Wenn Sie sich unsere
Auswahl wichtiger Neuigkeiten für 2018 ansehen, haben Sie möglicherweise das Gefühl, dass sich in den letzten 2019 nichts geändert hat. Hardware-Schwachstellen sehen immer noch vielversprechend aus (das neueste Beispiel:
Umgehen der Guard Guard-Erweiterungen auf Intel-Prozessoren) und werden bei echten Angriffen immer noch nicht angewendet. Maschinelles Lernen wird in der Praxis jedoch beispielsweise für das High-Tech-Social-Engineering eingesetzt. Die Nachahmung der Stimme des Leiters der Organisation
half, eine Million Euro
zu stehlen, und Microsoft
organisierte einen Wettbewerb, um einen Algorithmus zu entwickeln, der Dipfeyki erkennt.
Auch die Bedrohungen aus dem Internet der Dinge sind nicht verschwunden, und 2019 gab es weitere Studien zur neuen Generation des Internet der Dinge. Ein aktuelles Beispiel:
Voice Phishing mit intelligenten Lautsprechern. All dies sind Beispiele für vielversprechende Angriffe, die (natürlich plötzlich) in Zukunft relevant werden können. Gegenwärtig wird die traditionelle Infrastruktur angegriffen: Experten von Kaspersky Lab
nannten gezielte Angriffe von Ransomware Ransomware als eines der Hauptthemen des Jahres. Die hochkarätigen Nachrichten des Jahres standen im Zusammenhang mit erfolgreichen Angriffen auf die Infrastruktur, die sowohl von entscheidender Bedeutung als auch chronisch unterfinanziert ist - IT-Systeme in Kommunen und Krankenhäusern.
Aus einer solch breiten Palette von Ereignissen im Bereich der Informationssicherheit ist es schwierig, etwas wirklich Bedeutendes auszuwählen, und dies ist normal: Theoretische Studien oder reale Angriffe, die unsere Vorstellungen zum Datenschutz auf einem persönlichen Gerät oder in der Cloud radikal ändern, treten glücklicherweise nur selten auf. Daher haben wir heute eine nicht standardmäßige Top-Nachricht: Sie hat keine Durchbrüche oder Revolutionen, aber es gibt Intrigen-, Drama- und nicht triviale Forschungsmethoden.
Datenschutz - Misserfolg des Jahres
Wir haben es gewagt, 2019 das Jahr der Privatsphäre
im Januar zu nennen . Im Jahr 2018 begannen nicht nur einige Experten, sondern auch traditionelle Medien und sogar normale Benutzer, Unternehmen komplexe Fragen zur Verarbeitung personenbezogener Benutzerdaten zu stellen. Begonnen hat alles mit einem Skandal bei Facebook und Cambridge Analytica, und in diesem Jahr werden
Ermittlungen gegen die größten Aggregatoren personenbezogener Daten wie Facebook, Amazon und Google durchgeführt, gegen die
hohe Geldstrafen verhängt werden . Fast jeder größere Vorfall, bei dem Passwörter oder persönliche Daten verloren gehen, wird ausführlich diskutiert, und manchmal werden sogar vernünftige Entscheidungen kritisiert. Im Juli
gaben wir Beispiele für solche zweideutigen „Angriffe auf den Datenschutz“: Die Verwendung von Informationen über Nutzer von Google-Diensten für das „automatisierte“ reCaptcha v3, die Einbettung von Facebook-Kennungen in Bildmetadaten und Anwendungsrechte für Android-Smartphones.
Es ist gut, dass das Thema diskutiert wird. Es ist schlecht, dass Lösungen für das Problem, die für den Benutzer verständlich sind und ihm zumindest eine gewisse Kontrolle über die Verarbeitung personenbezogener Daten geben, nicht erschienen sind. Theoretisch hätte das im Jahr 2018 eingeführte europäische DSGVO-Gesetz die Datenschutzsituation verbessern sollen, aber wir alle wissen, wie dies endete: Jetzt müssen Sie auf der Hälfte der Websites nicht nur das Fenster für das Abonnieren von Benachrichtigungen, das Angebot zum Herunterladen der App und das Abonnieren des Newsletters schließen, sondern auch den Datenschutz und DSGVO-Formular. Es ist möglich, die Datenübertragung in Werbenetzwerke zu deaktivieren, aber im Ernst, zumindest macht es jemand ständig? Im Juni wurde in Kalifornien eine GDPR-ähnliche Gesetzesvorlage
verabschiedet . Dennoch scheint es, dass jede Gesetzgebungstätigkeit im High-Tech-Bereich nur eine halbe Wirkung hat, wenn sie nicht durch technische Lösungen unterstützt wird. Dies ist das gleiche wie das Verbot, dass Cyberkriminelle Kreditkarteninformationen stehlen, ohne die Kreditkarten selbst angemessen zu schützen.
Als Verbraucher kritisieren wir einerseits (häufig aus wichtigem Grund) Geräte- und Softwareentwickler dafür, dass
sie Screenshots von Smart-TVs machen,
Anzeigen nach Telefonnummer auf Twitter
ausrichten und private Sprachnachrichten im manuellen Modus abhören. Auf der anderen Seite nutzen wir die Ergebnisse dieser Verarbeitung personenbezogener Daten aktiv: in einem Musikdienst mit Empfehlungen, in einem Navigator, der merkt, wo das Auto geparkt ist, und in einem Sprachassistenten, der Sie daran erinnert, Gennady anzurufen. Die Frage ist, was tun Unternehmen mit unserem Profil neben dem persönlichen Nutzen noch? Die Antwort scheint nur hundert Experten auf der Seite des Verkäufers und sonst niemandem bekannt zu sein.
Mit anderen Worten, 2019 passierte nichts, was für die Privatsphäre wirklich nützlich war. Dies ist immer noch der Wilde Westen mit Saloons und Zugraub, in dem ein kleiner Teil der Bevölkerung über den aktuellen Stand der Dinge empört ist. Ich hoffe, dass es im Jahr 2020 ethische Standards für die Verarbeitung und Verbreitung personenbezogener Daten geben wird, die die Menschen verstehen und von Netzwerkdiensten als eindeutigen Wettbewerbsvorteil nutzen. Dies versuchte Apple bereits zu Jahresbeginn auf der CES, die nach eigenen Angaben keine Kundendaten handelt. Das Problem ist, dass der Datenschutz auf einem Smartphone nicht nur von den Systemeinstellungen, sondern auch vom Verhalten der Anwendungen abhängt. Und in ihnen ist die Situation
alles andere als ideal .
Notepad hacken
Der Preis in der Nominierung "Es gibt nichts zu brechen in dieser Anwendung, aber wir konnten es" wird von einer
Studie des Google Project Zero-Teamexperten Tavis Ormandy entgegengenommen. Er entdeckte eine Sicherheitslücke im Text Services Framework, einem alten textbasierten Tool mit umfangreichen Berechtigungen für Windows. Die im August geschlossene Sicherheitsanfälligkeit kann theoretisch dazu verwendet werden, beliebigen Code mit Systemrechten auszuführen.
Ein Beispiel für die Ausnutzung einer Sicherheitsanfälligkeit wird im Video gezeigt. Das Interessanteste ist, dass Notepad nichts damit zu tun hat: Es gibt keine spezifische Sicherheitslücke in dieser Anwendung. Mit dem Text Services Framework konnte Ormandy das Problem jedoch im herkömmlichen Stil demonstrieren: Wenn beliebiger Code aus einer scheinbar harmlosen Anwendung ausgeführt wird, startet die Konsole in diesem Fall über den Editor.
Lieferkette
Ein Hauptthema des Jahres: Angriffe auf die Lieferkette. Die interessanteste
Studie in diesem Jahr war die Analyse des ShadowHammer-Angriffs durch Experten von Kaspersky Lab. Das reguläre Programm zur Aktualisierung von Asus-Gerätetreibern, das als Asus Live Update bezeichnet wird, wurde für einige Zeit von den Servern des Herstellers geändert und verteilt. Es gab relativ wenige Opfer (Zehntausende), aber diejenigen, die diesen Angriff starteten, verfolgten die Zahlen nicht. Der böswillige Code hat auf den Computern des Opfers keine illegalen Aktionen ausgeführt, es sei denn, die MAC-Adresse des Netzwerkgeräts stimmte mit der Liste der Ziele überein, die in den Hauptteil des Programms eingenäht wurden.
ShadowHammer ist ein Beispiel für einen modernen Angriff der Extraklasse: Einzelziele, maximale Tarnung, nicht-triviale Übermittlungsmethode. Dies ist jedoch nicht die einzige Variante eines Supply-Chain-Angriffs, wenn ein Gerät oder eine Software vor der Auslieferung an den Verbraucher geändert wird. Es geht nicht um eine Schwachstelle in Software oder Hardware, die Sie noch ausnutzen müssen, sondern um die Situation, in der Sie einen Laptop kaufen
, auf den bereits jemand Zugriff hat . Es ist davon auszugehen, dass solche Angriffe nicht weit verbreitet sind, aber nein. Diesen Sommer haben wir über chinesische Android-Geräte geschrieben, die mit einer sofort einsatzbereiten Hintertür ausgestattet sind. Wahrscheinlich hatten die Hersteller auch nichts damit zu tun: Sie hackten Auftragnehmer, die an blinkenden Telefonen arbeiteten.
Was ist ab 2020 zu erwarten? Die Experten von Kaspersky Lab
betrachten Mobilfunknetze der fünften Generation
als einen der „schwierigen“ Bereiche. Mit der Verbreitung von 5G erhalten wir nicht nur mobile Kommunikation mit der Geschwindigkeit des schnellsten verkabelten Internets, sondern auch die Massenverteilung von „intelligenten“ und nicht so Geräten, die ständig Daten übertragen. Die Bedrohungen sind klar: Wenn 5G für die meisten Menschen das wichtigste Kommunikationsmittel ist, sollten Sie sich davor hüten, das Netzwerk selbst oder die Telekommunikationsbetreiber zu hacken, um Daten und DDoS-Angriffe zu stehlen. Im Allgemeinen gilt dies für jede andere Computernetzwerktechnologie: Je mehr wir uns auf digitale Assistenten, Netzwerkdienste zum Speichern von Daten und soziale Netzwerke für die Kommunikation verlassen, desto mehr sind wir von ihnen abhängig und desto ernsthafter sind Bedrohungen, sei es ein Angriff auf ein Bankkonto oder Verletzung der Geheimnisse des persönlichen Lebens. Cyberthreats sind die Kehrseite des Fortschritts, und wenn es mehr Bedrohungen gibt, kommt es auch zu Fortschritten. In diesem Sinne verabschieden sich liebe Redakteure bis zum neuen Jahr von Ihnen!