HiS-Cybersecurity Digest März 2019 veröffentlicht

Top Thema

Der nigerianische Prinz ist tot. Dein Bruce Schneier.
Lange vorbei sind die Zeiten, als SPAM im Wesentlichen aus Links zu Viagrawerbung und Datingsites bestand. Die aktuellen Kampagnen greifen tief in die psychologische Trickkiste, um unsere basalen Ängste auszunutzen und so Geld zu erpressen. Vorbei scheinen auch die Hochzeiten der nigerianischen Prinzen und auf anderen Kontinenten verstorbenen reichen entfernten Verwandten, die uns im Verscheiden noch schnell ihr nichtexistentes Vermögen aufdrängen wollten, um dabei in Wirklichkeit hohe Gebühren für ein komplexes und hochprofessionalisiertes Netz von Hintermännern abzusaugen. Der neue Stil ist weniger kooperativ: Angeblich wurden wir beim Pornoschauen gefilmt. Alle unsere Kontakte sollen das kompromittierende Material erhalten, wenn wir nicht zahlen. Neu ist dabei nicht der Versuch der Erpressung. Auch die (Androhung der) Nutzung (angeblichen oder tatsächlichen) „schmutzigen“ Materials ist eine uralte Geheimdiensttechnik. Neu ist allerdings die technische Expertise, mit der die Drohungen formuliert werden. Zwar ist die Sprache noch holprig, und nicht jede verwendete IT-Abkürzung macht wirklich Sinn, doch dürfte eine Hintereinanderreihung von Begriffen wie Malware, RDP, Keylogger, Remote-Server, Bitcoin, QR-Code den gefühlten Realitätsgrad für viele potenzielle Opfer deutlich erhöhen.

Die nächsten Stufen sind bereits erahnbar: Die automatische Übersetzung wird in den nächsten fünf Jahren perfektioniert und mögliche Missverständnisse und Stolpersteine des Verdachts aus dem Weg räumen. Und das Drohpotenzial lässt sich in Zukunft durch automatische Erzeugung passender Fake-Videos noch deutlich erhöhen.

Wie gut, dass wir IT-Profis hier dank Kenntnis und Misstrauen immun sind? Darauf sollten auch wir uns nicht zu sehr ausruhen. Ein Kollege erhielt vor einigen Tagen eine E-Mail von Bruce Schneier. Gut, etwas unglaubwürdig, da sie von einer mail.ru-E-Mail-Adresse stammte. Aber wer weiß, vielleicht ist der Hauptaccount des Security-Gurus in SPAM untergegangen …? In dem Maße, wie die Spammer anfangen, maschinelles Lernen, welches über naives A/B-Testing hinausgeht, auf ihre Kampagnen anzuwenden, sollten wir uns wärmer anziehen – IT-Profi oder nicht.

Neuigkeiten

NotMySpace – das löchrige Langzeitgedächtnis der Cloud
Beim Thema Cloud und Verfügbarkeit wird häufig auf kurz- bis mittelfristige Auswirkungen geschaut. Noch zu wenig untersucht ist der Mechanismus des „Langzeitgedächtnisses“. Innerhalb des letzten Jahres wurde klar, dass die meisten vor 2015 in MySpace hochgeladenen Songs unwiederbringlich verloren sein dürften. Die Daten waren bei einer Migration korrumpiert worden, was MySpace nur häppchenweise zugab. In diesem Fall sind teilweise unschätzbare Fundgruben an persönlichen Erinnerungen verloren gegangen, wie Diskussionen unter Nutzern zeigen. Jedoch stellt sich auch bei bezahlten Enterprise-Clouddiensten die Frage, für wie viele Jahre eine Verfügbarkeit der Daten garantiert werden kann.
https://www.reddit.com/r/techsupport/comments/7uiv8b/myspace_player_wont_play_songs_and_i_want_to/

Einigkeit im US-Senat!? Geplantes IoT-Gesetz
US-Senatoren haben – ungewöhnlich in diesen Zeiten – parteiübergreifend ein Gesetzesvorhaben eingebracht, welches die Security von IoT regulieren soll. Das Gesetz würde das NIST ermächtigen, in Kooperation mit Security-Forschern und der Industrie harte Minimalanforderungen für sichere Entwicklung, Identitätsmanagement, Patching und Konfiguration von IoT-Devices vorzugeben. Zunächst würden diese nur beim Beschaffungsprozess der US-Bundesregierung gelten. Zulieferer in diesem Bereich müssten sich allerdings zusätzlich auf einen „coordinated vulnerability disclosure“-Prozess einlassen.
https://healthitsecurity.com/news/congress-unveils-bipartisan-bill-for-iot-cybersecurity-standards

Google-in-the-Middle: Abhören zum Beinemachen
Google hat im Browser Chrome für Android die Funktion Chrome Lite Pages bereitgestellt: Sehr langsam ladende Seiten mit TLS-Verschlüsselung (https:) werden zukünftig von Google entschlüsselt, komprimiert und dann aus dem Cache an den Nutzer ausgeliefert. Die Beschleunigung erkauft man sich mit dem Verlust der Vertraulichkeit der Daten, auch wenn Google an dieser Stelle ausnahmsweise einmal verspricht, nur wenige Daten auszuwerten.

Der Vorgang zeigt ein grundsätzliches Problem auf, wenn ein Anbieter sowohl Betriebssystem (Android) und Browser (Chrome) als auch Teile der Inhalte (hier die komprimierten bzw. gecachten Daten) kontrolliert: Nutzer haben keinerlei Kontrolle darüber, wie die Funktion zukünftig genutzt und ausgebaut wird.
https://www.heise.de/newsticker/meldung/Chrome-laedt-langsame-HTTPS-Seiten-aus-dem-Google-Cache-4335192.html

Kein Lösegeld ist (manchmal) auch keine (wirtschaftliche) Lösung
Entgegen den Empfehlungen von Ermittlungsbehörden wie Interpol, FBI und BKA hat die Verwaltung von Jackson County, Georgia 400.000 US-Dollar Lösegeld gezahlt, um die massiven Folgen einer Ransomwareattacke (Erpressungstrojaner Ryuk) zeitnah zu lösen. Nach eigener Aussage wäre die Technik andernfalls möglicherweise für Monate offline gewesen, und die Wiederaufbaukosten hätten das Lösegeld überstiegen. Laut Berichten aus den USA wurde eine „externe Organisation“ beauftragt, die Erpresser zu kontaktieren und die Lösegeldzahlung zu arrangieren.

Das Beispiel – soweit in einer Jurisdiktion überhaupt rechtlich zulässig – darf natürlich nicht Schule machen, um das kriminelle Geschäftsmodell nicht weiter zu befeuern. Stattdessen ist ein umfassendes Notfallmanagement gefordert, um den Schaden eines derartigen Angriffs von vornherein zu begrenzen.
https://www.bankinfosecurity.com/georgia-county-pays-400000-to-ransomware-attackers-a-12159 

Krypto ist schwer 1: Trau, schau, wem! PDF-Signaturen unsicher
Digitale Signaturen sind ein schweres Thema. In den letzten Jahren haben immer wieder Schwachstellen in und Angriffe auf Signaturverfahren gezeigt, dass wir zwar die Algorithmen, nicht aber die Komplexität der Protokolle und Implementierungen beherrschen. Beim Thema PDF kommt hinzu, dass das Dokumentenformat selbst mächtig und damit ebenfalls komplex ist. Folgerichtig haben Sicherheitsforscher gleich eine Reihe von Angriffen gefunden, die die Gültigkeit von digitalen Signaturen in PDF-Dokumenten infrage stellen.
Ein Grund dafür scheint zu sein, dass die Spezifikation in der Beschreibung vage ist, wie Signaturen erstellt und vor allem wie sie geprüft werden. Dazu kommt, dass typische PDF-Anzeigeprogramme bei der Prüfung der Signaturen zu lax vorgehen.
Die Möglichkeit gefälschter Signaturen muss also bei der zunehmenden Digitalisierung von Dokumenten als realistisches Risiko nach heutigem Stand mit einbezogen werden.
https://www.pdf-insecurity.org/signature/signature.html

Krypto ist schwer 2: Bitte noch ein Bit!
Nach der freiwilligen Selbstkontrolle der CA-Betreiber, den CA-Browserforum Base Guidelines, müssen Zertifikate, die definierte Qualitätskriterien nicht erfüllen, innerhalb von fünf Tagen zurückgezogen werden. Ob eine solche Regelung Biss hat, zeigt sich erst, wenn sie im großen Maßstab greift. Besonders schmerzhaft ist dabei, wenn wie hier das Qualitätskriterium nur um ein einziges Bit gerissen wurde:
Die weitverbreitete Open-Source-PKI-Software EJBCA baute nämlich nicht die verlangten 64 Bit an Zufall in die ID von Zertifikaten ein, sondern nur 63 Bit. Google und Apple hatten noch Glück und konnten die nur für interne Dienste vergebenen Zertifikate fast in der vorgegebenen Zeit austauschen. Ein größeres Problem haben Provider wie GoDaddy, die Zertifikate an Kunden vergaben: Der Austausch von fast 2 Millionen Zertifikaten wird deutlich länger dauern.

Die Kontrollmechanismen haben also an dieser Stelle zumindest im Nachhinein funktioniert. Bei der Planung der Notfallmaßnahmen bleibt allerdings noch viel zu tun.
https://adamcaudill.com/2019/03/09/tls-64bit-ish-serial-numbers-mass-revocation/

Zusätzlich gibt es Gerüchte, dass die strenge Sperre damit zu tun haben könnte, dass die CA der Firma DarkMatter aus den Vereinigten Arabischen Emiraten für Spionage verwendet worden sei und so – unter erheblichen Kollateralschäden – ausgeschaltet werden sollte. 
Zum spannenden und verworrenen Hintergrund: https://www.heise.de/security/meldung/Von-Spezifikationen-und-Geheimdiensten-Hinter-den-Kulissen-eines-Zertifikats-Skandals-4337433.html

Auf Triton Schritt: Safety-Malware Triton
MIT Technology Review hat einen umfangreichen Bericht über Triton veröffentlicht. Die Malware für Industriesteuerungsanlagen hatte 2017 erstmals in Saudi-Arabien zugeschlagen. Analyse und Bewertung der Bedrohung dauern bis heute an. Der Titel „tödlichster Schadcode der Welt“ ist etwas reißerisch, vom Prinzip her aber gerechtfertigt, ist Triton doch in der Lage, Safety-Systeme (z. B. Notabschaltungen) abzuschalten.
https://www.technologyreview.com/s/613054/cybersecurity-critical-infrastructure-triton-malware/

Hacker for President
(Ex-)Hacker übernehmen immer mehr Verantwortung an Schlüsselstellen der Gesellschaft. Nun wurde enthüllt, dass der designierte Bewerber um die demokratische Präsidentschaftskandidatur Beto O’Rourke aus Texas früher Mitglied der legendären und ältesten US-Hackergruppe Cult of the Dead Cow (cDc) war. Ob ihn das für das Präsidentenamt qualifiziert oder seine Chancen erhöht bzw. verringert, ist umstritten. Momentan tauchen jedenfalls täglich neue Fotos und Videos auf, die ihn etwa bei der Vorstellung der Malware „Back Orifice“ 1998 zeigen – inklusive Zerschmettern von Monitoren (durch Mitstreiter) –, welche angeblich Microsoft zum Umdenken in Richtung Security brachte. Zumindest dürfte seine Kandidatur der Hackerkultur einen weltweiten Aufmerksamkeitsschub ohne gleichen bescheren – und dem höchsten Staatsamt in den USA idealerweise ein signifikant gesteigertes Bewusstsein für das Thema Security.
https://www.theverge.com/2019/3/15/18267413/beto-orourke-hacker-cult-dead-cow-cdc-president-run

Oder um es mit „Pychedelic Warlords“ eigenem „Song of the Cow“ zu sagen: „Thirst for the undrinkable. // Love the Oxen dung!“ http://textfiles.com/groups/CDC/cDc-0050.txt

-------------------------------------------------------------- 

LESETIPPS

IPv4 ist tot – es lebe IPv4-Security!
Zwar ist das oft totgesagte Protokoll IP (=IPv4) noch lange nicht totzukriegen, trotzdem sehen viele das immerhin auch schon mehr als 20 Jahre alte IPv6 als die Zukunft, welches mit mehr Security im Sinn designt wurde. Stimmen aus der Internet Society plädieren nun dafür, die Welten nicht länger gegeneinander auszuspielen, sondern das über Jahrzehnte gewonnene kollektive Wissen über IPv4-Security auch für IPv6 nutzbar zu machen. Die Publikation „IPv6 Security for IPv4 Engineers“ soll als Roadmap dienen, die erfahrenen IPv4-(Security-)Experten den Weg zu IPv6 aufzeigt und dabei deren Erfahrung mit- und ernst nimmt. Einen besonderen Fokus bekommt dabei die sichere Koexistenz von IPv4 und IPv6.
https://www.internetsociety.org/resources/deploy360/ipv6/security/ipv4-engineers 

IDA bekommt Konkurrenz
Die NSA hat ihr internes Reverse-Engineering-Tool Ghidra (sprich: „dschidra“) als Open Source veröffentlicht. Anfängliche Tests der Community bescheinigen der neuen Konkurrenz des nicht gerade günstigen Marktführers IDA nützliche Ansätze und viel Potenzial. Zwar gibt es Stimmen, die Backdoors im Analysetool befürchten, diese wären jedoch für die NSA in einem derartigen quelloffenen Tool nur mit wesentlich mehr Risiko versteckbar als in anderer Software, die zudem weiter verbreitet ist.
https://github.com/NationalSecurityAgency/ghidra

--------------------------------------------------------------- 

Der nächste HiS-Cybersecurity Digest erscheint Mitte April 2019  – jetzt abonnieren!

Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate:
Übersicht aller bisher erschienenen HiS-Cybersecurity Digests.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: