Liebe Leserinnen, liebe Leser,
im Juli haben alle über den Tag gesprochen, an dem die IT in vielen Teilen der Welt plötzlich stehen blieb. Dabei sind noch viele andere spannende Dinge passiert, die durch den CrowdStrike-Vorfall vielleicht etwas untergegangen sind. Diese Themen greifen wir in dieser Ausgabe auf:
Wir wünschen Ihnen viel Spaß beim Lesen. Wie immer ist Ihr Feedback herzlich willkommen.
Mit besten Grüßen
Jörg Schneider
Das Sicherheitsunternehmen KnowB4 hat einen Fall öffentlich gemacht, bei dem sich ein neuer Mitarbeiter als nordkoreanischer Spion entpuppte. Enttarnt wurde er gleich am ersten Tag, nachdem er als Remote-Arbeiter zum ersten Mal seinen zugesandten Rechner startete und sofort eine Malware installieren wollte. Im Nachhinein fielen dann auch weitere Ungereimtheiten bei der Bewerbung auf, die das Sicherheitsunternehmen zur Warnung anderer Unternehmen in seinem Blog beschreibt.
Im Juni hatte das Wall Street Journal bereits ausführlicher über diese Gefahr berichtet und verschiedene andere Betroffene zitiert. Genutzt werden dabei sogenannte Laptop-Farmen, die die Rechner der vermeintlichen Homeoffice-Arbeitenden einsammeln, zeitlich passend in Betrieb nehmen und mit einer Fernsteuerungslösung ausstatten, damit sich anschließend mehrere Personen die Aufgaben des vorgeblichen Mitarbeitenden teilen können und natürlich gleichzeitig ihre eigenen Ziele verfolgen.
Diese Angriffsart funktioniert “dank“ standardisierter Bewerbungsprozesse, die komplett remote ablaufen und der Tatsachen, dass auch zur Arbeitsaufnahme kein persönliches Treffen vorgesehen ist. Die vermeintlichen Mitarbeitenden existieren nur als KI-generierte Lebensläufe und als manipulierte Bilder.
Wenn Sie jetzt an Ihre Abläufe bei Bewerbungen und die ersten Wochen für neue Mitarbeitende denken: An welcher Stelle würde Ihnen ein Angriffsversuch dieser Art auffallen?
https://blog.knowbe4.com/how-a-north-korean-fake-it-worker-tried-to-infiltrate-us
Nicht mehr abends an der Rezeption anstehen und auf den Schlüssel warten, sondern direkt zum Zimmer gehen und es mit dem Smartphone öffnen – das verspricht die Lösung von straiv. Unseren Kollegen fiel jedoch auf, dass sie mit dieser Technik und etwas Raffinesse nicht nur ihre eigene Tür öffnen konnten. Der Hersteller reagierte auf unsere Meldung schnell und schloss die Lücke auf seinen Servern, damit man in allen 3.000 betroffenen Hotels wieder beruhigt schlafen kann.
In einem Blogbeitrag stellen wir die technischen Details vor und zeigen, wie man das Risiko für solche Fehler bei der Anwendungsentwicklung reduzieren kann.
https://research.hisolutions.com/2024/07/schwachstelle-oeffnet-tueren-in-mehr-als-3-000-hotels/
Cloud-Anbieter stellen immer wieder neue Funktionen vor. Da ist es nur verständlich, dass gleichzeitig ältere, weniger genutzte Funktionen deaktiviert werden. Bei Google passiert dies sogar so regelmäßig, dass es eigene Webseiten gibt, die von Google abgekündigte Dienste sammeln.
Jetzt trifft es Googles URL-Shortener, der ab August 2025 die Besucher nicht mehr zu der gewünschten Zielseite leiten wird. Viele Besucher gibt es wohl auch nicht mehr, denn bereits seit sechs Jahren können hier keine neuen Kurzlinks mehr angelegt werden.
Dennoch hat die Ankündigung von Google für Aufregung gesorgt, da der Dienst in seiner Blütezeit sehr beliebt war und auch jetzt noch viele Dokumente, Forenposts und Tickets solche Links enthalten. Jonathan Corbet hat beispielsweise mehr als 19.000 betroffene Nachrichten in den Linux-Kernelmailinglisten gefunden. Viele davon sind vermutlich aktuell nicht relevant. Aber in einigen wird der fragliche Link nötig sein, um Entscheidungen von damals nachzuvollziehen.
Das Problem könnte auch in unternehmensinternen Dokumenten und Tickets vorhanden sein, die zur Dokumentation von Entscheidungen archiviert wurden.
Abkündigung: https://developers.googleblog.com/en/google-url-shortener-links-will-no-longer-be-available/
Diskussion zum Linux-Kernel: https://social.kernel.org/objects/39125e2b-0997-4c90-86f9-b16229bf4b52
Friedhof der abgekündigten Google-Dienste: https://killedbygoogle.com/
Fügt man der Anmeldung mit Passwort noch einen zweiten unabhängigen Faktor (2FA) hinzu, kann man die klassischen Risiken von Passwörtern reduzieren. Durch die zusätzlichen Funktionen und Systeme erhöht man aber gleichzeitig auch die Angriffsoberfläche. Zwei Vorfälle in den letzten Wochen haben das wieder gezeigt:
Der Chaos Computer Club (CCC) hatte eine Datenbank des Anbieters IdentifyMobile mit vielen SMS gefunden, die 2FA-Token und Einmalpasswörter enthielten. Neben den Telefonnummern der Empfänger und Hinweisen auf die genutzten Dienste als Absender enthielten die Nachrichten teilweise auch Kontext – beispielsweise Kontonummern und Beträge bei Onlinebanking-TANs. Der betroffene Dienstleister ist einer der großen Anbieter mit über 200 nutzenden Firmen, die von der Lücke betroffen waren. Bei fast allen 200 Millionen SMS in der Datenbank waren die Token vermutlich abgelaufen – aber ein zielgerichteter Angreifender hätte die Datenbank auch aktiv beobachten können. Inzwischen ist der Zugriff nicht mehr möglich.
Zuvor wurde bekannt, dass wegen eines Fehlers die Telefonnummern der Nutzenden der beliebten 2FA-App Authy bestimmt werden konnten. Die Telefonnummer ist für die Anmeldung kein kritisches Geheimnis. Mit dem Wissen lassen sich jedoch leichter zielgerichtete Phishingkampagnen gegen die Nutzenden starten.
Wenn beide Faktoren stark und unabhängig sind, führt ein Sicherheitsproblem bei einem der Faktoren nicht direkt zu einer erfolgreichen Anmeldung. Im ersten Fall hätten Angreifende also zusätzlich noch die Passwörter der Nutzenden, deren SMS sie sahen, kennen müssen. Daher ist es auch nach der Einführung von 2FA wichtig, für jeden der Faktoren weiterhin einen hohen Schutz zu organisieren statt zu sagen: „Die Passwörter können jetzt einfacher werden, wir haben ja zusätzlich die 2FA-App“.
https://www.ccc.de/en/updates/2024/2fa-sms
Richtfunk kommt oft bei der Anbindung von entfernten Standorten ohne Tiefbauarbeiten zum Einsatz. Moderne Systeme können dabei die Strahlen so stark bündeln, dass sich hierfür der Begriff „Pencil Beam“ eingebürgert hat. Das hat viele Vorteile für die Übertragung, aus Sicht der Angreifenden aber macht es das Abhören sehr schwer. Gut mithören kann man nur hoch in der Luft, möglichst nah an der Sichtlinie zwischen den Antennen in der Mitte des Strahls. Fliegt man nun eine Drohne in den Strahl, könnte man zwar mithören, würde aber schnell auffallen, da das Signal beim Empfänger gestört würde. Mit MetaFly wurde beim IEEE Symposium on Security and Privacy eine Abhörtechnik vorgeschlagen, bei der eine Art halbdurchlässiger Spiegel aus Metamaterial mit einer Drohne in den Strahl geflogen wird. Der größte Teil des Signals kommt dann weiter beim Empfänger an und nur ein kleiner Teil wird an eine Abhörstation ausgeleitet. Für die Umsetzung dieser recht einfach klingenden Idee waren dann aber viele Detailfragen zu klären, wie zum Beispiel zur Steuerung der Drohne, um den Spiegel dauerhaft in den Strahl zu halten, ohne selbst hineinzufliegen, oder zum Umgang mit Vibrationen am Spiegel. Die Forschenden fanden Antworten und konnten im Experiment den Angriff in einer städtischen Umgebung nachstellen.
Pressemeldung: news.rice.edu/news/2024/discovery-highlights-critical-oversight-perceived-security-wireless-networks
Wissenschaftlicher Artikel: https://www.computer.org/csdl/proceedings-article/sp/2024/313000a151/1Ub2491z20w
Der nächste HiSolutions Cybersecurity Digest erscheint Mitte September 2024.
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!