Die Themen dieses Newsletters

• 1. Jahresrückblick im ECP 2019 Payment Threats and Fraud Trends Report
• 2. Ausblicke auf 2021: Cloud-Probleme werden Firmen und Konsumenten weiter belasten
• 3. Bruce Schneier: 5G Security
• 4. Digitale Assistenten / Smart Speaker: Alexa mit Amazon Echo, Google Home, Apple Homepod
• 5. Sehr beunruhigende Fingerübungen - was mit gestohlenen Daten alles machbar ist
• 6. Kostenloser Lesestoff zu Business Ethik

 

156. Newsletter - sicherheitskultur.at - 31.01.2020

von Philipp Schaumann

Zum Archiv-Überblick

Hier die aktuellen Meldungen:

1. Jahresrückblick im ECP 2019: Payment Threats and Fraud Trends Report

(ECP = European Payment Council, eine Bankenorganisation)
Der Report gibt einen umfassenden Überblick über die Bedrohungen im Bankenbereich. Und das betrifft ja nicht nur die Banken, denn wir alle sind ja Bankkunden an deren Geld die "Bösen" wollen.

U.a. wegen der Sicherheitsverbesserungen durch die PSD2 Verordnung (die 2 Faktoren beim Login und bei Zahlungen) ist Social Engineering für die Angreifer wichtiger denn je. Denn darüber und eine Automatisierung der Angriffe lassen sich auch die 2 Faktoren aushebeln. Nach meiner persönlichen Beobachtung haben die Verbesserungen der Sicherheit beim Online-Banking zu einer Professionalisierung und Automatisierung der Angriffe geführt.

Weil die 2-Faktor-Geräte (sei es jetzt Hardware oder Smartphone mit App) für sich allein nur sehr schwer angreifbar sind hat sich die Personalisierung der Geräte oder Apps als wichtige Angriffsfläche für die Social Engineering-Angriffe herausgestellt. Angreifer "simulieren" Gerät verloren (Smartphone oder anderes Authentisierungsgerät) und versuchen dadurch den 2.Faktor des Kunden zu übernehmen.

Daneben bleiben auch wiederverwendete Passworte ein großes Problem (die Wiederverwendung ist ein größeres Problem als schwache Passworte - es geht nicht ohne Passwort-Safes, entweder als separate Software oder in Browser integriert und durch Master-Passwort geschützt, auch das ist besser als wiederverwendete Passworte). Details in 2019 Payment Threats and Fraud Trends Report

oder das PDF: 2019 Payment Threats and Fraud Trends Report (pdf)

In einem späteren Newsletter zeige ich ein paar unschöne Nebenwirkungen auf, die m.E. durch diese 'gut gemeinte' Directive entstanden sind.

2. Ausblicke auf 2021: Cloud-Probleme werden Firmen und Konsumenten weiter belasten

(Im Rückblick vom Ende 2021 fällt mir auf, dass 2021 durch Covid-19 dann ganz neue zusätzlich Herausforderungen geschaffen hat. Von Dingen wie Contact Tracing oder Zoom Bombing wussten wir Anfang 2020 noch nicht einmal was das wohl sein könnte. Letztendlich haben wir beides bekommen: die hier vorhergesagten Cloud-Probleme plus eine Pandemie).

Mehrere Zukunftssausblicke befürchten mehr Cloud Probleme in der nahen Zukunft. Grund ist, dass mehr und mehr Funktionalitäten in Cloud-Lösungen implementiert werden. Und die meisten Firmen nutzen mehr als 1 Cloud. Und jede dieser Clouds ist ein bisschen anders zu konfigurieren, jedesmal gibt es neue Optionen auf die geachtet werden muss. Forcepoint: "Organizations will become 'Cloud Smart' but remain 'Cloud Dumb'" - siehe z.B. der 'Buchbinder Leak'.

Ebenfalls zum Thema Cloud schreibt die NSA: NSA Releases Guidance on Mitigating Cloud Vulnerabilities. Dabei werden sehr ähnliche potentielle (Konfigurations-)Fehler angesprochen: Guidance on Mitigating Cloud Vulnerabilities

Wieder eine andere Liste von Zukunftsproblemen: https://www.trendmicro.com/vinfo/us/security/research-and-analysis/predictions/2020 Auch hier kommen Cloud-Lösungen als Problem vor, erwähnt wird hier z.B. die immer stärker wachsende Nutzung von 3rd Party-Bibliotheken von denen die anwendenden Techniker nicht wirklich wissen, was sie im Details tun. Und oft wird nach einiger Zeit vergessen, dass diese Bibliothek auch genutzt wird und dass sie längst aktualisiert gehört.

Dann eine Zusammenstellung von 2020 Predictions von einer ganzen Reihe von Security Firmen. https://www.govtech.com/blogs/lohrmann-on-cybersecurity/the-top-20-security-predictions-for-2020.html

Europol: Project 2020 Scenarios for the Future of Cybercrime - White Paper for Decision Makers. Das ist ein etwas anderes Papier: es geht nicht um das Jahr 2020 sondern eher um das Jahrzehnt. Der Bericht beschreibt des Leben einer Bürgerin in der vernetzten Welt, eines Unternehmens und einer Regierungsbehörde. Recht interessant.

Auch eine Studie von McAfee sieht erhebliche Überforderung von Unternehmen und Administratoren bei der Kontrolle ihrer Daten in der Cloud. McAfee-Studie: Public Cloud weltweit außer Kontrolle.

Das Thema Cloud-Lösungen und die Überforderung der Admins wird (aus der Zukunft von Ende 2021 betrachtet) weiterhin im Newsletter leider sehr aktuell bleiben.

3. Bruce Schneier: 5G Security - nicht wirklich gut

Während in der Öffentlichkeit beim Thema 5G entweder die mögliche Schädigung durch Strahlung oder durch den Lieferanten Huawei diskutiert wird gehen nach Meinung von Bruce Schneier die wirklichen Probleme unter. https://www.golem.de/news/bruce-schneier-es-ist-zu-spaet-um-5g-wirklich-sicher-zu-machen-2001-146156.html

Zitate aus Golem:

Schneier sieht drei zentrale Sicherheitsprobleme bei 5G. "Erstens sind die Standards einfach zu komplex, um sie sicher zu implementieren", erklärt Schneier. Das sei zwar ein generelles Problem, bei 5G aber besonders ausgeprägt. Hinzu komme, dass ein Großteil des Netzes virtualisiert werde. Das bedeute, dass die Funktionen in Software auf dynamisch konfigurierbarer Hardware implementiert würden, was die Angriffspunkte dramatisch erhöhe. So müssen Teile der Funktionen sowohl in den zentralen Bereichen des Netzes wie auch in den Base Stations verfügbar sein, dies wurde über Virtualisierungen gelöst, was sehr komplex ist.

Ein zweites Problem ist laut Schneier die Rückwärtskompatibilität. Da 5G auf 4G aufbaut und in den meisten Installationen untrennbar miteinander vermengt sei, könnten Angreifer beispielsweise 5G-Systeme dazu zwingen, anfälligere 4G-Protokolle zu verwenden.

"Drittens haben die 5G-Standardkomitees viele Gelegenheiten zur Verbesserung der Sicherheit verpasst", erklärt Schneier. Viele der neuen Sicherheitsfunktionen seien optional, die Netzbetreiber könnten sich dafür oder dagegen entscheiden, sie zu implementieren. Das sei bereits bei 4G so gemacht worden und habe dazu geführt, dass Netzbetreiber zum Teil auch obligatorische Sicherheitsmerkmale nicht implementiert hätten, weil dies zu teuer gewesen sei. "Schlimmer noch: Bei 5G wurden Entwicklung, Leistung, Kosten und Markteinführungszeit über die Sicherheit gestellt, die als nachträgliche Maßnahme behandelt wurde", kritisiert Schneier.

4. Digitale Assistenten / Smart Speaker: Alexa mit Amazon Echo, Google Home, Apple Homepod

Gut vom BSI in Deutschland (Bundesamt für Sicherheit in der Informationstechnik): Kurzes Video zu digitalen Assistenten, ihren Risiken und wie man sie (wenn man so was braucht) sicherer als üblich in ein Heimnetz integrieren sollte.

Das BSI schlägt vor, in dem Heimrouter ein getrenntes zweites WLAN-Netzwerk zu konfigurieren (viele der Geräte können das, so etwas wird oft als Guest-Netzwerk vorgeschlagen damit die Gäste nicht in dem selben Netz wie die eigenen Geräte sein müssen). Das BSI schlägt vor, dass für sensible Geräte wie PC und die eigenen Smartphones das Standard WLAN-Netz genutzt wird. Und ein weiteres (das Guest Netzwerk mit einer eigenen SSID) für Smart TV, Assistenten, IoT Geräte etc.

Und sie bringen die Warnung: Assistenten reagieren evt. auch auf Worte die ein Anrufer bei einem Anrufbeantworter laut ausspricht. Dadurch könnten im Haus Veränderungen erreicht werden, schlimmstenfalls die Tür geöffnet oder der Alarm abgeschaltet.

5. Sehr beunruhigende Fingerübungen - was mit gestohlenen Daten alles machbar ist

Bruce Schneier berichtet über eine kleine "Fingerübung" von 2 Studenten. Sie haben Datensammlungen mit gestohlenen Nutzerdaten, die im Darknet verfügbar sind und bei haveibeenpwned.com oder bei hpi.de abfragbar sind, heruntergeladen und korreliert. Damit haben sie viel brisantere Daten über die Personen zusammenstellen können. Z.B. nicht nur Email und Passworte, sondern auch noch wie viel Geld die Personen haben und ob sie z.B. bei dem Leak der Cheating-Website mit dabei waren. Außerdem haben sie einen großen Anteil an wiederverwendeten Passworten gefunden.

Bruce Schneier fragt sich, ob das nicht etwas ist, was die Geheimdienste der Welt längst auch alle gemacht haben. (mit einem Link zu der Orginalveröffentlichung)

6. Kostenloser Lesestoff zu Business Ethik

Ein Hinweis eines meiner Studenten: Kostenloser Lesestoff zu Business Ethics.
Auf Openstax gibt es ein umfassendes eBook (377 Seiten) mit vielen Themen rund um Businessethik. Natürlich primär auf die USA ausgerichtet, aber trotzdem sehr interessant. Hier der Überblick zum Buch 'Business Ethics'.
 

Philipp Schaumann, http://sicherheitskultur.at/

Zum Archiv-Überblick

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann.
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.