HiS-Cybersecurity Digest Mai 2017 veröffentlicht

HiS-Cybersecurity Digest Mai 2017

Die Top Themen des letzten Monats: Diesmal im Fokus: Datenklau für Anfänger, DBIR 2017, Viren für den Mac: Mehr Wachstum als bei Apples Börsenkurs, Wie viel darf Windows 10 nach Hause telefonieren?, Mirai-Botnetz berechnet Bitcoins, Malware-Fingerabdrücke: Die Spuren der CIA, Sicherheit im Banking: BAIT und PSD2, DNS-Hijacking bei brasilianischer Bank, mTAN-Verfahren nicht mehr sicher, Phishing: Gefahr durch Punycode, Infowar auf Facebook.


Top Thema

Schwachstellen-Schwemme: Android hinkt der Sicherheit hinterher 
Im Android Security Bulletin veröffentlicht Google regelmäßig die gefundenen und gepatchten Schwachstellen im meistverbreiteten Mobilbetriebssystem der Welt. Im März und April 2017 fiel die Liste mit jeweils über 100 Einträgen besonders lang aus. Wegen der Möglichkeit, dabei das komplette System etwa über das WLAN zu übernehmen, waren die Schwachstellen auch als besonders kritisch zu betrachten. Google stellt zwar immer wieder kurzfristig Updates bereit, manche Hersteller spielen diese - wenn überhaupt - jedoch nur mit einer Verzögerung von mehreren Monaten in ihre Smartphones ein.
Weiterlesen: https://source.android.com/security/bulletin/2017-03-01 


Neuigkeiten im April:

Krisenkommunikation: (Reden über) Datenklau für Anfänger
Der Sicherheitsforscher Troy Hunt hat eine Anleitung veröffentlicht, welche ein mögliches Vorgehen für den Fall beschreibt, dass ein Unternehmen gehackt wurde. Das Einhalten seiner klaren Ratschläge kann im Fall des Diebstahls von Kundendaten helfen, den Schaden zu begrenzen. Der offene Umgang mit dem Zwischenfall ist dafür eine wichtige Voraussetzung. Wir empfehlen Ihnen darüber hinaus, einen entsprechenden Krisenplan zu erstellen.
https://www.troyhunt.com/data-breach-disclosure-101-how-to-succeed-after-youve-failed/ 

Troy Hunt betreibt im Übrigen auch diesen nützlichen Dienst, der Privatanwendern hilft herauszufinden, ob Sie von einem Datenleck betroffen sind: 
https://haveibeenpwned.com/ 

--------------------------------------------------------------
Alle Jahre wieder: DBIR 2017
Der amerikanische Telekommunikationsriese Verizon hat in diesem Jahr zum zehnten Mal seinen jährlichen „Data Breach Investigations Report“ veröffentlicht. Aus 2.000 Fallstudien werden hier relevante Trends und Muster für Datenlecks destilliert. Der Report deckt auf, dass drei Viertel aller Fälle auf das Konto externer Angreifer gehen, ein Viertel wird von Innentätern begangen. Hinter jedem fünften Fall stehen staatlich finanzierte Angreifer.
http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/ 

--------------------------------------------------------------
Viren für den Mac: Mehr Wachstum als bei Apples Börsenkurs
Auch wenn das Risiko einer Malware-Infektion unter macOS wohl zu Recht noch als niedriger angesehen wird als unter Windows, so hat sich die Situation für Apple-Nutzer dahingehend dennoch deutlich verschlechtert. Allein für 2016 hat McAfee Labs einen Anstieg des Infektionsrisikos um 744 % festgestellt. Forscher des Sicherheitsanbieters Checkpoint haben zudem „DOK“ entdeckt, die erste Massenmalware für den Mac. Diese Schadsoftware war mit einem gültigen, inzwischen jedoch von Apple gesperrtem Entwicklerzertifikat signiert. Anfangs wurde sie von keinem Scanner auf dem Malware-Erkennungsportal Virustotal erkannt. DOK wird per E-Mail verteilt. Mit Administratorrechten installiert es ein neues Rootzertifikat sowie einen Tor-Proxy, hinter welchem der Angreifer dann jegliche Kommunikation entschlüsseln und manipulieren kann. 
http://thehackernews.com/2017/04/apple-mac-malware.html 
Bericht von McAfee: https://www.mcafee.com/us/resources/reports/rp-quarterly-threats-mar-2017.pdf 

--------------------------------------------------------------
Einfach bis vollständig: Wie viel darf Windows 10 nach Hause telefonieren?
Im aktuellen Windows 10- Update, „Creators“ genannt, vereinfachen sich die Datenschutzeinstellungen, sodass man sich nun einen Überblick darüber verschaffen kann, welche Daten an Microsoft gesandt werden. In der Einstellung „Vollständig“ ist dies eine lange Liste, die nun komplett einsehbar ist. Die Einstellung „Einfach“ soll die Datenübertragung auf das für Sicherheit, Updates und Troubleshooting Notwendige begrenzen.
https://www.heise.de/newsticker/meldung/Creators-Update-Microsoft-erlaeutert-die-Datensammelwut-von-Windows-10-3675978.html 

--------------------------------------------------------------
Wenn der Toaster dreimal schürft: Mirai-Botnetz berechnet Bitcoins
Einzelne im Mirai-Botnetz versklavte Geräte haben sich am Schürfen von Bitcoins versucht, also dem Erschaffen von Bitcoins durch extrem aufwändige Berechnungen. Dabei kann es sich nur um einen Test handeln, denn die Rechenleistung von IoT-Geräten ist im Allgemeinen viel zu gering, um hierfür ökonomisch sinnvoll eingesetzt zu werden.
https://www.heise.de/security/meldung/Mirai-Botnetz-versuchte-sich-im-Bitcoin-Mining-3684126.html 

--------------------------------------------------------------
Malware-Fingerabdrücke: Die Spuren der CIA
Vor einem Monat bereits wurde vermutet, dass die Veröffentlichung von CIA-Hacking-Tools durch Wikileaks zur Enttarnung vergangener Angriffe des Auslandsgeheimdienstes führen könnte. Dies ließ auch nicht lange auf sich warten: Symantec hat digitale Parallelen zur Hackergruppe „Longhorn“ entdeckt, welche seit mindestens 2011 aktiv ist und neben Regierungen vor allem Firmen aus den Bereichen Finanzen, Telekommunikation, Energie, Luftfahrt und IT angreift.
https://www.heise.de/security/meldung/Symantec-dokumentiert-Verbindung-zwischen-angeblichen-CIA-Tools-und-weltweiten-Attacken-3680265.html 

--------------------------------------------------------------
Gerade geleakt, schon gepatcht: Shadow Brokers veröffentlichen NSA-Hacking-Tools
Es ist erst einen Monat her, dass gestohlene Hacking-Tools der CIA veröffentlicht wurden. Nun hat es die NSA getroffen. In mehreren Releases wurden verschiedene Exploits, Überwachungssoftware und Informationen über Überwachungsprogramme veröffentlicht. Die Unterlagen beschreiben unter anderem das Programm „Jeepflea“, welches Daten des Transaktionssystems SWIFT von mindestens neun internationalen Banken sammelt. Eine Versteigerung des Materials durch die mysteriöse Hackergruppe „Shadow Brokers“ für 500 Mio. USD war zuvor gescheitert. Die Schwachstellen wurden Microsoft offenbar bereits vorher zugespielt – möglicherweise durch die NSA selbst. Diese wurden dann bereits mit dem März-Patchday geschlossen. Damit bleiben Windows-Systeme, welche nicht regelmäßig upgedatet werden, weiter angreifbar. Dies gilt auch für Systeme, für die kein Support von Microsoft mehr besteht. Weniger als zwei Wochen nach der Veröffentlichung sind nun offenbar bereits hunderttausende Rechner infiziert. 
http://www.zdnet.de/88292535/shadow-brokers-veroeffentlichen-windows-hacking-tools-der-nsa/ 

--------------------------------------------------------------
Sicherheit im Banking: BAIT und PSD2
Mit dem BAIT-Rundschreiben („Bankaufsichtliche Anforderungen an die IT“) konkretisiert die BaFin die MaRisk (Mindestanforderungen an das Risikomanagement) in acht Themenbereichen von IT-Strategie über Informationsrisikomanagement bis Auslagerung. Diese sind eng mit IT-Security verbunden.
Zum Konsultationsentwurf: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Konsultation/2017/kon_0217_bankaufsichtliche_anforderungen_it_ba.html 

Im Dezember 2015 wurde die zweite Payment Services Directive (PSD2; Regeln zum sicheren Kontozugang und Sicherheitsstandards für Internetzahlungen) im Amtsblatt der EU veröffentlicht. Eine Umsetzung in nationales Recht muss bis Anfang 2018 erfolgen. Wesentliche Punkte der neuen Direktive sind die Schaffung einer rechtlichen Grundlage für Zahlungen im Internet und per Mobiltelefon, ein EU-weiter Zugang zum Zahlungsverkehrsmarkt für dritte Zahlungsdienstleister sowie die Erhöhung von Verbraucherschutz und Kundenauthentifizierung. Die EBA hat nun im Februar dieses Jahres konkretisierende Vorschriften (technische Regulierungsstandards, RTS) dazu veröffentlicht.
http://www.faz.net/aktuell/finanzen/meine-finanzen/sparen-und-geld-anlegen/was-eu-regel-psd2-im-zahlungsverkehr-fuer-bankkunden-bedeutet-14912865.html 

--------------------------------------------------------------
Abgemeldet. DNS-Hijacking bei brasilianischer Bank
Hacker haben den gesamten Online-Auftritt einer brasilianischen Bank mit hunderten Niederlassungen unter ihre Kontrolle gebracht. Dazu änderten sie die DNS-Einträge aller 36 Webseiten der Gruppe, leiteten Kunden zu Phishing-Seiten um und stahlen Login-Daten. Die Kontrolle konnte erst nach ca. sechs Stunden zurückerlangt werden. Dieser Fall kann als Erinnerung dafür dienen, wie wichtig eine sichere Authentifizierung beim Domänenverwalter ist – möglichst mit zwei Faktoren. Auch eine Einführung von Certificate Pinning hätte den Angriff verhindern können. Letzteres ist allerdings nicht trivial durchzuführen und bedarf umfassender Planung und Tests.
https://www.wired.de/collection/tech/hacker-sicherheit-bank-online-online-dns-kaspersky/ 
https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning/ 

--------------------------------------------------------------
Zweimal unsicher ist unsicher ist unsicher: mTAN-Verfahren nicht mehr sicher
Obwohl Sicherheitsforscher seit mindestens 2014 davor warnen, dass Mobiltelefonate und SMS durch Schwachstellen im sogenannten SS7-Protokoll umgeleitet werden können, kommt erst jetzt Bewegung in das Thema mTAN. Kriminelle hatten in den letzten Monaten Kombinationen mit Phishing-Emails genutzt, um beide Faktoren zu brechen und vor allem nachts große Beträge von Konten abzuzweigen. Bankenbranche und Mobilfunkanbieter bemühen sich nun, die Angriffsfläche zu begrenzen. Das BSI empfiehlt bereits seit längerem, stattdessen TAN-Generatoren zu benutzen.
http://www.sueddeutsche.de/wirtschaft/it-sicherheit-schwachstelle-im-mobilfunknetz-kriminelle-hacker-raeumen-konten-leer-1.3486504 

--------------------------------------------------------------
Perfektes Phishing: Gefahr durch Punycode
Vor 15 Jahren wurden internationale Domainnamen (IDN) eingeführt. Diese können in sogenanntem Punycode geschrieben werden und damit Unicode-Zeichen in Domänennamen darstellen, beispielsweise xn--80ak6aa92e.com für apple.com, jedoch mit kyrillischem Alphabet. Browser stellen dies teilweise als apple.com dar, was ununterscheidbar zur Originaldomäne ist und damit perfektes Phishing erlaubt. Die nächsten Browserversionen sollen derartige Tricks erkennen und durch eindeutige Darstellung verhindern.
http://opensources.info/phishing-dank-unicode-so-koumlnnen-hacker-apple-com-simulieren/ 

--------------------------------------------------------------
Mehr als ein paar Fake News: Infowar auf Facebook
Facebook hat einen Bericht veröffentlicht, der die Dimension der Versuche von Meinungsbeeinflussung auf der Plattform zu analysieren versucht. Sicherheitschef Alex Stamos und seine Kollegen kommen nach Datenlage zu dem Schluss, dass einzelne Fake-News-Produzenten mit unterschiedlichen wirtschaftlichen Interessen nicht ausreichen, um die Vorgänge zu erklären. Vielmehr steckten staatliche Akteure und ihre Machtpolitik dahinter. Eigens genannt wird Russland, wenn auch nur indirekt.
http://www.spiegel.de/netzwelt/web/facebook-geheimdienste-nutzen-das-soziale-netzwerk-zur-desinformation-a-1145224.html

Der nächste HiS-Cybersecurity Digest erscheint Anfang Juni 2017.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: