Lese-Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.

ITZ Bund warnt: IT-Dienstleister für Behörden und Unternehmen gehackt

Über kürzlich gehackte IT-Dienstleister seien etliche Bundes- und Landesbehörden akut in Gefahr, warnt das ITZ Bund. Gleiches gilt für Unternehmenskunden.

Mehrere IT-Dienstleister, die für die hiesigen Bundesbehörden arbeiten, sind von unbekannten Angreifern gehackt worden. Das geht aus einem Warnschreiben des Informationstechnikzentrums Bund (ITZ Bund) hervor, das dem Bayrischen Rundfunk vorliegt. Die Daten wurden wahrscheinlich bereits für weitere Angriffe genutzt.

Laut dem Warnschreiben von Ende April ist es den Angreifern “sehr wahrscheinlich” gelungen, große Mengen der E-Mail-Kommunikation der betroffenen IT-Dienstleister abzugreifen. Die E-Mails sollen neben personenbezogenen Daten wie Telefonnummern und Dienstsitze auch aktuelle Projekte und Mailverläufe mit angehängten Dokumenten enthalten haben.

Die entwendeten Daten könnten für Social-Engineering-Angriffe genutzt werden, um weitere Daten zu erhalten oder in Behördennetzwerke einzudringen. “Es gibt Hinweise, dass diese Attacken möglicherweise bereits begonnen haben”, schreibt das ITZ Bund. Es bestehe ein “hohes Risiko”, dass Beschäftigte versehentlich vertrauliche Dokumente weitergeben oder aber ermöglichen, dass Angreifer Daten und Code in die Systeme des ITZ Bund einspeisen.

“Das Schreiben diente als reine Vorsichtsmaßnahme und zur Sensibilisierung der Beschäftigten”, erklärte das ITZ Bund Golem.de. Es seien bisher keine Daten oder Informationen abgeflossen.

Das ITZ Bund ist für rund 200 Bundes- und Landesbehörden tätig und arbeitet selbst mit den betroffenen IT-Dienstleistern zusammen. Bei diesen handelt es sich laut dem Warnschreiben um das Unternehmen Adesso, das bereits im Januar gehackt wurde und für seinen Umgang mit dem Angriff erhebliche Kritik bekam.

Im März und April wurde bekannt, dass die beiden IT-Dienstleister Materna und Init ebenfalls gehackt wurden. Zu ihren Kunden zählen beispielsweise das Robert-Koch-Institut und die Autobahn GmbH des Bundes sowie die Bundesministerien des Innern und der Wirtschaft. Dennoch sieht das Bundesinnenministerium auf Nachfrage des BR keine unmittelbare Bedrohung für die IT-Sicherheit der Bundesverwaltung.

Der Geschäftsführer der Deutschen Cyber-Sicherheitsorganisation (DCSO), Andreas Rohr, rät die vom ITZ Bund versandte Warnung ernst zu nehmen. “Wenn man sich anschaut, dass das ITZ Bund oder Behörden das Ziel sind, würde man tatsächlich mit hoher Wahrscheinlichkeit einen nachrichtendienstlichen Hintergrund unterstellen.” Aus Sicherheitskreisen heißt es laut dem BR, dass noch unklar sei, wer hinter den Angriffen stecke.

Der Beitrag ITZ Bund warnt: IT-Dienstleister für Behörden und Unternehmen gehackt erschien zuerst auf Linux-Magazin.

Firmware- und Bootguard-Schlüssel von MSI veröffentlicht

Eine Ransomwaregruppe hat nach einem Hack etliche interne Daten von MSI veröffentlicht. Darunter auch private Schlüssel zum Signieren.

Bei einem Ransomware-Angriff auf den Hardware-Hersteller MSI haben die Angreifer auch dessen Bootguard-OEM- und Firmware-Signatur-Schlüssel erbeutet und nun veröffentlicht, wie die Sicherheitsfirma Binarly berichtet.

Bei der Analyse der geleakten Daten entdeckte Binarly etliche Schlüssel zum Signieren von Firmware sowie den OEM-Schlüssel für Intels Bootguard. Die Sicherheitsfirma dokumentiert eine Liste der betroffenen Geräte mitsamt einer Liste der öffentlichen Firmware-Signier- sowie Bootguard-Schlüssel auf Github.

Die privaten Schlüssel sind in den durch die Ransomwaregruppe Money Message geleakten Daten ebenfalls enthalten. Die Untersuchung des Datenlecks dauert laut Binarly jedoch noch an.

Mit den geleakten Schlüsseln könnten Angreifer signierte Firmware-Updates verteilen, die scheinbar von MSI stammen, jedoch Schadcode enthalten. Bereits im April warnte MSI seine Kunden vor der Installation von davor Firmware- und Bios-Updates aus anderen Quellen als der offiziellen MSI-Webseite herunterzuladen.

Ähnliches gilt für Intels Bootguard auf der betroffenen Hardware. Die Technik soll unautorisierte Veränderungen an Hardware und Bios beim Bootvorgang erkennen und so einen sicheren Bootprozess ermöglichen. Mit der Veröffentlichung der privaten Schlüssel dürfte dies zumindest auf Hardware des Herstellers MSI nicht mehr gegeben sein.

Offensichtlich hat MSI die zur Gewährleistung der Firmware- und Bootguard-Sicherheit notwendigen privaten Schlüssel nur unzureichend geschützt, da die Angreifer die Schlüssel wohl über das Internet aus dem Netzwerk des Herstellers exfiltrieren konnten. Durch die geleakten Schlüssel seien auch Geräte anderer Hersteller wie Lenovo, Intel oder Supermicro betroffen, schreibt Binarly auf Twitter.

Der Beitrag Firmware- und Bootguard-Schlüssel von MSI veröffentlicht erschien zuerst auf Linux-Magazin.

Google-Passkeys: “Macht’s gut und danke für den Phish”

Mit Passkeys möchte sich Google von Passwörtern verabschieden. Die passwortlose Authentifizierung ist nun bei allen Google-Konten verfügbar.

Statt mit einem Passwort und eventuell einem zusätzlichen zweiten Faktor sollen sich Google-Nutzer zukünftig passwortlos per Passkeys anmelden. Das soll sowohl für mehr Komfort als auch für mehr Sicherheit sorgen.

Die Technik  wurde für alle Google-Konten freigeschaltet, erklärt Google in einem Blogbeitrag mit der Überschrift “Macht’s gut und danke für den Phish”, eine Anspielung an den vierten Band der Per-Anhalter-durch-die-Galaxis-Reihe von Douglas Adams.

Statt mit einem Passwort können sich die Nutzer mit einem auf ihrem Gerät generierten Passkey anmelden, der durch Fingerabdruck, Gesicht oder PIN geschützt wird. Das funktioniert laut Google mittlerweile unter allen gängigen Betriebssystemen und Browsern.

Auf Geräten, auf denen man sich nur einmalig bei seinem Google-Konto anmelden möchte oder die Passkeys noch nicht unterstützen, ist eine Anmeldung über das Smartphone möglich. Der Passkey verbleibt dabei auf dem Smartphone und wird nicht auf das Gerät, auf dem man sich anmelden will, übertragen. Auch ein Log-in mit Passwort soll laut Google weiterhin möglich sein.

Passkeys baut auf die bereits seit einigen Jahren existierenden Technik für eine Zwei-Faktor-Authentifzierung und passwortloses Anmelden mittels Fido2 beziehungsweise Webauthn auf. Mit Passkeys wird die Technik jedoch um eine Back-up-Funktion in der Cloud sowie die bereits oben genannte Möglichkeit, sich auf Betriebssystemen, welche die Technik nicht unterstützen, über das Smartphone anzumelden.

Neben auf dem jeweiligen Betriebssystem wie Android, iOS oder Windows generierten Passkeys können mit Fido-Sticks auch Hardware-Sicherheitsschlüssel für das passwortlose Anmelden genutzt werden, die teils ebenfalls per Fingerabdruck geschützt werden können. Im Hintergrund kommt bei dem Anmeldevorgang Publik-Key-Kryptografie zum Einsatz, von der die Nutzer allerdings nichts mitbekommen. Sie bietet jedoch deutlich mehr Sicherheit als Passwörter oder Zwei-Faktor-Authentifizierungsverfahren und schützt vor Phishing.

Der Beitrag Google-Passkeys: “Macht’s gut und danke für den Phish” erschien zuerst auf Linux-Magazin.

500.000 Dollar Strafe, weil Google Link nicht entfernt hat

Google muss ein Suchergebnis entfernen, das einen kanadischen Geschäftsmann wahrheitswidrig als verurteilten Pädophilen beschreibt. Dafür musste er jahrelang kämpfen.

Mehrere Jahre hat ein Mann aus Montreal (Kanada) versucht, einen verleumderischen Beitrag aus den Suchergebnissen von Google entfernen zu lassen. Nun hat der Oberste Gerichtshof in Quebec das Unternehmen zur Entfernung des Ergebnisses und einer Zahlung von 500.000 kanadischen Dollar verurteilt.

Google habe das kanadische Recht falsch ausgelegt, als es die Löschanträge des Mannes ablehnte, urteilte das Gericht. In der richterlichen Verfügung wird der Mann laut einem Bericht des Onlinemagazins Ars Technica als “prominenter Geschäftsmann” in der Immobilienbranche genannt. Er sei sowohl in den USA als auch in Kanada tätig.

Den verleumderischen Beitrag entdeckte der Mann demnach bereits im April 2007, als er seinen Namen mit Google suchte, nachdem mehrere Kunden nach einer Reihe von guten Vorgesprächen plötzlich keine Geschäfte mehr mit ihm machen wollten. Auf der von Google angezeigten Webseite wurde wahrheitswidrig behauptet, dass er ein Betrüger und “1984 wegen Kindesmissbrauchs verurteilt worden” sei.

Der Betreiber der Seite weigerte sich auf Nachfrage, den Artikel aus dem Netz zu nehmen. Für eine Klage wegen Verleumdung war es nach kanadischem Recht allerdings zu spät. “In Kanada muss die Klage innerhalb eines Jahres nach Erscheinen des Beitrags eingereicht werden, unabhängig davon, wann das Opfer der Verleumdung die Veröffentlichung sieht”, hieß es in der Verfügung des Richters.

Damit der Beitrag wenigstens nicht mehr so leicht gefunden werden kann, wandte sich der Mann an Google, um ihn aus den Suchergebnissen zu entfernen. Darauf folgte ein jahrelanges Hin und Her mit Google, das auf einem Widerspruch zwischen kanadischem Recht und einem Freihandelsabkommen beruhte. Währenddessen erlitt der Geschäftsmann erhebliche Einbußen und sein Sohn, der ebenfalls in der Immobilienbranche arbeitete, distanzierte sich von seinem Vater.

Der Richter folgte Googles Argumentation nicht und beschrieb die Erfahrung des Klägers als einen “wahrgewordenen Alptraum”. Da Google sich weigerte die Beiträge zu entfernen, habe sich der Mann “hilflos in einem surrealen und qualvollen zeitgenössischen Online-Ökosystem befunden, während er eine Odyssee durchlebte, um die verleumderischen Beiträge zu entfernen”.

Der Beitrag 500.000 Dollar Strafe, weil Google Link nicht entfernt hat erschien zuerst auf Linux-Magazin.

Cloudflare: Botnetzwerke setzen auf gehackte VPS statt auf IoT

Laut dem Content Delivery Network (CDN) Cloudflare setzen High-Performance Botnetzwerke mittlerweile bevorzugt auf gehackte Virtual Private Servers (VPS) statt wie bisher auf massenhaft gehackte IoT-Geräte (Internet of Things) wie Überwachungskameras oder Router.

Zwar hatte das einzelne IoT-Gerät nur eine sehr begrenzte Leistung und Durchsatz, doch in der Masse, mit Hunderttausenden oder gar Millionen Geräten, konnten leistungsfähige DDoS-Angriffe (Distributed Denial of Service) durchgeführt werden. Bei diesen Angriffen werden Webseiten beziehungsweise Server mit Anfragen überhäuft, bis sie unter der Last zusammenbrechen.

Eine neue Generation von Botnetzen verwende hingegen einen Bruchteil der Geräte, erklärt Cloudflare in einem Bericht. Genutzt würden leistungsfähige virtuelle Private Server in der Cloud, die beispielsweise von Start-ups oder Unternehmen für leistungsfähige Anwendungen genutzt werden.

Angreifer kompromittieren demnach ungepatchte Server oder können sich mit bekannt gewordenen APi-Anmeldeinformationen an den Verwaltungskonsolen anmelden. Um gegen solche kompromittierten VPS vorzugehen, arbeite Cloudflare mit etlichen Cloud-Anbietern zusammen, erklärt das Unternehmen. “Dank der schnellen Reaktion und der Sorgfalt der Cloud-Computing-Anbieter konnten große Teile dieser Botnets deaktiviert werden.”

Insgesamt hätten die DDoS-Angriffe im Vergleich zum letzten Quartal nicht zugenommen, im Vergleich zum Vorjahr sei aber ein Anstieg um 60 Prozent zu verzeichnen, erklärt Cloudflare. Insbesondere Rundfunk- und Fernsehanstalten sowie gemeinnützige Organisationen seien von den Angriffen betroffen. Dabei würde häufig auf Ransom-DDoS-Angriffe gesetzt, bei denen die Angreifer ein Lösegeld verlangen, um Angriffe zu stoppen oder weitere zu verhindern.

Der Beitrag Cloudflare: Botnetzwerke setzen auf gehackte VPS statt auf IoT erschien zuerst auf Linux-Magazin.

Mullvad Browser ist der Tor-Browser für VPNs

Gemeinsam mit dem Tor Projekt hat der VPN-Dienst Mullvad einen eigenen Browser veröffentlicht, der für mehr Anonymität und Sicherheit im Internet sorgen soll. Die Mullvad Browser genannte Anwendung basiert auf dem Tor Browser und damit auf Firefox, wurde jedoch für die Nutzung mit einem VPN-Dienst angepasst.

Ziel des Projektes ist es wie beim Tor Browser, das sogenannte Browser-Fingerprinting zu erschweren, bei welchem einzelne Browser durch das Auslesen und Auswerten verschiedener Merkmale durch Trackingdienste wiedererkannt und durch das Internet verfolgt werden. Entsprechend soll der Mullvad Browser von außen möglichst gleich aussehen.

In Kombination mit einem VPN-Dienst, der auch die IP-Adresse der Nutzer austauscht, soll dadurch ein weitgehend unbeobachtetes Surfen möglich sein. Das hängt allerdings auch vom verwendeten VPN-Anbieter ab, die oft genug nicht für mehr Sicherheit oder Privatsphäre sorgen – beziehungsweise sogar das Gegenteil tun.

Der Mullvad Browser selbst bringt weder Tor noch einen VPN-Dienst mit. Dieser muss zusätzlich installiert werden. Wird auf Mullvad VPN gesetzt, kann über eine bereits integrierte Browser-Erweiterung ein Proxyserver gewählt werden. Auf diese Weise kann der Browser eine andere IP-Adresse als sein Host-System verwenden und diese beliebig wechseln.

Das Tor Projekt hat gemeinsam mit dem VPN-Anbieter Mullvad einen Browser für VPNs veröffenlicht, der für mehr Privatsphäre sorgen soll.

Wie beim Tor Browser wird der Browser im privaten Modus verwendet und Cookies und Webseitendaten voneinander isoliert. Wie beim Pendant des Tor Projektes können die Nutzer des Mullvad Browsers zwischen drei Sicherheitslevels wählen, die beispielsweise die Verwendung von Javascript einschränken.

Im Unterschied zum Tor Browser setzt der Browser von Mullvad auf den Werbe- und Trackerblocker uBlock Origin, bei dem neben den Standard-Filterlisten zwei weitere aktiviert wurden. Dabei sollten weder durch Änderungen an der Konfiguration von uBlock Origin noch durch das Installieren von Browser-Erweiterungen Änderungen am Mullvad Browser vorgenommen werden – denn diese können dazu führen, dass die Mullvad Browser nicht mehr gleich aussehen und damit der Trackingschutz nicht mehr gegeben ist.

Der Mullvad Browser kann auf der Webseite des VPN-Dienstes heruntergeladen werden. Er ist für Linux, Windows und MacOS verfügbar. Wer die Signatur prüfen möchte, sei darauf hingewiesen, dass diese nicht von Mullvad, sondern vom Tor Projekt stammt.

Der Beitrag Mullvad Browser ist der Tor-Browser für VPNs erschien zuerst auf Linux-Magazin.

OpenAI behebt Fehler, der Nutzern fremde Daten anzeigte

Nachdem anderen Nutzern kurze Zusammenfassungen von ChatGPT-Konversationen angezeigt wurden, konnte OpenAI das Problem beheben.

Der ChatGPT-Entwickler OpenAI hat einen Fehler behoben, bei dem die Daten anderer Nutzer eingesehen werden konnten. Zwischenzeitlich deaktivierte das Unternehmen die Chatverlaufsfunktion von ChatGPT, da die Titel der Konversationen anderen Nutzern angezeigt wurden. Zuerst berichtete die Nachrichtenagentur Reuters.

Bekannt wurde der Fehler über Screenshots von fremden ChatGPT-Konversationen, die auf Reddit und Twitter veröffentlicht wurden. Ein Sprecher von OpenAI, dem ChatGPT-Hersteller, bestätigte der Nachrichtenagentur Bloomberg den Vorfall.

Er betonte, dass der Fehler nicht zu einer Weitergabe der vollständigen Transkripte von Unterhaltungen mit dem Chatbot geführt habe, sondern nur kurze beschreibende Titel weitergegeben worden seien.

Laut einem Tweet von OpenAI-CEO Sam Altman wurde das Problem durch “einen Fehler in einer Open-Source-Bibliothek” verursacht. Der Fehler in der nicht namentlich genannten Bibliothek sowie in ChatGPT sei behoben worden. Zwischenzeitlich wurde der ChatGPT-Dienst beziehungsweise die Chatverlaufsfunktion deaktiviert. In Folge des Fixes könnten Nutzer allerdings ihre Chatverläufe vom 20. März zum Teil nicht mehr einsehen, schreibt Altman.

Der Fehler sei eine wichtige Erinnerung daran, keine sensiblen Daten mit ChatGPT zu teilen, schreibt das Onlinemagazin The Verge und verweist auf eine entsprechende Stelle in den FAQ von OpenAI. Das Unternehmen könne bestimmte Eingaben nicht aus dem Verlauf löschen, zudem könnten die Unterhaltungen zu Schulungszwecken verwendet werden, heißt es in der FAQ.

Der Beitrag OpenAI behebt Fehler, der Nutzern fremde Daten anzeigte erschien zuerst auf Linux-Magazin.

BKA beschlagnahmt Server von Krypto-Mixer

Über den Darknet-Dienst Chipmixer sollen 2,8 Milliarden Euro in Bitcoin geschleust worden sein. Nun ist die Infrastruktur in Deutschland beschlagnahmt worden.

Die Polizei hat die Serverinfrastruktur des weltweit umsatzstärksten Krypto-Mixers in Deutschland beschlagnahmt. Der Chipmixer genannte Dienst war über das Darknet erreichbar und diente zur Verschleierung der Eigentümerschaft von Bitcoins – darunter sollen auch die Gelder aus den FTX- und Axie-Infinity-Hacks sein.

Gemeinsam mit dem Bundeskriminalamt (BKA) beschlagnahmte die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) die Server sowie Daten im Umfang von rund 7 TByte und Bitcoins im Wert von derzeit 44 Millionen Euro. Damit handelt es sich um die bisher höchste Sicherstellung von Kryptowerten durch das BKA.

“Bei Chipmixer handelte es sich um einen seit Mitte 2017 bestehenden Dienst, der insbesondere Bitcoin kriminellen Ursprungs entgegennahm, um sie nach Verschleierungsvorgängen (sogenanntes Mixing) wieder auszuzahlen”, erklärte das BKA. Dabei wurden die entgegengenommenen Bitcoins in Kleinstbeträge verteilt und vermengt, um die Herkunft der Gelder zu verbergen.

Der Dienst soll nach einer Schätzung insgesamt 154.000 Bitcoin im Wert von 2,8 Milliarden Euro gemixt haben. Ein erheblicher Teil stammt dabei laut BKA aus betrügerisch erlangten Kryptowährungen, darunter etwa die Ransomwaregruppen Zeppelin, Suncrypt, Mamba, Dharma und Lockbit sowie die illegale Handelsplattform Hydra Market.

Auch die Gelder aus den Hacks der Kryptowährungsbörse FTX sowie dem Kryptospiel Axie Infinity sollen über die Plattform gewaschen worden sein. Der Chipmixer-Betreiber wurde durch das FBI zur Fahndung ausgeschrieben, ihm wird gewerbsmäßige Geldwäsche sowie der Betrieb einer kriminellen Handelsplattform vorgeworfen.

Der Beitrag BKA beschlagnahmt Server von Krypto-Mixer erschien zuerst auf Linux-Magazin.

Github führt verpflichtende 2FA ein

Wer von Github ausgewählt wurde, muss die Zwei-Faktor-Authentifizierung (2FA) innerhalb von 45 Tagen einrichten.

Ab sofort verlangt Github von aktiven Entwicklern, eine Zwei-Faktor-Authentifizierung (2FA) für ihre Konten zu aktivieren. Die Maßnahme soll die Sicherheit für die Konten der über 100 Millionen Nutzer verbessern.

Den Schritt kündigte Github bereits vor einiger Zeit an. Zuerst berichtete das Onlinemagazin Bleepingcomputer über die anstehende Einführung.

Diese soll schrittweise stattfinden. Ab dem 13. März sollen kleinere Gruppen von Administratoren und Entwicklern per E-Mail angesprochen werden. Dabei soll sichergestellt werden, dass das Onboarding nahtlos verläuft und die Nutzer Zeit haben, eventuell auftretende Probleme zu lösen.

“Github hat einen Rollout-Prozess entwickelt, der sowohl unerwartete Unterbrechungen und Produktivitätsverluste für die Nutzer minimieren als auch Kontosperrungen verhindern soll”, erklärten Staff Product Manager Hirsch Singhal und Product Marketing Director Laura Paine.

“Gruppen von Nutzern werden im Laufe der Zeit aufgefordert, 2FA zu aktivieren. Dabei wird jede Gruppe auf der Grundlage der Aktionen und des Codes ausgewählt, den sie beigetragen haben.” Wenn das Konto für die Einführung einer Zwei-Faktor-Authentifizierung ausgewählt wurde, bleiben den jeweiligen Nutzern 45 Tage, sie zu aktivieren. In dieser Zeit soll das Github-Konto, abgesehen von gelegentlichen Erinnerungen, weiter normal nutzbar sein. Danach können einige Funktionen gesperrt werden, bis die 2FA eingerichtet wurde.

Als 2FA-Verfahren bietet Github Sicherheitsschlüssel (Fido-Sticks/Passkeys), TOTP, SMS sowie die Github-App an. Von der Verwendung von SMS als zweitem Faktor rät das Unternehmen aus Sicherheitsgründen jedoch explizit ab.

Der Beitrag Github führt verpflichtende 2FA ein erschien zuerst auf Linux-Magazin.

Ransomware will Versicherungspolice

Die Ransomware Hardbit 2.0 verlangt die Versicherungspolice der Unternehmen, um die Lösegeldforderung anzupassen. Nicht ungefährlich für die Betroffenen.

Mit der neuen Version 2.0 versuchen die Betreiber der Ransomware Hardbit, mit ihren Opfern eine Lösegeldzahlung auszuhandeln, die von deren Versicherung übernommen wird. Dazu fragen die Kriminellen die entsprechende Versicherungspolice bei ihren Opfern an und versuchen diese davon zu überzeugen, dass dies auch in deren Interesse geschehe.

Für die gehackten Unternehmen, die über eine Versicherung für Cyberangriffe verfügen, haben die Kriminellen laut dem Onlinemagazin Bleepingcomputer eine ausführliche Anleitung erstellt. Demnach fordern sie nicht nur die Weitergabe entsprechender Informationen über die Höhe der Versicherung, sondern lassen es auch so erscheinen, als ob die Weitergabe der Versicherungsdaten für die Opfer von Vorteil wäre.

Dabei stellen die Kriminellen die Versicherung als Bösewicht dar, die einer Wiederherstellung der Daten nur im Wege stehe, da sie mit lächerlichen Gegenangeboten versuchen würden, die Lösegeld-Verhandlungen zum Scheitern zu bringen, um letztlich die Zahlung nicht übernehmen zu müssen.

“Um all dies zu vermeiden und das Geld für die Versicherung zu bekommen, sollten Sie uns anonym über die Verfügbarkeit und die Bedingungen der Versicherungsdeckung informieren. Das nützt sowohl Ihnen als auch uns, aber nicht der Versicherungsgesellschaft”, schreiben die Betreiber der Ransomware an ihre Opfer.

Allerdings sind die Versicherten üblicherweise vertraglich dazu verpflichtet, den Angreifern keine Details über ihre Versicherung zu nennen. Tun sie dies dennoch, riskieren sie, dass die Versicherung den Schaden nicht übernimmt. Entsprechend bestehen die Kriminellen auch darauf, die Informationen vertraulich weiterzugeben.

Strafverfolgungsbehörden raten dazu, Lösegelder grundsätzlich nicht zu bezahlen, da durch die Bezahlung das Geschäftsmodell der Ransomwaregruppen befördert wird. Unabhängig davon sollten sich insbesondere Unternehmen auf Ransomwareangriffe vorbereiten. Dabei reicht es nicht, sich nur eine Sicherheitssoftware anzuschaffen und Compliance-Regelungen zu erfüllen.

Der Beitrag Ransomware will Versicherungspolice erschien zuerst auf Linux-Magazin.

Viele rechtswidrige Anfragen an sichere Mail-Anbieter

In Transparenzberichten legen die sicheren E-Mail-Anbieter Mailbox.org, Posteo und Tutanota Behördenanfragen offen. Viele waren rechtswidrig.

Laut dem aktuellen Transparenzbericht von Mailbox.org waren 25,4 Prozent aller behördlichen Auskunftsanfragen im Jahr 2022 an den E-Mail-Dienst rechtswidrig. Auch Posteo und Tutanota haben Transparenzberichte veröffentlicht und häufig keine Auskunft erteilt – und sich teilweise bei den Datenschutzbeauftragten beschwert. Alle drei Anbieter legen ihren Fokus auf Datenschutz und Sicherheit.

“Insgesamt 14 der 55 Behördenanfragen im Jahr 2022 wurden von uns zurückgewiesen, da sie Fehler enthielten oder rechtlich unzulässig waren. 7 dieser Anfragen wurden anschließend korrekt erneut gestellt und entsprechend bearbeitet. In 7 Fällen ist es bei der Ablehnung geblieben”, schreibt Mailbox.org.

2022 sei das letzte Jahr gewesen, in dem Anfragen von Behörden, die auf unsicheren Wegen gestellt worden seien, beantworten werden mussten, erklärt Mailbox.org. Als Beispiele werden unverschlüsselte E-Mails oder das von Behörden immer noch gern genutzte Fax genannt. “Wir beantworten seit Jahresbeginn 2023 daher konsequent nur noch Anfragen, die uns über gesicherte Wege (PGP-E-Mail oder Briefpost) zugeschickt werden.”

Insgesamt sind 2022 bei Mailbox.org 51 Anfragen von deutschen Behörden eingegangen, dazu kamen vier aus anderen Ländern. 75 Prozent der Anfragen seien korrekt gestellt worden, 2021 seien es noch 85 Prozent gewesen, erklärte Mailbox.org. Alle Anfragen wurden von Strafverfolgungsbehörden gestellt, die meisten gingen per Klartext-E-Mail ein.

Ähnliche Zahlen nennt auch der E-Mail-Dienst Posteo in seinem Transparenzbericht für 2022. Dort gingen 51 Anfragen von deutschen Behörden sowie 6 aus anderen Staaten ein. Die meisten stammen von Strafverfolgungsbehörden, sechs von Geheimdiensten. Laut Posteo waren von allen Anfragen nur 17 Anfragen formal korrekt.

Beantwortet wurden demnach 8 der 57 Anfragen. Bei mehreren Anfragen hätten die angefragten Daten schlicht nicht vorgelegen. So erhebt Posteo nach seinem Datensparsamkeitskonzept beispielsweise keine Bestandsdaten wie Namen oder Adressen und speichert die dynamischen IP-Adressen der Kunden nicht.

Der E-Mail-Anbieter reichte zudem 35 Beschwerden bei den Landesdatenschutzbehörden oder anderen Behörden ein, die er mit rechtswidrigem und unsicherem Übermitteln der Behördenersuchen begründete. Eine Beschwerde wegen rechtswidrigem Ersuchen nach Verkehrsdaten sei geplant, schreibt Posteo.

Deutlich mehr Anfragen erhielt der E-Mail-Anbieter Tutanota. Hier waren es 2022 insgesamt 329. Das dürfte daran liegen, dass Tutanota im Unterschied zu Mailbox.org und Posteo auch kostenlose E-Mail-Konten anbietet. Beantwortet wurde mit 109 rund ein Drittel der Anfragen, weil ein gültiger Beschluss von einem hiesigen Gericht vorlag.

Nachtrag vom 10. Februar 2023

Posteo erklärte, dass nur drei und nicht acht Anfragen beauskunftet wurden, da hier richterliche Beschlüsse sowie die Daten vorgelegen hätten. Zudem plane Posteo die Datenschutzbeschwerden, habe sie aber noch nicht eingereicht. Wir haben den Artikel entsprechend aktualisiert.

Der Beitrag Viele rechtswidrige Anfragen an sichere Mail-Anbieter erschien zuerst auf Linux-Magazin.

Skriptkiddies schreiben Malware mit ChatGPT

In einem Untergrundforum tauschen Kriminelle mit ChatGPT erstellte Skripte aus, die beispielsweise als Ransomware verwendet werden können.

Die Text-KI ChatGPT kann für zahlreiche Aufgaben eingesetzt werden, darunter auch das Schreiben von Schadsoftware. So berichtet die Sicherheitsfirma Checkpoint, dass Teilnehmer in Cybercrime-Foren die KI nutzen, um Ransomware zu schreiben. Darunter befinden sich auch solche mit wenig oder gar keiner Programmiererfahrung.

Das Unternehmen entdeckte eine Diskussion in einem entsprechenden Forum. Dort sollen Forenteilnehmer ChatGPT zum Erstellen von Skripten verwendet haben, darunter ein Python-Skript, das verschiedene kryptografische Funktionen einschließlich Verschlüsselung, Entschlüsselung und Signierung bereitstellt und als Ransomware verwendet werden kann.

Dieses und andere Skripte seien ausführbar gewesen und hätten die versprochenen Funktionen bereitgestellt, erklärten Forscher von Checkpoint in einem Blogeintrag.

Andere Code-Schnipsel, die mit ChatGPT erstellt wurden, dienten dazu, Informationen von bereits kompromittierten Systemen zu kopieren oder den SSH-Client Putty auf einem Zielsystem herunterzuladen und per Powershell auszuführen. Ein weiteres Beispiel wurde genutzt, um die Kryptowährungskurse auf einem illegalen Marktplatz zu aktualisieren.

Viele der Skripte ließen sich auch für legitime Zwecke nutzen, betonen die Forscher. So kann das oben genannte Skript beispielsweise zum Verschlüsseln eigener sensibler Daten eingesetzt werden, es können aber auch die Daten Dritter damit verschlüsselt werden und ein Lösegeld für deren Entschlüsselung verlangt werden.

“Es ist noch zu früh, um zu entscheiden, ob die ChatGPT-Fähigkeiten das neue Lieblingstool für Teilnehmer im Dark Web werden”, schreiben die Forscher. “Die Gemeinschaft der Cyberkriminellen hat jedoch bereits großes Interesse gezeigt und springt auf diesen neuesten Trend zur Generierung von bösartigem Code auf.” In anderen Foren würde zudem bereits diskutiert, wie man ChatGPT für Betrugsmaschen nutzen könne.

Der Beitrag Skriptkiddies schreiben Malware mit ChatGPT erschien zuerst auf Linux-Magazin.

Viele nutzen Matrix, wenige finanzieren es

Matrix blickt auf ein erfolgreiches Jahr zurück – die Nutzerzahlen haben sich verdoppelt. Doch fehlende Finanzierung gefährdet die Kernentwicklung.

Im Matrix-Netzwerk ist im Jahr 2022 viel passiert – unter anderem haben sich die Nutzerzahlen verdoppelt, wie der Matrix-Gründer Matthew Hodgson in einem Blogeintrag schreibt. Allerdings gibt es auch Probleme, vor allem die Finanzierung der Kernarbeit an Matrix gestaltet sich schwierig.

“Dank der Situation bei Twitter erlebt die Welt ein großes Erwachen hinsichtlich der Bedeutung der Dezentralisierung”, schreibt Hodgson. Die Anzahl der sichtbaren Matrix-IDs habe sich von 44,1 auf 80,3 Millionen nahezu verdoppelt. Gleichzeitig gebe es viele neue Akteure im Matrix-Ökosystem: So scheine Reddit eine Chatfunktion auf Basis des Matrix-Protokolls zu entwickeln. Teamspeak habe den matrixbasierten Chat TS5 angekündigt. Auch Discourse arbeite an einer Matrix-Unterstützung und Thunderbird habe diese bereits eingeführt.

Von Luxemburg bis zur Ukraine sei von etlichen Regierungen Matrix eingeführt worden, erklärte Hodgson. In Deutschland wolle die BWI, das IT-Systemhaus der Bundeswehr, einen Bundesmessenger auf Matrix-Basis den Behörden anbieten, die Gematik Ärzten und Krankenkassen. Zudem sei die Fosdem 2022 mit mehr als 23.000 Teilnehmern über Matrix abgewickelt worden. Und WordPress-Entwickler Automattic arbeite an einem entsprechenden Plug-in für WordPress.

“Andererseits haben nur eine Handvoll dieser Initiativen dazu geführt, dass das Matrix-Kernteam Mittel erhalten hat. Dies gefährdet unmittelbar die Kernentwicklung von Matrix”, schreibt Hodgson. Damit sei man Zeuge der klassischen Tragik der Allmende (Tragedy of the Commons). Nach dieser sozialwissenschaftlichen Theorie werden Allgemeingüter, die frei verfügbar sind, aber über begrenzte Ressourcen verfügen, übernutzt.

Matrix sei Open Source und so weit entwickelt, dass es breit und in großem Maßstab eingesetzt werden könne. Das Netzwerk expandiere auch exponentiell. “Es zeigt sich jedoch, dass die große Mehrheit dieser kommerziellen Implementierungen keinen finanziellen Beitrag zur Matrix Foundation leistet – sei es durch direkte Spenden oder indirekte Unterstützung durch die Zusammenarbeit mit Element, die heute den größten Teil der Kernentwicklung von Matrix finanzieren”, kritisiert Hodgson.

Element sei nicht mehr in der Lage, die gesamte Matrix Foundation für alle anderen zu finanzieren und habe bereits einige Mitarbeiter des Kernteams entlassen müssen. Man arbeite daher an einem Ansatz, der sowohl die Gemeinschaft stärke als auch Organisationen zur Teilnahme ermutige.

Auch entwicklungstechnisch ist im vergangenen Jahr viel passiert. So wurde mit Vodozemac eine Rust-Implementierung der Ende-zu-Ende-Verschlüsselung Olm/Megolm geschaffen und auditiert, die wiederum auf der Signal-Verschlüsselung basiert. Diese soll in Element R zum Einsatz kommen, das sich allerdings wegen verantwortlich gemeldeter und behobener Sicherheitslücken in den bisherigen Implementierungen verzögert hat.

Ebenfalls in Arbeit ist ein Open-Source-Metaverse namens Third Room, das auf Matrix aufbaut. Hinzu kommen Voice over IP (VoIP), der leichtgewichtige Matrix-Webchat Hydrogen und Chatterbox.

Der Beitrag Viele nutzen Matrix, wenige finanzieren es erschien zuerst auf Linux-Magazin.

Google führt E-Mail-Verschlüsselung ein

Die Gmail-Verschlüsselung soll auch mit anderen Providern und Clients kompatibel sein und steht Unternehmenskunden als Beta zur Verfügung.

Google hat eine optionale E-Mail-Verschlüsselung für Gmail angekündigt. Dabei soll es sich um eine Verschlüsselung auf den Geräten der Nutzer handeln (Client-side encryption, CSE). Die Funktion richtet sich an Unternehmen und nicht an Privatanwender.

Die Verschlüsselung soll auf dem S/Mime-Standard basieren, wie Google dem Onlinemagazin The Verge bestätigte, und damit auch mit anderen E-Mail-Providern und E-Mail-Programmen wie Apple Mail, Outlook oder Thunderbird kompatibel sein. Die Webversion von Gmail soll die Verschlüsselung bereits unterstützen, die Gmail-Apps für Android und iOS sollen folgen.

Bei der Gmail-Verschlüsselung soll es sich allerdings noch um eine Beta-Version handeln, für die sich Workspace-Administratoren bis zum 20. Januar anmelden können, heißt es in einem Blogeintrag von Google. Diese beschränkt sich auf Googles Workspace-Enterprise-Plus-, Education-Plus- und Education-Standard-Kunden.

Wurde die Funktion aktiviert und für die Nutzer eines Arbeitsbereiches eingerichtet, finden diese beim Schreiben einer Nachricht eine zusätzliche Option zum Verschlüsseln der E-Mails vor. Damit bleibt sie, auch wenn ein Unternehmen die E-Mail-Verschlüsselung aktiviert hat, optional.

Die verschlüsselten E-Mails soll auch Google nicht mehr lesen können. Die Kontrolle und Verwaltung der verwendeten Schlüssel liegt bei den Administratoren der jeweiligen Unternehmenskunden.

Wie bisher steht es Unternehmen und Privatanwendern frei S/Mime oder die Alternative PGP (g+) mit den entsprechenden Tools selbst auf ihren Geräten einzurichten. Um verschlüsselt kommunizieren zu können, muss die Gegenseite das gleiche Verschlüsselungssystem unterstützen.

Der Beitrag Google führt E-Mail-Verschlüsselung ein erschien zuerst auf Linux-Magazin.

❌