177. Newsletter - sicherheitskultur.at - 01.11.2021

von Philipp Schaumann

Zum Archiv-Überblick

 

Diese Ausgaben geht leicht verspätet raus. Grund ist, dass ich bis Sonntag Abend sehr intensiv im Hintergrund der privacyweek.at mitgearbeitet habe.

Hier die aktuellen Meldungen:

 

1. Diverse Aktualisierungen zu früheren Beitragen: Hafnium Lücke von MS Exchange - Apple Device Scanning - Phishing-Erkennen Tutorial

Die Hafnium Lücke in MS Exchange

Aktualisierung zur Hafnium Lücke von MS Exchange: Microsoft hat im Oktober 2021 nun drastisch reagiert, sie bauen eine eigene Backdoor in alle selbst-gehosteten Exchange Systeme ein - die Details sind ergänzt in meinem früheren Newsletter. Bei MS Exchange Systemen in der MS Cloud ist das nicht notwendig, diese Systeme können sie selbst jederzeit selbständig patchen und notfalls umkonfigurieren.

 

Apple Device Scanning

Zum Apple Device Scanning, berichtet in vor-vorigen Newsleter: Eine Reihe von prominenten Security-Experten hat sich die von Apple geplante neue Technologie zur Analyse von Bildern auf den Smartphones der Benutzern angesehen und sie warnen vor 'Massenüberwachung' die auf diese Weise durch diese neuen Technologie-Konzepte eingeführt und für alles mögliche missbraucht werden könnten. Security-Experten warnen vor "Massenüberwachungstechnologie".

 

Phishing-Erkennen Tutorial

Sehr gutes Tutorial bei der Uni Wien zum Thema: "Wie können Nicht-Experten Phishing Mails erkennen - Beispiele für betrügerische E-Mails und Phishing und woran sie erkannt werden können. Hier auch mein eigener früherer Beitrag zu Phishing-Mails erkennen.

 

2. Der Markt für Geodaten / Location-Daten

Ergänzung zu meinem früheren Newsletterbeitrag: Nichts zu verbergen? Geodaten verraten Priester.

Ein Bericht von themarkup.org berichtet über einen 12 Milliardenmarkt für die Bewegungsdaten der Smartphone-Nutzer: There's a Multibillion-Dollar Market for Your Phone's Location Data

themarkup.org berichtet über die Arbeitsteilung zwischen Collectors, Buyers, Sellers, and Aggregators. 47 Firmen werden dabei analysiert, einige betonen explizit, dass sie weltweit aktiv sind in "40+ Ländern" - d.h. es reicht nicht, sich zurückzulehnen und zu sagen, das betrifft uns in Europa eigentlich gar nicht. Der Bericht geht u.a. auch darauf ein, wie Menschen versuchen können, sich gegen diese Sammlung und Nutzung ihrer Bewegungsdaten zu wehren (bzw. ihren digitalen Fußabdruck etwas zu verkleinern).

Bewegungsdaten verraten sehr viel über Personen, siehe auch mein Übersichtsartikel zur Problematik von angeblich 'anonymisierten' Standortdaten. Nicht vergessen: Bewegungsdaten, bzw. Standortdaten die einem Menschen über einen längeren Zeitpunkt folgen sind eigentlich nie anonym - die Kombination aus Schlafort und Arbeitsort/Lernort ist fast immer eindeutig.

Noch ein drastisches Beispiel aus den USA im Mai 2022: Einige Bundesstaaten arbeiten daran, Abtreibung illegal zu machen. Die Firma Safegraph (im Besitz der sehr 'rechten' Milliardär Peters Thiel mit Investitionen aus Saudi Arabien) verkauft (an jedermann und sehr günstig) die Daten von Besucher:innen in Abtreibungskliniken. (Das will SafeGraph nun einstellen, aber für Behörden stehen die Daten ja auf jeden Fall zur Verfügung).

Wo kommen die Daten denn her? Die werden hauptsächlich von (kostenlosen) Smartphone Apps gesammelt und davon leben die Programmierer. Und da die Nutzer die Nutzungsbedingungen akzeptiert haben ist das wohl sogar in der EU legal. :-(

Hier mehr zum Handel mit Bewegungsdaten.

 

3. Bargeld vs. digitales Geld

Dies quasi eine Ergänzung zu meinem früheren Post zum Thema Bargeld.

Nun zur aktuellen Diskussion um digitales Zentralbankgeld: Wie viel Bargeld im digitalen Euro steckt
Da gibt es eine sehr schön strukturierte Tabelle die die Unterschiede zwischen Bargeld, sog. 'Giralgeld' und gut dem geplante 'Zentralbankgeld' gut aufschlüsselt. Da werden Fragen geklärt wie 'wer erzeugt die jeweilige Form des Geldes eigentlich und wer haftet für was?'.

Kleine Anmerkung dazu: Die Tabelle sagt nebenbei, Bargeld sei die ursprüngliche Form das Geldes. Bei diesem Punkt widerspricht David Graeber in seinem sehr lesenwerten Buch "Debt" (deutsch "Schulden. Die ersten 5000 Jahre"). Seine (detailliert belegte) These ist, dass das ganz ursprüngliche 'Geld' das Konzept des 'Anschreiben-lassen' war, d.h. Menschen führen Buch, wer mir wie viel 'schuldet', und einmal im Jahr wird gegengerechnet. Er schreibt, in den letzten 5000 Jahren Geldwirtschaft sei die bargeldlose Zahlung immer wieder über lange Perioden die übliche Geldwirtschaft gewesen, z.B. weil es über lange Zeiten, z.B. nach dem Zusammenbruch des römischen Reiches, gar keine Münzen gab (und 'Scheine' sowieso nicht).
Außerdem geht es um die sprachliche Verknüpfung von 'Schuld' und 'Schulden' - Beispiel: 'und vergib uns unsere Schuld ...'. Tolles Buch, Nachteil: Sehr dick und sehr ausführlich, das kostet Zeit.

 

4. 'Ransomware' - kann es da eine Lösung geben?

Ich habe vorige Woche auf der Privacyweek einen Vortrag zum Thema Ransomware gehalten: "Ransomware - wo soll das noch hinführen?"
Im 'Fahrplan' sind die Slides verlinkt, und die vorläufige Version des Mitschnitts findet sich im sog. Re-Live. Ich versuche gegen Ende des Vortrags auch ein paar Tipps zu geben, wie Firmen Ransomware-Angriffe überstehen können.

 

Zu den Möglichkeiten einer Strafverfolgung der Täter
In der Ukraine kann Strafverfolgung klappen: Europol lässt ukrainische Ransomware-Gang auffliegen, bzw. von Europol selbst: Ransomware gang arrested in Ukraine with Europol's support.

Und gleich der nächste Erfolg: Verhaftungen in der Ukraine und Schweiz und Ransomware-Gruppe REvil durch koordinierte Aktion mehrerer Staaten zerschlagen. Ich bin allerdings skeptisch bzgl. der Nachhaltigkeit des Erfolgs. Ob wirklich eine nachhaltige Zerschlagung dieser Gruppe gelungen ist, bleibt für mich offen. Bzlg. der Gruppe REvil gab es nämlich immer wieder Erfolgsmeldungen, siehe frühere Newsletter. Die Gruppe, bzw. ihre Software, ist bisher immer wieder irgendwo in Erscheinung getreten.

Welche Machtposition diese Gruppen glauben zu haben, zeigt sich hier: Conti-Erpressergruppe verbittet sich Leaks ihrer Verhandlungs-Chats. Sie wollen Firmen bestrafen, die Details aus den Verhandlungen öffentlich machen. Solche Verhandlungen führen übrigens meist spezialisierte Ransomware-Verhandler, ein weiterer Job, der durch diese 'Industrie' entstanden ist.

 

Politische Aktionen gegen das Ransomware-Problem
Ob das was wird? "Biden administration to convene 30 countries to crack down on ransomware threat".
"Biden in June urged Russian President Vladimir Putin to crack down on cybercriminals operating from Russian soil, . . . After a brief period of quiet from some ransomware groups following the Biden-Putin meeting, hackers have claimed multiple US companies as victims in recent weeks. . . . US officials have looked for ways to slow down the cybercriminals that do not rely on Russian government cooperation." - Und Russland wird zu dieser Konferenz gar nicht erst eingeladen, ob das was wird?
Siehe auch: USA beraten mit Verbündeten Kampf gegen Erpressersoftware, Russland nicht eingeladen

 

Unterthema: Follow the Money
Hier oft schon erwähnt: Blockchain-Währungen sind nicht anonym, sondern pseudonym und eine der Charakteristiken ist ja gerade, dass die eigentliche Blockchain öffentlich und verteilt ist und jedes Gerät mit Internetanschluss sich die herunterladen kann. Als Gegenmaßnahme gegen das 'Getrackt-werden' gibt es Dienste wie Mixer, aber auch da lässt sich einiges eruieren. Und das Tracking von Kryptogeld ist mittlerweile ein eigener Markt geworden.

washingtonpost.com: Tracking stolen crypto is a booming business: How blockchain sleuths recover digital loot - schon wieder entstehen neue hochqualifizierte Arbeitsplätze. ;-)
Beispiel für das Tracking der Zahlungen: Revil: Mutmaßlicher Drahtzieher via Bitcoin-Zahlung identifiziert. Internationaler Haftbefehl ist ausgestellt, jetzt muss er nur noch einen Fehler machen und in der Ukraine oder in der Türkei auf Urlaub fahren (in den türkischen Ferienorten sind schon einige russische Kriminelle verhaftet worden).

Hier zur Fortsetzung des Ransomware-Themas im nächsten Newsletter. Hier der Link zu meinem Artikel: Ransomware Schutz und Entschlüsselung in meinem großen Übersichtsartikel zu dem traurigen Thema.

 

5. Wie Amazon den Polizeistaat ins Wohnzimmer bringt

Es geht um Erweiterungen und Ergänhungen zum speziellen Amazon Produkt der 'intelligenten' Türklingel Ring (wer das nicht kennt, siehe hier und hier). Da gibt es zum Einen die enge Zusammenarbeit von Amazon mit den Polizeibehörden in den USA ihm Rahmen dieses Produktes. Aber es geht noch mehr: Der folgende Artikel berichtet über Astro, einen 'süßen' Roboter, der durch die Wohnung patrouliert und mit seiner ausfahrbaren Kamera schaut, ob alles so ist, wie es sein sollte.

Und weil gerade Halloween war, da geht immer noch mehr: jetzt gibt es noch die Ring Always Home Cam, das ist eine autonome Drohne die Kontrollflüge innerhalb der Wohnung durchführt und mittels Kamera checkt, was alles so abgeht in der Wohnung.

 

Humor

Wie das so geht, wenn eine 'intelligente' Uhr entdeckt, dass man gerade gestolpert sei: 'Twisteddoodles detects a trip and fall' aus New Scientist.

Das passt fast zum Thema, ob denn AI-Systeme 'intelligent' seien. Dazu habe ich auf der privacyweek.at auch einen kurzen Vortrag gehalten, der vorläufige Link zum Video ist Artifical Intelligence - weder künstlich noch intelligent.