Home      Themenübersicht / Sitemap      Webmaster      

 

160. Newsletter - sicherheitskultur.at - 30.05.2021

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Verizon Data Breach Investigation Report

Dies ist die Übersichtsseite, dort gibt es (nach Registrierung) den vollen Report, aber auch ein Management Summary.

Die ganz kurze Zusammenfassung in heise.de: Kriminelle wollen nur Geld, Unternehmen stellen Daten selbst ins Feuer . Der Report analyisiert nicht nur die erfolgreichen Angriffe die bei Verizon selbst bearbeitet wurden, sondern 3950 Fälle die von CERT der EU, FBI, Shodan, US-Secret Service, Kaspersky, Trend Micro, Swisscom und Hasso-Plattner-Institut gemeldet wurden. Die häufigste Einbruchsmethode bleibt das Phishing mit 20%, ungepatchte Verwundbarkeiten machen 5% aus (leicht zu finden mittels Scans des Netzes.

Bei dem Rest der Angriffe machen falsch konfigurierte Cloud-Systeme einen immer größeren Anteil aus (60% aller Cloud-Präsenzen haben Fehlkonfigurationen !!). 75% der Cloud-Breaches sind gestohlene Anmeldedaten - bei Cloud-Diensten sind 2-Faktor Anmeldungen m.E. unumgänglich.

Hier ein Einwurf von mir: M.E. müssen auch die großen kommerziellen Cloud-Dienste einen Pentest unterworfen werden, nicht die Dienste selbst, da haben ein gewisses Vertrauen dass die großen Anbieter das selbst durchführen, sondern die Konfiguration des Zugangs wie sie von den Admins des Cloud-Kunden durchgeführt werden.

Hier noch ein anderer Report zum fehlkonfigurierten Cloud-Diensten: AWS: Tausende virtuelle Festplatten frei zugänglich im Netz.

Hier noch ein aktuelles Beispiel: Die Entwickler von Mercedes haben git falsch konfiguriert und der Quellcode lag offen. Quellcode von Mercedes-Benz-Fahrzeugen online geleakt

Ein Beispiel vom Februar: Patientendaten aus französischer Medizin-Cloud offen im Internet

Cloud-Angriffe sind aber dann letztendlich doch (nur?) 24% der erfolgreichen Angriffe, der Rest sind Angriffe auf Systeme in konventionellen Rechenzentren oder Endgeräte. Dort sind 40% der Angriffe auf Webserver und nur 10% auf Datenbanken (die zum Glück zumeist nicht direkt im Netz stehen). 30% der Angriffe betreffen die Endgeräte der Anwender.

Malware wie z.B. Ransomware kommt laut diesem Report erst zum Einsatz nachdem das Eindringen in das System bereits gelungen ist.

 

2. Mission Creep (möglicher)

Hier ein gutes (??) Bespiel wie sich das entwickeln könnte, Post-Corona: Hightech-Helm wird von Polizei im Kampf gegen Corona eingesetzt

Das ist ein Polizeihelm mit eingebauter Kamera. Erst mal nur für das Messen der Temperatur von Passanten, aber die Kamera erlaubt natürlich in Zukunft noch viel mehr, z.B. Gesichtserkennung, Aufzeichnung von Gesichtern, automatischer Abgleich möglicher Corona-Gesundheits-App wie das einige Politiker wünschen.

Man nennt das Mission Creep. Erst mal wird die Hardware für einen ganz begrenzten (mehr oder weniger sinnvollen Zweck) angeschafft, dann kann später der Anwendungsbereich einfach über einen Software-Upgrade erweitert werden. Hier ein älterer Beitrag von mir zu Mission Creep.

 

3. Starke Vorwürfe gegen Apple (die sich immer auf der "Seite der Guten" gesehen haben)

Siri-Sprachaufnahmen: Whistleblower wirft Apple massive Überwachung vor. Ein einst für Subunternehmen tätiger Mitarbeiter sieht sich an Orwells "1984" erinnert und beklagt Untätigkeit der Datenschutzbehörden. Seine Vorwürfe: Ohne explizite Zustimmung der Nutzer hätte sich der Konzern von seiner auf vielen Geräten laufenden Sprachassistentin Siri Aufzeichnungen liefern lassen, die anschließend von Mitarbeitern ausgewertet wurden. Dabei handelte es sich oft nicht einmal um direkte Angestellte von Apple, sondern um Personal von Subunternehmen im Auftrag des IT-Konzerns.

 

4. Lesestoff: Yasha Levine- Surveillance Valley: The Secret Military History of the Internet

Umschlag: Yasha Levine- Surveillance Valley: The Secret Military History of the Internet

Das Buch ergänzt das bisherige Schlüsselwerk zur Entstehung des Internets, nämlich "Where Wizards Stay Up Late" von Katie Hafner und Matthew Lyon, das sich auf die technischen Herausforderungen die bei der Entwicklung der Internet-Technologien konzentriert und auf den Widerstand der Telecoms gegen das Brechen ihres Monopols auf Circuit Switching durch Packet Switching.

Parallel dazu lief eine Militarisierung weiterer Bereiche der Forschung (nicht nur technisch, sondern auch in den Sozialwissenschaften, Stichwort Counter Insurgency Forschung wegen Vietnam und Widerstandsbewegungen in vielen Teilen der Welt) und Proteste von Studierenden und anderen die sich dagegen wehrten. Von Anfang an wurden die Verbindungen zwischen den Rechner und die daraus entstehenden Netze genutzt um Daten über die Protestierenden zu sammeln und zwischen den Behörden auszutauschen und zentral abfragbar zu machen.

Nach der bewussten Privatisierung der Netze in den 90igern und der Entwicklung des Überwachungskapitalismus in den frühen 2000ern wurde die Datensammlung über Bürger immer mehr den privaten Firmen überlassen.

Wie Snowden dann gezeigt hat war das (leider) eine sehr "fruchtbare" Arbeitsteilung: Die Bürger überlassen die Daten den Googles, Facebooks, etc und die NSA greift die Daten dort einfach ab. Dies wurde nach Snowden eingeschränkt, was aber nicht bedeutet, dass diese Firmen nicht weiter bereit sind, mit den Überwachungsbehörden zusammenzuarbeiten (wenn sie mehr oder weniger streng darum gebeten werden).

Das Buch problematisiert auch die Rolle von Technologien wie TOR und Signal, die durch die US-Regierung finanziell am Leben erhalten werden und gleichzeitig von Leuten wie Snowden und vielen aus der White-Hat Hackersszene oder Wikileaks sehr aktiv beworben werden - weil wir nun mal nichts besseres haben um unsere Kommunikation zumindestens notdürftig zu verbergen