Cyber-Sicherheit: Neue Hacks und Leaks

Zum Wochenstart noch ein paar Infosplitter zu Hacks und Leaks von Daten, die mir die letzten Tage unter die Augen gekommen sind.

BrickerBot-Malware zielt auf angreifbare IoT-Geräte

Aktuell scheint ein Angriff auf ungesicherte IoT-Geräte (Router, Kameras etc.) zu laufen, bei der die Angreifer versuchen, die Geräte aktiv zu bricken. Dies ist der Firma Radware aufgefallen, die einige Honeypots betreibt. Die Infos wurden hier publiziert.

(Quelle: Radware.com)

Findet die Malware ein ungeschütztes IoT-Gerät mit Linux als Betriebssystem, versucht es über diverse Linux-Befehle das Gerät unbenutzbar zu machen. Dazu werden Partitionen und andere Inhalte gelöscht. Es wird spekuliert, dass es das Ziel der Malware sei, die Geräte unbrauchbar zu machen, bevor diese Teil eines Mirai-Botnetzes werden können. Details lassen sich hier und hier nachlesen (beide Artikel sind auf deutsch verfasst).

In diesem Artikel stellt heise.de fest, dass die IoT-Hersteller es Bug-Jägern unter den Sicherheitsforschern unnötig schwer machen. Wenn diese nämlich Sicherheitslücken an die Hersteller melden wollen, ist dies (außerhalb von Bug Bounty Programmen) kaum möglich und es passiert meist nichts. The Next Web kommt in diesem Artikel zum Schluss, dass IoT sicherheitstechnisch ziemlich kaputt ist und will Tipps geben, um das Problem zu beheben. Das Mirai-Botnetz bzw. die dazu gehörige Software wird übrigens von den Drahtziehern weiter entwickelt, wie heise.de hier schreibt.

Chinesen hacken Cloud-Anbieter

Alles will in die Cloud – dumm nur, wenn die Cloud-Anbieter gehackt werden. Bleeping Computer berichtet hier von einer chinesischen Hackergruppe, die gezielt Cloud-Anbieter angreift. Ziel ist es, über den Cloud-Zugang in abgesicherte Unternehmensnetzwerke einzudringen. Der Umweg über einen Cloud-Hack, um auf Unternehmensnetzwerke zuzugreifen, scheint ein neuer Ansatz zu sein.

Sicherheitssystem von Dallas gehackt – Sirenen angesteuert

Dass in Goods own country sicherheitstechnisch nicht alles zum Besten ist, kann man den vielen Hacks entnehmen. Der neueste Streich: Hackern ist es gelungen, in das Sicherheitssystem von Dallas einzudringen. Dann hat man um 23:40 mal eben die Sirenen in Dallas eingeschaltet. Erst um 1:20 des Folgetages gelang es, die Sirenen wieder abzuschalten. Details finden sich in diesem New York Times-Bericht.

US-Internetanbieter wollen (noch) keine Nutzerdaten verkaufen

In den USA herrscht ja Goldgräberstimmung bezüglich der Ausbeutung von Nutzerdaten. Und es wurde jetzt ein Gesetz verabschiedet, welches Internetanbietern gestattet, Surfdaten der Benutzer auch ohne deren Zustimmung zu verkaufen (siehe US-Kongress: Internetanbieter dürfen den Browserverlauf verkaufen). Zumindest versichern Verizon, Comcast und AT&T nach diesem ZDNet-Artikel, keine Daten zu verkaufen zu wollen. Mal schauen, wann der erste Fall ruchbar wird, und wie das demnächst in Deutschland gehandhabt wird (Merkel & Co. wollen ja Nutzerdaten als neue Ware etablieren).

Leaks nehmen zu, Patientendaten über Telemarketer geleaked

Momentan will man nicht wirklich in den USA leben, wenn einem die Privatsphäre wichtig ist. Laut einem IBM Security-Bericht hat 2016 die Zahl der geleakten Daten um 566 % auf mehr als 4 Milliarden Datensätze zugenommen (siehe diesen ZDNet-Artikel).

Wie Sorglosigkeit mit fehlender Sicherheit zu Datenlecks führt, zeigt ein neuer Fall, bei dem Patientendaten geleakt wurden. Ein Backup einer Datenbank mit 918.000 Benutzerdatensätzen, die von einem Telemarketer gepflegt wurde, ist wohl in falsche Hände geraten. Ein Nutzer hat diese wohl über die Suchmaschine Shodan auf einem Amazon Web Service (AWS-Server) öffentlich zugreifbar gefunden.

Die Nutzerdatensätze wurden von den Nutzern selbst generiert. Meist ältere Diabetes-Patienten konnten sich bei der Marketing-Firma registrieren, um nach Angabe ihrer Patientendaten Medikamente ggf. etwas vergünstigt zu bekommen. Die Marketingfirma HealtNow verwendete die Daten (ganz legal), um den Nutzern anderer Angebote zukommen zu lassen. 2015 schloss die Firma aber wohl ihre Pforten, was aber viele Leute nicht davon abhielt, weiter ihre Daten in diese Datenbank einpflegen zu lassen. Und dann gelangte das Backup der Datenbank in die Cloud, wo sie öffentlich abrufbar war. Details finden sich in diesem ZDNet-Artikel (englisch).

Hack der US-Steuerbehörde

Die US-Steuerbehörde IRS (Internal Revenue Service) ist ja häufiger das Ziel von Hackern. Ich erinnere an meine Blog-Beiträge Hack bei IRS (US-Steuerbehörde), 100.000 Daten entwendet und Hacker veröffentlichen 22.175 FBI Personaldatensätze und greifen IRS-PINs ab. Die Daten werden teilweise von den Hackern genutzt, um Steuererstattung von Steuerpflichtigen abzuzweigen. Jetzt ist der obige Fall des Hacks von 100.000 Konten nochmals in einer Anhörung beleuchtet worden. Hacker haben laut CNN die Daten von 100.000 Steuerpflichtigen ausgespäht, was letzten September auffiel. Den Angreifern scheint es gelungen, bei Steuerpflichtigen Steuerrückerstattungen umzuleiten. Etwas vergleichbares ist mir in Deutschland noch nicht unter die Augen gekommen.

Cyber-Kriminelle kapern Domain-Infrastruktur einer Bank

Hacks von Bankkonten war gestern – neuerdings versuchen Cyberkriminelle die komplette Domain-Infrastrukturen von Banken zu übernehmen. heise.de berichtet hier von einem Fall aus dem Jahr 2016 in Brasilien, wo Cyberkriminelle den DNS der Bank und damit alle 38 Domains kaperten und auf eigene Server umleiteten. Über eigene Let's Encrypt-Zertifikate wurden die Webseiten der Bank nachgebildet, um die Login-Daten der Kunden abzugreifen.

Ich hatte hier ja bereits in Blog-Artikeln drauf hin gewiesen, dass das ganze SSL-Zertifikatsgeschehen und die Reaktion der Browserhersteller in meinen Augen nicht so ganz hilfreich ist. Es wird eine Sicherheit suggeriert oder negiert, die so nicht existiert. Was ich noch nicht thematisiert habe: Versucht mal, in einem aktuellen Chrome-Browser auf die Schnelle das SSL-Zertifikat einzusehen. Früher reichte ein Klick auf den grünen https-Eintrag im Adressfeld des Browsers. In einem Popup konnte man das Zertifikat recht schnell einsehen. Heute muss man in die Entwicklertools gehen, um sich ggf. über ein Zertifikat zu informieren. Sicherheit durch Weglassen, was den Anwender belasten könnte, oder wie?

Ask.com zeigt Suchanfragen auf Apache Statusseite

Auch nett, ein Fall, den golem.de in diesem Artikel berichtet. Suchmaschinenbetreiber Ask.com gibt auf einer Apache Statusseite zusätzliche Informationen über Suchanfragen preis, was eigentlich nicht sein sollte. Laut Golem hat der Betreiber auf entsprechende Hinweise mindestens einen Monat nicht reagiert.

Malware-Kampagne verteilt Ursnif über verschlüsselte Word-Dateien

Bei bleepingcomputer.com macht man hier auf eine Spam-Kampagne aufmerksam. Der Empfänger der Spam-Mail findet im Anhang ein verschlüsseltes Word-Dokument, welches eine Rechnung oder etwas ähnliches enthalten soll. Das Dokument ist per Passwort geschützt und enthält ein VBScript, welches die Ursnif-Malware nachladen soll. Gibt der Nutzer beim Laden der Word-Datei das mitgelieferte Kennwort ein, wird der Zugriff auf das Dokument freigegeben, aber das Makro auch ausgeführt. Details finden sich im oben verlinkten Artikel.

Shadow-Broker und Wikileaks

Die Hackergruppe Shadow-Broker versuchte voriges Jahr erbeutete NSA-Tools zu versilbern. Nachdem das nicht gelungen ist, geben die Hacker jetzt stückweise Material und Tools frei. Jetzt ist wieder ein Katalog mit gestohlenem Material, welches Tools zum Ausnutzen von Exploits enthält, freigegeben worden. Details finden sich bei cyberscoop (Englisch) und Golem (Deutsch).

Und von Wikileaks gibt es die Ankündigung, bisher ungepatchte Sicherheitslücken in Microsoft-Produkten nach 90 Tagen zu veröffentlichen. Details lassen sich bei MSPowerUser nachlesen. Ein weiterer Artikel befasst sich mit Vault 7-Leaks und Funktionen, die vom CIA verwendet wurden.

Xen-Sicherheitslücke

In der Virtualisierungssoftware Xen für Linux klafft eine gefährliche Sicherheitslücke. Über die Schwachstelle im Xen-Hypervisor kann ein Gast-System den Speicher des Hosts auslesen. Die Maintainer der Linux-Distribution Qubes warnen jetzt explizit vor dieser Schwachstelle, wie heise.de hier berichtet.

iOS 10.3-Benutzer aufgepasst – iCloud-Einstellungen prüfen

Kürzlich hat Apple ja iOS 10.3 und später iOS 10.3.1 freigegeben (siehe iOS 10.3 freigegeben und iOS 10.3.1 freigegeben). Bei der Installation dieser Updates scheint es in Einzelfällen dazu zu kommen, dass eigentlich abgeschaltete iCloud-Funktionen auf dem iOS-Gerät ungewollt freigeschaltet werden. Bei heise.de finden sich hier, bei giga.de hier und teltarif.de hier einige Hinweise zum Thema.

Microsoft blockt bösartige Links in Word, Excel und PowerPoint

Das Malware über Office-Dokumente verbreitet wird, ist nichts neues. Solche Dokumente können auch Links auf Malware-Seiten enthalten. Diese will Microsoft nun in den Produkten Word, Excel und PowerPoint blockieren. Dazu wird die aus Outlook bekannte Technik auf diese Office-Module ausgeweitet. Die Ankündigung findet sich in diesem Microsoft Blog-Beitrag. Ein deutschsprachiger Artikel ist bei t3n erschienen.

Was tut sich beim EU-Privacy Shield?

Das Datenschutzabkommen mit den USA, EU-Privacy Shield, sollte zwar Daten von Europäern vor dem Zugriff der US-Behörden schützen, war aber löchrig wie ein Schweizer Käse (siehe EU und USA einigen sich auf neuen Safe Harbor-Deal "EU-US-Privacy Shield"). Bürgerrechtsorganisationen aus Irland und Frankreich haben Klage gegen das EU-US-Abkommen "Privacy Shield", welches Safe Harbor ablöst, eingereicht (siehe Klage gegen "EU-US Privacy Shield"). Und nach der Wahl Donald Trumps zum US-Präsidenten steht eh vieles auf dem Prüfstand. Die EU-Justizkommissarin Jourová droht schon mal mit Kündigung des Abkommens, wie ich im Beitrag EU droht mit Kündigung des US-Privacy Shield-Abkommens berichtete.

Von Datenschützern kommt ja schon länger Kritik und in diesem heise.de-Artikel deutete sich an, dass das Abkommen von Seiten der EU weiter unter Beschuss kommt. Nun lese ich bei heise.de, dass das EU-Parlament Defizite beim transatlantischen Datenaustausch sieht und eine Überprüfung fordert bzw. die Die EU-Justizkommissarin Jourová auffordert, mehr für den Datenschutz zu tun. Was wurde Privacy Shield doch beim Abschluss von der Politik gelobt. Wenn nach so kurzer Zeit aus diesen Kreisen Kritik kommt, muss es schon sehr schlecht um den Datenschutz bestellt sein.