[datensicherheit.de, 15.09.2018] Venafi, Anbieter von Lösungen für den Schutz von Maschinenidentitäten, gibt die Ergebnisse einer Umfrage unter 515 IT-Sicherheitsexperten zu den Themen Cyberkrieg und nationale Sicherheit bekannt. Die Umfrage wurde vom 4. bis 9. August 2018 auf der Black Hat-Konferenz in Las Vegas durchgeführt.

Der Umfrage zufolge sagen 86 Prozent der IT-Sicherheitsexperten, dass sich die Welt derzeit mitten in einem Cyberkrieg befindet. Darüber hinaus glauben 40 Prozent der Befragten, dass ein nationalstaatlicher Cyberangriff bereits Menschenleben gefordert hat.

Bild: Venafi

Jeff Hudson, CEO von Venafi

„Unter dem Strich ändert sich der Begriff Krieg von etwas, das man mit Kugeln und Waffen am Boden macht, zu etwas, das man mit Bits und Bytes macht“, erklärt Jeff Hudson, CEO von Venafi. „Im Wesentlichen geht es in diesem Krieg darum, Informationen zu kompromittieren und zu kontrollieren. Sobald Sie das vollständig verstanden haben, ist es ziemlich einfach zu sehen, dass wir uns gerade in einem Cyberkrieg befinden.“

Weitere Ergebnisse der Umfrage sind:

• 80 Prozent der Befragten Security-Experten glauben, dass Angriffe, die die Wahlinfrastruktur stören, kriegerische Handlungen im Cyberkrieg sind. Das schließt Wahlautomaten und Maschinen ein, die Wahldaten übertragen, speichern, tabellieren und validieren.
• 86 Prozent der Umfrageteilnehmer glauben, dass Fehlinformationskampagnen, die darauf abzielen, die öffentliche Meinung für politische Ergebnisse zu manipulieren, Handlungen im Cyberkrieg sind.
• Nur 3 Prozent sagen, dass Cyberangriffe nie Menschenleben kosten werden.

Anfang des Monats veranstaltete DEF CON, die weltweit größte Hacking-Konferenz, ein Voting Machine Hacking Village, das sich auf die Infrastruktur und eine breite Palette von Wahlsystemen konzentrierte. Laut den Teilnehmern sind die Backend-Systeme, die sensible Stimmdaten enthalten, besonders anfällig für Manipulationen und Angriffe durch den Nationalstaat.

Im Juli veröffentlichte eine Grand Jury in den USA eine detaillierte Anklage gegen die internationale Einmischung bei den US-Präsidentschaftswahlen 2016. Details in der Anklageschrift deuten darauf hin, dass nationalstaatliche Akteure mit verschlüsselten Verbindungen und andere Angriffsmethoden Schwachstellen in der Wahlinfrastruktur ausgenutzt haben. Angriffe, die sich in verschlüsselten Tunneln verstecken, sind, ohne ein umfassendes Programm zum Schutz der Maschinenidentitäten schwer zu erkennen und zu unterbinden.

Weitere Informationen zum Thema:

Venafi
Webseite: Venafi Black Hat Survey – Cyber War Results

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten

datensicherheit.de, 21.09.2017
Black-Hat-Umfrage: Wahlhacks als möglicher Auftakt für einen Cyberkrieg

[datensicherheit.de, 13.08.2018] Viele Tracker-Apps, mit denen beispielsweise Eltern ihre Kinder orten können, haben gravierende Sicherheitslücken. Forscher des Fraunhofer-Instituts für Sichere Informationstechnologie haben beliebte Tracker-Apps aus dem Google Play Store untersucht – das Ergebnis: Keine einzige davon war sicher programmiert, alle hatten teils gravierende Schwachstellen. Angreifer können diese ausnutzen, um Bewegungsprofile zu erstellen, Chats und SMS-Nachrichten zu lesen und Bilder anzusehen. Besonders brisant: Angreifer müssen nicht jedes Smartphone einzeln überwachen, sondern können zeitgleich Millionen von Nutzern angreifen, die diese Apps auf ihrem Smartphone installiert haben. Zum ersten Mal vorgestellt haben die Wissenschaftler ihre Ergebnisse am 11. August auf der DEF CON Hacking Conference in Las Vegas.

Alle Apps haben gravierende Schwachstellen

Mit sogenannten Monitoring- oder Tracker-Apps können Smartphone-Nutzer überwacht werden. Beispielsweise nutzen Eltern eine solche App, um jederzeit zu wissen, wo sich ihre Kinder befinden oder welche Nachrichten und Bilder sie verschicken. Die Nutzung dieser Apps ist legal, sofern der oder die Ausspionierte damit einverstanden ist. Wissenschaftler des Fraunhofer SIT haben 19 legale Apps, die im Google Play Store angeboten werden, untersucht. Die Apps wurden laut Google mehrere Millionen Mal installiert. Die Wissenschaftler haben geprüft, wie die hochsensiblen Nutzerdaten, die diese Apps erheben, geschützt sind. Das Ergebnis: Alle Apps haben gravierende Schwachstellen, keine einzige Anwendung war sicher programmiert. Insgesamt haben die Forscher 37 Sicherheitslücken gefunden.

Hochsensiblen Daten werden meist im Klartext

Die hochsensiblen Daten werden meist im Klartext auf einem Server abgespeichert, ohne durch korrekte Verschlüsselung abgesichert zu sein. „Wir mussten lediglich eine bestimmte Webseite aufrufen und einen Nutzernamen in die URL eingeben oder raten, um das Bewegungsprofil einer Person aufzurufen“, erklärt Fraunhofer-Projektleiter Siegfried Rasthofer, der gemeinsam mit der Fraunhofer Hacking-Gruppe TeamSIK die Apps untersucht hat. Die Forscher fanden auf den Servern nicht nur Daten einzelner Personen, sondern konnten von allen Nutzern dieser Apps komplette Bewegungsprofile auslesen, die ungesichert auf einem Server gespeichert waren. „Damit ist eine Echtzeitverfolgung von Tausenden Menschen möglich“, sagt Rasthofer. Über die unsicher programmierten Apps können Angreifer nicht nur Metadaten wie Aufenthaltsorte abrufen, sondern auch Inhalte wie SMS-Nachrichten und Bilder der überwachten App-Nutzer lesen und ansehen. „Damit ist eine komplette Überwachung möglich“, erklärt Stephan Huber, Mitglied von TeamSIK und Forscher am Fraunhofer SIT.

Darüber hinaus ist es den Wissenschaftlern gelungen, die Anmeldeinformationen der App-Nutzer auszulesen. Auch diese waren bei den meisten Apps unverschlüsselt gespeichert oder nur mit völlig ungenügender Verschlüsselung gesichert – das Team um Siegfried Rasthofer und Stephan Huber hatte beispielhaft bei einer App 1.700.000 Login-Daten gefunden. Die Wissenschaftler haben die App-Anbieter sowie den Google Play Store über ihre Entdeckungen informiert. 12 der 19 untersuchten Apps sind inzwischen aus dem Play Store entfernt worden. Andere Anbieter hingegen haben gar nicht reagiert.

Weitere Informationen zum Thema:

Fraunhofer SIT TeamSIK
(In-) Security of Tracking Applications

datensicherheit.de, 22.01.2018
Digitalcourage kritisiert Tracking von Grundschulkindern