Sicherheitswoche 10: RSA-Konferenz und Sensibilisierung für Cybersicherheit

Die nächste Cybersicherheitskonferenz RSA Conference 2020 fand letzte Woche in San Francisco statt, eine Veranstaltung, bei der es kaum mehr Geschäfte als Technologie gibt. Geschäftsmerkmale der Branche sind nicht weniger wichtig als technische, obwohl diese Interaktion im Zeichen eines gewissen Widerspruchs steht: Manager für Geschäftsentwicklung sagen schöne Worte, und Technikfreaks langweilen sich. Apropos Worte: So haben sich die Hauptthemen der RSA-Konferenz in den letzten fünf Jahren entwickelt, die Grundwörter einer einzelnen Konferenz. Im Jahr 2016 war das Hauptthema die IoT-Sicherheit, im Jahr 2017 - künstliche Intelligenz, im Jahr 2018 - das Fehlen von Silberkugeln und einfachen Lösungen in der Cyber-Abwehr, im Jahr 2019 - das Problem der Reputation.

Im Jahr 2020 der Präsident von RSAsprach das Thema der Aufteilung in Technikfreaks und Geschäftsleute an und verwandelte die Eröffnung unerwartet in eine Diskussion über das eigentliche Problem, wenn auch allgemein ausgedrückt: „Unsere Angelegenheiten werden danach beurteilt, welche Geschichte über sie erzählt wird. Und wir möchten, dass dies eine Geschichte über erfolgreichen Widerstand gegen Cyber-Bedrohungen ist und keine technischen Geschichten über Cyber-Tischtennis. “ Das heißt: Die Community für IT-Sicherheit ist geschlossen, für eine Person unverständlich, und wir müssen dies ändern. Teilen Sie nicht nur Probleme, sondern auch erfolgreiche Lösungen: "Formatieren Sie die Kultur von einem elitären zu einem offenen neu."


Schöne Worte, aber sollten wir von Technikfreaks Offenheit erwarten - eine große Frage. Es geht nicht um die Natur bestimmter Personen, sondern um die Merkmale des Jobs, die maximale Konzentration auf kleine Details erfordern, dasselbe Tischtennis. Um Siege in der IT-Sicherheit zu verbreiten, müssen Sie diese in Worten erklären können, die für die Öffentlichkeit verständlich sind. Formulieren Sie zumindest, was als Sieg zu betrachten ist. Dies wird nicht immer erreicht, und für viele Branchenbeteiligte hat diese Aufgabe keine Priorität. Wer der Kultur ein neues Format gibt, ist auch eine gute Frage: Meistens ist das gleiche nichttechnische Management, dessen Vertreter Rohit Gai ist, damit beschäftigt. Es stellt sich heraus, dass, wenn er Änderungen vom Podium der RSA-Konferenz fordert, die Anforderung an sich selbst gerichtet ist? Dies ist eine ehrenvolle Aufgabe. Machen Sie die Cybersicherheit klarerGenauer gesagt ist es notwendig, eine realistische Wahrnehmung dieses Wissensbereichs zu unterstützen. Ansonsten gibt es Situationen, die wir in letzter Zeit häufig beobachten: Wenn Cyber-Angriffe und Cyber-Verteidigung auf einer politischen Ebene völlig isoliert von der tatsächlichen Situation diskutiert werden.

Wir werden auf der RSA-Konferenz 2020 kurz auf interessante Reden eingehen. Der Kryptograf Bruce Schneier setzte das Thema Offenheit fort, jedoch aus einem anderen Blickwinkel: Er schlägt vor, eine „Hacking-Kultur“ (in diesem Fall die Fähigkeit, Probleme mit nicht standardmäßigen Methoden zu lösen) außerhalb der IT einzuführen. Zum Beispiel in der Gesetzgebung oder in der Steuerpolitik. Andernfalls werden Schwachstellen in Software erfolgreich gefunden und geschlossen, und Lücken in der Abgabenordnung bleiben jahrelang bestehen.


Der Forscher Patrick Wardle sprach über Fälle von Reverse Engineering-Malware auf der Seite von Cyberkriminellen. Bei der Untersuchung von Cyber-Angriffen auf Apple-Computer fand er Beispiele, bei denen Angreifer von jemand anderem verteilten Schadcode nehmen und ihn an ihre eigenen Bedürfnisse anpassen. Vertreter von Checkmarx berichteten ( Nachrichten , Forschung ) über Schwachstellen in einem intelligenten Roboterstaubsauger. Der Staubsauger ist mit einer Videokamera ausgestattet, sodass bei einem erfolgreichen Hacking nicht nur die Besitzer des Geräts beobachtet werden können, sondern bei Bedarf auch der Beobachtungspunkt geändert werden kann. Eine weitere IoT-Studie befasst sich mit Schwachstellen im Monitor für die Überwachung eines Kindes.

ESET hat eine Kr00k-Sicherheitslücke gefunden ( Nachrichten , Informationen zuUnternehmens Website ) in Wi-Fi - Module, die teilweise den Verkehr zwischen den Geräten übertragen dechiffriert. Es werden die von Broadcom und Cypress hergestellten Module verwendet, die sowohl in Mobiltelefonen und Laptops als auch in Routern verwendet werden. Schließlich ging die Gruppe der Kryptographen (ein Rudiment der alten Zeiten, als die RSA-Konferenz eine Nische zwischen den Verschlüsselungsexperten war) erneut durch die Blockchain. Kryptografen mögen die Kryptowährungsbranche nicht, wenn sie das Präfix „Krypto“ zuweisen, aber in diesem Fall ging es darum, Blockchain für Wahlen zu verwenden. Der Vertreter des MIT Ronald Rivest präsentierte die Ergebnisse einer bestimmten Analyse der Möglichkeiten, aus der hervorgeht, dass Papierstimmen zuverlässiger sind. Selbst mit der Blockchain ist es schwierig, ein Softwaresystem zum Registrieren von Stimmen zu erstellen, denen man vertrauen kann.

Was sonst noch passiert ist:

Kritische Zero Day- Sicherheitsanfälligkeit in Zyxel NAS und Firewalls. Der Exploit wurde im offenen Verkauf auf dem Schwarzmarkt entdeckt. Mit diesem Fehler können Sie beliebigen Code auf dem Gerät ausführen, auf den per Definition vom Netzwerk aus zugegriffen werden kann, um die volle Kontrolle darüber zu erlangen. Der Patch wurde für eine große Anzahl von Zyxel-Geräten veröffentlicht, jedoch nicht für alle - einige anfällige NASs werden nicht mehr unterstützt.

ThreatFabric hat eine neue Version des Cerberus Android-Trojaners entdeckt, mit der Zwei-Faktor-Authentifizierungscodes aus der Google Authenticator-Anwendung extrahiert werden können.

ErrorBei der Integration von Paypal-Geldbörsen in den Google Pay-Zahlungsdienst war es für kurze Zeit möglich, Geld ohne Wissen des Eigentümers zu stehlen. Es gibt keine Details, aber angeblich haben die Angreifer einen Weg gefunden, die Daten von virtuellen Zahlungskarten zu extrahieren, die erstellt werden, wenn der Dienst mit Google Pay verknüpft ist.

Ein deutscher Forscher enthüllte eine „böswillige“ iOS-Anwendung, die ständig die Zwischenablage überwacht, die allen Programmen auf dem Telefon zur Verfügung steht. Forscherlogik: Wenn eine Kreditkartennummer in den Puffer kopiert wird, kann ein Angreifer sie stehlen. Apple-Reaktion: Ja, aber es ist eine Zwischenablage. Es sollte für alle Anwendungen verfügbar sein, sonst macht es keinen Sinn.