HiSolutions Cybersecurity Digest November 2024
Liebe Leserinnen und Leser,
viele Themen im Sicherheitsumfeld sind nicht neu, sondern bereits jahrelang aus diversen Diskussionen und Vorträgen bekannt. Trotzdem geben sie uns immer wieder Grund zu aktueller Beschäftigung. In diesem Monat richten wir unseren Blick in die Vergangenheit und schauen auf einige dieser neuen alten Themen, um für die Zukunft gewappnet zu sein.
- Perimeter Defense
- DDoS-Attacke auf das Internet Archive: Ein Schlag gegen die digitale Bewahrung
- Das Passwort in der Excel-Tabelle
- Hackerparagraph: Neue Version, alte Probleme
- Seitenkanal des Monats: Wenn die Handyrückseite vibriert
Viel Spaß beim Lesen und Stöbern. Wie immer ist Ihr Feedback herzlich willkommen.
Mit besten Grüßen
Abraham Söyler
Perimeter Defense
Zuletzt häuften sich erneut herstellerübergreifend die Sicherheitslücken in Firewalls, also gerade in den Geräten, die die Umgebung eigentlich schützen sollten. Die Rolle der Perimeterverteidigung wird nunmehr infrage gestellt und Zero Trust nicht nur als neues Buzzword verwendet, sondern auch als innovative Lösung der Hersteller versprochen.
Das Konzept dahinter ist aber gar nicht so innovativ: Bereits 1994 wurde „Zero Trust“ im Rahmen einer Dissertation definiert. Über die Jahre finden sich viele weitere Talks und Beiträge, die gegen Firewalls als alleinige Sicherheitskonzepte plädieren, aber auch die grundsätzliche Rolle dieser Geräte hinterfragen. Eine eindeutige Definition des Begriffes „Zero Trust“ wird zunehmend durch die Derivationen der Hersteller schwieriger, aber das Konzept ist recht simpel: statt einer geschützten Grenze zwischen dem „bösen“ Internet und dem „guten“ Intranet wird das gesamte Transportmedium als grundsätzlich nicht vertrauenswürdig angesehen. Ein Schutz der Daten findet dann direkt über das Anwendungsprotokoll statt.
Wenngleich der Begriff das Misstrauen gegenüber allen beteiligten Instanzen suggeriert, verbleibt die Notwendigkeit dem Anbieter einer solchen Lösung zu vertrauen. Das heißt wie auch schon heute mit Firewalls ist dessen Reputation entscheidend. Besonders klar machte uns das die Meldung über die Ausnutzung eben dieser besonderen Privilegien durch das X-Ops Team von Sophos, um eine chinesische APT-Gruppe zu verfolgen, indem die Sicherheitsforschenden eigene Malware auf den Geräten hinterlegten.
Wie so oft ist die vorgestellte Lösung also nicht das Allheilmittel, es ist weiterhin wichtig alle Optionen im Blick zu haben und die beste Umsetzung für die eigene Umgebung auszuwählen.
https://www.wired.com/story/sophos-chengdu-china-five-year-hacker-war/
https://news.sophos.com/en-us/2024/10/31/pacific-rim-neutralizing-china-based-threat/
https://www.securityweek.com/security-perimeter-dead/
https://media.ccc.de/v/gpn21-88-perimeter-security-is-dead-get-over-it-
DDoS-Attacke auf das Internet Archive: Ein Schlag gegen die digitale Bewahrung
Anfang Oktober wurde das „Internet Archive“, ein Web-Angebot, das sich zum Ziel gesetzt hat, die flüchtigen Inhalte des World Wide Web durch Archivierung dauerhaft recherchierbar zu machen, durch mehrere Angreifergruppen kompromittiert und war Ziel einer DDoS-Aktion. Neben dem Datenabfluss der dort gespeicherten Zugangsdaten ist jedoch auch eine fehlende Verfügbarkeit sowohl beim Abruf als auch bei der Archivierung der Seiten problematisch. Alle Links in diesem Blog könnten irgendwann nicht mehr funktionieren, wenn die ursprünglichen Zielseiten offline genommen werden oder die Linkstruktur sich ändert (Stichwort: link rot). Mit dem Internet Archive besteht die Möglichkeit, Inhalte permanent zu speichern und das Wissen zu erhalten: ein wichtiger Grundbestandteil unserer Kultur, den wir schützen sollten.
https://infosec.exchange/@briankrebs/113279512399397674
Das Passwort in der Excel-Tabelle
Zu den Wahlen in den USA gab es in den letzten Wochen viele Nachrichten, aber Eine erstaunte Sicherheitsexperten weltweit: Im Bundesstaat Colorado wurde eine Liste mit Details zu den eingesetzten Wahlmaschinen veröffentlicht. Die Liste war jedoch nicht einfach eine Liste, sondern ein Excel-Dokument, das vermutlich initial für den internen Gebrauch gedacht war. Jedenfalls enthielt die Tabelle eine ausgeblendete Seite mit den Administrations-Passwörtern für den Großteil der Geräte. Das Passwort konnte man nur mit direktem Zugang zum Gerät nutzen, und es wurde vermutlich auch noch ein zweites Passwort für die Anmeldung gebraucht. Dennoch wurden nach dem Bekanntwerden die Passwörter aller Geräte geändert.
Welche Lektion kann man aus der Geschichte ziehen? Es fängt mit der Veröffentlichung der Tabelle an, die offensichtlich nicht ausreichend auf versteckte Informationen geprüft wurde. Wissen in Ihrer Organisation alle, worauf sie bei einer solchen Prüfung achten sollten?
Weiterhin sollten die Passwörter auch für den internen Gebrauch nicht in einer Excel-Tabelle gesammelt werden. Hier bieten sich Passwortmanager an. In diesem Fall vermutlich nur solche, die auch mehreren Personen den Zugriff auf die Passwörter gewähren und eine gewisse Verfügbarkeit garantieren, damit am Wahltag die berechtigten Personen auch die Geräte in Betrieb nehmen können.
Kennen in Ihrer Organisation auch die Personen außerhalb der IT die Möglichkeiten und Grenzen von Passwortmanagern? In unseren Tests finden wir auch heute noch regelmäßig Listen mit Zugangsdaten, über die meist nicht-technische Teams ihre Online-Zugänge verwalten.
https://www.coloradosos.gov/pubs/newsRoom/pressReleases/2024/PR20241101Passwords.html
https://www.sos.state.co.us/pubs/elections/FAQs/passwords.html
Hackerparagraph: Neue Version, alte Probleme
2007 wurde der sogenannte „Hackerparagraph“ (§ 202 c StGB) vom Gesetzgeber mit dem Ziel eingeführt, schwere Formen der Computerkriminalität unter Strafe zu stellen. Die Regelung war von Beginn an starker Kritik aus der Community ausgesetzt, weil sie auch Sicherheitsforscher zu kriminalisieren droht. Nun hat das Bundesministerium für Justiz einen Referentenentwurf zur Änderung des besagten Paragraphen vorgelegt, der von der Seite Netzpolitik veröffentlicht wurde. Die AG KRITIS veröffentlichte eine Stellungnahme und zeigt auf, welche Probleme vom Entwurf nicht gelöst werden.
https://dserver.bundestag.de/btd/16/054/1605449.pdf
Seitenkanal des Monats: Wenn die Handy-Rückseite vibriert
In der Öffentlichkeit kann man allzu oft Handygespräche mithören. In der Regel hört man aber nur die eine Hälfte des Gesprächs und muss sich den Rest zusammenreimen. Forscher der Pennsylvania State University haben jetzt gezeigt wie sich auch dieser Teil des Gesprächs mit Standardhardware rekonstruieren lässt. Sie nutzten dafür Radar-Sensoren, wie sie inzwischen in vielen Anwendungsszenarien vom Auto bis zur automatischen Türöffnung zum Einsatz kommen.
Beim Telefonieren wird zwar ein eigener Lautsprecher genutzt, der gezielt das Ohr beschallen soll, aber Smartphones sind sehr kompakt gebaut. Daher breiten sich kaum spürbare Vibrationen von diesem Lautsprecher auf das Gehäuse und vor allem auf die große flache Rückseite aus. Die genutzten Radarsensoren arbeiteten mit 60 bzw. 77 GHz und konnten daher auch diese Bewegungen sehr fein aufzeichnen. Am besten gelang es im Laboraufbau mit einem fest eingespannten Telefon. Hier konnte man nach diversen Nachbearbeitungsschritten das gesprochene Wort heraushören. Es wurden aber auch Versuche mit Probanden gemacht, die einen Meter vom Sensor entfernt saßen und das Telefon in der Hand hielten. Auch hier ließen sich Teile rekonstruieren. Lediglich Personen, die sich beim Telefonieren bewegen, lassen sich aktuell mit der Technik nicht abhören. Wer beim Telefonieren in der Öffentlichkeit also sicher sein will, sollte dabei immer in Bewegung bleiben.
Pressemitteilung der Uni: https://www.psu.edu/news/engineering/story/sensors-can-tap-mobile-vibrations-eavesdrop-remotely-researchers-find
Wissenschaftlicher Artikel: https://www.computer.org/csdl/proceedings-article/sp/2022/131600a995/1FlQPzg7p60
Der nächste HiSolutions Cybersecurity Digest erscheint Mitte Dezember 2024.
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!