Was Sicherheitsexperten den Schlaf raubt

Woche 4: Warum Bitcoins nicht nur Nullen und Einsen fürchten müssen

Uhr | Aktualisiert
von Coen Kaat

Über Blizzard zieht ein Sturm auf, Massenpanik wegen vergessenem Twitter-Password und der harte Weg zur Cyber-Einsicht. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

(Source: Ciolanescu / Shutterstock.com / Netzmedien)
(Source: Ciolanescu / Shutterstock.com / Netzmedien)

Für gewöhnlich ist es wohl kein grosses Drama, wenn man die Zugangsdaten zu seinem Twitter-Account nicht kennt. Ausser man ist der Gouverneur von Hawaii. Dann kann das durchaus zu einer Massenpanik führen – beziehungsweise das Eindämmen einer solchen verhindern.

Alles begann am 13. Januar, als der hawaiianischen Agentur für Katastrophenschutz (Hawaii Emergency Management Agency) ein Missgeschick unterlief. Sie verschickte die folgende Nachricht an alle Einwohner mit einem Smartphone:

Ballistische Rakete auf dem Weg nach Hawaii. Sucht umgehend Schutzunterkünfte auf. Dies ist keine Übung.

Natürlich handelte es sich aber um eine Übung, wie The Register berichtet. Der Button, um einen Raketenalarm auszulösen, soll direkt neben dem Button für den Raketenalarmtest sein. Das war jedoch nicht das einzige technische Malheur.

Wie nun bekannt wurde, wollte der hawaiianische Gouverneur Davige Ige innert Minuten Entwarnung geben via Twitter. Nur kannte er sein Password nicht. Der Account wird für gewöhnlich von seinen Mitarbeitern betreut.

Wie The Register schreibt, sei der Nutzen eines Tweets von Ige eh fragwürdig angesichts seiner knapp 8000 Follower. Entwarnung erhielten die Bewohner Hawaiis stattdessen von Iges Parteikollegin Tulsi Gabbard – 179'000 Follower.

Warum Bitcoins nicht nur Nullen und Einsen fürchten müssen

Wer an einen Bitcoin-Raub denkt, hat wohl gleich Bilder von Hackern mit Skimasken vor Augen. Dass es auch analoger geht, zeigte eine bewaffnete, besonders brutale Bande in Kanada. Am Dienstag, 23. Januar, überfiel die Bande die Büros der Canadian Bitcoin Exchange in Ottawa, wie CBC berichtet.

Die drei Männer mit Pistolen überwältigten die vier Mitarbeiter und forderten sie auf, eine Überweisung zu tätigen. Um ihrer Drohung mehr Nachdruck zu verleihen, schlugen sie einem der Mitarbeiter auf den Kopf.

Die rabiaten Räuber übersahen jedoch den fünften Mitarbeiter. Dieser versteckte sich und rief die Polizei ehe die Bande eine Überweisung erzwingen konnte. Schliesslich mussten sie mit leeren Händen wieder abziehen.

Es folgte ein grosses Aufgebot der lokalen Polizei inklusive Hundeführereinheit. Unterdessen hat die Polizei einen Verdächtigen in Gewahrsam. Nach zwei weiteren wird aktuell noch gefahndet.

Der harte Weg zur Cyber-Einsicht

BT und KPMG haben gemeinsam eine Studie veröffentlicht, welche die Defizite bei der Abwehr von Cyberangriffen beleuchtet. Die Quintessenz: Security-Lösungen zu nutzen sei kein Allheilmittel und Unternehmen sollten kooperieren und ihre Mitarbeiter stärker sensibilisieren.

In der Studie versteckt sich jedoch ein anderes Juwel. Die Unternehmen definierten fünf Stufen, welche Unternehmen gemäss Mitteilung auf dem Weg zur bestmöglichen Sicherheitsstrategie typischerweise durchlaufen:

  • Stufe 1 "Denial"

  • Stufe 2 "Worry"

  • Stufe 3 "False Confidence"

  • Stufe 4 "Hard Lessons"

  • Stufe 5 "True Leader"

Zunächst wird das Problem ignoriert, die Gefahr nicht ernst genommen. "Denial". Bis man tatsächlich Opfer von Cybercrime wird. Die Konsequenz: Grosse Sorge, die oft in plan- und ziellose Investitionen ausartet. "Worry". Der Nutzer – etwas ärmer aber dafür mit einer neuen Firewall im Keller – glaubt das Problem gelöst zu haben. "False Confidence".

Der Schein währt jedoch nur bis zum nächsten Zwischenfall. Wenn die Erkenntnis der eigenen Verwundbarkeit wie ein Bumerang zurückschiesst. "Hard Lessons". Nur wer die bitteren Erfahrungen und Erkenntnisse verinnerlicht, kann anschliessend die höchste Stufe erklimmen. "True Leader".

Und über Blizzard zieht ein Sturm auf

Videospieler müssen sich immer wieder anhören, wie gefährlich ihr Hobby angeblich sei. Wie der jüngste Fall von Activision Blizzard zeigt, können Games tatsächlich schaden - allerdings nicht so, wie die Kritiker sich das vorgestellt hatten.

Das US-amerikanische Game-Studio ging aus der Fusion von Activision und Vivendi hervor. Mit Vivendi kam auch Blizzard dazu – unter anderem für das Onlinerollenspiel World of Warcraft sowie für Starcraft, Diablo und Overwatch bekannt. Aufgrund der Bekanntheit der Spiele blieb Blizzard im Namen des neuen Unternehmens erhalten.

All diesen Spielen ist der Blizzard Update Agent vorgeschaltet. Das Tool sorgt dafür, dass die Spiele stets auf dem neuesten Stand sind und lädt falls nötig Updates herunter. Im Tool klaffte jedoch auch eine Sicherheitslücke. Entdeckt hatte diese der Sicherheitsexperte Tavis Ormandy von Googles Project Zero. Der Update Agent sei anfällig gewesen für einen sogenannten DNS-Rebinding-Angriff.

Sollte jemand diese Schwachstelle ausnützen, könnte er sich als Blizzards Update-Server ausgeben. Auf diese Weise könnte der Angreifer dem Tool statt Updates auch Malware schicken. Das Tool würde diese für die Updates halten und ausführen. Online beschreibt Ormandy, wie der Exploit genau funktioniert.

Insgesamt waren wohl an die 400 Millionen Nutzer der Schwachstelle ausgesetzt. Ormandy hatte das Gamestudio vergangenen Dezember auf das Problem hingewiesen. Unterdessen hat das Unternehmen die Lücke gestopft und arbeitet gemäss Bleepingcomputer mit Ormandy zusammen, um die Schwachstelle permanenter zu beheben.

Ormandy selbst will sich nun anderen Spielen mit hohen Nutzerzahlen widmen.

Und noch zum Nachschlagen: das kleine IT-Security-ABC. Über den Direktlink oder den Webcode SecurityABC in das Suchfeld eingeben.

Webcode
DPF8_77935

Kommentare

« Mehr