Top Thema
Proof of Does Not Work? E-Voting unsicher – „trotz“ Blockchain
Bei demnächst anstehenden Wahlen zum Moskauer Stadtparlament soll ein neues System zum Einsatz kommen, welches eine Wahlbeteiligung via Privatrechner und Smartphone erlaubt. Die Software, welche als erste ihrer Art produktiv eine Blockchain(!) einsetzt, um die Integrität der Daten zu sichern, wurde nun von Wissenschaftlern des französischen nationalen Forschungsinstituts für digitale Wissenschaften INRIA auseinandergenommen. Eine kritische Schwachstelle in der eingesetzten Kryptographie erlaubt es jedem, der an eine Kopie der verschlüsselten Daten gelangt, die Wahlentscheidungen aller teilnehmenden Bürger mit einem handelsüblichen Rechner innerhalb von 20 Minuten zu entschlüsseln. Schuld ist eine schlechte Parameterwahl – zu kurze Schlüssel – bei der verwendeten Variante des El-Gamal-Verschlüsselungsschemas.
Noch ist nicht klar, wie leicht es ist, ausreichend Daten aus der in Teilen genutzten öffentlichen Ethereum-Blockchain zu gewinnen oder aber aus Komponenten des Systems selbst zu stehlen. Die Forschung wirft jedoch grundlegende Fragen auf, die sich alle E-Voting-Systeme, wie sie auch im Westen immer wieder diskutiert werden, stellen lassen müssen:
Selbst wenn „nur“ das Wahlgeheimnis in Gefahr ist, also keine direkte Manipulation des Wahlergebnisses über Schwachstellen möglich wäre – was angesichts des eklatanten handwerklichen Fehlers sowie grundsätzlicher Überlegungen der Grenzen der Security unwahrscheinlich erscheint: Wie hoch ist das Interesse politischer Akteure, über die gewonnenen Informationen mindestens ihren Wahlkampf zu perfektionieren – oder aber sogar politischen Druck auszuüben?
Und vor allem: Wie schwer wiegt der Effizienz- und Coolheits-Gewinn elektronischer Wahlen gegenüber den Risiken? Digitale Wahlen sind noch viel schwerer zu beobachten und zu auditieren als solche auf Papier. Die Wahlbeteiligung ließe sich auch mit anderen Mitteln steigern, wenn dies ernsthaft gewünscht ist.
In einem gewissen Sinn lässt Moskau ein großes Experiment laufen, wenn am 8. September für 12 Stunden das Blockchain-Online-E-Voting freigeschaltet wird. Wir sollten es sehr genau studieren.
https://www.zdnet.com/article/moscows-blockchain-voting-system-cracked-a-month-before-election/
Neuigkeiten
Windows NT FTW!?!! Hackergruppe „Winnti“ hat deutsche Firmen im Visier
Forscher der Ruhr-Uni Bochum haben einen Bericht über die Hackergruppe „Winnti“ veröffentlicht, die aktuell deutsche Unternehmen wie Thyssenkrupp und Bayer angreifen soll. Winnti späht seit mindestens zehn Jahren – laut Berichten aus China – Unternehmen weltweit aus.
Nach Analysen des Teams um Prof. Thorsten Holz vom Horst-Görtz-Institut für IT-Sicherheit seien mindestens ein Dutzend Firmen von Schadcode der Gruppe Winnti betroffen, darunter sechs DAX-Konzerne. Im Fokus stehe besonders die chemische Industrie, aber auch Hersteller von Computerspielen, Telekommunikationskonzerne, Pharmaindustrie und die Halbleiterbranche. Die an den Recherchen beteiligten Reporter des Bayerischen Rundfunks (BR) und des Norddeutschen Rundfunks (NDR) kontaktierten nach eigenen Angaben insgesamt 14 Firmen, um sie auf die mögliche Infektion hinzuweisen. Einige Unternehmen räumten einen entsprechenden Angriff ein, teilweise laufen die Analysen noch.
23 auf einen Streich – Ransomware schlägt koordinierter zu
Kommunen in der westlichen Welt, insbesondere den USA, klagen seit längerem über Ransomware-Angriffe, welche in der Vergangenheit bereits des Öfteren ganze Stadtverwaltungen lahmgelegt haben. Diesmal hat es 23 kleine texanische Städte gleichzeitig getroffen. Angesichts dessen kann nicht mehr von Zufallstreffern gesprochen werden, vielmehr muss von einem koordinierten Angriff ausgegangen werden. Aufgrund des Zwischenfalls wurde die zweithöchste Stufe (“Level 2 Escalated Response”) des dortigen Katastrophenschutzamtes (Department of Emergency Management) ausgelöst.
Auch die HiSolutions-Notfallhotline verzeichnet seit geraumer Zeit eine zunehmende Professionalisierung der Angriffe.
https://www.cnbc.com/2019/08/19/alarm-in-texas-as-23-towns-hit-by-coordinated-ransomware-attack.html
Lieber ver- als entsichert: Jedes fünfte Unternehmen plant Cyberdeckung
Ein Artikel im Handelsblatt gibt einen aktuellen Einblick in den zuletzt stark gewachsenen Markt der Cyberversicherungen. Laut Eco-Verband plant jedes fünfte Unternehmen in Deutschland den Abschluss einer solchen Police, welche nicht nur die Betriebsunterbrechung und die Haftpflicht im Fall eines Datenmissbrauchs übernimmt, sondern im Idealfall auch die Kosten für Krisenmanagement, IT-Forensik, rechtlichen Beistand und Wiederherstellung der Systeme. Der Anbieter Hiscox etwa, der für Risikobewertung, Incident-Response und Krisenmanagement exklusiv mit HiSolutions zusammenarbeitet, hat zwischen 2016 und 2018 weltweit rund 2.000 Schadensfälle reguliert. Teuerstes Ereignis in Deutschland war ein Angriff auf eine Digitalagentur, bei der ein Angreifer eine Woche lang die Systeme lahmgelegt und Besucher von Kundenwebseiten auf Pornoangebote umgeleitet hatte. Neben dem Reputationsschaden beliefen sich die Kosten für Abwehr und Reparaturen damals auf fast drei Millionen Euro.
Hätte, hätte, Supply Chain – Insider-Skandal bei AT&T
Insider-Angriffe sind unbeliebt – insbesondere natürlich bei den (potenziellen) Opfern. Nicht nur wegen der möglichen gravierenden Folgen; vielmehr bereitet schon das Nachdenken und Sprechen darüber Schmerzen, wollen sich viele doch die Vorstellung von Vertrauen und Integrität innerhalb der eigenen Mitarbeiterschaft bewahren. Eine aktuelle Verhaftungswelle beim amerikanischen Mobilfunk- und Kommunikationsriesen AT&T rüttelt nun wach: Eine Reihe von Mitarbeitern wurde hier bestochen, in großem Maßstab SIM-Locks aufzuheben. In diesem Fall stellt das „nur“ einen wirtschaftlichen Schaden für den Anbieter dar. Derselbe Angriffsvektor ließe sich aber genauso leicht für Angriffe auf Daten von Kunden oder Kommunikationsverbindungen nutzen. Dies wirft nicht zuletzt tiefere Fragen in Bezug auf Supply Chain Security auf.
https://www.wired.com/story/att-insiders-bribed-unlock-phones/
Bio != gesund: Millionen biometrische Merkmale ungeschützt im Netz
Interessanterweise gilt in manchen Gebieten Biometrie immer noch als geeignetes Mittel, um Zugriffsschutz auf besonders sensible Bereiche oder Daten zu implementieren. Dass dieser Glaube Gefahren birgt, zeigt eindrucksvoll ein Leak der Fingerabdrücke und Gesichtserkennungsdaten, die für über eine Million Menschen unverschlüsselt und ungehasht im Internet abrufbar waren.
Das web-basierte(!) biometrische Schließsystem Biostar 2 wird von über 5.000 Organisationen in 83 Ländern genutzt, darunter Regierungen, Banken, Rüstungsproduzenten und die Metropolitan Police von Großbritannien. Über eine relativ simple Manipulation einer URL, welche eine Elasticsearch-Datenbank abfragt, ließen sich 23 Gigabyte sensibler Daten abgreifen – inklusive Echtzeit-Informationen über weltweite Zugriffe der Nutzer.
Guiness Book of GDPR: Rekord-Datenschutzbußgelder
Die Webseite „GDPR Enforcement Tracker“ versucht, die Bußgelder zusammenzutragen, die Datenschutzbehörden in der EU nach der DSGVO verhängt haben. Da die Liste aus verschiedenen Gründen notwendigerweise nicht vollständig ist und ständiger Veränderung unterliegt, sind weitere Meldungen willkommen.
Die beiden höchsten Einträge (> 200 Mio. € bzw. > 100 Mio. €) sind übrigens die im letzten Digest berichteten Strafen für British Airways und Marriott International.
http://www.enforcementtracker.com/
GDPArrrrrrrrgh! DSGVO ermöglicht Datenklau
Der Vortrag des Oxforder PhD-Studenten James Pavur auf der Black Hat hat gezeigt, dass man mit Verweis auf die DSGVO per Abfrage der angeblich "eigenen" Informationen viele teils streng private Daten von anderen erschleichen kann. Ein von seiner Freundin erlaubtes Experiment mit ihren Accounts ergab, dass 24 % der Firmen ihm ohne weitere Prüfung ihre sämtlichen persönlichen Daten preisgaben. Immerhin 16 % fragten zunächst weitere Nachweise wie Identitätsinformationen an, welche aber häufig leicht zu fälschen waren. Und 5 bzw. 3 % besonders schlaue Firmen behaupteten, nicht von der DSGVO betroffen zu sein bzw. löschten einfach schnell ihre Accounts. U. a. bekam Pavur ihre Kreditkartennummer und diverse Passwörter frei Haus – sogar von Unternehmen, mit denen sie nie bewusst in Kontakt war.
Der Forscher beklagt diese offensichtlichen Sicherheitslücken in der rechtlichen Implementation der DSGVO sowie die Tatsache, dass die zuständigen Stellen in den Unternehmen häufig nicht über Social Engineering aufgeklärt sind.
https://www.theregister.co.uk/2019/08/09/gdpr_identity_thief/
Kinky Fun for Attackers: Dating Apps leaken Privatestes
Über die Dating-App „3fun“ soll man „lokale kinky, offene Menschen“ finden können. Doch wie Ken Munro vom Unternehmen Pen Test Partners aufzeigte, konnten durch eklatante Sicherheitslücken die privatesten Daten von mehr als 1,5 Millionen Menschen des Gruppen-Dating-Dienstes potenziell extrahiert werden, inklusive Bilder, Präferenzen – und Lokation. Letztere war laut den Forschern bei einigen Nutzern auf das Weiße Haus, den US-Supreme-Court und die Downing Street Nr. 10 gesetzt, was aber nicht zwangsweise der Wahrheit entsprechen muss.
NULL != Nichts. Scherzkeks stellt sich selbst ein Bein
Ein Prank (Scherz) des amerikanischen Hackers „Droogie“, die automatische Kfz-Kennzeichenerkennung zu foppen, ist gewaltig schiefgegangen. Zwar speicherte das System der Behörde DMV sein selbst gewähltes Kennzeichen brav wörtlich als die Zeichenkette „NULL“ ab, die er beantragt und erhalten hatte. Wie er auf der Konferenz Black Hat berichtete, ordnete das System aber in dem Moment, als er tatsächlich einmal „geblitzt“ wurde, ihm automatisch alle Geschwindigkeitsüberschreitungsvergehen zu, die kein korrekt erkanntes Kennzeichen enthielten (Wert (NULL) in der Datenbank). Wie es mit den über 12.000 USD an ihm zugewiesenen Strafen weitergeht, ist noch in Diskussion – ebenso wie die Frage, ob Droogie nun sein Kennzeichen ändern muss.
https://mashable.com/article/dmv-vanity-license-plate-def-con-backfire/?europe=true
Lesetipps
Offene Bücher
Onboarding neuer Mitarbeiter im Bereich der Security ist eine Herausforderung – und einer der wesentlichen Faktoren für eine erfolgreiche, langfristige Zusammenarbeit. Moderne „remote first“ / „remote only“-Firmen wie GitLab sind inzwischen dazu übergegangen, Prozessbeschreibungen und Handbücher öffentlich zu machen. So können sich nicht nur zukünftige Mitarbeiter, Bewerber oder Interessenten ein sehr genaues Bild über die Arbeitsbedingungen machen, sondern die ganze Branche profitieren. Ein wahres Füllhorn von Informationen und Best Practices zu Themen wie Endpoint Security, IAM und Zero Trust bieten etwa folgende Einstiegsseiten:
Onboarding Startseite: https://about.gitlab.com/handbook/general-onboarding/
Onboarding Security: https://gitlab.com/gitlab-com/people-ops/employment/blob/master/.gitlab/issue_templates/onboarding.md#for-security-only
Security Handbook: https://about.gitlab.com/handbook/security/
Tiefe Theorien
Die Security- und DevOps-Vordenkerin Kelly Shortridge setzt in ihrem neusten Blogeintrag auf ihren jüngsten Black Hat-Vortrag „Controlled Chaos – The Inevitable Marriage of DevOps & Security“ noch einmal ein Schippchen drauf: In „When Prospect Theory Meets Chaos Engineering“ verbindet sie virtuos Psychologie, Chaostheorie und Security, um einen Weg zu beschreiben, wie eine kulturelle Veränderung in Richtung „Dinge werden gehackt werden“ (things will be pwned) helfen kann, angemessenere Risikoentscheidungen zu treffen.
https://swagitda.com/blog/posts/when-prospect-theory-meets-chaos-engineering/
Ausgeseitete Kampfzonen
Hacker-Zines (Fan-/Liebhaberzeitschriften) sind tot? Keineswegs, wie eine neue kostenlose Publikation zeigt, die der bei Google in Lohn und Brot stehende polnische Sicherheitsforscher Gynvael Coldwind und Friends herausgeben. Das besondere bei „Paged Out“ ist, dass die Artikel zu Themen wie „programming (especially programming tricks!), hacking, security hacking, retro computers, modern computers, electronics, demoscene, and other similar topics“ jeweils nur eine Seite lang sind. Ideale Pausenlektüre!
--------------------------------------------------------------
Der nächste HiSolutions Cybersecurity Digest erscheint Mitte September 2019
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!