Home      Themenübersicht / Sitemap      Webmaster      
Newsletter Abo

 

159. Newsletter - sicherheitskultur.at - 30.4.2020

von Philipp Schaumann


Hier die aktuellen Meldungen:

1. Auch bei mir: Corona 
-----------------------
von Florian Bogner gibt’s ein gutes Youtube Video zu Awareness-Aspekten 
im Home Office:
 https://www.youtube.com/watch?v=LNHmIV_SQgY

Ähnlich aus Deutschland:  BSI präsentiert - 
Phishing: Die Corona-Krise als Köder
 https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/phishing-corona.html
(evt. zum Verlinken oder inhaltlich Übernehmen für die 
Firmen-Intranetseiten)



2. Erweiterung vom letzten Newsletter: Thema Zoom-Videokonferenzen
------------------------------------------------------------------
Bruce Schneier schreibt eine ausführliche Zusammenfassung der 
Zoom-Probleme:
 https://www.schneier.com/blog/archives/2020/04/security_and_pr_1.html

a) Privatspäre und Datenschutz:
Zusätzlich von den Gebühren die sich für Firmen- oder intensivere Nutzung 
verlangen wollen sie auch noch Geld vom Verkauf von Kundendaten machen, 
eiern aber wild rum um das Wort "Verkauf" zu vermeiden. Die angebliche 
Zustimmung der Nutzer ist wohl in den Nutzungsbedingungen der 
App-/Software-Download versteckt. Zusätzlich liefert die Smartphone-App 
Daten an Facebook, weil die bequeme Facebook-API die Zoom genutzt hat 
das eben so tut.

b) Unsichere Software, anscheinend nie ernsthaft einem Pentest unterzogen. 
Die behauptete Ende-zu-Ende-Verschlüsselung ist eine Transport-Verschlüsselung
über das Internet, aber auf den Servern (einige in China) analysieren 
sie alles, weil in Klartext. Die Verschlüsselungsalgorithmen sind 
zu schwach. Diese Probleme ziehen sich über die letzten Jahre hin, 
da wäre Zeit gewesen, mal einen externen Test zu beauftragen. 
Die Meeting-ID sind so kurz, dass sie durchprobiert werden können.

c) Die Default-Einstellungen beim Anlegen einer Konferenz sind sehr 
"unglücklich". Die Grundeinstellung ist dass jeder der irgendwie an die 
Konferenz-ID kommt seinen Screen sharen kann. Das führt zum mittlerweile 
zum "Internet-Volkssport" gewordenen "Zoom-Bombing".

Und Mitte des Monats wurden eine große Zahl von geknackten Zoom-Accounts 
zum Verkauf angeboten.
  https://www.heise.de/-4702677

Vermutlich sind die durch Credential Stuffing entstanden. Dabei werden 
die Passworte von geknackten Accounts bei anderen Websites, in diesem 
Fall zoom.us einfach durchprobiert. 
Deswegen heißer Tipp: Passworte nie recyclen, d.h. nie das selbe 
Passwort auf 2 Websites verwenden. Dies führt zu einer riesigen Menge 
an Passworten und die speichert man eben in einem Passwortsafe, 
siehe 
  https://sicherheitskultur.at/Passworte.htm#passmgr

Wie viele geknackte Accounts es gibt und ob Sie dabei sind findet sich auf 
 https://haveibeenpwned.com/ 
 oder
  https://sec.hpi.de/ilc/search?lang=de 

Update Ende des April: Die neue Version von Zoom soll eine Reihe 
der Probleme nicht mehr haben.


Hier 2 Artikel über alternative Lösungen für Videokonferenzen:
  https://epicenter.works/content/videokonferenztools-von-open-source-bis-datenschutzdesaster
  https://www.falter.at/zeitung/20200415/bereit-fuer-den-zoom-entzug--app-tipps-zur-sicheren-kommunikation-in-corona-zeiten/



3. Was ganz anderes:  Attack matrix for Kubernetes 
---------------------------------------------------- 
( https://de.wikipedia.org/wiki/Kubernetes )
Interessant für Firmen, die mehr und mehr sog. Containerlösungen 
einsetzen, die zwar eine ganze 
Reihe von Vorteilen haben, aber auch zu ganz neuen Herausforderungen 
führen. 
Zu diesem Umfeld gehört z.B. auch Docker, ein Tool zur Vereinfachten 
Bereitstellung und Administration von solchen Lösungen.
 https://de.wikipedia.org/wiki/Docker_(Software)
Hier hat jemand die Liste der Angriffsszenarien für solche Lösungen 
zusammengestellt. Beeindruckend, was dabei alles aus Securitysicht schief gehen kann.
  https://www.microsoft.com/security/blog/2020/04/02/attack-matrix-kubernetes/



4. COVID-19 Contact Tracing
---------------------------
Kurze Zusammenfassung: M.E. bringt das nichts, es scheint darum zu 
gehen dass es doch nicht sein kann, dass wir solche coolen Geräte 
haben, aber sie nicht im Kampf gegen das Virus einsetzen. D.h. die 
Diskussionen über Privatsphäre überspringt zumeist die Kernfrage: 
Bringt das überhaupt was?

Das Hauptargument von Bruce Schneier:
    https://www.schneier.com/blog/archives/2020/04/contact_tracing.html
Was eine App als Kontakt-mit-einem-Ansteckenden erkennt (in Ö 
geplant: 15 Minuten näher als 1-2 Meter) ist nicht identisch mit einer 
Infektion. Die kann viel schneller als 15 Minuten passieren (1x angehustet), 
oder auch nicht passieren, z.B. weil der Kranke die Viren nicht 
mehr im Hals sondern nur noch in der Lunge hat). Außerdem erfasst keine 
App Ansteckungen über Oberflächen.

Ein Argument auf Grund der Singapur-Erfahrung: 
Dort gab es eine Nutzungsrate von 10-15%. D.h. in ca. 1/8 der Kontakte 
hatte einer der beiden die App aktiv, d.h. die Wahrscheinlichkeit dass 
beide die App aktiv haben ist ca. 1/64. Daher hat Singapur das 
Tracen über App aufgegeben und hat einen Lockdown über das Land verhängt 
als die Infektionen wieder anstiegen.

Aus New Scientist:  There are many reasons why covid-19 contact-tracing 
apps may not work  https://www.newscientist.com/article/2241041-there-are-many-reasons-why-covid-19-contact-tracing-apps-may-not-work/

Hier 10 Forderungen des Chaos Computer Clubs (und die erste ist, dass 
das ganze einen Sinn ergeben muss)
   https://www.ccc.de/de/updates/2020/contact-tracing-requirements
Der Wiener Chaos Computer Club hat einen Text über die möglichen 
sozialen Aspekte einer Tracing-App geschrieben. 
   https://c3w.at/posts/2020/gesellschaftliche_aspekte_contact-tracing-apps/

Und eigenartiges gibt es bei dem europäischen Projekt PEPP-PT dazu:
Verblüffend dass die DS-freundliche Variante aus dem (sehr rohen) 
Entwurf wieder entfernt wurde.
 https://www.heise.de/newsticker/meldung/Corona-Tracing-App-Absetzbewegungen-beim-multinationalen-Projekt-PEPP-PT-4705279.html

Die freiwillige App in Norwegen wurde von 38% der Bevölkerung runtergeladen, 
trotz Datenschutzbedenken, hohem Stromverbrauch, zentraler Speicherung der 
Daten und ohne Veröffentlichung des Quellcodes - verblüffend.

Die dänische App funktioniert wohl nur auf Android, und soll in einigen 
Wochen zur Verfügung stehen. 

In Schweden sollen die Menschen auf einer Website ihre Symptome anonym 
eingeben und daraus sollen Schlüsse über den Pandemieverlauf gezogen werden.

Die Download-Zahlen für Ö liegen wohl bei 400 000 - das reicht vor und 
hinten nicht für irgendwelche Nachverfolgungen.

Alle Apps kranken derzeit (noch) daran, dass die gemeinsame Google/Apple 
API noch nicht fertig ist. Die ist aber notwendig, damit Bluetooth auch 
dann aktiv ist wenn die App nicht im Foreground läuft. 
D.h. alle bisherigen Apps können nur für aktives Registrieren von 
Kontakten genutzt werden.

Hier ein kritisches Statement des Europarats zu Contact-Tracing: 
https://www.heise.de/newsticker/meldung/Corona-Tracing-Apps-Europarat-erinnert-an-Gebot-der-Datensparsamkeit-4711463.html





 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.