Die Themen dieses Newsletters

• 1. Aus der jüngeren IT-Security-Geschichte
• 2. Ransomware-Ergänzungen
• 3. Reports
• 4. Neues zu Gesichtserkennung
• 5. Zur Sicherheit von Cloud-Diensten

 

173. Newsletter - sicherheitskultur.at - 30.06.2021

von Philipp Schaumann

Zum Archiv-Überblick

Hier die aktuellen Meldungen:

1. Aus der jüngeren IT-Security-Geschichte

1. gizmodo: What's the Most Significant Hack in History
Eine Reihe von Experten werden gefragt, was sie für die wichtigsten Angriffe auf IT-Infrastrukturen in der IT-Geschichte halten. Neben den erwarteten Verdächtigen wie SolarWinds, NotPetya und dem Office of Personnel Management (OPM) kommen auch ein paar weniger bekannte: der Morris-Wurm aus 1988 und noch älter, 1982 der große Angriff auf eine Soviet-Pipeline (' the biggest non-nuclear explosion ever seen from space').

Was mir ganz neu war: die Fake-Website MartinLutherKing.org die bis 2018 aktiv und wohl sehr erfolgreich war. Sie war erstellt worden duch White-Supremacists.

2. The Lazarus heist 2016: How North Korea almost pulled off a billion-dollar hack (und Sony Pictures 2014)
Die BBC berichtet über den wohl größten Angriff auf eine Bank, der noch viel größer hätte sein können. Durchgeführt durch die Staats-Hacker in Nordkorea war das geplante Ziel der Diebstahl von 1 Millarde US$, durch "unglückliche" Fehler und aufmerksame Menschen blieb es aber bei 81 Mio US$. Der 20-Minuten Artikel verlinkt auf 10 Podcast-Folgen zu diesem Hack. (Die Folgen 2 und 3 bearbeiten den Sony-Hack 2014 durch die selben Angreifer.

3. The Full Story of the Stunning RSA Hack 2011 Can Finally Be Told
Wired.com berichtet in einem langen Artikel über die Details zum RSA-Hack. Bei diesem Hackerangriff auf Server von RSA könnten Daten (Seeds und Seriennummern) gestohlen worden sein, mit denen sich beliebige One-Time-Passworte (OTPs) für die 2-Faktor Authentisierung berechnen lassen. Aufgrund des Angriffs werden etwa 40 Millionen SecurID-Token Geräte weltweit ausgetauscht.

2. Ransomware-Ergänzungen

Dies sind Aktualisierungen gegenüber meinem Ransomware-Beitrag vom vorigem Monat

Neu ist dabei z.B., dass bei der US-Niederlassung des global agierenden brasilianischen Fleischkonzern JBS (der weltweit größte Anbieter trägt ein Viertel zur Rind- und ein Fünftel zur Schweinefleisch-Produktion in den USA bei) 11 Millionen US$ Lösegeld gezahlt wurden. Auch dieser Angriff hat angeblich zu Hamsterkäufen in den USA geführt (pandemie-erprobte Bevölkerungen lösen bei Neuigkeiten schnell mal Hamsterkäufe aus, egal ob Klopapier, Kondome in Frankreich, Benzin in Plastiktüten in den USA oder jetzt Fleisch).

Die Tatsache, dass Cyberversicherungen in vielen Fällen diese Lösegelder übernehmen, z.B. JBS und Colonial) hilft natürlich den Kriminellen sehr. Das verführt das Management dazu, parallel zur Wiederherstellung das Lösegeld zu zahlen, "es kostet dem Unternehmen ja nichts". Es stärkt aber das ganze kriminelle System erheblich.

Neu war im Juni auch die Verhaftung eines Ransomware-Teams in der Ukraine. Wie jetzt berichtet wird lief das mit Hilfe einer sog. Exchange. Eine der Herausforderungen der Kriminellen ist das Umwechseln von Kryptogeld in "richtiges Geld", z.B. Euro oder Dollar. Dies führte zur Verhaftung einer Ransomware-Gruppe in der Ukraine. Das Umwechseln geschieht in sog. Exchanges. Und die unterliegen der Aufsicht und der Lizensierung durch die Finanzbehörden. Die Behörden können daher die Exchanges sehr oft zu einer "Kooperation" "überreden".

Seit spätestens schützt die Nutzung von Linux statt Windows allein nicht vor Ransomware. Es gibt dedizierte Linux-Varianten und es werden gezielt Virtualisierungs-Infrastrukturen angegriffen. "Darkside RaaS" spezialisiert auf VMware ESXi Server und "DarkRadiation" greift Red Hat/CentOS und Debian Linux Server an. Auch Docker cloud containers sind gezielt im Focus. Noch ein Trick der Kriminellen: Sie exekutieren die Verschlüsselung nicht auf den Systemen des Unternehmens, sondern bringen sich ihren eigenen virtuellen Server mit. Mögliche Sicherheitsmaßnahmen auf den Servern des Unternehmens greifen daher ins Leere.

Wie schwierig das Patchen von den Firmensystem zur Vermeidung von Angriffen offenbar für kleine und mittlere Firmen ist, das zeigen die Statistiken des cert.at zu den MS Exchange Verwundbarkeiten die diese Firmen weit-offen für alle Arten von Angriffen machen. Stand: 2021-03-26 war in Ö 254 Exchange Server angreifbar, Stand 2021-06-01 "nur" noch 156 .

thehackernews.com listet in einem recht kurzen Artikel die 5 Schritte auf, wie Unternehmen NACH einem Ransomware-Befall vorgehen sollten. Das Zahlen von Lösegeld kommt dort nicht vor.

Die 5 Schritte:

1. Isolate and shutdown critical systems
2. Enact your business continuity plan
3. Report the cyberattack
4. Restore from backup
5. Remediate, patch, and monitor

Das setzt natürlich voraus, dass das Unternehmen für den Punkt 2 einen Business Continuity Plan hat (d.h. einen Plan, wie ein Notgeschäft auch ohne IT weitergeführt werden kann) und für den Punkt 4 ist die Voraussetzung, dass es aktuelle Backups gibt, auf die die Ransomware (noch) keinen Zugriff hatte. Außerdem sollten optimalerweise vorher alle Systeme "neu aufgesetzt werden", d.h. dafür wird ein Konzept für ein automatisiertes Aufsetzen aller Betriebssysteme aller Rechner benötigt. Einige Details zu den 5 Schritten im Report 5 Critical Steps to Recover From a Ransomware Attack. Und um Ransomware geht es auch im nächsten Punkt:

Mehr zur Ransomware-Story auch im nächsten Newsletter.

3. Diverse Reports

CrowdStrike: Top cyber threat trends over the past year

CrowdStrike ist ein Unternehmen, das sich in den "bösen Kreisen" umtreibt und versucht, dort Insiderwissen zu bekommen, das dann an (hauptsächlich große) Firmen verkauft wird, das nennt sich "Threat Intelligence". Der 2021 Report ist interessant und Ransomware spielt eine große Rolle, aber es gibt auch gezielte Angriffe auf den Bankensektor und staatsnahe Angreifer aus China, Iran, Nordkorea und Russland sind ebenfalls sehr aktiv (man muss sich leider für den Report-Download registrieren).

Die Themen des Reports "The COVID-19 pandemic and its effect on cybersecurity"

• 'Big game hunters' targeting the healthcare sector (damit meint CrowdStrike gezielte Angriffe auf große und lukrative Organisationen, diese werden ganz gezielt ausgewählt und angegriffen.
• Significant nation-state-based targeted attacks and operations observed from China, Iran, DPRK, Russia and others
• The pivotal role that Access Brokers play in the eCrime ecosystem (hier geht es um die sehr effektive Arbeitsteilung im eCrime Ecosystem: Dabei schaffen sog. Access Broker den Zugang zu Unternehmen (z.B. durch Nutzung von ungepatchten Schwachstellen, mittels Phishing oder den Versuch, Passworte zu knacken). Diesen Zugang verkaufen sie dann an andere, die die Verschlüsselung und das Abziehen der Daten vornehmen und wiederum andere sind auf das Inkasso und auf Verhandlungen mit den Opfern {das macht das sog. "Helpdesk" der Angreifer} spezialisiert). Spezialisierte Dienstleister bieten Kombinationen dieser Dienstleistungen im DarkNet (über TOR-Zugriffe) an.
• How ransomware adversaries are rapidly adopting data extortion methods

Kaspersky: IT threat evolution Q1 2021

Mobile statistics UND Non-mobile statistics.

SWITCH-Report

Der Bericht der schweizer Sicherheitsbehöre SWITCH für Mai und Juni 2021: Ja, auch dort geht es um Ransomware, z.B. die 11 Mio Zahlungen des global agierenden brasilianischen Fleischkonzerns JBS. Und mehr Hintergründe zur Colonial Pipeline, warum gezahlt wurde und wie dann ein großer Teil des Lösegelds wieder zurückkam.

TalosIntelligence: Quarterly Report: Incident Response trends from Spring 2021

Die Hauptarbeit lag bei den MS Exchange Problemen in diesem Frühjahr.

4. Neues zu Gesichtserkennung

Bei Reclaim Your Face (siehe mein Beitrag im vorigen Newsletter) gibt es etwas Bewegung. Die EU-Datenschutzbeauftragten und der Europäische Datenschutzrat sprachen sich im Juni für ein Verbot von biometrischer Massenüberwachung aus. Sie schätzen die Risiken von biometrischer Identifikationstechnologie als 'extrem hoch' ein. Darunter fallen Technologien wie beispielsweise Gesichterkennung aus der Ferne, Bewegungsmusteranalysen, das Mitlesen von Fingerabdrücken, DNA, Stimmen oder der Tastaturtippgeschwindigkeit. EU-Datenschutzbeauftragte und der Europäische Datenschutzrat beziehen sich da auf die den Entwurf für das sog. AI-Act (das heißt "Digital Services Act" (DSA) + "Digital Market Act" (DMA), siehe mein älterer Newsletter 171 und auch Newsletter 168 dazu.

Das sind aber bisher nur Forderungen wichtiger EU-Gremien, bzw. Gesetzesentwürfe, die noch Jahre für die Umsetzung brauchen werden, daher bleibt es wichtig, den Druck zu erhöhen und diese Petition zu unterschrieben, siehe mein Beitrag im vorigen Newsletter.

Aktualisierung August 2023: False Positive Fehler benachteiligen in den USA die farbige Bevölkerung

Hier steht der Bericht: Eight Months Pregnant and Arrested After False Facial Recognition Match. Gesichtserkennungsalgorithmen haben eine hohe Fehlerrate bei Personen mit dunkler Hautfarbe (speziell bei schlechter Beleuchtung, vermutlich). In 2023 wird nun aus den USA der 6. Fall berichtet, wo dies zu einer fälschlichen Inhaftierung geführt hat, zum ersten mal eine Frau. ('false positive' bedeutet, dass das System fälschlicherweise ein 'match', eine Erkennung meldet - hier mehr zu false positive.)

Besonders häufig ist dies ein Problem in Detroit, dort ist dies bereits der 3. Fall. Detroit macht ca. 125 solche Gesichtserkennung pro Jahr, fast immer geht es um farbige Verdächtige.

Das Problem der schlechten Erkennungsraten bei dunkler Haut ist weltweit bekannt und sollte eigentlich wohl dazu führen, dass die Technologie vorsichtiger eingesetzt wird - dies ist aber nicht der Fall.

5. Zur Sicherheit von Cloud-Diensten

Bruce Schneier schreibt über "The Misaligned Incentives for Cloud Security". Seine Position ist, dass die großen Cloud-Anbieter wie Google, Amazon und Microsoft keine Anreize haben, wirkliche Sicherheit zu implementieren. Denn für die Schäden die z.B. bei falscher Konfiguration eintreten (was wohl der häufigste Fehler ist, z.B. siehe mein früherer Beitrag zu falsch konfigurierten Cloud-Systemen.

Die Beurteilung der jeweiligen Cloud-Sicherheit ist so komplex, dass die Entscheidung für einen Anbieter nach anderen Kriterien fällt (ein sog. "Lemon Market". Ich selbst habe erlebt, dass Sicherheitsfeatures wie Mandantentrennung nur gegen Aufpreis angeboten wurden.)

Neben dem Artikel sind aber vor allem auch die Kommentare interessant, die Bruce zum Teil heftig widersprechen. Z.B. dass die Admins die Konfigurationsfehler bei den Cloud-Systemen machen, auch die konventionellen Enterprise Systeme nicht korrekt absichern können (" There isn't enough security talent available").