Home      Themenübersicht / Sitemap      Webmaster      

 

175. Newsletter - sicherheitskultur.at - 31.08.2021

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Nichts zu verbergen? Geodaten verraten Priester

Da die vor allem bei Schwulen beliebte Dating-App Grindr Daten mit Dritten teilt, hat ein konservativer christlicher Newsletter-Dienst über Geodaten herausgefunden, dass der Generalsekretär der US-Bischofskonferenz USCCB sich über die App in Schwulenbars und Privaträumen verabredet hatte. In einem zutiefst homophoben Beitrag hatte der Newsletter-Dienst die Informationen veröffentlicht. Der Priester ist nun von seinem Amt zurückgetreten.

So weit, so schlecht. Das klingt wie ein Einzelfall, was es aber nicht ist. Geodaten, d.h. Bewegungsdaten, sind eine Goldgrube für viele App-Entwickler. Diese Geodaten werden in vielen Apps gesammelt (und dieses Sammeln wird von den Benutzern typischerweise explizit freigegeben), danach werden die Daten an Firmen verkauft, die auf die De-Anonysierung von Geodaten spezialisiert sind. Nach dem hier verlinkten Bericht betrifft diese Datensammlung nicht nur diesen einen Priester, sondern da hat jemand die weltweite Nutzung von Grindr durch katholische Priester im Auge - durch das Keuschheitsgelübde sind jetzt viele erpressbar geworden. Hier auf meiner Website mehr zu De-Anonymisierung von anonymen Daten. Der Hauptpunkt: Ortsdaten deren Verlauf einer Person zugeordnet werden kann sind nie anonym, denn die Kombination von Wohnort und Arbeitsort ist typischerweise fast immer eindeutig.

 

2. Mit Google-Daten einen digitalen Doppelgänger erstellen

Das deutsche Künstlerkollektiv Laokoon hat ein Experiment durchgeführt, das im Web unter info.madetomeasure.online zu sehen ist.

Eine Freiwillige hat den Künstlern die Daten gegeben, die Google über sie gesammelt hat (so wie das für alle Nutzer geschieht). Jeder kann sich selbst mal ansehen was da so gesammelt ist, nämlich über die automatisierte Datenschutzauskunft. Hier die Anleitung für eine solche Datenschutzauskunft. (Das setzt typischerweise voraus, dass man ein Google-Konto hat [wie das jeder Android-Nutzer üblicherweise hat]). Wer ohne Konto in Google sucht oder auf Youtube Filmchen schaut, dessen Daten werden auch gesammelt, aber die können nicht von den Betroffennen abgefragt werden, da diese Daten mit der IP-Adresse, Cookies oder anderen Elementen verknüpft sind.

Zurück zur Kunst. Wie ein Artikel dazu berichtet war die Freiwillige recht erschüttert, als eine Schauspielerin ihre eigene Lebensgeschichte ziemlich genau erzählen konnte. Die Künstler haben aber 'per Hand' nichts anderes gemacht als das, was die AI-Systeme der Datensammler jeden Tag über jeden von uns auch tun - wenn wir solche Dienste nutzen - es gibt auch auch Alternativen ohne solches Tracking (z.B. https://www.ecosia.org, https://lite.qwant.com/, https://duckduckgo.com/ ).

 

3. Ransomware - die Story geht leider immer weiter

Der Supply Chain Angriff auf Kaseya

Unter "Supply Chain Attack" versteht man einen Angriff über eine Software-Lieferkette. In diesem Fall wurde die Firma Kaseya durch REvil infiltriert und in deren Software eine Backdoor eingebaut. Die infizierte Sofware heißt VSA, das ist eine Management-Software für IT-Systeme. Diese VSA Software wird wiederum von Management Service Providern (MSPs) eingesetzt, die damit die IT ihrer Kunden administrieren (die Software läuft entweder direkt im jeweiligen Kundenrechenzentrum oder als ein von Kaseya gehostetes Cloud-Angebot als Software-as-a-Service (SaaS)). Die Firma Kaseya hat ca. 600 Kunden, die mittels VSA dann die IT-Systeme von ca. 1500 Firmen betreuen, z.B. eine Supermarktkette Coop in Schweden die dann ihre Läden erst mal schließen musste. Das heißt, bei einem "Supply Chain Attack" gibt es für die Angreifer eine kräftige Hebelwirkung.

REvil hat es mit diesem Trick geschafft, die Daten dieser 1500 Firmen zu verschlüsseln. Daher hielt REvil die Summe von 70 Mio US$ für einen globalen Schlüssel für angemessen. Zusätzlich haben sie einzelne Angebote bei den 1500 Opfern gemacht.

Damit haben die Angreifer aber den Bogen doch etwas überspannt. Es hat vermutlich Gespräche auf höherer Ebene gegeben und REvil ist (erst mal) verschwunden (zusammen mit ihrer gesammten Infrastruktur), dafür ist aber ein zentraler Schlüssel für alle 1500 Firmen aufgetaucht und zwar angeblich kostenlos.

Ein früherer Supply Chain Attack in diesem Jahr war übrigens SolarWinds, ein (vermutlich russischer) Spionage-Angriff (ohne Ransomware-Komponente) auf eine andere Software-Firma (dokumentiert hinter dem vorigen Link).
Und um Jahreswechsel 2020/21 herum war es der erfolgreiche (vermutlich chinesische) Spionage-Angriff auf MS Exchange Server mittels sog. Hafnium Lücke, durch die eine riesige Zahl von Firmen betroffen war, die auch nach 3 Monaten zum Teil die Patches noch nicht eingespielt hatten und deren vulnerable Systeme leicht gefunden und durch beliebige Fremde übernommen werden konnten (auch für Ransomware-Angriffe).

Das Traurige an dem Kaseya-Angriff ist, dass es genau die Firmen getroffen hat, die versucht hatten, alles richtig zu machen, indem sie sich Spezialisten für die IT-Administration leisten und die möglicherweise (bis auf den 1 angreifbaren Software-Lieferanten ihres Dienstleisters) perfekt abgesichert waren. Das zeigt für mich eine extreme Hilflosigkeit der IT-Nutzer. Selbst wenn man selbst alles richtig macht, kann man trotzdem Opfer werden.

Rückschläge für die Idee einer internationalen politischen Lösung

Wie ich ja bereits früher geschrieben hatte, sehe ich die einzige Lösung in internationaler Zusammenarbeit bei der Verfolgung der Täter. Und auf genau diesem Gebiete hat Russland jetzt einen trickreichen Schachzug gemacht. Russland hat vorgeschlagen, dass die Definition von Cybercrime nach der Budapester Konvention - Cybercrime Convention durch einen neuen Vertrag ersetzt wird, indem nicht mehr das "unbefugte Beschädigen, Löschen, Beeinträchtigen, Verändern oder Unterdrücken von Computerdaten" im Zentrum steht, sondern Russland will (zusätzlich?) auch die Bedrohung eines Staates als Cybercrime aufnehmen und damit die Kontrolle eines Staates über die ihn betreffenden Informationen und die Erhaltung der Stabilität einer Gesellschaft geschützt sehen.

D.h. wenn die USA oder Europäer die Auslieferung von Ransomware-Gangstern verlangen, so verlangt dann Russland die Auslieferung von Regimekritikern im Ausland. Und für die Idee, dass Cybercrime vor allem durch Regimekritiker ausgeübt wird, dafür können sich leider noch mehr Staaten begeistern. Das heißt, es sieht bezüglich einer internationalen Front gegen Ransomware nicht gut aus. Hier ein Artikel dazu Putin Is Crushing Biden’s Room to Negotiate on Ransomware.

Zahlen zum Wachstum - Oder läuft die Welle aus?

Das Sicherheitsunternehmen Barracuda Networks berichtet nach einer Auswertung der 121 Ransomware-Vorfälle der vergangenen 12 Monate zum Schluss: Mehr Ransomware-Angriffe (Steigerung um 64 Prozent innerhalb eines Jahres), höhere Lösegeldforderungen und eine effizientere Verteilung der Gelder. Außerdem zunehmend Angriffe auf kritische Infrastrukturen und der Versuch, maximalen Schaden anzurichten - die durchschnittliche Forderung beträgt nun 10 Millionen US-Dollar. Außerdem gibt es Bereitschaft zum Verhandeln bei den Tätern: JBS handelte eine Lösegeldzahlung in Höhe von 22,5 Millionen US-Dollar auf 11 Millionen US-Dollar herunter, der deutsche Chemiedistributor Brenntag reduzierte die geforderte Summe von 7,5 auf 4,4 Millionen US-Dollar.

In der Studie Wirtschaftsschutz 2021 berichten deutsche Unternehmer von erheblich gestiegenen Schäden (220 Milliarden Euro) durch Cybercrime und Ransomware spielt bei den Schadenssummen eine große Rolle.

Immer mal wieder gibt es Meldungen, dass die Ransomware-Welle jetzt bald zu Ende wäre, z.B. Szene-Exodus: Ransomware-Gangs bekommen "kalte Füße". Ich bin da skeptisch. Es gibt immer wieder Meldungen, dass einzelne Gruppen aufhören (und dann ihre Masterkeys veröffentlichen): REvil, bekannt durch den JBS Angriff (der Fleischkonzern in den USA), DarkSide, bekannt durch Colonial Pipeline, Ziggy, Avaddon, SynAck, Fonix, nun Ragnarok, das sind alles Gruppen die ihren Rückzug verkündet haben, es ist von "Druck" die Rede.

Gründe für meine Skepsis: Natürlich kann es verlockend sein, sich nach einem "Millionen-Ding" (erst mal) zurückzuziehen, das Geld zu genießen und andere arbeiten zu lassen - die Software und das Know-How kann ja trotzdem zu Geld gemacht werden - soll doch der Nachwuchs auch mal was hakeln. Die Software hinter REvil und DarkSide ist angeblich bereits zusammengelegt und wieder im Einsatz. Das 'Geschäftsmodell Ransomware' scheint mir einfach zu verführerisch, als dass der derzeitige politische Druck dies beeendet.

Verzweifelter Lösungsvorschlag: Kryptowährungen verbieten

Da die Existenz von Kryptowährungen ein starker Faktor beim Erfolg von Ransomware sind, gibt es auch immer wieder den Vorschlag, Kryptowährungen einfach zu verbieten. Das klingt auf den ersten Blick gut, ist aber vermutlich auch keine simple Lösung, wie der verlinkte Beitrag im Blog von Bruce Schneier diskutiert.

Mal abgesehen davon, dass so ein weltweites Verbot international sehr schwer durchzusetzen wäre - viele reiche (und einflussreiche) Menschen haben mittlerweile Teile ihres Vermögens dort investiert - so ist nicht mal klar, ob das das Problem wirklich stoppen würde. Bevor es Kryptowährungen gab wurden illegale Zahlungen z.B. oft mittels Gutscheinen (z.B. bei Amazon, Apple, etc.) transferriert. Die organisierte Kriminalität hat auch vor Kryptowährungen immer Mittel und Wege gefunden, Geld "zu waschen". Und anonym sind die Kryptowährungen eh nicht, wie ich an anderer Stelle erkläre. Eine sehr pointierte Meinung zu 'Strafverfolgung von Zahlungen in Kryptogeld' vertritt 2021 der ehemalige CIA-Vizechef: Bitcoin ist ein "Segen für die Überwachung". Denn die Herausforderung für die Kriminellen ist ja das Umwechseln in "richtiges Geld", für das man auch etwas anderes als Drogen oder Waffen kaufen kann. Daher gibt es intensive Bemühungen der Behörden, solche "Exchanges" stärker zu reglementieren und zu kontrollieren. Für alle, die sich für mögliche politische Gegenmaßnahmen gegen Ransomware interessieren, empfehle ich den Bruce Schneier Post mit den Kommentaren der Leser.

Systematisches zum Schutz gegen Cybercrime

Die Universität der Bundeswehr hat ihren Maßnahmenkatalog für IT in Krankenhäusern überarbeitet und auch um Cloud-Themen ergänzt. Das ist mit 136 Seiten ein recht gründliches Dokument geworden, das bestimmt auch außerhalb von Krankenhäusern und außerhalb von Deutschland sehr hilfreich sein kann. Hier ein Artikel von heise.de dazu: So bleibt die Klinik virenfrei: Maßnahmenkatalog vorgestellt.

Zum Anfang dieser Serie zu Ransomware.

 

4. Französisches Gericht beschneidet die Möglichkeiten von Google-Werbung

Die französische Wettbewerbsbehörde "Autorité de la Concurrence" hat Googles Werbe-Business zu 220 Mio € verurteilt (was keinerlei Problem für Google darstellt), aber außerdem verlangt, dass die Auktionen, die beim Aufruf einer Webseite durch einen Benutzer (bei der Google-basierte Werbung angezeigt wird), durchgeführt wird gründliche verändert wird. Sinn dieser Auktionen ist, dass die Bieter (d.h. die Firmen die Werbung für 1 Benutzer auf dieser Seite zeigen möchten) entscheiden, wie viel Geld ihnen Werbung für diesen Benutzer wert ist. Dabei hilft es den Bietern, möglichst viele Informationen über den Benutzer zu haben.

Das Gericht sah nun als erwiesen an, dass Google sich selbst bei diesen Auktionen gegenüber anderen Bietern bevorzugt indem sie alle ihre anderweitig gewonnen Daten verwenden. Das Gericht hat verlangt, dass dies weltweit abgestellt wird. Mehr zu diesen Details beim Ablauf der Platzierung von Werbung im vorigen Newsletter mit einem Link zur Studie der norwegischen Konsumentenschutzbehörde.

 

5. Apple plant sehr gefinkelte Überprüfung der Fotos auf iOS-Geräten (CSAM-Scanning)

Es sei ja alles nur für einen guten Zwecke und außerdem ganz harmlos, sagt Apple. Der gute Zweck, das ist das Erkennen von Kinderpornographie. So eine Erkennung findet bereits jetzt bei Cloud-Speicher-Diensten statt, die die dort hochgeladenen Dateien mittels eines speziellen Hash-Algorithmus automatisch gegen vorberechnete Hashes von Fotos überprüft, die bereits früher im Internet oder auf den Festplatten von Tätern gefunden wurden.

Da aber immer mehr Messaging-Dienste end-to-end verschlüsselt arbeiten entfällt die Möglichkeit zur heimlichen zentralen Überprüfung. Apple will daher den Algorithmus auf den iOS-Geräten selbst ablaufen lassen und dagegen protestieren sehr viele Menschenrechtsorganisationen. Sie sehen, so wie viele andere, darin einen Tabubruch. Die Argumentation der Kritiker ist, dass wenn so etwas mal auf Apple-Geräten drauf ist und sich dort bewährt, so wird so eine Forderung auch an Google und Microsoft gestellt werden. Und wenn die Suche nach solchen Fotos erfolgreich wäre, so könnten andere Staaten andere Wünsche haben, z.B. die Suche nach ikonischen Bildern zum Tiananmen Massaker von 1989. Zusätzlich ist es einem Forscher gelungen, sog. Kollisionen zu erzeugen, d.h. harmlose Bilder, die fälschlicherweise geflaggt werden.

Und dann gibt es noch weitergehende Ideen bei Apple, z.B. das grundsätzliche Scannen auf Nacktfotos, beschränkt (erst mal) auf Geräte mit Apple-ID-Accounts von Kindern. In diesem Fall will Apple die Eltern informieren. Aber auch da könnte es andere Interessenten geben.

 

 

Ein Buch, das die "Mechanik" der Weltgeschichte gut erklärt

Grafik aus dem Buch von Ian Morris

Ian Morris: "Why The West Rules - For Now" - The Patterns of History and what they reveal about the Future
vermutlich auf deutsch (aber wohl nur antiquarisch) als Wer regiert die Welt? Warum Zivilisationen herrschen oder beherrscht werden

Das ist für mich quasi eine Fortsetzung von Jared Diamond: "Arm und Reich - Die Schicksale menschlicher Gesellschaften".

Jared Diamond zeigte auf, warum Geographie und die Zahl der domestizierbaren Pflanzen und Tiere den Reichtum des Nordens und die Armut des Südens sehr gut erklärt. Ian Morris hingegen geht weiter: er baut darauf auf und untersucht an Hand eines "Zivilisationsindex" wie das Auf und Ab zwischen dem Westen (die meiste Zeit repräsentiert durch den sog. 'Nahen Osten') versus dem "wirklichen" Osten des eurasischen Kontinents (primär China) entwickelt hat.

Morris zeigt, dass der 'Westen' auf Grund von Geographie, Fauna und Flora um ca. 12000 v.Chr. mit einem guten Vorsprung startete, sich rund um Christi Geburt Ost und West (Mittelmeerraum) ähnlich gut entwickelten, dann aber der Osten ab ca. 500 n.Chr. einen guten Vorsprung herausarbeitete, den der Westen im Rahmen der Industrialisierung (u.a. mit Kopierarbeit) aufholen konnte und dann die am Atlantik grenzenden Länder sich auf Grund des ab ca. 1490 technologisch schiffbaren Atlantiks mit den Edelmetallen die in Amerika zu rauben waren zu viel Reichtum gebracht hatten, die sie in China zu ihrem Vorteil einsetzen konnten.

Außerdem half den europäischen Staaten, dass sie auf Grund der Übernahme des Schwarzpulvers aus China und ihrer eigenen starken Weiterentwicklung von Schusswaffen (auf Grund der innereuropäischen Kriege bestand dafür sehr viel Anreiz) militärisch alle anderen Gebiete der Welt bei Militärtechnik überholen konnten. Dadurch entstanden ca. 400 Jahre, in denen der Westen die Welt beherrscht hat. Zuletzt spekuliert er über die Zukunft.

Für mich ein tolles Buch: Endlich macht Geschichte mal Sinn.

Auf meiner anderen Website habe ich noch mehr Bücher zu Geschichtsanalysen verlinkt.
 


 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.