HiSolutions-Cybersecurity Digest Juli 2019 veröffentlicht

Top Thema

Alles ist verbunden – Multiple Single Points of Failure 

Von großen – im Sinn von weitreichenden – Cloudausfällen war an dieser Stelle und in den Weiten des Internets in letzter Zeit häufig zu hören. Denn je mehr der Markt reift (sprich, je mehr Unternehmen relevante Teile ihrer Infrastruktur in die Wolke verlagern) und je mehr sich der Kuchen des Cloud-Geschäfts im Wesentlichen auf eine Handvoll großer Cloudanbieter und ein paar Dutzend Security-Services-Anbieter verteilt, desto größer kann der Impact eines einzelnen Zwischenfalls sein. Nun war Cloudflare an der Reihe, dies am eigenen Astralleib zu erfahren: Ein harmlos erscheinender regulärer Ausdruck, der weltweit bösartiges „Inline“-JavaScript herausfiltern sollte, brachte die Prozessorlast sämtlicher Filter auf 100 %, sodass bei den vielen Cloudflare-Kunden für eine halbe Stunde nichts mehr ging. Dann war das Problem erkannt und die Funktion gekillt – im Gegensatz zu Google im Mai konnte Cloudflare die Managementinterfaces nämlich ohne Probleme erreichen. Hatte der DDoS- und Websecurity-Spezialist aus Kalifornien schlampig gearbeitet? Ja und nein, die neue Funktion war zwar per Knopfdruck sofort weltweit, aber immerhin nur im Testmodus ausgespielt worden, der nichts hätte blocken sollen. <Ironie>Dass die Komplexitätstheorie bei den seit Jahrzehnten als mögliche Ressourcenmonster verrufenen RegExen einen Strich durch die Rechnung machen würde, konnte ja niemand ahnen … </Ironie>

In einer überraschenden Fügung des Schicksals hätte der Ausfall beinahe ein längst in eine dunkle Flasche verbanntes Monster wiederbelebt: 2017 hatte der junge Malware-Forscher Marcus “MalwareTech” Hutchins in einem heldenhaften Einsatz (siehe Lesetipps am Ende dieses Digests) per „Sinkhole“, also eine geistesgegenwärtig reservierte Domain, der Welt den größten Teil der ersten WannaCry-Angriffswelle erspart. Diese Sinkhole-Domain erhält bis heute riesige Mengen an Anfragen von schlummernden WannaCry-Infektionen, die nachfragen, wann sie denn nun endlich losschlagen sollen.Später wurde ebendiese pro bono (und natürlich für den Werbeeffekt) von Cloudflare übernommen – und war seither nie down. Um ein Haar hätte der Cloudflare-Ausfall also ein Heer von Schläfern erweckt, die Schäden von hunderten Millionen hätten verursachen können. Glücklicherweise genügte die immerhin noch ausgelieferte Fehlermeldung (HTTP-Code 502), um die Viren zu beruhigen. Sie schlummern also weiter auf unseren ungepatchten Systemen und laben sich an unseren technischen Altlasten …

https://blog.cloudflare.com/cloudflare-outage/ 

Zu Marcus „MalwareTech“ Hutchins: siehe Lesetipps unten.

Neuigkeiten:

Endspurt vor dem Brexit? Rekord-Datenschutzbußgelder in Großbritannien

Die britische Datenschutzaufsichtsbehörde hat wegen eines Datenschutzvorfalls ein Bußgeld über 205 Millionen Euro gegen British Airways verhängt. Interessanterweise hatten diese den Vorfall selbst gemeldet, weswegen die Firma Widerspruch gegen die Entscheidung einlegen will. Ein weiteres Bußgeld von rund 110 Millionen Euro droht Marriott International. Auch hier ist der Grund ein Datenschutzvorfall.
Aber nicht nur auf der Noch-EU-Insel wird es ernst: Die Niederländer haben gegen ein Krankenhaus ein Bußgeld von 460.000 Euro verhängt. Grund war, dass die Patientenakte eines Prominenten zu vielen Personen zugänglich gemacht wurde (Art. 32 DSGVO).

https://www.heise.de/security/meldung/Marriott-Daten-von-500-Millionen-Hotelgaesten-abgegriffen-4236576.html
https://www.spiegel.de/netzwelt/netzpolitik/british-airways-millionenstrafe-wegen-datenpanne-a-1276270.html
https://autoriteitpersoonsgegevens.nl/nl/nieuws/haga-beboet-voor-onvoldoende-interne-beveiliging-pati%C3%ABntendossiers

Bisschen bipartisan schadet nie: Securing Energy Infrastructure Act verabschiedet

Der US-Senat hat ein von Abgeordneten beider großen Parteien („bipartisan“) eingebrachtes Gesetz zum Schutz der Stromnetze verabschiedet: Der „Securing Energy Infrastructure Act (SEIA)“ schafft ein auf zwei Jahre angelegtes Pilotprogramm, um Möglichkeiten zu erforschen, das Grid zukünftig durch „Low-Tech“ resilienter gegen Cyberattacken zu machen. Entgegen dem allgemeinen Trend der Automatisierung und Vernetzung sollen wieder verstärkt „analoge und nicht-digitale Geräte“ zum Einsatz kommen.

https://www.utilitydive.com/news/senate-passes-cybersecurity-bill-to-decrease-grid-digitization-move-toward/557959/

Aber sicher, Partner: 2FA für Microsoft Cloud Partner

Microsoft will die Sicherheitsbedingungen für Partner verschärfen. „Cloud Partner“ verkaufen Leistungen von Microsoft weiter und bieten dabei administrative Hilfe an. Unter anderem soll Zwei-Faktor-Authentifizierung (2FA) Pflicht werden. Zuletzt hatte etwa PCM Inc. einen Sicherheitsvorfall aufgrund eines Phishing-Angriffs erlitten.

https://krebsonsecurity.com/2019/06/microsoft-to-require-multi-factor-authentication-for-cloud-solution-providers/ 
https://krebsonsecurity.com/2019/06/breach-at-cloud-solution-provider-pcm-inc/

Millionen? Ich dachte Milliarden! Quantencomputer rücken dank Rechentricks näher 

Quantencomputer gefährden bekanntlich, wenn sie einmal in ausreichender Größe gebaut werden können, das Gros der heute im Einsatz befindlichen kryptographischen Verfahren. Unter anderem sind asymmetrische Kryptographie wie RSA und elliptische Kurven sowie die meisten Arten von Signaturen hinfällig, symmetrische Algorithmen wie AES büßen de facto „nur“ die Hälfte ihrer effektiven Schlüssellänge ein. Noch gibt es jedoch große technische Hürden, ausreichend Stabilität hinzubekommen, um einen Quantenrechner ernstzunehmende Dechiffrierung ausführen zu lassen –theoretisch. Forschern von Google und des Royal Institute of Technology in Stockholm ist es nun gelungen, die Algorithmen so umzuformen, dass 20 Millionen wackelige Qubits genügen könnten, um RSA 2048 zu brechen. Das ist immer noch weit über dem aktuellen Rekord von 70 Qubits, aber zwei Größenordnungen unter der zuvor benötigten Zahl von einer Milliarde Qubits. Sollte die Forschung in diesem Tempo weitergehen, wären praktische Quantencomputer vermutlich weniger als 10 Jahre entfernt.

https://www.technologyreview.com/s/613596/how-a-quantum-computer-could-break-2048-bit-rsa-encryption-in-8-hours

Sicherer Brausen: BSI-Mindeststandard Browsersicherheit

Das BSI hat einen Draft des überarbeiteten Mindeststandards für sichere Browser publiziert. Ein Muss sind demnach inzwischen moderne Sicherheitstechniken wie HSTS (HTTP Strict Transport Security; erzwungenes TLS), CSP (Content Security Policy; Schutz vor Einschleusung von Daten wie XSS) und SRI (Subresource Integrity; Integritätsschutz von Drittparteikomponenten einer Webseite wie etwa auf einem CDN gehosteter Skripte). Anmerkungen der Community sind gerne gesehen.

https://www.bsi.bund.de/DE/Themen/StandardsKriterien/Mindeststandards_Bund/Sichere_Web-Browser/Sichere_Web-Browser_node.html

I Query the Power: Neue Angriffe auf Excel

Excels Power-Query-Feature kann über das Uraltprotokoll DDE (Dynamic Data Exchange) Dateien von Remote-Quellen importieren. Damit lässt sich auch bösartiger Code in ein System einschleusen – schwer zu erkennen für den Nutzer, da kaum Interaktion notwendig ist. Den Forschern von Mimecast gelang damit die Umgehung der Sandbox, die per E-Mail versandte Dokumente analysieren soll, bevor Nutzer sie öffnen. Normalerweise müsste der Nutzer DDE per Doppelklick in eine Zelle und einen weiteren Klick erlauben – nicht aber, wenn der Angreifer das bösartige Dokument in einer älteren Version von Office erstellt. In Word ist DDE wegen ähnlicher Probleme schon seit 2017 deaktiviert.

https://www.mimecast.com/blog/2019/06/exploit-using-microsoft-excel-power-query-for-remote-dde-execution-discovered/

War das 1 Game – innogy eröffnet Energie-Cyberrange

Interaktivität und Realismus werden im Training von Cyberzwischenfällen immer wichtiger, um Komplexität und auch Stressniveau realer Angriffe abbilden und üben zu können. Der Essener Energiekonzern innogy ist nun für die deutsche Energiebranche vorgeprescht und hat die „Cyberrange-e“ eröffnet, ein interaktives Trainingszentrum für „War Gaming“. Das blaue Team, bestehend aus Mitarbeitern verschiedener Energiefirmen, muss die Angriffe des roten Teams „professioneller Hacker“ (FAZ), das in einem anderen Raum untergebracht ist, abwehren. Innogy hat das Konzept mit einer von israelischen Sicherheitsexperten gegründeten Firma erarbeitet, die schon länger solche „CyberGyms“ betreibt.

https://www.faz.net/aktuell/wirtschaft/diginomics/innogy-eroeffnet-trainingszentrum-gegen-hackerangriffe-16262688.html


Lesetipps

Don’t Cry For Me, Internet

Der Tech-Journalist Zack Whittaker schreibt zwei Jahre nach dem verheerenden WannaCry-Angriff die Geschichte der Malware nieder, vor allem aber der Personen, die mit Mut, Glück und sehr viel Schlafmangel einen noch übleren Ausbruch verhindern konnten und deren Leben seitdem nie mehr dasselbe war.

https://techcrunch.com/2019/07/08/the-wannacry-sinkhole/

Marcus „MalwareTech“ Hutchins hat sich im April in zwei der zehn von der US-Anwaltschaft gegen ihn erhobenen Anklagepunkte schuldig bekannt. Das Urteil des in der Security-Szene für seine späteren „Heldentaten“ und seine Online-Schulungen (Live-Reverse-Engineering) verehrten Sicherheitsforschers dürfte in Kürze fallen und von dauerhafter Ausweisung bis maximal 10 Jahre Gefängnis reichen.

https://krebsonsecurity.com/2019/04/marcus-malwaretech-hutchins-pleads-guilty-to-writing-selling-banking-malware/

Hacke Backe Eierkuchen?

Ein längerer Beitrag in der ZEIT beleuchtet die verschiedenen Bestrebungen, das umstrittene und nach Meinung vieler Experten risikobehaftete Thema „Hackback“, also den aktiven Gegen- oder präventiven Erstschlag mit Cyberwaffen, zu etablieren.

https://www.zeit.de/digital/internet/2019-07/hackback-cyberwar-datensicherheit-digitaler-angriff-bundesregierung

The Times They Are A-Changing

In den weltgrößten Tech-Firmen tobt ein „Bürgerkrieg“ (Zitat Fortune). Nachdem das „Don’t Be Evil“-Mantra bereits seit Jahren angekratzt ist (bzw. Microsoft sich durch Umarmung von Open Source erst langsam in der Tech-Community Respekt erarbeitet hatte und Amazon von ethischen Überlegungen eh immer weitgehend ungetrübt agierte), haben sich die Auseinandersetzungen um Chancengleichheit, Geschlechtergerechtigkeit, sexuelle Belästigung, Stalking und Arbeitsbedingungen inzwischen auf viele „hippe“ Firmen im Silicon Valley und anderswo ausgeweitet. Ein langes Feature in Fortune untersucht, wie es dazu kommen konnte. Möglicherweise stehen uns in Europa einige Diskussionen erst noch bevor.

https://fortune.com/longform/inside-googles-civil-war

--------------------------------------------------------------- 

Der nächste HiSolutions-Cybersecurity Digest erscheint Mitte August 2019

Jetzt abonnieren!

Lesen Sie hier auch alle HiSolutions-Cybersecurity Digests der letzten Monate.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: