Home      Themenübersicht / Sitemap      Webmaster      
Newsletter Abo

 

154. Newsletter - sicherheitskultur.at - 30.11.2019

von Philipp Schaumann


Hier die aktuellen Meldungen:


1. Kryptographie - Empfehlungen zu Verschlüsselung und Verfahren
----------------------------------------------------------------
Eine sehr gute, recht einfache Einführung dahingegegend, welche Verfahren (noch) nicht geknackt sind, 
welche Vor- und Nachteile sie haben und was eingesetzt werden sollte.
  http://www.heise.de/-3221002


2. Zwei etwas interessantere Angriffe
-------------------------------------
Juice jacking ist ein neues Buzzword mit dem bezeichnet wird, dass irgendwo, z.B. in einem Café ein 
USB-Ladekabel und/oder öffentlicher 240 Volt Adapter in einer öffentlichen Ladestation steckt, die über 
die USB-Schnittstelle das Smartphone infizieren können. Das einzige (fast) vertrauenswürdige Teil ist 
die 240 Volt Steckdose (und hier könnte eine Überspannung drauf sein die das Gerät "brät"). 
Lösung: nie fremde Ladekabel oder Ladeadapter nutzen.
  https://blog.malwarebytes.com/explained/2019/11/explained-juice-jacking/


Cleveres Social Engineering - Identitätsdiebstahl bei Umfragejob: Für ein Job-Angebot im Internet soll 
sich das Opfer über eine Identifikation-Verifizierungsstelle wie IDNow identifizieren lassen. 
Diese Dienste werden typischerweise von Banken für KYC (know-your-customer) genutzt. Dem Opfer wird 
erzählt, dies sei für den Umfragejob notwendig, in Wirklichkeit eröffnet das Opfer ein Bankkonto das 
dann für Betrügereien genutzt werden kann. Schlimmstenfalls haftet das Opfer für die Schäden.
   https://www.watchlist-internet.at/news/video-identitaetsdiebstahl-bei-umfragejob/



3. Der Uber-Unfall des autonomen Fahrzeugs in Tempe
---------------------------------------------------
Die Untersuchung der Behörde zeigt, dass der Algorithmus eine Reihe von sehr problematischen 
Fehlern/Problemen enthielt die alle gemeinsam dann zu dem Unfall geführt haben: die Frau wurde 
sehr früh von den Sensoren wahrgenommen, aber weil sie ein Fahrrad schob, 3x unterschiedlich 
wahrgenommen (erst als Fahrzeug, dann als Fahrrad und als unbekanntes statisches Object. 
Bei jedem der neuen Einschätzungen wurde die Position verworfen, daher war nicht klar, dass 
das Objekt sich bewegt. Als klar war, dass ein Aufprall passieren würde wurde die  
“action suppression” aktiviert, die extreme Manöver bei 'false positives' verhindern soll. 
Gleichzeitig wurde die Kontrolle an die überforderte Fahrerin gegeben.

Hier die Details aus einem Artikel über die Untersuchung des U.S. National Transportation 
Safety Board:
. . . reveals a cascade of poor design decisions that led to the car being unable to 
properly process and respond to Herzberg’s presence as she crossed the roadway with her bicycle.

A radar on the modified Volvo XC90 SUV first detected Herzberg roughly six seconds before 
the impact, followed quickly by the car’s laser-ranging lidar. However, the car’s self-driving 
system did not have the capability to classify an object as a pedestrian unless they were near a crosswalk.

For the next five seconds, the system alternated between classifying Herzberg as a vehicle, a 
bike and an unknown object. Each inaccurate classification had dangerous consequences. When 
the car thought Herzberg a vehicle or bicycle, it assumed she would be travelling in the same 
direction as the Uber vehicle but in the neighboring lane. When it classified her as an 
unknown object, it assumed she was static.

Worse still, each time the classification flipped, the car treated her as a brand new object. 
That meant it could not track her previous trajectory and calculate that a collision was likely, 
and thus did not even slow down. Tragically, Volvo’s own City Safety automatic braking system 
had been disabled because its radars could have interfered with Uber’s self-driving sensors.

By the time the XC90 was just a second away from Herzberg, the car finally realized that 
whatever was in front of it could not be avoided. At this point, it could have still slammed 
on the brakes to mitigate the impact. Instead, a system called “action suppression” kicked in.

This was a feature Uber engineers had implemented to avoid unnecessary extreme maneuvers in 
response to false alarms. It suppressed any planned braking for a full second, while 
simultaneously alerting and handing control back to its human safety driver. But it 
was too late. The driver began braking after the car had already hit Herzberg. She was 
thrown 23 meters (75 feet) by the impact and died of her injuries at the scene.
 https://spectrum.ieee.org/cars-that-think/transportation/self-driving/ntsb-investigation-into-deadly-uber-selfdriving-car-crash-reveals-lax-attitude-toward-safety



4. Open Source Intelligence (OSINT) zu 'operational technology'
---------------------------------------------------------------
Ein neues Buzzword das evt. noch nicht alle kennen ;-). Das was früher unter SCADA, 
Industrial Control, Gebäudesteuerung und anderen Begriffen lief heißt heute zumeist 
verallgemeinert OT  'operational technology'. Hier eine Anleitung, wie solche Systeme 
im Internet gefunden werden können. Veröffentlicht natürlich nicht, um diese Systeme anzugreifen, 
sondern als Hinweise, solche Systeme nicht mehr im Internet auffindbar zu machen. 
  https://www.virusbulletin.com/blog/2019/11/vb2019-paper-fantastic-information-and-where-find-it-guidebook-open-source-ot-reconnaissance/
Und noch ein Papier zu den Abgrenzungen zu IT vs. OT - m.E. nichts da drin was nicht 
für ICS und SCADA auch gegolten hätte.
 https://www.novotek.com/en/solutions/cyber-security-for-production-and-process-networks/vast-differences-between-it-and-ot-cyber-security/


5. Edward Snowden erklärt wie das Handy seine Nutzer ausspioniert
-----------------------------------------------------------------
In einem 24 Min Video erklärt Edward Snowden was das eigentliche Problem bei unseren 
Smartphonen ist. Spoiler: wir wissen eigentlich nicht wirklich, was die Dinger Tag und 
Nacht tun, wir hoffen einfach, dass es nichts böses ist. Er kann wirklich gut erklären.
 https://www.youtube.com/watch?v=VFns39RXPrU


6. ENISA: How to implement security by design for IoT
-----------------------------------------------------
Hier ein weiteres Best Practise paper zu Internet of Things. Diesmal von der ENISA, 
d.h. dies hat für Europa eine gewisse Autorität. 
 https://www.enisa.europa.eu/news/enisa-news/how-to-implement-security-by-design-for-iot

Hier weitere Dokumente zu sicherer IoT:  
 https://sicherheitskultur.at/iot.htm#sicher


7. US-CERT über das Aufbrechen von HTTPS-Verbindungen im Zugang zum Firmennetz
------------------------------------------------------------------------------
Einige Hinweise, welche Fehler gemacht werden können wenn ein Unternehmen zum eigenen 
Schutz die HTTPS-Verbindungen seiner Mitarbeiter aufbricht: HTTPS Interception Weakens 
TLS Security - anderseits hilft es sehr beim Erkennen von "bösen Websites" zu denen 
gerade verschlüsselte Verbindungen aufgebaut werden, auch data exfiltration läuft 
heute über HTTPS.
  https://www.us-cert.gov/ncas/alerts/TA17-075A



Neu auf meinen Websites
-----------------------
 23.11.2019: Überarbeitungen bei Biometrie
    https://sicherheitskultur.at/privacy_loss.htm#face

12.11.2019: Ergänzt mit Apple: Was Google, Apple, Facebook, Whatsapp, Amazon, etc. 
über Sie speichern und wie man das abfragt 
  https://sicherheitskultur.at/spuren_im_internet.htm#googl

 22.11.2019: Überarbeitung Werden unsere Daten verkauft? - Der große Datenhandel
  https://www.philipps-welt.info/internet.htm#kurzver

22.11.2019: Ergänzungen bei Wie könnte ein Internet ohne Tracking, Überwachung und 
Datensammelei denn aussehen?
  https://www.philipps-welt.info/internet.htm#beispiele

18.11.2019: Ergänzungen zu den Unfällen bei autonomen Fahrzeugen 
  https://www.philipps-welt.info/autonom.htm#unfall



Andere Themen: 

Buch von Andreas Eschbach: NSA - Nationales Sicherheits-Amt 
-----------------------------------------------------------
Eine alternative IT-Geschichte: Während England bis zum Ende des ersten Weltkriegs noch auf 
programmierbare Rechenmaschinen auf der Basis von Dampf und Lochkarten setzt, wurden bereits 
im deutschen Kaiserreich elektrische Komputer entwickelt und ein umfassendes Datennetz 
eingerichtet. In diesem Datennetz werden auch bereits tragbare Telefone eingesetzt. 
Aber dieser technologische Vorsprung reichte nicht für einen anderen Ausgang des ersten Weltkriegs.

Im Friedensvertrag verliert Deutschland alle Patente für Komputer und Datennetze. 
Es entsteht ein umfassendes Weltnetz. Aber auf Grund des technologischen Vorsprungs 
der deutschen Forschung liegen viele der weltweiten Daten in zentralen Silos in Deutschland. 
Die tragbaren Telefone werden sehr erschwinglich und verbreiten sich sehr schnell. 
Sie werden auch für den Zugang zu den Gemeinschaftsmedien genutzt, deren Daten 
ebenfalls zentral in Deutschland liegen. Die Gemeinschaftsmedien, speziell das 
Deutsche Forum, spielen beim Aufstieg Adolf Hitlers eine wichtige Rolle.

Das bereits im Kaiserreich gegründete Nationale Sicherheits-Amt (NSA) hat Zugriff auf 
alle diese Daten, inkl. Elektrobriefe, die Daten der zentralen Tagebuch-Anwendung auf 
den Telefonen, die Standorte aller Telefone und alle Geldbewegungen, denn bereits 1933 
wurde Bargeld abgeschafft und durch Zahlungen mittels Karte oder Telefon ersetzt.

Der Autor beschreibt eindrücklich, wie allwissend und mächtig eine Diktatur ist die über 
unsere heutigen technologischen Möglichkeiten der Datensammlung, der umfassenden Datenanalyse 
und Überwachung der Bürger verfügt. Bzw. welche Macht die heutigen Diktatoren aktiv 
einsetzen können. Es ist eine eindrückliche Warnung, denn wir garantiert uns, dass 
zukünftige Regierungen nicht auf die jetzigen Daten zugreifen werden.

Das Buch ist nicht nur eine beeindruckende "alternative history" sondern auch ein Blick 
in eine dystopische Zukunft, wie sie derzeit in China mit dem Social Credit Score 
System gerade implementiert wird.


Nicht aus der IT oder Sicherheit:
---------------------------------
Humor 
https://pbs.twimg.com/media/EIwlKY6XUAA91rL.jpg


   https://blog.datawrapper.de/climate-crisis-global-warming/
Die Grafik zeigt, wie sich die derzeit wahrscheinlichste Option von 3,2 Grad, 
bzw. 4 Grad Erwärmung bis 2100 auswirken würde

Und Klimaforscher Stefan Rahmstorf erklärt in einem 4 Min. Video unsere Welt mit 
4 Grad mehr. Themen sind Waldbrände, Eisschmelze, Unwetter, Kipppunkte und Überflutung 
aller Küstenstädte. 4 Grad ist der wahrscheinlichste Wert für 2100 falls wir einfach 
so weitermachen wie bisher, bzw. 3 Grad falls wir weitermachen wie in Paris beschlossen
   https://www.zeit.de/video/2019-09/6087750314001/klimawandel-was-wenn-wir-nichts-tun





 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.