Sicherheitslücke – Datenschutz

Hilferuf nach sicherer Software – Ursachen bekämpfen statt gegen Symptome wie Lösegeldzahlungen für Ransomware vorzugehen

Cyberangriffe mit Verschlüsselungstrojanern häufen sich in den letzten Jahren, neben privatwirtschaftlichen Unternehmen sind zunehmend öffentliche Einrichtungen wie Behörden und Universitäten betroffen. Seit dem Beginn des Ukrainekrieges sind die Cyberattacken mit Ransomware aggressiver geworden, so dass sowohl vorbeugende als auch lindernde Maßnahmen nun zwingend geboten sind und diskutiert werden – sowohl in der IT selbst als auch bei der Gesetzgebung.

Statt der Symptome sollten die Ursachen im Fokus stehen:

Heutige Software und Systeme sind sicherheitstechnisch löchrig wie ein Schweizer Käse.

Ziel sollte Sicherheit und Verlässlichkeit sein.

Jede Komponente sollte überprüfbar sein.

Ein offener Ransomletter-Brief zieht auch im universitären Umfeld seine Kreise. In diesem wird die Politik aufgefordert, Lösegeldzahlungen und Versicherungen, die diese abdecken, gesetzlich zu reglementieren, so dass die Ransomwaregangs Lösegelder nicht mehr so leicht eintreiben können und ihnen damit das Wasser abgegraben werden kann. Dass Lösegeldzahlungen nicht der richtige Weg sind, das Problem in den Begriff zu bekommen, liegt auf der Hand.

Jedoch wird sich das Ransomware-Geschäftsmodell durch ein Verbot von Lösegeldzahlungen nicht aushebeln lassen, denn:

einerseits werden angegriffene Unternehmen trotzdem Wege finden, Lösegeldzahlungen vorzunehmen, wenn sie dieses wollen und
andererseits der Schaden durch eine Zerstörung oder Weitergabe/Verkauf erbeuteter Daten an Dritte möglicherweise noch größer wäre

Insofern ist der Ansatz des offenen Briefs nicht zielführend. Im Gegenteil – wenn die Ursachen nicht beseitigt werden, wird es immer schlimmer. IT-Systeme werden von vielen Akteuren angegriffen, sowohl Geheimdienste als auch etliche -teilweise sogar staatlich beauftragte- Hacker tummeln sich darin.

Im Beitrag beschreiben wir den typischen Verlauf eines Ransomware-Angriffs und diskutieren, was Software sicherer machen könnte.

„Hilferuf nach sicherer Software – Ursachen bekämpfen statt gegen Symptome wie Lösegeldzahlungen für Ransomware vorzugehen“ weiterlesen

Sicherheitslücke: 70.000 Datensätze von Nutzer*innen der Unibibliothek Leipzig waren online abrufbar

Eine Webanwendung gab zwei Wochen lang Zugriff auf den Datenbestand, der Namen, E-Mail-Adressen und Bibliothekskarten-Nummer von 70.000 Nutzer*innen enthielt.

Erstaunlicherweise war die Zahl an Datensätzen deutlich höher als die Zahl aktiver Nutzer*innen. Offenbar waren auch inaktive Nutzer*innen betroffen, so dass nunmehr sowohl an der Verbesserung der IT-Sicherheit als auch am Löschkonzept gearbeitet wird.

Weitere Informationen

Uni Leipzig – Sicherheitslücke in der Universitätsbibliothek
heise.de – Unibibliothek Leipzig meldet Sicherheitslücke (Hinweis: Die Webseite bindet Aktivitätenverfolgung und weitere externe Dienste ein)

Cyber(un)sicherheit: Strategie von der Bundesregierung beschlossen

Die vom Innenministerium erarbeitete Strategie wurde vielfach kritisiert – nun wird die Aufweichung der Cybersicherheit zum Regierungsprogramm.

Statt für eine Erhöhung der Cybersicherheit durch entsprechende Gesetze mit strafbewehrten Auflagen zu sorgen, sollen Geräte und Software löchrig bleiben wie ein Schweizer Käse.

Kein Gerät ist sicher.
Jede*r ist betroffen.

Letztlich zeigt die Strategie, wohin die Reise geht: Überwachung und Kontrolle. Es wurden bereits etliche Gesetze beschlossen und weitere Gesetzesinitiativen sind auf dem Weg, sowohl in Deutschland als auch international (siehe den Blogbeitrag dazu).

Eine weitere Kritik an der Strategie: Die Weichen wurden noch vor der Bundestagswahl gestellt, statt der neuen Bundesregierung einen Gestaltungsspielraum einzuräumen.

Aus dem Inhalt der Cyber(un)sicherheitsstrategie 2021:

Ende-zu-Ende-Verschlüsselung aushöhlen: Hintertüren für Behörden – Anbieter sollen Klartext-Zugang ermöglichen.
Sicherheitslücken ausnutzen: Legaler Angriff über 0-day-Exploits und andere Schwachstellen; Hacking-Auftrag für das BSI und das neu geschaffene ZITiS (Zentrale Stelle für Informationstechnik im Sicherheitsbereich).
Staatstrojaner für alle: neben den Geheimdiensten dürfen Polizei und Zoll diese nutzen (das BKA hat bereits 2019 den Staatstrojaner Pegasus der NSO Group für eine Million € beschafft).

„Cyber(un)sicherheit: Strategie von der Bundesregierung beschlossen“ weiterlesen

Braktooth: Bluetooth-Sicherheitslücken bei etlichen Geräten und im Internet der Dinge (IoT)

Notebooks, Smartphones und viele andere Bluetooth-fähigen Geräte sind betroffen (alle Bluetooth-Versionen 3.0 – 5.2). Wenn Bluetooth aktiviert und ein Angreifer in Funkreichweite ist, kann er das Gerät zum Absturz bringen und im Einzelfall auch Schadcode ausführen.

Falls der Bluetooth-Kopfhörer oder die Smartwatch nicht mehr reagiert, könnte das der Grund dafür sein :-(.

Updates sind noch nicht verfügbar und teilweise von den Herstellern auch nicht vorgesehen.

Updates für Geräte im Internet der Dinge / Internet of Things (IoT)

Zudem stellt sich bei vielen Geräten des Internets der Dinge (IoT) die Frage, ob und wie diese überhaupt gepatched werden können. Über Bluetooth oder WLAN/Mobiles Internet Updates einzuspielen erscheint nicht als geeigneter Weg, aber nicht jedes Gerät es lässt sich über USB verbinden und bei der Vielzahl an Geräten auch kein gangbarer Weg.

Problematisch ist zudem, dass es sich um sogenannte Firmware-Updates handelt (auch Treiber genannt), die für die oft separate Bluetooth-Komponente eines Gerätes installiert werden müssen.

Bislang hat sich noch kein sicheres Verfahren für Updates etabliert. Es zeichnet sich aber bereits jetzt ab, dass Updates „over-the-air (OTA)“ umgesetzt werden, d.h. sie werden direkt über WLAN/Mobiles Internet auf die Geräte aufgespielt. Dabei ist es wichtig, dass keine Schadsoftware auf die Geräte kommt – letztlich handelt es sich bei solch einem Update auch um Remote Code Execution, die gegen Mißbrauch abgesichert werden sollte.

Mittlerweile bieten zwar Cloud-Anbieter wie AWS und Azure Tools für IoT Device Management an, ob diese sicher genug sind, kann hinterfragt werden und hängt nicht zuletzt von den Fähigkeiten und implementierten Schutzmechanismen der IoT Devices ab.

In der Working Group Software Updates for Internet of Things (SUIT) der IEEE wird an Empfehlungen bis hin zu Standards gearbeitet. Ziel ist die Entwicklung einer sicheren Architektur für Updateprozesse, bei der u.a. kryptographische Signaturen für authorisierte Updates eingesetzt werden. Es scheint aber noch ein weiter Weg zu sein.

Weitere Informationen

heise.de – Braktooth: Neue Bluetooth-Lücken bedrohen unzählige Geräte (2.9.2020; Hinweis: Die Webseite nutzt Aktivitätenverfolgung und bindet weitere externe Dienste ein)
Study of Singapore University – BRAKTOOTH: Causing Havoc on Bluetooth Link Manager (2.9.2020; Hinweis: Die Webseite nutzt Aktivitätenverfolgung und bindet weitere externe Dienste ein)

Zu Updates von IoT-Geräten

IEEE /Working Group SUIT – A Firmware Update Architecture for Internet of Things (2020, Draft; Hinweis: Die Webseite und bindet externe Dienste ein)
IEEE – J. L. Hernández-Ramos, G. Baldini, S. N. Matheu and A. Skarmeta, „Updating IoT devices: challenges and potential approaches,“ 2020 Global Internet of Things Summit (GIoTS), 2020, pp. 1-5, doi: 10.1109/GIOTS49054.2020.9119514. (Volltext/PDF nur für Subscribers)

Pegasus: Überwachung leicht gemacht – das Geschäft mit dem Staatstrojaner

Ein Länder-übergreifendes Recherchenetzwerk hat den Skandal um die Schadsoftware Pegasus der israelischen NSO Group aufgedeckt, mit der Smartphones infiziert werden können.

Der „Staatstrojaner als Service“ der NSO Group ähnelt den „Ransomware als Service“ Ansatz von Hackern, mit dem wesentlichen Unterschied, dass er legal von staatlichen Akteuren beauftragt wird.

Offiziell wird das Tool zur Terrorverfolgung lizenziert, letztlich steht es den Nutzern aber frei, ihre Ziele „Targets“ auszuwählen. Unter den gut zahlenden Kunden sind autoritäre Staaten, die damit auch Systemkritiker, Journalisten und Anwälte ausspionieren. Selbst bekannte Politiker wie Macron sollten ausgespäht werden.

Am Deutlichsten wird die Verbindung zwischen der Überwachung mit NSO’s Pegasus-Trojaner und physischer Gewalt beim ermordeten saudi-arabischen Journalisten Jamal Khashoggi, aber auch Menschenrechtsaktivisten in Mexiko und Indien sind massiv betroffen.

In diesem Beitrag geht es um die Funktionsweise der Spionagesoftware sowie das fragwürdige Geschäftsmodell der milliardenschweren NSO Group.

„Pegasus: Überwachung leicht gemacht – das Geschäft mit dem Staatstrojaner“ weiterlesen

Crypto Wars – der Kampf um Verschlüsselung

Als Crypto Wars werden die Auseinandersetzungen zwischen staatlichen und zivilgesellschaftlichen Akteuren bezeichnet, in denen es um vertrauliche Kommunikation geht. Den staatlichen Stellen geht es darum, Vertraulichkeit technisch und rechtlich zu erschweren und diese letztendlich unmöglich zu machen. Vertrauliche, verschlüsselte Kommunikation wird dabei als problematisch, wenn nicht sogar als gefährlich und kriminell eingestuft, die gesamte Kommunikation soll abgehört und mitgelesen werden können. Gegner sind dabei Akteure der Zivilgesellschaft, die teilweise auch Unterstützung in Politik und Wirtschaft finden.

Verschlüsselung ist mittlerweile weitverbreitet:

Webseiten und E-Mails werden überwiegend mit SSL/TLS verschlüsselt übertragen,
Messenger wenden Ende-zu-Ende-Verschlüsselung an,
VoIP-Telefonie und Videokonferenzen erlauben Verschlüsselung und
selbst E-Mails werden zunehmend mit S/Mime oder PGP verschlüsselt statt als Klartext gesendet

„Crypto Wars – der Kampf um Verschlüsselung“ weiterlesen

Windows-Sicherheitsupdate: Schwachstelle in Virenschutz-Programm Defender wird gefixt

Windows zog seinen monatlichen Patchday vor und rollte gestern ein Sicherheitsupdate aus. Sicherheitsrelevant ist vorallem ein Exploit über den Defender – Angreifer können darüber schädlichen Code auf betroffenen Geräten ausführen.

Windows-Anwender sind angehalten, die Updates schnellstmöglich auszuführen.

Weitere Informationen

Microsoft – CVE-2021-1647 – Security Update Guide – Microsoft – Sicherheitsanfälligkeit in Microsoft Defender bezüglich Remotecodeausführung

Sicherheitsupdates für Desktop-Apps von WebEx und Zoom

Für die Videokonferenz-Systeme werden regelmäßig Sicherheits-Schwachstellen bekannt, die in den daraufhin verfügbaren Updates zumeist gefixt werden.

Aktuell kann ein Angreifer bei WebEx beliebige Dateien auf dem Windows-System löschen und bei Zoom gab es im April einen sogenannten Zero-Day-Exploit, mit dem der gesamte Computer übernommen werden konnte.

Da die Desktop-Apps nicht durchgängig Update-Meldungen anzeigen, müssen Nutzer regelmäßig auf Aktualisierungen prüfen und diese installieren.

„Sicherheitsupdates für Desktop-Apps von WebEx und Zoom“ weiterlesen

CallStranger: Schwerwiegende Schwachstelle in Milliarden Geräten

Das Internet der Dinge (IoT) ist angreifbar.

Betroffen sind Computer mit Windows 10, Drucker, Router und „smarte“ Geräte wie TVs. Die Universal-Plug-and-Play-Schnittstelle kann für Angriffe mißbraucht werden, sofern sie aktiviert und über das Internet zugänglich ist. Diese Schnittstelle wird zur Kommunikation mit Geräten des Internet der Dinge genutzt, beispielsweise auch über Smartphone-Apps.

Problematisch ist diese Schwachstelle auch deshalb, da Sicherheitspatches der Treiber (Firmware) -sofern überhaupt welche verfügbar sein werden- längere Zeit benötigen, um auf der Vielzahl von betroffenen Geräten ausgerollt zu werden.

„CallStranger: Schwerwiegende Schwachstelle in Milliarden Geräten“ weiterlesen