Comretix Blog

Das Kumamoto Prefecture Violence Prevention Movement Promotion Center bietet unter anderem eine Beratung für Opfer an, die von der japanischen Mafia Yakuza erpresst werden. Darunter fallen auch Mitglieder, die austreten wollen und Eltern, deren Kinder mit einem Yakuza-Mitglied liiert sind. Nun könnten die Betroffenen in Gefahr sein.

Anzeige

In einem Beitrag bezieht die Regierungseinrichtung jetzt Stellung zu einer erfolgreichen Phishingattacke. Ein Mitarbeiter ist auf seinem Arbeits-PC auf eine Fake-Warnmeldung hereingefallen und hat so Cyberkriminellen Zugriff auf seinen Computer gewährt.

Es bleibt unklar, ob die Kriminellen die persönlichen Daten wie Adressen und Namen von rund 2500 Personen, die Hilfe bei der Regierungseinrichtung gesucht haben, kopieren konnten. Inzwischen kontaktiert die Behörde proaktiv die potenziell Betroffenen.

Microsoft hat seit Montag dieser Woche Störungen seiner Microsoft-365-Dienste zu beklagen. Exchange Online, Outlook und Teams waren dadurch teils nur eingeschränkt nutzbar. Die Probleme sollen zum Meldungszeitpunkt weitgehend wieder behoben sein.

Anzeige

Microsofts Cloud-Status zeigt noch andauernde Probleme mit den Microsoft-365-Diensten.

(Bild: Screenshot / dmk)

Im Cloud-Status-Monitor von Microsoft wird derzeit die Störung als noch akut andauernd angezeigt. Demnach können Nutzerinnen und Nutzer von Outlook.com etwa auf ihre Mailboxen nicht zugreifen, weder mit Outlook on the Web, noch mit dem Outlook-Desktop-Client, nicht mittels REST-API und auch nicht über Exchange ActiveSync (EAS). "Nutzer könnten Verzögerungen beim Mail-Transport bemerken", schreibt das Unternehmen dort.

Admins, die in Unternehmen Clients mit Dell Wyse Management Suite (WMS) verwalten, sollten die Software zeitnah aktualisieren. Sonst können Angreifer an fünf Sicherheitslücken ansetzen und unter anderem Dateien löschen.

Anzeige

Einer Warnmeldung zufolge sind unter anderem DoS-Attacken (CVE-2024-49595 "hoch") denkbar, außerdem können Angreifer nicht näher beschriebene Sicherheitsmechanismen umgehen (CVE-2024-49597 "hoch"). In beiden Fällen sind Attacken aus der Ferne möglich, Angreifer benötigen aber bereits hohe Nutzerrechte.

Bislang gibt es noch keine Hinweise auf Attacken seitens des Computerherstellers. Die Entwickler geben an, die Sicherheitsprobleme in Dell WMS 4.4.1 gelöst zu haben. Alle vorigen Ausgaben seien verwundbar.

Das Wordpress-Plug-in Anti-Spam by Cleantalk kommt auf mehr als 200.000 Wordpress-Seiten zum Einsatz. Darin wurden zwei kritische Sicherheitslücken entdeckt, die Angreifern aus dem Netz ohne vorherige Authentifizierung ermöglichen, verwundbare Instanzen vollständig zu kompromittieren.

Anzeige

Die IT-Sicherheitsforscher von Wordfence haben eine Sicherheitslücke extern gemeldet bekommen, durch die Angreifer die Autorisierung aufgrund einer Reverse-DNS-Spoofing-Schwachstelle in Anti-Spam by Cleantalk umgehen können. Nicht authentifizierte Angreifer können dadurch auf angreifbaren Wordpress-Instanzen beliebige Plug-ins installieren und aktivieren und somit am Ende beliebigen Code ausführen (CVE-2024-10542, CVSS 9.8, Risiko "kritisch"). Die Wordfence-Analysten haben kurz darauf eine gleichartige Sicherheitslücke in dem Plug-in mit denselben Auswirkungen entdeckt (CVE-2024-10781, CVSS 9.8, kritisch).

Das Plug-in kann auf Anfragen aus der Ferne (Remote Calls) reagieren und Aktionen wie die Installation von weiteren Plug-ins ausführen. Um zu prüfen, ob ein Aufruf legitim ist, prüft das Plug-in die rückwärts aufgelöste IP-Adresse mittels der Funktion strpos(), ob an beliebiger Stelle des Namens "cleantalk.org" auftaucht. Dadurch lässt sich mit einer Subdomain die Prüfung faktisch ausschalten: cleantalk.org.boese.domain darf diese Plug-in-Funktionen aufrufen und ausführen.

Das Plug-in autorisiert Token nach erfolgreichem Vergleich des Hash-Wertes mit dem API-Key, erörtert Wordfence die zweite Sicherheitslücke. Der Plug-in-Code verhindert jedoch die Autorisierung nicht, wenn der API-Key leer ist. Sofern der API-Key noch nicht konfiguriert wurde, können Angreifer sich autorisieren, indem sie einen Token schicken, der dem leeren Hash-Wert entspricht und können ebenfalls die Plug-in-Funtkionen etwa zur Installation weiterer Plug-ins aufrufen.

Es sind wichtige Sicherheitsupdates für verschiedene NAS-Modelle von Qnap erschienen. Sind Attacken erfolgreich, können Angreifer im schlimmsten Fall eigene Befehle ausführen und Geräte kompromittieren. Qnaps Routerbetriebssystem QuRouter OS ist ebenfalls verwundbar.

Anzeige

Wie aus dem Sicherheitsbereich der Qnap-Website hervorgeht, sind neben den NAS-Betriebssystemen QTS und QuTS hero noch die NAS-Anwendungen AI Core, OpenSSH, Media Streamin Add-on, Notes Station 3 und QuLog Center angreifbar.

Bislang hat Qnap keine Attacken vermeldet. Besitzer von NAS-Geräten sollten die verfügbaren Sicherheitsupdates gleichwohl zeitnah installieren.

Die Schwachstelle in QuLog Center (CVE-2024-48862 "hoch") lässt unbefugte Zugriffe auf Daten zu. Eine "kritische" Lücke (CVE-2024-38645) in Notes Station 3 sorgt ebenfalls für einen möglichen Datenleak. Der Großteil der Lücken in QTS und QuTS hero ist mit dem Bedrohungsgrad "mittel" eingestuft (etwa CVE-2024-37024). In diesem Beispiel können sich Angreifer höhere Nutzerrechte verschaffen.

Google hat in den vergangenen zwei Jahren mehr als 1000 Websites von Google News und Google Discover ausgeschlossen, die als angeblich unabhängige Nachrichtenportale getarnt waren, aber für chinesische Positionen werben sollten. Das teilte die Threat Intelligence Group des US-Konzerns mit und ergänzte, dass alle Seiten von gerade einmal vier Firmen betrieben wurden, die damit gegen die Vorgaben für "irreführendes Verhalten und redaktionelle Transparenz" verstoßen hätten. Wer genau dahinter steckt, kann Google nach eigener Aussage nicht angeben, es erwecke aber den Anschein, als handle es sich um einen "gemeinsamen Kunden", der die Verbreitung von Propaganda für die Volksrepublik outgesourct habe. Es handle sich um ein weiteres Beispiel für privatwirtschaftliche PR-Firmen, die koordinierte Kampagnen zur Meinungsbeeinflussung übernehmen. Die eigentlichen Verantwortlichen könnten auf diesem Weg jegliche Verbindung leugnen.

Anzeige

Auf Basis der Domainnamen hat man bei Google zusammengetragen, dass die Seiten für Menschen in den unterschiedlichsten Ländern gedacht waren. In der Aufzählung finden sich auch Deutschland, Österreich und die Schweiz sowie die USA, Russland, Frankreich, Polen, Japan und viele mehr. Außerdem sei teilweise gezielt die chinesische Diaspora angesprochen worden. Herausgestochen ist demnach eine PR-Firma namens "Haixun", von der mehr als 600 Domains entfernt wurden. Über Angebote zur Verbreitung von Pressemitteilungen sei es der Firma im vergangenen Jahr sogar gelungen, "Pro-Peking-Inhalte" auf Subdomains legitimer Nachrichtenportale zu platzieren. Trotzdem seien die meisten Inhalte von geringer Qualität, neben der Propaganda gebe es auch Füllmaterial, "etwa zum Metaverse". Eine andere Firma habe Seiten erstellt, die angeblich Lokalnachrichten enthalten.

Das in einem ausführlichen Blogeintrag beschriebene Vorgehen zeige, wie bestimmte Akteure neue Taktiken entwickelt hätten, die über soziale Netzwerke hinausgingen, um Meinungen zu beeinflussen, schreibt Google. Ähnliche Versuche habe man auch bereits von Verantwortlichen aus Russland und dem Iran beobachtet. Indem die ihre Angebote als unabhängige und oft lokale Nachrichtenseiten ausgeben, könnten sie ihre Inhalte als legitim tarnen. Dabei seien die aber von PR-Firmen erstellt und verbreitet worden, ohne dass diese Hintergründe transparent gemacht werden. Die Darstellung als lokale und unabhängige Berichterstattung sei eine aktive Falschdarstellung. Man werde die intern als "Glassbridge" bezeichnete Kampagne weiter im Blick behalten und die Inhalte von Googles Seiten fernhalten.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Ein Kryptowährung-Interessierter hat auf X berichtet, dass sein Programmierversuch mit ChatGPT ihn um 2500 US-Dollar gebracht hat. Er wollte mit der künstlichen Intelligenz einen sogenannten Bump Bot programmieren, um seine Token auf einer Kryptowährungshandelsplattform auf Discord-Servern zu bewerben.

Anzeige

Womit er nicht gerechnet habe sei, dass ChatGPT ihm eine betrügerische Solana-API-Webseite vorschlagen würde. Er erklärt, dass er von ChatGPT vorgeschlagenen Code übernommen habe, der den privaten Key über die API überträgt. Außerdem habe er seine Haupt-Solana-Wallet benutzt. "Wenn du in Eile bist und so viele Dinge auf einmal machst, ist es leicht, Fehler zu machen", resümiert der Programmersteller mit dem Handle "r_ocky.eth".

r_ocky.eth ist offenbar nicht weiterreichend mit Sicherheit oder Programmierung vertraut: Private Schlüssel gibt man nicht heraus, sondern nutzt sie, um damit Nachrichten zu verschlüsseln. Softwareentwicklung sollte zudem nie mit einem "Produktivkonto" erfolgen, sondern mit einem gesonderten Test-Konto. Der Codeschnipsel, von dem er einen Screenshot zeigt, nennt sogar offen, was er anstellt: "Payload for POST request" ist als Kommentar zu lesen, worauf als Erstes bereits der private Schlüssel folgt, den Programmierer eintragen sollen.

Der Betrüger hinter der API war schnell, berichtet der Betrogene, kurz nach der Nutzung der API habe er alle seine Krypto-Assets aus der Wallet an seine eigene übertragen. Das erfolgte bereits innerhalb von 30 Minuten, nachdem er eine Anfrage übertragen hatte. Schließlich habe er das Gefühl gehabt, etwas falsch gemacht zu haben, aber er habe sein Vertrauen in OpenAI verloren. Den Chatverlauf mit dem betrügerischen Programmcode habe er an OpenAI gemeldet. Über das betrügerische Repository habe er Github informiert, woraufhin es rasch entfernt wurde.

In Australien haben die entscheidenden Auseinandersetzungen über ein geplantes Gesetz begonnen, das Kindern und Jugendlichen unter 16 Jahren die Nutzung von sozialen Netzwerken verbieten soll. Die Regierungskoalition plädiert für eine Verabschiedung noch in dieser Woche, nachdem die Pläne erst Anfang des Monats konkretisiert worden waren. Vor dem Wochenende hat sich dann auch der einflussreiche US-Milliardär Elon Musk eingemischt und behauptet, die Pläne sähen nach einer Hintertür aus, um den Zugang zum Internet für alle Menschen in Australien zu kontrollieren. Finanzminister Jim Chalmers hat das zurückgewiesen und versichert, dass es für seine Regierung "keine besonders große Überraschung" sei, dass Musk mit dem Plan nicht sehr zufrieden ist. Aber das beunruhige ihn nicht, immerhin gehe es um den Schutz von Kindern.

Anzeige

Der Anfang November vorgestellte Vorstoß sieht vor, dass es Kindern ausnahmslos untersagt werden soll, soziale Netzwerke zu benutzen. Auch eine Erlaubnis von Erziehungsberechtigten würde daran nichts ändern. Betroffen wären laut der Nachrichtenagentur AP der Kurznachrichtendienst X (von Elon Musk), TikTok, Facebook, Snapchat, Reddit und Instagram. Auch YouTube könnte das Verbot unter Umständen treffen. Das Gesetz soll in dieser Woche im Parlament beraten und schon am Donnerstag beschlossen werden. Während es aber anfangs noch eine breite Zustimmung auch in der Opposition dafür gab, hat sich der Wind zuletzt womöglich gedreht. Laut dem Sydney Morning Herald sind zuletzt Sorgen gestiegen, dass es sich tatsächlich um einen ersten Schritt hin zu einer strikteren Kontrolle des Internets handelt. Sollte der Gesetzentwurf verabschiedet werden, könnte das Gesetz in einem Jahr in Kraft treten.

Im Rahmen der Beratungen hat am Montag die Chefin einer Lobbygruppe für große IT-Konzerne mehr Zeit gefordert, berichtet AP. Vom Parlament werde erwartet, dass es ein Gesetz verabschiedet, von dem es nicht wisse, wie es funktioniert, kritisierte sie demnach. Vorgesehen sind demnach unter anderem mehr als 30 Millionen Euro Strafe für Anbieter, die systematisch daran scheitern, Kindern den Zugang zu verweigern. Die Lobbyistin wurde intensiv befragt, schreibt die Nachrichtenagentur weiter, und der Wahrheitsgehalt einiger Behauptungen sei angezweifelt worden. So habe ein Abgeordneter erfahren wollen, wie es seinem zehnjährigen Stiefsohn eigentlich gelungen sein könne, schon seit seinem achten Lebensjahr Accounts auf Instagram, Snapchat und YouTube zu haben. Nominell liegt das Mindestalter dort bei 13 Jahren. In diesem Bereich müsse sich die Industrie verbessern, so die Antwort.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Ab 2025 tritt in Deutschland die gesetzliche Verpflichtung zur strukturierten E-Rechnung im B2B-Bereich in Kraft. Das betrifft insbesondere Softwareentwickler und Hersteller von Faktura- oder ERP-Software, die nun ihre Produkte entsprechend anpassen müssen. Unser Workshop bietet Ihnen eine praxisnahe Anleitung, wie Sie die neuen XML-Formate des europäischen Rechnungsstandards EN16931, wie Cross Industry Invoice (CII), Universal Business Language (UBL), Factur-X und ZUGFeRD, sowie XRechnung im B2G-Bereich, unterstützen, prüfen und umwandeln können.

Anzeige

In unserem Workshop E-Rechnungspflicht: Software richtig implementieren erhalten Sie einen tiefgehenden Einblick in die Umsetzung der neuen gesetzlichen Vorgaben zur E-Rechnungspflicht. Sie beschäftigen sich mit den Rollen, den Darstellungsdetails, der Umwandlung, der Prüfung und Umsetzung der X(ML)-Rechnung. Dazu gehören praktische Übungen, in denen Sie die verschiedenen XML-Formate kennen und anwenden lernen.

Der Workshop findet vom 13. bis 17. Januar 2025 statt und richtet sich an Softwareentwickler und Projektleiter, die Software herstellen, Rechnungen erstellen oder einlesen, sowie an ERP-Softwarehersteller und Data Scientists, die Auswertungen erstellen. An drei Vormittagen (13., 15. und 17. Januar) treffen Sie sich online in der Gruppe mit dem Trainer. Für den zweiten und vierten Tag nehmen Sie Aufgaben mit, die Sie selbstständig lösen können und anschließend in der Gruppe besprechen.

Durch den Workshop führen Andreas Pelekies, technischer Erfinder des ZUGFeRD-Standards und (Co-)Autor verschiedener internationaler Standards, sowie Jochen Stärk, Diplom-Wirtschaftsinformatiker und Backend-Entwickler. Beide verfügen über langjährige Erfahrung in der Softwareentwicklung und haben sich auf Themen rund um die E-Rechnung spezialisiert.

Derzeit mehren sich im Internet Probleme mit Netzwerkspeichern (NAS) von Qnap: Nach der Installation eines aktuellen Sicherheitsupdates können sich Nutzer unter anderem nicht mehr anmelden oder auf Freigaben zugreifen. Mittlerweile hat der Hersteller die Probleme bestätigt und den fehlerhaften Patch zurückgezogen.

Anzeige

Das problematische Update trägt die Kennung QTS 5.2.2.2950 build 20241114 und wurde am 15. November 2024 veröffentlicht. Dem Beitrag zu dieser Version zufolge hat es unter anderem mehrere Sicherheitsprobleme gelöst. Welche das konkret sind, geht aus dem Beitrag aber nicht hervor.

Nach der Installation kommt es bei Nutzern zu Problemen und sie können nicht mehr auf ihre SMB-Freigaben zugreifen. Andere können sich nicht mehr anmelden. Mittlerweile hat Qnap das Problem bestätigt und die Firmware zurückgezogen.

Der Fehler findet sich dem Qnap-Support zufolge im Kontext der DOM-sekundären Partition. Wann die Entwickler das Problem lösen, ist bislang nicht bekannt. Um wieder Zugriff zu bekommen, sollen Betroffene via Qfinder Pro auf die Firmware 5.2.1 downgraden. Daraus folgernd müssten die Geräte auch wieder anfällig für Attacken auf die mit 5.2.2 geschlossenen Sicherheitslücken sein.

Sind Attacken auf Wireshark erfolgreich, können Angreifer die Anwendung abstürzen lassen. Aktuelle Versionen sind vor solchen Angriffen geschützt.

Anzeige

In einem Beitrag geben die Entwickler an, zwei Sicherheitslücken in der aktuellen Ausgabe 4.4.2 geschlossen zu haben. Setzen Angreifer erfolgreich an der ersten Softwareschwachstelle an, können sie durch das Versenden eines präparierten Pakets die CPU überlasten (CVE-2024-11595 "hoch"). Im zweiten Fall kann die Anwendung durch die Verarbeitung einer speziellen Anfrage abstürzen (CVE-2024-11596 "hoch").

Neben Wireshark 4.4.2 sei auch die Version 4.2.9 gegen die geschilderten Attacken geschützt. Die Entwickler geben an, dass es zurzeit keine Hinweise auf Exploits für die Lücken gibt.

Die Entwickler haben aber nicht nur Sicherheitsprobleme gelöst, sondern auch einige Bugs beseitigt. So wird etwa das iPhone-Mirroring unter macOS nicht mehr unterbrochen. Außerdem gelingt die Verarbeitung von RTCP-Paketen wieder, sie war ab Version 4.4.1 gestört. Zusätzlich unterstützt die aktuelle Ausgabe nun neue Protokolle wie ARTNET und ZigBEE ZCL.

Mangelhafte Input Validation macht bisherige Versionen von Drupal angreifbar. Stimmen die Voraussetzungen, können Angreifer über kompromittierte, mit Drupal erstellte Websites Schadcode im Webbrowser von Opfern ausführen. Es sind noch weitere Attacken denkbar. Sicherheitspatches sind verfügbar.

Anzeige

Wie aus einer Warnmeldung hervorgeht, ist von der Webbrowser-Schadcode-Attacke ausschließlich Drupal 7 mit aktiviertem Overlay-Modul gefährdet. Weil in diesem Kontext Nutzereingaben nicht ausreichend überprüft werden, können Angreifer im Zuge einer Reflected-XSS-Attacke Schadcode im Webbrowser von Opfern ausführen. Die Entwickler führen keine CVE-Nummer auf. Sie stufen die Gefahr als "kritisch" ein. Dagegen ist Drupal 7.102 gerüstet.

Der Großteil der verbleibenden Schwachstellen ist als "moderat kritisch" gekennzeichnet. An diesen Stellen kann es unter anderem zu einer PHP Code Injection kommen, sodass Angreifer eigenen Code ausführen können. In einem anderen Fall ist die Authentifizierung umgehbar und Angreifer können sich mit einer E-Mail-Adresse eines anderen Nutzers anmelden. Von diesen Lücken sind verschiedene Ausgaben von Drupal 7, 8, 10 und 11 betroffen.

Bislang gibt es noch keine Hinweise auf bereits laufende Attacken. Website-Admins sollten aber dennoch zügig handeln und die verfügbaren Sicherheitsupdates installieren.

Die Angebotswochen rund um den "Black Friday" haben begonnen. Online-Betrüger nutzen die Gelegenheit, um Opfer mit gefälschten Warnungen vor unbefugten Zugriffen etwa aus den Niederlanden zu ködern.

Anzeige

Mit solchen Mails versuchen Phisher, ihren Opfern unbekannte Malware – möglicherweise Spyware – unterzuschieben.

(Bild: Phishingradar / Verbraucherzentrale.de)

Im Phishingradar warnen die Verbraucherzentralen, dass seit Freitag betrügerische E-Mails im Umlauf sind, die zum Gegenstand haben, dass unbekannte Zugriffe auf das Konto zu einer vorübergehenden Sperrung des Kontos führe. Die Betreffzeile laute etwa "Wichtige Warnung: Ungewöhnliche Aktivität erkannt". Mit dem Amazon-Logo wird der wohl größte Online-Händler, bei dem besonders viele bestellen, als Aufhänger missbraucht.

Die Security-Welt kennt jetzt eine neue Angriffsmethode auf geschützte Netzwerke: Die "Nearest Neighbor Attack", also: Angriff über den nahesten Nachbarn. Mit diesem Verfahren gelang es mutmaßlich den russischen Cyberangreifern der Gruppe APT28 in das Netz einer Firma in den USA einzudringen. Sie griffen dabei sowohl die Infrastruktur dieser Firma wie auch die eines benachbarten Unternehmens am selben Ort an.

Anzeige

Wie die Sicherheitsberater von Volexity berichten, erwischte es dabei einen ihrer Kunden. Der stellte verdächtige Zugriffe auf seine Systeme fest, konnte sich aber nicht erklären, wie die Angreifer in das Netz gelangen konnten. Eineinhalb Monate untersuchte Volexity den Vorfall, und kam zu mehreren Erkenntnissen: Die Eindringlinge hatten gezielt dieses Unternehmen im Februar 2022 angegriffen, weil es nicht näher benannte "Projekte in der Ukraine" betrieb, nach Daten dazu gesucht, und dafür auch eine Zero-Day-Lücke eingesetzt. Kurz darauf begann die russische Invasion der Ukraine.

In der Kombination, und weil man schon früher mit dieser Organisation zu tun hatte, ordnet Volexity den Angriff APT28 zu, die auch unter Namen wie Fancy Bear, Forest Blizzard, Sofacy oder, wie von Volexity bisher verwendet, GruesomeLarch bekannt sind. All diese Bezeichnungen, die von Sicherheitsforschern als Arbeitsnamen vergeben werden, meinen dieselbe Gruppe, die einen "Advanced Persistent Threat" (APT) darstellt, also eine Organisation, die über lange Zeit mit ausgeklügelten Methoden und hohem Aufwand eine Bedrohung darstellt.

Dahinter stecken laut gängiger Meinung von Sicherheitsforschern in der Regel Staaten, welche die Gruppen finanzieren, schützen und beispielsweise mit dem Übermitteln von Sicherheitslücken unterstützen. Die Zuordnung der Attacke auf den Kunden von Volexity war letztendlich nur möglich, weil Microsoft im April 2024 eine Methode von APT28 beschrieb, mit der diese eine Lücke in Windows ausgenutzt hatten. Volexity fand Teile dieses Verfahrens auch bei dem Angriff auf seinen Kunden. Das Tool dafür heißt "GooseEgg", und enthielt den Exploit, den man im Februar 2022 bei dem angegriffenen US-Unternehmen fand. Genauer: Teile davon, denn die Eindringlinge hatten viele ihrer Spuren verwischt, unter anderem, durch sicheres Überschreiben von freiem Speicherplatz mit dem in Windows integrierten Tool "cipher.exe".

Unternehmen sind heutzutage tagtäglich mit Cyberattacken konfrontiert, sei es durch Phishing, Ransomware, Malware oder andere Cyberangriffe. Diese böswilligen Aktivitäten zielen darauf ab, unberechtigten Zugriff auf IT-Systeme und Daten zu erlangen, um anschließend dem Unternehmen Schaden zuzufügen.

Anzeige

Im zweitägigen iX-Workshop Digital Forensics & Incident Response lernen Sie Tools und Techniken kennen, um Cyberangriffe schnell zu erkennen, betroffene Systeme zu identifizieren, Angriffsspuren zu sichern und geeignete Gegenmaßnahmen einzuleiten. Nach der Schulung sind Sie in der Lage, aktiv an der Reaktion auf Cybervorfälle mitzuwirken und die Rückkehr zum Normalbetrieb professionell zu unterstützen.

In diesem Sicherheitsworkshop arbeiten Sie mit einer virtuellen Windows-Maschine, an der Sie die vorgestellten Techniken und Strategien direkt und selbstständig in der Praxis ausprobieren können.

Durch den Workshop führt Sie der Referent Johann Rabbow. Als Head of Digital Forensics & Incident Response Spezialist beim Beratungsunternehmen Oneconsult unterstützt er Unternehmen bei der Bewältigung von Cyberattacken und untersucht die Methoden der Angreifer bis auf den letzten Befehl.

Manchmal finden sich auf Steam kleine Perlen, die für ein paar unterhaltsame Stunden gut sind. Für Möchtegern-Computerhacker ist Hacky eine solche Perle. Das Spiel ist von den Hacking-Minispielen der Deus-Ex-Saga inspiriert und sorgt zwischendurch ohne große Einarbeitung und Hintergrundgeschichte für Kurzweil.

Anzeige

Hacky kommt in typischer Retrografik daher und kennt keinen "Light mode" – der Bildschirmhintergrund ist stets dunkel. Auf Wunsch lässt sich ein CRT-Effekt zuschalten, der die Krümmung der Bildröhre auch auf flunderflachen Laptopbildschirmen simuliert. Auch die Bedienung gemahnt an die neunziger Jahre: Gespielt wird mit der Tastatur, die Maus kommt nur in Menüs zum Einsatz.

Hackys Darstellung und Spielmechaniken erinnern an die Hacker-Szenen in Filmen der neunziger und frühen Nullerjahre. In Jurassic Park ("Das ist ein UNIX-System, damit kenne ich mich aus!"), Hackers und Password: Swordfish manipulierten die Protagonisten oft neongrüne Symbole und Zeichenketten mit beherztem Tastaturklappern, meist unter Zeitdruck oder Lebensgefahr.

Die Hintergrundgeschichte ist schnell erzählt: Im Auftrag einer mysteriösen Figur mit Kapuze übernimmt der Spieler – eine ebenfalls mysteriöse, jedoch etwas putzigere Figur mit Kapuze – die Kontrolle über Netzwerke, indem er sich von Knoten zu Knoten hangelt. Zum Sprung auf einen Netzknoten gibt der Spieler dessen Hostname ein und drückt die Entertaste; je nach Knotentyp kann er dann über weitere Kommandos Bitcoins, Mikrochips oder Kryptoschlüssel einsammeln.

Die Cybersecurity and Infrastructure Security Agency (CISA) hat in Zusammenarbeit mit dem von MITRE betriebenen Homeland Security Systems Engineering and Development Institute (HSSEDI) eine Top-25-Liste der gefährlichsten Software-Schwachstellen des Jahres 2024 veröffentlicht. Die 25 sind laut MITRE die am häufigsten vorkommenden und schwerwiegendsten hinter den 31,770 CVE-Datensätzen des Jahres 2024. Sie würden von Angreifern häufig genutzt, um Systeme zu kompromittieren, sensible Daten zu stehlen oder kritische Systeme zu sabotieren, schreibt die CISA auf ihrer Website.

Anzeige

Unternehmen und öffentlichen Stellen empfiehlt die Behörde, die Liste bei ihrer Software-Security-Strategie zu beachten. Die gelisteten Schwachstellen in Entwicklungs- und Procurementprozessen zu berücksichtigen, helfe, Sicherheitslücken im Kern des Softwarelebenszyklus zu vermeiden. So sollen Security-Verantwortliche die Top 25 bei Schwachstellenmanagement und Application-Testing-Prozessen berücksichtigen, Entwickler sollen sie zurate ziehen, um mögliche Schwachstellen mit hoher Priorität zu identifizieren. Laut Mitre können so ganze Fehlerklassen eliminiert werden, etwa solche, die die Speichersicherheit betreffen. Produkt- und Entwicklerteams sollen nach Möglichkeit die sogenannten Secure-by-Design-Praktiken in ihre Entwicklungsprozesse integrieren. Secure by Design meint, dass Hersteller von Software Best Practices aus dem Bereich der IT-Sicherheit im gesamten Design- und Entwicklungsprozess befolgen.

Daneben richtet sich die Liste an Einkäufer und Risikomanager: Sie sollen die Liste beim Einschätzen von Anbietern heranziehen und sogenannte Secure-by-Demand-Prinzipien in ihre Prozesse integrieren. Secure by Demand wiederum meint, dass Einkäufer darauf achten, Software nur bei Anbietern zu erwerben, die die Secure by-Design-Richtlinien der CISA befolgen.

Laut Mitre kann das Einbeziehen der Liste in die genannten Prozesse nicht nur das Auftreten von Sicherheitslücken verhindern, sondern auch bei der Analyse von Trends und der Priorisierung von Risiken helfen und unter Umständen eine Kostenreduktion herbeiführen. Transparenz im Umgang mit Schwachstellen und deren Management könne außerdem das Vertrauen der Kunden steigern.

Das US-Justizministerium hat die Beschlagnahmung der Website PopeyeTools bekanntgegeben. Dabei handelt es sich um einen illegalen Online-Marktplatz, auf dem Kriminelle gestohlene Kreditkarten und andere Cybercrime- und Betrugs-Tools handeln. Außerdem hat es Anklage gegen drei Administratoren der Website erhoben, von denen zwei aus Pakistan und einer aus Afghanistan stammen.

Anzeige

Laut Strafanzeige werfen die Ermittler den Beschuldigten die Verschwörung zum Betrug mit Zugangsgeräten (Access Devices), Handel mit Zugangsgeräten und Aufforderung von anderen zum Anbieten von Zugangsgeräten aus ihrer Rolle als Administratoren der PopeyeTools-Website heraus vor. Das erklärt das US-Justizministeriumein einer Mitteilung.

Im Zuge der Aktionen haben die Vereinigten Staaten die Domains www.PopeyeTools.com, www.PopeyeTools.co.uk sowie www.PopeyeTools.to beschlagnahmt, die Zugriff auf das Angebot PopeyeTools ermöglichten. PopeyeTools war demnach seit etwa 2016 aktiv. Das Angebot diente als wichtiger Online-Marktplatz für den Verkauf sensibler Finanzdaten, anderer illegaler Waren und Cybercrime-Tools an Tausende Nutzer weltweit. Davon stehen einige auch mit Ransomware-Aktivitäten in Verbindung. Von einem Kryptowährungskonto der Angeklagten konnten die Strafverfolger zudem Krypto-Geld in Wert von 283.000 US-Dollar beschlagnahmen.

Zu den Daten, die die Hehler dort handelten, gehören Bankdaten, Kreditkarten- und Debitkarten-Daten und zugehörige Informationen, die für Transaktionen damit benötigt werden. Seit der Gründung von PopeyeTools wurden sensible Informationen von mindestens 227.000 Individuen sowie Zugangsgeräte mit einem Umsatz von 1,7 Millionen US-Dollar auf der Plattform verkauft. Die Plattform bot auch Garantien an: Sollten gekaufte Kreditkarten nicht mehr gültig sein, wurde den Käufern Ersatz oder Rückzahlung versprochen. Zwischenzeitlich bot PopeyeTools zudem einen Dienst an, mit dem sich die Gültigkeit der Daten verifizieren ließ.