Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter AboVorläufige Gedanken, erfreuliches, beklagenswertes

 

Philipps Notizen - 2014

von Philipp Schaumann

An dieser Stelle werden Beobachtungen veröffentlicht, die ich interessant finde, ohne dass die Texte immer gleich in einen logischen größeren Zusammenhang eingereiht werden müssen.

 


Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

 


21.12.2014 - BSI Lagebericht 2014

Das bundesdeutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte seinen Jahresbericht 2014. Ich habe die für mich interessantesten Ereignisse aus dem Bericht zusammengefasst. Einige der Ereignisse haben selbst mich verblüfft, derart stark hatte ich mir die Angriffssituation gegen die deutsche Industrie (speziell auch was Industrieanlagen betrifft) nicht vorgestellt. Ich vermute, dass Österreich nur deswegen nicht prominenter vorkommt, weil es nicht im Zuständigkeitsbereich des BSI liegt, ich vermute die Lage ist keinen Strich besser.

Natürlich ist der gesamte Bericht lesenswert und mit 44 Seiten auch durchaus nicht zu lang.

2.2.9 Nachrichtendienstliche Cyber-Angriffe

..... Die verbesserte technische Sensorik des BSI lieferte verstärkte und deutliche Hinweise auf nachrichtendienstliche Cyber-Angriffe gegen deutsche Netzinfrastrukturen der Wirtschaft, der Forschung und der öffentlichen Verwaltung.

- Angriffsvektor „Strategische Aufklärung“: Es werden alle anfallenden Daten an Internetund Kommunikationsknoten abgegriffen, gespeichert und analysiert. Hierbei sind die (Verkehrs-) Daten beliebiger Internetnutzer betroffen, anhand derer festgestellt werden kann, wer

- Angriffsvektor „Individuelle Angriffe im Kommunikations- und Cyber-Raum“: Diese Angriffe zielen auf IT-Systeme interessanter Personen und Institutionen. Dazu analysieren, kaufen und sammeln Nachrichtendienste bereits im Vorfeld systematisch vor allem auch bis dahin nicht veröffentlichte Schwachstellen von Hard- und Software. In der strategischen Aufklärung identi? zierte IT-Systeme werden dann auf dieser Wissensbasis mit spezi? sch adaptierten Cyber-Angriffen attackiert und kontrolliert.

- Angriffsvektor „Beein? ussung von Standards und Implementierungen“: Hierbei werden bereits im Vorfeld der technischen Aufklärung IT-Standards und vor allem kryptogra? sche Standards manipuliert. Die Implementierungen an sich starker Sicherheitsmechanismen und die hiermit verbundene Vertraulichkeit werden so systematisch geschwächt.

- Angriffsvektor „Gezielte Manipulation von IT-Equipment“: Hierbei erfolgen Eingriffe in Bestell-, Liefer- oder Serviceketten, um Manipulationen durchzuführen. Hierzu zählen das Einbringen von Hintertüren oder die Schwächung technischer Sicherheitseigenschaften. Netzwerkkomponenten wie Router können durch Änderung ihrer Betriebssoftware so manipuliert werden, dass eine Steuerung oder gar Abschaltung aus der Ferne und damit auch Cyber-Sabotage möglich wird.

3 Vorfälle

3.1 Vorfälle in der Bundesverwaltung

2014 wurden bisher täglich etwa 15 bis 20 Angriffe auf das Regierungsnetz entdeckt, die durch normale Schutzmaßnahmen nicht erkannt worden wären. Bei durchschnittlich einem Angriff pro Tag handelt es sich um einen gezielten Angriff mit nachrichtendienstlichem Hintergrund. ....

Seit Anfang des Jahres 2014 wurden 34 infizierte Systeme identifiziert, die trotz Absicherung durch kommerzielle IT-Sicherheitsprodukte mit Schadprogrammen kompromittiert worden waren. Es wurden ca. 1.100 Webseitenbetreiber vom BSI darüber informiert, dass ihre Webseiten Schadprogramme verteilen.

Das BSI verzeichnet durchschnittlich einmal im Monat einen Denial-of-Service(DoS)-Angriff auf einzelne Webseiten der Bundesbehörden. ...... So versendeten Angreifer in mehreren Fällen jeweils zwischen 20.000 bis hin zu 200.000 Spam-Nachrichten, indem sie das Ausfüllen des „Weiterleiten“-Formulars per Skript automatisierten und den Spam-Inhalt in das Kommentarfeld einfügten.

3.2 Vorfälle bei Privatanwendern

3.2.1 Millionenfacher Identitätsdiebstahl in Deutschland

Im Frühjahr 2014 wurden zwei Identitätsdiebstähle publik, bei denen Angreifer Zugriff auf Benutzernamen und Passwörter von 16 bzw. 18 Millionen Internetnutzern erlangen konnten.

3.2.2 Schwachstellen in Routern für Heimnetzwerke

Anfang 2014 wurde eine Schwachstelle in Fritz!- Box-Routern des Herstellers AVM bekannt. Mit dem Zugriff auf die Kon? gurationsdaten konnten die Angreifer Manipulationen im System vornehmen. . . .

Darüber hinaus nutzten Angreifer die Schwachstelle, um zu Lasten der Opfer bzw. der Telefonanbieter kostenpflichtige Telefonate zu teuren Sonderrufnummern zu führen.

3.2.3 Online-Banking-Trojaner: von Feodo zu Geodo

Die Online-Banking-Schadsoftware Geodo folgte im Mai 2014 auf den 2013 bekannt gewordenen Trojaner Feodo.

Die Angreifer verbreiten per E-Mail mittels täuschend echt aussehender Rechnungen bzw. Buchungsbestätigungen im Namen von Telekommunikationsdienstleistern und Banken ein Schadprogramm,....

Das beim BSI angesiedelte Computer Emergency Response Team der Bundesverwaltung (CERTBund) übernahm die Rolle eines Bot und ließ sich über drei Wochen Pakete gestohlener Zugangsdaten von den Kontrollservern übermitteln. Insgesamt konnten so über 200.000 kompromittierte E-Mail-Konten identi? ziert werden.

3.2.4 iBanking: Schadsoftware für Smartphones

Seit Mitte 2013 wird in Untergrundforen Schadsoftware zur Überwachung und Manipulation von Android-Smartphones angeboten. Die Schadsoftware wurde unter anderem für Angriffe auf das Online-Banking mit mTANs verwendet. ....

Es wurden Varianten von iBanking entdeckt, die Angriffe auf die Zwei-Faktor-Authentisierung (Benutzername/Passwort + SMS-Code) bei Facebook und Gmail ermöglichen.

3.3 Vorfälle in der Wirtschaft

3.3.1 APT-Angriff auf Industrieanlagen in Deutschland - Gezielter Angriff auf ein Stahlwerk in Deutschland.

Mittels Spear-Phishing und ausgefeiltem Social Engineering erlangten Angreifer initialen Zugriff auf das Büronetz des Stahlwerks. Von dort aus arbeiteten sie sich sukzessive bis in die Produktionsnetze vor.

Es häuften sich Ausfälle einzelner Steuerungskomponenten oder ganzer Anlagen. Die Ausfälle führten dazu, dass ein Hochofen nicht geregelt heruntergefahren werden konnte und sich in einem undenierten Zustand befand. Die Folge waren massive Beschädigungen der Anlage.

Die Kompromittierung erstreckte sich auf eine Vielzahl unterschiedlicher interner Systeme bis hin zu industriellen Komponenten. Das Know-how der Angreifer war nicht nur im Bereich der klassischen IT-Sicherheit sehr ausgeprägt, sondern erstreckte sich auch auf detailliertes Fachwissen zu den eingesetzten Industriesteuerungen und Produktionsprozessen.

3.3.2 Heartbleed – kritische Schwachstelle in weit verbreiteter Softwarebibliothek

Über die als Heartbleed bezeichnete Schwachstelle, die im April 2014 in der Softwarebibliothek OpenSSL entdeckt wurde, können unerlaubt Speicherinhalte ausgelesen werden.

3.3.3 Dragonfly – gezielte Angriffe auf Produktionsnetze

Mit dem 2014 bekannt gewordenen Schadprogramm Havex griff die sogenannte Dragonfly- Gruppe (auch geläufig unter dem Namen Energetic Bear) mehrere Dutzend deutsche Unternehmen an.

Im Rahmen der Angriffskampagne kam ein neuer Angriffsweg zum Einsatz: Im ersten Schritt griffen die Täter die Hersteller von Software für Industriesteuerungssysteme an. Den entsprechenden Installationsdateien auf den Downloadservern der Anbieter wurde das Schadprogramm Havex angehängt, sodass die Kunden bei der Installation der legitimen Software zugleich auch die Schadsoftware auf ihr System brachten. In einigen Fällen wurde von dieser dann ein Modul nachgeladen, das gezielt Informationen über die im Produktionsnetz verwendeten Geräte und Systeme sammelte und an die Täter weiterleitete.

Mittels Havex wurde gezielt Schadsoftware im Bereich industrieller Steuerungssysteme eingesetzt, um Informationen zu sammeln. Es ist davon auszugehen, dass die Täter diese Informationen in einem nächsten Schritt für weitere Angriffe verwenden. In Zusammenarbeit mit dem Bundeskriminalamt informierte das BSI mehrere Dutzend Firmen in Deutschland, die Opfer der Dragonfly- Kampagne wurden.

3.3.4 Operation Windigo – Linux-Schadprogramm Ebury sammelt SSH-Zugangsdaten

Ebury ist ein Schadprogramm mit Backdoor-Funktionalität – ein sogenanntes Rootkit – für Linux und Unix-ähnliche Betriebssysteme, das Secure- Shell(SSH)-Zugangsdaten ausspäht.

Über die Backdoor haben die Täter jederzeit die vollständige Kontrolle über das infizierte System. Die mit Ebury infizierten Server werden von den Tätern im Rahmen der Operation Windigo für verschiedene kriminelle Aktivitäten missbraucht.

So wurden Webserver derart manipuliert, dass sie Besucher der dort gehosteten Webseiten auf andere Server umleiten. Dabei handelt es sich entweder um Dating-Portale, Webseiten mit pornographischen Inhalten oder um Server, die Drive-by- Exploits ausliefern und dadurch die Rechner der Webseiten-Besucher mit Schadsoftware infizieren.

Bei der Analyse konnten mehrere hunderttausend derartiger Umleitungen täglich beobachtet werden. Auf weiteren Systemen installierten die Täter unter Ausnutzung der mittels Ebury ausgespähten Zugangsdaten Schadprogramme zum Versand von Spam-Mails. Im Beobachtungszeitraum konnte hierüber der Versand von durchschnittlich 35 Millionen Spam-Mails täglich beobachtet werden.

CERT-Bund beteiligte sich an der „Ebury Working Group“, einem internationalen Zusammenschluss von Sicherheitsanalysten, die seit Februar 2013 weltweit rund 30.000 mit Ebury infizierte Server identifiziert hat.

3.3.6 ShellShock – Schwachstelle im Kommandozeileninterpreter Bash

Im September 2014 wurde unter dem Namen ShellShock eine Schwachstelle im Kommandozeileninterpreter Bash bekannt. Bash erlaubt nicht nur die Weitergabe von Umgebungsvariablen an eine Shell, sondern auch von Funktionen.

3.4 Vorfälle im Bereich Kritischer Infrastrukturen (KRITIS)

3.4.1 Social Engineering bei Großkonzernen

Im Mai 2014 wurden hochrangige Vertreter mehrerer international tätiger Großunternehmen mit besonders ausgefeilten Phishing-Mails adressiert.

Mit fingierten E-Mails wurden die Mitarbeiter darüber informiert, dass infolge eines Updates im IT-System zur Personalverwaltung ein Verdacht auf Inkonsistenzen in einzelnen Datensätzen bestehe. Unter diesem Vorwand wurden die Adressaten aufgefordert, die Kopie eines amtlichen Lichtbildausweises und die Bankverbindung ihres Gehaltskontos zu übermitteln.

Die E-Mails in nahezu perfekter deutscher bzw. englischer Sprache enthielten die Legende einer vollständigen Mailhistorie samt E-Mail-Headern mit authentischen Firmen-E-Mail-Adressen, um den Vorgang augenscheinlich zu legitimieren. Bemerkenswert war, dass die in der gefälschten Historie genannten Mitarbeiter tatsächlich in den jeweiligen Personalabteilungen tätig sind.

Einzelne Adressaten hielten die E-Mail für authentisch und übermittelten die angeforderten Dokumentenkopien bzw. Kontodaten an den Absender. Daraufhin wurden von den Angreifern postalisch mit gefälschten Unterschriften die Bankkonten der Betroffenen aufgelöst oder neue EC-Karten samt PIN.

3.4.2 Österreich: Fehlfunktion in der Steuerung von Energienetzen

2013 wurden in verschiedenen österreichischen Leittechniknetzwerken für die Steuerung von Energienetzen Anomalien im Datenstrom festgestellt. Diese verursachten bei mehreren Verteilnetzund Kraftwerksbetreibern Einschränkungen sowie vereinzelte Ausfälle in der Datenübertragung.

Die Fehlfunktion wurde vermutlich durch einen Steuerungsbefehl im Rahmen einer Inbetriebnahme im Netzwerk eines Gasnetzbetreibers im Süden Deutschlands ausgelöst und erreichte auch das österreichische Energienetz. Es erfolgte eine Weiterleitung an unterschiedliche Betreiber. Aufgrund der nicht spezifizierten Verarbeitung dieser Nachricht in einzelnen Komponenten des Netzwerks wurde der Befehl in einer Endlosschleife versendet. Diese löste erhebliche Störungen der Leittechnik für die Netzsteuerung aus.

Die Netzstabilität konnte während des Vorfalls nur unter hohem Aufwand sichergestellt werden. Während der Störung wurden erhebliche Datenmengen erzeugt, die zu Logdaten-Überläufen führten. Die Ursache des Vorfalls ließ sich deshalb nicht abschließend analysieren.

3.4.3 USA: IT-Manipulation im Hochfrequenzhandel eines US-Hedgefonds

Hochfrequenzhandel ist der An- und Verkauf großer Mengen an Wertpapieren in extrem kurzen Zeitabständen. Das System eines US-Hedgefonds, mit dem der Hochfrequenzhandel („high-frequency trading“, HFT) durchgeführt wird, wurde durch einen Cyber-Angriff manipuliert.

Ende 2013 drangen kriminelle Hacker in das Rechnernetzwerk eines US-amerikanischen Hedgefonds ein. Dadurch konnten sie die von dem Fondsbetreiber legitim eingespeisten Handelsaufträge abfangen, mitlesen und deren Weiterleitung um Millisekunden verzögern. Dies blieb über mehrere Monate unentdeckt.

Unter Verwertung der ausgespähten Orderdaten übermittelten die Täter in diesem kurzen Zeitfenster vor der Weiterleitung ihrerseits Handelsaufträge zulasten des Hedgefonds-Betreibers.

Der Vorfall ist in zweierlei Hinsicht bemerkenswert: Zum einen illustriert er – nach dem „Flash Crash“ im Jahr 2010 – zum wiederholten Mal die starke Verwundbarkeit des Börsenbetriebs gegen Cyber-Angriffe. Zum anderen ist neu, dass die Täter die ausgespähten Daten selbst für eigenen Handel nutzten. In der Vergangenheit hat es bereits marktverzerrende Effekte und teilweise Ausfälle von HFT-Handelsplattformen durch fehlerhafte HFT-Software gegeben.

 



19.12.2014 - "Dirk Fox: Im Überwachungsstaat"

Aus dem Dezember Newsletter von Secorvo, ein wie ich finde sehr guter Text von Dirk Fox, hier reproduziert mit freundlicher Genehmigung des Autors. (Hier gibt es übrigens ein Archiv der bisherigen Ausgaben des secorvo Newsletters).

Dirk Fox: Im Überwachungsstaat

Es war ein Jubiläum, das niemand beging – 30 Jahre nach „1984“, dem Jahr von Orwells Überwachungsstaat. Wirkte der Schreck über Snowdens Veröffentlichungen so nach, dass uns das Feiern verging? Oder ist die Ursache beunruhigender: Sind wir Frösche im Kochtopf, dessen Wasser schleichend erwärmt wird? Fragen wir uns vielleicht: Können wir überhaupt (noch) etwas tun? Oder blenden wir die allgegenwärtige Überwachung aus und reden uns (immer noch) ein, dass wir nichts zu verbergen haben? Es ist ja noch nichts passiert (zumindest haben wir nichts gemerkt), und böse Tyrannen gibt es ohnehin nur in Geschichtsbüchern und Nachrichten aus fernen Ländern.

Wenn wir die Realität nicht zumindest teilweise ausblenden, wird es unangenehm. Wer mag WhatsApp, GMail oder Facebook noch nutzen, wenn er ständig daran denkt, dass jede Nachricht und jeder „Like“-Klick, jeder Chat und jede Internet-Suche mitgeschnitten, beobachtet und zu einem Bild von uns verdichtet wird, das nie mehr gelöscht und jederzeit ausgewertet werden kann? Aber das Smartphone ausschalten? Dann ist man nicht erreichbar! E-Mails verschlüsseln? Dann kann man sie nicht mehr mit jedem Client abrufen! Auf das Navi verzichten? Wer hat denn heute noch einen Autoatlas? („Papi, was ist ein Autoatlas?“)

Derweil schrumpft der Bereich, in dem unser Verhalten nur im Gedächtnis unserer Mitmenschen vergängliche Spuren hinterlässt. „Car-IT“ analysiert Fahrverhalten und Regelverstöße, „SmartHomes“ steuern Heizung und Beleuchtung, und abends erfreut „SmartTV“ mit individualisiertem Programmangebot. Vielleicht war es richtig, sich nicht an „1984“ zu erinnern. Denn was uns wirklich bevorsteht, hat Ray Bradbury („Fahrenheit 451“) 1953 zutreffender vorausgesehen: Wir leben in einem technologischen Wunderland, rundumversorgt und perfekt unterhalten, bei umfassender Kontrolle (zu unserer eigenen Bequemlichkeit) – und haben vor lauter Unterhaltungsglück vergessen, wie Freiheit und Erkenntnis schmecken

 



02.11.2014 - Links zu den PDFs von 2 meiner Vorträge (beide aktualisiert)

Der traurige Zustand der Informationssicherheit

Hier der Link auf einem meiner Vorträge: Der traurige Zustand der Informationssicherheit.

Die ganz kurze Zusammenfassung: Wir wissen seit vielen Jahrzehnten, wie man sichere Software schreiben könnte, wir tun es aber nicht. Im Gegenteil, es gibt Hinweise, dass es immer weiter bergab geht mit der Informationssicherheit. Ein Problem scheint zu sein, dass Religionen und Software die einzigen Sachen sind, bei denen es keine Produkthaftung gibt. In der aktualisierten Version von 2015 verlinke auf auf einen ausführlichen (und wunderbar mit historischen Fotos bebilderte) 3-teiligen Artikel zur Sicherheit des Internet: "Unsicher by Design".

 

Die letzte Generation vor der Singularität - die Macht der Algorithmen

Hier der Link zu einem Vortrag von mir zu „Big Data Algorithmen als Lenkungswerkzeug“.
Das Video zu diesem Vortrag ist auf Youtube: Video: Von der flächendeckenden Überwachung zur flächendeckenden Manipulation.

Die kurze Zusammenfassung des Vortrags:
An die (freiwillige) flächendeckende Überwachung durch die verschiedenen Dienstleister wie Google, Facebook, Apple, Microsoft, Twitter, WhatsApp, Skype und der vielfältigen Fitness-Tracker haben sich die meisten Nutzer anscheinend bereits gewöhnt. Die meisten wissen, dass bei Nutzung eines Smartphones mit den vielfältigen Apps viel Privates an die jeweiligen Dienstleister geliefert wird. Auch mit der Weitergabe dieser Daten an die „Sicherheitsdienste“ scheinen sich die meisten irgendwie abgefunden zu haben.

Unklar ist den meisten aber, dass die Big Data Algorithmen daraus nicht nur benutzer-bezogene Werbung generieren, sondern dass diese (undurchsichtigen) Algorithmen Entscheidungen für die Nutzer treffen, ohne dass der Benutzer dies beeinflussen kann.

Da bleibt nur die Frage offen, ob wir die letzte Generation vor der (befürchteten oder erhofften) Singularität* sind oder nicht vielleicht die erste Generation danach.

Wer die lange Version des Vortrags möchte, der sollte mich auf einem Vortrag einladen. ;-)

Viel mehr zu diesen Themen auch unter Manipulation durch Algorithmen.

 



19.10.2014 - "Meine Daten auf einem fremden Rechner"

JPMorgan
An diese Bruce Schneier-Definition von "Cloud Computing" musste ich in den letzten Wochen öfters denken. Aktueller Anlass (der einen Sicherheitsmann bei einer Bank am meisten schreckt) sind die Meldungen über JPMorgan. Dort sind im Juni dieses Jahr unbekannte Angreifer in das interne Netz eingedrungen und war in der Lage, sich Administrationsrechte und Zugang zu 90 Servern zu besorgen. JPMorgan hat den Angriff im späten Juli entdeckt und Mitte August die letzten Eingangstore der Angreifer geschlossen. Das heißt JPMorgan hatte über mehrere Monate ungeladene Gäste im internen Netz.

JPMorgan sagt, dass "nur" die Namen, Anschriften und ähnliche Details ihrer Kunden gestohlen wurden (das klingt nach der Kundendatenbank, CRM-System), keine Finanzdaten. Überraschend ist, auch dass bis jetzt keine besonderen Angriffe auf Kundenaccounts entdeckt wurden. Besorgniserregend ist die Zahl der Betroffenen: 76 Mio Haushalte und 7 Mio Firmen. Zu beachten ist, dass laut Zensus die USA nur 115 Mio Haushalte haben, d.h. 2/3 der US-Haushalte sind betroffen. Mit den Details sind die Kunden ein gutes Ziel für Social Engineering Angriffe, die aber bisher noch nicht in großer Zahl registriert wurden. Ebenfalls gestohlen wurde die Datenbank, in der alle Anwendungen aufgelistet sind, die bei JPMorgan im Einsatz sind (die sog. CMDB, configuration management Datenbank). Dies ist eine gute Grundlage um zu sehen, welche Schwachstellen es im Netz der Bank noch geben könnte.

Das FBI ist auch durch die Tatsache beunruhigt, dass JPMorgan nur 1 von 10 Banken ist, die in diesem Zeitraum erfolgreich angegriffen wurden. Details über die anderen Firmen wurden aber nicht veröffentlicht. Gerade das fehlende aktive (sichtbare) Ausnutzen der Daten beunruhigt die Behörden sehr.

In 2015 kommt dann mehr Licht ins Dunkel: 3 alleged hackers were indicted Tuesday for what prosecutors called the “largest theft of customer data from a U.S. financial institution in history”. Die Hacker, die in diesen vielen Banken waren (mindestens 10 Banken) hätten die Kundendaten genutzt, um Aktien zu bewerben, die sie selbst gekauft hatten. "Prosecutors also accused the three men of operating illicit online casinos, laundering money through bitcoin exchanges, payment processing for criminal activity, and running a small empire of at least 75 shell companies and bank accounts and hundreds of employees." Die 3 sollen mindestens $100 Mio verdient haben, die sie dann über Bitcoin und online Casinos gewaschen hätten (sie betrieben ihren eigenen illegalen online bitcoin exchange, coin.mx). Ziel war der Aufbau eines großen Imperiums, wie einer der Angeklagten erzählte. ("As the men’s business empire expanded, so too did their criminal activity. While running at least 12 online casinos, the men allegedly hacked into rival online gambling businesses to steal customer information. They also launched denial-of-service attacks to disrupt their competitors’ operations, according to the indictment.")

Interessant ist dabei, dass die Angreifer zwar frei im Netz der Banken agieren konnten, aber der Versuchung widerstanden haben, sich einfach selbst zu bedienen. Das wäre vermutlich schneller aufgefallen, weil dann nämlich die Bücher der Bank sehr schnell nicht mehr gestimmt hätten. Den Angreifern hat gereicht, dass sie Zugriff zu den Kontakten und Hintergrundinformationen fast aller US Haushalte hatten. ("The scheme began in 2007 and was operating until earlier this year, netting the personal information of more than 100 million bank customers."

Target, Home Depot und andere
Dies ist nur der letzte große Stein in einer langen Kette von Datenverlusten bei US-Firmen. Letztes Jahr Target mit 40 Mio Kreditkartendaten und 70 Mio Kundeninformationen, Home Depot mit 56 Mio Kreditkarten, insgesamt wohl mehr als 1000 US-Unternehmen ihre Kreditkartendaten verloren, bzw. genauer gesagt, die Daten ihrer Kunden. An anderer Stelle mehr dazu bei wem die Schäden solcher Vorfälle dann wirklich aufschlagen.

Und im privaten Bereich ist es nicht besser: der iCloud Hack ist weit publiziert worden, dann kam der Angriff auf Snapchat, der eigentlich kein Angriff auf Snapchat ist, sondern zeigt, wie wenig Vertrauen man in Sicherheitsversprechen haben darf. Snapchat ist ein Dienst, mit dem Nachrichten, Videos und Bilder versendet werden können, die sich nach wenigen Sekunden beim Empfänger wieder in Luft auflösen. Aber nur, wenn der Empfänger sich an die Regeln hält und die offizielle App von Snapchat verwendet. Das war aber offensichtlich in diesem 100 000 Fällen nicht der Fall. Es gibt/gab nämlich den Dienst SnapSaved.com, bei dem die Snapchat Benutzer ihre Benutzernamen und Passworte eingegeben haben und der dann im Namen dieser Benutzer die Nachrichten abgerufen und im Klartext gespeichert hat. Hier 2 sich leicht widersprechende Artikel zum Hintergrund des Snapsaved Leaks: Snappening und ... recent events regarding Snapsaved.com (der Eintrag vom 11.10.2014).

D.h. die meine Daten im Netz sind immer nur so sicher, wie ALLE Beteiligten sich an die Regeln halten. Zu den Beteiligten gehören meine Kommunikationspartner, die Dienste die meine Daten zwischenspeichern und weiterleiten, die Dienste, die meine Daten wirklich vearbeiten wie die Banken und die Handelsketten. Dazu gehören auch die Administratoren aller dieser Dienste, die sich auch alle an ihre Arbeitsanweisungen halten müssen.

Das heißt, die offensichtliche Conclusio könnte sein, dass die einzig sichere Methode ist, wenn jeder seine Daten selbst speichert, verarbeitet, und sichert. Einige meiner Kollegen tun dies auch, sie unterhalten ihre eigene Infrastruktur, verwenden weder Gmail, noch Hotmail oder GMX, betreiben ihre eigenen Webserver.

Ein Artikel Security Trade-Offs erklärt aber ziemlich plastisch, was das Problem mit diesem Vorschlag ist: 98% der Bevölkerung sind damit überfordert. Ein beträchtlicher Teil der Bevölkerung hat ein viel größeres Risiko, seine Daten wegen fehlendem Backup zu verlieren, verglichen mit dem Risiko, dass ihr iCloud-, OneDrive-, Google Drive- oder Dropbox-Account geknackt wird.

D.h. die Wahl der meisten Bürger besteht nur zwischen

oder

Das klingt zwar traurig, aber ich fürchte, es ist wahr. Lösungsvorschläge, die für einen großen Teil der Bevölkerung (und nicht nur die Leser dieser Website) durchführbar sind, werden gern entgegengenommen.

1. Nachsatz und Ergänzung: ein weiteres aktuelles (Herbst 2014) Beispiel, warum es gefährlich sein kann, vertrauliche Informationen einem Dienst anzuvertrauen, der verspricht, damit ganz sorgfältig umzugehen ist die App Whisper. Seit einigen Jahren bietet dieser Dienst eine angeblich vollkommen anonyme Möglichkeit, Geheimnisse sicher zu verraten. Aber der Guardian postet nun die Story: How Whisper app tracks ‘anonymous’ users . Entgegen ihren früheren Behauptungen speichern sie alle Daten ohne Begrenzung, stellen auch dann den ungefähren Aufenthaltsort fest, wenn der Benutzer dies abgeschaltet hat, und arbeiten mit der Presse und Behörden zusammen um die Informationen die die Benutzer posten zu vermarkten. Von Guardian zur Rede gestellt hat Whisper jetzt einfach ihre Terms of Service der Realität angepasst. Denn die Behauptung, jemand wäre anonym obwohl gleichzeitig seine Aufenthaltsorte bestimmt werden, habe ich bereits an anderer Stelle behandelt.

2. Nachsatz: Dieser Artikel von Brian Krebs ist noch ein solches Beispiel: We Take Your Privacy and Security. Seriously. Brian bekommt ein Schreiben von seinem Internetanbieter, dass seine Daten, Passwort, Geheimfrage und der Rest Angreifern zum Opfer gefallen seien. Aber das Unternehmen betont, dass ihnen die Sicherheit sehr am Herz läge. Der Angriff war ein Social Engineering Angriff auf den Account einer Mitarbeiterin. Rückfrage von Brian, ob sie denn für Zugriffe der Mitarbeiter aus dem Internet keine 2-Faktor-Authentisierung einsetzen würden, es kam die Antwort: Nein, aber wir denken jetzt darüber nach. Und so ist es wohl fast überall: solange nichts passiert ist beschränkt man sich auf vollmundige Marketing-Sprüche. :-(

 



20.07.2014 - Angriff auf NASDAQ in 2010

Das ist eine verwirrende Geschichte, die Businessweek da berichtet: How Russian Hackers Stole the Nasdaq. Was damals im Oktober 2010 wirklich passierte, ist immer noch ziemlich offen. Auf jeden Fall gab es einen Alarm beim FBI dass auf den Rechnern der NASDAQ Börse Schadsoftware wäre. Mehrere US Agencies stritten sich dann darum, wer die Federführung bei der Untersuchung haben sollte, aber in den folgenden 5 Monaten kam nicht viel Klarheit heraus.

Was unumstritten ist, das ist dass Angreifer vermutlich 3 Monate lang im Netz der NASDAQ unterwegs waren, aber da nur sehr wenig Log-Daten vorhanden sind, ist unklar, was sie dort getan oder was sie von dort gestohlen haben. Sehr beunruhigt hat die US-Behörden, dass die Malware offenbar auch einen destruktiven Code-Teil hatte, mit deren Hilfe die Angreifer zumindest eine große Verwirrung in den US-Börsen hätten erzeugen können. Einige haben/hatten daher die Theorie, dass es sich nicht um Cyberspionage, sondern um die Vorberietung zu einem Cyberwar-Angriff handeln könnte, vergleichbar mit Stuxnet.

Die verwendete Software ist russichen Ursprungs, was aber nicht unbedingt viel beweist. Bei der Untersuchung wurden dann aber noch die Spuren von weiteren Gruppen von Eindringlingen gefunden, von regulären Kriminellen bis zu chinesischen Hackern. Außerdem war das Gebäudeverwaltungssystem der Börse in NY mit Blackhole infiziert und hat damit versucht, PCs von den Mietern des Gebäudes zu infizieren. D.h. die IT-Systeme waren durchweg in desolatem Zustand. Für den Fall dass es um einen Angriff auf das US-Börsensystem ging wurden dann auch andere US-Börsen durchleuchtet. Ergebnis war, dass sie zwar genauso leicht anzugreifen waren, aber es gab keine Hinweise, dass auch dort diese Malware platziert wurde.

Mitte 2011 war die Mehrheitsmeinung unter den US-Behörden, dass es sich um Industrie-Spionage handelte. In Moskau wurde zu dieser Zeit an einer neuen russischen Börse gearbeitet und vielleicht wollten die russischen Behörden nur von der NASDAQ lernen. Ein weiterer Verdacht, nämlich Insiderhandel hat sich auch nicht bestätigt, die Hacker hatten zwar Zugang zu Vorab-Informationen, aber es gibt keine Hinweise, dass diese ausgenutzt wurden.

Letztendlich ist wohl auch heute noch unklar, was damals eigentlich passiert ist. Klar ist aber, dass die IT-Systeme von denen unsere Wirtschaft abhängt, extrem verwundbar sind - unnötig verwundbar, denn von Best-Practise Methoden waren die Börsen weit entfernt.

 



13.07.2014 - Thema Wearables / Fitness-Tracker / Self-Tracker - Quantified Self - auch "Wo sind denn die Daten geblieben?" überarbeitet 2016

Einen sehr tiefen Eingriff in die Privatsphäre stellen die Wearables dar, egal ob als Armband, Oberkörperband, am Oberarm oder am Handgelenk, die kontinuierlich Gesundheitsdaten messen und mittels Smartphone in die Cloud senden. Wie die verlinkte Veröffentlichung beschreibt erfährt der Nutzer von der verpflichtenden Datenweitergabe sehr oft erst nach dem Kauf und kann dann schlimmstenfalls das Gerät wegwerfen, falls ihm die Datenweitergabe nicht passt.

Diese Geräte dringen zum Teil sehr tief in die Privatsphäre ein: Sensoren zeichnen die Pulsrate, detaillierte Bewegungen und Bewegungsmuster auf und lassen damit tiefgehende Schlüsse über Schlaf und viele genau identifizierte Aktivitäten zu. Oft sammelt ein GPS (im Gerät oder im Smartphone) dazu noch kontinuierlich die Standorte, Tag und Nacht. Das Interesse an diesen Daten ist groß, nicht nur bei den Krankenkassen (die Benutzer muss bei Inbetriebnahme der Datenverarbeitung und auch der Datenweitergabe zustimmen). Hier eine sehr gute Darstellung der Infrastruktur die für den Betrieb von Wearables wie Fitness-Trackern eingesetzt wird und wie die Daten dort fließen. Ein großes Problem ist, dass eigentlich alle Geräte die Daten mittels eines Smartphones in die Cloud senden, d.h. jeder Nutzer wird automatisch transparent für irgendwelche Firmen, die die Daten mehr oder weniger beliebig zu Geld machen können.

Vom Thema Wearables ist es nicht weit zu den Themen Internet of Things (IoT) und zu Google Glas (jeweils an anderer Stelle mehr dazu).

Diese lange Liste von Geräten zeigt, was 2016 alles auf dem Wearables Markt verfügbar ist. Da gibt es kaum eine Körperfunktion, die nicht gemessen werden kann. Versicherungen können auf diese Weise recht detaillierte Einblicke in den Lebensstil ihrer Kunden gewinnen. Daraus versuchen die Versicherungen, statistische Aussagen über die Gesundheit zu machen und Tarife geeignet anzupassen.

Fitness-Tracker zeichnen intime Details auf, hier detailliert kommentiert. Sexuelle Aktivitäten unterscheiden sich deutlich von anderen körperlichen Aktivitäten und stehen dann auch Versicherungen zur Verfügung, oder dem Arbeitgeber, wenn der Mitarbeiter das Gerät auch im Bett trägt, siehe Artikel links.

 

Die öffentlichen Diskussionen über die sexuellen Aktivitäten einer Frau, die ihre Trackingdaten frei verfügbar ins Netz gestellt hat, zeigt, wie tief diese Daten in das Intimleben eindringen (siehe die Graphik rechts). In Verbindung mit den Daten des GPS weiß der Betreiber (und alle die diese Daten gekauft haben) auch, wer da mit wem aktiv ist. Selbst wenn die andere Person nicht direkt identifiziert werden kann (z.B. weil sie nicht auch ein solches Gerät trägt) so geben auch die kontinuierlich gesammelten Ortsdaten sehr viel über Personen preis: wo sie arbeiten, wo sie einkaufen, welche Art von Clubs oder Pubs sie besuchen, wie viele Nächte sie nicht im eigenen Bett verbringen etc. Und die Kombination aus Arbeitsort und typischem Schlafplatz ist für 90% der Menschen eindeutig und gibt die direkte Identität preis (an anderer Stelle mehr zu De-Anonymisierungen).

Auch aus dem Intimleben 2016: Husband learns wife is pregnant from her Fitbit data. Der Ehemann hatte den erhöhten Puls seiner Frau bemerkt und im Internet im Internet auf Reddit diskutiert weil er einen technischen Fehler vermutet hatte. Einer der Teilnehmer in seiner Diskussionsgruppe hat dann auf Schwangerschaft getippt und ein Test hat diese auch bestätigt. An anderer Stelle mehr zum Thema Spuren im Internet.

Ein großes Problem liegt darin, dass zwar derzeit die Nutzung dieser Gerät noch freiwillig ist, aber es gibt bereits erste Initiativen, gegen die Überlassung der auf diese Weise gesammelten Daten Rabatte bei Versicherungen zu gewähren - hier das Angebot Vitality der Generali Versicherung. Der vorige Link klingt ja noch ganz harmlos und spricht von Selbstauskünften. Aber hier kann man die Graphik zum Datenfluss einsehen und da steht dann z.B. "einwilligungsbasierte Übermittlung von Aktivitätsdaten und Kauf von wearables bei den Generali Vitality Device Partnern" und "einwilligungsbasierter Informationsaustausch von Mitgliedsdaten zu Programm-, Abrechnungs- und Kontrollzwecken".

Wenn erst mal durch die Weitergabe der entsprechenden Gesundheits- und Bewegungsdaten sehr attraktive Versicherungsangebote zur Verfügung stehen, so wird ein entsprechender Druck entstehen, solche Tracker zu tragen, man wird ja wohl nichts zu verbergen haben. Ähnliche Ideen gibt es ja auch bei der Sozialversicherung für Selbständige in Österreich. Die Freiwilligkeit der Datenweitergabe und Überwachung wird nur noch für Menschen gegeben sein, die in der Lage sind, für ihre Privatsphäre einen Aufpreis zu zahlen.

Diese Datensammlungen betrifft jetzt erst mal Krankenversicherungen, aber auch Arbeitgeber sind sehr an mehr Daten über ihre Mitarbeiter interessiert. Der 2016 Artikel Taylorismus 2.0 Wie Unternehmen Mitarbeiter kontrollieren beschreibt ein recht gruseliges Szenario, das bereits in einigen Unternehmen Realität ist. Der Artikel erwähnt BP, Hitachi, der spanische Mobilfunker Telefonica und die amerikansichen Ketten Seven Eleven und The Counter. Natürlich muss das in Europa freiwillig sein, aber es werden attraktive finazielle Belohnungen für das Tragen dieser Armbänder geboten und außerdem entsteht evt. auch ein gewisser Gruppendruck - was hat denn der Kollege zu verbergen, macht der evtl. gar keinen Sport? Um die Transparenz der Mitarbeiter weiter zu erhöhen, braucht die Firma dann nur noch Sentiment Analyse einzuführen.

Was derzeit in Silicon Valley durch die vielen unterschiedlichen Cloud- und Web-Hosting-Dienste und die Social Networks an brisanten Daten angehäuft wird ist vermutlich genug Material, um jeden zukünftigen Politiker mittels Erpressung "unter Kontrolle zu bringen". Eine solche Erpressung muss ja nicht mal von der Firma selbst ausgehen, es genügt, dass ein Administrator seinen Zugriff auf die Daten ausnutzt und sich private Kopien anlegt, die später mal zu Geld gemacht werden könnten. Es gibt Hinweise, dass es Firmen gibt, die jede Nacht die Social Networks durchkämmen und alle Fotos wegsichern (für den Fall, dass der oder die Betroffene sie später reumütig löscht). Dann brauchen sie nur die warten, bis er oder sie mal als Politiker kandidieren möchte oder sie für Miss America kandidiert.

Wie peinlich "Daten-Nachlässe" sein können zeigen die Diskussionen um die STASI-Akten. In dem Vortrag wird von Polen berichtet, dort sind ebenfalls die Geheimdienstakten unter Diskussion und keiner traut sich diese "Giftkiste" zu öffnen, wer weiß was sich dort alles findet. Die Präsentation verweist auf Operation Hyacinth, wo 1985-87 Akten über 11000 polnische Homosexuelle angelegt wurden - diese Informationen sind auch heute in Polen noch immer brisant.

Eine Studie von Symantec zeigt 2014, dass ein sehr großer Teil der self-tracking wearables extrem unsicher programmiert ist: keine verschlüsselten Datenverbindungen ins Internet, Klartext-Übermittlung der Passworte, und ähnliche Probleme.

 

Wo sind denn die Daten geblieben?

Ein auch aus anderen Gründen sehr empfehlenswerter Vortrag The Internet With A Human Face - Beyond Tellerrand 2014 (von Peter Watts) wirft an einer Stelle die Fragen auf, wo denn die Daten der mittlerweile obsoleten Social Networks geblieben sind. Er erwähnt SixDegrees.com, Friendster.com und MySpace.com, aber auch in Deutschland sind bereits Soziale Netze aufgelöst worden.

Im Konkursfall fallen, zumindest in den USA, alle Werte (d.h. auch die persönlichen Daten) an den Konkursverwalter. Dessen Aufgabe ist es, aus den Resten des Unternehmens möglichst viel für die Gläubiger zu retten. Er ist in den USA (wo die meisten unserer Cloud-Daten lagern) NICHT an die alten Verträge, z.B. die Versprechen der ursprünglichen Firma über die Nicht-Weitergabe gebunden (die Lage in Europa sollte sauberer sein - nach meinem Verständnis muss auch der Nachlassverwalter sich an die Datenschutzgesetze halten und darf daher die Daten keinem neuen Verwendungszweck zuführen. Außer, die Nutzungsbedingungen sind so, dass der Nutzer der Weitergabe der Daten an "befreundete Unternehmen" zugestimmt hatte, dann geht natürlich vieles. SchuelerVZ hat sein Ende wohl ganz ordentlich implementiert.).

Das heißt, der Datenverwalter eines US-Services wird vermutlich die Daten meistbietend versteigern und das kann er eigentlich mehrfach tun (außer es lässt sich ein Käufer Exklusivität zusichern).

Wann haben Sie denn das letzte Mal Nutzungsbedingungen bis zum bitteren Ende durchgelesen, bevor Sie einem Service zugestimmt haben?

 



13.07.2014 - Anonym wird illegal werden

Die Abschaffung der Anonymität macht große Fortschritte. Da sind z.B. die Diskussionen um die Trolls und Hassposter in den Internet-Foren, wo immer wieder das Abschaffen der Pseudonyme als Scheinlösung vorgeschlagen wird. Scheinlösung, weil selbst die heftigen Aktivitäten von Google und Facebook in Richtung Klarnamenzwang es nicht geschafft haben, dass jeder Nutzer einen realen Namen nutzt (was immer der reale Name sein mag) und dass selbst bei Klarnamen-Nutzung die Zivilität nicht wirklich besser ist, was der drastische 2014 Shitstorm in Österreich gezeigt hat.

Der Artikel Attempts to stay anonymous on the web will only put the NSA on your trail berichtet von dem Versuch einer Soziologin, ihre Schwangerschaft vor Google, Facebook und anderen Trackern geheim zu halten (über das Erkennen von Schwangerschaften an anderer Stelle). Sie hat dafür neue Accounts angelegt, TOR genutzt und versucht, möglichst viel Bar zu bezahlen. Als sie für 500$ Amazon Gutscheine kaufen wollte hat sie damit einen Geldwäsche-Alarm ausgelöst. Schon vorher waren bei allen Geheimdiensten die Alarmglocken durch ihre Nutzung von TOR angeschlagen.

Wenn Bargeld nicht bereits erfunden wäre, so würde es heute sicher nicht mehr genehmigt, die Geldwäsche-Gesetze würden dies sicher verhindern. Und die Nutzung von größeren Mengen von Bargeld erzeugt sofort einen Alarm. Anonyme Geldkarten (z.B. von iTunes) dürfen nicht über 100 Euro sein und der Kauf von mehreren löst einen Alarm aus.

3D-Druck beunruhigt die Behörden unter anderem, weil damit die Herstellung von Objekten schwerer zu Tracken ist als das Kaufen, speziell als der Kauf im Internet. Durch das Selbst-Drucken von Ersatzteilen für Haushaltsgeräte würden die Patente und andere Schutzregelungen unterlaufen.

In vielen Städten ist die Benutzung von Monatskarten in öffentlichen Verkehrsmitteln nicht mehr anonym möglich. Auch für die Netzkarten der Deutschen Bahn war gefordert worden, dass jede Fahrt registriert werden muss (obwohl alle Fahrten mit der Netzkarte kostenlos sind).

Schon jetzt gibt es, speziell bei Bereich Car-Sharing, Autos, die mittels Smartphone statt mit dem Schlüssel gestartet werden. D.h. das Auto weiß dann immer, wer derzeit am Steuer sitzt (oder wer es gestartet hat und damit die Verantwortung für diese Fahrt übernimmt). Neue Autos müssen bis April 2018 mit eCall ausgestattet sein, einem Gerät das eine Mobilfunkeinheit und einen GPS eingebaut hat und auf diese Weise mit Notrufnummern kommunizieren kann. In der derzeitigen Regelung sind die Daten (noch) beschränkt, aber beim ersten geeigneten Anlass kann sich das ändern (Mission Creep).

Die Einführung von Gesichtserkennung in Geschäften wird bald dazu führen, dass wir auch Geschäfte nicht mehr anonym betreten können.

 


Neues Problem im Herbst 2016:

Millionen von gekaperten IoT-Geräten werden als Angriffsarmee genutzt

Zig Millionen von unsicheren Videokameras und anderen Geräten im Internet werden für Denial of Service Angriffe (dDoS) genutzt, die ungewöhnlich hohe Bandbreiten erzeugen. Am 21. Okt. 2016 wurden große Teile der US-Infrastruktur durch einen Angriff gegen die Firma Dyn DNS lahm gelegt, betroffen sind z.B. Amazon, Spotify, Twitter, Paypal und viele andere.

Der Artikel hier listet einige der aktuell betroffenen Geräte: Wer die Hersteller des IoT-DDoS-Botnets sind. Hauptproblem scheint zu sein, dass diese Geräte mit einem Standard-Benutzername mit öffentlich bekanntem Passwort im Netz erreichbar sind.

Aber das Problem ist noch viel größer: Cisco schätzt, dass es heute bereits 15 Milliarden vernetzte Geräte weltweit gibt. Getrieben durch den "Smart"-Boom könnten es bis 2020 bereits 50 Milliarden sein. Chiphersteller Intel geht sogar von 200 Milliarden aus. Dies klingt realistisch: Zu diesen Geräten gehören nämlich z.B. auch die WLAN-Router die viele von uns zu Hause stehen haben, auch viele Modelle der Router können für Angriffe genutzt werden.

Die bisherigen Angriffe waren zwar deutlich höher als alles bisher bei dDoS gesehene (hier dDoS Berichte aus 2013), aber die Angreifer haben noch nicht wirklich gezeigt, was diese Botnetze aus Geräten können. Denn fortgeschrittene Angriffsmethoden wie Amplification wurden noch gar nicht eingesetzt.

Der Artikel spricht vom "Internet of unpatchable Things", da die Geräte neben den öffentlichen Passworten auch noch 12 Jahre alte Schwachstellen enthalten und derzeit noch keine Idee besteht, wie dieses Angriffspotential entschärft werden kann.

Ein weiterer Artikel berichtet über die Bandbreite von Mirai: Was Cloudflare vom Mirai-Botnetz sieht. Cloudfare ist ein weiterer Anbieter von dDoS-Schutz. Nachdem Akamai den Schutz der Website von Brian Krebs nicht mehr übernehmen wollte hat sich der Google Service Project Shield angeboten. Der folgende Artikel zeigt wie massiv die Angreifer zu Beginn 2017 mittlerweile sind: How Google fought back against a crippling IoT-powered botnet and won.

Update (22. Okt. 2016): Mit Hilfe dieser Botnets aus Geräten wird ein massiver und erfolgreicher Angriff auf weite Teile der US-Internet-Infrastruktur gefahren. Noch mehr Details gibt es bei der NY Times: Hackers Used New Weapons to Disrupt Major Websites Across U.S.. Dort wird spekuliert, dass die Angreifer evtl. einen Probelauf für den Wahltag gemacht haben, bei dem in den USA in einige Bundesstaaten online gewählt werden kann.

Auch für Sarkasmus bieten diese Angriffe viel Anlass: Ein Security Experte tweetet: In a relatively short time we've taken a system built to resist destruction by nuclear weapons and made it vulnerable to toasters.

Hal Faber schreibt auf heise.de: Zigtausende von Überwachungskameras und Videorekordern dieser Überwachungssysteme wurden genutzt, um das Internet lahmzulegen. Wobei die Beschreibungen häufig zu kurz kommen, denn es war kein Angriff der Hacker auf den Alltag, sondern ein Angriff des Alltags selbst, weil Vernetzung pfennigbillig sein muss. Es ist ja mal eine neue Erfahrung, dass man gegen diese Angriffe nichts tun kann. . . Im Billignetz vom IoT mit seiner Schrottsoftware ohne jegliche Sicherheit auf Updates zu warten, das hat was von Beckett.

Ein Artikel im Januar 2017 sagt, dass das Mirai-Botnetz ein Abfallprodukt der sog. Minecraft-Server-Kriege ist. Es zeigt sich wieder mal, dass jede neue Technologie sofort auch "Parasiten" hervorbringt, die versuchen, aus dieser neuen Entwicklung irgendwie, notfalls auch illegal und auf Kosten anderer, Geld zu schlagen. Die Kollateralschäden können dabei erheblich sein, viel größer als der mögliche Gewinn. Dies ist ein anderes Beispiel für Externalitäten.

Auch bei diesem Thema gibt es neue Geschäfts-Opportunities: Rent a Mirai Botnet of 400,000 Bots. 2 Wochen Angriffe gegen einen Konkurrenten mit 50000 Geräten (jeweils 1 Std. Angriff und 5-10 Min. Pause) für einige Tausend US-Dollar.

An anderer Stelle gibt es mehr zum Thema Denial of Service Angriffe.

 

19.01.2014 - Internet of Things (IoT), Smart Home, Home Automation, Smart City und "Smart Everything"

An anderer Stelle diskutiere ich noch andere Probleme durch die allgegenwärtige Vernetzung: SCADA und ICS, da geht es um die Computer-Steuerung von Industrieanlagen. Mein Artikel zu Stuxnet zeigt, was dort bei Angriffen alles möglich ist.

In diesem Artikel wird der privaten Nutzer, d.h. Smart Home, Home Automation, Smart City und "Smart Everything" behandelt. Weitere Spezialfälle sind Smart Meter und Smart Grid und vernetzte Autos.

           If you can monitor your house across the web, so can everyone else.

Internet of Things ist ein neues Schlagwort, das bezeichnet, dass in der Zukunft fast alle Geräte, auch die mechanischen Haushaltsgeräte wie Waschmaschine und Kühlschrank, Zugang zum Internet haben werden. Dies wird entweder direkt mittels IPv6 sein oder indirekt über eine WLAN Verbindung zum Router in der Wohnung. Die Nutzung der Geräte erfolgt dann z.B. mittels Smartphone Apps und kann aus der Ferne geschehen. Hier eine Definition von "Internet of Things" von der SAP-Website:

Sicherheitsexperten sind sehr beunruhigt über diese Entwicklung. Problematisch ist dies in Bezug auf die Verletzungen der Privatsphäre und aber auch die digitale und physische Sicherheit. Die bisherige Erfahrung zeigt, dass die Entwickler von Geräten sehr schlecht darin sind, diese gegen unbefugte Nutzung zu sichern. Beispiele sind die Manipulation von Autos, medizinischen Geräten (IMDs) wie Herzschrittmachern, Insulinpumpen, u.ä. bei denen gravierende Sicherheitslücken gezeigt wurden, ebenso Smartmeter. Auch für Steuerungen von Heizungen, Beleuchtung, etc. konnten unbefugte Zugriffe demonstriert werden. Auch wenn dies evtl. vergleichsweise harmlos klingt, so ist doch ein Einbrecher, der in der Lage ist, von außen alle Lichter zu kontrollieren, auch bei seinem physischen Angriff von Vorteil.

Zusätzlich verraten natürlich alle diese Dinge über ihren Status Informationen über den Besitzer, oder dringen wie Webcams direkt in die Privatsphäre ein wenn die Geräte öffentlich erreichbar sind, was ja beim Einsatz als Nannycam sehr gewünscht ist.

Eine sehr beeindruckende "near-future fiction" stellt einen Cyberangriff auf New York dar. Der Artikel hat 2 Ebenen, einmal wird fiktional gezeigt, wie jeweils ein bestimmter Angriff zu einer Verstärkung des Chaos in NY führt, auf der zweiten Ebene kann die Leserin nachlesen, welchem realen Ereignis der jeweilige Angriff nachempfunden ist.

Eine Glosse von Mat Honan stellt sich das well-connected Eigenheim im Jahr 2022 vor. Es geht dabei unter anderem um die Auswirkungen des Überalterungseffekts und der fehlenden Möglichkeit, zu akuteller Software zu wechseln wenn die andere angreifbar wird.

Ein weiterer Effekt wird die vorzeitige Alterung (Obsoleszenz) die dann eintritt, wenn das Gerät zwar noch einwandfrei funktioniert (bei Waschmaschinen und Kühlschränken sollten das 10 Jahre sein), aber eine veraltete Betriebssystemversion enthält und daher keine Sicherheitspatches mehr bekommen kann und dadurch verwundbar wird und (an sich) ersetzt gehört. Ein Beispiel für den Sicherheitsverlust durch fehlende Sicherheitspatches ist Android, bei denen die Hälfte der Geräte auf Grund der Zerklüftung der Anbieterlandschaft (Google --> Hardware Hersteller wie Samsung, etc. --> Telekoms) mindestens 2 Jahre keine Sicherheitsupdates bekommen hat.

Daher werden viele Geräte entweder vorzeitig entsorgt oder von den Netzen getrennt werden müssen (sofern dann weiterhin eine Nutzung möglich ist, d.h. sofern sie überhaupt noch einen mechanischen Einschalter haben). Das Trennen von den Netzen ist z.B. bei einem zukünftigten PKW gar nicht mehr möglich, ab Oktober 2015 muss eCall verpflichtend in allen Automodellen in der EU eingebaut werden. Wenn dann dafür keine Sicherheitspatches zur Verfügung stehen, so können schlimmstenfalls Unbefugte in die Steuerung des Wagens eindringen.

2014:
Alles was jetzt ins Netz kommt, kann auch gehackt werden: Angriff auf Glühlampen.

Vom Thema 'Internet of Things' ist es nicht weit zu den Themen Wearables/Self-Tracker und zu Google Glas (jeweils an anderer Stelle mehr dazu).

HP hat viele der Dinge untersucht, die mit sog. Intelligenz mit anderen Geräten, häufig im Internet kommunizieren. Leider sind bei fast alles dieser Geräte drastische Sicherheitsprobleme zu finden. Hier dann eine Artikelserie The Insecurity of Things. Die Autoren zeigen auf einer recht technischen Ebene, wie sie systematisch die elektronischen Geräte in ihrem Haushalt als Hacker übernommen haben, und dabei sogar Zugriff auf ALLE Geräte des Herstellers bekamen, indem sie die Wartungsschnittstellen ausnutzen konnten oder entdeckten, dass alle Geräte des Hersteller mit dem selben Passwort gesichert sind. Hier der 2. Teil der Serie. Und noch ein langer und recht technischer Artikel dazu: How I hacked my home.

Eine Studie von Symantec zeigt, dass ein sehr großer Teil der self-tracking wearables extrem unsicher programmiert ist: keine verschlüsselten Datenverbindungen ins Internet, Klartext-Übermittlung der Passworte, und ähnliche Probleme.

Sept. 2014:
Trend Micro veröffentlicht einen recht guten Text: What to Consider When Buying a Smart Device. Weniger technisch, eher eine Checkliste, was beim Kauf von Smart-Geräten (Smart-TV, Lichtsteuerung, Klimasteuerung, etc.) beachtet werden sollte. Er listet in seiner Checkliste folgende Punkte:

Zum Thema Aktualisieren der Software gibt es hier einen Artikel aus 2015: 30 Minuten für das Patchen einer intelligenten Lampe - wenn es denn überhaupt möglich ist und klappt und nicht, wie im nächsten Link, das Gerät gleich hin ist und der Techniker kommen muss (sofern noch Garantie besteht): Software-Update legt LG-Fernseher lahm.

Jetzt kommen immer mehr Meldungen dieser Art: Smart Home: Hersteller Wink legt Steuerzentralen in den Wohnungen der Kunden lahm. Die Kunden können die Geräte einschicken.

  1. Authentisierung. Erfordert das Gerät vor einem Zugriff die Eingabe einer Authentisierung, z.B. Passwort oder PIN? Falls nein, kann z.B. jeder, der sich Zugriff auf das WLAN verschafft, das Gerät manipulieren. Bzw. Geräte, die um mit der dazugehörigen App kommunizieren möchten im Internet aktiv sind (wie Baby-(sitter)-Cams, auch "Nanny Cams" genannt oder andere Kameras mit denen Wohnungen optisch überwacht werden), lassen sich leicht über die Suchmaschine Shodan finden.
  2. Aktualisierbarkeit. Gibt es eine (für den Benutzer einfache) Möglichkeit, neue Firmware-Versionen zu installieren, wenn z.B. Verwundbarkeiten im Gerät gefunden wurden, oder ist dann das Gerät automatisch "Schrott"?
  3. Verschlüsselung. Verschlüsselt das Gerät seine Verbindungen (Standort-Daten, Video-Daten, medizinische Daten von Self-Trackern, ...), aber auch z.B. die Übertragung einer neuen Firmware? Oder werden evtl. sogar Passworte und Zugangscode im Klartext übertragen?
  4. Offene Ports. Viele dieser Geräte haben offene Ports wie Telnet, damit sie einfach gewartet werden können. Zumeist stehen dann die dazu gehören Zugangscodes im Internet (und lassen sich über eine Suchmaschine leicht finden).
  5. Umgang mit leeren Batterien. Viele Geräte brauchen Batterien, und viele haben keine gute Möglichkeit, anzuzeigen, dass ihre Batterie leer ist. Ein Problem wird dies z.B. bei Alarmanlagen, deren Sensoren an den Fenstern dann einfach aufhören, Einbruchsversuche zu melden.
  6. Verwundbarkeiten und Patches. Gibt es von dem Anbieter des Geräts eine Datenbank mit gefundenen Schwachstellen und den Lösungen dazu?

Das Bayrische Landesamt für Datenschutz hat in einer groß angelegten Aktion aktuelle Smart-TVs auf Sicherheit und Datenschutz untersucht: Prüfbericht: Smart-TVs sind Datenschleudern. Die Hersteller setzen Datenschutzprinzipien technisch nur rudimentär um.

2015:
HP hat sich jetzt den IoT-Spezialfall Home Security angesehen. Ihre Zusammenfassung ist If you can monitor your house across the web, so can everyone else. Von den 10 getesteten Systemen hat keines die Tests bestanden, alle boten möglichen Einbrechern ausreichend Schwachstellen um das System auszuhebeln.

SEC Consult untersuchte 2015 eine große Zahl von Geräten mit eingebauten Webservern. Webserver sind heute fast überall eingebaut damit die Geräte leicht zu administrieren sind, auch ihr WLAN-Router, jede Internet-Kamera und ähnliches enthält einen solchen. Der Artikel House of Keys: Industry-Wide HTTPS Certificate and SSH Key Reuse Endangers Millions of Devices Worldwide zeigt, dass eine große Zahl dieser Geräte immer den gleichen Server, inklusive den gleichen geheimen Schlüsseln eingebaut hat. Diese Schlüssel sind öffentlich, denn von den Hersteller-Websites lässt sich die Firmware leicht herunterladen. 580 unterschiedliche Schlüssel verteilen sich auf 9% der Geräte im Internet. Dies sind viele Millionen Geräte, die nur darauf warten, übernommen zu werden.

Ende 2015:
Mattel bringt eine Barbie-Puppe mit Mikrophon und Lautsprecher auf den Markt, die Gespräche mit Kindern führt, indem sie die Äußerungen der Kinder in die Cloud lädt und dort analysiert. An anderer Stelle mehr zu Hello Barbie und was daran alles gruselig ist.

Zur gleichen Zeit sieht Bruce Schneier eine neue Stufe des Gruselns erreicht, weil die Geräte hinter unserem Rücken miteinander über uns reden: The Internet of Things That Talk About You Behind Your Back. Es geht darum, dass Firmen wie SilverPush daran arbeiten, auch Geräte die gar nicht im Internet sind, dazu zu bringen, Details über uns zu verraten. Dies geschieht z.B. indem die Geräte hochfrequente Töne aussenden, die dann von einer Smartphone-App erkannt und weitergeleitet werden. Beispiele sind Werbungsschaltungen im Fernseher, die über die hochfrequenten Töne einer App mitteilen, dass diese eine Werbung eben gesehen wurde. Schneier fordert, dass solche Methoden bei denen keinerlei Zustimmung gegeben wurde, verboten werden.

 

Bruce Schneier hat Anfang 2017 eine Sammlung von Security and Privacy Guidelines for the Internet of Things. Er rechnet damit, dass solche Regeln (entweder als Initiative der Industrie oder als Verordnung oder Gesetz) offiziell erlassen werden. Die Bedrohungen für den Rest des Internets sind einfach zu groß. Anderseits wird es sehr schwierig sein, ein weltweites Problem durch Ländergesetzgebungen zu lösen.

April 2016
Firma SEC Consult hat eine umfangreiche Studie zur Sicherheit von in Deutschland verkäuflichen Smart Home Komponenten durchgeführt: SEC Consult Study on Smart Home Security in Germany - a first silver lining on the horizon of IoT? Der Artikel gibt einen guten Überblick über den grundsätzlichen Aufbau solcher Lösungen und zeigt dann, dass es deutliche Verbesserungen bei der Sicherheit fast aller Lösungen gibt. Der Silberstreifen am Horizont ist, dass einige Systeme die im letzten Jahr durchgefallen waren, dieses Jahr bereits besser abschneiden.

Ebenfalls jetzt im Netz verfügbar: Die Kurzversion meines Vortrags zu Smart City und den Herausforderungen der Anonymisierung der dabei benötigten Daten.

Mai 2016
Ein Interview mit dem Entwickler von Shodan, der Suchmaschine für das Internet of Things: I never imagined a nuclear plant’s control system being online.

Ebenfalls im Mai 2016 eine Studie: Earlence Fernandes, Jaeyeon Jung, and Atul Prakash, "Security Analysis of Emerging Smart Home Applications. Und ein Artikel dazu Samsung Smart Home flaws let hackers make keys to front door.

 



19.01.2014 - Kann der Überwachungsstaat wieder zurückgefahren werden?

Dieser Artikel beruht auf einem Text von Bruce Schneier: How the NSA Threatens National Security. Die Positionen die ich hier heraushebe und viele Ergänzungen sind jedoch meine eigenen. Schneier fasst m.E. die Überwachungsproblematik sehr schön zusammen. Ich bringe an dieser Stelle eine kurze Zusammenfassung seiner Thesen. Auch wenn der Artikel aus dem Blickwinkel USA geschrieben ist, so gilt fast alles in der einen oder anderen Form auch über die USA hinaus. (Der Artikel ist mit vielen Links versehen, die auf die jeweiligen Quellen verweisen - dafür bitte das Orginal aufrufen).

Seine erste These ist, dass der Überwachungsstaat sehr robust ist. Bruce Schneier meint damit, dass es für jeglichen Datentyp bis zu 3 technische Wege gibt, wie die NSA an die Daten kommt, gestützt auf 3 unterschiedliche juristische Berechtigungen. Selbst wenn evtl. eine Rechtfertigung weggenommen würde oder einer der technischen Wege verboten oder über Verschlüsselungen verhindert wird, so kommen sie immer noch an die Daten.

Wir wissen nicht, was wirklich passiert, gesammelt und ausgewertet wird. Die NSA-Chefs lügen wie gedruckt, auch gegenüber dem Kongress und unter Eid, sie sehen dies als ihre patriotische Pflicht. (Viele Belege dazu finden sich z.B. in Secret without Reason and Costly without Accomplishment). Die NSA-Chefs versuchen diese Lügen zu rechtfertigen, z.B. indem sie Begriffe umdeuten. Wenn gesagt wurde, dass keine Daten von US-Bürgern gesammelt werden, dann hätten sie sich darauf bezogen, dass das ja "nur" Meta-Daten gewesen wären. D.h. wir werden NIE erfahren, wer welche Daten über uns hat, d.h. wir leben in der großen Unsicherheit dass wir nie wissen können, was andere über uns wissen.

Die Diskussion konzentriert sich auf die NSA, aber die anderen "Law Enforcement" Organisationen wirken genauso mit. Auch dies hilft beim Verschleiern der Fakten. So werden die Daten, die unter dem PRISM-Programm abgegriffen werden, technisch nicht von der NSA eingesammelt, sondern von einer FBI-Unit namens DITU (Data Intercept Technology Unit) und dann an die NSA weitergegeben. Damit umgehen sie legale Beschränkungen der Arbeit im Inland. Auch dies ist ein Zeichen, dass der Überwachungsstaat sehr sehr robust ist.

Verwandte Fragestellungen behandle ich auch auf anderen Seiten:

Wer gewinnt den Kampf ums Internet?

Google hat der NSA argumentatorisch den Weg bereitet.

Viele Details der Überwachungen.

Viele Details zu Verlust der Privatsphäre und was das bedeutet, speziell im Hinblick auf Social Networks

Hier einige interessante externe Links zu diesen Themen:

The Internet With A Human Face

Der Autor argumentiert, dass das derzeitige (und leider wohl auch zukünftige) Geschäftsmodell der Internet-Dienste so fest an Werbung gekoppelt ist, dass es das Datensammeln durch die Privaten (und unvermeidlichen Weitergabe an die Regierungen) quasi unvermeidlich ist, außer, wir bekommen ein paar sehr starke Schutzgesetze. Und er argumentiert, dass die Datensammlungen durch die Privaten fast noch gefährlicher sind als bei den Regierungen, er führt Beispiele an wie das Ende von Social networks wie Friendster und SixDegrees.com, deren Datensammlung im Nachlass wohl einfach an den Meistbietenden gegangen sind.

Noch ein guter Vortrag: Eben Moglen - Privacy under attack: the NSA files revealed new threats to democracy

Dies ist ein längerer Text, die Zusammenfassung einer noch längeren Vortragsserie an der Columbia Law School: Snowden and the Future Sein Hauptpunkt ist, dass die Datensammlung durch die Geheimdienste der Welt aufhören muss, weil sie mit Demokratie vollständig unverträglich ist. Im Teil der Lösungsvorschläge kommt er dann aber doch auf die Datensammlungen durch die Unternehmen, denn dort sind die Daten (auch) nicht, sicher. Er schlägt eine Neu-Konzeption der Internetdienste auf der Basis von sicheren Verbindungen zwischen de-zentralen Datenspeichern vor, optimalerweise bei jedem in der Wohnung.

Um überhaupt wirken zu können muss die Überwachung allumfassend sein, sonst benutzen die "Bösen" ja die jeweiligen Lücken. Dies führt dazu, dass z.B. auch alle Interaktionen in den Online Spielen genauso wichtig sind wie das Erfassen aller Emails und SMS und Telefonate. Jegliche Reduktion könnte, falls es doch mal wieder zu einem Anschlag kommt, zu Vorwürfen führen, das soll nicht riskiert werden.

Trotzdem ist die Effektivität der Überwachung extrem fragwürdig. Zuerst wurde berichtet, dass 54 Anschläge durch die Datenauswertungen verhindert werden konnten, dann wurde die Zahl auf 13 reduziert und letztendlich blieb übrig, dass ein Taxifahrer in San Diego 8500 $ an Terroristen in Somalia überwiesen hat. Dabei sind die Kosten dieser Überwachungsmaschinerie gigantisch, einmal die direkten Kosten (riesige Rechenzentren, aber auch viele Tausend Analysten die versuchen, in den vielen Heuhaufen die berühmte Stecknadel zu identifizieren) und dazu noch die indirekten Kosten durch Verlust der Privatsphäre und Vertrauensverlust der Menschen in den Staat und die Behörden von denen sie belogen werden.

Hier ein Zitat dazu, wozu diese gigantischen Datenmengen führen:

Das führt zu dem Punkt, dass die Hoffnung, diese Datenmengen würden nie missbraucht werden, absurd ist. Wir brauchen nicht auf die Nutzung der Lochkarten-Datenverabeitung im 3. Reich bei der Judenvernichtung zu schauen, auch in den USA gibt es reichlich Beispiele dafür, dass Oppositionelle mittels überwacht und unterdrückt wurden. Die Versuchung, diese Daten und die weitestgehende Transparenz der Lebensgeschichten der Bürger aller Länder zu missbrauchen und sei es nur für mehr oder weniger subtile Erpressungen, wird auf die Dauer unwiderstehlich sein. Welcher Politiker wird sich gegen eine Organisation stellen, die andeutet, dass sie "dies und das" über den Betreffenden wüsste. Der Aufbau eines Überwachungsstaats ist immer grob fahrlässig, auch in einer Demokratie.

Das führt zu der Zusammenfassung, dass der Abbau dieser Überwachungsmaschine sehr schwierig sein wird, und nur dann gelingen kann, wenn wirklich eine sehr starke Bewegung aus der Bevölkerung dies sehr vehement fordert. Und auch dann ist es eine Herkules-Aufgabe. Derzeit sieht es leider nicht danach aus. Verstärkt wird dies durch die Tatsache, dass die großen Cloud Dienste wie Google, Apple, Facebook, Microsoft zwar gegen die staatliche Überwachung protestieren (weil sie deren Kunden verunsichert), selbst aber heftig weiter an ihren Datensammlung arbeiten. Dies behandele ich im Artikel zur unerfreulichen Public-Private Überwachungs-Partnerschaft.


 


 

Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:

Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.