Ich kippe einfach mal zwei Sicherheitsmeldungen zum Abend hier in den Blog. Es ist mir schon eine Woche bekannt: Der Heise-Verlag kämpft seit Mitte Mai 2019 mit einer Infektion durch den Emotet-Trojaner. Und der Sicherheitsforscher Troy Hunt bietet seine Webseite Have I been pwnd zum Kauf an.
Anzeige
Heise und die Emotet-Infektion
Blog-Leser Ralf hat bereits vorige Woche in diesem Kommentar zum Artikel Achtung: Emotet-Malware-Welle gefährdet deutsche Firmen auf das Thema hingewiesen. Der Verlag geht im Artikel Trojaner-Befall: Emotet bei Heise auf den Sachverhalt ein. Montag, den 13. Mai 2019 öffnetet ein Mitarbeiter eine Mail, die sich auf einen zitierten echten Geschäftsvorgang bezog. Als er die Daten im angehängten Word-Dokument kontrollieren wollte, wurde der Trojaner Emotet auf das Windows System geladen. Im Anschluss kam es zu einer Infektion des heise-Netzwerks. Weitere Beiträge hier und hier arbeiten den Fall auf.
Have I been pwnd steht zum Verkauf
Der Sicherheitsforscher Troy Hunt betreibt die Webseite Have I been pwnd. Troy Hunt ist ein Microsoft Regional Director und MVP für Sicherheit. Hunt hat die Website 2013 erstellt, nachdem Adobe 153 Millionen Benutzernamen und schwach verschlüsselte Passwörter weitergegeben hatte. Benutzer können eine E-Mail-Adresse eingeben und feststellen, ob sie in den exponierten Daten enthalten ist. Sie können auch ein Passwort eingeben, um zu überprüfen, ob es bei einem Datenschutzverletzung wirksam ist.
In den letzten Jahren hat Hunt dort weitere Daten von Hacks eingepflegt. Bisher war das alles eine Ein-Mann-Show. In diesem Artikel kündigt Hunt jetzt an, dass es Zeit für die Seite Have I been pwnd (HIBP) sei, sich auf 'erwachsene Füße' zu stellen und zu einer besser finanzierten Struktur überzugehen. Zudem wird es ihm langsam zu viel, dass alles alleine zu stemmen (er navigiert an einem Burnout entlang).
Mit dem Projekt Svalbard bereitet er zusammen mit KPMG die Akquisition durch ein anderes Unternehmen oder eine Organisation vor. Hunt sagte, dass er Teil der Webseite HIBP bleiben wird. Zudem sollen Privatanwender weiterhin die Suche nach E-Mail-Adressen, die in Hacks auftauchen, kostenlos nutzen können. Seine Idee ist, dass eine größere Organisation das Projekt betreibt, was es ihm ermöglichen wird, mehr Fähigkeiten aufzubauen.
Anzeige
Aktuell gibt es aber wohl noch keine Details, ob und wann der Verkauf an wen ansteht. The Register hat diesen Artikel zum Thema veröffentlicht. Eine alternative, deutschsprachige Webseite wird vom Hasso-Plattner-Institut unter sec.hpi.uni-potsdam.de/leak-checker betrieben.
Ähnliche Artikel:
Achtung: Emotet-Malware-Welle gefährdet deutsche Firmen
Pwned Passwords: Prüfe dein Kennwort
Neue Passwort Collections mit 2,2 Milliarden Konten im Netz
Firefox Monitor vorgestellt
Anzeige
"Und der Sicherheitsforscher Troy Hunt bietet seine Webseite Have I been pawned zum Kauf an."
"…sich auf 'erwachsene Füße' zu stellen und zu einer besser finanzierten Struktur überzugehen."
Äähm…was soll denn auf der Seite verkauft werden, gestohlene Daten? Oder soll die Seite mit Werbung zugemüllt werden?
Wenn einer Firma wie heise so etwas passiert, wie soll dann ein kleines Unternehmen (< 50 Mitarbeiter) so etwas verhindern oder bewältigen können?
Unschön ist auch, dass weder heise noch das BSI VERNÜNFTIGE Hinweise zur Verhinderung eines Emotet-Befalls aufzeigen.
Das versehentliche Öffnen eines Anhangs KANN man nicht verhindern, da die meisten Sekretärinnen neugierig sind. Dem ist so, das ist die Lebensrealität.
Also was tun?
(Warum steht mein Kommentar nicht ganz unten????)
wohl ins falsche Kastl geschrieben (= Antwort auf 'RUTZ-AhA')?
passiert… ;)
das oeffnen des schadcodehaltigen dokuments geschah NICHT versehentlich. der mitarbeiter oeffnete eine word-datei aus dem anhang einer "Mail, die sich auf einen zitierten echten Geschäftsvorgang bezog" – das macht die sache extra gefaehrlich. an den problemen bei heise beteiligt waren (soweit ich mich da korrekt erinnere):
* die nutzung von microsoft office (andere office suiten waeren vermutlich nicht fuer diesen makrobasierten angriff anfaellig gewesen).
* die nutzung von makros war nicht deaktiviert worden.
* das abnicken der erlaubnisanforderung zum ausfuehren von makros.
* die vergabe von lokalen admin-rechten fuer mehrere schulungsrechner im firmennetz.
ich bin kein admin, aber daraus ergeben sich schon mal ansatzpunkte zur vermeidung dieses infektionswegs und der ausbreitung einer infektion im eigenen netz.
Anderherum, du musst zahlen damit er deine Daten nicht verhökert.
https://www.troyhunt.com/project-svalbard-the-future-of-have-i-been-pwned/
In meinen Augen ist die Seite von Hunt nicht mehr viel wert.
Mit den Daten von der damaligen Panik war das ja recht gut, aber inzwischen sind das überholte Daten, da doch ein Großteil der Probleme durch Passwortänderungen etc. geändert und abgestellt wurden.
Macht man jetzt eine Prüfung auf der Seite, so findet man aber nur die "alten" Warnungen und keinen aktuellen Datenstand, und so bringt das überhaupt nichts mehr.
Ein nichtkommerzieller Träger für so eine Seite wäre das einzig Vertrauenswürdige. Insofern ist die deutsche Adresse sicher die bessere Alternative (wenn sie denn funktioniert und man nicht stundenlang/vergeblich auf die Diagnose-Mail warten muss!).
Die Seite heißt nicht "pawned" (Zum Bauern gemacht?) sondern "pwnd" :)
@Bernard
"Unschön ist auch, dass weder heise noch das BSI VERNÜNFTIGE Hinweise zur Verhinderung eines Emotet-Befalls aufzeigen."
Es waren wohl viele Rechner befallen. Heise arbeitet zusammen mit Sicherheitsexperten immer noch an der Beseitigung und Aufarbeitung der Probleme.
Wenn alle Folgen beseitigt sind und bekannt ist, was im Einzelnen wie vor sich ging, wissen sie auch, was man dagegen tun kann.
Das soll dann bekannt gegeben werden.
Ich will mal kurz zum Heise-Fall eingehen.
Ich habe das ganze gestern durch Zufall erfahren, weil ich was anders gesucht habe wegen einer anderen Störung.
Leider hat heise.de das nicht auf ihrer Sicherheitsseite eingestellt bzw. verlinkt. Man kann ja nicht alle heise-Seite durchsuchen.
Andererseits hat aber heise.de das offen gelegt und:
# beschrieben wie es dazu gekommen ist (E-Mail mit Dateien und Makros)
# beschrieben was befallen war,
# beschrieben welche Maßnahmen Heise-Gruppe eingeleitet hat, so auch Strafanzeige und Eliminierung der PCs.
Leider vermißt man das von vielen anderen Unternehmen die befallen sind. Man muß damit offensiv umgehen und auch andere damit zu warnen und zu sensibilisieren.
Ich gehe davon aus, dass heise.de diesen Fall weiter aufarbeitet und auch der Gemeinheit aufzeigt, was geholfen hat und was nicht.
zu "Ich gehe davon aus, dass heise.de diesen Fall weiter aufarbeitet und auch der Gemeinheit aufzeigt, was geholfen hat und was nicht":
vorerst aber nur einer zahlenden gemeinheit:
https://www.heise-events.de/webinare/emotet
vielleicht dennoch interessant fuer den einen oder anderen hier.
https://www.heise.de/ct/artikel/FAQ-Emotet-bei-Heise-4517354.html
HEISE:
"Wir berichten am 12. Dezember um 18 Uhr im Hafven Coworking & Maker Space in Hannover aus unseren Erfahrungen mit solch einem Vorfall und den daraus gezogenen Lehren… Anschließend wird es Gelegenheit zur Diskussion geben. Der Eintritt ist kostenlos, die Anzahl der Plätze begrenzt. Daher sollten sich Interessenten vorab anmelden."
https://www.heise.de/security/meldung/Emotet-bei-Heise-Lernen-aus-unseren-Fehlern-4602253.html