22 Dez 2016

Cyber-News: Infizieren eines Freundes, Neustarten von Boeings, Löcher ohne Authentifizierung und vieles mehr

Hallo Leute!

Hier kommt mein nächster Beitrag in meiner Kolumne „Cyber-Schreckensnachrichten“ – die, in der ich Sie über das Grauen aus der digitalen Welt auf dem Laufenden halte.

Seit den letzten „Schreckensnachrichten“ ist viel passiert, das Aufmerksamkeit verdient. Ganz genau, der Fluss der Schrecken ist von einem Bergrinnsal zu einem Niagara geworden. Und sie werden immer mehr…

Als Veteran der Cyberabwehr kann ich Ihnen sagen, dass in vergangenen Zeiten globale Katastrophen vielleicht über ein halbes Jahr diskutiert wurden. Während der Fluss der Nachrichten jetzt einem Lachs in Laichzeit gleicht: Overload! Es sind so viele, dass es sich gar nicht erst lohnt, sie zu erwähnen, da sie so schnell zu den Nachrichten von gestern gehören, bevor man „digitaler Over-DDoSe“ sagen kann. Ich hörte, wie sie letztens Mega-Corporation X hackten und alles stahlen; selbst der Hamster vom Chef wurde von einer Drohne entführt…

Jedenfalls steigt der Fluss der Cyberskandale immer weiter an, und daher sind auch meine Beiträge zu solchen Skandalen mehr geworden. In der Vergangenheit waren es drei von vier Blogbeiträgen. Heute: sieben!

Stehen Popcorn/Kaffee/Bier bereit? Dann kann´s ja losgehen…

1) Infizieren Sie einen Freund und erhalten Sie Ihre blockierten Dateien kostenlos zurück.

Für Cyberkriminelle sind ihre rechtswidrigen Aktivitäten seit langem ein Geschäft. Und wir haben kürzlich von einem neuen Weg erfahren, der einem legalen Geschäft ähnelt – sie hielten eine „Partnertagung“, in der sie gemeinsam über Zusammenarbeit und Strategien diskutierten. Ich wette, sie lasen auch Fachbücher zu Marketing und Management. Es ist eigentlich ganz logisch: Wie baut man ein Geschäft auf? Man denkt über Produkte, Dienste, Verbesserungen, Organisationsstrukturen, Kanäle usw. nach.

Also denke ich, dass das Auftauchen dieser Neuerung logisch war. Jemand bringt ein neues Markterweiterungs-Tool für Ransomware heraus: „Infizieren Sie zwei Bekannte mit der Malware, mit der wir Sie infiziert haben, und wir geben Ihnen kostenlos den Schlüssel, um Ihre Dateien zu öffnen!“ Das ist zu nett.

Jedes Opfer einer solchen Malware wird sich fragen: „Habe ich auf etwas geklickt oder etwas geöffnet, das ich lieber nicht geöffnet haben sollte? Bin ich es, der keinen ausreichenden Schutz hat? Oder könnte es ein Freund Schleimball gewesen sein, der die Schuld trägt?“

Glücklicherweise könnte diese Ransomware nicht in the wild passieren (zumindest wurden dafür keine Beispiele gefunden); bisher handelt es sich um ein reines Forschungsprojekt, das in den trüben Cyber-Gewässern des Darkwebs gefunden wurde.

2) Effektive Verfolgung von Hackern.

Ein ernstes Problem für viele Organisationen: wie findet man die richtigen Personen und motiviert sie zur effektiven Arbeit? In Übereinstimmung mit modernen Branchentrends haben bestimmte Organisatoren von DDoS-Angriffen aus der Türkei eine Gamification-Plattform für DDoS-Angriffe erstellt, in der Teilnehmer gegeneinander um Punkte kämpfen. Die Punkte können später gegen Hacker-Tools und Software zum Klickbetrug eingetauscht werden.

Die Plattform ist patriotisch und schlägt als DDoS-Opfer „Feinde der Türkei“ vor: von der PKK zu Angela Merkel. Die Teilnehmer sind in Untergrundforen im Darkweb angemeldet. Politisch motivierte Massen-DDoSs gab es natürlich bereits, aber geschäftstüchtige Hacker haben sie zu einer komfortablen Plattform mit einem eingerichteten Motivationssystem für Teilnehmer migriert. Ich stelle mir einen Diplomkaufmann vor, der sich das alles ausgedacht hat…

3) Die Rückkehr von Shamoon, und die Schwierigkeiten der Zuschreibung von Cyberangriffen.

Es wurde darüber berichtet, dass Hacker die Saudi-Zentralbank und mehrere amtliche Stellen und andere Organisationen aus Saudi Arabien mithilfe des guten alten Wipers Shamoon angegriffen haben. Scheinbar stockte die saudische Agentur für Zivilluftfahrt für mehrere Tage, obwohl die Flughäfen geöffnet blieben.

Ich möchte daran erinnern, wie diese Malware bereits zuvor in Saudi Arabien zu Problemen geführt hat. 2012 löschten Cyberkriminelle mit seiner Hilfe alle Daten und Backups von Saudi Aramco – der größten Erdölgesellschaft des Landes der Welt. Natürlich können Sie sich vorstellen, dass der angerichtete Schaden kolossal war. Und hier ist er wieder – vier Jahre später in genau dem gleichen Land. Wieder zeigen Finger Richtung Iran als vermutlicher Organisator des Angriffs.

Aber. Die Sache ist die, dass Finger dahin zeigen können, wohin sie möchten; das beweist gar nichts. Und das ist das Typische an den meisten, wenn nicht allen, Cyberangriffen, seien sie fortgeschritten oder elementar: es gibt selten einen hundertprozentigen Beweis dafür, wer hinter dem Angriff steht. In diesem Fall – keinerlei Beweise, nur Mutmaßungen. Nun, es wird Beweise geben, aber sie wurden aus irgendwelchen Gründen nicht veröffentlicht.

Das Gleiche trifft auf den Cyberangriff auf Sony Pictures zu: nicht jeder glaubt der „offiziellen“ Version, nach der Nordkorea dahintersteckt, und es gibt ein paar ernsthafte alternative Versionen. Heute ist es genau das Gleiche: bei weitem glaubt nicht jeder, dass der Iran hinter dem aktuellen Shamoon-Angriff steckt. Eine nahöstliche Ausgabe förderte z. B. die Idee, dass vielleicht die Israelis dahintersteckten, um die Beziehungen zwischen dem Iran und Saudi Arabien zu schwächen, was im Interesse Israels stehen würde, nicht in dem des Irans. Alles sehr fesselt und beinahe krimihaft, aber man wird wahrscheinlich nie herausfinden, wer für den Angriff verantwortlich war.

Zuordnung. Ein recht hochtrabendes, jedoch wichtiges Wort in der Cybersicherheit. Es ist extrem schwierig, einen Cyberangriff akkurat zuzuordnen, d. h., zu bestimmen, wer wirklich dahintersteckt. Beweise, die nach einem Angriff zurückgelassen werden, sind normalerweise knapp und recht einfach zu fälschen. Zuordnungen können nur vermutet werden. Nichts Konkretes. Und deshalb zeigen wir nie mit dem Finger auf jemanden, der die Schuld trägt tragen könnte. Diese Einstellung gefällt Journalisten ganz und gar nicht, da sie ihren Exklusivbericht haben wollen, aber das ist ganz natürlich. Wir würden nur zuordnen, wenn wir uns 100 % sicher wären, und das ist niemals der Fall.

Die nachfolgenden Nachrichten handeln meist von Cyber-Schreckensnachrichten, die Hardware betreffen…

4) Vergessen Sie nicht, Ihre Boeing neu zu starten!

Was passiert, wenn Sie Ihren Computer über Wochen nicht neu starten? Die Antwort lautet für gewöhnlich: er läuft langsam. Aber was passiert, wenn man eine Boeing 787 Dreamliner nicht neu startet? Es stellt sich heraus, dass sie für eine kurze Zeit unkontrollierbar werden kann! Deshalb verlangt jetzt die US-amerikanische Zivilluftfahrtbehörde, dass alle Dreamliner alle drei Wochen neu gestartet werden. Sollte das nicht passieren, können „alle drei Flugsteuerungsmodule der 787 gleichzeitig zurückgesetzt werden, wenn sie über 22 Tage ununterbrochen eingeschaltet sind … und Piloten könnten die Kontrolle über den Dreamliner verlieren“.

Quelle

Nun, ich bin in einem dieser riesigen Vögel geflogen – und sicher gelandet, also gehe ich davon aus, dass er rechtzeitig neu gestartet wurde.

Es ist interessant, wie Computermagie traditionelle Technik ersetzt. In der Vergangenheit war die erste Maßnahme, wenn z. B. ein Auto eine Panne hatte, die Flüssigkeitsstände zu überprüfen, wenn nötig, diese aufzufüllen und dieses oder jenes Autoteil zu fixieren, das sich gelockert haben könnte. Heutzutage muss man etwas aus- und wieder einschalten, um mit einem Neustart Dinge zu reparieren – einschließlich Flugzeuge! Es ist die neue cyberphysische Realität – in der die physische Sicherheit vieler Personen von der Stabilität eines Computers abhängt. Oh Mann. Willkommen in der schönen neuen Welt, Leute!

5) Deutscher Hochofen gehackt.

Es ist eine traurige Tatsache, dass solche Meldungen immer weniger ernstgenommen werden, da sie so oft geschehen: Hacker von der Gruppe Winnti griffen den deutschen Riesen ThyssenKrupp an und stahlen geheime Daten aus dem Engineering-Bereich. Somit ist dies das nächste Großunternehmen, das auf der „gehackten“ Liste steht. „Es ist nicht das erste Mal und bestimmt nicht das letzte, also ist das wirklich keine große Sache“, so ein Leser. Allerdings…

Es ist tatsächlich eine große Sache. Wenn geheime Daten von großen Industrieunternehmen gestohlen werden – sollte das Alarm auslösen, da es möglich ist, dass andere, zerstörerische Cyberangriffe in gleicher Weise vorbereitet werden.

Außerdem gab es in diesem Fall in den Medien das Gerücht, dass dieser Hackingangriff in Verbindung mit einem anonymen Angriff aus dem Jahr 2015 steht, bei dem ein großer Hochofen gehackt und zerstört wurde. ThyssenKrupp wiederlegte dies. Ich bin mir nicht sicher, ob die Details dieser Story jemals veröffentlicht werden. Aber was gesagt werden kann, ist, dass es sich um einen sehr ernstzunehmenden Cyberangriff handelt – tatsächlich führte der zweite Angriff zu physischem Schanden. Und nicht nur die Hochofenbetreiber sollten besorgt sein…

6) Nicht so intelligente intelligente Zähler.  

Und noch einmal, diese Story handelt von Hardware und ihren Schwachstellen. Ein Hersteller von Solarpanelen erstellte ein Patch für seinen Stromzähler. Ohne ihn könnten Cyberkriminelle die Kontrolle über das System übernehmen und es manipulieren, z. B. durch Übermittlung falscher Daten über an das allgemeine Netzwerk gelieferte Energie. Oh (heutzutage ganz natürlich): sie könnten die Solarpanele für ein Botnetz verwenden, das Teil eines DDoS-Angriffs wird. Das Skript mit dem Namen „DDoS-Sicherheitskameras von Solarpanelen, die von Heimroutern zurückschließen“ wird jeden Tag immer realistischer…

Quelle

Und was war die Schwachstelle? Das standardmäßige Administrator-Passwort auf allen Geräten ist dasselbe, und man findet es heraus, indem man die Videoanleitung für die Solarpanele auf YouTube anschaut. Wirklich schlau.

Vergessen Sie nicht, Ihren Stromzähler nach dem Update neu zu starten!

7) Mehr Internet der schädlichen Dinge: Aber dieses ist einfach nur dumm.

Die Geschichte des Mirai-Botnetzes, die traurige Berühmtheit erlangte, geht weiter, nachdem es sich den Titel des stärksten DDoS-Angriffs aller Zeiten verdiente. Der kennzeichnende Faktor von Mirai ist, dass es generell keine persönlichen Computer, Server, Tablets, usw. infiziert. Es ist nicht einmal im Ansatz an diesem Teil der Computerwelt interessiert. Es ist wie ein gutes Startup: orientiert an einer neuen Realität: in diesem Fall – das Internet der Dinge.

Der aktuellste Mirai-Skandal führte dazu, dass beinahe eine Millionen Kunden der Deutschen Telekom eine Zeit lang ohne Internet auskommen mussten, nachdem er in ihre Router eingedrungen war. Dann machte er das gleiche mit ~100.000 Usern in Großbritannien. Der Wurm nutzt den mit dem Internet verbundenen WAN-Port, durch den er das Gerät aus dem Remote kontrolliert – OHNE EIN LOGIN ODER PASSWORT! Wie viele Modelle waren weltweit von dem Wurm betroffen? Hmmm, recht viele. Man möchte sich selbst zwicken, um zu prüfen, ob man nicht träumt. WIE kann das möglich sein? KEINE AUTHENTIFIZIERUNG??? Man braucht nicht einmal das zuverlässige Passwort „12345678“!!!

Solch eine ungeheuerlich arme nicht existierende Sicherheit macht einen nachdenklich: Wie viel Mühe braucht es, diese ganzen Löcher zu stopfen? Und dann denkt man ein wenig weiter…: Aber dann gibt es doch noch die weniger offensichtlichen Schachstellen – die verborgenen, die genauso, wenn nicht noch ernster sind. Wie aufwändig wird die Ausbesserung sein? Kurze Antwort: sehr. Nun, nebenbei bemerkt, wenn Sie sich gerade am Lebenspunkt befinden, an dem Sie sich fragen, welche Kariere Sie einschlagen sollten, setzen Sie auf Cybersicherheit: Da wird Ihnen die Arbeit niemals ausgehen :).

Da haben wir die letzten Cyber-Schreckensnachrichten dieses Jahres, Leute. Ich hoffe, Sie haben Sie genossen, oder eher, dass Sie wachgerüttelt wurden. Nicht, dass ich gerne mit Cyber-Schreckensnachrichten die Leute erschrecke, aber Sie wissen ja, jemand muss es halt tun.

Bleiben Sie dran – im neuen Jahr wird es mehr Cyber-Schreckensnachrichten geben, darauf können Sie sich verlassen…

Kommentare lesen 0
Hinterlassen Sie eine Nachricht.
Facebook

27 Jun 2023

Infosec top-brass: wieder da – persönlich – bei SAS!

Trompeten, Trommelwirbel, Beifall, Jubel, Pfiffe! Hiermit habe ich zwei Neuigkeiten für euch: eine gute und eine noch bessere!… Erstens: In diesem Jahr werden wir unsere 15. jährliche Cybersecurity-Konferenz veranstalten – den Security Analyst Summit (SAS). Fünfzehn? Oh mein Gott, wo ist nur die Zeit geblieben?! Zweitens: Wir sind endlich wieder offline, d. h. persönlich, d. h. von […]

19 Jan 2023

Rückblick 2022: Patente trumpfen auf!

Und die Erfindung neuer Spitzentechnologien ist nur ein Teil davon. Moment, nein: Lassen Sie uns nicht so kategorisch denken… Eine innovative, bahnbrechende Technologie setzt einen Lebenszyklus in Gang, der wahrscheinlich sehr viel komplexer und langwieriger ist, als sich viele vielleicht vorstellen können. Natürlich steht die Erfindung selbst an erster Stelle, aber ohne den Lebenszyklus, der […]

16 Nov 2022

11.11: Zwanzig Jahre auf den Tag genau!

Hallo zusammen! Wir haben ein weiteres Jubiläum zu feiern. Hurra!… Unser cyber-immunes Betriebssystem – KasperskyOS – ist heute… Moment. Nein, das ist nicht ganz richtig… Vor genau 20 Jahren – am 11. November 2002 – begann unsere lange, bedeutsame Reise; eine Reise, auf der wir uns tatsächlich immer noch befinden. Ein großes, grandioses Projekt, das […]

21 Jul 2022

Cyber-News von der dunklen (und nicht ganz so dunklen) Seite: Ein waghalsiger Krypto-Hack, K wird neuromorph und der Einstieg in ein Rechenzentrum über eine… Toilette!

Hallo miteinander! Für alle, die immer noch im Büro schwitzen und (noch) nicht das Glück hatten, in den Urlaub zu fahren, hier einige unterhaltsame iNews, alias „Cyber-News von der dunklen (oder auch nicht so dunklen) Seite“, die es in sich haben. Außergewöhnliche, kaum zu glaubende Geschichten aus der Welt der Cybersicherheit. Ein Krypto-Malheur Die Gaming-Community […]

5 Jul 2022

Ein Vierteljahrhundert? Wo ist das geblieben?!…

Hallo Leute! Vor 25 Jahren und neun Tagen – am 26. Juni 1997 – wurde das Unternehmen, das zufällig den gleichen Namen wie ich trägt, eingetragen. Und es waren im wahrsten Sinne des Wortes „bescheidene Anfänge“: etwa ein Dutzend Leute mit null Umsatz – aber mit einigen besonderen technischen Kenntnissen und einigen ebenso besonderen und […]

Mehr

Reise-Vlog