beziehungen und Geldflüsse bzw. Eigentumsverhältnisse geregelt werden. Wie in der Vergangenheit bereits geschehen, kann ein Fehler in einem solchen Vertrag jedoch zum schnellen Verlust hunderter von Millionen Euro führen. Sicherheitsaudits für Smart Contracts sind, auch mangels Experten für das Thema, allerdings noch selten. Sicherheitsforscher haben kürzlich fast eine Million Smart Contracts einem automatisierten Scan unterzogen und in mindestens 34.000 von ihnen Schwächen gefunden. Für Software an sich ist das nichts Außergewöhnliches. Es geht hier allerdings um sehr hohe Werte, die im Zweifel in Sekunden unwiderruflich verschwinden können.
https://www.heise.de/tr/artikel/Schlaue-Vertraege-voller-Luecken-3986434.html 

--------------------------------------------------------------
Reverse CAPTCHAs – Menschen müssen draußen bleiben
CAPTCHAs – vollautomatische öffentliche Turing-Tests, welche Computer und Menschen unterscheiden helfen – sind allseits bekannt. Aufgrund der Fortschritte im Maschinellen Lernen müssen sie ständig weiterentwickelt werden, um Bots weiterhin auszuschließen. Ein Künstler hat nun den Spieß herumgedreht und Tests entwickelt, die nur von Algorithmen, nicht aber von Menschen gelöst werden können. Technisch ist das nichts Besonderes. Es ist jedoch ein durchaus interessanter und unterhaltsamer Beitrag zum Thema künstliche Intelligenz und wann sie die Weltherrschaft übernimmt.
https://motherboard.vice.com/en_us/article/gy8g8b/humans-not-invited-is-a-captcha-test-for-robots/ 


LESETIPPS

Was Sie schon immer über Security wissen wollten, aber sich nie zu fragen trauten
Trägt nicht jeder von uns eine Liste von Themen mit sich herum, für die er sich irgendwann einmal die Zeit nehmen möchte, um diese „richtig“ zu verstehen? Die Chicagoer Forensikexpertin Lesley Carhart (@hacks4pankakes) hat genau darüber eine Umfrage gestartet: Welches sind die komplizierten Dinge, die ihr unbedingt einmal durchdringen wollt? Die entstandene Liste, welche unter anderem ASLR, DNSSEC, Blockchain, PKI und das Reverse-Engineering-Tool Frida enthält, hat sie von ausgemachten Experten in Interviewform mundgerecht sezieren lassen und in ihrem Blog veröffentlicht. Sehr lesenswert für all diejenigen, die eines der Themen noch auf ihrer „ewigen Liste“ stehen haben!
https://tisiphone.net/2018/03/07/the-infosec-amnesty-qa/ 

--------------------------------------------------------------
Data Science als Waffe? Whistleblower Wylie packt über Cambridge Analytica aus
Nach einem Jahr intensiver Recherche berichten die britischen Medien The Guardian und Observer über die Macht und Machenschaften der Firma Cambridge Analytica, die angeblich großen Einfluss auf den Erfolg der Kampagnen von Donald Trump und der Brexit-Befürworter hatte. Der ehemalige Mitarbeiter Christopher Wylie verrät, wie er als Data-Science-Jungstar entscheidend dazu beitrug, Facebooks Daten zu missbrauchen, um eine der größten Meinungsmanipulationen der Geschichte zu versuchen.
www.theguardian.com/news/2018/mar/17/data-war-whistleblower-christopher-wylie-faceook-nix-bannon-trump/
Oder auf Deutsch: http://www.sueddeutsche.de/digital/cambridge-analytica-wie-eine-firma-die-daten-von-millionen-facebook-nutzern-missbrauchte-1.3910421 

--------------------------------------------------------------
Smart Big Brother Home
Eine investigative Journalistin und ein Datenreporter schreiben über ein Smart Home. Sie wohnt darin, er versucht sie auszuhorchen. Beide Perspektiven zusammen ergeben wertvolle Einblicke in Technologien, die unser aller Privatleben immer nachhaltiger beeinflussen.
https://gizmodo.com/the-house-that-spied-on-me-1822429852/ 


Der nächste HiS-Cybersecurity Digest erscheint Mitte April 2018.

Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate:
Übersicht aller bisher erschienenen HiS-Cybersecurity Digests.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: