Sicherheitsexperten KW38

Was Sicherheitsexperten derzeit den Schlaf raubt

Uhr
von Coen Kaat

Komisch, spannend und beängstigend. Jeden Tag gibt es neue Meldungen zu Distributed-Denial-of-Service-Attacken, ­Ransomware, Cryptominern und Co. Die gefundenen Perlen erscheinen online im IT-Security-Blog. An dieser Stelle eine ­kleine Auswahl aus den Sammlungen des letzten Monats.

Präsidiale Ransomware mit Heisshunger auf .exe-Dateien

Der ehemalige Präsident der USA, Barack Obama, hat einen neuen Namensvetter. Einen cyberkriminellen Namensvetter. Dabei handelt es sich um ein Schadprogramm mit dem illustren und einpräg­samen Namen "Barack Obama’s Everlasting Blue Blackmail Virus". Obwohl der Name etwas anderes vermuten lässt, handelt es sich dabei um eine Ransomware. Hat diese einen PC infiziert, schaltet sie zunächst diverse Prozesse ab, die mit Anti-Virus-Lösungen in Verbindung stehen. In einem nächsten Schritt analysiert das Schadprogramm den Rechner, sucht nach .exe-Dateien und verschlüsselt diese. Und zwar sämtliche .exe-Dateien, also auch diejenigen, die sich im Windows-Systemordner befinden. Für gewöhnlich meidet Ransomware diesen Ordner, um keine ungewollten Systemabstürze zu verursachen, wie Bleepingcomputer.com berichtet. Die Ransomware ändert zudem die Icons und Registrierungsschlüssel der verschlüsselten Dateien, sodass stattdessen die Ransomware ausgeführt wird, wenn der Nutzer darauf klickt. Wer seine Dateien wieder zurückhaben will, müsse sich an die angegebene E-Mail-Adresse wenden und ein Lösegeld zahlen. Ob der Angreifer bei Bezahlung tatsächlich den Entzifferungsschlüssel herausrückt, ist gemäss Bleepingcomputer.com unklar. Ebenfalls unklar ist, wie die Ransomware verbreitet wird. 2016 kursierte übrigens bereits eine "Donald Trump"-Ransomware.

British Airways wollte IT-Security an IBM outsourcen und wurde prompt gehackt

Böses Timing! Ende August haben Unbekannte die Fluggesellschaft British Airways gehackt und Daten von rund 380 000 Kunden erbeutet, inklusive Zahlungs- und Kreditkarteninformationen. Zur gleichen Zeit hatte die Fluggesellschaft versucht, ihre IT-Security an IBM auszulagern. Dies geht aus einem internen Memo hervor, das "The Register" vorliegt. Demzufolge wollte die Airline fast alle IT-Security-Prozesse outsourcen. Nur der Bereich Security Operation Services sollte im Haus bleiben. Das Direktorium hatte dem Schritt Anfang August bereits zugestimmt. Nun sollten aber noch die Arbeitskräfte und Gewerkschaften ihr Einverständnis geben. Doch daraus wurde nichts. Gerade einmal fünf Wochen später wusste die Welt schon, dass British Airways seine Kundendaten nicht schützen kann. Kriminelle hatten vom 21. August bis zum 5. September wohl mehr oder weniger freie Hand im Firmennetzwerk der Fluggesellschaft. Die Ursache für die Sicherheitslücke dürften wohl kostensenkende Massnahmen gewesen sein, vermutet "The Register". Wegen Einsparungen waren vermutlich Updates nicht getestet worden, bevor sie aufgeschaltet wurden, was das System unsicher machte. Vielleicht wurden die Server aber aus diesem Grund auch nicht gepatcht. British Airways will nach eigenen Angaben die Opfer des Hacks entschädigen, muss jedoch mit Konsequenzen aufgrund der EU-DSGVO rechnen.

Warum man Laptops nie im Ruhemodus ­lassen sollte

Cold-Boot-Attacken, auch Kaltstarterangriffe genannt, sind in den vergangenen zehn Jahren etwas aus der Mode geraten. Bis jetzt. Die Sicherheits­forscher Olle Segerdahl und Pasi Saarinen von ­F-Secure demonstrierten eine neue Variante dieser Attacke. Diese soll gemäss der Sicherheitsfirma bei fast allen modernen Laptops funktionieren, obwohl diese eigentlich den Arbeitsspeicher beim Starten löschen.

Die Methode zeigt, wie gefährlich der Ruhemodus von Laptops ist, sogar wenn man eine vollständige Harddisk-Verschlüsselung nutzt. "Es ist nicht gerade einfach", lässt sich Segerdahl in dem Blogeintrag zitieren, "aber es ist auch nicht so schwierig, dass wir die Möglichkeit ignorieren können, dass einige Hacker diesen Trick ebenfalls bereits entdeckt haben."

Die Experten raten IT-Verantwortlichen daher, Laptops so zu konfigurieren, dass sie nicht in den Ruhemodus wechseln, sondern sich abschalten. Zudem sollten sie sich bei jedem Neustart zunächst authentifizieren müssen. Das würde Cold-Boot-Attacken zwar nicht verhindern. Aber wenn die Maschine herunterfährt, speichert sie die Entschlüsselungscodes nicht im Arbeitsspeicher. Die Hacker könnten also keine wertvollen Daten auslesen.

Webcode
DPF8_107776

Kommentare

« Mehr