Die Themen dieses Newsletters
| Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
Hier die aktuellen Meldungen:
ESET Threat Report Q2 2020 ***
A view of the Q2 2020 threat landscape as seen by ESET telemetry and from the perspective of ESET threat detection and research experts.
*** Incident Response Analyst Report 2019 ***
Überblick über viele reale Angriffe die von Kaspersky untersucht wurden:
As an incident response service provider, Kaspersky delivers a global
service that results in a global visibility of adversaries’
cyber-incident tactics and techniques on the wild. In this report,
we share our teams’ conclusions and analysis based on incident
responses and statistics from 2019.
Incident Response Analyst Report 2019
Cybercrime in the Age of COVID-19
The Cambridge Cybercrime Centre has a series of papers on cybercrime
during the coronavirus pandemic.
Cybercrime in the Age of COVID-19
INTERPOL report shows alarming rate of cyberattacks during COVID-19
Dieser Angriff zeigt, dass es Klassen von gefährlichen Angriffen gibt,
bei denen wir als Nutzer vollkommen machtlos sind und die das Potential
haben, tiefe Schäden zu reißen. Die Angreifer waren mittels einer simplen
Phishing Attacke in der Lage nahezu ALLE Twitter Accounts zu übernehmen,
auch die "verifizierten" wie von Biden, Obama, Musk, Gates, etc.
Keiner konnte sich durch 2-Faktor Logins oder ähnliches dagegen schützen,
die Fehler lagen in der mangelnden Sicherheit bei der Twitter-Administration.
Die Angreifer waren keine Hacker-Profis feindlicher Staaten sondern junge
Leute, mehr oder weniger Script-Kiddies.
Die Angreifer konnten beliebige Nachrichten im Namen prominenter Nutzer
schicken. Ziemlich schnell wurde klar, dass damit viel schlimmeres hätte
angestellt werden können als nur viele Bitcoins zu stehlen. Wenn jemand
so viele prominente Accounts kontrolliert so kann er z.B. an einem
Wahltag das Ergebnis ordentlich durcheinander bringen oder während eines
internationalen Konflikts die Lage gehörig eskalieren lassen (die
Kontrolle über die Accounts beider Konflikt-Parteien bietet viele
Möglichkeiten zur Eskalation).
Bruce Schneier fragt, warum wir für die Banken ziemlich strenge
Sicherheitsregeln haben und auch strenge Strafen falls bei einer Bank
was schief geht. Für solche strategisch wichtigen Kommunikationsanbieter
gibt es überhaupt keine Regeln und fast keine Strafen, wie wir von den
Vorfällen bei Facebook, Twitter und anderen gelernt haben. Dabei ist der
potentielle Schaden für die Gesellschaft erheblich größer. Bruce fragt,
warum werden nur Banken reguliert, und solche wichtigen Betreiber machen
sich die Regeln mehr oder weniger selbst?
Der Artikel von Bruce Schneier
Hintergrundartikel von NYT: Florida Teenager Is Charged as ‘Mastermind’ of Twitter Hack
Hintergrundartikel auf Golem.de: Twitter wurde per Telefonanruf gehackt
Der bekannte SF-Autor Cory Doctorow hat ein kurzes Buch über den
Überwachungskapitalismus geschrieben (oder einen sehr langen Artikel,
der Link folgt gleich). Der Editor des Artikels schreibt in einem kurzen Vorwort:
"Surveillance capitalism is everywhere. But it’s not the result of some
wrong turn or a rogue abuse of corporate power — it’s the system
working as intended."
Doctorow sieht seinen Artikel als Gegenpunkt zu dem Buch Überwachungskapitalismus
von Shoshana Zuboff. Ich glaube jedoch, dass sich beide in dem Punkt des
Vorworts einig sind: Überwachungskapitalismus ist kein spezifisches
Fehlverhalten von Firmen wie Amazon, Google, Facebook sondern das ist
das System dahinter.
Ich verstehe Zuboff so, dass diese Firmen ihre Empire darauf aufbauen
(und weiter ausbauen) dass sie möglichst gute Kontrolle über unser
Verhalten bekommen können. Doctorow sieht das "Problem" primär in
den Monopolen die rund um diese wenigen US-Giganten entstanden sind.
Eine kurze Zusammenfassung durch Doctorow selbst auf Twitter.
Doctorow sagt im langen Text, dass der finanzielle Effekt von
targeted advertising durch die großen Werbefirmen weit übertrieben
wird - für diese Behauptung spricht das Experiment über das
wired.com hier berichtet:
Die niederländische NPO hat ihre Website von targeted advertising
(mit Cookies) auf contextual advertising (ohne Cookies) umgestellt
(d.h. neben einem Artikel über Autos ist dann Werbung für Autos,
egal welcher Benutzer eingeloggt ist). Die Werbeumsätze sind
gestiegen durch die Werbung ohne Tracking.
Doctorow sagt, dass targeted advertising over-hyped wird, weil bei
contextual advertising die Datensammler nicht mehr benötigt werden.
Doctorow sagt, dass hyper-segmentation aber sehr wohl ein wichtiger
Aspekt sei, da widerspricht er sich m.E. ein wenig.
Bruce Schneier fasst die Kontroverse folgendermaßen zusammen:
Short summary: it's not the surveillance part, it's the fact that
these companies are monopolies.
I think it's both. Surveillance capitalism has some unique properties
that make it particularly unethical and incompatible with a free society,
and Zuboff makes them clear in her book. But the current acceptance
of monopolies in our society is also extremely damaging -- which
Doctorow makes clear.
Das mit den Monopolstellungen ist m.E. ein wirklich wichtiger Aspekt
der Dominanz der US-Giganten über die Welt außerhalb von China, auch
ohne Datensammlung. Da ist z.B. Apple mit seinem Knebelvertrag dass
alle App-Käufe 30% Obolus an Apple zahlen müssen, siehe der Streit mit
Epic Games bzgl. Fortnite. Das ist durch das Verhindern eines
alternativen App-Stores für iOS eine brutale Monopolstellung. Eine
ähnlich brutale Monopolstellung nutzt Amazon aus: Sie bekommen alle
Daten über die Käufe bei Fremdanbietern auf ihrer Website, wenn da ein
"Renner" dabei ist, so bieten sie es selbst an. Und wenn etwas wirklich
gut läuft, so kaufen sie den ganzen Laden auf.
Der Artikel von Doctorow.
Die aktuelle Liste der teuersten (und mächtigsten) Unternehmen
der Welt.
In der Krise haben die Top-Internet-Giganten gegenüber Anfang 2020
nochmals ordentlich zugelegt, in jeder Krise gibt es Gewinner :-(
Meine Zusammenfassung des Zuboff-Buchs.
Meine Zusammenfassung was schlimm ist an behavioral targeting.
Zum Streit Epic Games gegen Apple und Google.
Misconfigured Kubeflow workloads are a security risk.
Ein Bericht über eine Gruppe die sich ShinyHunters nennt und
eine große Menge von Personendaten veröffentlicht. Ihre
Technik ist simpel: This database was dumped through sending
Github phishing mails to . . . employees. The employees
were found by searching for developers in the organisation
on Linkedln/Crunchbase/Angel. All of the databases sold by
ShinyHunters were obtained through this method. In some cases,
same method was used for GitLab, Slack and Bitbucket.
Traurig, dass (auch?) die IT-Profis auf zugesendete Links in Emails klicken. Hier der Artikel.
Man muss sich registrieren für die Details, dann gibt es aber solche
(aufbauenden ??) Reports jede Woche.
Es geht darum, wie ein Unternehmen nach einem Angriff den Ablauf des
Angriffs rekonstruieren kann. Dieser Blog Post stellt frei verfügbare
Tools vor, die sich für ein kurzfristiges Aufsetzen für den Einsatz
im Fall eines Security Incidents eignen.
Viele Organisationen, welche kein eigenes Incident Response Team haben,
verfügen über keine oder nur sehr mangelhafte Visibility im eigenen
Unternehmensnetzwerk. Doch vor Allem für die Aufarbeitung und Behebung
des Vorfalls ist es unerlässlich auf allen Systemen angemessene
Sichtbarkeit sicherzustellen. Hier der Artikel.
The Atlantic Council has a released a reportabout the history of computer supply chain attacks.
Dabei geht es um indirekte Angriffe: Die Opfer werden nicht direkt
angegriffen, sondern die Soft- oder Hardware, die die Opfer nutzen.
Sehr effektiv um eine große Zahl von Opfern zu erreichen.
Hier die Zusammenfassung und der Link.
Hier ein Übersichtsartikel der einige der "Tricks" aufzeigt mit denen
Sicherheitsforscher versuchen, eine Schadsoftware einer bestimmten Gruppe zuzuordnen.
Die Bürgerrechtsorganisation hat in einer gründlichen Arbeit die
verwirrende gesetzliche Lage in Österreich zu staatlicher Überwachung zusammengestellt. Kurze Besprechung und Verlinkung.
Zwei Artikel über die weitere Professionalisierung bei Ransomware.
Der eine Aspekt dabei ist die Kombination von Verschlüsselung mit
Datenklau und Erpressung mit der Drohung der Veröffentlichung, bzw.
Versteigerung von brisanten Daten, z.B. Kundendaten - die Kunden
könnten dann Schadenersatz verlangen, was sehr teuer kommen kann.
Der andere Aspekt der Professionalisierung ist, dass sich die bereits
bestehenden Gruppen jetzt zu Kartells zusammenschließen und damit die
Arbeitsteilung und den Know-How Austausch noch weiter vorantreiben können.
Spektakuläre Erfolge der Angreifer in den letzten Wochen sind Garmin und der US-amerikanische
Reiseorganisator CWT. Garmin hat wohl mehrere Millionen US-Dollar gezahlt,
CWT 4,5 Mio US$. Dies ist bekannt, weil die Verhandlungen öffentlich geführt
wurden, siehe heise-Artikel. Mit dem Erpressungstrick reicht es als Schutz
heute nicht mehr aus, verlässliche Backups zu haben. Firmen müssen WIRKLICH
zumindest ihre Zugänge vom Internet besser absichern. Der heise-Artikel
referenziert eine große Zahl von im Internet zugänglichen RDP-Zugängen,
Zugangsdaten dazu lassen sich im Internet sehr preisgünstig kaufen.
Sicherheitsverantwortliche sollten selbst in Shodan nach offenen Zugängen
suchen, wenn sie nicht gleich ein Pentest-Unternehmen beauftragen. Die
Screenshots im Artikel zeigen, dass viele dieser Server in den großen
Cloud-Diensten liegen. Auch VPN-Zugänge werden für diese Angriffe
verwendet. 2-Faktor Authentisierung ist ein MUSS für alles was aus dem
Internet errreichbar ist.
Einer der Tricks des Kartells scheint ein eigens installierter virtueller
Server zu sein, der die Verschlüsselung durchführt. Auf diesem läuft
natürlich keine der Überwachungstools des Verteidigers, sondern ein
Windows 95 das die Arbeit erledigt.
Angeblich bieten einige der Gruppen sogar Ransomware-Angriffe für
Script-Kiddies an. Die IT-(Sicherheits-)Community muss sich noch einiges
einfallen lassen, je lukrativer diese Angriffe werden, desto mehr
Gruppierungen werden sich dort tummeln und ihre Geschäfte machen.
Cybercrime: Erpressung auf neuem Niveau und SunCrypt Ransomware sheds light on the Maze ransomware cartel.
2. Der große Twitter-Hack 2020
3. Cory Doctorow: How to Destroy 'Surveillance Capitalism'
4. Wie jeden Monat: Cloud-Probleme
5. Die Profis über Linkedln/Crunchbase/Angel abphishen
6. SEC-Consult berichtet über "Ad Hoc Log-Management im Ernstfall"
7. The history and systematic of computer supply chain attacks
8. Malware Attribution
9. epicenter.works: Handbuch über die staatliche Überwachung in Österreich
10. Weitere Professionalisierung bei Ransomware