Liebe Leserinnen, liebe Leser,

ich hoffe, Sie haben Ihr Mailpostfach nach dem Urlaub nicht überfüllt vorgefunden und sind nicht schon wieder urlaubsreif. Zur Ablenkung vom Office-Alltag haben wir wieder ein paar spannende Dinge aus der Welt der Informationssicherheit für Sie zusammengestellt, die in den letzten Wochen passiert sind:

• Sind 17 Jahre noch Echtzeit? 
• Das Leben der Software – jetzt auch BSI-reguliert
• Kein Ton von der Magnetplatte
• Altbekanntes kombiniert kann erschreckende Auswirkungen haben
• Seitenkanal des Monats: Der Sound des Displays

Wir wünschen Ihnen viel Spaß beim Lesen. Wie immer ist Ihr Feedback herzlich willkommen. 

Mit besten Grüßen
Jörg Schneider

Sind 17 Jahre noch Echtzeit? 

Linux und Echtzeit – für einige ist das ein Widerspruch, während andere schon seit Jahren die Real-Time-Linux-Patches nutzen. Hintergrund ist, dass der Hauptzweig des Linux-Kernel über die Jahre zwar viele Änderungen für Echtzeitfähigkeit erfahren hat, aber ohne die separat gepflegte Patch-Sammlung harte Echtzeitanforderungen nicht garantiert werden konnten. Im September ist jetzt ein großer Teil dieser Patches in den Hauptzweig übernommen worden und damit ein viele Jahre währender Prozess nah ans Ziel gekommen. 

Es gibt allerdings immer noch Spezialfälle, in denen nicht garantiert werden kann, dass der Kernel alles stehen und liegen lässt, um auf ein Ereignis innerhalb der vorgegebenen Zeit reagieren zu können. Es stehen also noch weitere Entwicklungsaufwände an, die vor allem durch eine fehlende Finanzierung ausgebremst werden. Denn obwohl schon jetzt viele Hersteller Echtzeit-Linux in ihren Geräten nutzen, kommt nicht genug Geld bei den Entwicklern an.

Diese Diskrepanz zwischen der Wertschöpfung der Nutzer von Open-Source-Software und der Finanzierung der Entwicklung ist eine grundsätzliche Herausforderung für das Open-Source-Ökosystem. Mit Stiftungen wie der Linux Fundation wird dagegen gesteuert. Mit dem Sovereign Tech Fund gibt es in Deutschland sogar ein staatlich finanziertes Unterstützungsangebot, das auch die Verbesserung der Sicherheit zum Ziel hat. Dabei gibt es verschiedene Angebote von Bug-Bounty-Programmen bis zu Stipendien für Entwickler. 

Die „Contribute Back Challenge“ richtet sich an Open-Source-Software einsetzende Firmen, die ihren Mitarbeitern Zeit für die Weiterentwicklung einräumen. Das lohnt sich natürlich vor allem, wenn man ohnehin eine eigene Entwicklungsabteilung unterhält. Aber unabhängig von der Challenge kann man auch schon mit kleinen Beiträgen etwas zurückgeben: vom Ausprobieren von Testversionen bis hin zur aktiven Teilnahme in den Online-Communities. 

Haben Sie sich schon einmal in Ihrem Unternehmen umgeschaut, ob Sie in der Open-Source-Community aktive Kollegen haben?

https://www.heise.de/news/Linux-Zentrale-Echtzeit-Patches-nach-17-Jahren-integriert-6198893.html

https://www.zdnet.com/article/20-years-later-real-time-linux-makes-it-to-the-kernel-really/

https://www.sovereigntechfund.de/programs

P.S.: Eine Reaktion nach 17 Jahren kann übrigens nach der formalen Definition Echtzeit sein, etwa wenn die garantierte Reaktionszeit 20 Jahre war

Das Leben der Software – jetzt auch BSI-reguliert

Das BSI hat in der gerade veröffentlichten technischen Richtlinie TR-03185 beschrieben, wie man in allen Phasen des Lebenszyklus einer Software Sicherheit berücksichtigen kann. Ähnlich wie bei den schon länger existierenden Leitfäden für die Entwicklung von Webanwendungen, teilt sich die Richtlinie in einen Teil mit der Perspektive des Software-Anwenders und einen Teil mit Fokus auf den Software-Produzenten auf. In diesem Fall ist mit Anwender allerdings nicht die tatsächlich nutzende Institution gemeint ist, sondern Hersteller, die auch andere Software in ihre Produkte integrieren oder diese nutzen. Open-Source-Software wurde dabei ausgeklammert, unter anderem wegen der abweichenden Entwickler-Nutzer-Beziehungen.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03185/BSI-TR-03185.html

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/webanwendungen_node.html

Kein Ton von der Magnetplatte

Die Datenrettungsfirma Iron Mountain unterstützt die Musikindustrie dabei, Rohfassungen von Musikaufnahmen zu retten. Interessanterweise gab es in der Branche Anfang dieses Jahrhunderts den Trend weg von Bandaufnahmen hin zu digital auf Festplatten gespeicherten Aufnahmen. Viele Originalfassungen wurden also auf Festplatten archiviert – und jetzt funktioniert jede fünfte davon nicht mehr, so die Beobachtung von Iron Mountain. In der IT werden Festplatten eigentlich nicht als Langzeitarchiv genutzt, aber die günstigen Preise können verführerisch wirken, eine Platte einfach in den Schrank zu legen – etwa die mit der letzten funktionieren Installation einer historischen Workstation, die schon seit 10 Jahren abgelöst werden soll?  

https://www.tomshardware.com/pc-components/storage/twenty-percent-of-hard-drives-used-for-long-term-music-storage-in-the-90s-have-failed

Altbekanntes kombiniert kann erschreckende Auswirkungen haben

Die Kollegen von watchTowr Labs haben in einem amüsant zu lesenden Artikel ihre Erfahrungen aufgeschrieben, wie sie versuchten, eine quasi nicht ausnutzbare Lücke auszunutzen, und dann über mehrere Schritte am Ende gültige TLS-Zertifikate für fremde Domains signiert bekamen. Die dabei ausgenutzten Lücken klingen im Einzelnen nicht sonderlich spektakulär. Beispielsweise ist da eine Command-Line-Injection, die aber auf WHOIS-Daten beruht – die wiederum nur schwer zu manipulieren sind. Oder ein früher genutzter Domainname eines Domainverwalters, der inzwischen für jeden zu registrieren war. Insgesamt ist es aber eine sehr plastische Beschreibung der verschlungenen Wege, die eine erfolgreiche Ausnutzung nehmen kann.

https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/

Seitenkanal des Monats: Der Sound des Displays

Kann man Bilder hören? Der Forscher Mordechai Guri kann es – und zeigte, wie er durch die Ausgabe von geschickt gewählten Pixelmustern gezielt Töne mit einem Display erzeugte. Im Test konnte er die Töne in bis zu 2,5m Entfernung aufzeichnen. Dafür nutzte er die leisen Töne aus, die die elektronischen Komponenten innerhalb des Displays beim Schalten von sich geben – und verstärkte sie durch geschicktes gleichzeitiges Umschalten vieler Pixel. Nutzen könnte man den Angriff etwa, um Daten aus einem vorher kompromittierten System auszuleiten, das nach der Kompromittierung nur noch ohne Netz-Zugang verwendet wird („air gapped“). Die im Test genutzten Pixelmuster sind jedoch sehr auffällig – der Angreifer müsste also einen unbeobachteten Moment ausnutzen oder den Angriff durch subtilere Muster verfeinern.

https://www.golem.de/news/air-gapped-systeme-malware-nutzt-lcd-pixelmuster-fuer-datenausleitung-per-schall-2409-188883.html

Kompetenztraining Stabsarbeit | 16.10. | Berlin

Die Mitglieder eines Krisenstabs sehen sich in Krisen­lagen besonderen und zum Teil individuellen Heraus­forderungen gegenüber, die im Arbeits­alltag selten anzutreffen sind. Unklare Informations­lagen, hohes Kommunikations­aufkommen und enormer Entscheidungs­druck sind dabei ebenso typische Gegebenheiten wie das anspruchsvolle Zusammen­arbeiten verschiedener Persönlich­keiten in einer besonderen Bewältigungs­organisation. Diese Umstände erfordern neben organisatorischen Maßnahmen des Krisen­managements auch gesonderte Kompetenzen der Stabs­mitglieder. Ebendiese lassen sich schulen, indem die Funktions­träger aus ihrem Alltag herausgezogen und in Krisen­lagen versetzt werden. So können sie wertvolle, praxisnahe Erfahrungen sammeln und sich auf den konkreten Ereignis­fall vorbereiten.

In der Veranstaltung „Kompetenztraining Stabsarbeit“ kommen die Funktionsträger besonderer Aufbauorganisationen verschiedener Institutionen zusammen, um unabhängig vom eigenen beruflichen Umfeld die persönlichen Fähigkeiten zu verbessern.

https://www.hisolutions.com/security-consulting/academy#c12565