DDoS Erpresser-E-Mail: black shadow group

Aktuell bei einem Kunden reingekommen, eine Erpresser-E-Mail der black shadow group:

FORWARD THIS MAIL TO WHOEVER IS IMPORTANT IN YOUR COMPANY AND CAN MAKE DECISION!
We are the BLACK SHADOW hacker group.
Your network will be DDoS-ed starting 12:00 UTC+1 on 08 May 2021 if you don’t pay protection fee – 10 Bitcoins @ 1FfmbHfnpbZjKFvyi1okTjJJusN455paPH
If you don’t pay by 12:00 UTC on 08 May 2021, attack will start, your service will go down permanently. Price to stop will increase up 5 BTC for every day of attack.
This is not a joke. We are the BLACK SHADOW liberty hackers.
Our attacks are extremely powerful – sometimes over 1,3 Tbps per second. And we pass CloudFlare, Link11 and others DDoS protections! So, neither cheap or expensive protection will help.
Try to reply, we will not read. Pay and we will know its you.

Mail black-shadow@protonmail.com

Tatsächlich kamen ca 200GBits auf dem Uplink herein. Hauptsächlich UDP-Traffic. Wir mussten die angegriffenen IP-Adressen aus dem Netzwerk blackhoolen und haben neue IPs auf die Services gelegt. In einer Stunde war alles wieder online, als der Traffic im DeCIX von deren Routern aufgrund der Null-Route weggeworfen wurde. Glücklicherweise hat der Angreifer da nicht auf unsere Ausweich-Technik reagiert.

Entschlüsselung von Passwort-Hashes ist unmöglich, auch im Fall von sha1 und md5.

Die Entschlüsselung von Passwort-Hashes ist unmöglich. Nicht nur sha1 kann man nicht entschlüsseln, sogar die noch ältere Hashfunktion md5 ist absolut unmöglich zu entschlüsseln. Man kann gehashte Passwörter erraten und man kann abhängig von Grad der Robustheit einer Hashfunktion Kollisionen erzeugen.

Ich verstehe ja, dass man im normalen Sprachgebrauch und in der Boulevardpresse diesen Sachverhalt nicht korrekt beschreiben kann. Aber selbst bei heise.de – der Online- und Offline-Fachpresse im professionellem IT-Bereich – ist man leider nicht in der Lage das korrekt darzustellen:

„Wenn Webseitenbetreiber Passwörter von Kunden nicht sicher verwahren, ist der Super-GAU vorprogrammiert. Daran erinnern abermals Sicherheitsforscher, die in überschaubarer Zeit Millionen Passwörter entschlüsselt haben.“

Quelle: https://www.heise.de/security/meldung/Finger-weg-von-SHA-1-320-Millionen-Passwoerter-geknackt-3822005.html

Kein Wunder, dass ich bei „IT Professionals“ immer mal wieder Diskussionen mitbekomme wie:

„Wir haben das base64 verschlüsselt.“

„Die Passwörter liegen sha512 verschlüsselt in der Datenbank.“

„Welchen Algorithmus verwenden Sie zur Verschlüsselung?“ – „SSL“

Korinthenkackerei? Vielleicht. Aber man muss im professionellen Umfeld schon verstehen, was der Unterschied von einer Hash- bzw. Einwegfunktion und einem Verschlüsselungsalgorithmus ist und welche Verfahren man wann warum anwendet. Passwörter verschlüsseln ist meistens – bis vielleicht auf Ausnahmen – eine schlechte Idee. Wenn  man sie nicht verschlüsselt, kann man sie auch nicht entschlüsseln. Nur vielleicht erraten und cracken..

Apache2-CipherSuite-Konfiguration für A+ Rating beim Qualys SSL Labs Server Test

Der Blog hat nun ein A+ Rating beim SSL Server Test von Qualys. Die CipherSuite-Konfiguration des Apache2 dazu sieht wie folgt aus:

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
SSLHonorCipherOrder On

Die Grenzen von Antivirus-Software – Gegen Scriptkiddie top, gegen Hacker relativ nutzlos

Eigentlich dachte ich, dass Antivirus-Software unverzichtbar in der Abwehr von Schadsoftware ist. Dieser Glaube wurde durch die Bachelorarbeit  „Das Schutzpotential von Antivirenprogrammen“ von Dominik Sauer erschüttert. Bei individuell entwickelter Schadsoftware beißt sich Antivirus-Software regelrecht die Zähne aus. Dominik Sauer zeigte in seiner Arbeit sehr anschaulich, dass jeder Hacker in der Lage ist, seinen bösartigen Schadcode mit relativ einfachen Mitteln vor jeder relevanten Antivirus-Engine zu verstecken. Dabei beschreibt er eine generische Vorgehensweise, wie man dieses reproduzieren kann. In seinem Fazit schreibt er dazu:

„Nach dieser Bachelorthesis und meiner professionellen Meinung als Penetration Tester nach sind Antivirenprogramme dennoch nicht obselet geworden. Antivirus-Software ist erforderlich um breite Malware-Angriffe zu erkennen, aber weitgehend nutzlos in der Abwehr zielgerichteter Angriffe.“

Die Verhaltenserkennungen von Antivirussoftware ist leider nicht optimal und kann durch relativ einfache Mittel ausgetrickst werden. Die Signaturerkennung ist zwar sehr gut, allerdings muss dafür erst ein Schädling als solcher identifiziert und geeignete Signaturen erstellt werden. Wird eine Schadsoftware nur bei einem oder sehr wenigen Zielen eingesetzt, passiert dieses vielleicht nie.

Insgesamt muss man die Grenzen von Antivirus-Software kennen: Gegen breite Angriffe oder gegen mit Scriptkiddie-Tools erzeugter Schadcode helfen Antivirus-Software sehr gut, wenn im Zweifel auch erst zeitverzögert. Gegen zielgerichtete Angriffe von einem Hacker sind sie absolut nutzlos.

Bachelorthesis „Das Schutzpotential von Antivirenprogrammen“ von Dominik Sauer

In der Abschlussarbeit „Das Schutzpotential von Antivirenprogrammen“ zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) zeigt Dominik Sauer die Grenzen aktueller Antivirenprogrammen auf. In seiner Arbeit entwickelte er eine generische Methodik zur Umgehung von Antivirenprogrammen und wies über eine Umfrage in einschlägigen Kreisen diese Fähigkeiten Täterprofilen zu. Im Ergebnis zeigt er, dass Antivirenprogrmme nur ein begrenztes Schutzpotential bieten.

Diese Arbeit wurde auf seinen Wunsch hier veröffentlicht. Er hat sie am 25. Januar 2016 an der Hochschule Darmstadt im Studiengang Informatik (mit einem selbst organisierten Schwerpunkt IT-Sicherheit) eingereicht. Die Arbeit wurde mit 1.0 bewertet.

First Car-Hacking: Tesla S

Endlich, es hat auch lange gedauert. Stimmen die Bericht auf SPON und in der FAZ, ist es chinesischen Studenten gelungen über eine Schwachstelle in einer Handy-App zur Fernsteuerung des Autos einen Tesla S während der Fahrt zu hacken: Lampen einschalten, Schiebedach öffnen & mehr.

Warum muss man eigentlich alles aus dem Internet fernsteuern können? Und muss ich wirklich mein Auto per App steuern können? Ist das wirklich die Welt, in der wir leben wollen: Haustür per App öffnen/verschließen, per App den Ofen anschalten, das Auto öffnen/schließen, die Waschmaschine starten?

Sicher, es ist bequem. Und was passiert, wenn einem das Smartphone gestohlen wird? Per Passwort-Reset über das auf dem Handy eingerichtete Mailkonto können schon die meisten Online-Accounts gekapert werden. Zukünftig wird dann noch das Auto übernommen oder gleich das Haus als Party missbraucht, wenn man im Urlaub ist.

Dabei können Hacker zukünftig über die Fernsteuerung von Autos noch viel mehr Schäden anrichten: Anonyme Morde & terroristische Attacken per Car-Hacking? An den Meistbietenden zu verkaufen. Ich hoffe zwar, dass die Autoindustrie aus diesen akademischen Hacks am Telsa S schnell genug lernt und in allen Bereichen der Fahrzeugentwicklung IT-Sicherheit einen sehr hohen Stellenwert bekommt, aber ich glaube nicht daran.

Und dabei gibt es noch ganz andere Herausforderungen: Sicherheitsupdates beim Auto! Wie lange werden Autos zukünftig mit Updates versorgt? Wie schnell werden sie ausgeteilt? Was passiert bei Software-Bugs durch das Update? Patch-Day am 1. Mittwoch des Monats bei Tesla? Gruselige Vorstellung.

Es wird sicherlich noch eine Zeit dauern, bis Autos nicht nur ständig online und per App steuerbar sind, sondern diese Features auch in den Massenmarkt kommen. Hoffentlich lernt die Autoindustrie aus den Fehlern anderer, bevor sie sie selbst begeht. Am besten werfen sie einfach mal einen Blick auf das Update-Chaos bei Android und gebrandeten Versionen der Mobilfunkprovider. Man darf gespannt sein..