Black Hat-Konferenz: Vom AKW bis zur Autowaschanlage lässt sich alles hacken

Schreibe eine Antwort

So manche Dinge sind offenbar ganz tief verwurzelt in den Gehirnen von Programmierern. Zum Beispiel, dass man in Steuerungssoftware unbedingt einen (aber natürlich nicht dokumentierten…) Admin- oder Superuseraccount einbauen muss . Am besten mit einem festen, hardcodierten Passwort wie „admin“ oder „12345“. Weil – ja weil? Ach ja, weil man dann, wenn der DAU-Kunde das System vermurkst hat, ganz easy von außen wieder alles in Ordnung bringen kann. Oder – na ja; irgendwie ist das auch ganz nett, da mal bei Bedarf reinzuschauen in so ein Kundensystem, vielleicht läuft da irgendwas interessantes ab. Oder vielleicht möchte man das System ja auch mal abschalten oder sabotieren. Oder so.

Mit anderen Worten: Immer wenn mal wieder eine Backdoor aufgedeckt wird, fragt man sich, ob die verantwortlichen Hersteller und Programmierer nur dämlich oder aber böswillig sind. Am besten ist natürlich, wenn sie ihre Hände in Unschuld waschen und die Verantwortung auf den Kunden schieben: „Klar ist da eine Backdoor drin. Aber das macht ja gar nix, das System wird ja auch immer nur hinter einer super-dichten Firewall betrieben. Und außerdem: Wer sollte schon auf die Idee kommen, Strahlenmessgeräte oder Autowaschanlagen hacken und manipulieren zu wollen?“

Embed from Getty Images

 

Genau. Da kommt nie im Leben einer auf die Idee. Man soll anderen Menschen ja nichts Böses wünschen. Aber wenn jetzt die Verantwortlichen für die Strahlenmess-Software von einer wahnsinnig gewordenen Waschwalze zerdrückt und die Waschanlagen-Programmierer durch rausgeschmuggeltes Plutonium verstrahlt würden, dann würde doch ganz bestimmt überall in der Welt ab sofort besserer Code geschrieben werden? OK, das war jetzt ein irrationales Gedankenspiel. Außerdem profitiere ich ja von der Schlamperei – da hat man immer etwas nett Gruseliges zu berichten 🙂 …

Black Hat-Hacker-Konferenz: AKW bis Waschanlage · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 28.07.2017 (Moderation: Diane Hielscher)

 

Nachklapp 31.07.2017: Ein Bericht bei Heise: „Reddoxx: Angreifer können TÜV-geprüfte Mail-Archivierungssoftware kapern„.

Weitere von RedTeam gefundene Lücken betreffen einen nicht dokumentierten Administrator-Account, mit dem Angreifer sich mit Admin-Rechten anmelden können.

Sag ich doch. Die Backdoor muss da einfach unbedingt rein in eine Software. Auch wenn die TÜV-geprüft ist.

World Socialist Web Site beklagt Besucherrückgang und „Zensur“ durch Google

Schreibe eine Antwort

Wir reden ja ab und zu über das legendäre „Darknet“, also jene geheimnisvollen Bereiche des Internets, die nur Eingeweihten bekannt und zugänglich sind. In Wirklichkeit beginnt das Darknet schon auf der dritten Trefferseite von Google. Denn – wer schaut sich schon die Suchergebnisse 30 bis 50 an, wenn er schon bei den Top Ten „fündig“ geworden ist? Soll heißen – wenn eine Webseite bei Google nur unter „ferner liefen“ gelistet wird, bekommt sie eben ziemlich wenig Besuch. Nach welchen Kriterien die Suchmaschine entscheidet, was top und was flop ist – darüber gibt es immer wieder Streit und Aufregung.

Aktuelles Beispiel: die „World Socialist Web Site“ klagt über einen heftigen Besucherrückgang und wirft Google Zensur vor. Zumindest die Zahlen sprechen eine deutliche Sprache – ganz offenbar hat der zurückgegangene Traffic etwas mit der Algorithmus-Nachjustierung zu tun, mit der Google – wie YouTube und Facebook auch – auf den Unmut der Werbekunden reagieren musste, die ihre Anzeigen nicht länger im Umfeld von Hatespeech, Verschwörungstheorien und Fake News platziert sehen wollten.

Ob Google aber – wie von der WSWS beklagt – wirklich eine eigene politische Agenda gegen „linke und progressive Websites“ von WikiLeaks bis hin zur „American Civil Liberties Union“ oder  „Amnesty International“ fährt, das wage ich einmal stark zu bezweifeln. Ich tippe eher – genau wie bei YouTube – auf eine blöde bzw. übereifrige KI. Denn nach wie vor liegt die im wesentlichen auf bestimmte Stichworte anschlagende „intelligente“ semantische Analyse gerne noch ziemlich daneben in der Einschätzung, um was es in einem Artikel oder auf einer Website tatsächlich geht.

Google dürfte Vorwürfe wie von der WSWS in eigenem Interesse durchaus ernst nehmen – letztlich beruhen alle mittlerweile mit (auch nicht mehr aus der Portokasse zu zahlenden…) Strafandrohungen bewehrte Vorwürfe auf der gleichen juristischen Position: Ein Monopolist muss allen Akteuren Chancengleichheit bieten und darf nicht das eigene Geschäft oder die eigene Position bevorteilen. Dass mittlerweile sogar die Psycho-Truppe aus dem IrrenWeißen Haus regulierend in das Geschäft der Netz-Giganten eingreifen möchte, das sollte doch als Anreiz zu strengster Neutralität ausreichen 🙂 …

Deutschlandfunk Nova – Hielscher oder Haase vom 28.07.2017 (Moderation: Diane Hielscher)

Nachklapp 31.07.2017 – Jens Berger von den Nachdenkseiten hat sich einmal die Mühe gemacht und nachgeprüft, ob die von der WSWS aufgestellten Vorwürfe nachvollziehbar sind – sein (von der politischen Richtung her ja sehr unverdächtiges 🙂 …) Fazit: Eigentlich nicht.

Drohnen-App der DFS: Service-Angebot oder Zwangsregistrierung?

Schreibe eine Antwort

Bei Drohnen – oder für die Schlaumeier und Besserwisser 🙂 – bei Koptern: Da gibt es ja die ganze Palette vom Billig-Spielzeug fürs Wohnzimmer bis hin zu richtig dicken Brummern für professionelle Luftbildaufnahmen. Ganz ungefährlich sind die Dinger ja auch nicht, vor allem die dicken Brummer – und deswegen muss man auch diverse Vorschriften beachten. Die DFS, die Deutsche Flugsicherung hat jetzt eine kostenlose App rausgebracht, die einen bei der Einhaltung dieser Vorschriften unterstützen will – nur stößt die bei eigentlich interessierten Usern auf sehr wenig Gegenliebe.

Es gibt ja, was alle Drohnen- oder Kopter-Piloten und Pilotinnen wissen sollten, bestimmte Gebiete, die nicht oder nur eingeschränkt überflogen werden dürfen,  z.B. Flughäfen, Krankenhäuser, Industrie- und Energieanlagen oder Naturschutzgebiete – das ist in der Drohnen-Verordnung geregelt, die ja im April in Kraft gesetzt worden ist. Und Hinweise dazu, mit „interaktivem Kartenmaterial aus amtlichen Quellen“ gibt es in der DFS-App für iOS oder Android. Soweit, so gut, so kostenlos.

Embed from Getty Images

 

Bevor man die App nutzen kann, muss man sich allerdings registrieren; und seine Drohne auch, und jede Flugbewegung soll man doch bitte schön auch gleich an die DFS-Server übermitteln – ist der Start jetzt für „Hobby und Sport“, „Photo und Video“, „Behördliche Aufgaben“ erfolgt; oder aber für einen Terror-Anschlag oder eine Pizza-Auslieferung? Ganz klar – die App ist kein niedrigschwelliges Info-Angebot für kooperative und gutwillige Drohnenfreunde, sondern quasi das, was die DFS ohnehin eigentlich für alle Drohnen gerne hätte: Eine (in dem Fall dann freiwillige…) Pflichtregistrierung und ein freiwillig erstelltes Flugprotokoll. (Das man übrigens, so die DFS-Pressemitteilung, z.B. durch einen implantierten Mobilfunkchip automatisch erzeugen bzw. übermitteln könnte…)

Der Witz ist nur: Für Mini-Drohnen ist die von der DFS erwünschte Registrierungspflicht eben nicht vorgeschrieben; wer ein (tatsächlich oder vermeintlich…) harmloses Hobby betreibt, möchte nicht sofort im vollen Umfang der behördlichen Flugsicherung zwangsreguliert werden. Andererseits – auch die DFS-Position ist ziemlich nachvollziehbar: Wenn ich in einem Flugzeug sitze, möchte ich auch nicht wegen einer ins Triebwerk geratenen Dohne abstürzen, dessen Eigner hinterher stammelt: „Oh Entschuldigung, das hab ich nicht gewusst.“

Und trotzdem – wenn die App der DFS vielleicht etwas zurückhaltender wäre mit der Daten-Sammelei, dann würde sie wahrscheinlich öfter installiert werden und mehr positiven Effekt haben.

Deutsche Flugsicherung: Drohnen-App · Deutschlandfunk Nova

DLF Nova – Hielscher oder Haase vom 27.07.2017 (Moderation: Diane Hielscher)

Milliarden-Geldwäsche: Bitcoin-Mixing-Dienste im Fokus der Ermittlungsbehörden

Schreibe eine Antwort

Wer smart ist und einen schnellen PC hat, kann  versuchen, Cyber-Kohle  selbst zu „schürfen“, das ist dann digitales Gelddrucken. (Ether ist noch für Amateure machbar, Bitcoin nur noch für Profis mit Spezial-Hardware und Billig-Strom…) Und wer mehr als smart ist, sagen wir einfach mal: kriminell, für den sind Cyber-Währungen auch etwas sehr feines: Da kann man nämlich relativ anonym mit bezahlen oder bezahlt werden, für krumme Geschäfte aller Art. Aber die Betonung liegt auf relativ anonym – denn allmählich werden auch Ermittlungsbehörden etwas fitter darin, Licht in dunkle Transaktionen zu bringen.

Vor kurzem war der Betreiber der Darknet-Plattform AlphaBay aufgeflogen und verhaftet worden. Jetzt gab es eine weitere spektakuläre Festnahme – die griechische Polizei hat einen russischen Staatsbürger namens Alexander V. verhaftet, auf Betreiben des US-Justizministeriums und diverser Ermittlungsbehörden. Der Vorwurf lautet: Geldwäsche in Milliardenumfang. Was die Sache noch pikanter macht: Möglicherweise ist V. auch verantwortlich für den legendären Hack bzw. die Insider-Abzocke bei der Bitcoin-Börse Mt.Gox. Auf der von V. betriebenen russischen Bitcoin-Börse BTC-e  hat sich offenbar das Gros der Ransomware-Abzocker ein Waschkonto eingerichtet.

Da mag man dann – trotz aller Liebe zu hehren Werten wie Anonymität und Freiheit im Internet – nicht mehr so ganz ungetrübt in das Horn derjenigen blasen, die die Verbindung Cyberwährung – Cyberkriminalität für eine ganz marginale Randerscheinung erklären. Das alles sehen offenbar die Betreiber des Mixing-Dienstes Bitmixer.io jetzt auch mit anderen Augen – oder sie haben Muffensausen bekommen 🙂 …

Deutschlandfunk Nova – Hielscher oder Haase vom 27.07.2017 (Moderation: Diane Hielscher)

Internet-Ordnung in Gefahr: Gangnam Style braucht eure Solidarität!

Schreibe eine Antwort

Es gibt ja diese ganzen popularitätsfeindlichen Bedenken; wenn ich ganz ehrlich bin, habe ich die zuweilen auch vorgebracht. Also so was wie: „Vox populi, vox Rindvieh“. (Lieblingsspruch meines Lateinlehrers, Herr Erdmann.) Oder wie: „Fresst Scheiße, Millionen Fliegen können (sich) nicht irren!“ Oder so. Ist ja alles schön und gut. Aber dass „Gangnam Style“ der gigantische, epische Überflieger und lange, lange Zeit die Nummer Eins der YouTube-Charts war, das hat ja sehr gute Gründe.

Erst mal singt da ein nach herkömmlichen Maßstäben nicht unbedingt wahnsinnig gut aussehender Typ

in einer (jedenfalls für den Rest der Welt…) etwas exotischen Sprache herum. Das Video ist auch jetzt nicht irgendwie sensationell in dem Sinne, dass da Atomraketen aufsteigen oder extraterristische Vulkanausbrüche nahtlos in vereisende Walgesänge übergehen. Oder sonst irgendein theatralischer Kitsch. Dafür liefert Gangnam Style aber erstens eine astreine Choreografie mit sehr innovativen Elementen wie Lassoschwingen, Hüftkreisen und Kniewippen, was unzählige Arbeitsplätze in der Tanz-Ausbildungsszene gesichert hat.

Zweitens liefert Gangnam Style die perfekte Vorlage für unzählige wunderbare Parodien und Variationen; das gilt übrigens auch für die weiteren herrlichen Kreationen des südkoreanischen Schöpfers Psy. (Ich bin übrigens absolut sicher, dass der schmerbäuchige und feistgesichtige („Hey! Where did you get that body from? I got it from my DAD!“) Lenker des nordkoreanischen Bruderstaats, mein ganz besonderer Freund Kim Jong Un, ein Fan von Psy und von Gangnam Style und dessen weiteren herrlichen Kreationen ist. „Korean Style“ ist eben nicht nur Süd-Korean-Style. „Mother Fucka Father Gentleman.“

Aber vor allen Dingen: Gangnam Style hat eine der herrlichsten, wichtigsten und effektvollsten Pausen der Musikgeschichte. „Ticke-ticke-ticke-ticke-ticke-ticke-ticke-ticke-ticke-tay… (Pause. Nix. Pause. Pause. Immer noch Pause. Nix. Pause.)

(W)oppan Gangnam Style.“ Jetzt hat angeblich irgendein sentimentales Stück mit auf eine bestimmte Person bezogener rührender, aber letztlich fragwürdiger Jenseits-Romantik den Spitzenplatz der YouTube-Charts übernommen. Das Stück, das ich jetzt hier gar nicht verlinken will, wird angeblich gerne bei Beerdigungen gespielt. Ok, ok. Ich respektiere die situationsgebundene Betroffenheit und emotionale Befindlichkeit – aber die sollte nicht eine solche dramatische Auswirkung haben. Trauern ist ok, aber trauern ist nicht der Haupt-Impetus im Leben. (Das wäre jedenfalls ziemlich depressiv.)

Gegenbeispiel: Da soll da noch ein fröhliches Reggae-Stück im Anmarsch auf die Top-Position bei YouTube sein, das ich natürlich auch nicht verlinke. Da ist die Stimmung nicht traurig und betroffen, sondern eher belanglos heiter. Ist auch keine legitime Konkurrenz. Ganz klarer Fall also: Gangnam Style muss vor diesen Angriffen wie auch immer gearteter Motivation und Sentiments-Geschmacksrichtung geschützt und verteidigt werden. Die Bitte, nein der Befehl geht also an alle meine zahlreichen Follower in der ganzen Welt: Klickt alle immer und immer wieder auf Gangnam Style, lasst eure Bots und Klickfarmen aktiv werden und bringt Psy wieder an die Spitze der Rangliste. Woppan Gangnam Style!!!! „Ich habe mich klar genug ausgedrückt!!!“

Ethereum: Goldgräberstimmung und Crash bei Cyberwährungen

Schreibe eine Antwort

Wer träumt nicht davon – einfach reich werden, ohne zu arbeiten, durchs Nichtstun. Da gibt es ja diverse Ideen, nicht alle sind legal oder moralisch einwandfrei. Aber zwei Möglichkeiten sind altbewährt: Entweder man hat etwas, was rapide im Wert steigt. Oder man findet etwas Wertvolles, was quasi in der Gegend herumliegt und darauf wartet, aufgesammelt zu werden. Genau so funktioniert das gerade bestens bei Cyberwährungen und sorgt momentan für einen totalen Hype. Am bekanntesten sind natürlich die Bitcoins, auf Platz zwei der Beliebtheit liegt Ethereum.

Embed from Getty Images

Beim Mining von Bitcoins – auch mit Spezial-Hardware – ist der Zug für Privatanwender schon längst abgefahren

Lange dümpelte der Kurs für den Ether, die Währungseinheit von Ethereum, ziemlich unauffällig herum. Am Jahresanfang lag er bei etwa 10 Euro – um dann im März plötzlich zu explodieren, in der Spitze bis auf knapp 350 Euro. Kein Wunder, dass da allen Ernstes die doch eigentlich seriöse 🙂 IT-Seite Heise.de eine „Anleitung zum Geldverdienen„, zum Ethereum-Schürfen ins Netz stellte. Nach einer kurzen Kalkulation (bei mir steckt eine Geforce GTX 980 im Rechner, immerhin…) habe ich von der Idee Abstand genommen, da vielleicht mit Ach und Krach einen Fünfziger zu erwirtschaften – und dafür permanentes Lüfterrauschen, vorzeitige Alterung des PCs, Energieverschwendung und weitere Erhitzung meiner Bude in Kauf zu nehmen. Außerdem hat der Rechner ja ab und zu auch noch andere Arbeit zu erledigen.

Zwischen Manuskript-Fertigstellung und Sendung war dann der Ether-Kurs schon leicht gefallen, und danach kam: Der Crash. Oder wie soll man es anders nennen, wenn die Notierung innerhalb von 14 Tagen wieder auf 230 Euro herunterrauscht? Wie gesagt kann man ja ein paar gute Gründe aufzählen, warum es für Ether (und erst recht für das über die reine Währung ja weit hinausgehende Konzept Ethereum…) Nachfrage und Perspektiven gibt. Aber im Moment ist halt noch Zocker-Time. Das muss man mögen bzw. aushalten können. Ach ja, ich habe da auch noch einen altbewährten Börsen-Trost auf Lager: Das verlorene Geld ist nicht weg, das hat nur jemand anders. 🙂

Ethereum: Goldgräberstimmung bei Cyberwährungen · Deutschlandfunk Nova

Deutschlandfum Nova – Grünstreifen vom 21.06.2017 (Moderation: Paulus Müller)

Petya-Newsletter von GData im Phishing-Stil

Schreibe eine Antwort

Es herrscht wieder einmal Alarmstufe Rot bei IT-Verantwortlichen und auch Privatanwendern, die Malware Petya bzw. NotPetya macht auf den Spuren von WannaCry die Runde – wer oder was auch immer hinter der aktuellen Verbreitungskampagne stecken mag. Da nimmt man doch eine Email mit einem Betreff „Sicherheitsmeldung: Angriffswelle Petya, wir schützen Sie“ mit Interesse zur Kenntnis. Mit vorsichtigem Interesse, wohlgemerkt. Denn die Mail mit dem angeblichen Absender „G DATA Software <gdata@de-info.gdatasoftware.com>“ landete bei mir erst einmal im Spam-Ordner von Outlook. Und deswegen waren ja dann auch die Links in der Mail im „Klartext“ sichtbar. Ein Auszug:

Hier finden Sie mehr Informationen zum Thema Ransomware. <http://de-info.gdatasoftware.com/go/0/29DWU8GL-29DAE908-29DAE8YJ-100H1BQD.html>

Und auf so einen Link soll ich jetzt draufklicken?? Ja, alles klar. Netter Versuch wieder mal von euch Ganoven. 🙂 In der Mail sind noch mehr so klasse Links drin:

G DATA Experte Tim Berghoff über Petna   <http://de-info.gdatasoftware.com/go/0/29DWU8GL-29DAE908-29DAE900-9FD367.html>

G DATA Security Blog: Petya ist zurück – wieder einmal <http://de-info.gdatasoftware.com/go/0/29DWU8GL-29DAE908-29CVSFQX-S707XU.html>

G DATA Pressecenter: Neueste Ergebnisse zur Petna Ransomware-Infektionswelle <http://de-info.gdatasoftware.com/go/0/29DWU8GL-29DAE908-29CVSFQY-RLG16QX.html>

G DATA Lösungen schützen vor allen Varianten des Schädlings. Online-Version <http://de-info.gdatasoftware.com/go/0/29DWU8GL-29DAE908-11QBWW1B-7XBJ0Z.html>  G DATA BEI FACEBOOK EMPFEHLEN <http://de-info.gdatasoftware.com/go/0/29DWU8GL-29DAE908-115FL5Z0-9E0WEB.html>   IM BROWSER ANSEHEN <http://de-info.gdatasoftware.com/go/0/29DWU8GL-29DAE908-11QBWW1B-7XBJ0Z.html>                  <http://de-info.gdatasoftware.com/go/0/29DWU8GL-29DAE908-12RND5RO-1EH24B9.html>

Na, wer hat noch nicht, wer will noch mal? Wer traut sich, wer ist richtig mutig (oder sagen wir besser: tollkühn…) und hat auch ein ganz frisches Backup seines Systems auf Lager? OK – da sind ja natürlich auch noch die Leute, die es nicht besser wissen oder denen alles egal ist. Klick.

Zur Aufklärung: Die Mail ist (genau wie seinerzeit die Mail vom BSI…) authentisch und kommt tatsächlich vom Antiviren-Softwarehersteller aus Bochum, das hat mir vorhin auf Nachfrage die GData-Pressestelle bestätigt. Was allerdings im Kopf des für den Newsletter Verantwortlichen vorgeht, das erschließt sich mir nicht. Da predigen wir in der Presse, da predigt das BSI, da predigen die Admins in den Firmen, da predigen die IT-Sicherheitsfirmen: „NIEMALS AUF OBSKURE LINKS IN EINER EMAIL KLICKEN!!! Und dann verschickt die Sicherheitsfirma GData eine Malware-Warn-Mail, die voll solcher obskurer Links ist.

Die Domain gdata.de kenne ich, die Domain gdatasoftware.com (die offenbar vorwiegend auf internationale Kunden ausgerichtet ist…) habe ich bislang nicht wahrgenommen, obwohl ich ja „vom Fach“ bin. Weil Google für „GData/G Data“ als zweiten Treffer hinter gdata.de dann auch gdatasoftware.com liefert, würde ich eventuell noch in Erwägung ziehen, auf einen Klartext-Link wie „gdatasoftware.com/neues-zu-petya“ zu klicken; oder besser, mir die Seite im Browser aufzurufen. Aber ein Subdomain-Prefix und dahinter etwas wie /go/0/HJX9HÖ4LCHH-HK3J1BJSZ6U9BGÄ-KK99KE22TÄ ?? Go wohin? Vielleicht ist das ja schon ausführbarer Code in der URL?  🙂

Liebe Leute bei GData – das ist nicht egal. Das ist auch kein kleiner Fauxpas. Das ist eine völlig kontraproduktive Angelegenheit: Sie als Sicherheitsfirma verleiten Ihre Kunden mit einer solchen Mail zu einem unverantwortlichen, unter den aktuellen Umständen höchst gefährlichen Verhalten. Wenn es ok sein soll, Links wie die in Ihrem Newsletter aufzurufen, dann kann man natürlich auch auf die Phishing-Links in den Mails von Pseudo-Paypal, Pseudo-Ebay, Wannacry und Petya klicken, die tagtäglich in unserem Posteingang eintrudeln. Sie de-sensibilisieren mit einer solchen Mail und solchen Links im Phishing-Stil die wenigen Anwender, die schon für die Gefahren sensibilisiert sind.

 

P.S. (30.06.2017): Mir ist durchaus bewusst, dass die Links in der GData-Mail im Grunde nicht allzu exotisch sind; in gleicher oder ähnlicher Form finden sie sich natürlich auch in den Aussendungen von Herrenausstattern oder Betriebssystem-Herstellern. Insofern ist die Sache kein exklusives GData-Problem. Der Witz ist nur, dass die Zeiten und die Bedrohungssituation sich geändert haben. Der Fall liegt u.U. auch noch etwas anders, wenn ich in einer Mail in ein Warenwirtschaftssystem oder einen Produktkatalog verlinken will/muss – dann werden sich entsprechende URLs nicht vermeiden lassen. (Die Frage stellt sich aber mittlerweile sehr dringlich, ob ein Empfänger solche Links noch guten Gewissens anklicken darf.) Für einen reinen Info-Text/Newsletter ist auf jeden Fall eine „nachvollziehbare“ Linkadresse angebracht, die man im Zweifelsfall durch einen Browserbesuch auf der Domainseite verifizieren kann.

Petya – wieder einmal sorgt Kryptotrojaner für Aufregung

Schreibe eine Antwort

Es ist wirklich ziemlich leicht und naheliegend; zumindest für ganz normale Anwender: Sich einen Trojaner einzuhandeln. Nach dem – im Grunde weniger katastrophal als angenommenen Malware-Wurm „WannaCry“ kursiert gerade eine aktuelle Version von „Petya“ – das BSI warnt:

Bonn, 27. Juni 2017. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet aktuell eine globale Cyber-Angriffswelle mit einer Verschlüsselungssoftware (Ransomware). Die Angriffswelle weist bezüglich Verbreitungsgrad und -geschwindigkeit Ähnlichkeiten zum Cyber-Sicherheitsvorfall „WannaCry“ im Mai dieses Jahres auf. Betroffen sind weltweit Unternehmen und Institutionen, nach BSI-Erkenntnissen sind auch deutsche Unternehmen betroffen. Das BSI ruft Unternehmen und Institutionen in Deutschland auf, IT-Sicherheitsvorfälle beim BSI zu melden.

Betroffene Unternehmen sollten nicht auf Lösegeldforderungen eingehen. Das BSI nimmt derzeit technische Analysen vor und prüft den Sachverhalt, auch im Austausch mit nationalen und internationalen Partnern. Auch im Nationalen Cyber-Abwehrzentrum (Cyber-AZ) wird eine Bewertung der bislang bekannten Fakten vorgenommen. Das Cyber-AZ steht im ständigen Austausch mit den beteiligten Behörden.

BSI-Präsident Arne Schönbohm: „Nach ersten Erkenntnissen des BSI handelt es sich um eine Angriffswelle mit der Schadsoftware Petya, die unter anderem die gleiche Schwachstelle ausnutzt, die sich auch die Ransomware WannaCry zu Nutzen gemacht hatte. Das Patchen dieser Schwachstelle mit dem seit Monaten verfügbaren Microsoft-Patch hätte in vielen Fällen eine Infektion verhindert. In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind. Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernst zu nehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben.“

Über die etablierten Kanäle von CERT-Bund, UP KRITIS und Allianz für Cyber-Sicherheit stellt das BSI Wirtschaft und Verwaltung Informationen und Handlungsempfehlungen zur Verfügung.

Der (wohlfeile, aber eben doch zutreffende…) Hinweis in dieser Angelegenheit lautet:  Klicken Sie niemals auf Links in obskuren Mails; rufen Sie (vermeintlich…) bekannte Seiten im Browser über die bekannte Web-Adresse auf und nicht über einen Link in einer Email. Legen Sie ein Backup von allen wichtigen Dateien an – auf einem externen, nicht standardmäßig geladenen; „gemountetem“ Datenträger. Alle Daten, die nicht zuverlässig extern gesichert sind, existieren gar nicht. Oder eben nur gnädigerweise/temporär bis zum nächsten Festplattenausfall/Hack/Kryptotrojaner.

US-Supreme Court urteilt: Das Recht auf freie Rede umfasst auch Hate-Speech

Schreibe eine Antwort

Die Meinungsfreiheit, das Recht auf freie Rede – das gehört natürlich zu den zentralen Werten in jeder Demokratie. Aber in den USA hat das – historisch begründet – noch mal einen ganz besonderen Stellenwert, „Free Speech“ hat da im Zweifelsfall ein höheres Gewicht als andere verfassungsmäßig garantierte Rechte. Das höchste Gericht der USA, der Supreme Court, hat diesen Grundsatz jetzt noch einmal bestärkt und gesagt: Letztlich ist sogar „Hate Speech“ „Free Speech“ und daher zulässig. Beim Thema Hate Speech denken wir natürlich direkt ans Netz – der Fall, über den verhandelt wurde, hatte aber zunächst einmal gar nichts zu tun damit und war geradezu skurril:

Auslöser war der Wunsch der Dance-Rock-Band „The Slants“ – auf Deutsch „Die Schlitzaugen“, ihren Bandnamen als Marke einzutragen. Natürlich ist der Name selbstironisch zu verstehen bzw. ein Spiel mit oder ein Hinweis auf Ressentiments. Die Band, ihre Mitglieder mit asiatisch-stämmigen Hintergrund und speziell der Gründer Simon Young sind viel auf Kulturfestivals unterwegs und setzen sich gegen Rassismus und ethnisch begründete Vorurteile ein. Die zuständige US-Patent- und Markenbehörde aber lehnte die Eintragung ab – der Bandname sei „offensive“ und als Marke daher nicht zulässig.

Das war der Band dann zuviel der Political Correctness und in diesem Fall unnötiger Rücksichtnahme auf die Gefühle von asiatisch-stämmigen oder sonstigen sensiblen Menschen – sie legte Einspruch ein mit dem Verweis auf das „First Amendment“ und das Recht auf Redefreiheit. Trotz der spitzfindigen Gegenargumention des Patentamtes gab der Supreme Court der Band nun Recht. Markennamen dürfen auch „offensive“ sein, es besteht kein Zwang zum allseitigen „Happy Speech“. Die entscheidenden Sätze aus der Urteilsbegründung:

Speech that demeans on the basis of race, ethnicity, gender, religion, age, disability, or any other similar ground is hateful; but the proudest boast of our free speech jurisprudence is that we protect the freedom to express “the thought that we hate.”

Eine Sprache, die aufgrund von Rasse, Ethnie, Geschlecht, Religion, Alter, Behinderung oder ähnlichen anderen Gründen herabwürdigt, ist Hassrede. Aber die stolzeste Errungenschaft unserer Rechtsprechung zur freien Rede ist: Wir schützen die Freiheit, den Gedanken aussprechen zu dürfen, dass wir hassen.

Ein bemerkenswertes Urteil, das natürlich eine ganz große Relevanz für angebliche oder tatsächliche Hass-Postings im Netz hat und das sich vielleicht auch Bundesjustizminister Heiko Maas noch einmal genau anschauen sollte. Bei der Experten-Anhörung im Bundestag am Montag gab es ja eine Menge Kritik an Maas bzw. dem geplanten „Netzwerksdurchsetzungsgesetz“ – der US-Supreme Court dokumentiert hier noch einmal die liberalere Rechtsauffassung: Im Zweifelsfall eben erst für freie Rede und gegen staatlichen Eingriff – sonst wird Zensur und dem Abwürgen von kontroversen Minderheits-Meinungen Tür und Tor geöffnet.

Das Urteil macht auch noch einmal ganz klar: Facebooks, Googles und Twitters grundsätzliche Regeln, ihre Sicht auf das Thema „was ist erlaubt und was nicht“ beruhen auf amerikanischem Rechtsverständnis und auf dem First Amendment, und das wird auch so bleiben. Und das ist vielleicht auch gut so. Wohlgemerkt – ich bin natürlich nicht der Auffassung, dass eindeutig justiziable Beleidigungen oder Bedrohungen ungeahndet bleiben und irgendwelche Idioten immer noch denken sollten, eine Beleidigung, Bedrohung oder Verhetzung sei online und über die Tastatur herausgekotzt irgendwie etwas anderes als im „richtigen Leben“.

Dagegen kann und soll man vorgehen – was wir allerdings nicht brauchen, schon gar nicht in der Diskussion mit Verschwörungstheoretikern und Lügenpresse-Anklägern: Eine prophylaktische Gedanken- oder Äußerungspolizei. Mit Blödsinn und Gehetze kann man sich auseinandersetzen, möglicherweise ist auch das einfache Ignorieren eine oftmals angebrachte Option. Aus dem Gelaber von rechtschaffenden, ein wenig angetrunkenen Bürgern am Stammtisch in Winsen an der Luhe hat man ja früher, in analogen Zeiten auch keine Staatsaffäre gemacht. 🙂

Deutschlandfunk Nova – Hielscher oder Haase vom 20.06.2017 (Moderation: Till Haase)

Daten von 200 Millionen US-Bürgern frei im Netz

Schreibe eine Antwort

Wir liefern ja Tag für Tag und Stunde für Stunde jede Menge Daten ins Netz: Was wir kaufen, was wir suchen, wofür wir uns interessieren – und immer versichern uns die Netzfirmen: Da gehen wir verantwortungsvoll mit um, das wird nur zu den und den genau definierten Zwecken genutzt. Und natürlich: Das ist alles an einem sicheren Ort, in einer sicheren Datenbank abgespeichert. Peinlich nur, wenn dann so eine Netzfirma gehackt wird – Yahoo war ja ein unrühmliches Beispiel. Aber das lässt sich noch toppen: Wie wäre es damit: Die Daten von knapp 200 Millionen US-Bürgern, etwa 60% der Bevölkerung frei im Netz – und zwar inklusive des jeweiligen Wahlverhaltens und der politischen Überzeugung?

Im Gegensatz zum ebenfalls von Schlamperei (und schlechter Unternehemensführung…) gebeutelten Yahoo war bei „Deep Root Analytics“ keine fremde Macht am Werke, sondern nur Inkompetenz oder ein kaum entschuldbares „Versehen“. Denn die Kronjuwelen des Unternehmens, die Datenbank mit detaillierten Informationen darüber, was US-Wahlberechtigte über Waffenbesitz, Abtreibung oder Genforschung denken – die war offenbar weder verschlüsselt noch passwortgeschützt auf dem Amazon-Cloudserver abgelegt, sondern nur hinter einer leicht zu erratenden Subdomain versteckt.

Das „besondere Maß an Verantwortlichkeit“, wie es etwa das BSI von Unternehmen und Institutionen einfordert, hat „Deep Root Analytics“ wohl eher nicht gezeigt – nach dem Super-GAU könnten und sollten da mit Fug und Recht ein paar „Köpfe rollen“. Aber Datenbank-Konfigurationskatastrophen sind natürlich ein Dauerbrenner – selbst zwei Jahre nach dem Mongo-DB-Debakel scheinen immer noch diverse Firmen mit fahrlässig offenem Hosenschlitz unterwegs zu sein. Dabei sind ja schon die Sicherheitslücken und Exploits, von denen man selbst als informierter, verantwortlich handelnder Admin nichts weiß, schlimm genug. 🙂

Datenbankleck: Daten von 200 Millionen US-Bürgern frei im Netz · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 20.06.2017 (Moderation: Till Haase)