Sicherheitsthemen zum 31. Mai 2016

Zum Ausklang des Monats Mai möchte ich noch einige Sicherheitsinfos in einem Sammelbeitrag zusammenfassen, die möglicherweise interessant oder relevant für meine Blog-Leser sind.

Tumblr gehackt, 65 Millionen Nutzerdatensätze abgeflossen

Der Micro-Blogging-Dienst Tublr wurde gehackt – war aber 2013, vor der Übernahme von Tumblr durch Yahoo. Entdeckt wurde der Hack am 12. Mai 2016, wie man hier nachlesen kann.

Die erbeuteten Datensätze enthalten die E-Mail-Adressen der Tumblr-Nutzer sowie deren Passwörter, allerdings in salted und hashed Form. In der Tumblr-Verlautbarung wurde über ein "Set of" geschrieben – hört sich irgendwie nach "geringe Anzahl an".

(Tumblr-Daten)

Wie man bei neowin.net nachlesen kann, ist dieses "Set an Datensätzen" aber gewaltig. Der obige Screenshot spricht von 50 Millionen Datensätzen. Neowin.net gibt an, dass 65.469.298 E-Mail-Adressen und Kennwörter entwendet wurden. Nettes Paket für Spammer.

Hacker versucht 427 Millionen MySpace-Datensätze zu verkaufen

Das werbefinanzierte soziale Netzwerk MySpace mit Blog und Speicherplatz für Fotos oder Videos wurde bereits 2013 gehackt. Nun hat ein Hacker die E-Mail-Adressen samt Passwörtern (die nur schwach verschlüsselt sind) für umgerechnet 2.800 US $ verkauft. Details finden sich in diesem Artikel (englisch) oder hier (deutsch).

Nutzerdaten bei Süddeutsche Zeitung erbeutet

Laut diesem Artikel haben sich Mitte Mai 2016 Unbefugte Zugriff auf den Datenbankserver der Süddeutsche Zeitung verschafft. Der Angriff erfolgte wohl über die Blog-Funktion des Verlages (dieser wurde zwischenzeitlich deaktiviert). Es konnten Daten (E-Mail-Adressen und Kennwörter sowie Postadresse) von Nutzern abgezogen werden. Diese Nutzer hatten sich bei der SZ im Rahmen von Gewinnspielteilnahmen registriert.

SWIFT-Hack: Nordkorea unter Verdacht

Über den spektakulären Versuch, die Zentralbank von Bangladesh um 1 Milliarde $ zu erleichtern (mit 81 Millionen US $ hatte man Erfolg), hatte ich im Blog berichtet (Bankraub in modern: Zentralbank-Konto geplündert). Zwischenzeitlich gibt es weitere Opfer zu beklagen (Eins, zwei, drei: Das nächste SWIFT-Opfer ist dabei) und SWIFT warnt die angeschlossenen Banken. Jetzt ist Nordkorea unter Verdacht geraten, der Drahtzieher dieser Hacks zu sein. Ein Abriss der bisherigen Erkenntnisse und Mutmaßungen hat Spiegel Online in diesem Artikel zusammen getragen.

Homeland-Security warnt: Tausende US-Energiesysteme sind angreifbar

Die Industrie will uns ja immer weis machen, dass ihre Anlagen sicher sind. Alles wird vernetzt und das Internet of Things (IoT) soll überall Einzug halten. Speziell in Gods own country ist alles paletti und bestens – da lacht man nur über die Bedenkenträger jenseits des Atlantiks. Aber auch hierzulande wird über Bedenkenträger gelacht – gerade bin ich in den VDI nachrichten vom 28.2.2016 auf den Artikel Bei Datensicherheit gibt es keinen Grund zur Panik gestoßen (leider steht der Volltext nur Abonnenten zur Verfügung). Dominik Wee von McKinsey glaubt "unangemessene Panikmache" zu erkennen, "Risiken und Bedenken stehen in Deutschland im Vordergrund und werden künstlich hochgepusht". Wee, der zwei Jahre im Silicon Valley verbrachte, wird zitiert, "die Zeit dort hat mich geprägt – In den USA gibt es eine ganz andere Sicht auf die Dinge". Und das BSI gibt, laut diesem heise.de-Artikel, "grünes Licht für Industrie 4.0".

Richtig schön erfrischend, der Junge von McKinesy. Momentan rauschen die Amis aber wohl in ein Desaster. Das ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) warnt aktuell in diesem Bulletin, dass im ESC 8832 data controller eine gravierende Sicherheitslücke besteht. Die Lücke kann selbst durch Hacks auf Trivial-Niveau (Script Kiddies) ausgenutzt werden. Der ESC 8832 besitzt ein Web-Interface, über welches man Zugriff auf die Anlagen erhalten kann. Noch eine Steigerung gefällig? Der Hersteller ESC gibt an, dass man die Sicherheitslücke nicht patchen kann, weil kein freier Speicherplatz zum Einspielen auf dem (bereits 2001 entwickelten) Controller vorhanden ist. Die betreffenden Controller sind wohl in den USA in Industrieanlagen weit verbreitet. Details kann man in diesem ZDNet.com-Artikel nachlesen.

Industriesicherheit hierzulande

Noch ein paar Steigerungen gefällig? Zum obigen Szenario passt dieser Artikel von heise.de wie die Faust aufs Auge. Dem Artikel zufolge setzen Unternehmen selbst simple Sicherheitsmechanismen nicht um. Um die Netzwerksicherheit ist es also schlecht bestellt. Und die Erkenntnis, das 1/3 der Unternehmen von Erpressungstrojanern betroffen sind, kommt auch ganz gut. Aber das ist alles "old school" und nur Stoff für Bedenkenträger.

Einziger Lichtblick für mich ist momentan der Artikel Personaler scheuen die Cloud aus den VDI nachrichten. Erkenntnis: der Datenschutz rückt auf die Agenda der Personalbereich, je digitaler die Personaldaten werden. Passt auch ganz gut zu diesem Artikel, demzufolge der EU-Datenschutzbeauftragter den Safe-Harbor-Nachfolger ablehnt und deutliche Nachbesserungen anmahnt. Noch scheint also Hopfen und Malz nicht ganz verloren.

Smart-Meter-Hersteller klagt gegen Sicherheitsforscher

Landis & Gyr vertreibt in den USA auch Smart-Meter, u.a. in Seattle. Phil Mocek hat eine Anfrage an [die Stadtverwaltung von Seattle] gestellt, Details über die Funktionsweise dieser Smart-Meter zu erhalten. Er argumentiert, dass unspezifizierte und unverifizierbare Sensoren Informationen aus dem Privatumfeld der Nutzer in Echtzeit sammeln und an unspezifizierte Server übertragen. Er will Informationen haben, um zu kontrollieren, was da an Daten gesammelt und übermittelt wird. Die Anfrage (ähnlich dem Auskunftsanspruch des deutschen Informationsfreiheitsgesetz) ging mehrfach zwischen Mocek und der Verwaltung von Seattle hin und her. Er bekam vom Hersteller redigierte Informationen. Irgendwann haben die Angestellten dann die unredigierten Informationen des Herstellers geschickt. Nun hat er eine Klage von Landis & Gyr am Hals, deren Ziel es ist, ihm zu verbieten, Details aus den Unterlagen zu veröffentlichen. Näheres ist im Artikel Smart-meter vendor says that if we know how their system works, the terrorists will win nachzulesen.

PS: Da bekommen CETA und TTIP sowie TISA gleich einen besonderen Klang – aber laut McKinsey ist das ja alles Pipifax von deutschen Bedenkenträgern.

App zur Verwaltung von Patientendaten enthält Backdoor

Dieser Bericht hat meinen Glauben an das US-System nachhaltig erschüttert. Dazu muss ich sagen, dass ich vor meinem Leben als Autor und Blogger 12 Jahre als Ingenieur in der Chemie- und Pharmaindustrie gearbeitet habe. Und die Regularien der Food and Drug Administration (FDA), die Good Manufacturing Practice (GMP) sowie Good Laboratory Practice (GLP) waren da das Credo dessen, an was  man sich bezüglich Zertifizierung abarbeiten konnte (da die Produkte auch in die USA geliefert werden sollten).

Nun hat man in einer Verwaltungssoftware (Medhost's Perioperative Information Management System (PIMS)), die dem Klinikpersonal die Pflege von Patientendaten nach medizinischen Eingriffen ermöglicht, eine Backdoor entdeckt. Fest codierte Zugangsdaten ermöglichen jeder Person, der diese kennt, die Patientendaten zu manipulieren. Zwischenzeitlich gibt es einen CERT-Eintrag, der vor diesem Problem warnt. Offenbar steht ein Software-Update zur Verfügung, um die Backdoor zu schließen. Der Fall zeigt mal wieder, wie kaputt die IT-Umgebungen eigentlich sind.

FBI-Razzia bei Software-Entwickler

Noch ein Stück aus dem Tollhaus drüben in Amerika: Ein im Dentalbereich aktiver Sicherheitsforscher entdeckte kürzlich private Patientendaten auf einem öffentlichen FTP-Server. Ursache ist wohl, dass die von Henry Schein Dental produzierte Dentrix-Software Patientendaten nicht sauber verschlüsselt.

Den Fund hat er den Behörden (Federal Trade Commission, FTC) angezeigt – und im Rahmen einer Einigung mit der FTC hat der Hersteller nach diesem Artikel zwischenzeitlich 250.000 US $ Strafe gezahlt. Der Sicherheitsforscher hat wohl weitere Sicherheitslücken in Software anderer Hersteller (Patterson Dental) aufgedeckt.

Also alles gut? Mitnichten –  gemäß diesem Daily Dot-Artikel fand bei dem Sicherheitsforscher morgens um 6:30 eine Razzia durch das FBI statt. Basiert wohl auf einer Maßnahme im Rahmen des Computer Fraud and Abuse Act (CFAA) – der ähnlich dem deutschen Hackerparagraphen gegen Sicherheitsforscher angewendet werden kann. Ein betroffener Hersteller hat die Aktion wohl veranlasst. Der gute Mann wurde dann in bester US-Tradition in Unterhosen und Handschellen von FBI-Mitarbeitern aus dem Haus gezerrt. Dann wurden sein Haus durchsucht und seine Computer sowie Kommunikationsgeräte beschlagnahmt. Jetzt erwartet er eine Anklage, weil er über diese Sicherheitslücken gebloggt hat. Details lassen sich in diesem Daily Dot-Artikel nachlesen. Fazit: Ziemlich kaputt, dieses US-System – "Sicherheitslücken gibt es, aber solange die nicht öffentlich sind, ist das kein Problem" – und damit das so bleibt, holt man die Keule raus, um Sicherheitsforscher mundtot zu machen.

Warnung vor E-Zigaretten als trojanische Pferde

Keine Angst, noch mutiert hier nichts zum "Gesundheitsblog", der gegen Rauchen wettert. Aber E-Zigaretten müssen wohl gelegentlich aufgeladen werden. Dazu ließe sich auch eine USB-Buchse eines Computers verwenden. Laut diesem futurezone.at-Artikel warnt das BSI nun genau vor diesem Ansatz per Pressemitteilung. Wird im USB-Adapter, der zum Aufladen der E-Zigarette am USB-Port genutzt wird, eine Schadsoftware implementiert, ist die Sicherheit des Computers bedroht. Über den USB-Port kann eine, in der Firmware des Controllers implementierte, Schadsoftware als Trojaner fungieren oder das System infizieren. Das BSI empfiehlt, sich für solche Zwecke ein USB-Ladegerät anzuschaffen.

Ärger um Intermediate-Zertifikat für Bluecoat

Die Tage gab es große Aufregung um ein für das US-Unternehmen Bluecoat ausgestelltes Intermediate-Zertifikat. Bluecoat stellt Überwachungstechnik her und ist deswegen in der Kritik. Nun hat Symantec im vergangenen Herbst ein CA-Zertifikat für Bluecoat ausgestellt. Dieses ermöglicht dem Unternehmen selbst gültige Zertifikate für HTTPS-Verbindungen auszugeben. In Folge könnten die als HTTPS-Verbindungen belauschen. Es gibt zwar bisher keine Anzeichen für diesen Ansatz. Aber Filippo Valsorda hat es hier in seinem Blog dokumentiert. Bei Interesse kann man Details bei heise.de oder Golem.de nachlesen.

Online-Tracking Insides

Für Leute, die sich für das Thema Online-Tracking durch Webseiten interessieren, habe ich noch was zur Nachtlektüre. Die Universität von Priceeton hat 1 Million Webseiten im Hinblick auf das Thema analysiert. Die Auswertung ist in diesem englischsprachige Dokument zu finden. Nachtrag: Ich habe einen deutschsprachigen Excerpt hier gefunden.

Damit möchte ich den, doch recht lang gewordenen, Blog-Beitrag abschließen.