178. Newsletter - sicherheitskultur.at - 30.11.2021
von Philipp Schaumann
Hier die aktuellen Meldungen:
1. Zwei Reports
Kaspersky: *** IT threat evolution Q3 2021 ***
IT threat evolution Q3 2021 + PC statistics + Mobile statistics
Und der erste Report aus der Zukunft:
Sophos 2022 Threat Report: Malware, Mobile, Machine learning and more!
Oder direkt zum Sophos Threat Report 2022.
2. Wie sicher ist der Anonymisierungsdienst Tor?
heise.de hat sich den Anonymisierungsdienst Tor vorgenommen und kommt zum Schluss: Eine Technologie voller Widersprüche. Dem kann ich zustimmen. "Tor ein ungewöhnliches Gemeinschaftsprojekt der globalen digitalen Zivilgesellschaft und der US-Regierung (die die Finanzierung übernimmt). Die Zivilgesellschaft, vor allem die deutsche Community, stellt die Infrastruktur: die Tor-Verschleierungsknoten. Für sie ist Tor der wichtigste Gegenspieler autoritärer Eingriffe ins Internet."
Der Artikel beleuchtet diese Hintergründe und geht dann recht tief auf die möglichen Angriffe gegen TOR ein. Fazit: Ein Angreifer müsste Zugriff auf einen erheblichen Teil des Internets haben, damit kommen nur die großen Geheimdienste und ihre Kooperationen in Frage. Für den Hausgebrauch, z.B. für Whisteblower, ist das jederzeit deutlich sicherer als über einen der heute oftmals angepriesenen VPN-Dienste zu gehen (deren Problematik wird im Artikel auch behandelt). Hier der Bericht: Wie sicher ist der Anonymisierungsdienst Tor?
Hier mein bisheriger Eintrag zu TOR. Ich habe an anderer Stelle einige prominente 'Darknet'-Websites von Zeitungen u.ä. zusammengestellt, wo Menschen Leaks vertraulich ablegen können. (Direkt auf den .onion-Link in der Liste der 'Darknet'-Websites klicken bringt natürlich nichts, zuerst den TOR-Browser runterladen [siehe Anleitung im Link] und dann die Zeitschriften-Links in den TOR-Browser einfügen).
Im nächsten Newsletter geht es weiter mit TOR und zwar mit einem großen Angriff auf die Anonymität, der schon sehr lange 'irgendwie' läuft.
3. Moderne Messenger
Noch ein komplexes Thema: Das bundesdeutsche BSI schreibt einen (16-seitigen) Bericht: Moderne Messenger - heute verschlüsselt, morgen interoperabel? Der Text bietet eine technische Sicht auf das Thema Messenger und erläutert die verschiedenen Faktoren, die zur Gesamtsicherheit eines Messengers beitragen. Anstelle der Betrachtung einzelner Messenger wird die grundlegende Funktionsweise moderner Messenger erklärt und die dabei verwendeten Kommunikationsprotokolle und ihre Sicherheitseigenschaften dargestellt. (Wer eine Übersicht über die aktuellen Messenger sucht, der sei auf meine Seite zu Messaging Diensten verwiesen.)
Gleich zu Beginn geht der Artikel auch auf die Fragestellung ein, ob es nicht gut wäre, wenn die vielen Messenger alle miteinander kommunizieren könnten. Dann könnte ich mich auf Signal beschränken und trotzdem mit Menschen kommunizieren die unbedingt auf Whatsapp bleiben möchten oder müssen. D.h. heißt, die Lock-in-Effekte (ich muss auf Whatsapp verbleiben solange nicht alle meine Kontakte zu Signal gewechselt haben) wären dann nicht mehr schlagend. Ich persönlich fände das sehr gut, viele Politiker und Behörden sind ebenfalls der Meinung, aber bei den Betreibern herrscht wohl eher Skepsis. Auch die Betreiber der Open-Source Dienste wie Matrix, Threema und Signal sind wohl eher skeptisch, sie befürchten eine Verwässerung ihrer Sicherheit und dass sie auf diese Weise den "Schmutz" der kommerziellen Anbieter auch in ihre Netze bekommen könnten.
Welcher Messenger kann welche Daten an Behörden weitergeben?
FBI-Trainingsunterlagen für angehende Polizisten listen auf, welche Daten von den Betreibern der Messaging-Dienste angefordert werden können. Am wenigsten Daten gibt es von Signal, Telegram, Threema, Viber, WeChat, and Wickr. Matrix kommt in der Tabelle nicht vor.
4. Ransomware Update
Das ist eine Fortsetzung meines Beitrags vom vorigen Newsletter. Es geht eigentlich immer so weiter, aber immer mehr Experten sind beunruhigt, z.B. im zdnet: Ransomware is now a giant black hole that is sucking in all other forms of cybercrime. Ihre These ist, dass Ransomware eine solche gigantische Möglichkeit zum "Geldmachen" und mittlerweile so durch-professionalisiert und automatisiert ist, dass es andere Formen der Betrugskriminalität verdrängen könnte.
Dazu passt auch: Ransomware gangs are now rich enough to buy zero-day flaws. Für alle Nicht-Experten: Diese sog. 'Zero-Days' sind Fehler in Software, die noch kein anderer Sicherheitsforscher gefunden hat und gegen die es daher auch kein Sicherheits-Update gibt. Typischerweise werden solche 'Zero-Days' von Geheimdiensten gekauft und von Firmen, die Angriffssoftware für Geheimdienste anbieten. Jetzt haben die Kriminellen so viel Geld, dass sie 'mit-bieten' können. Hier ein etwas älterer Artikel von mir zu dem Thema 'Waffenhändler im Cyberkrieg'. In dem Artikel fehlt eigentlich nur die Firma NSO, die in den letzten Monaten mit ihren Angriffe auf die iOS-Geräte von Journalisten negativ in die Schlagzeilen kam.
MIT Technology Review and ProPublica haben gemeinsam eine 5-teilige Podcast-Serie (20 Min pro Beitrag) zusammengestellt: Extortion Economy - A podcast series. Für sie ist Ransomware nur die letzte hochtechnologisierte Ausprägung des viel älteren Erpressungskonzepts. Ihre 5 Beiträge sind:
- 1 The Problem - the old-age extortion problem.
- 2 The Bad Actors - a look into the increasingly business-like criminal world
- 3 All Cats, No Mice - what happened after the Colonial Pipeline payment?
- 4 The Extortion Industry - the reasons ransomware is so hard to solve
- 5 File Not Found - many causes but no clear solution. What's coming next?
Nun kommen wir zu Details aus dem Ablauf des Verbrechens: Inside the ransomware negotiation economics. Die Forscher haben sich die Verhandlungen um die Höhe des Lösegelds genauer angesehen und auch aus Sicht der "Spiel-Theorie" betrachtet. Sie sagen, dass die Angreifer ziemlich genau aus öffentlichen Quellen recherchieren, was wohl die maximale Summe sein könnte, die ein Opfer bereit ist zu zahlen. Durch diesen Wissensvorsprung sind die Verbrecher bei den Verhandlungen im Vorteil, trotzdem zeigen die Autoren Tricks, wie der Betrag deutlich reduziert werden kann - mal abgesehen von der großen Frage ob man durch die Zahlung nicht genau diese Welle weiter fördert. (Zum Thema Verhandlungen hatte ich auch früher bereits einen Beitrag.)
Die Autoren sehen Licht um Ende des Tunnels, sie verweisen auf einige Verhaftungen die im November von Europol durchgeführt werden konnten, z.B. Ransomware-Gruppe REvil durch koordinierte Aktion mehrerer Staaten zerschlagen und Die ukrainische Cyberpolizei bei der Hausdurchsuchung der Ransomware-Gang. Ich verbleibe aber sehr skeptisch, ob sich ein derart erfolgreiches Geschäftsmodell durch Verhaftung einzelner Beteiligter zerstören lässt. Es werden ja nur diejenigen verhaftet, die den Fehler machen, sich außerhalb des sicheren Russlands (und damit Putins Schutz) zu begeben.
Die US-Behörden machen sich Sorgen um ihre kritische Infrastruktur: Ransomware Attacks against Water Treatment Plants, d.h. Angriffe gegen Kläranlagen. Es gab wohl bereits reichlich erfolgreiche Angriffe. Die verzweifelte Bitte an alle Betreiber: Nicht auf Links klicken, kein RDP-Zugang mehr, überall 2-Faktor-Authentifizierung einführen.
Die Tipps hat die Behörde dann noch in einem separaten Dokument präzisiert: Bad Practices. Falls ein europäisches Unternehmen ihre "Sicherheitsmaßnahmen" dort irgendwo wiederfindet so sollte sehr schnell umgestellt werden. Warum das schwierig sein kann, das behandelt der nächste Punkt.
5. Die Überforderung der IT-Administratoren
heise.de schreibt über ein Thema das ich auch schon früher behandelt habe: Zu viele und komplexe Security-Systeme überfordern Administratoren. Gerade die modernen Cloud-Systeme können ziemlich kompliziert zu administrieren sein. Kleine Fehler und die Firmendaten stehen ungeschützt im Internet. Auch kleine Fehler bei der Konfiguration wirken sich bei Cloud-Diensten ungleich drastischer aus im Vergleich zu selbst-gehosteten Systemen, die relativ geschützt im internen Netz stehen.
Frühere Beiträge von mir zum Thema Überforderung: Cloud für Unternehmen: Typische Fehler und was man daraus lernen kann und Zur Sicherheit von Cloud-Diensten.
Und gerade eben gefunden: Google-Analyse: Cloud-Dienste durch schwache Passwörter angreifbar. Die Untersuchung von Google zur Sicherheit der bei ihnen gehosteten Systeme hat erschreckende Ergebnisse: In die Hälfte der übernommenen Cloud-Präsenzen kamen die Angreifer über schwache oder gar nicht gesetzte Passworte für Benutzerkonten oder die APIs. 40% der gehackten Systeme wurden in weniger als 8 Stunden übernommen. Der IP-Bereich der (Google)-Cloud wird einfach systematisch auf schlecht abgesicherte Systeme durchsucht und die werden ALLE übernommen und missbraucht (oft auch für Crypto-Mining). (Warum erzwingt Google nicht Passworte für alle Zugänge? Ich vermute, der Grund liegt darin dass einige der Zugänge ja wirklich öffentlich sein sollen.)