Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter Abo

 

74. Newsletter - sicherheitskultur.at - 30.12.2012

von Philipp Schaumann


Hier die aktuellen Meldungen: 

1. Virtual Currencies, z.B. Bitcoin
----------------------------------
Ein recht guter Hintergrund zu Bitcoin von prominenten Sicherheitsleuten
Ron und Shamir:
   http://eprint.iacr.org/2012/584.pdf
The European Central Bank has taken interest, last month publishing a 
report on virtual currencies. It says such currencies will have little 
impact on real-world financial stability for now, but if the popularity of 
Bitcoin and its ilk increase, central banks may have to start regulating 
them.
  http://www.ecb.europa.eu/pub/pdf/other/virtualcurrencyschemes201210en.pdf



2. Eurograpper - eine clevere Bankentrojaner-Variante
-----------------------------------------------------
Für mich ist noch nicht ganz klar, wie viel Neues da wirklich drin steckt,
oder ob das nur ein Marketing Vehicle ist. 
   http://www.bankinfosecurity.com/eurograbber-smart-trojan-attack-a-5359/op-1
Checkpoint und Versafe haben eine White Paper dazu verfasst
   http://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf
Auf jeden Fall wird hier sehr gut und detailliert erklärt, wie derzeit die 
2-Faktor-Authentisierung mit einem Handy-TAN ausgehebelt werden kann.

Andere Trojaner sind mittlerweile so clever, dass sie infos wie Browserversion,
installierte Fonts und Browser-Plugins abfragen und für dann für den Angreifer
eine virtuelle Umgebung bereitstellen, die dem PC des Opfers sehr sehr ähnlich ist.
Außerdem muss der PC des Opfers Proxy spielen und den Verkehr des Angreifers an die
Bank weiterleiten.
Auf diese Weise kommt die Sitzung des Angreifers von der gewohnten IP-Adresse und
vom gewohnten Browser. So sollen Banken-Systeme ausgehebelt werden, die
speichern, von welchem PC ein Kunde das letzte Mal gekommen ist und hellhörig werden,
wenn jetzt ein ganz neues Gerät auftaucht.

Zur Beruhigung für Leser, die jetzt evtl. beunruhigt sind:
ALLE Angriffe beruhen darauf, dass der Bankkunde irgendeinen Fehler macht
und bei dem Angriff mithilft, z.B. indem er auf einer vorgeblichen Bankwebsite seine 
Handynummer eingibt (die die Bank längst hat), eine angebliche Sicherheitssoftware
auf seinem Smartphone installiert, oder sich auf einer Phishing-Website beschäftigen
lässt und dann eine auf seinem Handy eingelagte SMS-TAN auch noch dort eingibt.

Richtiges Verhalten falls beim Online-Banking was "komisches" passiert: Anruf beim
Helpdesk der Bank.



3. Sophos Security Threat Report 2013
-------------------------------------
    http://www.sophos.com/en-us/security-news-trends/reports/security-threat-report.aspx



4. ENISA wagt sich an ein schwieriges Thema: Return on Security Investments
--------------------------------------------------------------------------
Die Zielgruppe dieses Dokuments sind CERTs, wobei damit jede Sicherheitsabteilung
gemeint ist. Das Papier gibt einen Überblick über die Methoden die für so etwas
genutzt werden und die Challenges dabei. Interessant sind evtl. auch die
Links zu Quellen für Reports mit Incident Details. 
  http://www.enisa.europa.eu/activities/cert/other-work/introduction-to-return-on-security-investment

Ich persönlich halte nicht viel von solchen Rechtfertigungsversuchen für 
Sicherheitsinvestitionen, weil, wie dort auch gezeigt wird, eine kleine 
Veränderung der Verlust-Annahmen das Budget implodieren lassen kann.
Außerdem "verschwinden" seltene Ereignissen wie "von Anonymous gehackt" bei
einer Division wegen "einmal alle 200 Jahre" von der Bedrohungsliste.
Mehr Details dazu in 
    http://sicherheitskultur.at/Eisberg_risk.htm



5. Securing Mobile Devices Using COBIT 5 for Information Security
----------------------------------------------------------------- 
Eine Veröffentlichung der ISACA (Vereinigung der IT-Auditoren) zu
Mobile Devices (jeglicher Form). Sie geben einen guten Überblick über
Bedrohungen und Risiken, einen Hardening Guide und 
8 pricincples for mobile device security.
Dazu kommen Checklisten für Auditierung und Hilfestellungen für 
Forensics.
   http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Securing-Mobile-Devices-Using-COBIT-5-for-Information-Security.aspx



6. Bruce Schneier versendet 2 Links zum Thema alte Geheimschriften
------------------------------------------------------------------
They Cracked This 250-Year-Old Code, and Found a Secret Society Inside
  http://www.wired.com/dangerroom/2012/11/ff-the-manuscript/all/
Und hier ist der wissenschaftliche Text der 3 Forscher dazu:
  http://www.isi.edu/natural-language/people/copiale-11.pdf
Another historical cipher, this one from the 1600s, has been cracked:
(aber lange nicht so spannend)
  http://bigstory.ap.org/article/code-used-founding-father-finally-cracked


Humor
-----
Nur für Leute mit wirklich starken Nerven und einem Facebook-Account:
   http://www.takethislollipop.com/
Wenn man sich auf dieser Website mit seinem FB-Account einloggt und 
den Zugriff zur Freundesliste freigibt, so bekommt man einen kleinen
Horrorfilm gezeigt, indem man selbst die Hauptrolle spielt.
(aus dem Newsletter von Rainer Knyrim)


 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.