Home      Themenübersicht / Sitemap      Webmaster      
Newsletter Abo

 

156. Newsletter - sicherheitskultur.at - 31.1.2020

von Philipp Schaumann


Hier die aktuellen Meldungen:


1. Jahresrückblick im ECP  2019 Payment Threats and Fraud Trends Report 
-----------------------------------------------------------------------
(ECP = European Payment Council, eine Bankenorganisation)
Der Report gibt einen umfassenden Überblick über die Bedrohungen im Bankenbereich. 
Und das betrifft ja nicht nur die Banken, denn wir alle sind ja Bankkunden an deren Geld 
die "Bösen" wollen. 

U.a. wegen der Sicherheitsverbesserungen durch die PSD2 Verordnung (die 2 Faktoren 
beim Login und bei Zahlungen) ist Social Engineering für die Angreifer wichtiger denn je. 
Denn darüber und eine Automatisierung der Angriffe lassen sich auch die 2 Faktoren aushebeln. 
Nach meiner persönlichen Beobachtung haben die Verbesserungen der Sicherheit beim 
Online-Banking zu einer Professionalisierung und Automatisierung der Angriffe geführt. 

Weil die 2-Faktor-Geräte (sei es jetzt Hardware oder Smartphone mit App) für sich allein 
nur sehr schwer angreifbar sind hat sich die Personalisierung der Geräte oder Apps als 
wichtige Angriffsfläche für die Social Engineering-Angriffe herausgestellt. Angreifer "simulieren" 
Gerät verloren (Smartphone oder anderes Authentisierungsgerät) und versuchen dadurch 
den 2.Faktor des Kunden  zu übernehmen.

Daneben bleiben auch wiederverwendete Passworte ein großes Problem (die Wiederverwendung
 ist ein größeres Problem als schwache Passworte - es geht nicht ohne Passwort-Safes, 
entweder als separate Software oder in Browser integriert und durch Master-Passwort 
geschützt, auch das ist besser als wiederverwendete Passworte). Details in 
 https://www.europeanpaymentscouncil.eu/document-library/other/2019-payment-threats-and-fraud-trends-report

oder das PDF: 
https://www.europeanpaymentscouncil.eu/sites/default/files/kb/file/2019-12/EPC302-19%20v1.0%202019%20Payments%20Threats%20and%20Fraud%20Trends%20Report.pdf




2. Ausblicke
------------
Mehrere Zukunftssausblicke befürchten mehr Cloud Probleme in der nahen Zukunft, 
z.B.     
Grund ist, dass mehr und mehr Funktionalitäten in Cloud-Lösungen implementiert werden. 
Und die meisten Firmen nutzen mehr als 1 Cloud. Und jede dieser Clouds ist ein bisschen 
anders zu konfigurieren, jedesmal gibt es neue Optionen auf die geachtet werden muss. 
Forcepoint: "Organizations will become 'Cloud Smart' but remain 'Cloud Dumb'" - 
siehe z.B. der Buchbinder Leak.   
  https://www.derstandard.at/story/2000113614852/millionen-kundendaten-ungeschuetzt-im-netz-daten-gau-bei-autovermietung-buchbinder

Ebenfalls zum Thema Cloud schreibt die NSA: NSA Releases Guidance on Mitigating 
Cloud Vulnerabilities. Dabei werden sehr ähnliche potentielle (Konfigurations-)Fehler 
angesprochen: 
 https://www.us-cert.gov/ncas/current-activity/2020/01/24/nsa-releases-guidance-mitigating-cloud-vulnerabilities

Wieder eine andere Liste von Zukunftsproblemen:
  https://www.trendmicro.com/vinfo/us/security/research-and-analysis/predictions/2020
Auch hier kommen Cloud-Lösungen als Problem vor, erwähnt wird hier z.B. die immer 
stärker wachsende Nutzung von 3rd Party-Bibliotheken von denen die anwendenden 
Techniker nicht wirklich wissen, was sie im Details tun. Und oft wird nach einiger 
Zeit vergessen, dass diese Bibliothek auch genutzt wird und dass sie längst aktualisiert gehört.

Dann eine Zusammenstellung von 2020 Predictions von einer ganzen Reihe von Security Firmen.
  https://www.govtech.com/blogs/lohrmann-on-cybersecurity/the-top-20-security-predictions-for-2020.html


Europol: Project 2020 Scenarios for the Future of Cybercrime - White Paper for Decision Makers
   https://www.europol.europa.eu/sites/default/files/documents/2020_white_paper_0.pdf
Das ist ein etwas anderes Papier: es geht nicht um das Jahr 2020 sondern eher 
um das Jahrzehnt. Der Bericht beschreibt des Leben einer Bürgerin in der vernetzten 
Welt, eines Unternehmens und einer Regierungsbehörde. Recht interessant.

Auch eine Studie von McAfee sieht erhebliche Überforderung von Unternehmen und 
Administratoren bei der Kontrolle ihrer Daten in der Cloud. 
  https://www.heise.de/ix/meldung/McAfee-Studie-Sensible-Daten-in-Public-Cloud-weltweit-ausser-Kontrolle-4646924.html




3. Bruce Schneier: 5G Security
------------------------------
Während in der Öffentlichkeit beim Thema 5G entweder die mögliche Schädigung durch Strahlung 
oder durch den Lieferanten Huawei diskutiert wird gehen nach Meinung von Bruce Schneier 
die wirklichen Probleme unter.
    https://www.golem.de/news/bruce-schneier-es-ist-zu-spaet-um-5g-wirklich-sicher-zu-machen-2001-146156.html 
Zitate aus Golem:
Schneier sieht drei zentrale Sicherheitsprobleme bei 5G. "Erstens sind die Standards 
einfach zu komplex, um sie sicher zu implementieren", erklärt Schneier. Das sei zwar 
ein generelles Problem, bei 5G aber besonders ausgeprägt. Hinzu komme, dass ein 
Großteil des Netzes virtualisiert werde. Das bedeute, dass die Funktionen in Software 
auf dynamisch konfigurierbarer Hardware implementiert würden, was die Angriffspunkte 
dramatisch erhöhe. So müssen Teile der Funktionen sowohl in den zentralen Bereichen 
des Netzes wie auch in den Base Stations verfügbar sein, dies wurde über Virtualisierungen 
gelöst, was sehr komplex ist.

Ein zweites Problem ist laut Schneier die Rückwärtskompatibilität. Da 5G auf 4G aufbaut 
und in den meisten Installationen untrennbar miteinander vermengt sei, könnten Angreifer 
beispielsweise 5G-Systeme dazu zwingen, anfälligere 4G-Protokolle zu verwenden.

"Drittens haben die 5G-Standardkomitees viele Gelegenheiten zur Verbesserung der Sicherheit 
verpasst", erklärt Schneier. Viele der neuen Sicherheitsfunktionen seien optional, 
die Netzbetreiber könnten sich dafür oder dagegen entscheiden, sie zu implementieren. 
Das sei bereits bei 4G so gemacht worden und habe dazu geführt, dass Netzbetreiber 
zum Teil auch obligatorische Sicherheitsmerkmale nicht implementiert hätten, weil 
dies zu teuer gewesen sei. "Schlimmer noch: Bei 5G wurden Entwicklung, Leistung, 
Kosten und Markteinführungszeit über die Sicherheit gestellt, die als nachträgliche 
Maßnahme behandelt wurde", kritisiert Schneier.




4. Digitale Assistenten / Smart Speaker: Alexa mit Amazon Echo, Google Home, Apple Homepod
------------------------------------------------------------------------------------------
Gut vom BSI in Deutschland (Bundesamt für Sicherheit in der Informationstechnik):
Kurzes Video zu digitalen Assistenten, ihren Risiken und wie man sie (wenn man so was braucht) 
sicherer als üblich in ein Heimnetz integrieren sollte.
   https://www.youtube.com/watch?v=oRA18JUyXGc

Das BSI schlägt vor, in dem Heimrouter ein getrenntes zweites WLAN-Netzwerk zu 
konfigurieren (viele der Geräte können das, so etwas wird oft als Guest-Netzwerk 
vorgeschlagen damit die Gäste nicht in dem selben Netz wie die eigenen Geräte sein 
müssen). Das BSI schlägt vor, dass für sensible Geräte wie PC und die eigenen 
Smartphones das Standard WLAN-Netz genutzt wird. Und ein weiteres (das Guest 
Netzwerk mit einer eigenen SSID) für Smart TV, Assistenten, IoT Geräte etc. 

Und sie bringen die Warnung: Assistenten reagieren evt. auch auf Worte die ein 
Anrufer bei einem Anrufbeantworter laut ausspricht. Dadurch könnten im Haus 
Veränderungen erreicht werden, schlimmstenfalls die Tür geöffnet oder der Alarm 
abgeschaltet.



5. Sehr beunruhigende Fingerübungen
-----------------------------------
Bruce Schneier berichtet über eine kleine "Fingerübung" von 2 Studenten. Sie haben 
Datensammlungen mit gestohlenen Nutzerdaten, die im Darknet verfügbar sind und bei
 https://haveibeenpwned.com/ oder bei https://sec.hpi.de/ilc/ abfragbar sind, 
heruntergeladen und korreliert. Damit haben sie viel brisantere Daten über die 
Personen zusammenstellen können. Z.B. nicht nur Email und Passworte, sondern auch 
noch wie viel Geld die Personen haben und ob sie z.B. bei dem Leak der 
Cheating-Website mit dabei waren. Außerdem haben sie einen großen Anteil an 
wiederverwendeten Passworten gefunden. 
Bruce Schneier fragt sich, ob das nicht etwas ist, was die Geheimdienste der 
Welt längst auch alle gemacht haben.  
  https://www.schneier.com/blog/archives/2020/01/collating_hacke.html  
(mit einem Link zu der Orginalveröffentlichung)




5. Sehr beunruhigende Fingerübungen
-----------------------------------
Bruce Schneier berichtet über eine kleine "Fingerübung" von 2 Studenten. 
Sie haben Datensammlungen mit gestohlenen Nutzerdaten, die im Darknet 
verfügbar sind und bei https://haveibeenpwned.com/ oder bei
 https://sec.hpi.de/ilc/ abfragbar sind, heruntergeladen und korreliert. 
 Damit haben sie viel brisantere Daten über die Personen zusammenstellen 
 können. Z.B. nicht nur Email und Passworte, sondern auch noch wie viel 
 Geld die Personen haben und ob sie z.B. bei dem Leak der Cheating-Website 
 mit dabei waren. Außerdem haben sie einen großen Anteil an wiederverwendeten 
 Passworten gefunden. 
Bruce Schneier fragt sich, ob das nicht etwas ist, was die Geheimdienste 
der Welt längst auch alle gemacht haben.  
  https://www.schneier.com/blog/archives/2020/01/collating_hacke.html  
 (mit einem Link zu der Orginalveröffentlichung)



Neu auf meiner Website
---------------------
26.01.2020: Aktualisiert: Boeing 737 Max, mittlerweile eine ernste Bedrohung für den Boeing-Konzern 
  https://sicherheitskultur.at/technik.htm

06.01.2020: Ergänzt: Die Zukunft des Bargelds
  https://sicherheitskultur.at/notizen_1_16.htm#bar

06.01.2020: Hoffnung für die Zukunft bei Android-Aktualisierungen
  https://sicherheitskultur.at/mobile_security.htm#androidupdate

02.01.2020: Neu: Das etwas andere Internet in China
  https://sicherheitskultur.at/Internet_politik.htm#china

01.01.2020: Neu: Das Fediverse - eine Alternative zu Facebook, Twitter und anderen zentralen Netzen 
  https://sicherheitskultur.at/Internet_politik.htm#fedi

In den letzten 6 Wochen habe ich auch kräftig am Glossar gearbeitet, es enthält jetzt 204 Seiten.
  https://sicherheitskultur.at/pdfs/Informationssicherheit.pdf




Andere Themen: 
Ein Hinweis eines meiner Studenten:  Kostenloser Lesestoff zu Business Ethics.
Open Openstax gibt es ein umfassendes eBook (377 Seiten) mit vielen Themen 
rund um Businessethik. Natürlich primär auf die USA ausgerichtet, aber 
trotzdem sehr interessant. Der Überblick findet sich auf 
   https://cnx.org/contents/kUrGbuHs@5.1:KCyr9xii@3/Introduction






 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.