Techjourno-Perlen und Anderes, Teil 7

Weil auf der ganzen Netzwelt so viel passiert, und wir nicht alles gleichzeitig verarbeiten, verarzten und verkommentieren können, empfehlen wir hin und wieder ein paar Artikel aus der Netzwelt, mit Lob, mit Kritik und auch Ergänzungen. Einfach und simpel Meta.

Securing your digital life

Ars Technica hat drei Artikel (Teil 1, Teil 2, Teil 3) darüber veröffentlicht, wie man seine digitale Umgebung inklusive dem eigenen Smartphone möglichst gut gegen Angriffe schützen kann. Auch wenn das meiste als bekannt vorausgesetzt werden kann, ist es a) durchaus hilfreich, sein Wissen wieder mal aufzufrischen; hilft es b) dass die Zusammenstellung auch auf neue Risiken eingeht; und können die Links c) auch interessierten Freunden und Bekannten abgegeben werden (sofern sie Englisch verstehen).

Positiv fällt auf, dass die Artikelreihe mit einem Fokus auf dem Erkennen und der Reduktion der persönlichen Angriffsflächen beginnt. Es nützt ja wenig wenn man sein Smartphone nach allen Regeln der Kunst absichert aber das Passwort zum Mailaccount ‘1234567’ und der PIN für die Kreditkarte ‘1111’ lautet.

The first question above is all about taking inventory of the bits of your digital life that could be exploited by a criminal (or an unscrupulous company, employer, or the like) for profit at your expense or could put you in a vulnerable position. A sample list might include your phone and other mobile devices, personal computer, home network, social media accounts, online banking and financial accounts, and your physical identification and credit cards.

Eine oft übersehene Möglichkeit zur Risikoreduktion ist auch die Verwendung von separaten Email-Adressen für jeden Online-Account:

Set up a separate email address or email alias for your high-value web accounts so that all email regarding them is segmented off from your usual email address. This way, if your primary email address is caught up in a data leak, attackers won’t be able to use that address to try to log in to accounts you care about. Using separate addresses for each service also has the side benefit of letting you know if any of those services are selling your personal information—just look at where and when spam starts showing up.

Nun hat nicht jeder die Möglichkeit, schnell und unkompliziert neue Email-Adressen zu generieren. Aber Apple bietet das beispielsweise für iCloud-Kunden unterdessen an, und man kann schon viel erreichen indem man zumindest für wichtige Accounts individuelle Adressen definiert (und diese natürlich mit einem guten Passwort versieht).

Neu für mich war die digitale Variante des Enkelbetrugs, die sich eher an jünger digital Affine richtet.

One type of scam that leans heavily on social engineering has become known in China as “杀猪盘”—sha zhu pan, or “pig butchering” in English. Instead of targeting older people, this long play leverages personal relationships and cryptocurrency greed to go after younger digital natives.

Hierbei wird die Zielperson über längere Zeit in einen persönlich wirkenden Chat hineingezogen (und so, um beim Schwein -siehe Zitat- zu bleiben, quasi gemästet). Ist eine Vertrauensbasis aufgebaut, wird das Opfer in einem nächsten Schritt dazu motiviert, in Bitcoins zu investieren, die passende App liefert der Chatpartner natürlich gleich mit. Dumm halt dann, dass das nur ein Fake ist und das überwiesene Geld nicht in einer Bitcoin-Anlage sondern in der Tasche des Angreifers landet!

Hand Me Your PIN!

Sicherheitsthemen stellen sich nicht nur mit Computern und Datenaustausch, sondern zum Beispiel auch bei alltäglichen Themen wie der PIN-Eingabe am Bankomaten (der ja schlussendlich auch ein Computer ist). Vor einigen Jahren waren vor allem Skimming-Attacken hoch im Kurs (bei denen Angreifer die Geräte so manipulierten, dass Karte und/oder PIN beim Geldbezug ausgelesen werden konnten), zumindest die Newsmeldungen darüber haben in letzter Zeit nachgelassen. Das Problem dass einem Dritte mit etwas Aufdringlichkeit beim Eintippen des Codes zuschauen und diesen erkennen können besteht allerdings auch ohne Skimming. Als Schutzmassnahme wird an Bankomaten das Abdecken des Eingabefelds empfohlen. Dass diese Massnahme beim Einsatz von moderner Technik nicht ausreicht um den PIN geheim zu halten haben nun ForscherInnen aus Padua gezeigt.

Zum Einsatz kamen Methoden aus der KI, namentlich ein Deep Learning-Model. Dieses wurde aufgrund unter Labor-Bedingungen auf die Erkennung von PIN-Eingaben trainiert und anschliessend dazu genutzt, die PINs bei beobachteten Eingaben zu erraten. In einer Versuchsreihe gelang es dem Team, 30% der 5-stelligen PINs innert drei Versuchen (anschliessend würde die Karte ja eingezogen) zu erraten, bei 4-stelligen PINs lag die Trefferquote bei 41%. Auch wenn in der Praxis wohl noch das eine oder andere Hindernis hinzukommen dürfte (unterschiedliche Lichtverhältnisse, Links/Rechts-Händer bei der Eingabe, Schwierigkeit beim Plazieren der Kamera, physischer Zugriff auf Karte selbst etc) und angesichts der noch eher tiefen Erfolgsrate des experimentellen Modells nächste Woche wohl noch keine akute Gefahr droht: Das Beispiel zeigt, dass der Einsatz von KI-Methoden die Angriffsmöglichkeiten auf etablierte (und als verhältnismässig sicher empfundene) Systeme deutlich erhöht.

Das Forschungsteam schlägt auch eine Reihe von Gegenmassnahmen vor:

• Längere PINs (die wohl naheliegenste Lösung), verbunden mit dem Risiko dass man sich diese schlechter merken kann und allenfalls aufschreibt (oder, zB bei 8-stelligen PINs, ein Geburtsdatum verwendet)
• Wechselnde Ziffern-Platzierung: Wenn die PIN-Eingabe über einen Touchscreen erfolgt, können die Ziffern bei jedem Geldbezug anders angeordnet werden. Dies erschwert die automatische Erkennung deutlich, verunmöglicht jedoch auch die (oft quasi intuitiv-automatische) Eingabe des PINs (ich weiss ja nicht wie Euch das so geht, aber ich merk mir den PIN über die Position der Ziffern, nicht über die Ziffern selbst)
• Bessere Abschirmung der Eingabe: Wie sogar das Forschungsteam selbst einräumt, ist das eine eher theoretische Möglichkeit. Es braucht eine eher grossformatige Abdeckung um effekt eine Schutzwirkung zu erhalten, mit einer solchen ist dann aber eine Eingabe kaum mehr fehlerfrei möglich

Apple verklagt NSO Group

O tempora! O mores! Nach Facebook (der Fall ist immer noch auf dem Weg durch die Instanzen) verklagt nun auch Apple die israelische NSO Group. Daher möchten wir an dieser Stelle eine “kritische Würdigung” der Kommunikation von Apple vornehmen. Wenn man sich in Erinnerung ruft, dass Apple bisher bei Hinweise auf Zerodays etc. tendenziell gar nicht reagierte oder sogar Druck auf den Entdecker ausübte, dann überrascht der Gesinnungswandel ein bisschen. Und man darf sich durchaus fragen, was die tiefere Absicht dahinter ist.

Die Klage von Apple zielt darauf ab, weiteren Schaden von Personen abzuwenden und der NSO Group die Nutzung von Produkten und Services von Apple zu untersagen. Mit der Klage wird auch Wiedergutmachung für die eklatanten Verstöße der NSO Group gegen geltendes US-amerikanisches Bundes- und Landesrecht gefordert, die durch die Aktivitäten, Apple und seine Nutzer:innen gezielt anzugreifen, aufgetreten sind.

https://www.apple.com/de/newsroom/2021/11/apple-sues-nso-group-to-curb-the-abuse-of-state-sponsored-spyware/

Interessant ist, dass Apple nicht gegen das Hacken der eigenen Geräte per se klagt, aber vielleicht will man ja vermeiden, dass man in einem solchen Fall im Rahmen der Gerichtsverhandlung zuviele Internas zur Software-Entwicklung innerhalb Apple preisgeben muss. Und auch wenn Sicherheit primär durch sicheren Code erreicht werden sollte und nicht nur durch rechtliche Schritte: Die Behandlung dieser Klage durch die amerikanischen Gerichte dürfte spannend werden.

Gleichzeitig kündigt Apple an, von Überwachungsangriffenen betroffene Benutzer in Zukunft warnen zu wollen: “If Apple discovers activity consistent with a state-sponsored attack, we notify the targeted users”. Die Einschätzung, dass “some Apple threat notifications may be false alarms, or that some attacks are not detected” ist zwar ebenso korrekt wie ehrlich, stellt aber auch die Nützlichkeit des ganzen ein bisschen in Frage. Auch kann man sich durchaus fragen, wie Apple einen hochkarätigen Angreifer davon abhalten will, über Sicherheitslücken die via Messages und Mail verschickte Warnungen nicht einfach direkt wieder zu löschen…

Selbst bei einer wohlwollenden Betrachung des Ganzen kommt ein bisschen ein Security-Theater-Gefühl auf und man fragt sich, welche reale Wirkung sich Apple von diesen Aktionen verspricht.

• Apple lässt sich nicht darüber aus, wie man in Zukunft “state-sponsored attacks” auf iPhone-Benutzer erkennen will. Auch Details über die Schnelligkeit eines Warnhinweises sucht man vergebens. Auch wenn man sich da wohl noch nicht allzu genau in die Karten schauen lassen will: vertrauensbildend ist das kaum.
• Im Apple-eigenen Artikel über die Thread Notification darf natürlich der Hinweis auf den App Store als sichere Quelle von Apps nicht fehlen. Das entbehrt einerseits nicht einer gewissen Ironie (sind NSO Group-Angriffe doch zum Beispiel über die Messages-App von Apple selbst erfolgt), und ist andererseits wohl auch im Kontext der Bestrebungen in USA und Europa zu sehen, Apples App-Monopol aufzubrechen.
• Selbst falls ein US-amerikanisches Gericht der Klage stattgeben sollte (und der NSO Group die Nutzung von Apple-Geräten verbietet): Ausserhalb der USA dürfte die Wirkung eines solchen Urteils eher gering sein, die Entwicklung und der Einsatz von NSO-Hacks auf iPhones dürfte so oder so weitergehen. Vielleicht würde Apple das Geld für den Gerichtsfall lieber in die Verbesserung der eigenen Security Practices in der Entwicklung und in ein ausgebautes Bug Bounty-Programm stecken. Das Geschäftsmodell von NSO lässt sich durch sicherere Software schneller austrocknen als durch Klagen.

PS: Freundinnen und Freunde von US-amerikanischen Klageschriften werden hier fündig.