Home      Themenübersicht / Sitemap      Webmaster      

 

163. Newsletter - sicherheitskultur.at - 31.8.2020

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Reports und Studien

ESET Threat Report Q2 2020 ***

A view of the Q2 2020 threat landscape as seen by ESET telemetry and from the perspective of ESET threat detection and research experts.

ESET Threat Report Q2 2020

 

*** Incident Response Analyst Report 2019 ***

Überblick über viele reale Angriffe die von Kaspersky untersucht wurden: As an incident response service provider, Kaspersky delivers a global service that results in a global visibility of adversaries’ cyber-incident tactics and techniques on the wild. In this report, we share our teams’ conclusions and analysis based on incident responses and statistics from 2019.

Incident Response Analyst Report 2019

 

Cybercrime in the Age of COVID-19

The Cambridge Cybercrime Centre has a series of papers on cybercrime during the coronavirus pandemic.

Cybercrime in the Age of COVID-19

 

INTERPOL report shows alarming rate of cyberattacks during COVID-19

Cyberattacks during COVID-19

 

2. Der große Twitter-Hack 2020

Dieser Angriff zeigt, dass es Klassen von gefährlichen Angriffen gibt, bei denen wir als Nutzer vollkommen machtlos sind und die das Potential haben, tiefe Schäden zu reißen. Die Angreifer waren mittels einer simplen Phishing Attacke in der Lage nahezu ALLE Twitter Accounts zu übernehmen, auch die "verifizierten" wie von Biden, Obama, Musk, Gates, etc. Keiner konnte sich durch 2-Faktor Logins oder ähnliches dagegen schützen, die Fehler lagen in der mangelnden Sicherheit bei der Twitter-Administration. Die Angreifer waren keine Hacker-Profis feindlicher Staaten sondern junge Leute, mehr oder weniger Script-Kiddies.

Die Angreifer konnten beliebige Nachrichten im Namen prominenter Nutzer schicken. Ziemlich schnell wurde klar, dass damit viel schlimmeres hätte angestellt werden können als nur viele Bitcoins zu stehlen. Wenn jemand so viele prominente Accounts kontrolliert so kann er z.B. an einem Wahltag das Ergebnis ordentlich durcheinander bringen oder während eines internationalen Konflikts die Lage gehörig eskalieren lassen (die Kontrolle über die Accounts beider Konflikt-Parteien bietet viele Möglichkeiten zur Eskalation).

Bruce Schneier fragt, warum wir für die Banken ziemlich strenge Sicherheitsregeln haben und auch strenge Strafen falls bei einer Bank was schief geht. Für solche strategisch wichtigen Kommunikationsanbieter gibt es überhaupt keine Regeln und fast keine Strafen, wie wir von den Vorfällen bei Facebook, Twitter und anderen gelernt haben. Dabei ist der potentielle Schaden für die Gesellschaft erheblich größer. Bruce fragt, warum werden nur Banken reguliert, und solche wichtigen Betreiber machen sich die Regeln mehr oder weniger selbst?

Der Artikel von Bruce Schneier

Hintergrundartikel von NYT: Florida Teenager Is Charged as ‘Mastermind’ of Twitter Hack

Hintergrundartikel auf Golem.de: Twitter wurde per Telefonanruf gehackt

 

3. Cory Doctorow: How to Destroy 'Surveillance Capitalism'

Umschlagseite Cory Doctorow: How to Destroy 'Surveillance Capitalism'

Der bekannte SF-Autor Cory Doctorow hat ein kurzes Buch über den Überwachungskapitalismus geschrieben (oder einen sehr langen Artikel, der Link folgt gleich). Der Editor des Artikels schreibt in einem kurzen Vorwort:

"Surveillance capitalism is everywhere. But it’s not the result of some wrong turn or a rogue abuse of corporate power — it’s the system working as intended."

Doctorow sieht seinen Artikel als Gegenpunkt zu dem Buch Überwachungskapitalismus von Shoshana Zuboff. Ich glaube jedoch, dass sich beide in dem Punkt des Vorworts einig sind: Überwachungskapitalismus ist kein spezifisches Fehlverhalten von Firmen wie Amazon, Google, Facebook sondern das ist das System dahinter.

Ich verstehe Zuboff so, dass diese Firmen ihre Empire darauf aufbauen (und weiter ausbauen) dass sie möglichst gute Kontrolle über unser Verhalten bekommen können. Doctorow sieht das "Problem" primär in den Monopolen die rund um diese wenigen US-Giganten entstanden sind. Eine kurze Zusammenfassung durch Doctorow selbst auf Twitter.

Doctorow sagt im langen Text, dass der finanzielle Effekt von targeted advertising durch die großen Werbefirmen weit übertrieben wird - für diese Behauptung spricht das Experiment über das wired.com hier berichtet:

Die niederländische NPO hat ihre Website von targeted advertising (mit Cookies) auf contextual advertising (ohne Cookies) umgestellt (d.h. neben einem Artikel über Autos ist dann Werbung für Autos, egal welcher Benutzer eingeloggt ist). Die Werbeumsätze sind gestiegen durch die Werbung ohne Tracking.

Doctorow sagt, dass targeted advertising over-hyped wird, weil bei contextual advertising die Datensammler nicht mehr benötigt werden. Doctorow sagt, dass hyper-segmentation aber sehr wohl ein wichtiger Aspekt sei, da widerspricht er sich m.E. ein wenig.

Bruce Schneier fasst die Kontroverse folgendermaßen zusammen: Short summary: it's not the surveillance part, it's the fact that these companies are monopolies.

I think it's both. Surveillance capitalism has some unique properties that make it particularly unethical and incompatible with a free society, and Zuboff makes them clear in her book. But the current acceptance of monopolies in our society is also extremely damaging -- which Doctorow makes clear.

Das mit den Monopolstellungen ist m.E. ein wirklich wichtiger Aspekt der Dominanz der US-Giganten über die Welt außerhalb von China, auch ohne Datensammlung. Da ist z.B. Apple mit seinem Knebelvertrag dass alle App-Käufe 30% Obolus an Apple zahlen müssen, siehe der Streit mit Epic Games bzgl. Fortnite. Das ist durch das Verhindern eines alternativen App-Stores für iOS eine brutale Monopolstellung. Eine ähnlich brutale Monopolstellung nutzt Amazon aus: Sie bekommen alle Daten über die Käufe bei Fremdanbietern auf ihrer Website, wenn da ein "Renner" dabei ist, so bieten sie es selbst an. Und wenn etwas wirklich gut läuft, so kaufen sie den ganzen Laden auf. Der Artikel von Doctorow.

Die aktuelle Liste der teuersten (und mächtigsten) Unternehmen der Welt. In der Krise haben die Top-Internet-Giganten gegenüber Anfang 2020 nochmals ordentlich zugelegt, in jeder Krise gibt es Gewinner :-(

Meine Zusammenfassung des Zuboff-Buchs.

Meine Zusammenfassung was schlimm ist an behavioral targeting.

Zum Streit Epic Games gegen Apple und Google.

 

4. Wie jeden Monat: Cloud-Probleme

Misconfigured Kubeflow workloads are a security risk.

 

5. Die Profis über Linkedln/Crunchbase/Angel abphishen

Ein Bericht über eine Gruppe die sich ShinyHunters nennt und eine große Menge von Personendaten veröffentlicht. Ihre Technik ist simpel: This database was dumped through sending Github phishing mails to . . . employees. The employees were found by searching for developers in the organisation on Linkedln/Crunchbase/Angel. All of the databases sold by ShinyHunters were obtained through this method. In some cases, same method was used for GitLab, Slack and Bitbucket.

Traurig, dass (auch?) die IT-Profis auf zugesendete Links in Emails klicken. Hier der Artikel. Man muss sich registrieren für die Details, dann gibt es aber solche (aufbauenden ??) Reports jede Woche.

 

6. SEC-Consult berichtet über "Ad Hoc Log-Management im Ernstfall"

Es geht darum, wie ein Unternehmen nach einem Angriff den Ablauf des Angriffs rekonstruieren kann. Dieser Blog Post stellt frei verfügbare Tools vor, die sich für ein kurzfristiges Aufsetzen für den Einsatz im Fall eines Security Incidents eignen.

Viele Organisationen, welche kein eigenes Incident Response Team haben, verfügen über keine oder nur sehr mangelhafte Visibility im eigenen Unternehmensnetzwerk. Doch vor Allem für die Aufarbeitung und Behebung des Vorfalls ist es unerlässlich auf allen Systemen angemessene Sichtbarkeit sicherzustellen. Hier der Artikel.

 

7. The history and systematic of computer supply chain attacks

The Atlantic Council has a released a reportabout the history of computer supply chain attacks.

Dabei geht es um indirekte Angriffe: Die Opfer werden nicht direkt angegriffen, sondern die Soft- oder Hardware, die die Opfer nutzen. Sehr effektiv um eine große Zahl von Opfern zu erreichen. Hier die Zusammenfassung und der Link.

 

8. Malware Attribution

Hier ein Übersichtsartikel der einige der "Tricks" aufzeigt mit denen Sicherheitsforscher versuchen, eine Schadsoftware einer bestimmten Gruppe zuzuordnen.

 

9. epicenter.works: Handbuch über die staatliche Überwachung in Österreich

Die Bürgerrechtsorganisation hat in einer gründlichen Arbeit die verwirrende gesetzliche Lage in Österreich zu staatlicher Überwachung zusammengestellt. Kurze Besprechung und Verlinkung.

 

10. Weitere Professionalisierung bei Ransomware

Zwei Artikel über die weitere Professionalisierung bei Ransomware. Der eine Aspekt dabei ist die Kombination von Verschlüsselung mit Datenklau und Erpressung mit der Drohung der Veröffentlichung, bzw. Versteigerung von brisanten Daten, z.B. Kundendaten - die Kunden könnten dann Schadenersatz verlangen, was sehr teuer kommen kann.

Der andere Aspekt der Professionalisierung ist, dass sich die bereits bestehenden Gruppen jetzt zu Kartells zusammenschließen und damit die Arbeitsteilung und den Know-How Austausch noch weiter vorantreiben können.

Spektakuläre Erfolge der Angreifer in den letzten Wochen sind Garmin und der US-amerikanische Reiseorganisator CWT. Garmin hat wohl mehrere Millionen US-Dollar gezahlt, CWT 4,5 Mio US$. Dies ist bekannt, weil die Verhandlungen öffentlich geführt wurden, siehe heise-Artikel. Mit dem Erpressungstrick reicht es als Schutz heute nicht mehr aus, verlässliche Backups zu haben. Firmen müssen WIRKLICH zumindest ihre Zugänge vom Internet besser absichern. Der heise-Artikel referenziert eine große Zahl von im Internet zugänglichen RDP-Zugängen, Zugangsdaten dazu lassen sich im Internet sehr preisgünstig kaufen. Sicherheitsverantwortliche sollten selbst in Shodan nach offenen Zugängen suchen, wenn sie nicht gleich ein Pentest-Unternehmen beauftragen. Die Screenshots im Artikel zeigen, dass viele dieser Server in den großen Cloud-Diensten liegen. Auch VPN-Zugänge werden für diese Angriffe verwendet. 2-Faktor Authentisierung ist ein MUSS für alles was aus dem Internet errreichbar ist.

Einer der Tricks des Kartells scheint ein eigens installierter virtueller Server zu sein, der die Verschlüsselung durchführt. Auf diesem läuft natürlich keine der Überwachungstools des Verteidigers, sondern ein Windows 95 das die Arbeit erledigt.

Angeblich bieten einige der Gruppen sogar Ransomware-Angriffe für Script-Kiddies an. Die IT-(Sicherheits-)Community muss sich noch einiges einfallen lassen, je lukrativer diese Angriffe werden, desto mehr Gruppierungen werden sich dort tummeln und ihre Geschäfte machen. Cybercrime: Erpressung auf neuem Niveau und SunCrypt Ransomware sheds light on the Maze ransomware cartel.