21.02.2024 eID des ePerso nicht mehr sicher?

Identität lässt sich auch hier stehlen

Die Antwort ist JEIN, denn ein anonymer Sicherheitsforscher mit dem Namen CtrlAlt hat zwar ein Beispiel aufgezeigt, wie ein Endgerät eines Anwenders durch eine über eine Pishing Mail erhaltene verseuchte App kompromittiert werden kann. Aber in so einem Fall gilt, wie bei allen Fällen, wo Menschen aus eigener "Dummheit" auf Angriffe hereinfallen - selbst schuld.

Mit dieser schnellen Antwort wollte sich Jürgen Schmidt, Leiter heise Security, nicht zufrieden geben und hat das Problem näher untersucht. Er geht vom Anspruch des eID-Verfahrens aus, den sich die Bundesregierung mal gestellt hatte und sagt: Doch der Anspruch des eID-Systems war und ist es, eine digitale Ausweisfunktion bereitzustellen, die auch dann noch sicher ist, wenn das Endgerät des Anwenders kompromittiert wurde – etwa wie hier mit einem Trojaner. Da hält die eID ihr Versprechen als unabhängiger Vertrauensanker nicht ein.

Im weiteren nennt er zwei Verbesserungsmöglichkeiten, eine davon lässt sich schnell anwenden. Es wäre bereits eine Hilfe, wenn die Nutzer eine Liste des BSI einsehen könnten, welche Apps und welche Updates vertrauenswürdig seien und eventuell auch Hinweise zu aktuellen Fake Apps als Warnung. Das BSI prüft diesen Vorschlag zur Zeit.

Der zweite Vorschlag geht ans Eingemachte. Dazu muss man wissen, dass eine ID-Feststellung in der eID App mit einer URL der Form eid://... beginnt. Solche URL-Schemes gelten bereits seit einigen Jahren nicht mehr als sicher, vor allem, wenn sich jede App, also auch ein Trojaner, dort registrieren kann. Sowohl für iOS als auch für Android gibt es sogenannte Universal URLs, bei denen definierte Deep-Links zum Anbieter den Aufruf einer App triggern, wie Heise Security vorschlägt. Die Antwort des BSI auf diesen Vorschlag ist wesentlich zurückhaltender, denn der Ansatz der Universal Links würde "das Ziel der Interoperabilität und Offenheit/Transparenz des eID Systems deutlich einschränken".

Die eID für den ePerso war ja vor vielen vielen Jahren aus der Taufe gehoben worden, um auch Firmen die Möglichkeit zu geben eine sichere Identifikation ihrer Nutzer sicherzustellen. Über Jahre gab es praktisch keine sinnvollen Anwendungen und auch heute kommen die immer noch wenig genutzten aus dem Öffentlichen Dienst. Selbst der vor 2 Jahren eingeführte und von uns verurteilte Zwang zur Freischaltung der eID in jedem neu ausgegebenen Personalausweis hat die Nutzerzahlen kaum beflügelt.

Wir zitieren hier gern eine Meldung aus dem Jahr 2010: Notbremse beim E-Personalausweis ziehen „Die übereilte Einführung des neuen Personalausweises fällt der Bundesregierung schneller auf die Füße als befürchtet" (Die Linke fordert Verzicht auf ePerso ) und verweisen auf über 50 Artikel (s.u.) in denen wir uns mit dem Thema "ePerso" beschäftigen mussten. Wir geben allerdings gerne zu, dass eine verlässliche und sichere Identifikation immerhin eine sinnvollere Anwendung als die ebenfalls staatlich eingeführte (und inzwischen beerdigte) DE-Mail mit stückweise verschlüsselten Nachrichten wäre.

Mehr dazu bei https://www.heise.de/hintergrund/eID-und-AusweisApp-kritische-Sicherheitsluecke-aber-auch-gefaehrlich-9632374.html
und alle unsere Artikel zum ePerso https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=ePerso&sel=meta
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3z6
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8689-20240221-eid-des-eperso-nicht-mehr-sicher.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8689-20240221-eid-des-eperso-nicht-mehr-sicher.html
Tags: #eID #ePerso #Fingerabdruck #ElektronischerPersonalausweis #ElektronischerPass #Identitätsdiebstahl #Verbraucherdatenschutz #Datenschutz #Datensicherheit #DE-Mail #Ergonomie #Datenpannen #Vertrauen #Pishing #Unschuldsvermutung #Verhaltensänderung #BSI #URL #App-Liste

02.01.2024 Zwei Beispiele von Hacks

"Create2"-Funktion von Ethereum missbraucht

Nicht nur das Gesundheitssystem weist in seiner Software Lücken und Fehler auf, auch Banksoftware ist nicht perfekt. Das gilt erst recht für diejenige von Kryptowährungen. Böswillige Akteure haben die "Create2"-Funktion von Ethereum missbraucht, um Sicherheitswarnungen für Wallets zu umgehen und Kryptowährungsadressen zu verändern. Die Folge davon war, der Diebstahl von Kryptowährungen im Wert von 60.000.000 US-Dollar von 99.000 Personen in den letzten 6 Monaten.

Create2 ist ein Code in Ethereum, der das Erstellen von Smart Contracts auf der Blockchain ermöglicht. Eigentlich handelt es sich um ein leistungsstarkes Tool für Ethereum-Entwickler, das fortschrittliche und flexible Vertragsinteraktionen, eine parameterbasierte Vorabberechnung der Vertragsadresse, Flexibilität bei der Bereitstellung sowie die Eignung für Off-Chain-Transaktionen ermöglicht.

Gelingt es Angreifern jedoch die Sicherheitswarnungen der Wallet zu unterdrücken, bzw. zu umgehen, so kann ein Opfer eine böswillige Transaktion unterzeichnen. Dann setzt der Angreifer einen Vertrag an der vorberechneten Adresse ein und überträgt die Vermögenswerte des Opfers dorthin. Shit happens!

Royal ransomware asked 350 victims to pay $275 million

Auch die zweite verlinkte Meldung zeigt ein Beispiel, wo durch unsichere Netzwerke Angreifer Zugriff auf wertvolle Daten bekommen. In diesem Fall handelt es sich sogar um Gesundheitsdaten, allerdings Institutionen des Department of Health and Human Services (HHS) in den USA. FBI und die CISA haben in einer gemeinsamen Mitteilung bekannt gegeben, dass die Royal Ransomware-Bande seit September 2022 in die Netzwerke von mindestens 350 Organisationen weltweit eingedrungen ist.

Danach haben sie mit Ransomware-Operationen, also der Verschlüsselung oder Entführung von Datenbeständen Lösegeldforderungen in Höhe von mehr als 275 Millionen US-Dollar erhoben. Die Forderungen reichen im Eizelfall von 250.000 Dollar bis zu mehreren Millionen Dollar.

Den Behörden in den USA ist es bisher nicht gelungen die Akteure der Angriffe zu enttarnen. Sie konnten jedoch an den Angriffsmustern erkennen, dass um den Jahreswechsel 22/23 ein "Rebranding" stattgefunden haben muss. Während sie anfangs Ransomware-Verschlüsselungsprogramme von anderen Unternehmen wie ALPHV/BlackCat verwendeten, ist die Bande inzwischen dazu übergegangen, eigene Tools einzusetzen. Neuerdings wurde die Malware aktualisiert, um auch Linux-Geräte bei Angriffen auf virtuelle VMware ESXi-Maschinen zu verschlüsseln.

Das Interesse der Hacker an Linux beweist, dass gerade in der Serverlandschaft inzwischen auch bei Unternehmen vermehrt Linux an Stelle von Windows-Servern eingesetzt wird. Das ist gut für Open Source, beweist aber auch, dass auch Linux nicht unfehlbar ist. Der Artikel verweist aber auch daruf, dass oft bei diesen Angriffen der menschliche Faktor den entscheidenden Fehler begeht, in dem Pishing Mails als Einfallstor genutzt werden.

Mehr dazu bei https://www.bleepingcomputer.com/news/security/fbi-royal-ransomware-asked-350-victims-to-pay-275-million/
und https://www.bleepingcomputer.com/news/security/ethereum-feature-abused-to-steal-60-million-from-99k-victims/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yc
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8638-20240102-zwei-beispiele-von-hacks.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8638-20240102-zwei-beispiele-von-hacks.html
Tags: #Cyberwar #Hacking #Trojaner #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Fatenpannen #Pishing #Ransomware #Etherum #Kryptowährung #Gesundheitsdaten #Erpressung #eHealth

08.08.2023 Nordkorea hackte russische Raketenfirma

Beim Hacken hört die Freundschaft auf

Heute können wir es kurz machen: Nordkoreanische Hacker haben laut Reuters das russische Unternehmen NPO Mash für Hyperschallraketen gehackt und ihr erworbenes Wissen in den eigenen Raketenbau gesteckt. Die Story im Einzelnen gibt es bei Fefe.de.

Aber auf zwei Punkte wollen wir doch - mal wieder - hinweisen.

• "Die Russen verwenden offensichtlich noch das tödliche Trio Windows, Office und Active Directory. Solchen Leuten kannste einfach per Mail Malware schicken, und irgendein Depp wird schon drauf klicken."
• "Sicherheitsanalysten bei SentinelOne erfuhren von dem Hack, nachdem ein IT-Mitarbeiter von NPO Mash versehentlich die interne Kommunikation seines Unternehmens durchsickern ließ, als er versuchte, den nordkoreanischen Angriff zu untersuchen, indem er Beweise auf ein privates Portal hochlud, das von Cybersicherheitsforschern weltweit genutzt wird."

Punkt 1 geht auf das Konto der Verantwortlichen, die immer noch meinen Microsofts Windows wäre sicher, bei Punkt 2 können wir nur sagen shit happens ...

Mehr dazu bei https://www.reuters.com/technology/north-korean-hackers-breached-top-russian-missile-maker-2023-08-07/
und https://blog.fefe.de/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3vy
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8485-20230808-nordkorea-hackte-russische-raketenfirma.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8485-20230808-nordkorea-hackte-russische-raketenfirma.html
Tags: #Geheimdienste #Hacking #Hyperschallraketen #Militär #Bundeswehr #Aufrüstung #Waffenexporte #Russland #Nordkorea #Spionage #Datenschutz #Datensicherheit #Microsoft #Windows #Pishing #OpenSource

17.07.2023 "Böse" KI kann Pishing Mails versenden

WormGPT - eine auf Betrugsversuche trainierte KI

Oft sind Texte der typischen Phishing-Mails schlecht und oft auch schlecht auf das Ziel angepasst. WormGPT könnte das ändern. Der nach eigenen Angaben geläuterte Ex-Black-Hat-Hacker Daniel Kelley meint in einem Blogpost bei Slashnext, dass er mit diesem Textgenerator sprachlich perfekte und überzeugende Phishing-Mails erstellen kann.
Programm ohne "ethische Beschränkungen"

Auch wenn die Entwickler des Programm solche Einschränkungen eingebaut hätten, so lassen sich diese durch sogenannte "Jailbreaks" umgehen. Damit ist die Nutzung von KI Techniken auch auf der "bösen Seite des Universums" angekommen.

Markante Schadensfälle sind bisher noch nicht bekannt geworden, aber das ist nur eine Frage der Zeit ...

Mehr dazu bei https://www.heise.de/news/Textgenerator-WormGPT-soll-kaum-erkennbare-Phishing-Mails-erstellen-9217865.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3va
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8462-20230717-boese-ki-kann-pishing-mails-versenden.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8462-20230717-boese-ki-kann-pishing-mails-versenden.html
Tags: #Pishing #Cyberwar #KI #AI #künstlicheIntelligenz #WormGPT #Hacking #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen #Datenskandale #Verhaltensänderung

23.06.2023 Digitalisierung bleibt Neuland

Unendliche viele Freundschaftstickets?

Das "Freundschaftsticket" für Jugendliche, die in Frankreich Bahn fahren wollen, bekommt man nicht einfach so. Insgesamt sollten 60.000 kostenlose Bahntickets vergeben werden. Natürlich gab es zum Start zum einen wieder "digitale Probleme", d.h. die Server brachen unter dem Ansturm der Interessenten zusammen und waren nicht erreichbar.

Uns interessiert aber mehr das 2. Problem, denn, wie Netzpolitik.org schreibt, konnte, wer das technische Know-how hatte, den Ticketstau umgehen und sich mit Hilfe einer Sicherheitslücke auch noch Tage später eigenhändig einen Pass generieren. Zerforschung gelang es, sich über einen „Hintereingang“ anzumelden und so einen Pass zu erhalten, obwohl eigentlich bereits alle vergeben waren. Obwohl dies den Verantwortlichen bekannt gegeben wurde, war die Lücke noch einige Zeit nutzbar.

Die Gruppe "zerforschung" machte zusätzlich auf weitere Probleme aufmerksam: Hatten Nutzer*innen nämlich ihr Passwort vergessen, erhielten sie einen fehlerhaften Reset-Link zugeschickt, der auf eine unregistrierte Website führte. Jede Person hätte diese Anwendungsadresse „kapern“ können und so gezielt Phishing betreiben können.

Ähnliche Probleme bereichtete "zerforschung" auch von DiscoverEU, wo – ähnlich wie beim Freundschaftspass – Interrailtickets an 18-Jährige verlost werden. Sie konnten dort ohne Probleme Nutzer*innenkonten anlegen und auf die Daten von mehr als 240.000 registrierten Nutzer*innen zugreifen.
Mehr dazu bei https://netzpolitik.org/2023/freundschaftspass-klaffende-sicherheitsluecken-bei-der-ticketbuchung/
Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3uK
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8438-20230623-digitalisierung-bleibt-neuland.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8438-20230623-digitalisierung-bleibt-neuland.html
Tags: #Freundschaftstickets #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Zerforschung #Hacker #Frankreich #Interrail #unsicher #Pishing #Digitalisierung #Neuland #Verhaltensänderung

03.01.2023 Zwangsarbeit für unsere digitale Welt II

Pig-Butchering, virtuelles Schweineschlachten als Job

Erst vor 4 Tagen haben wir über die Notwendigkeit eines echten Lieferkettengesetzes berichtet, um die elenden Arbeitsbedingungen in den Zulieferfabriken von Apple, Google und Microsoft zu beenden. Nun stößt uns Tagesschau.de auf einen weiteren Aspekt von Ausbeutung und Menschenhandel, der allein mit einem Lieferkettengesetz nicht aus der Welt zu schaffen ist.

Sklaverei in Betrugsfabriken

Zehntausende arbeiten in sogenannten Betrugsfabriken, um dafür zu sorgen, dass bei uns immer mehr Menschen Opfer von Online-Betrügern werden. Damit werden die Opfer bei uns durch Menschen betrogen, die dort zu Opfern geworden sind.

Tagesschau.de zitiert Salam aus Bangladesch, der als er die Palmen-gesäumten Straßen, die Ferienresorts und das große Spielkasino in Kambodschas Sihanoukville sieht, in dem er bald arbeiten soll, denkt: "Ein absoluter Traumjob". Es wird für ihn, wie für zehntausende Andere zur Hölle. Salam ist Ingenieur und soll statt der 200$ zu Hause bald 850 bis 1200$ im Monat verdienen.

Die sklavenähnlichen Arbeitsbedingungen (s. Teil I) sorgen dafür, dass ihnen diese Verdienstmöglichkeiten nichts nützen. Ebenso wie den Wanderarbeitern werden ihnen häufig Pass und Handy abgenommen und sie werden kaserniert untergebracht. Ihre Arbeit besteht daraus Fake-Accounts bei Twitter, Facebook und Instagram anzulegen. Damit sollen sie dann Menschen aus den wohlhabenden Ländern Europas, den USA und Kanada überzeugen ihnen Telefon- oder Kontonummern mitzuteilen, ihnen Geld zu überweisen oder in dubiose Kryptowährungen zu investieren. Ob sie ihren Opfern Geld oder Liebe, Reichtum oder Romantik versprechen variiert, das Ziel bleibt immer das Gleiche.

In diesen "Fraud Factories" wird in der Regel nachts gearbeitet, von 17.30 Uhr bis 6.30 Uhr morgens, also 13 Stunden lang. Wer seine verordneten Ziele von z.B. fünf Telefonnummern pro Tag nicht erreicht, muss Überstunden machen. Aber auch körperliche Strafen, wie Liegestütze oder Ausharren im Ellenbogenstütz (Planks) und auch Schläge und Elektroschocks sind üblich. Arbeitskräfte, die dauerhaft die erwartete Leistung nicht bringen, werden wie Sklaven an andere "Firmen" weiter unten in der Hierarchie verkauft.

Gegen dieses Geschäftsmodell wird kaum vorgegangen und es ist nur durchführbar mittels der aktuellen Möglichkeiten der Software, wie KI, automatische Übersetzungsprogramme und natürlich die unbegrenzten Möglichkeiten des Datenklaus bei den (a-) sozialen Netzwerken WhatsApp, Google, Instagram, ...

Mehr dazu bei https://www.tagesschau.de/wirtschaft/online-betrug-kambodscha-101.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3rH
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8262-20230103-zwangsarbeit-fuer-unsere-digitale-welt-ii.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8262-20230103-zwangsarbeit-fuer-unsere-digitale-welt-ii.htm
Tags: #Betrugsfabriken #Spam #Pishing #PigButchering #Sklavenarbeit #Ausbeutung #Kolonialismus #Globalisierung #fairerHandel #Wirtschaft #Kapitalismus #Gewerkschaft #Verhaltensänderung #Big5 #GAFAM #Apple #Microsoft #Intel #Grundrechte #Menschenrechte #Hunger #Bildung #Transparenz #Mafia