180. Newsletter - sicherheitskultur.at - 31.01.2022

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Report Cybersecurity Outlook 2022

Vom World Economic Forum: Global Cybersecurity Outlook 2022.

 

2. Europol: Debunking common myths on the criminal use of cryptocurrencies

Hier die Punkte von Europol:

  1. Ja, die Bedeutung von Kryptowährungen im Rahmen von Kriminalität steigt, aber Bargeld hat für Kriminelle auch viele Vorteile und überwiegt immer noch.
  2. Kryptowährungen spielen nicht nur bei Cybercrime eine Rolle, auch bei Drogen und Betrug wird es eingesetzt. Aber immer noch weniger als andere Formen von Geld und Finanzwerten.
  3. Die illegalen Zahlungen fließen selten direkt von Wallet zu Wallet sondern sollen über 'mixer' und ähnliches schlechter verfolgbar werden
  4. Kryptowährungen sind NICHT anonym, sondern sind für 'law enforcement' deutlich transparenter als Bargeld

Hier die Details als Artikel und der Bericht 'Cryptocurrencies - Tracing the evolution of criminal finances' (20 Seiten pdf mit vielen weiteren Links).

2a: Neues zu Kryptowährungsbetrug

Nun zu Kyptowährungsbetrug: heute ein Erfahrungsbericht einer Redakteurin der Wiener Wochenzeitschrift Falter. Die Journalistin recherchiert auf Telegram zu Impfgegnern und ist in Gruppen wie 'Fairdenken' und 'Wir-ungeimpften-in-Wien'. In diesen Gruppen wird sie offenbar sehr häufig angeschrieben mit dem Ziel, ihr Kryptowährungen schmackhaft zu machen. Ihr Bericht in Folgen 1 bis 3 (jeweils ziemlich am Ende der anderen Nachrichten): 'Wir betrügen euch hier nicht' - Das Kryptonit der Corona-Leugner - 'Hohe Gewinne ohne Risiko gibt es nicht'

Noch ein späterer Update: Eine Studie beziffert für 2021 die Summe der Verluste durch solchen Betrug auf 14 Milliarden USD. Dieser riesige Betrag ist sogar ein prozentualer Rückgang (obwohl es eine Steigerung um 80% gegenüber 2019 ist) - die Erklärung liegt im noch stärker gewachsenen Umsatzvolumen für Kryptowährungen. Es gibt mehr und mehr Menschen, die dies für eine Bubble halten, die sich nicht endlos weiter aufblähen lässt. (Jeder Betrag der als Gewinn entnommen wird, muss von anderen Menschen eingezahlt werden, die Kryptowährungen erzeugen keine neuen Werte).

Hier mein voriger Beitrag zu Kryptowährungen und Betrug. Hier mein Gesamtartikel zu Blockchain und Kryptogeld.

 

3. Mal wieder Ransomware-Updates

Zuerst ein Erfahrungsbericht von jemandem der Firmen hilft, nachdem sie einen Ransomware-Befall erlitten haben: Ransomware - Jeder hat Daten, die eine Erpressung wert sind (gemeint ist 'jede Firma').

Die Auswirkungen eines erfolgreichen Angriffs können dramatisch sein, hier ein Beispiel aus dem öffentlichen Bereich: Landkreis Ludwigslust-Parchim drei Monate nach IT-Angriff weiter im Notbetrieb. Dies ist eine Ergänzung zu den Berichten vom letzten Monat: Rebuilding Landkreis Anhalt-Bitterfeld.

Und nun ein Erfolgsbericht: Russische Strafverfolger zerschlagen angeblich REvil-Gruppe - Die Polizeiaktion fand wohl auf vielfachen Wunsch aus Amerika statt - na ja, warten wir mal ab ob das irgendwelche Auswirkungen auf die 'Ransomware-Industrie' hat. (Rückblickend aus dem Februar scheint es, dass das eher eine symbolische Aktion war).

Hier geht es zum Februar 2022, in dem die Ransomware-Gruppen wohl hauptsächlich gegen die Ukraine arbeiten und zum Thema: "Zahlen oder Nicht-Zahlen'.

 

4. Waffenhändler im Cyberkrieg - Hacker-for-hire Industry too big to fail?

Mehrere Artikel berichten im Januar über die 'Hacker for Hire'-Industrie, d.h. Firmen wie NSO, Citrox, Paragon, Candiru und die älteren Firmen wie die deutsche Firma Finfisher (Insolvenz 2021), die französische Firma Vupen (die nun Zerodium heißt) und HackingTeam (deren Teile 2019 aufgekauft wurden) und viele andere, die Angriffssoftware herstellen um diese "Cyberwaffen" an staatliche Kunden zu verkaufen.

Die Kunden sind die 'üblichen Verdächtigen' der Diktatoren dieser Welt, aber auch europäische Staaten haben wohl bei NSO zugeschlagen und Geräte von europäischen Politikern sind infiziert worden. Technology Review: The hacker-for-hire industry is now too big to fail. Oder auf deutsch: Nachfrage nach Produkten der NSO Group und Co. lässt nicht nach. Im Mittelpunkt dieser Artikel steht die NSO Group mit ihrer sehr cleveren Spyware-Software, aber die sind nur einer der vielen Anbieter.

, aufgedeckt von Citizen Lab und Amnesty Internation in D.

Von anderen Firmen wird auch Social Engineering-for-Hire in großem Stil angeboten. Ein Artikel in technologyreview.com: Facebook says 50,000 users were targeted by cyber mercenary firms in 2021. Eines der zitierten Beispiele ist ein Bericht von Facebook/Meta dass sie viele Fake-Accounts gesperrt haben, die in 2021 insgesamt 50 000 legitime Instagram- oder FB-accounts in über 100 Ländern "befriended" haben um die Personen dahinter auszuspionieren. Meta geht davon aus, dass die Angreifer professionelle Organisationen sind und hat die 50 000 gewarnt. Anfang 2022 wird bekannt, dass eine der Firmen von Peter Thiel nämlich Boldend, zeitweise auch ein Tool im Angebot hatte, mit dem Whatsapp-Accounts gehackt werden konnten. Die Schwachstelle soll nun geschlossen sein.

Weil sich viele internationalen Streitigkeiten immer mehr in die IT-Welt verlagern laufen diese Aktivitäten mittlerweile unter 'International Arms Market': How cyber surveillance is booming on a global scale. Hier die Originalstudie: Proliferation of Cyber Capabilities in International Arms Markets. Ein Beispiel für die Verlagerung eines Konflikts in den Cyberspace: Israel and Iran Broaden Cyberwar to Attack Civilian Targets (dabei geht es nicht im Überwachung sondern Sabotage durch IT-Angriff und Veröffentlichung sensibler Daten von Bürgern als Gegenangriff).

Die US-Regierung warnt vor kommerziell verfügbarer Spyware, sie raten den US-Bürgern, sich so zu verhalten, als ob ihr Smartphone kompromittiert sei. Guter Tipp, nicht leicht umzusetzen. Und natürlich setzt die NSA solche Software auch selbst gern ein.

Zum Thema 'Waffenhändler im Cyberkrieg' gibt es auch einen Artikel von mir aus bereits aus 2012 - auch damals war das bereits ein Thema und ein gutes Business. :-(

 

5. Nachtrag zu Blockchains und Krypto-Dingen

Es gibt ein paar Ergänzungen zum vorigen NFT-Beitrag vom März 2021.

Der IMF (International Monetary Fund) hat El Salador geraten, die Einführung von Bitcoin als Staatswährung noch mal zu überdenken, Instabilität und so.

Das ist auch eines der Themen im großen Übersichtsartikel der NYT: It's Hard to Tell When the Crypto Bubble Will Burst, or If There Is One. Die NYT berichtet von bizarren Dingen, z.B. dem Wolf Game, der Artikel bringt aber auch viele Grafiken, Übersichten, etc. - für mich bleibt das alles doch irgendwie eine spezielle Form von Glücksspiel mit nicht ganz klaren Regeln.

Hier jetzt zum Energieverbrauch der Kryptowährungen: Ein Artikel/Studie des Krypto-Dienstleister Bitcoin Suisse hält Kryptowährungen (wenig verwunderlich) für eine ziemlich tolle Sache, inkl. der Bitcoin-Abenteuer in El Salvador. Dann wehren sie sich gegen den Vergleich des Mining-Stromverbrauchs mit Ländern wie Argentinien. Nach ihren Schätzungen verbrauchen Kryptowährungen (ganz knapp) weniger Strom als Computerspiele oder Weihnachtsbeleuchtung.
Einige Beiträge unter diesem Artikel weisen dann korrekt darauf hin, dass man mit "Whataboutism" sehr vieles schönreden kann, z.B. 'Cholera verursacht weniger Tote als die Pest.' Ein anderer Poster schreibt: "1 Bitcoin-Transaktion braucht mehr Strom als mein Haushalt pro Jahr(!) Mein Haushalt (70 m2) braucht pro Jahr 1.600 KWh. Eine Bitcoin-Transaktion braucht 2.173 KWh." Er verlinkt als Beleg auf digiconomist.net. Hier zum begeisterten und recht unkritischen Artikel Bitcoin-Produktion verursacht weniger CO2-Ausstoß als Computerspiele.

In China werden nun Blockchains vom Staat angeboten werden. Das ist insofern überraschend, da die Idee der Blockchains eigentlich darin besteht, dass ein Konsensverfahren bei Blockchains dafür sorgen soll, dass ohne zentrale "Trusted Authority" gearbeitet werden kann (siehe Definition in der Wikipedia). China to create own NFT industry based on state-backed blockchain infrastructure. Die Regierung will wohl den letzten Rest an Pseudonymität verhindern. Hier zur Erklärung, warum die als 'web3' diskutierten Konzepte alles andere als 'dezentral' sind.

Zum vorigen NFT-Beitrag vom März 2021 und zur großen NFT-Kritik Ende Februar 2022. Hier mein Gesamtartikel zu Blockchain und Kryptogeld.

 

6. Log4Shell: Eine Bestandsaufnahme

Dies ist ein Update zum Log4j-Problem aus dem vorigen Newsletter. Die Verwundbarkeit hatte eine Einstufung von 10/10 bekommen, d.h. höher geht nicht. Aber die große weltweite Katastrophe ist (soweit) zum Glück ausgeblieben. Dazu gibt es einige Theorien.

Zu Beginn gab es viele automatisierte Scans im Internet durch interessierte Angreifer, die Zahl der Scans ist wohl zurückgegangen und die ganz große Ransomware-Welle ist zum Glück ausgeblieben. Die Gründe über die spekuliert wird sind z.B. dass große Unternehmen ihre Systeme gepatcht oder anderweitig geschützt haben und die low-hanging fruits die automatisiert angegriffen werden konnten mittlerweile verschwunden sind. Der Rest (das könnten durchaus 10 000 oder gar 100 000 Systeme sein) ist vergleichsweise mühsame Handarbeit, für jedes System muss herausgefunden werden, wie der Angriff ablaufen könnte. Das BSI in Deutschland hat deswegen die Warnstufe für die Lücke mittlerweile von Rot auf Gelb herabgesetzt.

Anderseits könnte eine große Zahl von Systemen bereits übernommen worden sein und die haben noch keine Zeit gefunden, ihren Zugriff zum Firmennetz so weit zu erkunden, dass ein effektiver Ransomware-Angriff möglich ist. Für diese Systeme gilt, dass ein nachträgliches Patchen der Log4j-Lücke das Problem das Fremdzugriffs nicht beseitigt.

Hier ein Zitat: "Staatliche und kriminelle Angreifer haben Log4Shell überwiegend dazu genutzt, um möglichst lautlos und unerkannt Hintertüren und Brückenköpfe in bislang hoch gesicherten Bereichen zu installieren. Die eigentlichen Angriffe auf die IT-Infrastruktur durch Datenklau oder Verschlüsselungstrojaner und anschließenden Erpressungen stehen erst noch bevor. Typischerweise erkunden Angreifer ihr Opfer erst ausgiebig, bevor sie zuschlagen - auch deshalb, weil aktuell alle Admins alarmiert sind und schon auf kleinste Anzeichen achten."

Ergänzung im Januar 2024:
Zum traurigen zweiten Geburtstag des Log4Shell-Problems gibt es eine Bestandsaufnahme vom Dezember 2023: State of Log4j Vulnerabilities. Hunderte Millionen Systeme waren verwundbar, weil die Software log4j z.B. in den Apache Webservern enthalten ist (aber nicht nur). Das Ergebnis: im Dezember waren noch 38% der getesteten Anwendungen. Ca. 3% hatten noch die ursprünglich verwundbare Version, bei weiteren fast 4% war diese behoben, aber es gab andere 'high-severity' Verwundbarkeiten. 32% verwendeten eine Version die seit 2015 keinen Support mehr hat, aber eine Reihe von anderen Verwundbarkeiten.

Aktualisierung Jan. 2024:
So etwas läuft unter Supply Chain Attack - Angriff in der Kette der Zuliefer. Hier ein aktuelles Beispiel: MavenGate Attack Could Let Hackers Hijack Java and Android via Abandoned Libraries. In diesem Fall geht der Angriff über Bibliotheken, die keinen Support mehr haben, aber in vielen Apps weiter aktiv sind.