170. Newsletter - sicherheitskultur.at - 31.03.2021

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Schon wieder was neues: Non-fungible Token (NFT)

(leicht aktualisiert Jan. 2022)
Als ich zum ersten Mal von NFTs hörte, da dachte ich, das ist eine nette, clevere Spielerei um Künstlern zu helfen, deren Werke nicht mehr "angreifbar" / "touchable" sind und die ihre Werke auch nicht konventionell signieren können. OK, dachte ich mir, wenn wir das brauchen, dann ist das mit der digitalen Signatur in einer öffentlichen Blockchain eine elegante Lösung. Das digitale Objekt wird "einzigartig", ist nicht mehr duplizierbar (dank Blockchain) und nicht veränderbar (dank digitaler Signatur). Das stimmt aber nicht wirklich, die Objekte bleiben weiter kopierbar (und sogar veränderbar und löschbar), nur der 'virtuelle Kaufvertrag' ist in einer Blockchain und weder duplizierbar noch veränderbar - Details siehe unten.

Solche digitalen Objekte, die versteigert oder auf andere Weise erworben werden, können z.B. digitale Kunstwerke sein, z.B. Musik, Videos, digitale Bilder oder Fußball-Sammelbilder und Objekte in Computerspielen (letzteres boomt gerade). Musik und Bilder kann der Künstler ja nicht ausdrucken und dann signieren (so wie dies bei traditionellen 'maschinell' hergestellten Kunstwerken wie Siebdrucken oder Lithographien ja üblich ist).

NFTs bieten die Möglichkeit, digitale Objekte genau einem Menschen (einem Käufer) zuzuordnen, der dann bereit ist, für dieses digitale Objekt (viel) Geld zu bezahlen, weil es dann 'nur ihm:ihr' gehört. So hat Jack Dorsey (der Twitter-Gründer) gerade eine durch Blockchain verifizierte Kopie seines ersten Tweets vom 21. März 2006 versteigert. Die Wikipedia zählt viele NFTs auf die bereits verkauft wurden, zum Teil für hohe Beträge.

Natürlich können alle anderen Menschen dieses Objekt (z.B. diesen Tweet) auch weiterhin auf ihrer Platte speichern, aber das signierte NFT-Objekt ist so was wie 'das Original'. Siehe die vielen Bebilderungen in den Artikeln hier, das sind meist die "Original"-Kunstwerke, nur ohne eine Kaufquittung. Twitter-Chef versteigert digitale Kopie von erstem Tweet (mit einer Kopie des Tweets).

Der deutsche Medienkünstler Fynn Kliemann erzählt in einem Interview, wie sich das für den Künstler so darstellt: "Feindliche Übernahme durch Universal und Gebote bis 1.500 Dollar".

Einer der Spitzenreiter bei den Preisen ist der Graphic Designer Beeple, der 5000 Bilder zu einem großen vereinigt hat und für die digital signierte Version dafür den Gegenwert von 69,3 Millionen US$ in der digitalen Währung Ether bekommen hat. Das ist der dritthöchste jemals gezahlte Preis für ein Bild, das von einem noch lebenden Künstler erstellt wurde. NFTs Boom as Collectors Shell Out to 'Own' Digital Art.

Warum schreibt aber dann Golem.de: Schlechte Idee, NFT? Der Autor führt einige Gründe auf:

Der NFT-Datenabschnitt der kryptographisch erzeugt wird ist NICHT mit dem Objekt verbunden. Das bleibt einfach so wie es ist und kann weiter beliebig kopiert und gespeichert werden. D.h. NFT ist kein Kopierschutz sondern nur so was wie ein Kaufquittung. Und die kann ich mir nicht mal an die Wand heften, sondern die existiert nur in der Blockchain und vielleicht auf meiner Festplatte.

Wegen der Flüchtigkeit und Nicht-Sichtbarkeit von NFTs fragt das Wallstreet Journal etwas süffisant: "If you bought an NFT and you didn't brag about it, did it even happen?", quasi "Eine NFT existiert nur dann, wenn ich öffentlich damit angebe". Zur Illustration dass ein NFT weiterhin für alle Welt zugänglich ist hier die Animation "Nyan Cat".

Einer der Hauptkritikpunkte von NFTs ist das Klimaproblem: "The climate controversy swirling around NFTs" sagt: ". . . had analyzed 18,000 NFTs and found that the average NFT has a carbon footprint somewhat lower than Space Cat's but still equivalent to more than a month's worth of electricity for a person living in the EU."

Und in der NYTimes wird berichtet: "one scientific journal calling Bitcoin a "largely gambling-driven source of carbon emissions." Irgendwie ist es in Zeiten-wie-diesen für mich eine schlechte Idee, ein Spekulationsobjekt zu erzeugen das ein so großes Carbon-Footprint hat.

Mark Hurst schreibt dass diese Idee nur mit Hilfe des "Greater Fool"-Konzepts funktionieren kann: der Käufer gibt eine große Summe für etwas aus, das nur in der Blockchain existiert, weil er hofft, dass er einen noch größeren Trottel finden wird, der es ihm für noch mehr Geld abkauft: "The only possible value here comes from a "greater fool" scheme, in which you buy an overvalued asset - it's a "foolish" purchase - in the hopes that you'll find someone who is a greater fool, meaning they'll pay even more."

Das beantwortet auch die Frage, ob der Käufer damit angeben muss: Natürlich muss er, sonst kann er es ja nicht mit Gewinn weiterkauft werden.

Humorvoll illustriert wird dieses Konzept auf Twitter oder hier durch User platonic solid snake der humorvoll illustriert, wie beschränkt der Kauf eines NFTs eigentlich ist. Der Abschluss dieses Tweets illustriert auch schön, dass NFTs natürlich auch eine köstliche Spielwiese für Betrüger sind: Wer kann denn nachpüfen, ob das NFT überhaupt existiert oder wie oft es bereits verkauft wurde? Die Basis des Deals ist das Vertrauen des Käufers in den Verkäufer (und die Plattform über die das Objekt verkauft oder ersteigert wurde).

Artnews.com ist sehr kritisch, sie schreiben: NFTs are Creating the Opposite of Everything They're Meant to Fix. Die Details finden sich im Link.

Mark Hurst ordnet daher den NFT-Hype zusammen mit dem Auf-und-Ab von Bitcoin, Tesla, GameStop, etc. ein. Es geht um Spekulation mit einem Gut, das eigentlich wertlos ist, das aber über das "greater-fool"-Prinzip genutzt werden kann um Gewinne auf Kosten anderer zu machen.

Der Standard schreibt, dass der Goldpreis seit Monaten sinkt. Eine Theorie ist, dass die Spekulanten derzeit in andere "Werte" investieren, z.B. Kryptowährungen und vielleicht auch NFTs. Der Wert von Gold ist ungefähr so real wie der von Bitcoins und NFTs.

Ergänzung Sept. 2023:
Fast alle NFTs sind nun wertlos.

Aktualisierung Jan. 2022
Moxie Marlinspike, bekannt als Kryptographie-Experte und Entwickler hinter dem Verschlüsselungsprotokoll für den Messenger Signal, schreibt einen längeren Beitrag zu u.a. diesem Thema: My first impressions of web3 (Web3 ist ein neues Schlagwort für vieles, was auf einer Blockchain beruht). Im 2. Teil des Artikels erklärt er an Hand eines von ihm selbst erstellten NFTs die 'Flüchtigkeit' von solchen 'Objekten'.

Hier noch eine weiterere (leicht überraschende) Entwicklung: China to create own NFT industry based on state-backed blockchain infrastructure. Die Hongkonger South China Morning Post berichtet dass der Staat eine eigene Blockchain-Infrastruktur implementieren wird, da die üblichen Blockchain-Implementierungen zwar nicht anonym, aber typischerweise pseudonym sind und das widerspricht den Regeln der Reigerung. Die Regierung wird ein 'Blockchain Services Network' (BSN) anbieten, das für chinesische Blockchain- und NFT-Anwendung genutzt werden kann. Es wird nicht auf 'proof-of-work' oder ähnlichen Trust-Konzepten beruhen, sondern wird staatlich reguliert sein. Und dies widerspricht eigentlich irgendwie der originären Blockchain-Idee.

Aber anderseits schließt sich da für mich der Kreis zum 'web3'-Artikel von Moxie Marlinspike (siehe voriger Link). Das Konzept von 'web3' soll dadurch alles 'alles' irgendwie Blockchain-basiert ist eine Dezentralisierung des WWW schaffen. Marlinspike widerspricht: die Blockchains sind evt. dezentral, die Zugriffe finden aber über einheitliche, zentrale Software-Infrastrukturen statt, ganz ähnlich wie ich die chinesische Blockchain verstehe.

Die Fortsetzung kam dann im Januar 2022: Nachtrag zu Blockchains und Krypto-Dingen.

 

2. Vom BSI: Softwareupdates - ein Grundpfeiler der IT-Sicherheit

Aktuelle Software ist eine Basis-Bedingung für ein sicheres Arbeiten mit IT-Systemen. Hier ein ausführliches Tutorial dazu. Die Einzelthemen sind:

 

3. Tutorial: Die Lieblingstools der Hacker (und der Tester)

Nun ein Tutorial das sich mehr an die (Halb-)Profis richtet, d.h. an alle, die verstehen wollen, wie jemand Schwachstellen in einem Netz finden kann. Dies kann z.B. ein "Böser" sein, oder auch ein "Guter" der die Schwachstellen finden will damit sie behoben werden können, z.B. ein sog. Penetration-Tester.

Hier der Artikel auf Golem.de: Die Lieblingstools der Hacker

 

4. Mapping-Tool von den BSI-100 Maßnahmen auf entsprechende BSI-200 Maßnahmen

Jetzt wird es noch ein bisschen spezieller:
Im vorigen Newsletter 169 hatte ich den neuen BSI-Standard zu BCM - Version 2.0 erwähnt, siehe 5. BSI-Standard zu BCM - Version 2.0

Das ist aber nur ein kleiner Stein bei der Umstellung der BSI-Unterlagen von von BSI-100 auf BSI-200 ist. Und zu dieserm Umstellung hat mein C3W-Kollege Hetti einen kurzen Text und ein hilfreiches Tool geschrieben. (C3W = Chaos Computer Club Wien). Hier sein Text:

TL;DR:
Hetti hat ein Tool auf Basis von Python 3 released, das BSI-100 Maßnahmen auf entsprechende BSI-200 Maßnahmen mappt und die korrespondierenden BSI-200 Maßnahmen ausgibt. Dies wird anhand der offiziellen BSI Migrationstabellen gemacht. Es sind auch die ersten 9 NIS Kategorien in diesem Tool eingepflegt. (Stand NIS Fact Sheet 2018)

Das Tool auf Github

 

5. January/February 2021 issue of the SWITCH Security Report

Das Schweizer SWITCH-CERT hat einen neuen Report veröffentlicht. Die Themen sind:

Der SWITCH-CERT Report.

 

6. Ransomware Decryption Tools

heimdalsecurity.com pflegt eine Liste von Ransomware-Decryption Tools die für Firmen und Privatpersonen hilfreich sein kann. Natürlich gibt es nicht für alle Angreifer solche Tools, aber immerhin für sehr viele. Ihre Tipps:

  1. Kein Lösegeld zahlen, weil es dabei keine Garantie gibt (und Verbrechen belohnt und anspornt)
  2. Wiederherstellen aus den Datensicherungen, die hoffentlich offline an sicherer Stelle gespeichert sind
  3. Falls keine Datensicherungen vorliegen, dann . . .
  4. Identifizierung des jeweiligen Typs von Ransomware mit Hilfe der dort verlinkten Tools
  5. Einsatz des jeweiligen Tools (und hoffen, dass alles gut geht)

Hier zu den heimdalsecurity: Ransomware Decryption Tools. Mehr zu Ransomware ganz generell gibt es auch auf der sicherheitskultur.at: Ransomware, Krypto-Trojaner.

Auf der sicherheitskultur.at habe ich noch eine Verlinkung auf ein anderes Tool: nomoreransom.org. Dort lädt man zuerst 2 der verschlüsselten Dateien hoch und das Tool versucht selbst herauszufinden, welcher Angriff vorliegt. Alle diese Verlinkungen sind natürlich ohne Gewähr, ich habe (zum Glück) keines davon testen müssen.

 

7. Angriffe über Paket-Benachrichtigungen

Watchlist berichtet über Angriffe durch Emails die behaupten, dass eine Paket-Zustellung gescheitert sei. Wenn jemand darauf eingeht, so endet er:sie entweder in einer Abo-Falle oder der Rechner wird verschlüsselt. Die Details: Sie warten auf ein Paket? Vorsicht vor dieser betrügerischen E-Mail! Auf dieser Seite ist auch ein ausgezeichnetes Tutorial wie Phishing-Mails erkannt werden können.