211. Newsletter - sicherheitskultur.at - 31.08.2024

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Immer wieder Ransomware

Bereits in früheren in Newslettern, z.B. Februar 2024, hatte ich von erfolgreichen Schlägen gegen große und extrem erfolgreiche Ransomware-Gruppen berichtet. Hier eine Zusammenfassung der Auswirkungen der Erfolge der Polizei: Schläge gegen Ransomware-Gruppen zeigen offenbar Wirkung – die Frage ist, wie lange noch.

Zitat: "Ermittler konnten Kryptowallets (d.h. die Schlüssel zu den erbeuteten Erpressungsgeldern) im Wert von etwa 120 Mio Euro sichern, die Kontrolle über 34 Lockbit-Server übernehmen und 1000 Entschlüsselungs-Keys für die Opfer von Lockbit sicherstellen. Außerdem wurden zwei Hacker aus dem Netzwerk, ein Ukrainer und ein Pole, verhaftet. Nach einem der federführenden Köpfe der Bande, einem 31-jährigen Russen namens Dmitry C., wird noch gefahndet."

Die Szene ist nun stark von Misstrauen geprägt. Kleinere Akteure haben Angst vor einem sog. Exit-Scam wie bei der Ransomware-Gruppe Blackcat/ALPHV. Diese Gruppe hat im März ihre Operationen plötzlich eingestellt. Mit einem gefälschten Banner auf der Darknet- Website sollte der Eindruck erweckt werden, die Gruppe sei von Behörden zerschlagen worden. In Wahrheit aber haben sich die Hintermänner mit dem erpressten Geld aus dem Staub gemacht und ihre Partner betrogen.

Stichwort Exit-Scam: Das ist auch das Geschäftsmodell vieler Kryptobörsen: Irgendwann machen sich die Betreiber der Börse mit den Wallets aller ihrer Kunden aus dem Staub und versuchen unterzutauchen und das Geld zu genießen. Der verlinkte Wikipedia-Artikel bringt Beispiele dafür aus der Krypto-Szene, Ransomware und Darknet-Märkten.

Nach der Zerschlagung mehrerer Gruppierungen, die als Akteure im extrem arbeitsteiligen Ransomware-as-a-Service-Geschäft grundlegende Dienste und Koordinierung der Ransomware-Kriminellen geleistet haben, versuchen sich nun die Erpresser neu zu organisieren und attackieren recht erfolgreich wohl vermehrt kleine und mittlere Unternehmen (62% aller Ziele), bei denen angenommen wird, dass dort weniger in Sicherheit investiert wurde. Dadurch sinkt die durchschnittlich erpressbare Summe, aber mit einer durchschnittlichen Forderung von einer halben Million und einer nennenswerten Zahl von Firmen, die bereit sind zu zahlen, lässt sich offenbar auch leben. (Hier mehr zu Ransomware allgemein.)

Hier weitere aktuelle Erfolge der Polizeibehörden: Breachforums: FBI nimmt berüchtigtes Hackerforum vom Netz. Die Kriminellen hatten den Schlag gegen sich provoziert, indem sie eine Website von Interpol gehackt und Daten daraus veröffentlicht hatten. Auch die Profilbilder der Breachforums-Administratoren Baphomet und Shinyhunters sind nun veröffentlicht worden, es könnte zu Verhaftungen kommen.

Ein weiterer Schlag gegen die Infrastruktur der Kriminellen ist die Übernahme des Crypto-wallet Service Cryptonator, der wohl der Geldwäsche von erpressten Geldern gedient hat. Der Dienst hat (nach Gerichtsdokumenten) 1,4 Milliarden USD umgesetzt, davon geschätzte 306 Mio aus illegalen Quellen.

Noch eine 'Kuriosität' aus der Ransomware-Welt: Iranian APT moonlights as access broker and ransomware helper (APT = Advanced Persistent Threat = meist digitale Industrie- bzw. Wirtschaftsspionage im staatlichen Auftrag). Diese iranische Organisation scheint wohl neben den Aktivitäten für die iranische Regierung als privater Nebenjob auch Ransomware-Gruppen sehr aktiv und professionell zu helfen (ob die Regierung das wohl weiß?) - die iranischen Regierungshacker haben (wie die nordkoreanischen staatlichen Hacker - sie finanzieren angeblich das Kernwaffen-Programm) den Ruf, technisch recht gut zu sein.

Grundlegende Tipps zum Schutz für Firmen und Privatleute wurden zuletzt im Mai verlinkt.

 

2. Gute und schlechte Updates aus der IT-Welt

Zuerst eine ganz schlechte: UN-Cybercrime-Konvention

Die kurze Zusammenfassung ist, dass Putin jegliche Opposition gegen seine Regierung, auch im Ausland, zu einem Cybercrime machen möchte, so dass ausländische Regierungen ihm bei der Unterdrückung der Oppositionellen helfen müssten. Durch das Abkommen würden die UN-Mitgliedsstaaten verpflichtet, Überwachungsmaßnahmen für ein sehr breites Spektrum von Straftaten zu ermöglichen. Eine richterliche Genehmigung der Maßnahmen ist hingegen nicht vorgeschrieben.

Das Abkommen erlaubt den Staaten, im Ausland gespeicherte Daten zu Personen anzufordern, wenn dieser Person ein Vergehen vorgeworfen wird, das nur in Russland unter Strafe steht. Das zugrundeliegende Vergehen muss nicht in beiden Staaten verboten sein. Wenn etwa Russland Oppositionelle oder Journalisten als Extremisten verfolgt und ihnen absurde Straftaten vorwirft, so könnte sich Russland künftig bei der Anforderung von Daten aus dem Ausland auf die UN-Konvention berufen.

Nun hat leider das entsprechende Komitee der Vereinten Nationen das Abkommen einstimmig angenommen. Die europäischen Vertreter haben wohl versucht, so gut es geht, Verwässerungen im Text zu erreichen. Das Abkommen muss im Herbst nun der Generalversammlung vorgelegt werden, wo es vermutlich eine Mehrheit finden wird. Dann müssen noch mindestens 40 der 193 UN-Mitgliedsstaaten die Konvention ratifizieren - auch das wird leicht stattfinden - d.h. es sieht nicht gut aus.

Internationale Menschenrechts- und Journalistenorganisationen fordern von den europäischen Delegierten, den aktuellen Entwurf der geplanten UN-Konvention zu Computerkriminalität abzulehnen. Ich hoffe, dass es irgendwie gelingt, die Konvention zu verhindern (bin aber skeptisch, denn die europäischen Delegierten sind wohl in einer deutlichen Minderzahl und viele Staaten finden das gut, wenn sie Hilfe beim Verfolgen ihrer Oppositionellen bekommen). Die europäische Strategie war wohl bisher, den Text so gut es geht zu verwässern und zu entschärfen.

Hier ein Interview mit Tanja Fachathaler, die als Teil der Zivilgesellschaft an den Verhandlungen in New York teilgenommen: „Unverändert gravierende Mängel“. Und hier zu meinem vorigen Beitrag zur UN-Cybercrime-Konvention.

 

Auch nicht gut: Digital Identity Systems - eID - eIDAS

In einem früheren Newsletter hatte ich berichtet, dass epicenter.works recht froh darüber war, viele gute Features in das Konzept herein reklamiert zu haben. Nun schlägt die selbe Organisation, zusammen mit anderen NGOs und IT-Experten Alarm: Schwere Mängel bei der europäischen eID-Implementierung.

Es geht um den aktuellen Entwurf zur technischen Umsetzung - dort finden sich die in der eIDAS-Verordnung vorgeschriebenen Garantien für Menschenrechte und Datenschutz nicht wieder. Es geht um Hintertüren für die Strafverfolgung, kein sinnvoller Rechtsbehelf in Fällen von Betrug oder Identitätsdiebstahl, sowie veraltete kryptografische Mechanismen.

 

Barrierefreiheit, European Accessability Act (EAA)

Webseiten müssen ab 28. Juni 2025 barrierefreier sein als derzeit. Derzeit sind (lt. einer Studie) 90 Prozent aller Websites deutscher Unternehmen nicht barrierefrei: Barrierefreies Internet - Tausenden Websites droht das Aus, wenn sie nicht barrierefrei werden. Das ist reißerisch formuliert, es drohen erstmal nur Verwaltungsstrafen, in Österreich bis zu 80 000 €.

Aus eigener Übung für diese Website weiß ich, dass es nachträglich sehr mühsam sein kann - einfacher ist, wenn die Barrierefreiheit gleich bei der Erstellung mit konzipiert wird.

Hier zu meinem vorigen Artikel dazu. Dort beklage ich die langen Übergangsfristen. Im Extremfall kann ein Bankomat/Geldausgabeautomat ohne Sprachausgabe für sehbehinderte Menschen bis 2045 im Einsatz sein (zu erkennen sind Geräte, die auch für sehbehinderte Menschen geeignet sind, an der Kopfhörerbuchse). Produktinformationsblätter, die z.B. Kreditbedingungen erläutern, müssen in Zukunft in einfacher Sprache formuliert werden. Wie barrierefrei eine Website ist, das testet z.B. wave.webaim.org oder www.w3.org/WAI/test-evaluate/tools/. Hier gibt es eine Accessibility-Checklist und weitere Hilfestellungen zu "Accessibility".

Aktualisierung Sept. 2024:
Eine Untersuchung deutscher Webseiten zeigt dass es derzeit bei der Barrierefreiheit (noch) ganz schlecht bestellt ist: Deutsche Webseiten sind versetzungsgefährdet. Viele Webseiten sind für Menschen mit Behinderungen uneingeschränkt zugänglich. Ab Juli 2025 müssen sie das aber sein. Hier einige Auszüge aus dem Artikel:

"Von der Million weltweit am häufigsten besuchten Seiten im Internet sind 960.000 für Menschen mit körperlichen oder geistigen Einschränkungen nur bedingt zugänglich, ... Auch bei einem Anfang Juli veröffentlichten Test von Aktion Mensch, der Stiftung Pfennigparade und Google schnitten deutsche Webauftritte mangelhaft ab. Jeder fünfte der 71 größten deutschen Onlineshops war nicht barrierefrei. Als barrierefrei anzusehen sind Websites, wenn sie Normen erfüllen, die im Amtsblatt der EU genannt werden – beispielsweise die EN 301 549 oder die Web Content Accessibility Guidelines 2.1 (WCAG) des WWW Consortiums.

Das erinnert mich an die Einführung der DSGVO: Eigentlich waren das weitgehend Regeln aus dem alten Datenschutzgesetz, aber 6 Monate vor der DSGVO brach auf einmal Panik aus: "Wie sollen wir das in der kurzen Zeit nun schaffen? Wir brauchen dringend eine Fristverlängerung." - Es könnte passieren, dass ein paar geldgierige/geschäftstüchtige Anwälte dann Abmahnaktionen starten.

Aktualisierung Nov. 20245:
Die Berliner Beauftragte für Menschen mit Behinderungen kritisiert BVG-App. Sie diagnostiziert Defizite bei Alternativtexten, Kontrasten und Sprachausgabe. Wenn Digitalzwang bei der BVG (siehe Link) mit Problemen bei der Barrierefreiheit kombiniert wird, ist es extra ungut. Dabei ist diese App nur 1 kleiner Baustein auf dem Weg zur verpflichtenden Barrierefreiheit bis Anfang 2025.

 

MiCA-Verordnung - "Markets in Crypto-Assets"

Diese Verordnung war im Juli 2022 ausführlich besprochen worden. Hier ein weiterer guter Übersichtsartikel: Was eine Regulierung am Kryptomarkt bringt. Die Verordnung tritt am 30. Dezember 2024 vollständig in Kraft und wird eine Reihe von Rechten für die Kunden und Pflichten für die Anbieter bringen.

 

3. Der Konflikt um Telegram, zur Verantwortung von Plattform-Betreibern

Der Gründer und Besitzer des Chat- und Messaging Services Telegram, Pawel Durow, wurde in Frankreich verhaftet, viele Zeitungen berichten darüber. z.B. Was ist das Problem an Telegram?

Der Artikel beleuchtet, dass es sich bei Telegram NICHT um einen End-to-End-verschlüsselnden Messenger wie Whatsapp, Signal, iMessage oder Threema handelt. Telegram bietet (als explizite Option) verschlüsselte Chats so wie diese Messenger auch, aber das ist nicht der Konflikt mit den Behörden.

Der Konflikt mit den Behörden betrifft die geschlossenen Diskussionsgruppen. Diese können bei Telegram bis zu 200 000 Teilnehmer groß sein und die sind (aus guten technischen Gründen) nicht verschlüsselt. Aber die Regeln von Telegram sagen, dass die Inhalte dieser Diskussionsgruppen auf keinen Fall an Behörden weitergegeben werden. Dies ist in der kriminellen Unterwelt bekannt und beliebt und deswegen finden in diesen Diskussionsgruppen viele kriminelle Aktivitäten statt.

Die Aktivitäten der Behörden konzentrieren sich (in diesem Konflikt) auf CSAM-Aktivitäten, d.h. Missbrauch von minderjährigen Personen - child sexual abuse material=CSAM. Verdeckte Ermittler, die in diesen Gruppen aktiv sind, möchten an die Identitäten der Drahtzieher und Händler in diesen Gruppen (und möglichst auch die Inhalte). Rein technisch könnte Telegram die realen Identitäten der Täter (z.B. IP-Adressen oder die Anmelde-Email-Adresse) und die Inhalte an die Behörden übergeben, aber das tut Telegram aus Prinzip nicht.

Telegram verbietet in den Benutzungsregeln sehr wohl CSAM (und ähnliches), aber nur in den wirklich ganz offenen Gruppen - diese Benutzungsregeln gelten nicht für geschlossene Gruppen von bis zu 200 000 Mitgliedern. D.h. dieser Konflikt hat mit der Diskussion um das Knacken von verschlüsselten Messengern durch die Polizei überhaupt nichts zu tun. Es geht um 'aktives Wegschauen' bei Missbrauch Minderjähriger und Drogenhandel durch die Weigerung, etwas gegen diese unverschlüsselt kommunizierten illegalen Aktivitäten zu unternehmen.

Der Vorwurf lautet auf Beihilfe zum Missbrauch Minderjähriger, Drogenhandel, Geldwäsche und organisierter Kriminalität. Die Maximalstrafe liegt bei 10 Jahren Haft. Vergleichbare Verurteilungen waren z.B. Ross W. Ulbricht für den Betrieb der Darknet-Plattform Silk Road und die Kryptobörse Binance. Viele Details finden sich in Durov Bailed and Must Stay in France, Report to Police. Mehr zum schrecklichen CSAM-Thema hier.

Watchlist-Internet beschäftigt sich übrigens auch intensiv mit Telegram: Telegram als Betrugsfalle. Die Plattform ohne Moderation ist nämlich auch ein sehr einladender Ort für alle anderen Arten von Betrug (z.B. Investitionsbetrug, Schneeballsysteme und betrügerische Jobangebote) - also große Vorsicht dort.

 

vom Pixel-smartphone erstelltes Foto eines Drachens
'Reimaging as dragon' - Eigentlich eine nette Feature: Das neue Pixel-9-Smartphone kann durch die simple Anweisung 'Reimaging as dragon' aus einem Katzenfoto auch ein Drachenfoto machen. Das ist eine schöne Spielerei, kritische Menschen sehen aber auch das Risiko, dass wir in Zukunft Fotos noch viel weniger trauen können als bisher: Das Ende der Fotorealität? Aufregung um Googles neue Bild-KI. Und ganz kritisch: No one’s ready for this - Our basic assumptions about photos capturing reality are about to go up in smoke.
Bisher konnten Experten in digitaler Bild-Forensik aus Details der internen Darstellung auf Bit-Ebene Bilder die mit Photoshop bearbeitet wurden klar identifizieren, ob das in diesem Fall auch noch klappt kann ich nicht sagen.

Hier zu meinem vorigen Beitrag zu generativer AI. Und das Thema wird natürlich fortgesetzt.

 

Ergänzung Sept. 2024:
 In der NY Times: How Telegram Became a Playground for Criminals, Extremists and Terrorists. Zitat: "Uncut lumps of cocaine and shards of crystal meth are for sale on the app. Handguns and stolen checks are widely available. White nationalists use the platform to coordinate fight clubs and plan rallies. Hamas broadcast its Oct. 7 attack on Israel on the site."

Und im September 2024 wird es dann noch gruseliger bei Telegram: In der NY Times: How Telegram Became a Playground for Criminals, Extremists and Terrorists. Zitat: "Uncut lumps of cocaine and shards of crystal meth are for sale on the app. Handguns and stolen checks are widely available. White nationalists use the platform to coordinate fight clubs and plan rallies. Hamas broadcast its Oct. 7 attack on Israel on the site." Die Tatsache, dass Telegram keine Moderation hat hilft sehr, diesen hohen Marktanteil bei Kriminalität zu erlangen.

Noch eine schlechte Nachricht zu Telegram: Russland soll sogar gelöschte Nachrichten auf Telegram mitlesen können. Der ukrainische Geheimdienst spricht ein weitgehendes Verbot der Nutzung von Telegram aus: Telegram würde von Russland aktiv für Cyberangriffe, Phishing-Versuche und die Verbreitung von Malware genutzt. Außerdem könne Russland via Telegram den Standort von Nutzenden ermitteln und diese Daten würden für die Zielauswahl genutzt.

Und wenn ich dann glaube, gruseliger geht es nicht mehr, dann kommt was Neues: "Schon mal getötet?" Wie Russland auf Telegram Saboteure in der EU sucht. Journalisten von verschiedenen Zeitungen haben sich in einschlägigen Foren auf Telegram rumgetrieben und da gibt es einen Rekrutierungs-Bot, der sucht Kandidat:innen für Sabotage und Terror in der EU, es gibt 10.000 $ "pro Kopf" - siehe die Anschläge in Deutschland gegen Truppenübungsplätze. Hier ein Artikel zur Welle der (Brand-)Anschläge in D mit vermutetem russischen Hintergrund. Noch ein Bericht über Telegram als Tummelplatz der organisierten Kriminalität (vor allem in Süd-Ost-Asien).