{"id":227915,"date":"2020-02-06T08:46:50","date_gmt":"2020-02-06T07:46:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227915"},"modified":"2020-02-06T09:54:00","modified_gmt":"2020-02-06T08:54:00","slug":"sicherheitsinfos-wacom-hisilicon-huawei-6-februar-2020","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/02\/06\/sicherheitsinfos-wacom-hisilicon-huawei-6-februar-2020\/","title":{"rendered":"Sicherheitsinfos: Wacom, HiSilicon\/Huawei &hellip; (6. Februar 2020)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Heute mal wieder einige Sammelinformationen zur Sicherheit. Wacom-Tablets tracken jede genutzte Anwendung. In einem breit eingesetzten HiSilicon-Chip (der Hersteller geh\u00f6rt zu Huawei) gibt es eine seit 2013 bekannt gewordene Backdoor (die Chips stecken in Sicherheitskameras, Smart-Ger\u00e4ten etc.). In Gro\u00dfbritannien werden Leute, die auf Webseiten von Kommunen Informationen und Hilfe bei Suchtproblemen, Armut oder Behinderung suchen, von privaten Firmen ohne Zustimmung getrackt. Auf einem Server des US-Verteidigungsministeriums hat man einen Crypto-Miner gefunden. Gesundheitsdaten von US-B\u00fcrgern wurden abgezogen und die Chemiefirma Lanxess wurde 2019 gehackt. Alles in allem der t\u00e4gliche Sicherheitswahnsinn.<\/p>\n<p><!--more--><\/p>\n<h2>Chemiekonzern Lanxess 2019 gehackt<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg01.met.vgwort.de\/na\/c610459d1ab647519fb452ab82fc4934\" width=\"1\" height=\"1\"\/>In der zweiten H\u00e4lfte des Jahres 2019 wurde das deutsche Chemieunternehmen Lanxess von Hackern angegriffen. In deren Netzen fand man Malware der (chinesischen) Hackergruppe Winnti.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">New: Another huge german company in the chemical industry was hacked by <a href=\"https:\/\/twitter.com\/hashtag\/Winnti?src=hash&amp;ref_src=twsrc%5Etfw\">#Winnti<\/a>: Lanxess. A spokesperson confirmed that the company became aware of the intrusion in the \"second half of 2019\". Short thread: (1\/6)<a href=\"https:\/\/t.co\/xJCRl7Dcqn\">https:\/\/t.co\/xJCRl7Dcqn<\/a><\/p>\n<p>\u2014 h\u036da\u0363\u1db0k\u036ca\u0365n\u036e\u1d49\u02b3\u1d48\u1da4 (@hatr) <a href=\"https:\/\/twitter.com\/hatr\/status\/1223138813221986304?ref_src=twsrc%5Etfw\">January 31, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Die Info wurde bereits Ende Januar 2020 bekannt, ich bin aber erst \u00fcber obigen Tweet darauf aufmerksam geworden. Heise hat Informationen zu diesem Spionageversuch in <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Spionageversuch-Chemiekonzern-Lanxess-im-vergangenen-Jahr-gehackt-4650706.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Beitrag<\/a> ver\u00f6ffentlicht. <\/p>\n<h2>Backdoor in HiSilicon Chips (Huawei)<\/h2>\n<p>Huawei ist \u00fcber Chips seiner Tochter HiSilicon breit in smarten Ger\u00e4ten wie digitalen Videorecordern (DVR) und Netzwerkvideorecordern (NVR), IP-Sicherheitskameras etc. vertreten. Nachfolgender Tweet zeigt Produkt-Logos. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Per the researcher, impacted are DVRs, NVRs, and IP cameras. HiSilicon chips are used in a lot of white-label stuff. <a href=\"https:\/\/t.co\/GWmaQW1llp\">pic.twitter.com\/GWmaQW1llp<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1224802702917623810?ref_src=twsrc%5Etfw\">February 4, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Der russische Sicherheitsforscher Vladislav Yarmak hat Einzelheiten \u00fcber diese Backdoor ver\u00f6ffentlicht (er hat das nie an HiSilicon gemeldet, da er nicht darauf vertraut, dass die die Hintert\u00fcr patchen). Das Bl\u00f6de an der ganzen Geschichte: 2013 wurde erstmals einen Hintert\u00fcr in einem HiSilicon-Chip entdeckt, der 2017 wieder aufs Tablet kam und 2020 wohl immer noch in den Chips steckt, wie Catalin Cimpanu in nachfolgendem Tweet ausf\u00fchrt.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Backdoor mechanism discovered (again) in HiSilicon chips<\/p>\n<p>\u2014Researcher did not notify HiSilicon due to a lack of trust in the vendor to patch the issue<br \/>\u2014Backdoor was first reported in 2013, and again in 2017, but inadequately patched all this time<a href=\"https:\/\/t.co\/Q1CjcYIqBd\">https:\/\/t.co\/Q1CjcYIqBd<\/a> <a href=\"https:\/\/t.co\/u9JvKHzhTx\">pic.twitter.com\/u9JvKHzhTx<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1224801796683595777?ref_src=twsrc%5Etfw\">February 4, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Die Ausnutzung dieser Backdoor ist mehr als trivial \u2013 die haben feste Passw\u00f6rter der Art 123456 f\u00fcr den Root-Zugang verwendet, wie Cimpanu im ersten Tweet schreibt. Details sind im verlinkten ZDNet-Artikel nachlesbar. Einfach der helle Wahnsinn \u2013 und bekommt Brisanz, da aktuell ja \u00fcber Huawei als Netzwerkausr\u00fcster f\u00fcr 5G-Netzwerke diskutiert wird.<\/p>\n<h2>Wacom-Tablets tracken Anwendungen<\/h2>\n<p>Ein Softwareentwickler hat herausgefunden, dass Wacom-Tablets alle durch den Benutzer aufgerufenen Anwendungen tracken. Er benutzt ein Wacom-Zeichentablett, um Cover-Illustrationen f\u00fcr seine Blog-Posts zu zeichnen. Beim Einrichten ist er auf die Bedingungen zu den <a href=\"https:\/\/gist.github.com\/robert\/9690e0f0cf4f72a9f51e36952c2776e2\" target=\"_blank\" rel=\"noopener noreferrer\">Datenschutzrichtlinien<\/a> der Software gesto\u00dfen, die der Benutzer akzeptieren muss. Dort steht:<\/p>\n<blockquote>\n<p>3. Information Automatically Collected \u2013 Google Analytics When You use the Tablet Driver, certain information as described below may be automatically collected for purposes such as improvement of the Tablet Driver, troubleshooting bugs, providing the functions of the Tablet Driver, managing the services and improving overall performance of the Tablet Driver. Such information includes aggregate usage data, technical session information and information about Your hardware device. 3.1 Google Analytics. By clicking the \"Accept\"-Button on this Privacy Notice, You have consented to the use of Google Analytics, a web analysis service provided by Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (\"Google\").<\/p>\n<\/blockquote>\n<p>Liest keiner und klickt auf den Yes-Button. Schon ist die Katze im Sack, denn der Entwickler Robert Heaton hat angefangen nachzuforschen. Manches, was da an Analytics gemeldet wird, ist m\u00f6glicherweise nachvollziehbar. Dazu geh\u00f6rt das Starten und Stoppen von Treibern. Obwohl nicht jeder Nutzer m\u00f6chte, dass diese Informationen an Google Analytics gehen. <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/robertheaton.com\/images\/wacom-evidence-4.png\" width=\"595\" height=\"288\"\/><br \/>(Quelle Robert Heaton)<\/p>\n<p>Erkl\u00e4rungsbed\u00fcrftig ist, warum Wacom jeden Start einer Anwendung samt Zeit und Namen und einer Zeichenfolge, die den Benutzer vermutlich eindeutig identifiziert, aufzuzeichnen muss. Robert Heaton schreibt, dass es bekannt ist, dass niemand die Datenschutzrichtlinien liest und dass sie oft bestenfalls ein Feigenblatt der Zustimmung sind. Aber selbst wer diese Richtlinie liest, bekommt nicht mit, welche Daten erhoben werden und dass der Start von Anwendungen getrackt wird. Die Details hat Robert Heaton <a href=\"https:\/\/robertheaton.com\/2020\/02\/05\/wacom-drawing-tablets-track-name-of-every-application-you-open\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier ver\u00f6ffentlicht<\/a>. Mal schauen, ob sich durch diese '\u00d6ffentlichkeit' etwas bewegt.<\/p>\n<h2>Bug-J\u00e4ger findet Crypto-Miner bei US DOD<\/h2>\n<p>Hat man auch nicht alle Tage: Beim US-Verteidigungsministerium (Department of Defense, DOD) hat ein Sicherheitsforscher einen Jenkins Server gefunden, der in Amazons AWS-Cloud lief. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Bug hunter finds cryptocurrency-mining botnet on DOD network<\/p>\n<p>&#8211; Botnet infected a DOD Jenkins server running on AWS<br \/>&#8211; Jenknins install could be accessed without needing to log in<br \/>&#8211; Didn't take long for a XMR miner to burrow inside it<a href=\"https:\/\/t.co\/69EPr6vEay\">https:\/\/t.co\/69EPr6vEay<\/a> <a href=\"https:\/\/t.co\/RFZOFSz39n\">pic.twitter.com\/RFZOFSz39n<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1225143932029480960?ref_src=twsrc%5Etfw\">February 5, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Der Jeninks-Server konnte ohne Zugriffschutz konfiguriert und installiert werden, worauf Cyber-Kriminelle einen Crypto-Miner eingerichtet habe. Details in obigem Teet. <\/p>\n<h2>Britische Kommunen, deren Websites und das Tracking<\/h2>\n<p>Der Hersteller des Browsers Brave, hat gerade die weit verbreitete Praxis zur \u00dcberwachung britischer B\u00fcrger durch private Unternehmen aufgedeckt, die auf den Websites britischen Stadtverwaltungen eingebettet sind. Ein neuer Bericht von Brave enth\u00fcllt, dass Menschen, die auf den Websites der Stadtverwaltungen Hilfe bei Suchtproblemen, Behinderung und Armut suchen, von privaten Unternehmen in Gro\u00dfbritannien getrackt und in Profilen erfasst werden. <\/p>\n<p>Der Beitrag ist <a href=\"https:\/\/brave.com\/ukcouncilsreport\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier abrufbar<\/a>. Keines der in dieser Studie erfassten Unternehmen hatte die Zustimmung des Website-Besuchers zur rechtm\u00e4\u00dfigen Datenverarbeitung erhalten. Das Ganze erh\u00e4lt Brisanz, da Gro\u00dfbritannien aktuell noch der DSGVO unterliegt, Boris Johnson aber angek\u00fcndigt hat (siehe den <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/DSGVO-Grossbritannien-will-sich-vom-EU-Datenschutz-loseisen-4653868.html\" target=\"_blank\" rel=\"noopener noreferrer\">gestrigen heise-Artikel<\/a>), die DSGVO-Vorgaben nach dem Brexit nicht mehr anwenden zu wollen \u2013 und England nach eigenen, 'hohen' Standards agieren will. <\/p>\n<h2>Datenleck bei Medicaid CCO (Oregon, USA)<\/h2>\n<p>Die in Oregon angesiedelte Non-Profit Medicaid Coordinated Care Organisation (CCO) <em>Health Share of Oregon<\/em> (gr\u00f6\u00dfte Organisation in Oregon) hat ein m\u00f6gliches Datenleck bekannt gegeben. <\/p>\n<blockquote>\n<p>\"On January 2, 2020, Health Share of Oregon learned that the personal information of its members was located on a laptop stolen from GridWorks IC, Health Share's contracted non-emergent medical transportation (Ride to Care) vendor,\"<\/p>\n<\/blockquote>\n<p>Intern gemeldet wurde der Vorfall, bei dem die pers\u00f6nlichen Daten von 654.362 Personen abhanden kamen, am 2. Januar 2020. Der Vorfall fand am 18. November 2019 im GridWorks-B\u00fcro statt, als ein Notebook gestohlen wurde.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Medicaid CCO Vendor Breach Exposes Health, Personal Info of 654K &#8211; by <a href=\"https:\/\/twitter.com\/serghei?ref_src=twsrc%5Etfw\">@serghei<\/a><a href=\"https:\/\/t.co\/ed22Er05S7\">https:\/\/t.co\/ed22Er05S7<\/a><\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1225172285067272193?ref_src=twsrc%5Etfw\">February 5, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script>  <\/p>\n<p>Der gestohlene Laptop enth\u00e4lt verschiedene Arten von Mitgliederinformationen, darunter Namen, Adressen, Telefonnummern, Geburtsdaten, Sozialversicherungsnummern und Medicaid-ID-Nummern. Laut Aussage von Health Share sind die pers\u00f6nlichen Gesundheitsinformationen (Krankengeschichte) der Mitglieder nicht auf dem Notebook gespeichert gewesen. <\/p>\n<blockquote><p>Abschlie\u00dfende Info: Forscher haben nachgewiesen, dass Hacker Daten von einem Computer \u00fcber Helligkeitsschwankungen des Bildschirms abgreifen k\u00f6nnten. Details finden sich in <a href=\"https:\/\/thehackernews.com\/2020\/02\/hacking-air-gapped-computers.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem The Hacker News-Artikel<\/a>.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Heute mal wieder einige Sammelinformationen zur Sicherheit. Wacom-Tablets tracken jede genutzte Anwendung. In einem breit eingesetzten HiSilicon-Chip (der Hersteller geh\u00f6rt zu Huawei) gibt es eine seit 2013 bekannt gewordene Backdoor (die Chips stecken in Sicherheitskameras, Smart-Ger\u00e4ten etc.). In Gro\u00dfbritannien werden &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/02\/06\/sicherheitsinfos-wacom-hisilicon-huawei-6-februar-2020\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-227915","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227915","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=227915"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227915\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=227915"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=227915"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=227915"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}