Top Thema
Die Macht der OSINT: Geheimdienste enttarnen leichtgemacht
Man kann politisch unterschiedlich dazu stehen, aber eines ist nicht zu bestreiten: Die Forschungsarbeit der Security-Researcherin Lilith Wittmann, in der mit einfachen Mitteln mutmaßlich zwei Außenstellen des Bundesamts für Verfassungsschutz enttarnt wurden, zeigt eindrücklich, wie mächtig „OSINT“ geworden ist.
Open Source Intelligence – die geschickte Nutzung und Verknüpfung öffentlich verfügbarer Informationen – war seit jeher ein Mittel der Geheimdienste. Durch die immer weiter voranschreitende Digitalisierung stehen jedoch auch Einzelpersonen mit etwas Geschick, Neugier und einem Internetzugang schier endlose Recherchemöglichkeiten zur Verfügung. Gepaart mit etwas Durchhaltevermögen und einer kleiner Prise Frechheit – wer hätte damit gerechnet, dass jemand einfach mal zu Fuß vorbeischauen und Klingelschilder vergleichen könnte? – ist schnell ein Niveau erreicht, das die Tarnfähigkeiten vieler Behörden übersteigt. Einfach weil es bisher ausreichte, ein paar Decknamen, Postfächer und tote Mailboxen vorzuhalten.
In der neuen Welt, in der Google-Fu, Suche in IP-Datenbanken und Crowd-Sourcing von Recherchen langsam zu Allgemeinbildung werden, müssen sich die Dienste zukünftig deutlich mehr einfallen lassen, um Deckmäntel aufrechtzuerhalten. Oder umdenken. Auch in der Security wurde mit Kerckhoffs‘ Prinzip Ende des 19. Jahrhunderts die Security through obscurity aufgegeben.
Ungelöst ist insbesondere die Herausforderung der physischen Verfolgung durch funkende Mini-Devices (Tags): Die Apple AirTags, mit denen Wittmann eine Postsendung bis ins Bundesamt für Verfassungsschutz verfolgen konnte, stellen auch an anderen Stellen eine Gefahr für Privatsphäre und Safety dar, lassen sie doch Menschen, Waren und Fahrzeuge für kleinstes Geld unbemerkt tracken. Und nicht alle haben die Mittel – wie theoretisch ein Geheimdienst –, um Scanner zu betreiben, die diese detektieren können.
Neuigkeiten
Onlinezugangssicherheitsverordnung: Pentestpflicht durch OZG
Das sogenannte Onlinezugangsgesetz (OZG) will nicht nur eine Verbesserung des Onlinezugangs zu Verwaltungsleistungen erreichen, sondern gleichzeitig auch deren Security erhöhen. Die neue IT-Sicherheitsverordnung Portalverbund (ITSiV-PV) des BMI sieht daher regelmäßige Webchecks und Pentests durch BSI-zertifizierte IT-Sicherheitsdienstleister wie HiSolutions vor. Das trifft Behörden von Bund und Ländern, und zwar sämtliche Dienste mit hohem oder sehr hohem Schutzbedarf in mindestens einem Schutzziel sowie alle Komponenten, die unmittelbar mit dem Internet verbunden sind. Auch nach größeren Änderungen werden Überprüfungen fällig.
https://www.buzer.de/ITSiV-PV.htm
Lauwarmer Krieg: Cyberangriffe gegen die Ukraine
Webseiten der ukrainischen Regierung sind Ziel eines Cyberangriffs geworden. Sie wurden zum Teil mit politischen Botschaften verschandelt („Defacement“). Zudem wurden kritische Infrastrukturen des Landes von der Malware WhisperGate befallen. Unter anderem die Log4j-Schwachstelle und eine Schwachstelle in October CMS wurden benutzt, um in die Systeme einzudringen. Die Malware ist keine Ransomware, denn sie hat keinen Wiederherstellungsmechanismus und ist somit auf Zerstörung und Sabotage ausgelegt.
https://www.securityweek.com/ukraine-reports-massive-cyber-attack-government-websites
We RGood: Schlüsselmitglieder der Hackergruppe REvil verhaftet
Trotz der politischen Unruhen zwischen Russland und den USA folgte Russland der Bitte Washingtons und verhaftete 14 Schlüsselmitglieder der Hackergruppe REvil. Dabei wurden insgesamt umgerechnet rund 6,8 Millionen US-Dollar in verschiedenen Währungen beschlagnahmt sowie diverse Cryptowallets von REvil. Abzuwarten bleibt, ob und wann REvil unter neuem Namen wieder aktiv wird.
Politische Ransomware: Belarussische Staatsbahn erpresst
Prodemokratische Hacktivisten geben an, die belarussische Staatsbahn mit Ransomware infiziert zu haben. Sie wollen damit kein Lösegeld erpressen, sondern die Freilassung politischer Gefangener der Opposition erzwingen und die Logistik für russische Truppen behindern. Der Schädling soll so beschaffen sein, dass Safety-kritische Funktionen nicht beeinträchtigt werden.
https://gizmodo.com/hackers-claim-strike-on-belarus-railway-intended-to-dis-1848411726
Rotes im Fadenkreuz: Schutzbedürftige Daten Schutzbedürftiger
Unbekannte haben in einem Cyberangriff auf das Internationale Komitee des Roten Kreuzes (IKRK) die Daten von über 515.000 Menschen gestohlen. Dabei handelt es sich um „höchst schutzbedürftige“ Personen, also etwa Vermisste, Inhaftierte oder Menschen, die durch Konflikte, Migration oder Katastrophen von ihren Familien getrennt wurden. Die Daten stammen von rund 60 nationalen Dienststellen des Roten Kreuzes und Roten Halbmondes weltweit. Das Motiv ist bisher unklar.
www.zdf.de/nachrichten/panorama/cyberattacke-rotes-kreuz-100.html (Seite offline)
Kein Allheilmittel: Zweifaktorauthentifizierung umgangen
Ein Bug beim Cloud-Service-Provider Box ermöglichte es, die Multi-Faktor-Authentifizierung zu umgehen. Erfolgreiche Angreifer konnten die Zugangsdaten (SMS-Codes) stehlen, ohne Zugriff auf das Handy des Opfers zu benötigen. Der Fehler ist inzwischen behoben.
https://thehackernews.com/2022/01/researchers-bypass-sms-based-multi.html
Wurzelkasten zu, Licht aus: Rootkit für Fernwartung iLO
Die Fernwartungstechnik "Integrated Lights-Out" (iLO) wird benutzt, um Server fernzusteuern oder Software upzudaten. Diese Funktion wurde von einer Malware ausgenutzt, um regelmäßig die Datenträger des Servers zu löschen. Weiterhin hat die Malware Persistenz, da sie ein Update der iLO-Firmware verhindert, aber einen Erfolg zurückmeldet. Hierzu wird eine falsche UI verwendet, an der die Malware erkannt werden kann. Die ausgenutzte Schwachstelle wurde schon 2017 gemeldet, aber damals anscheinend nicht ausreichend behoben.
https://www.heise.de/news/Rootkit-schluepft-durch-Luecke-in-HPEs-Fernwartung-iLO-6315714.html
Lese- und Medientipps
Wie man's macht
Guru Ross Anderson veröffentlicht derzeit nach und nach Lektionen als YouTube-Videos für einen Uni-Kurs basierend auf dem Klassiker "Security Engineering". Wer also schon immer mal das Buch lesen wollte, für den aber Videos oder Podcasts das bessere Format sind, für den könnte das hier etwas sein.
https://www.lightbluetouchpaper.org/2022/01/19/security-engineering-course/
Was funktioniert
Es ist nicht häufig, dass Security von Wirtschaftsunternehmen als harte Wissenschaft betrieben wird. Umso bemerkenswerter (modulo Marketing-Tam-Tam) ist, was Cisco unter dem Stichwort „We know what works“ in Doppelblindstudien über effektive Sicherheitsmaßnahmen herausgefunden hat.
https://blogs.cisco.com/security/presenting-the-security-outcomes-study-volume-2
Wo es wie viel weh tut
„Cybernomics“ heißt das Forschungsfeld an der Schnittstelle zwischen Cybersicherheit und Ökonomie, das Keyun Ruan 2016 gegründet hat. Neben einer Theorie der Bewertung digitaler Assets definiert es das Pärchen Bitmort und Hekla als Maßeinheiten für das Cyberrisiko.
https://www.youtube.com/watch?v=_P3RbnEKY0g
Der nächste HiSolutions Cybersecurity Digest erscheint Ende Februar 2022.
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!