Letzte Woche gab es keine Neuigkeiten über Informationssicherheit, die einer detaillierten Beschreibung im Digest würdig wären. Dies bedeutet nicht, dass nichts passiert ist - eine solche Situation scheint völlig unmöglich zu sein. Wer hat einfach nicht gehackt. Nun, als Ausgleich für das
vorherige Werk über einen theoretischen Netzwerk-Spectre-ähnlichen Angriff werden wir heute über zwei echte Angriffe und einen Zirkus mit Pferden unter Beteiligung von John McAfee sprechen.
Reddit wurde einfach gehackt. Das heißt, nein, nicht so. Reddit ist als eine ziemlich spezifische Community, die gleichzeitig sehr beliebt ist, wahrscheinlich absolut allen möglichen Arten von Cyber-Angriffen ausgesetzt und tatsächlich recht gut geschützt. Diese Schlussfolgerung kann sowohl aus einer absolut ehrlichen Geschichte über einen kürzlich erfolgten Angriff als auch aus der Tatsache gezogen werden, dass es in der Vergangenheit anscheinend keine solchen Geschichten gegeben hat. Der Angriff war kompliziert, aber der Grund für den erfolgreichen Hack lässt sich leicht beschreiben: Sie haben die Zwei-Faktor-Authentifizierung umgangen.
Reddit hat eine detaillierte Beschreibung des Vorfalls (Captain!)
Auf Reddit veröffentlicht .
Hier können Sie die Nacherzählung auf Russisch lesen. Die Mitarbeiter des Unternehmens wurden am 19. Juni auf den Angriff aufmerksam. Vom 14. bis 18. Juni hatten Angreifer teilweise Zugriff auf die interne Infrastruktur des Unternehmens und brachen in mehrere Mitarbeiterkonten ein. Alle Konten mit Zugriff auf wichtige Informationen wurden von 2FA geschützt, konnten diese jedoch mithilfe des SMS-Abfangens umgehen.
Details zu diesem Abfangen wurden nicht bekannt gegeben, obwohl ein Hinweis auf der Wired-Website darauf
hinwies, dass es eine doppelte SIM-Karte gab. Ein solcher Angriff könnte schneller erkannt werden, insbesondere wenn mehrere Konten gestohlen wurden. Auf die eine oder andere Weise erhielten Cracker teilweise Zugriff auf Cloud-Speicher. Dort haben sie bis 2007 auf eine Datenbank mit Anmeldungen, Adressen und Kennwörtern von Reddit-Benutzern zugegriffen (Reddit wurde 2005 gestartet). Alle Benutzernachrichten wurden dort gespeichert, einschließlich privater Nachrichten, jedoch nur in den ersten zwei Jahren des Bestehens der Website.
Somit litten die frühesten Benutzer von Reddit am meisten. Außerdem wurde Zugriff auf die Mailserver-Protokolle erhalten. Von ihnen können Sie herausfinden, wer die Mailingliste der Site vom 3. bis 17. Juni 2018 erhalten hat. Das Problem ist, dass diese Protokolle verwendet werden können, um einen Benutzernamen auf Reddit mit einer Postanschrift zu verknüpfen: Diese Informationen können später verwendet werden - beispielsweise für Phishing-Angriffe. Was wurde getan? Es wurden Maßnahmen ergriffen, um einen erneuten Angriff zu verhindern, einschließlich des Übergangs zur Zwei-Faktor-Authentifizierung mithilfe physischer Token. Dank der Autorisierung mithilfe von Token konnte Google seit Anfang 2017
keinen einzigen erfolgreichen Phishing-Angriff verzeichnen.
200.000 MikroTik-Router sind von einem Bergmann infiziert→
NachrichtenIm April dieses Jahres wurde eine Zero-Day-Sicherheitslücke
auf MikroTik-Routern
entdeckt und geschlossen . Ein Fehler bei der Implementierung des Winbox-Fernsteuerungssystems ermöglichte das Extrahieren einer Benutzerdatenbank, in der genügend Informationen vorhanden waren, um die vollständige Kontrolle über den Router zu erlangen. Die Sicherheitslücke wurde zu diesem Zeitpunkt bereits von Angreifern ausgenutzt, aber das Ausmaß des Angriffs war gering. Der Patch, der das Problem abdeckt, wurde innerhalb von 24 Stunden veröffentlicht, aber jeder weiß, wie
schnell die Besitzer von Routern, auch professionelle, die Software aktualisieren.
Letzte Woche sammelte die BleepingComputer-Website Informationen aus drei verschiedenen Quellen und zählte bis zu zweihunderttausend Mikrotik-Router, die mithilfe der April-Sicherheitsanfälligkeit gehackt wurden, und bettete den Coinhive Cryptocurrency Miner-Code in Webseiten ein. Das heißt, alle Benutzer, die mit dem gehackten Router verbunden sind, beginnen, ihre Rechenleistung zur Miete für den Bergbau zu leasen. Der Angriff funktioniert in beide Richtungen: Wenn eine Website „hinter dem Router“ gehostet wird, erhalten ihre Besucher auch eine schädliche Belastung im Site-Code. In einigen Fällen wurde der Miner-Code nicht in alle Webseiten eingefügt, sondern nur in die vom Router selbst generierten, z. B. Fehlermeldungen zum Zugriff auf die Site. Shodans IoT-Suchmaschine indiziert 1,7 Millionen Mikrotik-Router, die im Internet sichtbar sind. Basierend auf dieser Zahl kann man sowohl einen ziemlich schwerwiegenden Anteil bereits infizierter Geräte als auch Möglichkeiten zur Erweiterung des Kryptowährungs-Botnetzes feststellen.
Kryptowährung Unbreakable Wallet SagaOkay, das ist keine Saga, sondern ein Witz. Jeder Bereich der Volkswirtschaft macht mehr Spaß, wenn John McAfee daran beteiligt ist. Am 27. Juli kündigte der Gründer von McAfee Security, der kürzlich seine gesamte Aufmerksamkeit von der Informationssicherheit auf Kryptowährungen richtete, eine Belohnung von 100.000 US-Dollar für das Hacken der Bitfi-Kryptowährungsbrieftasche an.
Die Bitfi-Brieftasche wird als absolut sicher, aber auch als praktisches Gerät zum Speichern und Arbeiten mit Kryptowährungs-Zugriffsschlüsseln beworben. Und John McAfee selbst wirbt aktiv für Bitfi als absolut unzerbrechliches Gerät, daher die Belohnung. Die Aussage von McAfee verursachte beispielsweise aus zwei Gründen eine erhöhte Frustration in der Sicherheitsexpertengemeinschaft. Erstens ist es schlecht zu sagen, dass etwas nicht gehackt werden kann. Zweitens sind die vom Hersteller von Bitfi-Geldbörsen vorgeschlagenen Bedingungen weit vom Standardprogramm für Bug Bounty entfernt. Die Teilnehmer sind
eingeladen , Bitfi mit einem darauf „gegossenen“ Schlüssel zu kaufen, um Zugang zu Geld zu erhalten. Wenn dieser Schlüssel gestohlen werden kann, werden eine „gestohlene“ Kryptowährung und hunderttausend Dollar von oben ebenfalls als Belohnung gewertet.
Aber echte Sicherheit hat nichts damit zu tun! Sie können Daten verschlüsseln, auf ein USB-Flash-Laufwerk übertragen und niemand kann sie ohne Schlüssel entschlüsseln. Unter dem Strich funktioniert das Gerät in der Praxis zuverlässig, wenn auf sensible Daten zugegriffen wird. Ist es möglich, während der Übertragung ein Geheimnis abzufangen? Kann ich eine PIN stehlen, um auf meine Brieftasche zuzugreifen? Theoretisch ist es notwendig, die Frage zu beantworten, wie das Gerät unter realen Bedingungen funktioniert und nicht, wie gut verschlüsseltes Kryptogeld darauf liegt.
Nicht dass John McAfee und Bitfi als Ganzes es gestoppt hätten. Einige Tage nach der Ankündigung wurde die Belohnung für das Brechen der Brieftasche unter Beibehaltung der Bedingungen auf 250.000 Dollar erhöht. Die Twitter-Forscher von PenTestPartners haben sie beschuldigt, mit Behauptungen von PenTestPartners konkurriert zu haben. Als Reaktion darauf
kaufte PenTestPartners
das Gerät und zerlegte es. Im Inneren befand sich eine etwas abgespeckte Smartphone-Plattform MediaTek mit modifiziertem Android mit allen eingebauten „fast“ Hintertüren,
die für ein billiges chinesisches Smartphone
typisch sind . Als ein unabhängiger niederländischer
Forscher einen relativ einfachen Weg fand, um Superuser-Rechte für das Gerät zu erhalten, konnte die Frage der Brieftaschensicherheit als abgeschlossen betrachtet werden. Aber Bitfi gab nicht auf:
Dann haben wir ein Gerät, auf dem es keine Software und keinen Speicher gibt. Dann erlauben Ihnen die Rechte der Wurzel nicht, die Brieftasche zu knacken. Wir müssen Tribut zollen: Irgendwann entschuldigte sich Bitfi für das Verhalten eines bestimmten Mitarbeiters, der für Tweets verantwortlich war, und reagierte nicht mehr auf alle gemäß der Vorlage "Narr selbst", aber es wurde nicht besser. Zum Zeitpunkt der Veröffentlichung entwickelt sich die Geschichte weiter: Forscher zerlegen die Krypto-Brieftasche und finden neue Probleme. Bitfi und McAfee fahren in einem Hype-Wagen im Kreis.
All dies ist natürlich unglaublich lächerlich, wenn es nicht ein bisschen traurig wäre, die Qualität der Sicherheitsdiskussion auf das Niveau einer ländlichen Disco zu senken. Die Sicherheitsstandards von Geräten, von Krypto-Geldbörsen bis hin zu
intelligenten Schlössern und Autos, werden von niemandem besonders definiert. Obwohl die Mehrheit der an der Informationssicherheit Beteiligten die Regeln des Anstands einhält, erscheinen manchmal solche „unzerbrechlichen“ Geldbörsen, „super zuverlässigen“ Schlösser und andere Früchte von Marketingphantasien. Die Realität setzt jedoch normalerweise alles an seinen Platz.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.