Wie Welt-Online heute berichtet, haben US-Kunden Apple wegen der Sammlung von Geodaten verklagt. Sie verlangen, dass Apple die Sammlung von Ortungsdaten beendet und fordern eine Erstattung des Kaufpreises, weil sie das iPhone nicht gekauft hätten, wenn Sie von der Datensammlung gewusst hätten. Ich denke, sie werden den Prozess verlieren.
Eine ereignisreiche Woche liegt hinter uns. Gehackte Websites, trickreiche Exploits, Wirbel um iPhone Ortungsdaten und zu allem Überfluss die Entführung des Sohns von Kaspersky-Gründer Eugene Kaspersky. Der Reihe nach:
Die Woche begann turbulent: Mal wieder tauchten Dokumente auf, in denen geheime Informationen nicht richtig geschwärzt waren. Dieses Mal veröffentlichte das britische Militär unbeabsichtigt brisante Details über Atom-U-Boote (heise Security). Die Textstellen waren in dem veröffentlichten PDF-Dokument zwar geschwärzt, es handelte sich jedoch nicht um schwarze Balken sondern um schwarzen Text auf schwarzem Grund. Kopiert man den Text in die Zwischenablage und in ein anderes Textverarbeitungsprogramm, so kann man ihn natürlich ohne Probleme lesen.
Nachdem in den letzten Monaten einige bekannte Firmen Opfer von gezielten Angriffen wurden, traf es nun den Softwarehersteller Ashampoo. Bei dem Angriff gingen Namen und E-Mail-Adressen von Kunden verloren. Zahlungsinformation wie Kreditkarteninformationen oder Bankdaten seien nicht von dem Angriff betroffen gewesen. Dass über diesen eher geringfügigen Vorfall in der Presse berichtet wurde, zeigt, dass die Awareness für gezielte Angriffe in diesem Jahr deutlich gestiegen ist. Heise online zeigt in seiner Berichterstattung mehrere Angriffsszenarien auf, wie mit den gewonnenen Informationen weitere Angriffe durchgeführt werden können.
Am selben Tag berichtete der Onlinedienst über einen Angriff via Drive-by-Download auf der Webseite der Menschenrechtsorganisation Amnesty. Dabei wurde eine Schwachstelle in Adobe Flash ausgenutzt. Das raffinierte an dem Angriff war, dass der Angriff die Heuristiken von insgesamt 42 Virenscannern austrickste. Die Schatzsoftware wurde zunächst als vorgebliche JavaScript-Datei heruntergeladen. Der Versuch des Browsers die Software auszuführen schlug natürlich fehlt, da es sich nicht um JavaScript handelte. Im Folgenden konnte das Programm jedoch im Cache des Rechners aufgerufen werden, was von den Antivirenprogrammen nicht mehr als verdächtige Aktion bewertet wurde. Diese wäre nur misstrauisch geworden, wenn die Software direkt aus dem Internet heruntergeladen worden wäre. Die Sicherheitsfirma Armorize stellt in ihrem Blog weitere Informationen zur Verfügung.
Für einigen Wirbel sorgte dann die Berichterstattung über die Aufzeichnung von Ortungsdaten im iPhone. Heise hat in einem Artikel eine ganze Reihe von Quellen zusammengetragen, die den Hype in diesem Zusammenhang in einem interessanten Licht erscheinen lassen. Nicht nur Onlinequellen berichteten bereits im September letzten Jahres von der Datensammlung, die betroffene Datenbank wurde bereits in einem Buch erwähnt – alter Wein in neuen Schläuchen.
Zuletzt wurde dann bekannt, dass der Sohn von Kaspersky CEO Eugene Kaspersky gekidnappt worden sei. Auch wenn die Berichte von offizieller Seite nicht bestätigt wurden, berichtete The Register von einer Lösegeldforderung in Höhe von 3 Millionen Euro. Alles in allem also eine wirklich turbulente Woche. Hoffen wir auf ein ruhigeres Osterwochenende und ein gutes Ende der Entführung.
Bei Security-Experten war die Vorratsdatenspeicherung bisher ohnehin umstritten. Nun legte der wissenschaftliche Dienst des Bundestags eine Sachstandanalyse vor, aus der hervorgeht, dass es innerhalb der EU keine Hinweise dafür gäbe, dass eine verdachtsunabhängige Protokollierung von Nutzerspuren den Ermittlern nachweisbar bei ihrer Arbeit hilft.
Wie Heise online berichtet, könne dies hier jedoch auch damit zusammenhängen, dass noch zu wenige statistische Daten vorlägen. Aus den vorhandenen Daten lässt sich so ziemlich alles ablesen: in einigen Ländern ging nach Einführung der Vorratsdatenspeicherung die Aufklärungsquote sogar zurück.
Wie Heise online berichtet, gibt es im Fall der fehlerhaft ausgestellten Zertifikate bei einem Comodo-Registrar weitere Fälle von kompromittierten Zertifikaten (siehe auch: SSL-Zertifikate von Comodo kompromittiert und SSL-Zertifikate von Comodo kompromittiert). Bei weiteren Untersuchungen habe sich herausgestellt, dass zwei weitere Registrierungsstellen kompromittiert wurden. Comodo machte keine Angaben darüber, um welche es sich handele.
Robin Alden, der Chief Technology Officer von Comodo gestand freimütig ein, dass man die Möglichkeit, dass eine solche Registrierungsstelle Opfer eines gezielten Angriffs werden könne, bislang schlicht nicht in Betracht gezogen habe (siehe auch: Immer mehr gezielte Angriffe).
Auch hier wird deutlich, dass die Gefahr von gezielten Angriffen häufig unterschätzt wird. Und dass gilt offensichtlich nicht nur für „normale “ Unternehmen, sondern auch für Unternehmen der Sicherheitsbranche.
In letzter Zeit häufen sich die Berichte über gezielte Angriffe auf Unternehmen und Behörden. Aktuell hat es Australiens Regierung getroffen. Die Computer der Ministerpräsidentin Julia Gillard und mehrere ihrer Minister seien von dem Angriff betroffen. Während die Angriffe nach Angaben von Spiegel online von der Regierung noch nicht bestätigt seien, berichtet der “Daily Telegraph” bereits, dass die Regierung chinesische Geheimdienste hinter der Attacke vermutet.
Bereits vor wenigen Tagen hatte ein Angriff auf die Rechner der Europäischen Kommission für Schlagzeilen gesorgt (Computersysteme der EU-Kommision Ziel von Angriffen). Auch das französische Finanzministerium (Cyber-Angriff auf französisches Finanzministerium) sowie Rechner der kanadischen Regierung (Cyberangriff auf kanadische Regierung) waren in diesem Jahr bereits von gezielten Angriffen betroffen. Auch hinter dem Angriff auf Comodo-Zertifikate aus der vergangenen Woche soll ein Geheimdienst stecken (Comodo-Zertifikate vom Iran geklaut?). Zumindest in letzterem Fall wurde jetzt ein Bekennerschreiben bekannt, was auf einen Einzeltäter hindeutet. Allerdings rühmt der sich, die Erfahrung von 1000 Hackern zu haben. Vielleicht war’s ja der Abteilungsleiter “Cyber-Attacken Länder A-K” des iranischen Geheimdienstes. Mikko H. Hypponen, Forschungschef bei F-Secure, twittert:
“Die Veröffentlichungen sehen überzeugend aus. Ob sie aber ein 21-jähriger Einzeltäter oder die PR-Abteilung der iranischen Regierung veröffentlicht hat, weiß ich nicht.” (zum Tweet)
Das besondere Problem bei diesen Angriffen steckt darin, dass man sich vor ihnen durch Virenscanner und Firewalls nicht schützen kann. Standardsicherheitsmaßnahmen Versagen an dieser Stelle. Hier ist vielmehr ein umfassendes, risikobasiertes Schwachstellenmanagement gefragt. Der zusätzliche Aufwand hierfür wurde in der Vergangenheit von vielen Unternehmen und Behörden gescheut. Wir werden sehen, ob die Vorfälle dieses Jahres hier ein Umdenken bewirken können.
Nach dem RSA Opfer eines Angriffs geworden ist, bei dem auf vertrauliche Unternehmensdaten gestohlen wurden, sei nun möglicherweise die Sicherheit der SecureID-Produkte gefährdet. Das berichtet Heise-Online in einem Artikel.
Der Vorfall betrifft die Sicherheit von weltweit mehr als 40 Millionen Token, mit denen Anwender Einmal-Passwörter generieren können. Das Problem besteht nun darin, dass ein Angreifer mit den gestohlenen Informationen den Algorithmus nachvollziehen kann, mit dem die Einmal-Passwörter generiert werden. Damit ist die Sicherheit dieser Methode nur noch durch das zusätzlich geforderte Passwort gewährleistet.
Gegenüber einem normalen Account, an dem man sich mit einem Passwort anmeldet, ist die zusätzliche Sicherheit damit verloren. Darüber hinaus kann man davon ausgehen, dass in Umgebungen in denen SecureID-Produkte eingesetzt werden weniger Wert auf die Sicherheit dieses zusätzlichen Passworts gelegt wird.
In einer offiziellen Mitteilung an die US-Börsenaufsicht führt RSA mehrere Empfehlungen auf, mit denen die Sicherheit der SecureID-Produkte erhöht werden kann.
Mit diesem Titel überschreibt das c’t special Mac & i ein Interview mit CCC-Sprecher Felix von Leitner in seiner aktuellen Ausgabe. Im Magazin selbst ist das Interview gekürzt, auf der Webseite kann man es in voller Länge lesen.
“Sicherheit im Sinne von “Versuche, mein System anzugreifen, sind zum Scheitern verurteilt” hat Apple nicht.”
Das Bild das Felix Leitner zeichnet ist übel und bereits im Dezember hatte Malware-Experte Andreas Marx im Mac & i-Interview gewarnt: “Der Mac ist angreifbar“.
Wer sich jetzt wundert, warum ich mich plötzlich für Apple interessiere: Ich bin seit wenigen Tagen Besitzer eines MacBook Pro. Es wird hier also in nächster Zeit auch das ein oder andere Posting rund um den Mac geben…
Wie Spiegel-Online berichtet setzte das bayerische LKA in einem Fall von “normaler Kriminalität” ein Spionageprogramm ein. Am Münchner Airport verschwanden die Kontrolleure mit dem Laptop eines Reisenden im Nebenraum. Seit 2008 führt die Polizei ein Ermittlungsverfahren wegen “banden- und gewerbsmäßigen Handelns und Ausfuhr von Betäubungsmitteln”. Im 30-Sekunden-Takt schickte die Software Screenshots an die Ermittler. Die Ausspähung fiel nach Angaben von Spiegel-Online erst auf, als der Anwalt des Beschuldigten Monate später in der Ermittlungsakte Fotos vom Bildschirm seines Mandanten fand.
Lustig wird der Artikel dann am Schluss: Eine Anklage gibt es nämlich bis heute nicht. Die Staatsanwaltschaft möchte möglicherweise vermeiden in einer öffentlichen Verhandlung mehr über ihren verdeckten Cyber-Helfer preisgeben zu müssen, als ihnen lieb ist.
“Doch wo ist der Spion heute? Drei Monate durfte er laut Genehmigung des Amtsgerichts auf dem Laptop lauschen. Danach wurde der Computer bei einer Durchsuchung einkassiert und wanderte in die Asservatenkammer. Wenn das Programm der eigenen Leistungsbeschreibung gefolgt ist, hat es sich dort inzwischen selbst zerstört.”
Hören Sie in Ihrem Kopf jetzt auch die selbe Melodie wie ich?
Nachdem der Putzmittel-Raum, der Verfügungs-Raum und der Alpt-Raum ausreichend abgesichert waren, hat sich Innenminister Dr. Thomas de Maizière nun eine Sicherheitsstrategie für den “Cyber-Raum” ausgedacht. In Fachkreisen wird gemunkelt, das sei der Raum, in dem sich der Innenminister in regelmäßigen Abständen das Internet ausdrucken lässt. In dem Papier scheint es aber um einen anderen Raum zu gehen. Aus dem Pressetext:
“Kernelemente der Strategie sind der Schutz der IT-Systeme in Deutschland, insbesondere im Bereich kritischer Infrastrukturen, die Sensibilisierung der Bürgerinnen und Bürger zum Thema IT-Sicherheit, der Aufbau eines Nationalen Cyber-Abwehrzentrums sowie die Einrichtung eines Nationalen Cyber-Sicherheitsrates.”
Hierzu erklärte Bundesinnenminister Dr. Thomas de Maizière:
“Die Gewährleistung von Sicherheit im Cyber-Raum und der Schutz der kritischen Informationsinfrastrukturen sind existenzielle Fragen des 21. Jahrhunderts und erfordern ein hohes Engagement des Staates. Dabei wollen wir die Cyber-Sicherheit auf einem hohen Niveau gewährleisten, ohne die Chancen und den Nutzen des Cyber-Raums zu beeinträchtigen.”
Im Klartext heißt das zum Beispiel: Wenn die Leute dank ePA kräftig im “Cyber-Raum” einkaufen, dann ist egal, wie sicher oder unsicher das Ganze ist.
Neben dem Nationalen Cyber-Abwehrzentrum und dem Nationalen Cyber-Sicherheitsrat soll es noch eine Task-Force “IT-Sicherheit in der Wirtschaft” geben. Mit dabei sind das BSI, der Verfassungsschutz sowie das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Hierzu habe BSI-Präsident Michael Hange erklärt:
“Neue Angriffsmechanismen, wie sie bei Stuxnet zu beobachten waren, orientieren sich nicht an der klassischen Aufgabenteilung deutscher Behörden.”
Da war es dann offensichtlich nötig, die Aufgaben weiter aufzuteilen und ein Zentrum, einen Rat und eine Task-Force aufzubauen.
Laut einer aktuellen Studie von Frost & Sullivan werde der Fachkräftebedarf von weltweit derzeit rund 2,3 Millionen Fachkräften für Informationssicherheit bis 2015 auf fast 4,2 Millionen ansteigen. Die Global Information Security Workforce Study wurde im Auftrag von (ISC)² unter rund 10.000 Sicherheitsexperten durchgeführt, 70% davon (ISC)²-Mitglieder. Grund für den Anstieg seien zusätzliche gesetzliche Anforderungen, mobile Geräte und Cloud-Services. Ein großes Problem seien auch die gestiegenen Anforderungen an das Management von Informationssicherheit.
Siehe auch den Bericht auf Heise Security.
