Top Thema
Jirassic Park: Das zwischenzeitliche Aussterben der Confluencer
Atlassian ist seit Jahren als eines der Unternehmen bekannt, die ihre Kunden mit besonders viel Enthusiasmus in die Cloud locken – manche würden vielleicht sogar scheuchen sagen. Immerhin verspricht man sich dort (zu Recht) mehr Agilität und damit auch mehr Nutzen für die Kunden.
Nun hat das Umarmen der Wolke einige, die sich darauf voll eingelassen haben, böse gebissen. Ein Wartungsskript, das eigentlich nur Legacy-Daten löschen sollte, entfernte darüber hinaus die produktiven Daten von 400 Kunden samt Informationen zu gebuchten Produkten, Nutzern und Drittanbieteranwendungen. Zwar waren umfangreiche Wiederherstellungssysteme vorhanden, trotzdem sollte der Wiederaufbau für einen Großteil der Betroffenen bis zu zwei Wochen dauern.
Nun gibt es zwei Sichten auf die Misere. Die eine: Das passiert On-Prem auch, nur dann steht es (meist) nicht in der Zeitung. Das ist auch richtig. Und allein die Cloud zu verdammen ist in diesem Fall sicherlich nicht hilfreich. Andererseits zieht das andere Extrem, den Cloud-Betrieb von der Verantwortung völlig freizusprechen, auch nicht komplett. Immerhin bauen wir uns mit IaaS, PaaS und SaaS erhöhte Komplexität und damit auch mehr „Single“ Points of Failure, mindestens aber Klumpenrisiken auf.
Die Verantwortung, für die geschäftskritischen Daten einer Vielzahl von Organisationen verantwortlich zu sein, muss daher mit einem umso größeren Maß an Professionalität und Due Diligence einhergehen. Die – zumal nicht-amerikanischen – Cloud-Anbieter (Atlassian sitzt in Sydney) werden sich daran messen lassen müssen, ob sie schneller besser werden, als wir ihnen unser Geld und unsere Verantwortung hinterherwerfen.
Neuigkeiten
Near Miss: Ukrainisches Stromnetz knapp vor Ausfall bewahrt
Nun ist es doch passiert – beinahe. Nachdem wirkungsstarke Cyberwar-Aktivitäten trotz des russischen Krieges lange Zeit auf sich warten ließen, hat die Gruppe Sandworm nun immerhin fast einen großflächigen Stromausfall in der Ukraine auslösen können, mithin klassische Sabotage mit modernen Mitteln. Die Gruppierung, die für westliche Analysten als Einheit des russischen Militärgeheimdienstes GRU gilt, hatte mittels Software die Steuerungstechnik von Hochspannungs-Umspannwerken infiltriert und eine Abschaltung für den 8. April geplant, die durch die Entdeckung des Angriffs vereitelt werden konnte.
Die Schadsoftware Industroyer2 – benannte nach der Malware, mit der Sandworm den Stromausfall in der Ukraine 2016 bewirkte – wurde zusammen mit weiteren Tools eingesetzt, sogenannten Wipern für unterschiedliche Betriebssysteme, welche die Spuren verwischen und die Incident Response erschweren sollten.
https://www.sueddeutsche.de/wirtschaft/hacker-sandworm-ukraine-krieg-strom-1.5565893
Dehydriert: Deutsche Behörden legen russischen Darknet-Marktplatz trocken
Statt Waffen und Drogen zeigen die nur über das Darknet erreichbaren Seiten des illegalen Marktplatzes Hydra nur noch Beschlagnahmungsvermerke des BKA und der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main. Die deutschen Behörden hatten gemeinsam die Infrastruktur des berüchtigten russischen Betreibers in Folge einer koordinierten internationalen Strafverfolgungsaktion übernommen.
Dabei wurden auch 543 Bitcoins (umgerechnet rund 23 Millionen Euro) konfisziert, welche aus Geschäften von rund 19.000 registrierten Händleraccounts mit mindestens 17 Millionen Kunden aus der ganzen Welt stammen sollen. Insgesamt schätzen BKA und ZIT den Jahresumsatz von Hydra 2020 auf umgerechnet 1,23 Milliarden Euro, was ihn zum mutmaßlich größten Darknet-Marktplatz der Welt gemacht haben dürfte.
Eine Besonderheit bei Hydra war ein sogenannter „Bitcoin Bank Mixer“, über den Zahlungsströme in Kryptowährungen weiter verschleiert werden konnten. Nun müssen in den nächsten Monaten viele Händler und Kunden mit Anzeigen rechnen.
Sheetfakten statt Schietwetter: Privacy-Shield-Nachfolger kommt voran
Die Verhandlungen um ein Nachfolgeabkommen des im Juli 2020 durch den EuGH gekippten Privacy-Shield-Abkommens sollen weiter vorangekommen sein. Laut EU-Kommission konnte man sich auf ein Framework einigen, das die Kritikpunkte des "Schrems II"-Urteils behandelt. Bisher ist öffentlich nur ein Einseiter ("Fact Sheet") dazu bekannt.
Das Ganze stellt erst den Startpunkt dar in Richtung eines möglichen sogenannten Angemessenheitsbeschlusses nach Artikel 45 DSGVO, der von der Kommission getroffen werden kann, um ein angemessenes Schutzniveau für personenbezogene Daten in einem Drittland zu bestätigen.
https://ec.europa.eu/commission/presscorner/detail/en/ip_22_2087
Not a Notfall: Apple und Facebook geben Nutzerdaten an Fake-Polizisten heraus
Dass Zugriffe von Strafverfolgungsbehörden auch ausarten können, beweist ein anderer „Hack“: Unbekannte konnten zeigen, dass der Zugriff von LEOs (Law Enforcement Organizations) auf Kundendaten zumindest in den USA leicht missbraucht werden kann. Sie konnten mit geringem Aufwand sogenannte Notfall-Anfragen an Apple und die Facebook-Mutter Meta fälschen, sodass Kundendaten auch ohne Gerichts- oder Durchsuchungsbeschluss herausgegeben wurden.
Solche rechtlichen Notfallanfragen sind eigentlich für außergewöhnliche Situationen vorgesehen, etwa wenn Leib und Leben, die nationale Sicherheit oder kritische Infrastrukturen in Gefahr sind. Der Hack zeigt auf, wie solche Ausnahmetatbestände Missbrauch Tür und Tor öffnen können.
Unterschrieben? Übertrieben: Kritische Java-Lücke akzeptiert leere Signaturen
So, wie das zauberhafte übernatürliche Papier („psychic paper“) der fiktiven Figur Dr. Who erlaubte, andere in seinem leeren Personalausweis das sehen zu lassen, was er möchte, hat es eine böse Schwachstelle in Java ermöglicht, digitale Signaturen zu erzeugen, die leer sind und trotzdem als gültig durchgehen. Damit können beliebige Daten signiert werden, ob Dokumente oder WebAuthn/FIDO-Tokens etwa aus Yubikeys.
Ermöglicht wurde das Problem durch einen Fehler in der Übertragung von C++-Code auf nativen Java-Code in Java 15, welcher offensichtlich nicht durch Kryptographie-Fachleute vorgenommen wurde.
Java-Installationen in den Versionen 15-18 sollten dringend mit dem April Critical Patch Update gefixt werden, auch wenn Oracle selbst den CVSS nur mit 7.5 taxiert; andere Experten sehen hier eine glatte 10.
https://neilmadden.blog/2022/04/19/psychic-signatures-in-java/
#Infosec Twitter: Security in 280 Zeichen
Nicht immer braucht es einen zigseitigen Standard, um sinnvolle Security-Maßnahmen zu finden.
„Welche Top 10 Aktivitäten würdest Du einem KMU raten, um sich 2022 gegen Ransomware zu schützen?“ Diese Frage löste auf Twitter eine rege und produktive Diskussion aus. Ein Beispiel in 280 Zeichen (auf Englisch):
1) MFA
2) Getestete Offline-Backups
3) Kein RDP im Internet
4) EDR (Antivirus), wenn möglich gemanagt
5) Kein Passwort-Reuse
6) Admins arbeiten nicht mit ihren Admin-Accounts
7) Finanzprozesse mit Schutz gegen CEO-Fraud
8) Server & OT isolieren
9) Security-Patches automatisch einspielen
10) Robuste Zugriffs-Management-Prozesse
https://twitter.com/jotunvillur/status/1516973840924037120
Langweilige Affen vermisst: Instagram- und Discord-Hack führt zu NFT-Verlust
Bored Apes – die poppigen Bilder gelangweilter Affen – gehören zu den begehrtesten Objekten auf dem „Kunstmarkt“ der NFTs. Sie werden zum Teil für Millionenbeträge auf der Blockchain gehandelt.
Nun wurden einige Liebhaber um ihren virtuell zertifizierten Besitz geprellt. Angreifern gelang es, die Discord- und Instagram-Accounts des „Bored Apes Yacht Clubs“ zu hacken und Besuchern einen Link unterzuschieben, über den ihre Crypto-Wallets leergeräumt werden konnten. Der Link lockte mit dem Versprechen, sich Land in einer Metaverse-Instanz sichern zu können, die später in der Woche starten sollte.
Mindestens 24 „Bored Apes“ und 30 „Mutant Apes“ wurden in andere Wallets entführt, doch scheint der Schaden noch höher zu sein als die öffentlich berichteten 13,7 Millionen US-Dollar.
https://watcher.guru/news/bayc-instagram-and-discord-hacked-over-13-million-in-nfts-stolen
Lesetipps
Bitflipper
Auch Halbleiter können sich irren und eine 1 mit einer 0 verwechseln. Zwar passiert ein solcher Bit Flip nicht besonders häufig, aber gerade die Strahlung in den kosmischen Weiten kann die Chance hierfür erhöhen. Weltraum-IT wird daher besonders robust ausgelegt. Trotzdem gibt es hin und wieder Effekte, die uns an Aliens glauben lassen können.
https://astroengineer.wordpress.com/2010/05/12/voyager-2-has-flipped-its-bit/
Fitbitter
Welche Produkte wichtiger werden, kann man auch immer an der Ökonomie ablesen. Steigt die Relevanz einer Plattform, steigt auch der Preis für 0days auf dieser. Und steigt die Verbreitung eines Produkttyps, werden die Bug-Bounties erhöht. Aktuell geht es etwa für Smart-Watches und IoT bergauf.
https://www.zdnet.com/article/google-increases-its-bug-bounty-for-fitbit-and-nest-security-flaws/
Twitterkitter oder Twitterkiller?
Das meistdebattierte Thema im Netz ist dieser Tage die Übernahme von Twitter durch Elon Musk. Aus Security-Sicht etwa wird debattiert, ob das durch ihn angekündigte Open Sourcing von Twitters Code der Sicherheit nutzt oder ihr einen Bärendienst erweist, wenn verschiedenste Akteure versuchen werden, die Algorithmen zu „gamen“.
https://techcrunch.com/2022/04/26/elon-musk-twitter-privacy/
Der nächste HiSolutions Cybersecurity Digest erscheint Ende Mai 2022.
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!