Home      Themenübersicht / Sitemap      Webmaster      
Newsletter Abo

 

163. Newsletter - sicherheitskultur.at - 31.8.2020

von Philipp Schaumann


Hier die aktuellen Meldungen:

1. Reports und Studien
----------------------
ESET Threat Report Q2 2020 ***
A view of the Q2 2020 threat landscape as seen by ESET telemetry and 
from the perspective of ESET threat detection and research experts.
  https://www.welivesecurity.com/2020/07/29/eset-threat-report-q22020/


*** Incident Response Analyst Report 2019 ***
Überblick über viele reale Angriffe die von Kaspersky untersucht wurden:
As an incident response service provider, Kaspersky delivers a global 
service that results in a global visibility of adversaries’ 
cyber-incident tactics and techniques on the wild. In this report, 
we share our teams’ conclusions and analysis based on incident 
responses and statistics from 2019.
  https://securelist.com/incident-response-analyst-report-2019/97974/


Cybercrime in the Age of COVID-19
The Cambridge Cybercrime Centre has a series of papers on cybercrime 
during the coronavirus pandemic.
  https://www.cambridgecybercrime.uk/COVID/

INTERPOL report shows alarming rate of cyberattacks during COVID-19
  https://www.interpol.int/News-and-Events/News/2020/INTERPOL-report-shows-alarming-rate-of-cyberattacks-during-COVID-19



2. Der große Twitter-Hack
-------------------------
Dieser Angriff zeigt, dass es Klassen von gefährlichen Angriffen gibt, 
bei denen wir als Nutzer vollkommen machtlos sind und die das Potential 
haben, tiefe Schäden zu reißen. Die Angreifer waren mittels einer simplen 
Phishing Attacke in der Lage nahezu ALLE Twitter Accounts zu übernehmen, 
auch die "verifizierten" wie von Biden, Obama, Musk, Gates, etc. 
Keiner konnte sich durch 2-Faktor Logins oder ähnliches dagegen schützen, 
die Fehler lagen in der mangelnden Sicherheit bei der Twitter-Administration.  
Die Angreifer waren keine Hacker-Profis feindlicher Staaten sondern junge 
Leute, mehr oder weniger Script-Kiddies.

Die Angreifer konnten beliebige Nachrichten im Namen prominenter Nutzer 
schicken. Ziemlich schnell wurde klar, dass damit viel schlimmeres hätte 
angestellt werden können als nur viele Bitcoins zu stehlen. Wenn jemand 
so viele prominente Accounts kontrolliert so kann er z.B. an einem 
Wahltag das Ergebnis ordentlich durcheinander bringen oder während eines 
internationalen Konflikts die Lage gehörig eskalieren lassen (die 
Kontrolle über die Accounts beider Konflikt-Parteien bietet viele 
Möglichkeiten zur Eskalation).

Bruce Schneier fragt, warum wir für die Banken ziemlich strenge 
Sicherheitsregeln haben und auch strenge Strafen falls bei einer Bank 
was schief geht. Für solche strategisch wichtigen Kommunikationsanbieter 
gibt es überhaupt keine Regeln und fast keine Strafen, wie wir von den 
Vorfällen bei Facebook, Twitter und anderen gelernt haben. Dabei ist der 
potentielle Schaden für die Gesellschaft erheblich größer. Bruce fragt, 
warum werden nur Banken reguliert, und solche wichtigen Betreiber machen 
sich die Regeln mehr oder weniger selbst?

Der Artikel von Bruce Schneier:
 https://www.theatlantic.com/ideas/archive/2020/07/twitter-hacks-have-stop/614359/
Hintergrundartikel von NYT:
 https://www.nytimes.com/2020/07/31/technology/twitter-hack-arrest.html
Hintergrundartikel auf  Golem.de: 
  https://glm.io/149982


3. Cory Doctorow: How to Destroy ‘Surveillance Capitalism’
----------------------------------------------------------
Der bekannte SF-Autor Cory Doctorow hat ein kurzes Buch über den 
Überwachungskapitalismus geschrieben (oder einen sehr langen Artikel, 
der Link folgt gleich). Der Editor des Artikels schreibt in einem 
kurzen Vorwort: 
"Surveillance capitalism is everywhere. But it’s not the result of some 
wrong turn or a rogue abuse of corporate power — it’s the system 
working as intended."

Doctorow sieht seinen Artikel als Gegenpunkt zu dem Buch Überwachungskapitalismus 
von Shoshana Zuboff. Ich glaube jedoch, dass sich beide in dem Punkt des 
Vorworts einig sind:  Überwachungskapitalismus ist kein spezifisches 
Fehlverhalten von Firmen wie Amazon, Google, Facebook sondern das ist 
das System dahinter. 

Ich verstehe Zuboff so, dass diese Firmen ihre Empire darauf aufbauen 
(und weiter ausbauen) dass sie möglichst gute Kontrolle über unser 
Verhalten bekommen können. Doctorow sieht das "Problem" primär in 
den Monopolen die rund um diese wenigen US-Giganten entstanden sind. 
Eine kurze Zusammenfassung durch Doctorow selbst auf Twitter: 
  https://twitter.com/doctorow/status/1298631104983740417

Doctorow sagt im langen Text, dass der finanzielle Effekt von 
targeted advertising durch die großen Werbefirmen weit übertrieben 
wird - für diese Behauptung spricht das Experiment über das 
wired.com hier berichtet.
   https://www.wired.com/story/can-killing-cookies-save-journalism/
Die niederländische NPO hat ihre Website von targeted advertising 
(mit Cookies) auf contextual advertising (ohne Cookies) umgestellt 
(d.h. neben einem Artikel über Autos ist dann Werbung für Autos, 
egal welcher Benutzer eingeloggt ist). Die Werbeumsätze sind 
gestiegen durch die Werbung ohne Tracking.

Doctorow sagt, dass targeted advertising over-hyped wird, weil bei 
contextual advertising die Datensammler nicht mehr benötigt werden. 
Doctorow sagt, dass hyper-segmentation aber sehr wohl ein wichtiger 
Aspekt sei, da widerspricht er sich m.E. ein wenig.

Bruce Schneier fasst die Kontroverse folgendermaßen zusammen:
Short summary: it's not the surveillance part, it's the fact that 
these companies are monopolies.
I think it's both. Surveillance capitalism has some unique properties 
that make it particularly unethical and incompatible with a free society, 
and Zuboff makes them clear in her book. But the current acceptance 
of monopolies in our society is also extremely damaging -- which 
Doctorow makes clear.

Das mit den Monopolstellungen ist m.E. ein wirklich wichtiger Aspekt 
der Dominanz der US-Giganten über die Welt außerhalb von China, auch 
ohne Datensammlung. Da ist z.B. Apple mit seinem Knebelvertrag dass 
alle App-Käufe 30% Obolus an Apple zahlen müssen, siehe der Streit mit 
Epic Games bzgl. Fortnite. Das ist durch das Verhindern eines 
alternativen App-Stores für iOS eine brutale Monopolstellung. Eine 
ähnlich brutale Monopolstellung nutzt Amazon aus: Sie bekommen alle 
Daten über die Käufe bei Fremdanbietern auf ihrer Website, wenn da ein 
"Renner" dabei ist, so bieten sie es selbst an. Und wenn etwas wirklich 
gut läuft, so kaufen sie den ganzen Laden auf.

Der Artikel von Doctorow: 
  https://onezero.medium.com/how-to-destroy-surveillance-capitalism-8135e6744d59

Die aktuelle Liste der teuersten (und mächtigsten) Unternehmen 
der Welt:
   https://www.corporateinformation.com/Top-100.aspx 
In der Krise haben die Top-Internet-Giganten gegenüber Anfang 2020 
nochmals ordentlich zugelegt, in jeder Krise gibt es Gewinner :-(

Meine Zusammenfassung des Zuboff-Buchs:
   https://sicherheitskultur.at/spuren_im_internet.htm#verkauft 

Meine Zusammenfassung was schlimm ist an behavioral targeting:
 https://sicherheitskultur.at/spuren_im_internet.htm#user
 
Zum Streit Epic Games gegen Apple und Google:
  https://glm.io/150548



4. Wie jeden Monat: Cloud-Probleme
----------------------------------
Misconfigured Kubeflow workloads are a security risk 
  https://www.microsoft.com/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/



5. Die Profis über Linkedln/Crunchbase/Angel abphishen
------------------------------------------------------
Ein Bericht über eine Gruppe die sich ShinyHunters nennt und 
eine große Menge von Personendaten veröffentlicht. Ihre 
Technik ist simpel: This database was dumped through sending 
Github phishing mails to . . .  employees. The employees 
were found by searching for developers in the organisation 
on Linkedln/Crunchbase/Angel. All of the databases sold by 
ShinyHunters were obtained through this method. In some cases, 
same method was used for GitLab, Slack and Bitbucket. 

Traurig, dass (auch?) die IT-Profis auf zugesendete Links in 
Emails klicken. 
 https://resources.digitalshadows.com/weekly-intelligence-summary/weekly-intelligence-summary-31-july-2020
Man muss sich registrieren für die Details, dann gibt es aber solche 
(aufbauenden ??) Reports jede Woche.


6. SEC-Consult berichtet über  "Ad Hoc Log-Management im Ernstfall"
-------------------------------------------------------------------
Es geht darum, wie ein Unternehmen nach einem Angriff den Ablauf des 
Angriffs rekonstruieren kann. Dieser Blog Post stellt frei verfügbare 
Tools vor, die sich für ein kurzfristiges Aufsetzen für den Einsatz 
im Fall eines Security Incidents eignen.
Viele Organisationen, welche kein eigenes Incident Response Team haben, 
verfügen über keine oder nur sehr mangelhafte Visibility im eigenen 
Unternehmensnetzwerk. Doch vor Allem für die Aufarbeitung und Behebung 
des Vorfalls ist es unerlässlich auf allen Systemen angemessene 
Sichtbarkeit sicherzustellen.
  https://www.sec-consult.com/./blog/2020/07/ad-hoc-log-management-im-ernstfall-sec-defence/


7. The history and systematic of computer supply chain attacks
--------------------------------------------------------------
The Atlantic Council has a released a reportabout the history of 
computer supply chain attacks.
Dabei geht es um indirekte Angriffe: Die Opfer werden nicht direkt 
angegriffen, sondern die Soft- oder Hardware die die Opfer nutzen. 
Sehr effektiv um eine große Zahl von Opfern zu erreichen. 
Die Zusammenfassung und der Link sind auf 
  https://www.schneier.com/blog/archives/2020/07/survey_of_suppl.html


8. Malware Attribution
----------------------
Ein Übersichtsartikel der einige der "Tricks" aufzeigt mit denen 
Sicherheitsforscher versuchen, eine Schadsoftware einer bestimmten 
Gruppe zuzuordnen.
  https://blog.talosintelligence.com/2020/08/attribution-puzzle.html


9. epicenter.works: Handbuch über die staatliche Überwachung in Österreich
--------------------------------------------------------------------------
Die Bürgerrechtsorganisation hat in einer gründlichen Arbeit die 
verwirrende gesetzliche Lage in Österreich zu staatlicher Überwachung 
zusammengestellt. Kurze Besprechung und Verlinkung in 
   https://futurezone.at/netzpolitik/gesamte-ueberwachung-ist-schwer-zu-ueberblicken/400999736


10. Weitere Professionalisierung bei Ransomware
-----------------------------------------------
Zwei Artikel über die weitere Professionalisierung bei Ransomware. 
Der eine Aspekt dabei ist die Kombination von Verschlüsselung mit 
Datenklau und Erpressung mit der Drohung der Veröffentlichung, bzw. 
Versteigerung von brisanten Daten, z.B. Kundendaten - die Kunden 
könnten dann Schadenersatz verlangen, was sehr teuer kommen kann. 

Der andere Aspekt der Professionalisierung ist, dass sich die bereits 
bestehenden Gruppen jetzt zu Kartells zusammenschließen und damit die 
Arbeitsteilung und den Know-How Austausch noch weiter vorantreiben können.

Spektakuläre Erfolge der letzten Wochen sind Garmin und der US-amerikanische 
Reiseorganisator CWT. Garmin hat wohl mehrere Millionen US-Dollar gezahlt, 
CWT 4,5 Mio US$. Dies ist bekannt, weil die Verhandlungen öffentlich geführt 
wurden, siehe heise-Artikel. Mit dem Erpressungstrick reicht es als Schutz 
heute nicht mehr aus, verlässliche Backups zu haben. Firmen müssen WIRKLICH 
zumindest ihre Zugänge vom Internet besser absichern. Der heise-Artikel 
referenziert eine große Zahl von im Internet zugänglichen RDP-Zugängen, 
Zugangsdaten dazu lassen sich im Internet sehr preisgünstig kaufen. 
Sicherheitsverantwortliche sollten selbst in Shodan nach offenen Zugängen 
suchen, wenn sie nicht gleich ein Pentest-Unternehmen beauftragen. Die 
Screenshots im Artikel zeigen, dass viele dieser Server in den großen 
Cloud-Diensten liegen. Auch VPN-Zugänge werden für diese Angriffe 
verwendet. 2-Faktor Authentisierung ist ein MUSS für alles was aus dem 
Internet errreichbar ist.

Einer der Tricks des Kartells scheint ein eigens installierter virtueller 
Server zu sein, der die Verschlüsselung durchführt. Auf diesem läuft 
natürlich keine der Überwachungstools des Verteidigers, sondern ein 
Windows 95 das die Arbeit erledigt.

Angeblich bieten einige der Gruppen sogar Ransomware-Angriffe für 
Script-Kiddies an. Die IT-(Sicherheits-)Community muss sich noch einiges 
einfallen lassen, je lukrativer diese Angriffe werden, desto mehr 
Gruppierungen werden sich dort tummeln und ihre Geschäfte machen.
 https://www.heise.de/-4867430   
 https://www.bleepingcomputer.com/news/security/suncrypt-ransomware-sheds-light-on-the-maze-ransomware-cartel/

Neu auf meinen Websites
-----------------------
16.8.2020 Neues zu Pixelfehlern und Störmusterattacken gegen Bilderkennung, entweder beim autonomen Fahrzeug
   https://philipps-welt.info/autonom.htm#pixel  - oder bei der Gesichtserkennung   https://sicherheitskultur.at/privacy_loss.htm#stoer



 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.