HiSolutions-Cybersecurity Digest Oktober 2019 veröffentlicht

Top Thema

Sie sind unter uns – Cyber-Einheiten in der EU

Einige Beobachter haben es länger schon vermutet, nun ist es Gewissheit: Staatliche Akteure haben begonnen, dezentrale Cyber-Einheiten in Europa zu stationieren. Nun wurde bekannt, dass tschechische Sicherheitsbehörden bereits 2018 eine Gruppe ausgehoben haben, die unter dem Deckmantel des Handels mit IT über Jahre verdeckte Cyberoperationen auf dem Boden der Tschechischen Republik bzw. von diesem aus durchgeführt hatte. Wie die Analyse des renommierten OPSEC- und Cyberspionageexperten „The Gruc“ – kaum jemand kennt den Klarnamen des Südafrikaners – zeigt, wurden die russischstämmigen Personen, die teilweise über tschechische Pässe verfügten, quasi als „freie Mitarbeiter“ des russischen Inlandsgeheimdienstes FSB geführt, von diplomatischen Fahrzeugen aus mit Technik versorgt und vermutlich auch kontrolliert.

Das Rezept „People. Ideas. Hardware. In that order.“ des Militärstrategen John Boyd ist also bereits von der Russischen Föderation – und anzunehmenderweise weiteren Akteuren – auf eine neue Ebene gehoben worden. Zwar ist Geolokation für Cyberangriffe weniger relevant als für andere Waffengattungen, Staaten können jedoch auf diese Weise kostengünstig und risikoarm ihre Cyber-Zweitschlagskapazität hochfahren und geografisch verteilen.

Neu ist also: Akteure können auch „Auftragnehmer“ in anderen Ländern sein. TTPs (Tactics, Techniques and Procedures, anhand derer Angreifergruppen teilweise erkannt und ihre Aktionen u. U. vorausgesagt werden können) passen dann besonders schlecht zum üblichen Fußabdruck des Auftraggebers. Sie können sich in relativ kurzer Zeit frei bewegen und die logistischen Anforderungen sind extrem niedrig. Zeit für die Verteidiger, sich hierauf einzustellen.

https://gru.gq/2019/10/24/fsb-deploys-cyber-units-inside-europe-for-years/
 

Neuigkeiten

(Not Only) Size Matters: 179 GB Rekord-Leak mit Regierungs- und Militärdaten

Rein mit der Größe können Datenleaks heute kaum mehr Aufmerksamkeit erhaschen. 179 GB sensible Daten klingt zwar nach einer Menge (und ist es auch). Was dieses Leak jedoch besonders pikant macht, ist, dass vergangene und zukünftige Reisen- und Buchungsdaten auch von amerikanischen Regierungs- und Militärangehörigen frei abrufbar im Internet standen. So konnten Forscher etwa die Reisen von US-Generälen nach Russland und Israel nachvollziehen. Nach Benachrichtigung durch das Security-Scanning-Projekt des VPN-Anbieters vpnMentor, dass die Elasticsearch-Datenbank eines Reisedienstleisters in AWS ohne jeden Zugriffsschutz offenstand, benötigten die Behörden noch mehr als zwei Wochen, um die Datenbank abzusichern. Ein Fall wie viele – hier einmal (wieder) mit besonders kritischen Daten.

https://www.zdnet.com/article/autoclerk-database-leaked-customer-government-and-military-personal-records/
 

HiSolutions

Schulung Grundschutz-Praktiker und Grundschutz-Berater

Jetzt bei HiSolutions möglich: Basisschulung zum BSI IT-Grundschutz-Praktiker und Aufbauschulung zum IT-Grundschutz-Berater. Unsere Ausbildung zum BSI IT-Grundschutz-Praktiker erfüllt die Anforderungen des BSI und versetzt Sie in die Lage, die Aufgaben eines IT-Sicherheitsbeauftragten (IT-SiBe) oder Informationssicherheitsbeauftragten (ISB) zu übernehmen. Nächster Termin: 26.-29.11.2019 in Berlin.

https://www.hisolutions.com/infocenter/detail/detail/News/basisschulung-zum-bsi-it-grundschutz-praktiker-und-aufbauschulung-fuer-die-pruefung-zum-it-grundschutz/


Außerdem: Schulung Prüfverfahrenskompetenz für § 8a BSIG am 27.-28.02.2020 in Bonn

Die zweitägige Schulung bereitet auf zukünftige Prüfungen im Rahmen der Umsetzung des § 8a (3) des BSI-Gesetzes vor. Nach bestandener Abschlussprüfung erhalten die Teilnehmer die Zusatzqualifikation „Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG“, mit der sie Prüfungen nach § 8a BSIG durchführen können.

https://www.hisolutions.com/infocenter/detail/detail/News/schulung-zusaetzliche-pruefverfahrenskompetenz-fuer-8a-bsig-in-bonn/


Ununhackbar: NordVPN erleidet (Breach und) Shitstorm

Der renommierte und von vielen Experten empfohlene VPN-Anbieter NordVPN hat auf die Finger bekommen. Einerseits wegen eines Breaches: Bei einem finnischen Rechenzentrumsbetreiber bestand Zugriff über ein NordVPN unbekanntes Managementinterface auf einen Server, welcher jedoch keine Verbindungsdaten der Kunden enthielt. Selbstverständlich lag hier ein Fehler des Betreibers vor, welchen NordVPN durch Ablösung des Rechenzentrums sowie verschärfte Audits in den Griff zu bekommen verspricht. Der größere Schaden dürfte der Reputationsverlust sein, den sich zum Teil die Marketingabteilung zuschreiben darf: Kurz vor Bekanntwerden des Incidents hatte die Firma mit besonders selbstbewussten Statements à la „unhackbar“ geworben, was in der Kombination eine entsprechende Aufmerksamkeit und Häme in den sozialen Netzen entfachte. Merke: Sage nur, Du seist unhackbar, wenn Du es wirklich bist. Also quasi nie.

https://nordvpn.com/blog/official-response-datacenter-breach/


Mal überlegen ob überlegen: Erste „Quanten-Supremacy“ erreicht

Nachdem bereits vor einer Weile die erste tatsächlich erreichte „Quanten-Supremacy“ verkündet worden war, hat Google nun endlich den offiziellen Bericht zu dem Erfolg in der Grundlagenforschung herausgebracht. Supremacy (Überlegenheit) bedeutet hier, dass ein Quantencomputer ein praktisches Problem schneller als jeder konventionelle Computer löst. Objektiv ist dies eindrucksvoll gelungen: Der supraleitende Quantenrechner konnte in 200 Sekunden eine Aufgabe berechnen, für die ein konventioneller Supercomputer 10.000 Jahre brauchen würde. Der Konkurrent IBM behauptet zwar, das Problem in einem theoretisch möglichen Supercomputer in 2 ½ Tagen bewältigen zu können, aber an der Überlegenheit ändert dies nichts.

Allerdings war das zu berechnende Problem aus der theoretischen Chemie so speziell auf den Erfolg geschneidert, dass es keinerlei sinnvolle Anwendung hat. Insofern ist Supremacy nicht gleich sinnvolles Ergebnis. Trotzdem ist hiermit ein technischer und theoretischer Meilenstein erreicht worden, den einige Kritiker den Quantencomputern bzw. ihren Konstrukteuren nie zugetraut hatten. Bis zum Brechen von Verschlüsselung ist noch ein längerer Weg – von dem allerdings ein wichtiger Schritt nun geschafft wurde.

https://www.heise.de/newsticker/meldung/Jetzt-auch-offiziell-Googles-Quantencomputer-zeigt-Quantum-Supremacy-4565771.html


Selbstvertrauen oder klein bei? Browser geben XSS-Schutz auf

In der aktuell verteilten Version des Chrome-Browsers ist der sogenannte XSS-Auditor, der seit 2010 (Chrome Version 4) versucht hatte, Nutzer vor Cross-Site Scripting (XSS) zu schützen, nicht mehr enthalten. Das Katz- und Maus-Spiel mit den Angreifern war zu schwierig, immer wieder wurden Lücken in dem Filter gefunden. Nun hat Google an dieser Front aufgegeben, so wie schon Microsoft letztes Jahr in Edge. Zwar stehen Web-Standards wie Content Security Policy (CSP) bereit, die XSS weitgehend einschränken können. Diese müssten jedoch von Seitenbetreibern viel konsequenter eingesetzt werden.

Für den Selbstschutz des Browsers ist ein Neubeginn angekündigt. Ein neuer offener Standard „Trusted Types API“ soll angeblich in der Lage sein, zumindest DOM-basiertem XSS ein für alle Mal den Garaus zu machen.

https://www.zdnet.com/article/google-to-remove-chromes-built-in-xss-protection-xss-auditor/


Mixed Feelings: Mixed Content zum Abschuss freigegeben

„Mixed Content“ im WWW bedeutet, dass sich auf einer verschlüsselten Seite auch unverschlüsselte Elemente befinden. Bisher erlaubten Browser dies noch – in der Rege mit Warnung – oder ließen es zumindest freischalten. In Chrome 80 (1/2020) werden zunächst audio+video von http: zu https: auto-remapped. Mixed Content kann immer noch freigeschaltet werden. Ab Chrome 81 (2/2020) werden auch Bilder auf https: zwangsgemapped. Mixed Content kann dann nicht mehr freigeschaltet werden. Andere Browser dürften nachziehen. Höchste Zeit also, alten Seiten mit diesem archaischen und unsicheren Überbleibsel das Gnadenbrot zu entziehen.

https://blog.chromium.org/2019/10/no-more-mixed-messages-about-https.html


Google petzt gegen Google: GP0 findet Android Zeroday

Eine Sicherheitslücke in Android-Telefonen wird offenbar bereits aktiv von Kunden des berüchtigten Anbieters NSO Group ausgenutzt. Das geht aus einem Bericht von Maddie Stone, einer Sicherheitsforscherin von Googles Project Zero, hervor. Es handelt sich um einen Use-after-Free-Bug im Linux-Kernel, mit dem sich auf Android-Telefonen Rechte ausweiten lassen. Ausgenutzt werden kann er von einer bösartigen Applikation oder im Zusammenspiel mit weiteren Bugs auch im Browser.

https://www.golem.de/news/linux-kernel-android-bug-wird-von-nso-group-angegriffen-1910-144250.html


Finger-Fail: Handyhülle täuscht Samsung S10-Hightech-Fingerabdruckleser

Sobald man eine Bildschirm-Schutzfolie auf das Samsung S10 legt, welche nicht original vom Hersteller stammt, akzeptiert die Ultraschall-Fingerprüfung fast jeden beliebigen Finger, um das Smartphone zu entsperren.

https://www.bbc.com/news/technology-50080586
 

Lesetipps

Klima der Unsicherheit

Beim Lesen des folgenden Kommentars in der New York Times wird klar, dass die Begrenzung des Klimawandels und die Schaffung nachhaltiger Security zum Teil vor vergleichbaren Herausforderungen stehen – wenn auch die Auswirkungen auf unser Leben sehr unterschiedlich sind. Insbesondere die Bepreisung zukünftiger, bisher nicht eingetretener Risiken ist ein schweres Problem. Zu wünschen wäre, dass die zwei Felder voneinander lernen können.

https://www.nytimes.com/2019/10/23/opinion/climate-change-costs.html


Sinnkrise der Security

Heute hörens- und sehenswerter denn je ist Thomas Dulliens (Hackerhandle @halvarflake) Keynote „Why We are Not Building a Defendable Internet“ von der Black Hat Asia 2017. Er stellt darin genau die Fragen, die wir alle beantworten müssen, um zu begründen, warum und auf welche Weise wir heute weiter Security betreiben wollen, um unseren Beitrag zur Verbesserung der Welt zu leisten.

https://www.youtube.com/watch?v=PLJJY5UFtqY

 

Der nächste HiSolutions-Cybersecurity Digest erscheint Mitte November 2019.

Jetzt abonnieren!

Lesen Sie hier auch alle HiSolutions-Cybersecurity Digests der letzten Monate.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: