Angriffsvolumen von DDoS-Attacken steigt dramatisch an / Krypto-Mining löst Ransomware ab / Hacker nutzen weiterhin bekannte Schwachstellen aus / Staatlich unterstützte APT-Angriffe nehmen zu

[datensicherheit.de, 18.09.2018] Im ersten Halbjahr 2018 mussten Unternehmen, Organisationen und Behörden weltweit rund 2,8 Milliarden DDoS-Angriffe abwehren. Ziel der Hacker, die DDoS-Angriffe (Distributed-Denial-of-Service)einsetzen, ist es, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens zu verlangsamen, gänzlich lahmzulegen oder zu schädigen. Die maximale Größe von DDoS-Attacken stieg im ersten Halbjahr 2018 gegenüber des Vergleichszeitraums 2017 um alarmierende 174 Prozent, die Häufigkeit sank geringfügig um 13 Prozent. Dies sind Ergebnisse des weltweiten Threat Intelligence Report aus dem ersten Halbjahr 2018 von NETSCOUT Arbor, einem Anbieter für DDoS-Abwehrlösungen. Die wichtigsten Erkenntnisse des Reports und Trends für 2019 hat NETSCOUT Arbor nachstehend zusammengetragen.

DDoS-Angriffe erreichen Terabit-Bereich

Trotz der leicht rückläufigen Häufigkeit von DDoS-Attacken gibt es für Unternehmen und Behörden keine Entwarnung. Die Angriffe mittels offener Memcached-Server Anfang 2018 bewiesen, dass Organisationen nun bereits in der Lage sein müssen, Attacken im Terabit-Bereich abzuwehren. Im Februar wurde der bisher größte DDoS-Angriff mit 1,7 Tbps (Terabit pro Sekunde) verzeichnet. Somit ist durch den neuen Memcached-Vektor das durchschnittliche Volumen von DDoS-Attacken um 37 Prozent gestiegen. Angriffe mit einem Volumen von über 300 Gbps (Gigabit pro Sekunde) sind in diesem Halbjahr im Vergleich zur ersten Jahreshälfte 2017 von 11 auf 91 Fälle gestiegen. Unternehmen sollten sich in den kommenden Monaten daher unbedingt auf weitere Angriffe im Terabit-Bereich vorbereiten und ihre Abwehrkapazitäten überprüfen.

Krypto-Mining löst Ransomware ab

Cyberangriffe werden von Kriminellenimmer noch primär über E-Mail-Kampagnen (etwa 90 Prozent) ausgeführt. Dennoch setzen die Hacker zunehmend neue Methoden ein, um die Ausbreitung von Malware deutlich zu beschleunigen. „Inspiriert“ durch WannaCry, modifizieren Crimeware-Anbieter, Malware (-Downloader) mit Wurmmodulen, um diese etwa für Identitäts-Diebstähle einzusetzen. Darüber hinaus fokussieren sich Cyberkriminelle zunehmend auf das Mining von Kryptowährungen durch den Einsatz von Malware. Im Vergleich zu Ransomware-Attacken scheint für Angreifer diese Methode des Cryptojacking weniger riskant und zurzeit noch profitabler zu sein – auch weil Ransomware-Attacken aufgrund der höheren medialen Aufmerksamkeit der letzten Monate verstärkt Strafverfolgungsbehörden auf den Plan gerufen haben. Beim Mining von Kryptowährungen werden die lokale Rechenleistung und ebenso Cloud-Ressourcen von Unternehmen angezapft. Zwar kann eine gestiegene CPU-Auslastung möglichen Missbrauch anzeigen, dennoch kann das Mining schwieriger zu detektieren sein, wenn Hacker den Ressourcen-Klau entsprechend limitieren.

Hacker nutzen weiterhin bekannte Schwachstellen aus

Ein wichtiges Augenmerk sollten Unternehmen auch auf bereits bekannte Schwachstellen legen. Hacker haben und werden auch künftig bereits bekannte Sicherheitslücken ausnutzen. So wird beispielsweise das Simple Service Discovery Protocol (SSDP) seit vielen Jahren für Reflexions-/Verstärkungsangriffe verwendet. SSDP ist ein Netzwerkprotokoll, das zur Suche nach Universal-Plug-and-Play-Geräten (UPnP) in Windows-Netzwerken dient. Offen aus dem Internet erreichbare SSDP-Server können für DDoS-Reflexionsangriffe gegen die IT-Systeme von Unternehmen und Organisationen missbraucht werden. Im Juni hat NETSCOUT Arbor eine neue Variante von SSDP-Missbrauch aufgedeckt, bei dem Geräte auf SSDP-Reflexions-/Verstärkungsangriffe mit einem nicht standardisierten Port reagieren. Die daraus resultierende Flut von UDP-Paketen hat kurzlebige Quell- und Zielports, sodass die Eindämmung erschwert wird. 1,2 Millionen Geräte können für derartige SSDP-Diffraction-Angriffe missbräuchlich genutzt werden.

Cyberkriminelle entwickeln neue Crimeware-Plattformen

Neben der Ausnutzung bereits bekannter Schwachstellen entwickeln vor allem Crimeware-Akteure neue Malware-Plattformen, wie zum Beispiel Kardon Loader beta. Kardon Loader ermöglicht den Download und die Installation anderer Malware wie etwa Banktrojaner, Ransomware oder Trojaner zum Daten- und Identitätsdiebstahl. Downloader sind ein wesentlicher Teil des Malware-Ökosystems. Sie werden oft von spezialisierten Hackern entwickelt und unabhängig vom jeweiligen Trojaner vertrieben. Kardon Loader soll zudem Bot-Store-Funktionalitäten bieten. So können Käufer eigene Bot-Shops aufsetzen. Unternehmen müssen sich also darauf einstellen, dass künftig auch weniger technisch versierte Kriminelle Zugang zu Malware erhalten und entsprechend gegen sie verwenden können.

Staatlich unterstützte Angriffe nehmen zu

Darüber hinaus ist zu beobachten, dass zunehmend mehr Nationen offensive Cyberprogramme durchführen und die Anzahl der Bedrohungsakteure für Unternehmen und Organisationen stetig wächst. Neben der bekannten nationalstaatlich geförderten Cyberkriminalität durch Länder wie China und Russland, sind Cyberangriffe zunehmend auch dem Iran, Nordkorea und Vietnam zuzuschreiben. So setzt die iranische APT-Gruppe Oilrig vor allem Angriffe auf die Supply Chain von Unternehmen und Organisationen sowie Social-Engineering-Methoden ein, um Ziele zu kompromittieren. APTs sind komplexe, zielgerichtete und effektive Angriffe auf Basis verschiedener Angriffsvektoren. Die wohl bekannteste und staatlich unterstützte russische Gruppe Fancy Bear (APT28) greift vor allem geopolitisch relevante Ziele und kritische Infrastrukturen an – und betrieb bereits in mehreren Ländern Wahlmanipulation. Vor Kurzem hat NETSCOUT Arbor die missbräuchliche Nutzung der Laptop-Wiederherstellungslösung Lojack der russischen Gruppe zugeschrieben.

DDoS-Angriffe als Ablenkungsmanöver

Um APT-Angriffe auszuführen und unbemerkt Schadsoftware in das Unternehmensnetz einzuschleusen, nutzen Cyberkriminelle zunehmend DDoS-Attacken, Ransomware und Malware als Ablenkungsmanöver. APTs werden, wenn überhaupt, oft erst nach Monaten bis Jahren entdeckt. Sie zielen darauf ab, dass der Hacker sich möglichst lange unbemerkt im Unternehmensnetzwerk aufhält und Informationen ausspähen kann. So waren trotz der sehr hohen Verbreitung der Ransomware und (IoT-) Malware NotPetya, CCleaner und VPNFilter über das Internet, die eigentlichen Endziele dieser Angriffe hochselektiv. Die Attacken können unter anderem auch den oben genannten staatlich geförderten APT-Gruppen zugeschrieben werden. Neu ist, dass sich dieses Vorgehen zu den bisher genutzten APT-Vektoren, wie etwa Speer-Phishing, unterscheidet. Unternehmen sollten sich daher bewusst machen, dass großangelegte Malware-Attacken auch als Tarnung für gezielte APT-Angriffe dienen können.

Bild: NETSCOUT Arbor

Guido Schaffner, Channel Sales Engineer bei NETSCOUT Arbor

„Hacker professionalisieren sich zunehmend, die Zahl der staatlichen und nichtstaatlichen Akteure wird weiter wachsen, Angriffe werden komplexer und es werden neue staatlich geförderte APT-Gruppen entstehen, die bisher noch nicht in der Lage waren, signifikante Cyberattacken auszuführen“, erklärt Guido Schaffner, Channel Sales Engineer bei NETSCOUT Arbor. „Darüber hinaus wird die missbräuchliche Nutzung von legitimer Software durch Spionage-Gruppen künftig steigen. All diese Faktoren erhöhen den Druck auf Unternehmen und Organisationen unabhängig ihrer Branche, sich für drohende Cybergefahren zu sensibilisieren und ihre IT-Sicherheitsmaßnahmen und Verteidigungsstrategien zu überprüfen.“

Über den Sicherheitsbericht:

Der Threat Intelligence Report enthält Informationen aus der NETSCOUT Arbor-Initiative „Active Threat Level Analysis (ATLAS)“, die etwa ein Drittel des weltweitenDatenverkehrs im Internet analysiert und so Angriffssignaturen erkennt.

Weitere Informationen zum Thema:

datensicherheit.de, 13.09.2018
Sicherheit bei der Digitalisierung häufig unterschätzt

datensicherheit.de, 07.09.2018
Cyberstudie: Fast jeder Service Provider wird zum Ziel von DDoS-Attacken

datensicherheit.de, 03.09.2018
Cybersicherheit in Industrie und Kritischer Infrastruktur muss ganzheitlich gedacht werden

datensicherheit.de, 21.06.2018
Thales Data Threat Report 2018: Europa-Ausgabe vorgestellt

datensicherheit.de, 24.03.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen

The post Sicherheitsreport: Vorschau auf die Cybergefahren im Jahr 2019 appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

So bereiten sich Unternehmen auf Cyber-Angriffe vor / Internet Security Days 2018 thematisieren IT-Forensik am 20./21. September 2018 in Brühl / Köln

[datensicherheit.de, 18.09.2018] Fast jedes fünfte Unternehmen (18 Prozent) hatte im letzten Jahr mindestens einen gravierenden Sicherheitsvorfall, zeigt die eco Umfrage IT-Sicherheit 2018. Die größten Bedrohungen gingen dabei von Ransomware und DDoS Attacken aus. „Die Ursache für das Versagen der Sicherheitsmaßnahmen festzustellen ist wichtig, um sich zukünftig davor schützen zu können“, sagt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco Verband. IT-Forensiker untersuchen, wie beim Tatort-Krimi, die Spuren in den elektronischen Systemen. Sie leiten daraus Hinweise ab, warum ein Angriff erfolgreich war und wie sich entsprechende Schwachstellen beseitigen lassen.

Foto: eco – Verband der Internetwirtschaft e.V.

Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco

Gerichtsfestigkeit von besonderer Bedeutung

Wesentliches Element ist die Gerichtsfestigkeit der digitalen Beweismittel und aller folgenden Aktivitäten. „Es geht dabei, wie meist in der Forensik, um die Beantwortung von Fragen anhand von „Spuren“, etwa wann was wie geschehen ist, oder konkret vielleicht: Wer hat wann welche Daten von unserem Serversystem unberechtigt abgegriffen?“, sagt Martin Wundram, Geschäftsführer des IT-Forensik-Experten DigiTrace. Er spricht gemeinsam mit seinem Kollegen Phil Knüfer im Rahmen der Internet Security Days 2018 darüber, welche Katastrophen Dritte bereits erlitten und vielleicht sogar gemeistert haben.

Forensic Readiness

IT-Forensik ist eines der Trend-Themen der ISDs am 20. und 21. September. Neue Sicherheitsstrategien für die aktuelle Cyber-Bedrohungslage stehen im Zentrum der vom eco Verband und heise veranstalteten Messe und Konferenz im Phantasialand bei Köln, zu der rund 600 Sicherheits-Experten aus mehr als 20 Ländern erwartet werden.

Neben Serversystemen und Computer-Netzwerken stehen PCs, Mobiltelefone und industrielle Steuerungsanlagen im Visier der Cyberkriminellen. „Wir empfehlen Unternehmen, sich auf den Fall der Fälle rechtzeitig vorzubereiten. Die passenden Strategien dafür werden unter dem Fachwort Forensic Readiness zusammengefasst“, sagt Dehning. Martin Wundram ergänzt: „Wer präventiv gut abgesichert ist, kann die Wahrscheinlichkeit für Vorfälle oft reduzieren. Ganz ausschließen lässt sich das jedoch nie. Wer sich durch Maßnahmen der Forensic Readiness auf IT-Sicherheitsvorfälle vorbereitet und vorab einen Plan zur Reaktion aufstellt, der kann im Ernstfall besser, schneller und passgenauer handeln. So gehen IT-Sicherheit und IT-Forensik Hand in Hand.“

Vorfälle zur Anzeige bringen

Neben IT- und Beratungsfirmen beschäftigen auch polizeiliche Behörden Fachkräfte im Bereich IT-Forensik. Sie haben in den letzten Jahrzehnten erhebliches Know-how für die digitale Verbrechensaufklärung aufgebaut. Die Unterstützung der Polizeibehörden liegt dabei in der auch grenzübergreifenden Ermittlung möglicher Täter, weshalb es wichtig ist, Vorfälle zur Anzeige zu bringen.

Weitere Informationen zum Thema:

eco
Umfrage IT-Sicherheit 2018

datensicherheit.de, 11.09.2018
Schutz vor psychologischen Tricks von Cyberkriminellen

datensicherheit.de, 30.06.2018
Internet Security Days 2018: Agenda veröffentlicht

datensicherheit.de, 18.04.2018
Notfallplanung laut eco-Studie Top-Security-Thema 2018

The post ISD 2018: IT-Forensiker nehmen den „Tatort Computer“ unter die Lupe appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 18.09.2018]  „Die leicht zu umgehenden Internetsperren und automatisierten Upload-Filter bedeuten das Aus für unzählige Internetdienste und gefährden die Meinungsfreiheit im Netz“, warnt Patrick Breyer, Bürgerrechtler und Spitzenkandidat der Piratenpartei zur Europawahl 2019. „Die Anti-Terror-Pläne der EU-Kommission sind selbst ein Anschlag auf das freie Internet. Internet-Zensur ist der falsche Weg, um gewaltbereitem Extremismus zu begegnen. Sie liefert unter anderem Islamisten Argumente gegen den Westen und führt bestenfalls zum Abtauchen von Sympathisanten jeglicher extremistischer Strömungen in den Untergrund.“

Im Einzelnen nennt die Piratenpartei acht Kritikpunkte an dem Verordnungsentwurf.

1. Viele Internetdienste müssten den Betrieb einstellen:
   Die EU-Zensurverordnung erfasst nahezu alle Internetdienste, beispielsweise Blogs mit Kommentarfunktion, Meinungsforen, Wikipedia, Filesharing-Dienste, Software-Entwicklungsportale oder Nachrichtenportale mit Kommentarfunktion. Durch die Verordnung droht einer Vielzahl von Internetdiensten das Aus, weil deren Anbieter den geforderten Einsatz von Upload-Filtern oder die geforderte Löschung von Inhalten binnen einer Stunde – selbst zur Nachtzeit – nicht gewährleisten können.
2. Fehleranfällige Upload-Filter gefährden die Meinungsfreiheit:
   Internetanbieter sollen zur automatisierten Suche nach noch unbekannten “terroristischen Inhalten” verpflichtet werden, ohne dass eine menschliche Überprüfung vor der Sperre erfolgen muss. Solche Upload-Filter sind Zensurmaschinen, die nachgewiesenermaßen auch völlig legale Inhalte unterdrücken (zum Beispiel Dokumentationen von Menschenrechtsverletzungen in Bürgerkriegen). Unsere Meinungs- und Informationsfreiheit darf nicht ausschließlich von Algorithmen und Maschinen bestimmt werden. Ein menschliches Korrektiv ist hier unabdingbar.
3. Fehlende Unabhängigkeit der Zensurbehörden:
   Die Behörden, die Sperrungen “terroristischer Informationen” anordnen sollen, müssen laut EU-Vorschlag nicht unabhängig sein. Es gibt auch keinen Richtervorbehalt für Sperranordnungen. Damit könnte unsere Meinungs- und Informationsfreiheit beispielsweise in die Hand des ungarischen Innenministeriums oder eines örtlichen Polizeibeamten in Rumänien gelegt werden. Das ist inakzeptabel. Die Entfernung von Inhalten anzuordnen, muss einer unabhängigen Behörde wie einem Gericht, einem Beauftragten für Meinungsfreiheit oder einem Bürgeranwalt vorbehalten bleiben.
4. Willkürlicher Privatzensur wird Vorschub geleistet, statt sie zu verhindern:
   Das Verfahren für Sperranordnungen soll durch behördliche “Hinweise” an Provider umgangen werden können. Unsere Meinungs- und Informationsfreiheit darf jedoch nicht in die Hände privater Internetkonzerne gelegt werden, die oft vollkommen willkürlich Inhalte löschen. Vielmehr müsste es Internetanbietern zum Schutz der Meinungsfreiheit verboten werden, legale Inhalte willkürlich zu löschen oder zu sperren.
5. Fehlende Transparenz und Kontrolle:
   Eine unabhängige Überprüfung von Sperrungen ist nicht gewährleistet. Der Autor eines Inhalts soll von der Sperrung nicht benachrichtigt werden müssen, selbst wenn er Kontaktdaten hinterlassen hat. Wir fordern, dass der Autor informiert wird und nicht nur er, sondern auch jeder andere Bürger, dem Informationen vorenthalten werden, zur Anfechtung von Sperrungen berechtigt ist. Nur so können sich beispielsweise Nichtregierungsorganisationen für Meinungsfreiheit im Netz und gegen ungerechtfertigte Unterdrückung von Informationen einsetzen.
6. Untaugliche Internetsperren durch Geolocation:
   Es ist anzunehmen, dass Anbieter einfache Techniken zur Geolocation einsetzen werden, weil sie “terroristische Inhalte” nicht löschen, sondern nur für Nutzer aus der EU sperren müssen. Eine solche Sperre lässt sich jedoch technisch leicht umgehen. Die Verbreitung terroristischer Propaganda wird somit de facto nicht verhindert.
7. Ein rein „Europäisches Internet“ droht:
   Anstatt eine internationale Verständigung auf universell geächtete Inhalte herbeizuführen, soll ein europäisches Regionalnetz mit Netzsperren für Inhalte, die zum Beispiel in den USA völlig legal abrufbar bleiben, geschaffen werden. Das widerspricht dem Grundgedanken eines weltweiten Netzes.
8. Vorratsdatenspeicherung durch die Hintertür?:
   Die EU-Zensurverordnung leistet einer anlasslosen Aufzeichnung unseres privaten Surfverhaltens Vorschub. Bei Sperrung „terroristischer Inhalte“ fordert sie vom Anbieter die Aufbewahrung der zugehörigen Nutzerdaten, obwohl derartige Daten im Regelfall gar nicht aufgezeichnet werden dürften. Es besteht die Gefahr, dass Anbieter sämtliche Uploader registrieren, nur um im Bedarfsfall der Aufbewahrungspflicht nachkommen zu können. Ein freies Netz braucht Anonymität.

Weitere Informationen zum Thema:

Europäische Kommission
Verordnungsentwurf „REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on preventing the dissemination of terrorist content online“

datensicherheit.de, 12.09.2018
Internet-Regulierung: Verbände kritisieren EU-Gesetzgebung

datensicherheit.de, 23.08.2018
#SaveYourInternet: Gegen die Zensur des freien Internets

The post Kritik an der geplanten Verordnung zur „Entfernung terroristischer Inhalte“ appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

… und die Welt wartet auf einen Windows 0-Day-Patch

Von unserem Gastautor Juan C. Perez, Manager, Digital Marketing (Content) bei Qualys

[datensicherheit.de, 18.09.2018] Vertrauliche Daten von fast 400.000 British-Airways-Kunden werden gestohlen. Der Mac App Store zieht mehrere Apps aus dem Verkehr, nachdem Sicherheitsforscher festgestellt hatten, dass diese heimlich Daten auslesen und versenden. Bei einer chinesischen Hotelkette ereignet sich eine gigantische Datenpanne. Und eine ungepatchte Zero-Day-Lücke in Windows wird in-the-wild ausgenutzt. Das sind einige der Sicherheitsnachrichten, die uns in jüngster Zeit aufgefallen sind.

Könnte British Airways nach der Datenpanne in DSGVO-Turbulenzen geraten?

Vor kurzem drangen Hacker in die Website und die mobile App von British Airways ein und stahlen über einen Zeitraum von zwei Wochen personenbezogene Daten und Finanzinformationen von schätzungsweise 380.000 Kunden, darunter auch Zahlungskartendaten. Die Fluggesellschaft gab den Vorfall letzte Woche bekannt und erklärte, dass die Cyberkriminellen vom 21. August bis 5. September Zugang zu den kompromittierten Systemen hatten.

Die Kreditkartendaten umfassen auch die drei- oder vierstelligen Sicherheitscodes, die auf den Karten aufgedruckt sind. Außerdem fielen den Angreifern Namen, Rechnungsanschriften und E-Mail-Adressen in die Hände. Mit diesen Informationen könnten Kriminelle die betroffenen Kunden auf verschiedenste Weise betrügen, zum Beispiel durch unbefugte Nutzung ihrer Zahlungskarten oder durch Phishing-Angriffe via E-Mail.

Bild: Qualys

Juan C. Perez, Manager, Digital Marketing (Content) bei Qualys

Laut British Airways ist das Leck inzwischen geschlossen. Die Airline gab jedoch keine Einzelheiten zur Art des Angriffs bekannt, sondern bezeichnete diesen lediglich als „bösartig“ und „ausgeklügelt“. Experten spekulieren über die möglichen Angriffsvektoren.

„Es sieht so aus, als ob die Daten am Zugangspunkt abgegriffen wurden – jemand hat es geschafft, ein Skript auf die Website zu bekommen“, sagte Alan Woodward, Professor an der Universität von Surrey, zur BBC.

Der Sicherheitsberater Ben Oguntala, den British Airways dieses Jahr zur Verbesserung ihrer Zahlungssysteme engagiert hatte, erklärte unterdessen gegenüber der Times, dass die Panne eine „Katastrophe mit Ansage“ gewesen sei. Oguntala sagte, er habe den Dienst quittiert, nachdem er festgestellt hatte, dass die von der Fluggesellschaft implementierten Kontrollen schwach waren.

Nun wird bereits vermutet, dass der Vorfall British Airways Ärger aufgrund der EU-Datenschutz-Grundverordnung (DSGVO) einbringen könnte, die im Mai verbindlich geworden ist und potenziell massive Bußgelder vorsieht.

Ein ähnlicher Zwischenfall ereignete sich kürzlich übrigens bei Air Canada: Zwischen dem 22. und 24. August wurden personenbezogene Daten von rund 20.000 Benutzern der mobilen App gestohlen. Zu den betroffenen Kundendaten zählen nach Angaben der Fluggesellschaft Namen, E-Mail-Adressen, Telefonnummern, Reisepassdaten, Known Traveler Numbers und Geburtsdaten. Die Kreditkartennummern sind verschlüsselt.

Apple wirft Apps mit Spyware-Verhalten raus

Apple hat in den letzten Tagen eine Reihe beliebter Anwendungen aus dem Zero-Day-Lücke gelöscht. Damit reagierte das Unternehmen auf die Berichte mehrerer Sicherheitsforscher, wonach diese von Drittanbietern entwickelten Apps Benutzerdaten auslesen und versenden.

Die Löschwelle begann offenbar damit, dass der Sicherheitsforscher Patrick Wardle – auf einen Tipp des Twitter-Nutzers @Privacyis1st hin – die App Adware Doctor bezichtigte, heimlich die Browser-Historien der Nutzer zu sammeln und die Daten an einen Host in China zu schicken.

Wardle, Mitbegründer von Digita Security, beschrieb seine Erkenntnisse im Objective See Blog, einer Website, auf der er selbst entwickelte, kostenlose MacOS-Sicherheitstools bereitstellt. Kurz nach der Veröffentlichung seines Beitrags entfernte Apple die App.

Dann schaltete sich Thomas Reed ein, Director of Mac und Mobile bei Malwarebytes. Reed berichtete, es gäbe Anwendungen im Mac App Store, die er und andere Forscher in den letzten Monaten gemeldet hätten, weil sie Benutzerdaten auslesen und verschicken.

Laut Berichten im SC Magazine, 9to5Mac, PC Magazine, BleepingComputer und anderen Publikationen löschte Apple dann übers Wochenende und am Montag weitere Anwendungen, darunter auch diejenigen, die Reed erwähnt hatte.

Chinesische Hotelkette wird Opfer eines massiven Hackerangriffs

Bei der Huazhu Hotels Group, einer der größten Hotelketten Chinas, hat sich eine Datenpanne ereignet, die sage und schreibe 130 Millionen Kunden betrifft. Man geht davon aus, dass die Hacker personen- und finanzbezogene Informationen von 13 Hotels des Unternehmens gestohlen haben.

Zu den entwendeten Daten zählen Telefonnummern, E-Mail-Adressen, Bankkontonummern und Reservierungsinformationen. Berichten zufolge wurden die Daten im Dark Net entdeckt, wo sie für 8 Bitcoin – ca. 56.000 Dollar – zum Verkauf standen.

Huazhu hat keine Einzelheiten zu dem Angriff bekannt gegeben. Laut einer BBC-Meldung hat jedoch die Cybersicherheitsfirma Zibao einer lokalen Nachrichtenagentur mitgeteilt, dass ihrer Vermutung nach Softwareentwickler des Hotels versehentlich eine Datenbank auf GitHub hochgeladen haben.

Wenn das stimmt, so hätte es laut einer Notiz des SANS-Analysten Lee Neely eine bewährte Vorgehensweise gegeben, die solche Probleme vermeiden hilft. Dafür, so Neely, müsse man „einen Prozess etablieren, um GitHub und andere externe Code-Repositories darauf zu überwachen, ob absichtlich oder unabsichtlich ungeeignete Informationen eingefügt werden, wie etwa Datenbanken und private SSH-Schlüssel. Außerdem ist sicherzustellen, dass angemessene Zugriffskontrollen zum Schutz der Unternehmens-IP bestehen.“

Windows Zero-Day-Lücke wartet auf Patch und wird bereits von Hackern ausgenutzt

Nachdem ein Sicherheitsforscher auf Twitter eine Zero-Day-Schwachstelle in Windows 10 samt Proof-of-Concept-Exploit-Code veröffentlicht hatte, ließen Hacker nicht lange auf sich warten und begannen, die Lücke für reale Angriffe ausnutzen. Der Forscher räumte später ein, dass er vor der Veröffentlichung Microsoft benachrichtigen hätte sollen, um dem Unternehmen die Möglichkeit zu geben, einen Patch zu entwickeln.

Die Schwachstelle erlaubt eine Erweiterung der lokalen Rechte. Sie befindet sich in der ALPC-Schnittstelle (Advanced Local Procedure Call) des Windows Task Schedulers und kann es laut der CERT-Sicherheitsmeldung einem lokalen Benutzer ermöglichen, Systemrechte zu erhalten.

„Wir haben bestätigt, dass der Public Exploit-Code unter Windows 10 64 Bit und auf Windows Server 2016-Systemen funktioniert. Zudem haben wir die Kompatibilität mit Windows 10 32 Bit bei geringfügigen Änderungen am Public Exploit-Code bestätigt. Wenn weitere Modifikationen durchgeführt werden, ist auch eine Kompatibilität mit anderen Windows-Versionen möglich“, heißt es in der CERT-Meldung.

• Die Schwachstelle wurde am 27. August bekannt gegeben, und nur wenige Tage später begannen Angriffe, die sie ausnutzten.
• Microsoft arbeitet an einem Patch, der aber noch nicht veröffentlicht wurde. In einer Erklärung kündigte das Unternehmen an, den Fix am monatlichen Patchday bereitzustellen. Der nächste Patchday ist am 11. September.
• Auch Problemumgehungen und mindestens ein Drittanbieter-Patch sind angeboten worden, wurden aber von Microsoft nicht gebilligt.

Und noch weitere Sicherheitsnachrichten …

• Fiserv, ein großer Technologie-Dienstleister für Banken, hat einen gravierenden Fehler in seiner Web-Plattform behoben, der „persönliche und finanzbezogene Daten zahlloser Kunden auf Hunderten von Bank-Websites in Gefahr brachte“, so KrebsOnSecurity.
• Abbyy, ein russischer Hersteller von optischer Erkennungssoftware, hat eine MongoDB-Datenbank nicht abgesichert und öffentlich im Internet zugänglich gemacht, wodurch mehr als 200.000 Dateien mit sensiblen Kundendaten offengelegt wurden.
• Google hat ein zum internen Gebrauch entwickeltes Tool, mit dem sich schriftenbezogene Schwachstellen aufspüren lassen, als Open-Source-Anwendung freigegeben.
• Bei zwei separaten Sicherheitsvorfällen haben Unternehmen, die Tools zur geheimen Überwachung der Inhalte und Kommunikation mobiler Geräte herstellen – TheTruthSpy und mSpy – Daten von Kunden offengelegt. Viele dieser Kunden sind Eltern, die die Handynutzung ihrer Kinder verfolgen wollen.
• Die Browser-Erweiterung Mega.nz für Chrome ist von Hackern kompromittiert und missbraucht worden, um Informationen von Benutzern zu stehlen, darunter Passwörter und private Schlüssel für Kryptowährungskonten. Der Vorfall macht deutlich, welche Risiken von Browser-Erweiterungen und Add-ons ausgehen.
• Die kürzlich entdeckte Sicherheitslücke in Struts 2 wird bereits real ausgenutzt – ein weiterer Grund für Unternehmen, den Patch einzuspielen, den Apache herausgegeben hat.
• Ein Sicherheitsforscher entdeckte vor kurzem fast 400.000 Webseiten mit offenen .git-Verzeichnissen, die potenziell eine Fülle vertraulicher Informationen preisgeben, wie etwa Passwörter.

Weitere Informationen zum Thema:

datensicherheit.de, 18.08.2018
DSGVO: „Wird schon gutgehen“ ist definitiv die falsche Einstellung

datensicherheit.de, 13.08.2018
Tracker-Apps mit gefährlichen Sicherheitslücken

datensicherheit.de, 25.07.2018
Sicherheitslücken in Carsharing-Apps entdeckt

The post Nach British Airways-Hack drohen der Fluggesellschaft DSGVO-Sanktionen appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 18.09.2018] Obwohl Microsoft seine Cybersicherheit in den letzten Jahren massiv ausgebaut hat, sind vor allem die Betriebssysteme Windows 10 und Windows 8 für Hacker nach wie vor leicht zu kompromittieren, wie der aktuelle 2018 Black Hat Hacker Survey des PAM-Anbieters Thycotic nun offenbart. 50 Prozent der befragten Hacker gaben demnach an, in den letzten zwölf Monaten am häufigsten Windows 10 bzw. 8 infiltriert zu haben. Ein beliebter Angriffsvektor war dabei Social Engineering, aber auch vermeidbare Nachlässigkeiten wie zu weit gefasst Zugriffsrechte oder nicht geänderte Herstellerpasswörter spielten den Hackern in die Hände.

Für den Report befragte das Unternehmen im Rahmen der diesjährigen Security-Konferenz Black Hat in Las Vegas insgesamt 300 Hacker zu ihren bevorzugten Angriffszielen, leicht zu kompromittierenden Systemen und beliebten Angriffsvektoren. Bei 70 Prozent der Befragten handelte es sich dabei um so genannte White-Hat-Hacker, d.h. Sicherheitsexperten, die für Unternehmen nach Sicherheitslücken und Schwachstellen suchen, um ihre IT-Sicherheit zu optimieren.

Die wichtigsten Ergebnisse des Reports im Überblick:

• 26 Prozent der befragten Hacker gaben an, am häufigsten Windows 10 infiltriert zu haben. 22 Prozent hackten wiederum vorrangig Windows 8, gefolgt von 18 Prozent, die es vor allem auf Linux abgesehen haben. Für Mac OS lag der Anteil bei weniger als fünf Prozent.
• Social Engineering ist laut 56 Prozent der Befragten die schnellste Methode, um Netzwerke zu infiltrieren.
• Die zwei beliebtesten Methoden beim Erlangen von privilegierten Berechtigungen sind das Verwenden von Standard-Herstellerkennwörtern (22%) sowie das Ausnutzen von Anwendungs- und Betriebssystemschwachstellen (20%).

91 Prozent der Hacker kompromittieren Windows-Umgebungen trotz GPO-Richtlinien

Die Sicherheit der Betriebssysteme hängt von den entsprechenden Konfigurationen ab sowie dem Verhalten, das die Nutzer an den Tag legen. Dessen müssen sich Unternehmen bewusst sein. Das einzig wirksame Mittel, um eine Kompromittierung von Benutzerkonten zu verhindern, ist deshalb die konsequente Eindämmung zu weitgefasster Zugriffsrechte – insbesondere bei privilegierten Konten wie Administrator-, Server- oder Datenbank-Accounts, die umfassende Datenzugriffe oder weitreichende Systemeinstellungen erlauben. Viele Unternehmen setzen auf Group Policy Objects (GPO), um die Verwaltung, Konfiguration und Sicherheit von mit der Windows-Domain-verbundenen Geräten zu zentralisieren. Diese GPO-Richtlinien sind als Sicherheitskontrolle jedoch nur bedingt zu empfehlen, da diese von Angreifern leicht umgangen werden können, wie 91 Prozent der von Thycotic befragten Hacker auch bestätigten.

74 Prozent der Unternehmen scheitern bei der Umsetzung einer Least Privilege Policy

„Der Black Hat Hacker Report 2018 zeigt, dass unsere Betriebssysteme und Endpunkte nach wie vor sehr anfällig sind für Bedrohungen, die von Hackern und Cyberkriminellen ausgehen”, so Markus Kahmen, Regional Director CE bei Thycotic. „Indem Unternehmen eine Strategie der minimalen Rechtevergabe umsetzen und diese mit anderen Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung, Verhaltensanalyse und Privileged Account Protection kombinieren, sind sie jedoch in der Lage, ein effektives und dynamisches Sicherheitsniveau aufzubauen und aufrechtzuerhalten, das Cyberkriminelle davon abhält, ihre IT-Umgebungen zu missbrauchen.” 

Bei der Umsetzung einer Least Privilege Policy gibt es in vielen Unternehmen jedoch nach wie vor großen Nachholbedarf. Wie die befragten Hacker berichteten, sind rund drei Viertel der Unternehmen (74%) bei der Implementierung von Zugriffsrechten auf Basis einer minimalen Rechtevergabe überfordert. Damit einher geht ein schlechter Passwortschutz, der Diebstahl von Zugriffsdaten und letztlich eine Erhöhung von Berechtigungen, die es Cyberkriminellen ermöglicht, administrative Kontrollen zu übernehmen und das Netzwerk zu erobern.

Weitere Informationen zum Thema:

Thycotic
2018 Black Hat Hacker Survey Report: Key takeaways straight from attendees at the 2018 Black Hat Conference

datensicherheit.de, 15.09.2018
Umfrage: Cyberkrieg für 86 Prozent der IT-Sicherheitsexperten bereits Realität

datensicherheit.de, 16.08.2018
Cyberkriminalität: Motive von Black Hats

datensicherheit.de, 21.09.2017
Black-Hat-Umfrage: Wahlhacks als möglicher Auftakt für einen Cyberkrieg

The post Black Hat-Umfrage von Thycotic enthüllt die beliebtesten Einfallstore der Hacker appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Trotz langer Vorlaufzeit scheint das Thema an den Chefetagen weitestgehend vorbeigegangen zu sein

Von unserem Fabio Marti, Director Business Development bei der Brabbler AG

[datensicherheit.de, 18.09.2018] Zwei Jahre Vorlaufzeit hatte die DSGVO, bevor es ernst wurde; und in den Monaten vor ihrem Start kannten die Medien praktisch kein anderes Thema mehr. An den Chefetagen vieler deutscher Unternehmen scheint das jedoch weitestgehend vorbeigegangen zu sein. Dort herrscht eine erschreckende Ahnungslosigkeit darüber, was es mit den neuen Datenschutzvorgaben der Europäischen Union auf sich hat. Das offenbart die aktuelle „@work“-Studie der Brabbler AG, die unmittelbar vor Inkrafttreten der DSGVO eine Umfrage in deutschen Unternehmen durchgeführt hat. Ein zentrales Ergebnis: Von den Umfrageteilnehmern, die der Geschäftsführung angehören, gab knapp die Hälfte an, nicht genau zu wissen, worum es bei der DSGVO geht. Und das, obwohl es die Geschäftsleitung ist, die vornehmlich für Verstöße haftet.

Diese Nachlässigkeit rächt sich. Vor allem auf den Smartphones ihrer Mitarbeiter verlieren viele Unternehmen die Kontrolle über ihre Daten, denn dort finden sich häufig private Apps, die auch beruflich genutzt werden. So sagte rund die Hälfte der Umfrageteilnehmer, dass sich auf ihrem Diensthandy WhatsApp befindet – wodurch sie ihren Arbeitgeber gehörig in die DSGVO-Bredouille bringen. Mögliche Maßnahmen, um diese Problematik in den Griff zu bekommen, werden nur selten ergriffen. Datenschutzkonforme Business-Messenger als Alternative zu WhatsApp? Stellen nur wenige Unternehmen ihren Mitarbeitern zur Verfügung. Technische Limitierungen, die die Installationsmöglichkeiten auf dienstlichen Smartphones einschränken? Sind ebenfalls meist Fehlanzeige.

Bild: Brabbler AG

Fabio Marti: „Wird schon gutgehen“ ist definitiv die falsche Einstellung

Risiken gehen weit über das reine Compliance-Problem hinaus

Viele Unternehmen scheinen in Sachen DSGVO nach dem Motto „wird schon gutgehen“ zu verfahren. Das ist definitiv keine gute Idee. Dass es bei Verstößen gegen die neuen Datenschutzvorgaben saftige Geldstrafen hageln kann, sollte sich inzwischen auch bis in die Chefetagen herumgesprochen haben. Doch die Risiken gehen noch weit über das reine Compliance-Problem hinaus. Sie erstrecken sich auch auf die Gefahr, Betriebsgeheimnisse zu verlieren. Wenn Mitarbeiter über private Apps, die keine unternehmenstauglichen Schutzvorkehrungen aufweisen, Interna austauschen, machen sie Cyber-Kriminellen ihr Handwerk ziemlich leicht; und da hinter diesen Apps meist US-amerikanische Anbieter stehen, die die Daten in den USA vorhalten, kommt die Gefahr der Wirtschaftsspionage noch on top oben drauf. In Zeiten von Handelskriegen und „America First“ ist das sicher keine Paranoia. Zudem entziehen sich alle Informationen, die über solche Tools ausgetauscht werden, komplett dem Zugriff des Arbeitgebers. Geschäftsvorgänge können so nicht dokumentiert oder nachvollzogen werden.

Arbeitgeber täten gut daran, sich eingehender mit den Vorgaben der DSGVO auseinanderzusetzen. Diese sind ja nicht – wie oft behauptet – reine Datenschutzschikane, sondern dienen vor allem auch als Katalysator für Maßnahmen zu mehr Datensicherheit und -hoheit. Wie die WhatsApp-Verbreitung am Arbeitsplatz zeigt, gibt es hier vor allem bei der digitalen Kommunikation Handlungsbedarf. Unternehmen sollten ihren Mitarbeitern einen Business-Messenger zur Verfügung stellen, der ihnen dieselbe hohe Usability bietet wie ihre privaten Tools und gleichzeitig die Einhaltung der DSGVO-Vorgaben gewährleisten kann. Das gibt ihnen über die reine Compliance hinaus auch wieder mehr Kontrolle über ihre eigenen Daten. Ansonsten werden sich viele Mitarbeiter wohl auch weiterhin mit ihren privaten Tools behelfen. Auf den praktischen Nutzen von Instant Messaging, den sie inzwischen gewohnt sind, werden sie nicht einfach wieder verzichten wollen. Auch Verbote können daran nichts ändern. An der Anschaffung sinnvoller Alternativen führt deshalb kein Weg vorbei. Greift man hier zur Abwechslung einmal nicht zu den bequemen Angeboten aus dem Silicon-Valley, sondern setzt auf europäische Lösungen, dann bedeutet das womöglich etwas mehr Initialaufwand bei der Auswahl. Dafür können mittelfristig Geldstrafen oder der Verlust von Betriebsgeheimnissen besser vermieden werden.

Weitere Informationen zum Thema:

ginlo@work
Digitale Kommunikation & Datenschutz privat und im Beruf

datensicherheit.de, 20.08.2018
Datenhoheit versus Datenschutz in der digitalen Kommunikation

datensicherheit.de, 29.07.2018
DSGVO: Hohe Bekanntheit bei geringer Wertschätzung

datensicherheit.de, 25.07.2018
Nutzer klagen über nachlässigen Datenumgang von Facebook

datensicherheit.de, 23.03.2018
Die sieben häufigsten Fehler der digitalen Kommunikation

The post DSGVO: „Wird schon gutgehen“ ist definitiv die falsche Einstellung appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Durch die dynamische Analyse des Verhaltens der Nutzer können Bedrohungen besser und schneller erkannt werden

Von unserem Gastautor Till Jäger, Security Engineer bei Exabeam

[datensicherheit.de, 18.09.2018] Ob Spear-Phishing, Ransomware oder Zero-Day-Exploits, Netzwerke sind ständig in Gefahr gehackt zu werden. Die wachsende Bedrohung geht einher mit immer komplexeren IT-Landschaften, mehr Daten und weniger IT-Personal. Um ihre Netzwerke unter diesen schwierigen Umständen effektiver zu schützen, setzen viele Unternehmen inzwischen auf Technologien wie KI-basierte Verhaltensüberwachung. Sie nutzt die Möglichkeiten von Datenanalyse und maschinellem Lernen um einen der größten Risikofaktoren im Netzwerk zu minimieren: den Benutzer. Nutzer sind die Einfallstore, die sensible Unternehmensdaten gefährden, sei es ein kompromittiertes Nutzerkonto im Netzwerk, ein Insider-Angriff oder unbedachtes Verhalten eines Mitarbeiters.

Maschinelles Lernen steigert die Effizienz der Überwachung durch Automatisierung

Um die Gefahr ausgehend von Nutzern zu minimieren, können Algorithmen für Maschinelles Lernen die Verhaltenstrends der Nutzer im Netzwerk analysieren und individuelle Richtlinien für jeden einzelnen Benutzer erstellen. Diese kontinuierliche Analyse des normalen Verhaltens von Mitarbeitern kann so den Kontext liefern, um nicht normale Aktivitäten schnell zu erkennen und gegebenenfalls Alarm zu geben. Bei vielen herkömmlichen Tools zur Netzwerküberwachung fehlt dieser Kontext, wodurch sich die Wahrscheinlichkeit erhöht, dass verdächtiges Verhalten übersehen oder normales Verhalten als verdächtig eingestuft wird – und zu einem Fehlalarm führt. So kann das Verhalten eines Mitarbeiters aus der Personalabteilung, der auf Finanzinformationen im Netzwerk zugreift, auf den ersten Blick ungewöhnlich erscheinen. Doch hat er das auch in der Vergangenheit getan, weil er beispielsweise mit der Buchhaltungsabteilung für die Personalabrechnung zusammengearbeitet hat, können Lösungen aufbauend auf Maschinellem Lernen den Vorgang nachvollziehen und mit etabliertem Verhalten in Zusammenhang bringen. Ein Fehlalarm wird dadurch vermieden.

Das Konzept, das Nutzerverhalten zu kategorisieren, ist nicht neu, erfordert bei traditionellen manuellen Ansätzen jedoch einen erheblichen Zeit- und Ressourcenaufwand, der die IT-Sicherheitsteams in der Regel schnell überfordert. Durch KI-basierte Systeme wird dieser Prozess wesentlich effizienter, und das Sicherheitspersonal kann sich auf anspruchsvollere Aufgaben konzentrieren. Darüber hinaus können sich KI-basierte Systeme dynamisch an neue Verhaltensmuster des Nutzers anpassen und dadurch im Laufe der Zeit ihre Parameter immer weiter verfeinern, sodass reale Bedrohungen schnell erkannt und Fehlalarme minimiert werden.

Künstliche Intelligenz: Unterstützung, aber kein Ersatz für IT-Sicherheitsteams

Obwohl KI-basierte Verhaltensüberwachung viele Vorteile bietet, ist sie kein Allheilmittel für Probleme mit der Sicherheit von Netzwerken. Das teils irreführende Marketing mancher Anbieter hat dazu geführt, dass einige Unternehmen der riskanten Fehleinschätzung erliegen, sie könnten ihre IT-Teams reduzieren und ihre Netzwerksicherheit stattdessen neuen KI-Security-Lösungen anvertrauen. Zwar optimieren KI-basierte Lösungen das Verständnis des Nutzerverhaltens im gesamten Netzwerk erheblich, eine sorgfältige Verwaltung durch erfahrene Sicherheitsexperten ist jedoch nach wie vor unerlässlich.

Die KI-basierte Verhaltensüberwachung ist also kein Ersatz, sondern eine maßgebliche Verstärkung für bestehende Sicherheitspraktiken. Sie reduziert zeitaufwendige Prozesse und unterstützt IT-Teams dadurch enorm. Eine effektive KI-basierte Verhaltensüberwachung kann signifikante Datenmengen verarbeiten, Benutzeraktivitäten in Zeitleisten zusammenfassen und diese innerhalb weniger Minuten durch den Abgleich mit dem Standardverhalten analysieren. Dieselbe Aufgabe würde selbst einen erfahrenen Sicherheitsanalysten Tage, Wochen oder sogar Monate kosten. Von dieser manuellen Aufgabe befreit, kann das Fachpersonal die gewonnene Zeit effektiv nutzen, um die erstellten Benutzerprofile auf verdächtige Verhaltensabweichungen und die vom KI-System ausgelösten Warnmeldungen zu überprüfen.

Fazit

Die Herausforderungen, denen Netzwerk-Sicherheitsteams heute gegenüberstehen, sind zahlreich und schwierig. Der Einsatz von Technologien wie KI-basierter Verhaltensüberwachung kann die Last der IT-Teams erheblich reduzieren, da viele der zeitaufwändigeren manuellen Aufgaben entfallen, die eine effektive Netzwerksicherheit erfordert. KI sollten jedoch nicht als Ersatz für geschultes IT-Sicherheitspersonal gesehen werden, sondern als Verstärkung, die die operative Effizienz eines jeden Teams erheblich verbessert.

Bild: Exabeam

Till Jäger ist Security Engineer für Central & Eastern Europe bei Exabeam. Jäger hat über 20 Jahre Expertise im IT-Security-Umfeld und ist als Certified Ethical Hacker (CEH) und Certified Information Systems Security Professional (CISSP) zertifiziert. Vor Exabeam war er unter anderem bei ArcSight/HP sowie bei CA und verfügt über umfangreiche Erfahrung in den Bereichen SIEM und Identity and Access Management.

Weitere Informationen zum Thema:

datensicherheit.de, 30.08.2018
Maschinelles Lernen für effektive Netzwerksicherheit

datensicherheit.de, 26.07.2017
Der Mensch als Schlüsselfaktor Cybersicherheit

datensicherheit.de, 26.07.2018
Cybersicherheit: Die Lücke zwischen Schutz und Risiko

datensicherheit.de, 28.06.2018
Vom Menschen lernen: Das lebende Unternehmen

datensicherheit.de, 29.08.2017
Privilegierte Benutzerkonten ins Visier von Hackern

The post Künstliche Intelligenz zur Erhöhung der Sicherheit im Netzwerk appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 18.09.2018] Das Unternehmen Palo Alto Networks meldet die Entdeckung einer neuen Malware-Familie, die auf Linux- und Microsoft Windows-Server abzielt, und hat ihr den Namen XBash zugewiesen. Den IT-Sicherheitsexperten gelang es, diese Malware mit der Iron Group zu verknüpfen, eine Hackergruppe, die in der Vergangenheit bereits für mehrere Ransomware-Angriffe verantwortlich war.

Xbash hat Fähigkeiten zur Selbstverbreitung

Xbash verfügt über Ransomware- und Coin-Mining-Funktionen. Die Malware hat auch Fähigkeiten zur Selbstverbreitung, also wurmartige Eigenschaften, ähnlich wie bei WannaCry oder Petya/NotPetya. Zudem verfügt Xbash auch über Funktionen, die derzeit nicht implementiert sind, es aber ermöglichen könnten, sich bei der Implementierung sehr schnell innerhalb des Netzwerks eines Unternehmens zu verbreiten. Dies ist ebenfalls ähnlich wie bei WannaCry oder Petya/NotPetya.

Die Malware verbreitet sich, indem es schwache Passwörter und nicht gepatchte Schwachstellen angreift. Mit seinen Ransomware-Funktionen zerstört Xbash Daten und Linux-basierte Datenbanken. Die Forscher von Palo Alto Networks haben dabei keine Funktionalität in Xbash gefunden, die eine Wiederherstellung nach Zahlung des Lösegeldes ermöglichen würde. Dies bedeutet, dass Xbash, wie NotPetya, eine datenvernichtende Malware ist, die Ransomware nachahmt. Im Gegensatz zu NotPetya ist Xbash jedoch multifunktional, plattformübergreifend und kombiniert Funktionen, die normalerweise in einzelnen Teilen von Malware zu sehen sind. Diese Funktionen sind nun in einem einzigen, effektiven Paket vereint.

Xbash ist somit eine neuartige und komplexe Linux-Malware und das neueste Werk einer aktiven cyberkriminellen Gruppe. Ausgehend von den Eigenschaften und Verhaltensweisen der Malware konnten die Experten für Cybersicherheit viele Trends erkennen, die die aktuelle IoT/Linux-Sicherheit betreffen:

• Die Angreifer erweitern ihre profitorientierten Strategien vom Abbau von Kryptowährungen auf das Entwenden von Kryptowährungen und auf Lösegeldforderungen.
• Die Angreifer dehnen ihr Territorium aus, indem sie Domain-Namen scannen und das Intranet von Unternehmen angreifen.
• Sie suchen nach mehr potenziellen Opfern, indem sie immer mehr Schwachstellen sammeln, egal, ob die Schwachstelle neu oder alt ist, und egal, ob sie bekannt ist oder nicht, also eine CVE-Nummer vergeben wurde oder noch nicht.
• Die Angriffe sind plattformübergreifend und durch eine schnelle Entwicklung gekennzeichnet.
• Verschiedene Arten von Skriptdateien dienen als Mittler zwischen der Ausnutzung von Schwachstellen und der Ausführung von Malware.

Unternehmen können sich durch folgende Maßnahmen gegen Xbash schützen:

• Verwendung von sicheren, nicht voreingestellten Passwörtern.
• Auf dem Laufenden bleiben bezüglich Sicherheitsupdates.
• Implementierung von Endgerätesicherheit auf Microsoft Windows- und auf Linux-Systemen.
• Verhinderung des Zugriffs auf unbekannte Hosts im Internet, um die Kommunikation mit Command-and-Control-Servern (C2) zu unterbinden.
• Implementierung und Aufrechterhaltung strenger und effektiver Backup- und Wiederherstellungsprozesse.

Weitere Informationen zum Thema:

Palo Alto Networks Blog
Xbash Combines Botnet, Ransomware, Coinmining in Worm that Targets Linux and Windows

datensicherheit.de, 10.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

datensicherheit.de, 11.07.2018
USB-Laufwerke: Palo Alto Networks warnt vor eingeschleustem Trojaner

datensicherheit.de, 06.12.2017
Studie von Palo Alto Networks: IT-Manager im Gesundheitswesen setzen auf Cyber-Sicherheit

The post Xbash: Neue Malware nimmt Linux und Windows ins Visier appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

PSW GROUP rät zur Multi-Faktor-Authentifizierung und Verschlüsselung via TLS

[datensicherheit.de, 17.09.2018] Das Sicherheitsunternehmen Lacework stieß im Internet auf über 22.000 öffentlich zugängliche Managementoberflächen zur Verwaltung von Containern, die vorrangig zum Open-Source-System Kubernetes gehören. Darauf machen die IT-Sicherheitsexperten der PSW GROUP aufmerksam: „Das hätte Unbefugten die Möglichkeit eines kompletten Zugriffs auf die Containerverwaltung spendiert. Via API und User Interface wäre Angreifern schlimmstenfalls sogar eine Remote Code Execution möglich“, verdeutlicht Geschäftsführer Christian Heutger die Tragweite der Entdeckung.

Unternehmen müssen heutzutage immer schneller neue Anwendungen, Erweiterungen und Updates auf den Markt bringen. Dazu bedienen sie sich so genannter Microservices. Deren „Verpackung“ wird als Container bezeichnet. Ein Container enthält neben der eigentlichen Anwendung alle Abhängigkeiten wie Bibliotheken und Konfigurationsdateien. „Wer viele Container betreibt, braucht aber auch eine komfortable Verwaltung. Eines dieser Verwaltungssysteme ist Kubernetes, das die Bereitstellung, Verwaltung und Skalierung von Container-basierten Anwendungen automatisiert. Es erfreut sich insbesondere bei Entwicklern, CTOs und IT-Architekten großer Beliebtheit. Typisch für die Kubernetes-Plattform ist eine Web-Oberfläche, die mittels Public Cloud über öffentliche IP-Adressen zu erreichen ist. Laut Lacework sind nun also rund 22.000 dieser Managementoberflächen öffentlich zugänglich“, erklärt Heutger die Hintergründe.

Wenngleich laut Lacework die Mehrheit aller Zugänge mithilfe von Login-Daten geschützt war, standen doch 305 der aufgespürten Cluster offen. „Sie waren also entweder nicht durch ein Passwort geschützt oder aber sie befanden sich gerade im Setup-Prozess. Unter anderem gehörten dazu auch 38 Server für Containerumgebungen des Health-Check-Dienstes Healthz, zu denen Zugriff ohne Zugangsdaten möglich war“, so Heutger.

© PSW Group

Christian Heutger, Geschäftsführer der PSW GROUP,

Das Ausmaß wird deutlich bei einem Blick auf die von Lacework veröffentlichten Zahlen: 95 Prozent der aufgespürten Management-Oberflächen werden bei Amazons Web Services (AWS) gehostet. Knappe 80 Prozent der Oberflächen gehören zu Kubernetes, die restlichen 20 Prozent zu Swarmpit und Docker Swarm. Weitere Oberflächen waren von Swagger API, Red Hats Openshift und Mesos Marathon erreichbar. Mehr als die Hälfte der offenen User Interfaces (UI) werden in den USA gehostet, es folgen Irland, Australien, Deutschland, Singapur sowie Großbritannien.

Dabei sind es nicht ausschließlich die ungeschützten Interfaces, die problematisch sind. Auch bei den mit Zugangsdaten geschützten Managementoberflächen ist die Angriffsfläche hoch: „Cyberkriminelle könnten Sicherheitslücken ausnutzen, auf Zertifikate zugreifen oder Dictionary- sowie Brute-Force-Angriffe starten. Aus diesem Grund empfiehlt sogar Kubernetes-Initiator Google, das Kubernetes-UI zu deaktivieren“, ergänzt Heutger. Für einen sicheren Umgang mit Containerverwaltungen sind deshalb nach Meinung des IT-Sicherheitsexperten sowohl eine Multi-Faktor-Authentifizierung, als auch das Regulieren des Zugangs von UI- und API-Ports empfehlenswert. „Aber auch ein so genannter Bastion Host und eine sichere Verschlüsselung via TLS und valide Zertifikate helfen“, so Heutger.

Weitere Informationen zum Thema:

PSW GROUP
Schock: Lacework entdeckt tausende ungeschützte Containerverwaltungen

datensicherheit.de, 16.09.2018
Europas Unternehmen mit Nachholbedarf im Bereich Cloudsicherheit

datensicherheit.de, 06.09.2018
Mehr Vertraulichkeit im Internet durch DNS über HTTPS

The post Lacework: Tausende ungeschützte Containerverwaltungen entdeckt appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 16.09.2018] Das 5. Symposium der BfDI am 13.09.2018 und 14.09.2018 in der Vertretung des Landes Rheinland-Pfalz in Berlin habe mit seinem breit gefächerten Programm deutlich gemacht, dass die Informationsfreiheit längst einen festen Platz im internationalen Diskurs von Verwaltung und Wissenschaft einnimmt. Bei verschiedenen Vorträgen und Diskussionen informierten renommierte Dozenten über aktuelle Themen und Fragestellung des Informationsfreiheitsrechts. Für den Blick über den Tellerrand sorgten als internationale Gastredner Dr. Ben Worthy von der University of London und Prof. Dr. Pablo Contreras Vasquez von der chilenischen Transparenzbehörde.

Andrea Voßhoff resümiert: „Das Symposium hat eindrucksvoll gezeigt, mit welcher Dynamik die Entwicklung des Informationsfreiheitsrechtes auch außerhalb Europas voranschreitet. Informationsfreiheitsgesetze werfen in der Umsetzung sicherlich eine Reihe praktischer Fragen auf. Insgesamt bestand jedoch ein breiter Konsens, dass der Zugang zu Verwaltungsinformationen – bei allen praktischen Herausforderungen für die betroffenen Behörden – ein entscheidendes Instrument für Teilhabe an der Demokratie ist. Bürgerinnen und Bürger brauchen hierbei einen starken Unterstützer und Mediator. Deshalb wiederhole ich an dieser Stelle meine Forderung, meine Ombudsfunktion auf das Umwelt- und Verbraucherinformationsrecht zu erweitern.“

Über das Symposium

Zum fünften Mal veranstaltete die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein zweitägiges Fachsymposium zum Informationsfreiheitsrecht. Mehr als 100 Teilnehmerinnen und Teilnehmern aus dem Bundestag, der Justiz und der Rechtswissenscha

Weitere Infiormationen zum Thema:

datensicherheit.de, 29.01.2018
Andrea Voßhoff: Datenschutz als Basis der Digitalen Souveränität

datensicherheit.de, 29.01.2018
Dieter Kugelmann: Plädoyer für Souveränität in der digitalen Welt

datensicherheit.de, 04.12.2017
Andrea Voßhoff fordert: Datenschutz nicht von kommerziellen Erwägungen steuern lassen

The post Rückblick: 5. Symposium zur Informationsfreiheit appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.