Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter AboVorläufige Gedanken, erfreuliches, beklagenswertes

 

Philipps Notizen - 2014

von Philipp Schaumann

An dieser Stelle werden Beobachtungen veröffentlicht, die ich interessant finde, ohne dass die Texte immer gleich in einen logischen größeren Zusammenhang eingereiht werden müssen.

 


Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

 


21.12.2014 - BSI Lagebericht 2014

Das bundesdeutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte seinen Jahresbericht 2014. Ich habe die für mich interessantesten Ereignisse aus dem Bericht zusammengefasst. Einige der Ereignisse haben selbst mich verblüfft, derart stark hatte ich mir die Angriffssituation gegen die deutsche Industrie (speziell auch was Industrieanlagen betrifft) nicht vorgestellt. Ich vermute, dass Österreich nur deswegen nicht prominenter vorkommt, weil es nicht im Zuständigkeitsbereich des BSI liegt, ich vermute die Lage ist keinen Strich besser.

Natürlich ist der gesamte Bericht lesenswert und mit 44 Seiten auch durchaus nicht zu lang.

2.2.9 Nachrichtendienstliche Cyber-Angriffe

..... Die verbesserte technische Sensorik des BSI lieferte verstärkte und deutliche Hinweise auf nachrichtendienstliche Cyber-Angriffe gegen deutsche Netzinfrastrukturen der Wirtschaft, der Forschung und der öffentlichen Verwaltung.

- Angriffsvektor „Strategische Aufklärung“: Es werden alle anfallenden Daten an Internetund Kommunikationsknoten abgegriffen, gespeichert und analysiert. Hierbei sind die (Verkehrs-) Daten beliebiger Internetnutzer betroffen, anhand derer festgestellt werden kann, wer

- Angriffsvektor „Individuelle Angriffe im Kommunikations- und Cyber-Raum“: Diese Angriffe zielen auf IT-Systeme interessanter Personen und Institutionen. Dazu analysieren, kaufen und sammeln Nachrichtendienste bereits im Vorfeld systematisch vor allem auch bis dahin nicht veröffentlichte Schwachstellen von Hard- und Software. In der strategischen Aufklärung identi? zierte IT-Systeme werden dann auf dieser Wissensbasis mit spezi? sch adaptierten Cyber-Angriffen attackiert und kontrolliert.

- Angriffsvektor „Beein? ussung von Standards und Implementierungen“: Hierbei werden bereits im Vorfeld der technischen Aufklärung IT-Standards und vor allem kryptogra? sche Standards manipuliert. Die Implementierungen an sich starker Sicherheitsmechanismen und die hiermit verbundene Vertraulichkeit werden so systematisch geschwächt.

- Angriffsvektor „Gezielte Manipulation von IT-Equipment“: Hierbei erfolgen Eingriffe in Bestell-, Liefer- oder Serviceketten, um Manipulationen durchzuführen. Hierzu zählen das Einbringen von Hintertüren oder die Schwächung technischer Sicherheitseigenschaften. Netzwerkkomponenten wie Router können durch Änderung ihrer Betriebssoftware so manipuliert werden, dass eine Steuerung oder gar Abschaltung aus der Ferne und damit auch Cyber-Sabotage möglich wird.

3 Vorfälle

3.1 Vorfälle in der Bundesverwaltung

2014 wurden bisher täglich etwa 15 bis 20 Angriffe auf das Regierungsnetz entdeckt, die durch normale Schutzmaßnahmen nicht erkannt worden wären. Bei durchschnittlich einem Angriff pro Tag handelt es sich um einen gezielten Angriff mit nachrichtendienstlichem Hintergrund. ....

Seit Anfang des Jahres 2014 wurden 34 infizierte Systeme identifiziert, die trotz Absicherung durch kommerzielle IT-Sicherheitsprodukte mit Schadprogrammen kompromittiert worden waren. Es wurden ca. 1.100 Webseitenbetreiber vom BSI darüber informiert, dass ihre Webseiten Schadprogramme verteilen.

Das BSI verzeichnet durchschnittlich einmal im Monat einen Denial-of-Service(DoS)-Angriff auf einzelne Webseiten der Bundesbehörden. ...... So versendeten Angreifer in mehreren Fällen jeweils zwischen 20.000 bis hin zu 200.000 Spam-Nachrichten, indem sie das Ausfüllen des „Weiterleiten“-Formulars per Skript automatisierten und den Spam-Inhalt in das Kommentarfeld einfügten.

3.2 Vorfälle bei Privatanwendern

3.2.1 Millionenfacher Identitätsdiebstahl in Deutschland

Im Frühjahr 2014 wurden zwei Identitätsdiebstähle publik, bei denen Angreifer Zugriff auf Benutzernamen und Passwörter von 16 bzw. 18 Millionen Internetnutzern erlangen konnten.

3.2.2 Schwachstellen in Routern für Heimnetzwerke

Anfang 2014 wurde eine Schwachstelle in Fritz!- Box-Routern des Herstellers AVM bekannt. Mit dem Zugriff auf die Kon? gurationsdaten konnten die Angreifer Manipulationen im System vornehmen. . . .

Darüber hinaus nutzten Angreifer die Schwachstelle, um zu Lasten der Opfer bzw. der Telefonanbieter kostenpflichtige Telefonate zu teuren Sonderrufnummern zu führen.

3.2.3 Online-Banking-Trojaner: von Feodo zu Geodo

Die Online-Banking-Schadsoftware Geodo folgte im Mai 2014 auf den 2013 bekannt gewordenen Trojaner Feodo.

Die Angreifer verbreiten per E-Mail mittels täuschend echt aussehender Rechnungen bzw. Buchungsbestätigungen im Namen von Telekommunikationsdienstleistern und Banken ein Schadprogramm,....

Das beim BSI angesiedelte Computer Emergency Response Team der Bundesverwaltung (CERTBund) übernahm die Rolle eines Bot und ließ sich über drei Wochen Pakete gestohlener Zugangsdaten von den Kontrollservern übermitteln. Insgesamt konnten so über 200.000 kompromittierte E-Mail-Konten identi? ziert werden.

3.2.4 iBanking: Schadsoftware für Smartphones

Seit Mitte 2013 wird in Untergrundforen Schadsoftware zur Überwachung und Manipulation von Android-Smartphones angeboten. Die Schadsoftware wurde unter anderem für Angriffe auf das Online-Banking mit mTANs verwendet. ....

Es wurden Varianten von iBanking entdeckt, die Angriffe auf die Zwei-Faktor-Authentisierung (Benutzername/Passwort + SMS-Code) bei Facebook und Gmail ermöglichen.

3.3 Vorfälle in der Wirtschaft

3.3.1 APT-Angriff auf Industrieanlagen in Deutschland - Gezielter Angriff auf ein Stahlwerk in Deutschland.

Mittels Spear-Phishing und ausgefeiltem Social Engineering erlangten Angreifer initialen Zugriff auf das Büronetz des Stahlwerks. Von dort aus arbeiteten sie sich sukzessive bis in die Produktionsnetze vor.

Es häuften sich Ausfälle einzelner Steuerungskomponenten oder ganzer Anlagen. Die Ausfälle führten dazu, dass ein Hochofen nicht geregelt heruntergefahren werden konnte und sich in einem undenierten Zustand befand. Die Folge waren massive Beschädigungen der Anlage.

Die Kompromittierung erstreckte sich auf eine Vielzahl unterschiedlicher interner Systeme bis hin zu industriellen Komponenten. Das Know-how der Angreifer war nicht nur im Bereich der klassischen IT-Sicherheit sehr ausgeprägt, sondern erstreckte sich auch auf detailliertes Fachwissen zu den eingesetzten Industriesteuerungen und Produktionsprozessen.

3.3.2 Heartbleed – kritische Schwachstelle in weit verbreiteter Softwarebibliothek

Über die als Heartbleed bezeichnete Schwachstelle, die im April 2014 in der Softwarebibliothek OpenSSL entdeckt wurde, können unerlaubt Speicherinhalte ausgelesen werden.

3.3.3 Dragonfly – gezielte Angriffe auf Produktionsnetze

Mit dem 2014 bekannt gewordenen Schadprogramm Havex griff die sogenannte Dragonfly- Gruppe (auch geläufig unter dem Namen Energetic Bear) mehrere Dutzend deutsche Unternehmen an.

Im Rahmen der Angriffskampagne kam ein neuer Angriffsweg zum Einsatz: Im ersten Schritt griffen die Täter die Hersteller von Software für Industriesteuerungssysteme an. Den entsprechenden Installationsdateien auf den Downloadservern der Anbieter wurde das Schadprogramm Havex angehängt, sodass die Kunden bei der Installation der legitimen Software zugleich auch die Schadsoftware auf ihr System brachten. In einigen Fällen wurde von dieser dann ein Modul nachgeladen, das gezielt Informationen über die im Produktionsnetz verwendeten Geräte und Systeme sammelte und an die Täter weiterleitete.

Mittels Havex wurde gezielt Schadsoftware im Bereich industrieller Steuerungssysteme eingesetzt, um Informationen zu sammeln. Es ist davon auszugehen, dass die Täter diese Informationen in einem nächsten Schritt für weitere Angriffe verwenden. In Zusammenarbeit mit dem Bundeskriminalamt informierte das BSI mehrere Dutzend Firmen in Deutschland, die Opfer der Dragonfly- Kampagne wurden.

3.3.4 Operation Windigo – Linux-Schadprogramm Ebury sammelt SSH-Zugangsdaten

Ebury ist ein Schadprogramm mit Backdoor-Funktionalität – ein sogenanntes Rootkit – für Linux und Unix-ähnliche Betriebssysteme, das Secure- Shell(SSH)-Zugangsdaten ausspäht.

Über die Backdoor haben die Täter jederzeit die vollständige Kontrolle über das infizierte System. Die mit Ebury infizierten Server werden von den Tätern im Rahmen der Operation Windigo für verschiedene kriminelle Aktivitäten missbraucht.

So wurden Webserver derart manipuliert, dass sie Besucher der dort gehosteten Webseiten auf andere Server umleiten. Dabei handelt es sich entweder um Dating-Portale, Webseiten mit pornographischen Inhalten oder um Server, die Drive-by- Exploits ausliefern und dadurch die Rechner der Webseiten-Besucher mit Schadsoftware infizieren.

Bei der Analyse konnten mehrere hunderttausend derartiger Umleitungen täglich beobachtet werden. Auf weiteren Systemen installierten die Täter unter Ausnutzung der mittels Ebury ausgespähten Zugangsdaten Schadprogramme zum Versand von Spam-Mails. Im Beobachtungszeitraum konnte hierüber der Versand von durchschnittlich 35 Millionen Spam-Mails täglich beobachtet werden.

CERT-Bund beteiligte sich an der „Ebury Working Group“, einem internationalen Zusammenschluss von Sicherheitsanalysten, die seit Februar 2013 weltweit rund 30.000 mit Ebury infizierte Server identifiziert hat.

3.3.6 ShellShock – Schwachstelle im Kommandozeileninterpreter Bash

Im September 2014 wurde unter dem Namen ShellShock eine Schwachstelle im Kommandozeileninterpreter Bash bekannt. Bash erlaubt nicht nur die Weitergabe von Umgebungsvariablen an eine Shell, sondern auch von Funktionen.

3.4 Vorfälle im Bereich Kritischer Infrastrukturen (KRITIS)

3.4.1 Social Engineering bei Großkonzernen

Im Mai 2014 wurden hochrangige Vertreter mehrerer international tätiger Großunternehmen mit besonders ausgefeilten Phishing-Mails adressiert.

Mit fingierten E-Mails wurden die Mitarbeiter darüber informiert, dass infolge eines Updates im IT-System zur Personalverwaltung ein Verdacht auf Inkonsistenzen in einzelnen Datensätzen bestehe. Unter diesem Vorwand wurden die Adressaten aufgefordert, die Kopie eines amtlichen Lichtbildausweises und die Bankverbindung ihres Gehaltskontos zu übermitteln.

Die E-Mails in nahezu perfekter deutscher bzw. englischer Sprache enthielten die Legende einer vollständigen Mailhistorie samt E-Mail-Headern mit authentischen Firmen-E-Mail-Adressen, um den Vorgang augenscheinlich zu legitimieren. Bemerkenswert war, dass die in der gefälschten Historie genannten Mitarbeiter tatsächlich in den jeweiligen Personalabteilungen tätig sind.

Einzelne Adressaten hielten die E-Mail für authentisch und übermittelten die angeforderten Dokumentenkopien bzw. Kontodaten an den Absender. Daraufhin wurden von den Angreifern postalisch mit gefälschten Unterschriften die Bankkonten der Betroffenen aufgelöst oder neue EC-Karten samt PIN.

3.4.2 Österreich: Fehlfunktion in der Steuerung von Energienetzen

2013 wurden in verschiedenen österreichischen Leittechniknetzwerken für die Steuerung von Energienetzen Anomalien im Datenstrom festgestellt. Diese verursachten bei mehreren Verteilnetzund Kraftwerksbetreibern Einschränkungen sowie vereinzelte Ausfälle in der Datenübertragung.

Die Fehlfunktion wurde vermutlich durch einen Steuerungsbefehl im Rahmen einer Inbetriebnahme im Netzwerk eines Gasnetzbetreibers im Süden Deutschlands ausgelöst und erreichte auch das österreichische Energienetz. Es erfolgte eine Weiterleitung an unterschiedliche Betreiber. Aufgrund der nicht spezifizierten Verarbeitung dieser Nachricht in einzelnen Komponenten des Netzwerks wurde der Befehl in einer Endlosschleife versendet. Diese löste erhebliche Störungen der Leittechnik für die Netzsteuerung aus.

Die Netzstabilität konnte während des Vorfalls nur unter hohem Aufwand sichergestellt werden. Während der Störung wurden erhebliche Datenmengen erzeugt, die zu Logdaten-Überläufen führten. Die Ursache des Vorfalls ließ sich deshalb nicht abschließend analysieren.

3.4.3 USA: IT-Manipulation im Hochfrequenzhandel eines US-Hedgefonds

Hochfrequenzhandel ist der An- und Verkauf großer Mengen an Wertpapieren in extrem kurzen Zeitabständen. Das System eines US-Hedgefonds, mit dem der Hochfrequenzhandel („high-frequency trading“, HFT) durchgeführt wird, wurde durch einen Cyber-Angriff manipuliert.

Ende 2013 drangen kriminelle Hacker in das Rechnernetzwerk eines US-amerikanischen Hedgefonds ein. Dadurch konnten sie die von dem Fondsbetreiber legitim eingespeisten Handelsaufträge abfangen, mitlesen und deren Weiterleitung um Millisekunden verzögern. Dies blieb über mehrere Monate unentdeckt.

Unter Verwertung der ausgespähten Orderdaten übermittelten die Täter in diesem kurzen Zeitfenster vor der Weiterleitung ihrerseits Handelsaufträge zulasten des Hedgefonds-Betreibers.

Der Vorfall ist in zweierlei Hinsicht bemerkenswert: Zum einen illustriert er – nach dem „Flash Crash“ im Jahr 2010 – zum wiederholten Mal die starke Verwundbarkeit des Börsenbetriebs gegen Cyber-Angriffe. Zum anderen ist neu, dass die Täter die ausgespähten Daten selbst für eigenen Handel nutzten. In der Vergangenheit hat es bereits marktverzerrende Effekte und teilweise Ausfälle von HFT-Handelsplattformen durch fehlerhafte HFT-Software gegeben.

 



19.12.2014 - "Dirk Fox: Im Überwachungsstaat"

Aus dem Dezember Newsletter von Secorvo, ein wie ich finde sehr guter Text von Dirk Fox, hier reproduziert mit freundlicher Genehmigung des Autors. (Hier gibt es übrigens ein Archiv der bisherigen Ausgaben des secorvo Newsletters).

Dirk Fox: Im Überwachungsstaat

Es war ein Jubiläum, das niemand beging – 30 Jahre nach „1984“, dem Jahr von Orwells Überwachungsstaat. Wirkte der Schreck über Snowdens Veröffentlichungen so nach, dass uns das Feiern verging? Oder ist die Ursache beunruhigender: Sind wir Frösche im Kochtopf, dessen Wasser schleichend erwärmt wird? Fragen wir uns vielleicht: Können wir überhaupt (noch) etwas tun? Oder blenden wir die allgegenwärtige Überwachung aus und reden uns (immer noch) ein, dass wir nichts zu verbergen haben? Es ist ja noch nichts passiert (zumindest haben wir nichts gemerkt), und böse Tyrannen gibt es ohnehin nur in Geschichtsbüchern und Nachrichten aus fernen Ländern.

Wenn wir die Realität nicht zumindest teilweise ausblenden, wird es unangenehm. Wer mag WhatsApp, GMail oder Facebook noch nutzen, wenn er ständig daran denkt, dass jede Nachricht und jeder „Like“-Klick, jeder Chat und jede Internet-Suche mitgeschnitten, beobachtet und zu einem Bild von uns verdichtet wird, das nie mehr gelöscht und jederzeit ausgewertet werden kann? Aber das Smartphone ausschalten? Dann ist man nicht erreichbar! E-Mails verschlüsseln? Dann kann man sie nicht mehr mit jedem Client abrufen! Auf das Navi verzichten? Wer hat denn heute noch einen Autoatlas? („Papi, was ist ein Autoatlas?“)

Derweil schrumpft der Bereich, in dem unser Verhalten nur im Gedächtnis unserer Mitmenschen vergängliche Spuren hinterlässt. „Car-IT“ analysiert Fahrverhalten und Regelverstöße, „SmartHomes“ steuern Heizung und Beleuchtung, und abends erfreut „SmartTV“ mit individualisiertem Programmangebot. Vielleicht war es richtig, sich nicht an „1984“ zu erinnern. Denn was uns wirklich bevorsteht, hat Ray Bradbury („Fahrenheit 451“) 1953 zutreffender vorausgesehen: Wir leben in einem technologischen Wunderland, rundumversorgt und perfekt unterhalten, bei umfassender Kontrolle (zu unserer eigenen Bequemlichkeit) – und haben vor lauter Unterhaltungsglück vergessen, wie Freiheit und Erkenntnis schmecken

 



02.11.2014 - Links zu den PDFs von 2 meiner Vorträge (beide aktualisiert)

Der traurige Zustand der Informationssicherheit

Hier der Link auf einem meiner Vorträge: Der traurige Zustand der Informationssicherheit.

Die ganz kurze Zusammenfassung: Wir wissen seit vielen Jahrzehnten, wie man sichere Software schreiben könnte, wir tun es aber nicht. Im Gegenteil, es gibt Hinweise, dass es immer weiter bergab geht mit der Informationssicherheit. Ein Problem scheint zu sein, dass Religionen und Software die einzigen Sachen sind, bei denen es keine Produkthaftung gibt. In der aktualisierten Version von 2015 verlinke auf auf einen ausführlichen (und wunderbar mit historischen Fotos bebilderte) 3-teiligen Artikel zur Sicherheit des Internet: "Unsicher by Design".

 

Die letzte Generation vor der Singularität - die Macht der Algorithmen

Hier der Link zu einem Vortrag von mir zu „Big Data Algorithmen als Lenkungswerkzeug“.
Das Video zu diesem Vortrag ist auf Youtube: Video: Von der flächendeckenden Überwachung zur flächendeckenden Manipulation.

Die kurze Zusammenfassung des Vortrags:
An die (freiwillige) flächendeckende Überwachung durch die verschiedenen Dienstleister wie Google, Facebook, Apple, Microsoft, Twitter, WhatsApp, Skype und der vielfältigen Fitness-Tracker haben sich die meisten Nutzer anscheinend bereits gewöhnt. Die meisten wissen, dass bei Nutzung eines Smartphones mit den vielfältigen Apps viel Privates an die jeweiligen Dienstleister geliefert wird. Auch mit der Weitergabe dieser Daten an die „Sicherheitsdienste“ scheinen sich die meisten irgendwie abgefunden zu haben.

Unklar ist den meisten aber, dass die Big Data Algorithmen daraus nicht nur benutzer-bezogene Werbung generieren, sondern dass diese (undurchsichtigen) Algorithmen Entscheidungen für die Nutzer treffen, ohne dass der Benutzer dies beeinflussen kann.

Da bleibt nur die Frage offen, ob wir die letzte Generation vor der (befürchteten oder erhofften) Singularität* sind oder nicht vielleicht die erste Generation danach.

Wer die lange Version des Vortrags möchte, der sollte mich auf einem Vortrag einladen. ;-)

Viel mehr zu diesen Themen auch unter Manipulation durch Algorithmen.

 



19.10.2014 - "Meine Daten auf einem fremden Rechner"

JPMorgan
An diese Bruce Schneier-Definition von "Cloud Computing" musste ich in den letzten Wochen öfters denken. Aktueller Anlass (der einen Sicherheitsmann bei einer Bank am meisten schreckt) sind die Meldungen über JPMorgan. Dort sind im Juni dieses Jahr unbekannte Angreifer in das interne Netz eingedrungen und war in der Lage, sich Administrationsrechte und Zugang zu 90 Servern zu besorgen. JPMorgan hat den Angriff im späten Juli entdeckt und Mitte August die letzten Eingangstore der Angreifer geschlossen. Das heißt JPMorgan hatte über mehrere Monate ungeladene Gäste im internen Netz.

JPMorgan sagt, dass "nur" die Namen, Anschriften und ähnliche Details ihrer Kunden gestohlen wurden (das klingt nach der Kundendatenbank, CRM-System), keine Finanzdaten. Überraschend ist, auch dass bis jetzt keine besonderen Angriffe auf Kundenaccounts entdeckt wurden. Besorgniserregend ist die Zahl der Betroffenen: 76 Mio Haushalte und 7 Mio Firmen. Zu beachten ist, dass laut Zensus die USA nur 115 Mio Haushalte haben, d.h. 2/3 der US-Haushalte sind betroffen. Mit den Details sind die Kunden ein gutes Ziel für Social Engineering Angriffe, die aber bisher noch nicht in großer Zahl registriert wurden. Ebenfalls gestohlen wurde die Datenbank, in der alle Anwendungen aufgelistet sind, die bei JPMorgan im Einsatz sind (die sog. CMDB, configuration management Datenbank). Dies ist eine gute Grundlage um zu sehen, welche Schwachstellen es im Netz der Bank noch geben könnte.

Das FBI ist auch durch die Tatsache beunruhigt, dass JPMorgan nur 1 von 10 Banken ist, die in diesem Zeitraum erfolgreich angegriffen wurden. Details über die anderen Firmen wurden aber nicht veröffentlicht. Gerade das fehlende aktive (sichtbare) Ausnutzen der Daten beunruhigt die Behörden sehr.

In 2015 kommt dann mehr Licht ins Dunkel: 3 alleged hackers were indicted Tuesday for what prosecutors called the “largest theft of customer data from a U.S. financial institution in history”. Die Hacker, die in diesen vielen Banken waren (mindestens 10 Banken) hätten die Kundendaten genutzt, um Aktien zu bewerben, die sie selbst gekauft hatten. "Prosecutors also accused the three men of operating illicit online casinos, laundering money through bitcoin exchanges, payment processing for criminal activity, and running a small empire of at least 75 shell companies and bank accounts and hundreds of employees." Die 3 sollen mindestens $100 Mio verdient haben, die sie dann über Bitcoin und online Casinos gewaschen hätten (sie betrieben ihren eigenen illegalen online bitcoin exchange, coin.mx). Ziel war der Aufbau eines großen Imperiums, wie einer der Angeklagten erzählte. ("As the men’s business empire expanded, so too did their criminal activity. While running at least 12 online casinos, the men allegedly hacked into rival online gambling businesses to steal customer information. They also launched denial-of-service attacks to disrupt their competitors’ operations, according to the indictment.")

Interessant ist dabei, dass die Angreifer zwar frei im Netz der Banken agieren konnten, aber der Versuchung widerstanden haben, sich einfach selbst zu bedienen. Das wäre vermutlich schneller aufgefallen, weil dann nämlich die Bücher der Bank sehr schnell nicht mehr gestimmt hätten. Den Angreifern hat gereicht, dass sie Zugriff zu den Kontakten und Hintergrundinformationen fast aller US Haushalte hatten. ("The scheme began in 2007 and was operating until earlier this year, netting the personal information of more than 100 million bank customers."

Target, Home Depot und andere
Dies ist nur der letzte große Stein in einer langen Kette von Datenverlusten bei US-Firmen. Letztes Jahr Target mit 40 Mio Kreditkartendaten und 70 Mio Kundeninformationen, Home Depot mit 56 Mio Kreditkarten, insgesamt wohl mehr als 1000 US-Unternehmen ihre Kreditkartendaten verloren, bzw. genauer gesagt, die Daten ihrer Kunden. An anderer Stelle mehr dazu bei wem die Schäden solcher Vorfälle dann wirklich aufschlagen.

Und im privaten Bereich ist es nicht besser: der iCloud Hack ist weit publiziert worden, dann kam der Angriff auf Snapchat, der eigentlich kein Angriff auf Snapchat ist, sondern zeigt, wie wenig Vertrauen man in Sicherheitsversprechen haben darf. Snapchat ist ein Dienst, mit dem Nachrichten, Videos und Bilder versendet werden können, die sich nach wenigen Sekunden beim Empfänger wieder in Luft auflösen. Aber nur, wenn der Empfänger sich an die Regeln hält und die offizielle App von Snapchat verwendet. Das war aber offensichtlich in diesem 100 000 Fällen nicht der Fall. Es gibt/gab nämlich den Dienst SnapSaved.com, bei dem die Snapchat Benutzer ihre Benutzernamen und Passworte eingegeben haben und der dann im Namen dieser Benutzer die Nachrichten abgerufen und im Klartext gespeichert hat. Hier 2 sich leicht widersprechende Artikel zum Hintergrund des Snapsaved Leaks: Snappening und ... recent events regarding Snapsaved.com (der Eintrag vom 11.10.2014).

D.h. die meine Daten im Netz sind immer nur so sicher, wie ALLE Beteiligten sich an die Regeln halten. Zu den Beteiligten gehören meine Kommunikationspartner, die Dienste die meine Daten zwischenspeichern und weiterleiten, die Dienste, die meine Daten wirklich vearbeiten wie die Banken und die Handelsketten. Dazu gehören auch die Administratoren aller dieser Dienste, die sich auch alle an ihre Arbeitsanweisungen halten müssen.

Das heißt, die offensichtliche Conclusio könnte sein, dass die einzig sichere Methode ist, wenn jeder seine Daten selbst speichert, verarbeitet, und sichert. Einige meiner Kollegen tun dies auch, sie unterhalten ihre eigene Infrastruktur, verwenden weder Gmail, noch Hotmail oder GMX, betreiben ihre eigenen Webserver.

Ein Artikel Security Trade-Offs erklärt aber ziemlich plastisch, was das Problem mit diesem Vorschlag ist: 98% der Bevölkerung sind damit überfordert. Ein beträchtlicher Teil der Bevölkerung hat ein viel größeres Risiko, seine Daten wegen fehlendem Backup zu verlieren, verglichen mit dem Risiko, dass ihr iCloud-, OneDrive-, Google Drive- oder Dropbox-Account geknackt wird.

D.h. die Wahl der meisten Bürger besteht nur zwischen

oder

Das klingt zwar traurig, aber ich fürchte, es ist wahr. Lösungsvorschläge, die für einen großen Teil der Bevölkerung (und nicht nur die Leser dieser Website) durchführbar sind, werden gern entgegengenommen.

1. Nachsatz und Ergänzung: ein weiteres aktuelles (Herbst 2014) Beispiel, warum es gefährlich sein kann, vertrauliche Informationen einem Dienst anzuvertrauen, der verspricht, damit ganz sorgfältig umzugehen ist die App Whisper. Seit einigen Jahren bietet dieser Dienst eine angeblich vollkommen anonyme Möglichkeit, Geheimnisse sicher zu verraten. Aber der Guardian postet nun die Story: How Whisper app tracks ‘anonymous’ users . Entgegen ihren früheren Behauptungen speichern sie alle Daten ohne Begrenzung, stellen auch dann den ungefähren Aufenthaltsort fest, wenn der Benutzer dies abgeschaltet hat, und arbeiten mit der Presse und Behörden zusammen um die Informationen die die Benutzer posten zu vermarkten. Von Guardian zur Rede gestellt hat Whisper jetzt einfach ihre Terms of Service der Realität angepasst. Denn die Behauptung, jemand wäre anonym obwohl gleichzeitig seine Aufenthaltsorte bestimmt werden, habe ich bereits an anderer Stelle behandelt.

2. Nachsatz: Dieser Artikel von Brian Krebs ist noch ein solches Beispiel: We Take Your Privacy and Security. Seriously. Brian bekommt ein Schreiben von seinem Internetanbieter, dass seine Daten, Passwort, Geheimfrage und der Rest Angreifern zum Opfer gefallen seien. Aber das Unternehmen betont, dass ihnen die Sicherheit sehr am Herz läge. Der Angriff war ein Social Engineering Angriff auf den Account einer Mitarbeiterin. Rückfrage von Brian, ob sie denn für Zugriffe der Mitarbeiter aus dem Internet keine 2-Faktor-Authentisierung einsetzen würden, es kam die Antwort: Nein, aber wir denken jetzt darüber nach. Und so ist es wohl fast überall: solange nichts passiert ist beschränkt man sich auf vollmundige Marketing-Sprüche. :-(

 



20.07.2014 - Angriff auf NASDAQ in 2010

Das ist eine verwirrende Geschichte, die Businessweek da berichtet: How Russian Hackers Stole the Nasdaq. Was damals im Oktober 2010 wirklich passierte, ist immer noch ziemlich offen. Auf jeden Fall gab es einen Alarm beim FBI dass auf den Rechnern der NASDAQ Börse Schadsoftware wäre. Mehrere US Agencies stritten sich dann darum, wer die Federführung bei der Untersuchung haben sollte, aber in den folgenden 5 Monaten kam nicht viel Klarheit heraus.

Was unumstritten ist, das ist dass Angreifer vermutlich 3 Monate lang im Netz der NASDAQ unterwegs waren, aber da nur sehr wenig Log-Daten vorhanden sind, ist unklar, was sie dort getan oder was sie von dort gestohlen haben. Sehr beunruhigt hat die US-Behörden, dass die Malware offenbar auch einen destruktiven Code-Teil hatte, mit deren Hilfe die Angreifer zumindest eine große Verwirrung in den US-Börsen hätten erzeugen können. Einige haben/hatten daher die Theorie, dass es sich nicht um Cyberspionage, sondern um die Vorberietung zu einem Cyberwar-Angriff handeln könnte, vergleichbar mit Stuxnet.

Die verwendete Software ist russichen Ursprungs, was aber nicht unbedingt viel beweist. Bei der Untersuchung wurden dann aber noch die Spuren von weiteren Gruppen von Eindringlingen gefunden, von regulären Kriminellen bis zu chinesischen Hackern. Außerdem war das Gebäudeverwaltungssystem der Börse in NY mit Blackhole infiziert und hat damit versucht, PCs von den Mietern des Gebäudes zu infizieren. D.h. die IT-Systeme waren durchweg in desolatem Zustand. Für den Fall dass es um einen Angriff auf das US-Börsensystem ging wurden dann auch andere US-Börsen durchleuchtet. Ergebnis war, dass sie zwar genauso leicht anzugreifen waren, aber es gab keine Hinweise, dass auch dort diese Malware platziert wurde.

Mitte 2011 war die Mehrheitsmeinung unter den US-Behörden, dass es sich um Industrie-Spionage handelte. In Moskau wurde zu dieser Zeit an einer neuen russischen Börse gearbeitet und vielleicht wollten die russischen Behörden nur von der NASDAQ lernen. Ein weiterer Verdacht, nämlich Insiderhandel hat sich auch nicht bestätigt, die Hacker hatten zwar Zugang zu Vorab-Informationen, aber es gibt keine Hinweise, dass diese ausgenutzt wurden.

Letztendlich ist wohl auch heute noch unklar, was damals eigentlich passiert ist. Klar ist aber, dass die IT-Systeme von denen unsere Wirtschaft abhängt, extrem verwundbar sind - unnötig verwundbar, denn von Best-Practise Methoden waren die Börsen weit entfernt.

 


Thema Wearables / Fitness-Tracker / Self-Tracker - Quantified Self

Die Informationen zu diesem Thema finden sich jetzt im separaten Artikel zu Internet of Things, inkl. Wearables / Fitness-Tracker / Self-Tracker

 



13.07.2014 - Anonym wird illegal werden

Die Abschaffung der Anonymität macht große Fortschritte. Da sind z.B. die Diskussionen um die Trolls und Hassposter in den Internet-Foren, wo immer wieder das Abschaffen der Pseudonyme als Scheinlösung vorgeschlagen wird. Scheinlösung, weil selbst die heftigen Aktivitäten von Google und Facebook in Richtung Klarnamenzwang es nicht geschafft haben, dass jeder Nutzer einen realen Namen nutzt (was immer der reale Name sein mag) und dass selbst bei Klarnamen-Nutzung die Zivilität nicht wirklich besser ist, was der drastische 2014 Shitstorm in Österreich gezeigt hat.

Der Artikel Attempts to stay anonymous on the web will only put the NSA on your trail berichtet von dem Versuch einer Soziologin, ihre Schwangerschaft vor Google, Facebook und anderen Trackern geheim zu halten (über das Erkennen von Schwangerschaften an anderer Stelle). Sie hat dafür neue Accounts angelegt, TOR genutzt und versucht, möglichst viel Bar zu bezahlen. Als sie für 500$ Amazon Gutscheine kaufen wollte hat sie damit einen Geldwäsche-Alarm ausgelöst. Schon vorher waren bei allen Geheimdiensten die Alarmglocken durch ihre Nutzung von TOR angeschlagen.

Wenn Bargeld nicht bereits erfunden wäre, so würde es heute sicher nicht mehr genehmigt, die Geldwäsche-Gesetze würden dies sicher verhindern. Und die Nutzung von größeren Mengen von Bargeld erzeugt sofort einen Alarm. Anonyme Geldkarten (z.B. von iTunes) dürfen nicht über 100 Euro sein und der Kauf von mehreren löst einen Alarm aus.

3D-Druck beunruhigt die Behörden unter anderem, weil damit die Herstellung von Objekten schwerer zu Tracken ist als das Kaufen, speziell als der Kauf im Internet. Durch das Selbst-Drucken von Ersatzteilen für Haushaltsgeräte würden die Patente und andere Schutzregelungen unterlaufen.

In vielen Städten ist die Benutzung von Monatskarten in öffentlichen Verkehrsmitteln nicht mehr anonym möglich. Auch für die Netzkarten der Deutschen Bahn war gefordert worden, dass jede Fahrt registriert werden muss (obwohl alle Fahrten mit der Netzkarte kostenlos sind).

Schon jetzt gibt es, speziell bei Bereich Car-Sharing, Autos, die mittels Smartphone statt mit dem Schlüssel gestartet werden. D.h. das Auto weiß dann immer, wer derzeit am Steuer sitzt (oder wer es gestartet hat und damit die Verantwortung für diese Fahrt übernimmt). Neue Autos müssen bis April 2018 mit eCall ausgestattet sein, einem Gerät das eine Mobilfunkeinheit und einen GPS eingebaut hat und auf diese Weise mit Notrufnummern kommunizieren kann. In der derzeitigen Regelung sind die Daten (noch) beschränkt, aber beim ersten geeigneten Anlass kann sich das ändern (Mission Creep).

Die Einführung von Gesichtserkennung in Geschäften wird bald dazu führen, dass wir auch Geschäfte nicht mehr anonym betreten können.

 


 

Internet of Things (IoT), Smart Home, Home Automation, Smart City und "Smart Everything"

Die Informationen rund um das Internet of Things finden sich jetzt in dem separaten Internet of Things Artikel

 



19.01.2014 - Kann der Überwachungsstaat wieder zurückgefahren werden?

Dieser Artikel beruht auf einem Text von Bruce Schneier: How the NSA Threatens National Security. Die Positionen die ich hier heraushebe und viele Ergänzungen sind jedoch meine eigenen. Schneier fasst m.E. die Überwachungsproblematik sehr schön zusammen. Ich bringe an dieser Stelle eine kurze Zusammenfassung seiner Thesen. Auch wenn der Artikel aus dem Blickwinkel USA geschrieben ist, so gilt fast alles in der einen oder anderen Form auch über die USA hinaus. (Der Artikel ist mit vielen Links versehen, die auf die jeweiligen Quellen verweisen - dafür bitte das Orginal aufrufen).

Seine erste These ist, dass der Überwachungsstaat sehr robust ist. Bruce Schneier meint damit, dass es für jeglichen Datentyp bis zu 3 technische Wege gibt, wie die NSA an die Daten kommt, gestützt auf 3 unterschiedliche juristische Berechtigungen. Selbst wenn evtl. eine Rechtfertigung weggenommen würde oder einer der technischen Wege verboten oder über Verschlüsselungen verhindert wird, so kommen sie immer noch an die Daten.

Wir wissen nicht, was wirklich passiert, gesammelt und ausgewertet wird. Die NSA-Chefs lügen wie gedruckt, auch gegenüber dem Kongress und unter Eid, sie sehen dies als ihre patriotische Pflicht. (Viele Belege dazu finden sich z.B. in Secret without Reason and Costly without Accomplishment). Die NSA-Chefs versuchen diese Lügen zu rechtfertigen, z.B. indem sie Begriffe umdeuten. Wenn gesagt wurde, dass keine Daten von US-Bürgern gesammelt werden, dann hätten sie sich darauf bezogen, dass das ja "nur" Meta-Daten gewesen wären. D.h. wir werden NIE erfahren, wer welche Daten über uns hat, d.h. wir leben in der großen Unsicherheit dass wir nie wissen können, was andere über uns wissen.

Die Diskussion konzentriert sich auf die NSA, aber die anderen "Law Enforcement" Organisationen wirken genauso mit. Auch dies hilft beim Verschleiern der Fakten. So werden die Daten, die unter dem PRISM-Programm abgegriffen werden, technisch nicht von der NSA eingesammelt, sondern von einer FBI-Unit namens DITU (Data Intercept Technology Unit) und dann an die NSA weitergegeben. Damit umgehen sie legale Beschränkungen der Arbeit im Inland. Auch dies ist ein Zeichen, dass der Überwachungsstaat sehr sehr robust ist.

Verwandte Fragestellungen behandle ich auch auf anderen Seiten:

Wer gewinnt den Kampf ums Internet?

Google hat der NSA argumentatorisch den Weg bereitet.

Viele Details der Überwachungen.

Viele Details zu Verlust der Privatsphäre und was das bedeutet, speziell im Hinblick auf Social Networks

Hier einige interessante externe Links zu diesen Themen:

The Internet With A Human Face

Der Autor argumentiert, dass das derzeitige (und leider wohl auch zukünftige) Geschäftsmodell der Internet-Dienste so fest an Werbung gekoppelt ist, dass es das Datensammeln durch die Privaten (und unvermeidlichen Weitergabe an die Regierungen) quasi unvermeidlich ist, außer, wir bekommen ein paar sehr starke Schutzgesetze. Und er argumentiert, dass die Datensammlungen durch die Privaten fast noch gefährlicher sind als bei den Regierungen, er führt Beispiele an wie das Ende von Social networks wie Friendster und SixDegrees.com, deren Datensammlung im Nachlass wohl einfach an den Meistbietenden gegangen sind.

Noch ein guter Vortrag: Eben Moglen - Privacy under attack: the NSA files revealed new threats to democracy

Dies ist ein längerer Text, die Zusammenfassung einer noch längeren Vortragsserie an der Columbia Law School: Snowden and the Future Sein Hauptpunkt ist, dass die Datensammlung durch die Geheimdienste der Welt aufhören muss, weil sie mit Demokratie vollständig unverträglich ist. Im Teil der Lösungsvorschläge kommt er dann aber doch auf die Datensammlungen durch die Unternehmen, denn dort sind die Daten (auch) nicht, sicher. Er schlägt eine Neu-Konzeption der Internetdienste auf der Basis von sicheren Verbindungen zwischen de-zentralen Datenspeichern vor, optimalerweise bei jedem in der Wohnung.

Um überhaupt wirken zu können muss die Überwachung allumfassend sein, sonst benutzen die "Bösen" ja die jeweiligen Lücken. Dies führt dazu, dass z.B. auch alle Interaktionen in den Online Spielen genauso wichtig sind wie das Erfassen aller Emails und SMS und Telefonate. Jegliche Reduktion könnte, falls es doch mal wieder zu einem Anschlag kommt, zu Vorwürfen führen, das soll nicht riskiert werden.

Trotzdem ist die Effektivität der Überwachung extrem fragwürdig. Zuerst wurde berichtet, dass 54 Anschläge durch die Datenauswertungen verhindert werden konnten, dann wurde die Zahl auf 13 reduziert und letztendlich blieb übrig, dass ein Taxifahrer in San Diego 8500 $ an Terroristen in Somalia überwiesen hat. Dabei sind die Kosten dieser Überwachungsmaschinerie gigantisch, einmal die direkten Kosten (riesige Rechenzentren, aber auch viele Tausend Analysten die versuchen, in den vielen Heuhaufen die berühmte Stecknadel zu identifizieren) und dazu noch die indirekten Kosten durch Verlust der Privatsphäre und Vertrauensverlust der Menschen in den Staat und die Behörden von denen sie belogen werden.

Hier ein Zitat dazu, wozu diese gigantischen Datenmengen führen:

Das führt zu dem Punkt, dass die Hoffnung, diese Datenmengen würden nie missbraucht werden, absurd ist. Wir brauchen nicht auf die Nutzung der Lochkarten-Datenverabeitung im 3. Reich bei der Judenvernichtung zu schauen, auch in den USA gibt es reichlich Beispiele dafür, dass Oppositionelle mittels überwacht und unterdrückt wurden. Die Versuchung, diese Daten und die weitestgehende Transparenz der Lebensgeschichten der Bürger aller Länder zu missbrauchen und sei es nur für mehr oder weniger subtile Erpressungen, wird auf die Dauer unwiderstehlich sein. Welcher Politiker wird sich gegen eine Organisation stellen, die andeutet, dass sie "dies und das" über den Betreffenden wüsste. Der Aufbau eines Überwachungsstaats ist immer grob fahrlässig, auch in einer Demokratie.

Das führt zu der Zusammenfassung, dass der Abbau dieser Überwachungsmaschine sehr schwierig sein wird, und nur dann gelingen kann, wenn wirklich eine sehr starke Bewegung aus der Bevölkerung dies sehr vehement fordert. Und auch dann ist es eine Herkules-Aufgabe. Derzeit sieht es leider nicht danach aus. Verstärkt wird dies durch die Tatsache, dass die großen Cloud Dienste wie Google, Apple, Facebook, Microsoft zwar gegen die staatliche Überwachung protestieren (weil sie deren Kunden verunsichert), selbst aber heftig weiter an ihren Datensammlung arbeiten. Dies behandele ich im Artikel zur unerfreulichen Public-Private Überwachungs-Partnerschaft.


 


 

Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:

Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.