Comretix Blog

Ein US-Forscherteam hat Millionen Sterne auf GitHub als verdächtig aufgedeckt. Die Betrugsmasche dient dem Promoten bösartiger Aktivitäten, um Phishing, Cheats, Crypto-Bots und letztendlich Malware zu verteilen. Zur Analyse entwickelten die Forscherinnen und Forscher das Tool StarScout. Als Fazit warnen sie davor, den Sternchen als alleiniges Qualitätsmerkmal zu vertrauen, und empfehlen, weitere Kriterien hinzuzuziehen.

Anzeige

In ihrer Studie analysieren die Forscherinnen und Forscher von der Carnegie Mellon University, von Socket Inc. und von der North Carolina State University alle Events der letzten fünf Jahre im GH Archive, einem BigQuery-Warehouse, das alle GitHub-Events archiviert: 60,54 Millionen User, 0,31 Milliarden Repositories, 0,61 Milliarden Sterne und 6,01 Milliarden andere Events – 20 Terabyte an Daten. Gesucht wurde nach abnormalem Verhalten in den Aktivitäten, insbesondere wenig Aktivität, diese aber im Gleichklang mit anderen Accounts. Das vom Team verwendete Verfahren basiert auf CopyCatch, das ursprünglich der Aufdeckung von Fake-Likes bei Facebook diente.

Mit dem CopyCatch-Verfahren analysiert StarScout die Daten aus dem GH Archive.

(Bild: Hao He u.a./Arxiv.org)

Hochrangige Verantwortliche bei Unternehmen sind das Ziel von immer mehr "hyper-personalisierten" Phishing-Mails, die mithilfe von KI-Generatoren verfasst werden. Davor warnen der britische Versicherungskonzern Beazley und andere Firmen, berichtet die Financial Times. Die Situation werde immer schlimmer, zitiert die Zeitung die Sicherheitschefin von Beazley, die von gezielten Angriffsversuchen spricht, denen das Scraping "immenser Mengen" an Informationen über die attackierte Person zugrunde liegen. Ein Manager des Softwareunternehmens Check Point habe erst jüngst darauf hingewiesen, dass es KI-Technik Kriminellen ermögliche, "die perfekte Phishing-Mail" zu verfassen.

Anzeige

Als Phishing-Mail werden Nachrichten bezeichnet, die den Anschein erwecken, dass sie von einer vertrauenswürdigen Person kommen, hinter denen in Wahrheit aber betrügerische Absichten stecken. Die britische Zeitung verweist auf Analysen, denen zufolge die mit Abstand meisten erfolgreichen Cyberattacken mit Phishing beginnen, auf das jemand hereinfällt. Dank der raschen und großen Fortschritte bei der Entwicklung von KI-Technik können diese ersten Kontaktaufnahmen nun noch viel stärker auf Zielpersonen zugeschnitten werden und das ganz automatisiert. Dafür können sie beispielsweise anhand von Aktivitäten der Zielpersonen in sozialen Netzwerken trainiert werden.

"Die Verfügbarkeit von generativen KI-Werkzeugen senkt die Eintrittshürde für fortgeschrittene Cyberkriminalität", meint deshalb auch die bei eBay angestellte Sicherheitsforscherin Nadezda Demidova. Zwar würden alle Arten von Cyberangriffen zunehmen, das Wachstum bei "ausgefeilten und gezielten" Phishing-Mails sei aber besonders hoch, wird sie von der Financial Times zitiert. Herkömmliche Mailfilter könnten außerdem Probleme bekommen, wenn KI-Technik genutzt wird, um in rascher Folge tausende E-Mails mit unterschiedlichem Wortlaut zu generieren. Führungskräfte sind für solche Angriffsversuche besonders lohnenswerte Ziele, es ist aber davon auszugehen, dass solche Angriffe auch gegen den Rest der Bevölkerung zunehmen werden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Das US-Finanzministerium ist eigenen Angaben zufolge Ziel einer chinesischen Cyberattacke geworden. In einem Brief an die Kongress-Abgeordneten teilte das Ministerium laut Medienberichten mit, dass es am 8. Dezember von dem Softwareunternehmen BeyondTrust informiert worden sei, dass ein Hacker einen Sicherheitsschlüssel erlangt habe. Dieser habe ihm aus der Ferne Zugang zu bestimmten Arbeitsstationen des Finanzministeriums und den darauf befindlichen – nicht als geheim eingestuften – Dokumenten ermöglicht.

Anzeige

Es werde davon ausgegangen, dass hinter dem "schwerwiegenden Sicherheitsvorfall" ein vom chinesischen Staat geförderter Akteur stecke, hieß es weiter. Das Finanzministerium erklärte, es habe mit dem FBI, den Geheimdiensten und anderen Ermittlern zusammengearbeitet, um die Auswirkungen der Attacke zu ermitteln.

Es gebe keine Anzeichen dafür, dass der chinesische Akteur noch immer Zugang zu den Daten des Finanzministeriums habe, hieß es weiter. Laut Ministerium wurde auf "mehrere" Benutzerarbeitsplätze des Finanzministeriums zugegriffen. Das Finanzministerium ist verpflichtet, in einem zusätzlichen Bericht innerhalb von 30 Tagen weitere Informationen zu geben.

Das chinesische Außenamt wies die Vorwürfe zurück und erklärte, es gebe keine Beweise dafür. China habe stets jegliche Formen von Hackerangriffen abgelehnt und lehne die Verbreitung falscher Informationen gegen China für politische Zwecke noch mehr ab, sagte Sprecherin Mao Ning in Peking.

Angreifer können an einer Schwachstelle in diversen PAN-OS-Versionen ansetzen, um Firewalls neu zu starten. Dagegen gerüstete Versionen stehen zum Download bereit.

Anzeige

Wie aus einer Warnmeldung hervorgeht, sind davon Firewalls der Serien CN, PA, Prisma Access und VM bedroht. Panorama ist davon nicht betroffen. Die Schwachstelle (CVE-2024-3393 "hoch") findet sich im DNS-Sicherheitsfeature. Daran können Angreifer ohne Authentifizierung ansetzen, indem sie präparierte Pakete an verwundbare Instanzen schicken. Das Ergebnis sind Neustarts. Wiederholte Attacken sollen dazu führen, dass Firewalls im Wartungsmodus starten.

Geräte sind aber nur angreifbar, wenn DNS-Security-Logging aktiv ist und eine DNS-Security-License oder Advanced DNS Security License hinterlegt ist. Die Entwickler geben an, die folgenden PAN-OS-Ausgaben dagegen abgesichert zu haben:

Alle vorigen Versionen sollen verwundbar sein. Weitere Informationen zu Sicherheitsfixes erläuten die Verantwortlichen in der Warnmeldung. Die Entwickler weisen darauf hin, dass der Support für PAN-OS 11.0 am 17. November 2024 ausgelaufen ist und dieser Versionsstrang keine Sicherheitspatches mehr bekommt. An dieser Stelle müssen Admins ein Upgrade vornehmen, um ihre Firewalls absichern zu können. PAN-OS 9.1 und 10.0 sind von dem Sicherheitsproblem nicht betroffen.

Wenn Admins zur Überwachung von Netzwerken Paessler PRTG Network Monitor nutzen, sind Systeme aufgrund einer bisher nicht geschlossenen Sicherheitslücke angreifbar. Sind Attacken erfolgreich, können Angreifer die Authentifizierung umgehen und unbefugt auf Computer zugreifen.

Anzeige

Auf die Schwachstelle (CVE-2024-12833 "hoch") im Web-Interface sind Sicherheitsforscher von Trend Micros Zero Day Initiative gestoßen. In einem Bericht geben die Forscher an, den Softwarehersteller bereits im März 2024 über die Lücke informiert zu haben. Trotz mehrmaliger Erinnerungen ist aber bislang kein Sicherheitspatch erscheinen. Die Antwort auf eine Anfrage von heise Security steht noch aus.

Wenn Angreifer Netzwerkzugriff haben, können sie, weil Nutzereingaben nicht ausreichend überprüft werden, an der Lücke ansetzen, um die Authentifizierung zu umgehen. Dafür ist den Forschern zufolge aber "eine gewisse Benutzerinteraktion seitens eines Administrators erforderlich". Wie eine solche Attacke im Detail ablaufen könnte, bleibt aber unklar.

Unbekannt ist auch, ob es bereits Attacken gibt und woran Admins schon erfolgreich angegriffene Systeme erkennen können.

In der modernen IT-Landschaft sind Containerisierung und deren Automatisierung mittels Kubernetes unverzichtbar. Dabei ist die Einrichtung eines Kubernetes-Clusters nur der erste Schritt. Um die komplexe Umgebung effizient und sicher zu verwalten, sind spezialisierte Kenntnisse und Fähigkeiten erforderlich.

Anzeige

Im iX-Workshop Fortgeschrittene Kubernetes-Administration werden Sie in die Feinheiten des fortgeschrittenen Applikationsmanagements eingeführt und lernen, wie Sie Service-Mesh-Technologien implementieren und verwalten können. Zudem lernen Sie Methoden und Techniken für den nachhaltigen und sicheren Betrieb von Kubernetes-Clustern. Ein besonderer Schwerpunkt liegt auf den neuesten Sicherheitstechnologien und Best Practices, die dazu beitragen, Kubernetes-Umgebungen gegen potenzielle Bedrohungen abzusichern, sowie auf dem sicheren Umgang mit sensiblen Informationen, den sogenannten Secrets.

Der Workshop ist interaktiv gestaltet. In zahlreichen Übungen können Sie die vorgestellten Konzepte und Techniken anwenden und vertiefen. Dabei geht es unter anderem um die Bereitstellung von Applikationen im Container, Zugriffsberechtigungen auf die Kubernetes API, Sicherheitseinstellungen für den Kubernetes-Cluster und den Einsatz von Service Mesh in Projekten.

Von diesem Workshop profitieren vor allem IT-Profis, die tiefer in die Administration und Konfiguration von Kubernetes einsteigen und ihre Kubernetes-Umgebung stabil und sicher betreiben möchten. Er baut auf den Grundlagen auf und ist die ideale Ergänzung für alle, die Kubernetes bereits im Einsatz haben und an ihre Grenzen stoßen.

Als zentraler Bestandteil vieler Unternehmensnetzwerke ist das Active Directory (AD) ein beliebtes Ziel für Ransomware und andere Angriffe aus dem Netz. Im iX-Workshop Angriffsziel Active Directory: Effiziente Absicherung lernen Sie die wichtigsten Angriffstechniken wie Pass the Hash und Delegierungsschwachstellen kennen. Sie erfahren, wie Sie mit Werkzeugen wie PowerView und Bloodhound sowie Audit-Tools wie PingCastle Fehlkonfigurationen und Schwachstellen in Ihrem lokalen AD identifizieren und anschließend beheben, um das Herzstück Ihrer IT effektiv gegen Angriffe zu schützen.

Anzeige

Referent des zweitägigen Workshops ist Frank Ully. Als erfahrener Pentester konzentriert er sich auf relevante Entwicklungen im Bereich der offensiven IT-Sicherheit. Frank Ully gilt als ausgewiesener Experte auf seinem Gebiet und verfügt über zahlreiche Zertifikate wie Offensive Security Certified Expert (OSCE), Offensive Security Certified Professional (OSCP), Certified Red Team Operator (CRTO), Certified Red Team Professional (CRTP) und GIAC Reverse Engineering Malware (GREM).

Geht es Ihnen um die Absicherung von Entra ID, Microsofts Active Directory in der Cloud, empfehlen wir Ihnen den Workshop Angriffe auf und Absicherung von Entra ID.

Hacker vom Chaos Computer Club (CCC) drängen auf die Einführung einer Art regelmäßiger Hauptuntersuchung für vernetzte Geräte. "Wir brauchen eine maschinenlesbare TÜV-Plakette", forderte Ron Hendrik Fulda am Montag auf dem 38. Chaos Communications Congress (38C3) in Hamburg mit Blick auf "böse" Hard und Software wie Plaste-Router oder "intelligente", mit dem Internet verknüpfte Uhren. Eine solche Kennzeichnung könnte natürlich auch "on the Blockchain" erfolgen, unkte der CCC-Veteran bei der traditionellen, nicht immer ganz ernst gemeinten Vor- und Rückschau auf die größten Albträume im Security-Bereich kurz vor Ende der Konferenz.

Anzeige

"Wir wollen ein MHD auf Packungen sehen", machte sich Fulda für ein Mindesthaltbarkeitsdatum im Internet der Dinge stark. Ein solches sollte "Auswahlbestandteil des informierten Bürgers" werden. Sonst würde nur noch mehr Elektroschrott produziert. Viele vernetzte Geräte wie Laptops oder Smartphones seien "auch gut für zehn Jahre", nicht nur für vier oder fünf. In diesem Rahmen können Verbraucher derzeit mit Sicherheitsupdates rechnen.

Auswerten könnten die Plaketten "dieselben Leute, die IP-Adressen bewachen, über die man Sinkholes aufruft", meinte Fulda. Aktuell ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem IT-Sicherheitsgesetz 2.0 befugt, Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden wie Honeypots und Sinkholes einzusetzen. Produkte "mit digitalen Elementen" wie Software dürfen in der EU bald nur noch auf den Markt kommen, wenn sie Mindestanforderungen an Cybersicherheit einhalten. Dies sieht der Cyber Resilience Act (CRA) vor, der Mitte Dezember in Kraft getreten ist.

Für Rasenmäher-Roboter und autonome Mähdrescher, die nicht nur Igel und Rehkitze töten könnten, verlangte der altgediente "Security Nightmares"-Experte eine Option zur Zwangsabschaltung. Gegen solche Entwicklungen müsse man noch stärker vorgehen als gegen "Oldtimer-Geräte". Autonomes Fahren und die Folgen hatten die Hacker schon vor zehn Jahren auf ihrer Liste der drohenden Sicherheitsdebakel. Glücklicherweise zeichne sich in diesem Bereich ein "gewisses Zyklusende" ab, konstatierte CCC-Sprecherin Constanze Kurz. Zumindest würden Pilotprojekte gehäuft nicht mehr fortgeführt.

Das neue Jahr beginnt ungewöhnlich für den "Passwort"-Podcast: Mein Co-Host heißt plötzlich Florian – und dann auf einmal Linus. Das liegt daran, dass der Podcast einen Ausflug gemacht hat und vom 38C3, der letztjährigen Ausgabe des Chaos Communication Congress, sendete.

Anzeige

Als ich das letzte Mal auf dem Congress war, waren Smartphones noch nicht erfunden, der Austragungsort Berlin und alles ein bis zwei Nummern kleiner. Ein kurzer Kulturschock, den ich mir mithilfe meines Co-Hosts Florian Adamsky von der Seele geredet habe. Er erklärt mir zunächst die Rowhammer-Lücke in DRAM-Chips, die auch im Jahr 2024 noch immer aktuell ist. Sein Team hat ein Linux-ISO erarbeitet, das ihnen in einer großangelegten Studie beim Sammeln von Daten zur Verbreitung der Lücke hilft.

Passwort-Podcast auf dem 38C3: Christopher im Gespräch mit Linus Neumann und Florian Adamsky.

(Bild: Screenshot von media.ccc.de)

In wenigen Stunden endet mit 2024 erneut ein ereignisreiches Jahr. Noch immer hält der russische Angriffskrieg gegen die Ukraine Europa und die Welt in Atem. Zudem haben die globalen Temperaturen neue Höchststände erreicht, mehrere Naturkatastrophen haben die Tragweite der Entwicklung deutlich gemacht. In der IT-Welt dominierten vor allem die Entwicklungen der KI-Technologie, Umbrüche bei der Nutzung der sozialen Netzwerke und Debatten über deren Risiken das Geschehen.

Anzeige

Bislang sieht es nicht danach aus, dass es 2025 merklich ruhiger wird. In den USA wird mit Donald Trump ein neuer alter Präsident das Ruder übernehmen und der IT-Wirtschaft dürften große Veränderungen bevorstehen. Zu erwarten sind etwa neue Höchststände bei den Preisen der Kryptowährungen. Im Frühjahr wird dann in Deutschland ein neuer Bundestag gewählt – vielleicht bekommen wir danach endlich ein Digitalministerium. Wir werden Sie natürlich wie gewohnt auf dem Laufenden halten. Los geht es direkt nach dem Jahreswechsel mit der CES in Las Vegas.

Das gesamte Team von heise online und den Redaktionen von c't, iX, Mac & i, c't Fotografie, Make, Bestenlisten by Techstage und Telepolis sowie heise Security, heise Developer und heise Autos wünscht Ihnen ein friedliches und freudvolles Jahr 2025. Wir drücken Ihnen die Daumen, dass Sie eventuell vorgenommene Vorsätze gut umgesetzt bekommen und sich Ihre Wünsche erfüllen. Außerdem wünschen wir Ihnen, dass Sie gesund bleiben – oder zumindest schnell genesen.

Kommen Sie gut hinüber in das neue Jahr und bleiben Sie uns mit Interesse und Kritik gewogen. Wir freuen uns auf Sie und werden Sie weiter aktuell, ausführlich und tiefgründig informieren – und dabei auch über den Tellerrand der IT hinausblicken. Dabei versuchen wir weiterhin strikt zu trennen zwischen den Dingen und Ereignissen sowie den Meinungen über sie. Alles Gute für ein schönes neues gemeinsames Jahr!

Eine Online-Bande namens Spacebears behauptet, bei dem französischen IT-Sicherheits- und Cloud-Unternehmen Atos eingebrochen zu sein und dort Daten kopiert zu haben. Das Unternehmen hat bislang keine Belege für einen solchen Datendiebstahl gefunden. Atos hat weltweit etwa 95.000 Beschäftigte und erwirtschaftet einen Jahresumsatz von 10 Milliarden Euro.

Anzeige

Im Darknet droht die kriminelle Gruppe Spacebears mit der Datenveröffentlichung in rund einer Woche.

(Bild: Screenshot / dmk)

Der Darknet-Auftritt von Spacebears zeigt einen Eintrag, der auf das Wochenende datiert und in dem ein Countdown die Veröffentlichung der angeblich erbeuteten Daten in recht genau einer Woche ab dem Meldungszeitpunkt androht. In der "Dateiliste" geben die Kriminellen an, die Unternehmensdatenbank kopiert zu haben. Welche genau und was für Daten darin enthalten sein sollen, erörtern sie nicht.

Der letzte Tag auf dem Chaos Communication Congress: Die Gesichter waren länger, die Augenringe größer und das Schlafdefizit erreichte seinen Peak. Doch bevor der 38C3 am frühen Abend endete, standen noch etliche Vorträge auf dem Programm – darunter ein paar alljährliche Klassiker wie die Security Nightmares. Doch schon der Vormittag war gespickt mit weiteren Talks zu Sicherheitsthemen. So boten beispielsweise Florian Adamsky, Martin Heckel und Daniel Gruss eine Retrospektive auf zehn Jahre Rowhammer – die Angriffstechnik, welche Arbeitsspeicher ins Visier nimmt.

Anzeige

Der niederländische Sicherheitsforscher Vaisha Bernard wollte für seine Kunden einen Phishing-Test durchführen. Um die Test-Mails an den Spam- und Phishingfiltern von Microsofts Exchange Online vorbeizuschleusen, musste er jedoch bei mehreren "Tenants", also Kundeninstanzen, umfangreiche Allow-Listen einpflegen. Das ging wegen verschiedener Fehler in Microsofts APIs nicht automatisch per PowerShell, daher machte der Tüftler sich daran, einen anderen Weg zu finden.

Was er fand, verwirrte und beunruhigte ihn. Seine Bitten um technische Unterstützung wurden von einem chinesischen Callcenter mit dem obskuren Firmennamen "Wicresoft" beantwortet und schlimmer noch: Plötzlich modifizierte sein selbst gebautes Powershell-Skript die Allow-Listen fremder Tenants. Und mehr noch: Deren Daten wie E-Mails, Teams-Nachrichten oder Dateien auf OneDrive hätte der Hacker frei durchsuchen und über eine Export-Funktion sogar stehlen können. Dem Microsoft Security Response Center (MSRC) war das immerhin eine fünfstellige Belohnung wert, die Sicherheitslücken sind seit etwa einem Jahr geschlossen.

Im nicht ganz ernst gemeinten IT-Sicherheitsalptraum-Rückblick, den Security Nightmares, haben Constanze Kurz und Ron einen Blick auf das vergangene Jahr durch die IT-Sicherheitsbrille geworfen. Die Informatikerin und CCC-Sprecherin und der internetsüchtige Ron, der eine irrationale Angst vor Rasenmäherrobotern hat, haben dabei versucht, aus allen CVE-Meldungen von 2024, die sie – natürlich – alle gelesen haben, anhand der Incidents Security-Trends des Jahres zu erahnen. Daraus haben sie waghalsig abgeleitet, wie es nächstes Jahr weitergehen könnte.

Kritische Infrastrukturen (KRITIS) unterliegen nach § 8a Abs. 1 BSIG besonderen Sicherheitsanforderungen. Die Betreiber dieser Unternehmen und öffentlichen Einrichtungen sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachzuweisen, dass ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Dazu müssen sie angemessene organisatorische und technische Maßnahmen ergreifen, um Störungen zu vermeiden, die die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme gefährden können.

Anzeige

In unserem zweitägigen Workshop KRITIS: Spezielle Prüfverfahrenskompetenz für § 8a BSIG erhalten Sie einen umfassenden Überblick über die Anforderungen von KRITIS und können sich gezielt auf Prüfungen für § 8a BSIG vorbereiten. Nach bestandener Abschlussprüfung am Ende der Schulung erhalten die Teilnehmenden die Zusatzqualifikation "Spezielle Prüfverfahrenskompetenz für § 8a BSIG". Damit sind sie berechtigt, Sicherheitsprüfungen für § 8a BSIG im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik durchzuführen.

Der Workshop wird von Andre Windsch geleitet. Als Senior Expert bei der HiSolutions AG verantwortet er dort das Themenfeld „Kritische Infrastrukturen“ nach BSI-Gesetz. In seinem Aufgabenbereich unterstützt er Betreiber Kritischer Infrastrukturen aus den unterschiedlichsten Branchen und Sektoren bei der Umsetzung der spezifischen Anforderungen.

Dieser iX-Workshop folgt dem BSI-Schulungskonzept und richtet sich insbesondere an Auditoren wie interne Revisoren, Revisoren, Wirtschaftsprüfer mit IT-Revisionserfahrung sowie Mitarbeitende von Revisionsgesellschaften und Betreibern kritischer Infrastrukturen. Um einen intensiven Austausch untereinander und eine optimale Vorbereitung auf die Prüfung und Zertifizierung zu ermöglichen, ist diese Schulung auf 12 Teilnehmende beschränkt.

Ein großer Bestandteil des Chaos Communication Congress ist seit jeher die kritische Betrachtung staatlicher Strukturen. Kampf gegen Hackerparagraphen und für die Entkriminalisierung kreativer Techniknutzung gehört zur DNA des Clubs. In Hamburg standen nun aber auch Personen auf der Bühne, die Steuerbetrug und unfaire Monopole anprangerten. Dafür gab es sogar "standing ovations".

Anzeige

Ein Team von Netzpolitik- und BR-Journalisten erläuterte seine Recherche zu einem Schatz von Handy-Standortdaten, der ihnen ganz offen zum Kauf angeboten wurde. Sie hatten nicht etwa – wie im Fall der jüngsten VW-Datenpanne – von einem Hinweisgeber einen konspirativen Hinweis bekommen, sondern waren bei einer Daten-Handelsplattform einkaufen gegangen. Als kostenloses "Probehäppchen" hatte ein Händler ihnen Milliarden an Standortdatensätzen geschenkt, die eindeutige Gerätekennungen enthielten. Anhand dieser Werbe-IDs konnten die Journalisten detaillierte Bewegungsprofile von mutmaßlichen Geheimdienst- und Regierungsmitarbeitern erstellen, darunter ein möglicher NSA-Agent.

Lilith "Krawall-Influencerin" Wittmann demonstrierte dem Publikum, wie sie Gefängnis-Telefonanlagen hackte und mittels öffentlich zugänglicher API-Endpunkte dazu brachte, sensible Informationen über die Gefangenen auszuspucken. Die Aktivistin warf zudem einen genaueren Blick auf den Hersteller der Anlagen und Software und fand Unschönes. Das Unternehmen hatte nicht nur lange Zeit unüblich hohe Gesprächsgebühren verlangt, sondern war mittlerweile De-Facto-Monopolist, auf den die Justizbehörden zähneknirschend zurückgreifen mussten. In einer Live-Demo zeigte Wittman dem Publikum zudem das Programm "Vauzettchen", das in einigen Jugendarrestanstalten noch immer zur Verwaltung eingesetzt wird und allerlei problematische Inhalte in der GUI und im Quellcode enthält.

Wittmanns Recherchen machten sich das Informationsfreiheitsgesetz (IFG) zunutze, das auch Arne Semsrott von "Frag den Staat" als Werkzeug begreift, um Behörden und Regierung auf die Finger zu schauen. Ein immer stumpfer werdendes, konstatierte der Aktivist jedoch, denn Behörden und Gerichte hielten sich nicht immer an die gesetzlichen Vorgaben. Zudem seien anonyme Anfragen nicht mehr gestattet, was das IFG als Instrument der Obrigkeitskontrolle weniger nützlich mache. Transparenz sei Verhandlungsmasse, kritisierte Semsrott, der mit Helfern die finale Ausgabe der Zeitung FragDenStaat (DE) verteilte – das DE steht für Druck-Erzeugnis.

Auf dem Chaos Communication Congress zeigte Sicherheitsforscher und Hardware-Hacker Thomas Lambertz (th0mas) in seinem Vortrag "Windows BitLocker: Screwed without a Screwdriver", wie sich mit Microsofts Laufwerksverschlüsselung BitLocker geschützte Windows-11-Systeme über das Netzwerk entschlüsseln lassen. Dafür ist einmaliger physischer Zugriff erforderlich, um das Gerät in den Wiederherstellungsmodus zu versetzen und ein Netzwerkkabel anzuschließen. Ein Öffnen des Geräts ist nicht nötig.

Anzeige

Der ausgenutzte Fehler CVE-2023-21563 gehört zur Kategorie der "bitpixie"-Angriffen und ist seit Sommer 2022 dokumentiert. Microsoft hat sie bislang nicht richtig geschlossen, obwohl der Fehler seit November 2022 als behoben gilt. th0mas demonstrierte, dass sich die Lücke mit einem Downgrade-Angriff weiterhin ausnutzen lässt.

BitLocker wird auf neueren Windows 11-Installationen unter "Geräteverschlüsselung" standardmäßig aktiviert. In diesem Modus ist die Festplatte im Ruhezustand verschlüsselt, wird aber automatisch entschlüsselt, wenn ein legales Windows gebootet wird. Lambertz zeigte bei seinem Talk live, wie ein voll aktualisiertes Windows 11 angegriffen werden kann. Dazu nutzte er Secure Boot, um zunächst einen veralteten Windows-Bootloader zu starten. Dieser "vergisst" unglücklicherweise im Wiederherstellungsmodus den Verschlüsselungsschlüssel im Arbeitsspeicher.

Damit er diesem habhaft werden konnte, bootete der Hacker ein angepasstes Linux-System mit Secure Boot, das ihm Zugriff auf den Arbeitsspeicher gewährte. Dort nutzte er wiederum eine Schwachstelle im Linux-Kernel, um die Speicherinhalte auszulesen und so den "vergessenen" Volume Master Key von BitLocker zu extrahieren. Dieses Vorgehen ermöglicht ihm, an die verschlüsselten Daten heranzukommen, ohne physischen Zugriff auf das Speichermedium.

Die chinesische Fakeshop-Fabrik "BogusBazaar" ist noch immer aktiv und betreibt Tausende Shops, um Kunden zu betrügen. Das fanden die Entdecker des kriminellen Netzwerks heraus und präsentierten ihre Entdeckungen auf dem 38C3.

Anzeige

Matthias Marx vom Sicherheitsdienstleister SRLabs und Kai Biermann von Zeit Online konstatierten, dass das Netzwerk der gefälschten Shops zwar geschrumpft sei, die mutmaßlich chinesischen Urheber aber ihre Vorgehensweise angepasst hätten. So setzt BogusBazaar aktuell nicht mehr auf sogenannte "Expired Domains", also von ihren ursprünglichen Inhabern nicht verlängerte Internetadressen, sondern hauptsächlich auf generische Top-Level-Domains (TLD) wie .xyz und .shop. Diese sind bei Spammern wegen ihrer leichten und preisgünstigen Verfügbarkeit beliebt.

Der BogusBazaar, ein kriminelles Netzwerk von zwischenzeitlich bis zu 75.000 Fakeshops, war im Mai aufgeflogen. Seine Betreiber fischen Bestellungen von Markenkleidung und -Accessoires ab, um die so ergaunerten Kreditkartendaten bei betrügerischen Buchungen einzusetzen und weiterzuverkaufen. Ware erhalten die Opfer nie oder allenfalls in sehr minderwertiger Qualität. Allein durch nicht ausgelieferte Bestellungen entstand ein geschätzter Schaden in mittlerer zweistelliger Millionenhöhe bei über 800.000 Betroffenen.

Fake-Stussy: Wer hier bestellt, ist sein Geld und seine Kreditkartendaten los.

PHP ist weiterhin die dominierende Programmiersprache im Web, gut Dreiviertel aller Websites basieren auf der Skriptsprache, weil sie PHP-basierte Content-Management-Systeme wie WordPress, Drupal oder Joomla verwenden. Sicherheitslücken in Plug-ins und Themes können Angreifern Zugriff auf sensible Daten ermöglichen. Sebastian Neef, PhD-Student am Lehrstuhl Security in Telecommunications der TU-Berlin, stellte auf dem 38. Chaos Communication Congress (38C3) "Phuzz" vor – ein Coverage-guided Fuzzing-Framework, das speziell auf PHP-Webanwendungen ausgerichtet ist. Es soll sowohl Entwicklern als auch Sicherheitsforschern dabei helfen, Schwachstellen schnell zu finden und zu beheben.

Anzeige

Sicherheitsforscher setzen "Fuzzing" als Technik ein, um Schwachstellen frühzeitig aufzudecken: Programme werden dabei automatisiert mit einer Vielzahl zufälliger Eingaben getestet, um unerwartetes Verhalten und damit potenzielle Sicherheitsrisiken zu entdecken. Bekannte Beispiele sind das von Google entwickelte OSS-Fuzz zum Testen von Open-Source-Software sowie American Fuzzy Lop (AFL) und dessen Ableger AFL++. Im Gegensatz zu diesen Tools, die sich hauptsächlich auf binäre Anwendungen konzentrieren, ist Phuzz speziell für die Anforderungen moderner Webanwendungen konzipiert.

Überblick über die Architektur des "Phuzz"-Frameworks

(Bild: Sebastian Neef et al., TU Berlin)

Tausende Hacker aus aller Welt treffen sich zum mittlerweile 38. Chaos Communication Congress in Hamburg. Der erste Tag des Kongresses mit dem Motto "Illegal Instructions" begann mit einer düsteren Prophezeiung der Organisatoren und bot Teilnehmenden Handreichungen zum Widerstand gegen Datenkraken und repressive Regierungen. Aber auch typische Hacking-Themen von löchrigen Patientenakten über Do-it-yourself-Medikamente bis zu einem VW-Datenleck standen auf der Tagesordnung.

Anzeige

Beim Eröffnungsvortrag malte Gabriele Bogk ein düsteres Bild: "Wir leben in schwierigen Zeiten", konstatierte die altgediente Hackerin. Der Gesellschaft Werkzeuge zur Gegenwehr an die Hand zu geben, sei eines der Ziele des Congress. Widerstand gegen autoritäre Regimes sei nicht zwecklos.

Über 14.000 Teilnehmer erwartet der CCC auf seiner Jahrestagung, über 140 Vorträge sind geboten. Abseits der Präsentationen findet sich für Hacker, Technikinteressierte, Aktivisten und Philosophen reichlich Interessantes. Jeder Winkel des CCH (Congress Centrum Hamburg) ist belegt, darunter Hunderte Projektstände von Schlossknacken über das OpenStreetMap-Projekt bis zum Zentrum für Politische Schönheit.

In den Gängen und in den Messehallen herrschte entsprechend Hochbetrieb: Tausende Gäste strömten ins CCH, um über Projekte, Software, Open Source oder die digitale Gesellschaft zu diskutieren.

Kurzwellenfunk wird häufig vom Militär, Rettungsdiensten und Industrien eingesetzt, die eine äußerst robuste Fernkommunikation ohne externe Infrastrukturen benötigen. Doch der Halfloop-Verschlüsselungsalgorithmus, der ein wichtiges Protokoll zum automatischen Verbindungsaufbau schützen soll, gilt als gebrochen.

Anzeige

Lukas Stennes, Doktorand am Lehrstuhl für Symmetrische Kryptographie der Ruhr-Universität Bochum, hat am Freitag auf dem 38. Chaos Communications Congress in Hamburg vergleichsweise einfach durchführbare Angriffe auf Halfloop vorgestellt. Demnach reichen zwei Stunden an abgefangenem Funkverkehr aus, um den geheimen Schlüssel wiederherzustellen, Teilnehmer auszumachen und mitzuhören.

Auf Kurzwelle funken Geräte mit Frequenzen zwischen 3 und 30 MHz. Dieses unterhalb von Ultrakurzwelle (UKW) liegende Spektrum ermöglicht die Ausbreitung von Raumwellen, bei denen die Funksignale von elektrisch geladenen Partikeln in der oberen Atmosphäre reflektiert werden. Dieser Effekt erlaubt Kommunikation über sehr große Entfernungen ohne zusätzliche Infrastruktur wie Funkmasten hinweg. Anfangs war dafür erfahrenes Vermittlungspersonal erforderlich, um überhaupt eine solche Funkverbindung herzustellen.

Diese Abhängigkeit wurde durch die Einführung des Protokolls zur automatischen Verbindungsherstellung (ALE) verringert. Ein ALE-fähiges Funkgerät löst eine Verbindung zu einem anderen aus, indem es gemäß einem Ausbreitungsmodell eine geeignete Frequenz auswählt und dann ein Rahmenwerk für einen Anruf überträgt. Wenn die Frequenz gut ist, empfängt das andere Funkgerät dieses und die beiden Endgeräte führen einen "Handshake" durch, um eine Verbindung herzustellen.