{"id":177842,"date":"2016-05-31T18:48:47","date_gmt":"2016-05-31T16:48:47","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=177842"},"modified":"2024-01-24T08:08:09","modified_gmt":"2024-01-24T07:08:09","slug":"sicherheitsthemen-zum-31-mai-2016","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/05\/31\/sicherheitsthemen-zum-31-mai-2016\/","title":{"rendered":"Sicherheitsthemen zum 31. Mai 2016"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Zum Ausklang des Monats Mai m\u00f6chte ich noch einige Sicherheitsinfos in einem Sammelbeitrag zusammenfassen, die m\u00f6glicherweise interessant oder relevant f\u00fcr meine Blog-Leser sind.<\/p>\n<p><!--more--><\/p>\n<h3>Tumblr gehackt, 65 Millionen Nutzerdatens\u00e4tze abgeflossen<\/h3>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/e4c4adcb668e450797d9e2291e0ba370\" width=\"1\" height=\"1\"\/>Der Micro-Blogging-Dienst <a href=\"https:\/\/www.tumblr.com\/explore\/trending\" target=\"_blank\" rel=\"noopener noreferrer\">Tublr<\/a> wurde gehackt \u2013 war aber 2013, vor der \u00dcbernahme von Tumblr durch Yahoo. Entdeckt wurde der Hack am 12. Mai 2016, wie man <a href=\"https:\/\/staff.tumblr.com\/post\/144263069415\/we-recently-learned-that-a-third-party-had\" target=\"_blank\" rel=\"noopener noreferrer\">hier nachlesen<\/a> kann. <\/p>\n<p><div class=\"tumblr-post\" data-did=\"9dc42e6abb4f7e89842f97a6f41ef3386a013a02\" data-href=\"https:\/\/embed.tumblr.com\/embed\/post\/r_BTLFg8QzTPUMVSbe3vbg\/144263069415\"><a href=\"https:\/\/staff.tumblr.com\/post\/144263069415\/we-recently-learned-that-a-third-party-had\">https:\/\/staff.tumblr.com\/post\/144263069415\/we-recently-learned-that-a-third-party-had<\/a><\/div>\n<p><script async src=\"https:\/\/secure.assets.tumblr.com\/post.js\"><\/script> <\/p>\n<p>Die erbeuteten Datens\u00e4tze enthalten die E-Mail-Adressen der Tumblr-Nutzer sowie deren Passw\u00f6rter, allerdings in <a href=\"https:\/\/www.datenschutzbeauftragter-info.de\/passwort-sicherer-mit-hash-und-salt\/\" target=\"_blank\" rel=\"noopener noreferrer\">salted und hashed<\/a> Form. In der Tumblr-Verlautbarung wurde \u00fcber ein \"Set of\" geschrieben \u2013 h\u00f6rt sich irgendwie nach \"geringe Anzahl an\". <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.neowin.net\/images\/uploaded\/2016\/05\/tumblr-data-listing.jpg\" width=\"647\" height=\"329\"\/>(Tumblr-Daten)<\/p>\n<p>Wie man bei <a href=\"http:\/\/www.neowin.net\/news\/tumblr-claimed-that-a-data-breach-affected-a-set-of-users-turns-out-to-be-over-60m\" target=\"_blank\" rel=\"noopener noreferrer\">neowin.net nachlesen kann<\/a>, ist dieses \"Set an Datens\u00e4tzen\" aber gewaltig. Der obige Screenshot spricht von 50 Millionen Datens\u00e4tzen. Neowin.net gibt an, dass 65.469.298 E-Mail-Adressen und Kennw\u00f6rter entwendet wurden. Nettes Paket f\u00fcr Spammer.<\/p>\n<h3>Hacker versucht 427 Millionen MySpace-Datens\u00e4tze zu verkaufen<\/h3>\n<p>Das werbefinanzierte soziale Netzwerk <a href=\"https:\/\/de.wikipedia.org\/wiki\/Myspace\" target=\"_blank\" rel=\"noopener noreferrer\">MySpace<\/a> mit Blog und Speicherplatz f\u00fcr Fotos oder Videos wurde bereits 2013 gehackt. Nun hat ein Hacker die E-Mail-Adressen samt Passw\u00f6rtern (die nur schwach verschl\u00fcsselt sind) f\u00fcr umgerechnet 2.800 US $ verkauft. Details finden sich in <a href=\"https:\/\/web.archive.org\/web\/20170131125101\/http:\/\/motherboard.vice.com\/read\/427-million-myspace-passwords-emails-data-breach\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> (englisch) oder <a href=\"https:\/\/web.archive.org\/web\/20201030080420\/https:\/\/www.computerbild.de\/artikel\/cb-News-Internet-MySpace-Hacker-Angriff-15689389.html\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> (deutsch).<\/p>\n<h3>Nutzerdaten bei S\u00fcddeutsche Zeitung erbeutet<\/h3>\n<p>Laut <a href=\"http:\/\/futurezone.at\/digital-life\/nutzerdaten-beim-sueddeutsche-zeitung-magazin-erbeutet\/201.724.750\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> haben sich Mitte Mai 2016 Unbefugte Zugriff auf den Datenbankserver der S\u00fcddeutsche Zeitung verschafft. Der Angriff erfolgte wohl \u00fcber die Blog-Funktion des Verlages (dieser wurde zwischenzeitlich deaktiviert). Es konnten Daten (E-Mail-Adressen und Kennw\u00f6rter sowie Postadresse) von Nutzern abgezogen werden. Diese Nutzer hatten sich bei der SZ im Rahmen von Gewinnspielteilnahmen registriert. <\/p>\n<h3>SWIFT-Hack: Nordkorea unter Verdacht<\/h3>\n<p>\u00dcber den spektakul\u00e4ren Versuch, die Zentralbank von Bangladesh um 1 Milliarde $ zu erleichtern (mit 81 Millionen US $ hatte man Erfolg), hatte ich im Blog berichtet (<a href=\"https:\/\/borncity.com\/blog\/2016\/03\/11\/bankraub-in-modern-zentralbank-konto-geplndert\/\">Bankraub in modern: Zentralbank-Konto gepl\u00fcndert<\/a>). Zwischenzeitlich gibt es weitere Opfer zu beklagen (<a href=\"https:\/\/borncity.com\/blog\/2016\/05\/22\/eins-zwei-drei-das-nchste-swift-opfer-ist-dabei\/\">Eins, zwei, drei: Das n\u00e4chste SWIFT-Opfer ist dabei<\/a>) und SWIFT warnt die angeschlossenen Banken. Jetzt ist Nordkorea unter Verdacht geraten, der Drahtzieher dieser Hacks zu sein. Ein Abriss der bisherigen Erkenntnisse und Mutma\u00dfungen hat Spiegel Online in <a href=\"http:\/\/www.spiegel.de\/netzwelt\/netzpolitik\/bangladesch-cyber-bankraub-nordkorea-unter-verdacht-a-1094579.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> zusammen getragen. <\/p>\n<h3>Homeland-Security warnt: Tausende US-Energiesysteme sind angreifbar<\/h3>\n<p>Die Industrie will uns ja immer weis machen, dass ihre Anlagen sicher sind. Alles wird vernetzt und das Internet of Things (IoT) soll \u00fcberall Einzug halten. Speziell in Gods own country ist alles paletti und bestens \u2013 da lacht man nur \u00fcber die Bedenkentr\u00e4ger jenseits des Atlantiks. Aber auch hierzulande wird \u00fcber Bedenkentr\u00e4ger gelacht \u2013 gerade bin ich in den VDI nachrichten vom 28.2.2016 auf den Artikel Bei Datensicherheit gibt es keinen Grund zur Panik gesto\u00dfen (leider steht der Volltext nur Abonnenten zur Verf\u00fcgung). Dominik Wee von McKinsey glaubt \"unangemessene Panikmache\" zu erkennen, \"Risiken und Bedenken stehen in Deutschland im Vordergrund und werden k\u00fcnstlich hochgepusht\". Wee, der zwei Jahre im Silicon Valley verbrachte, wird zitiert, \"die Zeit dort hat mich gepr\u00e4gt \u2013 In den USA gibt es eine ganz andere Sicht auf die Dinge\". Und das BSI gibt, laut <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/Industrie-4-0-BSI-gibt-gruenes-Licht-3186603.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem heise.de-Artikel<\/a>, \"gr\u00fcnes Licht f\u00fcr Industrie 4.0\". <\/p>\n<p>Richtig sch\u00f6n erfrischend, der Junge von McKinesy. Momentan rauschen die Amis aber wohl in ein Desaster. Das ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) warnt aktuell in diesem Bulletin, dass im ESC 8832 data controller eine gravierende Sicherheitsl\u00fccke besteht. Die L\u00fccke kann selbst durch Hacks auf Trivial-Niveau (Script Kiddies) ausgenutzt werden. Der ESC 8832 besitzt ein Web-Interface, \u00fcber welches man Zugriff auf die Anlagen erhalten kann. Noch eine Steigerung gef\u00e4llig? Der Hersteller ESC gibt an, dass man die Sicherheitsl\u00fccke nicht patchen kann, weil kein freier Speicherplatz zum Einspielen auf dem (bereits 2001 entwickelten) Controller vorhanden ist. Die betreffenden Controller sind wohl in den USA in Industrieanlagen weit verbreitet. Details kann man in <a href=\"http:\/\/www.zdnet.com\/article\/thousands-of-web-connected-industrial-systems-can-be-remotely-hacked-yet-wont-be-patched\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem ZDNet.com-Artikel<\/a> nachlesen. <\/p>\n<h3>Industriesicherheit hierzulande<\/h3>\n<p>Noch ein paar Steigerungen gef\u00e4llig? Zum obigen Szenario passt <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/Sicherheits-Report-Unternehmen-setzen-selbst-simple-Schutzmechanismen-nicht-um-3184485.html\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Artikel<\/a> von heise.de wie die Faust aufs Auge. Dem Artikel zufolge setzen Unternehmen selbst simple Sicherheitsmechanismen nicht um. Um die Netzwerksicherheit ist es also schlecht bestellt. Und die Erkenntnis, das 1\/3 der Unternehmen von Erpressungstrojanern <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/BSI-Umfrage-Ein-Drittel-der-Unternehmen-ist-von-Erpressungs-Trojanern-betroffen-3189776.html\" target=\"_blank\" rel=\"noopener noreferrer\">betroffen sind<\/a>, kommt auch ganz gut. Aber das ist alles \"old school\" und nur Stoff f\u00fcr Bedenkentr\u00e4ger. <\/p>\n<p>Einziger Lichtblick f\u00fcr mich ist momentan der Artikel Personaler scheuen die Cloud aus den VDI nachrichten. Erkenntnis: der Datenschutz r\u00fcckt auf die Agenda der Personalbereich, je digitaler die Personaldaten werden. Passt auch ganz gut zu <a href=\"http:\/\/futurezone.at\/netzpolitik\/eu-datenschutzbeauftragter-lehnt-safe-harbor-nachfolger-ab\/201.827.737\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a>, demzufolge der EU-Datenschutzbeauftragter den Safe-Harbor-Nachfolger ablehnt und deutliche Nachbesserungen anmahnt. Noch scheint also Hopfen und Malz nicht ganz verloren. <\/p>\n<h3>Smart-Meter-Hersteller klagt gegen Sicherheitsforscher<\/h3>\n<p>Landis &amp; Gyr vertreibt in den USA auch Smart-Meter, u.a. in Seattle. Phil Mocek hat eine Anfrage an [die Stadtverwaltung von Seattle] gestellt, Details \u00fcber die Funktionsweise dieser Smart-Meter zu erhalten. Er argumentiert, dass unspezifizierte und unverifizierbare Sensoren Informationen aus dem Privatumfeld der Nutzer in Echtzeit sammeln und an unspezifizierte Server \u00fcbertragen. Er will Informationen haben, um zu kontrollieren, was da an Daten gesammelt und \u00fcbermittelt wird. Die Anfrage (\u00e4hnlich dem Auskunftsanspruch des deutschen Informationsfreiheitsgesetz) ging mehrfach zwischen Mocek und der Verwaltung von Seattle hin und her. Er bekam vom Hersteller redigierte Informationen. Irgendwann haben die Angestellten dann die unredigierten Informationen des Herstellers geschickt. Nun hat er eine Klage von Landis &amp; Gyr am Hals, deren Ziel es ist, ihm zu verbieten, Details aus den Unterlagen zu ver\u00f6ffentlichen. N\u00e4heres ist im Artikel <a href=\"https:\/\/web.archive.org\/web\/20230609192205\/https:\/\/boingboing.net\/2016\/05\/24\/seattle-smart-meter-vendor-say.html\" target=\"_blank\" rel=\"noopener noreferrer\">Smart-meter vendor says that if we know how their system works, the terrorists will win<\/a> nachzulesen. <\/p>\n<p>PS: Da bekommen CETA und TTIP sowie TISA gleich einen besonderen Klang \u2013 aber laut McKinsey ist das ja alles Pipifax von deutschen Bedenkentr\u00e4gern.<\/p>\n<h3>App zur Verwaltung von Patientendaten enth\u00e4lt Backdoor<\/h3>\n<p><a href=\"http:\/\/www.zdnet.com\/article\/widely-used-clinical-service-found-to-include-hidden-backdoor-account\/\" target=\"_blank\" rel=\"noopener noreferrer\">Dieser Bericht<\/a> hat meinen Glauben an das US-System nachhaltig ersch\u00fcttert. Dazu muss ich sagen, dass ich vor meinem Leben als Autor und Blogger 12 Jahre als Ingenieur in der Chemie- und Pharmaindustrie gearbeitet habe. Und die Regularien der Food and Drug Administration (FDA), die Good Manufacturing Practice (GMP) sowie Good Laboratory Practice (GLP) waren da das Credo dessen, an was&nbsp; man sich bez\u00fcglich Zertifizierung abarbeiten konnte (da die Produkte auch in die USA geliefert werden sollten). <\/p>\n<p>Nun hat man in einer Verwaltungssoftware (Medhost's Perioperative Information Management System (PIMS)), die dem Klinikpersonal die Pflege von Patientendaten nach medizinischen Eingriffen erm\u00f6glicht, eine Backdoor entdeckt. Fest codierte Zugangsdaten erm\u00f6glichen jeder Person, der diese kennt, die Patientendaten zu manipulieren. Zwischenzeitlich gibt es einen <a href=\"http:\/\/www.kb.cert.org\/vuls\/id\/482135\" target=\"_blank\" rel=\"noopener noreferrer\">CERT-Eintrag<\/a>, der vor diesem Problem warnt. Offenbar steht ein Software-Update zur Verf\u00fcgung, um die Backdoor zu schlie\u00dfen. Der Fall zeigt mal wieder, wie kaputt die IT-Umgebungen eigentlich sind.<\/p>\n<h3>FBI-Razzia bei Software-Entwickler<\/h3>\n<p>Noch ein St\u00fcck aus dem Tollhaus dr\u00fcben in Amerika: Ein im Dentalbereich aktiver Sicherheitsforscher entdeckte k\u00fcrzlich private Patientendaten auf einem \u00f6ffentlichen FTP-Server. Ursache ist wohl, dass die von Henry Schein Dental produzierte Dentrix-Software Patientendaten nicht sauber verschl\u00fcsselt. <\/p>\n<p>Den Fund hat er den Beh\u00f6rden (Federal Trade Commission, FTC) angezeigt \u2013 und im Rahmen einer Einigung mit der FTC hat der Hersteller nach diesem Artikel zwischenzeitlich 250.000 US $ Strafe gezahlt. Der Sicherheitsforscher hat wohl weitere Sicherheitsl\u00fccken in Software anderer Hersteller (Patterson Dental) aufgedeckt. <\/p>\n<p>Also alles gut? Mitnichten &#8211;&nbsp; gem\u00e4\u00df <a href=\"https:\/\/web.archive.org\/web\/20160623071853\/http:\/\/www.dailydot.com\/politics\/justin-shafer-fbi-raid\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Daily Dot-Artikel<\/a> fand bei dem Sicherheitsforscher morgens um 6:30 eine Razzia durch das FBI statt. Basiert wohl auf einer Ma\u00dfnahme im Rahmen des Computer Fraud and Abuse Act (CFAA) \u2013 der \u00e4hnlich dem deutschen Hackerparagraphen gegen Sicherheitsforscher angewendet werden kann. Ein betroffener Hersteller hat die Aktion wohl veranlasst. Der gute Mann wurde dann in bester US-Tradition in Unterhosen und Handschellen von FBI-Mitarbeitern aus dem Haus gezerrt. Dann wurden sein Haus durchsucht und seine Computer sowie Kommunikationsger\u00e4te beschlagnahmt. Jetzt erwartet er eine Anklage, weil er \u00fcber diese Sicherheitsl\u00fccken gebloggt hat. Details lassen sich in <a href=\"https:\/\/web.archive.org\/web\/20160623071853\/http:\/\/www.dailydot.com\/politics\/justin-shafer-fbi-raid\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Daily Dot-Artikel<\/a> nachlesen. Fazit: Ziemlich kaputt, dieses US-System \u2013 \"Sicherheitsl\u00fccken gibt es, aber solange die nicht \u00f6ffentlich sind, ist das kein Problem\" \u2013 und damit das so bleibt, holt man die Keule raus, um Sicherheitsforscher mundtot zu machen. <\/p>\n<h3>Warnung vor E-Zigaretten als trojanische Pferde<\/h3>\n<p>Keine Angst, noch mutiert hier nichts zum \"Gesundheitsblog\", der gegen Rauchen wettert. Aber E-Zigaretten m\u00fcssen wohl gelegentlich aufgeladen werden. Dazu lie\u00dfe sich auch eine USB-Buchse eines Computers verwenden. Laut <a href=\"http:\/\/futurezone.at\/digital-life\/warnung-vor-e-zigarette-als-trojanisches-pferd\/201.762.123\" target=\"_blank\" rel=\"noopener noreferrer\">diesem futurezone.at-Artikel<\/a> warnt das BSI nun genau vor diesem Ansatz per Pressemitteilung. Wird im USB-Adapter, der zum Aufladen der E-Zigarette am USB-Port genutzt wird, eine Schadsoftware implementiert, ist die Sicherheit des Computers bedroht. \u00dcber den USB-Port kann eine, in der Firmware des Controllers implementierte, Schadsoftware als Trojaner fungieren oder das System infizieren. Das BSI empfiehlt, sich f\u00fcr solche Zwecke ein USB-Ladeger\u00e4t anzuschaffen.<\/p>\n<h3>\u00c4rger um Intermediate-Zertifikat f\u00fcr Bluecoat <\/h3>\n<p>Die Tage gab es gro\u00dfe Aufregung um ein f\u00fcr das US-Unternehmen Bluecoat ausgestelltes Intermediate-Zertifikat. Bluecoat stellt \u00dcberwachungstechnik her und ist deswegen in der Kritik. Nun hat Symantec im vergangenen Herbst ein CA-Zertifikat f\u00fcr Bluecoat ausgestellt. Dieses erm\u00f6glicht dem Unternehmen selbst g\u00fcltige Zertifikate f\u00fcr HTTPS-Verbindungen auszugeben. In Folge k\u00f6nnten die als HTTPS-Verbindungen belauschen. Es gibt zwar bisher keine Anzeichen f\u00fcr diesen Ansatz. Aber Filippo Valsorda hat es <a href=\"https:\/\/blog.filippo.io\/untrusting-an-intermediate-ca-on-os-x\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> in seinem Blog dokumentiert. Bei Interesse kann man Details bei <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/Ueberwachungs-Verdacht-Empoerung-um-Intermediate-CA-von-BlueCoat-3222420.html\" target=\"_blank\" rel=\"noopener noreferrer\">heise.de<\/a> oder <a href=\"http:\/\/www.golem.de\/news\/ueberwachung-aufregung-um-intermediate-zertifikat-fuer-bluecoat-1605-121169.html\" target=\"_blank\" rel=\"noopener noreferrer\">Golem.de<\/a> nachlesen. <\/p>\n<h3>Online-Tracking Insides<\/h3>\n<p>F\u00fcr Leute, die sich f\u00fcr das Thema Online-Tracking durch Webseiten interessieren, habe ich noch was zur Nachtlekt\u00fcre. Die Universit\u00e4t von Priceeton hat 1 Million Webseiten im Hinblick auf das Thema analysiert. Die Auswertung ist in <a href=\"https:\/\/webtransparency.cs.princeton.edu\/webcensus\/index.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem englischsprachige Dokument<\/a> zu finden. Nachtrag: Ich habe einen deutschsprachigen Excerpt <a href=\"http:\/\/www.sueddeutsche.de\/digital\/internet-dienste-dominieren-das-online-tracking-1.2998244\" target=\"_blank\" rel=\"noopener noreferrer\">hier gefunden<\/a>.<\/p>\n<p>Damit m\u00f6chte ich den, doch recht lang gewordenen, Blog-Beitrag abschlie\u00dfen. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Zum Ausklang des Monats Mai m\u00f6chte ich noch einige Sicherheitsinfos in einem Sammelbeitrag zusammenfassen, die m\u00f6glicherweise interessant oder relevant f\u00fcr meine Blog-Leser sind.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[2564,4328],"class_list":["post-177842","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-hack","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/177842","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=177842"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/177842\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=177842"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=177842"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=177842"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}