Suche
Close this search box.

Monat: April 2019

Kaspersky Labs

Quellcode-Leak der berüchtigten Carbanak-Malware

Medienberichten zufolge haben Sicherheitsforscher kürzlich den Quellcode der berüchtigten Malware Carbanak auf dem kostenlosen Open-Source-Portal VirusTotal entdeckt. Carbanak gilt derzeit als die bislang erfolgreichste finanzielle Cyberbedrohung, verantwortlich für den Diebstahl von 1 Milliarde Euro bei Finanzinstituten weltweit. Unsere Experten von Kaspersky Lab entdeckten und analysierten Carbanak erstmals im Jahr 2014. Im Fokus stand zu diesem Zeitpunkt die Untersuchung zahlreicher miteinander in Verbindung stehender Vorfälle, bei denen Geld von diversen Bankautomaten gestohlen worden war – hierbei handelte es sich um eine internationale, groß angelegte Kampagne, die darauf abzielte, möglichst viel Geld von verschiedenen Banken auf der ganzen Welt zu entwenden. Zu Beginn untersuchten unsere Sicherheitsexperten lediglich Vorfälle in Osteuropa, stießen jedoch in kürzester Zeit auch auf Opfer in den USA, Deutschland und China. Wie viele andere Angriffe begann auch diese Kampagne mit Spear Phishing. In diesem Fall waren es zielgerichtete, mit schädlichen Anhängen bewaffnete E-Mails, die eine Backdoor – basierend auf der Malware Carberp – installierten. Diese Backdoor gewährte den Angreifern Zugriff auf das gesamte Netzwerk der Zielorganisation und kompromittierte Computer, die ihnen so die Möglichkeit gaben, Geld zu entwenden. Die Kriminellen versuchten, über verschiedene Wege an ihre Beute zu gelangen: In einigen Fällen gaben sie den Automaten die direkte Remote-Anweisung, eine spezifische Geldsumme auszugeben, die dann von den sogenannten Money Mules abgehoben wurde. In anderen Fällen nutzten sie das SWIFT-Netzwerk, um Geld direkt auf ihre eigenen Konten zu überweisen. Bis zum Zeitpunkt der Entdeckung Carbanaks war keine der beiden Methoden massiv ausgenutzt worden, sodass die Größenordnung und die von Carbanak eingesetzten Technologien sowohl die Finanz- als auch die Cybersicherheitsbranche erschütterten. Was hält die Zukunft bereit? Seit Carbanaks Entdeckung sind unsere Experten auf mehrere Angriffe gestoßen (Silence ist einer davon), die ähnliche Taktiken und Verfahren verwendet haben und in diesem Zeitraum auch recht aktiv waren. Mit der Veröffentlichung des Carbanak-Quellcodes werden solche Vorfälle in Zukunft aber möglicherweise wesentlich häufiger auftreten. Unser Forscher, Sergey Golovanov, der diesen Fall bereits von Anfang an untersucht und mitverfolgt hat, äußert sich folgendermaßen zu dem Vorfall: „Die Tatsache, dass der Quellcode der berüchtigten Carbanak-Malware auf einer Open-Source-Website verfügbar war, ist ein schlechtes Zeichen. Tatsächlich wurde die Carbanak-Malware selbst zunächst auf dem Quellcode der Carberp-Malware aufgebaut, nachdem sie online veröffentlicht wurde. Wir haben allen Grund zu der Annahme, dass sich dieses Szenario nun wiederholen wird und wir uns in Zukunft mit gefährlichen Modifikationen von Carbanak konfrontiert sehen werden. Die gute Nachricht ist, dass sich die Cybersicherheitsbranche seit dem Carberp-Leck stark weiterentwickelt hat und den geänderten Code heute leicht erkennen kann. Wir fordern Unternehmen und Einzelpersonen auf, sich gegen diese und zukünftige Bedrohungen mit einer robusten Sicherheitslösung zu schützen.“ Quelle: Kaspersky Bloghttps://www.kaspersky.de/blog/carbanak-source-code-leaked/19117/Author: Kaspersky Team

seppmail-version
SEPPmail

SEPPmail Update Version 10.1.7

SEPPmail hat am 15.04.19 eine neue Version als Update bereitgestellt. Die neue Version 10.1.7 enthält einige Änderungen und Fixes an der vorhandenen Firmware. Die iKomm MSP SEPPmail Cluster werden in den kommenden Tagen aktualisiert. Auf Grund des Cluster werden keine Ausfallzeiten erwartet. Sollte es dennoch zu Ausfallzeiten kommen werden wir Sie unsere Kunden entsprechend und rechtzeitig informieren. Noch kein iKomm SEPPmail Kunde? Klicken Sie hier um weitere Informationen zu erhalten.

iKomm News

Frohe Ostern

Frohe Ostern… Wir wünschen Ihnen allen ein frohes Osterfest und ein paar ruhige Feiertage. Genießen Sie das hoffentlich gute Wetter im Familienkreise. Wir wünschen Ihnen viel Erfolg bei der Eiersuche und hoffen Sie finden alle versteckten Eier. Sollten Sie bei Ihrer Suche folgendes finden lassen Sie es uns wissen 🙂

Kaspersky Labs

Wenn USB-Geräte zur Cyber-Waffe werden

Für industrielle Steuerungssysteme sind USB-Geräte die Hauptquelle von Malware.“ Dieses Statement gab Luca Bongiorni von Bentley Systems während seines Vortrags auf dem #TheSAS2019. Die meisten Leute, die in irgendeiner Weise mit Sicherheit zu tun haben, kennen klassische Geschichten über Flash-Laufwerke, die irgendwem „versehentlich“ auf einem Parkplatz aus der Tasche gefallen sind, wahrscheinlich zu genüge. Aber in unserer Branche ist diese Geschichte einfach zu illustrativ, um sie nicht immer wieder zu erzählen. Bei einer anderen – realen – Story über USB-Flashlaufwerke war der Protagonist der Mitarbeiter einer Industrieanlage, der sich den Spielfilm La La Land während seiner Mittagspause auf einen USB-Stick lud. Und das war der Beginn einer Geschichte, die mit der Infektion des Air-Gap-Systems eines Kernkraftwerks endete; Eine Geschichte, die sich (wie so oft) in das Genre „vermeidbare Infektion kritischer Infrastrukturen“ einordnen lässt. Leider vergessen viele, dass USB-Geräte nicht ausschließlich auf Flashlaufwerke beschränkt sind. Human Interface Devices (HIDs) wie Tastaturen und Mäuse, Ladekabel für Smartphones und sogar Dinge wie Plasmabälle und Thermobecher können manipuliert werden, um industrielle Steuerungssysteme anzuvisieren. Eine kurze Geschichte existierender USB-Waffen Ungeachtet der Vergesslichkeit der Menschen, sind als Waffen eingesetzte USB-Geräte definitiv nichts Neues. Die ersten Geräte dieser Art wurden bereits im Jahr 2010 verzeichnet. Basierend auf einem kleinen Entwicklungsboard namens Teensy, ausgestattet mit einem USB-Anschluss, konnten sie als HIDs fungieren und beispielsweise Tastatureingaben an einen PC senden. Hacker stellten schnell fest, dass die Geräte zu Penetrationstestzwecken dienten, und entwickelten daraufhin eine ähnliche Version, die darauf ausgerichtet war, neue Nutzer zu erstellen, Backdoor-liefernde Programme auszuführen oder Geräte mit Malware zu infizieren. Die erste Version dieser Teensy-Modifikation war unter dem Namen PHUKD bekannt. Es folgte Kautilya, eine Variante, die mit den bekannteren Arduino-Boards kompatibel war. Danach kam Rubberducky – dank der Serie Mr. Robot der vielleicht bekannteste USB-Tastatur-Emulator, der auf den ersten Blick wie ein ganz gewöhnlicher USB-Stick erscheint. Bei Angriffen auf Geldautomatenwurde ein leistungsfähigeres Gerät namens Bash Bunny verwendet. Es dauerte nicht lange, bis der Erfinder von PHUKD auf eine neue Idee kam und eine trojanisierte Maus mit integriertem Pentesting-Board entwickelte, die nicht nur wie eine normale Maus funktionierte, sondern darüber hinaus auch alle PHUKD-Fähigkeiten besaß. Unter Social-Engineering-Gesichtspunkten ist die Verwendung echter HIDs für die Systempenetration möglicherweise noch einfacher als der Gebrauch eines USB-Sticks, da selbst Personen, die keinenfremden USB-Stick an ihren PC anschließen würden, normalerweise keine Bedenken bei Tastaturen oder Mäusen haben. Die zweite Generation der als Waffen eingesetzten USB-Geräte wurde in den Jahren 2014 und 2015 ins Leben gerufen; zu ihnen gehörten auch die berüchtigten BadUSB-basierten Geräte. Erwähnenswert sind auch TURNIPSCHOOL und Cottonmouth, die angeblich von der US-amerikanischen National Security Agency (NSA) entwickelt worden waren: bei ihnen handelte es sich um Geräte, die so klein waren, dass sie in ein USB-Kabel integriert werden konnten, um Daten von Computern (einschließlich Computer ohne Netzwerkverbindung) abzufangen. Aktueller Stand schädlicher USB-Geräte Die dritte Generation der USB-Pentesting-Tools bringt diese auf ein völlig neues Niveau. Der sogenannte WHID Injector ist beispielsweise ein solches Tool; hierbei handelt es sich im Grunde genommen um einen zweiten Rubberducky mit WLAN-Verbindung, die es Hackern erlaubt, das Tool fernzusteuern, was ihnen mehr Flexibilität und die Möglichkeit, mit verschiedenen Betriebssystemen zu arbeiten, bietet. Ein weiteres Tool der dritten Generation ist P4wnP1, das auf Raspberry Pi basiert und, abgesehen von einigen zusätzlichen Features, Bash Bunny sehr ähnlich ist. Und natürlich sind sowohl WHID Injector als auch Bash Bunny klein genug, um in eine Tastatur oder Maus eingebettet zu werden. Das folgende Video zeigt einen Laptop, der mit einer trojanisierten Tastatur verbunden ist, die es einem Remote-Angreifer erlaubt, beliebige Befehle und Apps auszuführen.   Luca Bongiorni@LucaBongiorni   11710:36 – 14. Feb. 2018  Kleine USB-Geräte wie die oben genannten können sogar so programmiert werden, dass sie wie ein bestimmtes HID-Modell wirken, um so spezifische Sicherheitsmaßnahmen von Unternehmen zu umgehen, die ausschließlich Mäuse und Tastaturen bestimmter Hersteller akzeptieren. Tools wie WHID Injector können zudem mit einem Mikrofon ausgestattet werden, um Personen einer bestimmten Einrichtung auszuspionieren. Und was noch viel schlimmer ist: ein einziges dieser Geräte reicht aus, um das gesamte Netzwerk zu gefährden, wenn dieses nicht angemessen segmentiert ist. So schützen Sie Systeme vor schädlichen USB-Geräten Trojanisierte Mäuse und Tastaturen, ebenso wie manipulierte Kabel, sind ernstzunehmende Bedrohungen, mit denen selbst Air-Gap-Systeme gefährdet werden können. Heutzutage können die erforderlichen Tools für derartige Angriffe kostengünstig erworben und programmiert werden, ohne die Notwendigkeit über ausgereifte Programmierkenntnisse zu verfügen; behalten Sie solche Bedrohungen also immer im Hinterkopf.   Um kritische Infrastrukturen vor derartigen Bedrohungen zu schützen, ist der Einsatz eines mehrschichtigen Ansatzes empfehlenswert: Gewährleisten Sie zunächst die physische Sicherheit Ihres Unternehmens, sodass unautorisiertes Personal keine Chance hat, dubiose USB-Geräte an industrielle Steuerungssysteme anschließen kann. Blockieren Sie zudem ungenutzte USB-Anschlüsse auf solchen Systemen und verhindern Sie, dass bereits installierte HIDs entfernt werden. Schulen Sie Ihre Mitarbeiter angemessen, damit sie sich den verschiedenen Arten von Bedrohungen bewusst sind; dazu gehören auch als Waffen eingesetzte USB-Geräte. Segmentieren Sie Netzwerke ordnungsgemäß und verwalten Sie Zugriffsrechte, um zu verhindern, dass Angreifer auf Systeme zugreifen können, die zur Steuerung kritischer Infrastrukturen verwendet werden. Schützen Sie jedes System mit Sicherheitslösungen, die dazu in der Lage sind jegliche Bedrohugsarten zu erkennen. Die Technologie unserer Lösung Kaspersky Endpoint Securityautorisiert keine HIDs, es sei denn, der Nutzer gibt über ein bereits aurotisiertes HID einen spezifischen Code ein. Quelle: Kaspersky Blog https://www.kaspersky.de/blog/weaponized-usb-devices/19067/Author: Alex Perekalin

Kaspersky Labs

Mögliche Probleme mit Plug-ins von Drittanbietern

Online-Shops, Informationsportale und andere Ressourcen basieren häufig auf Plattformen, die Entwicklern eine Reihe gebrauchsfertiger Tools zur Verfügung stellen. Unser Blog funktioniert ähnlich. Funktionen und Features werden in der Regel in Form von Plug-ins zur Verfügung gestellt, die dann von Nutzern bei Bedarf und nach Belieben hinzugefügt werden können. Einerseits ist dies ein durchaus praktisches System, das verhindert, dass Entwickler das Rad sprichwörtlich jedes Mal neu erfinden müssen, wenn sie ein bestimmtes Tool oder eine bestimmte Funktion benötigen. Andererseits bedeuten mehr Drittanbieter-Entwicklungen auf Ihrer Website gleichzeitig auch eine größere Gefahr, dass etwas schief gehen könnte. Mögliche Probleme Bei einem Plug-in handelt es sich um ein kleines Software-Modul, das die Funktionalität einer Website entweder ergänzt oder verbessert. Plug-ins gibt es wie Sand am Meer; einige von ihnen zeigen die Widgets sozialer Netzwerke an, während andere Module Statistiken erfassen und Umfragen oder ähnlichen Content erstellen – die Möglichkeiten sind hier wirklich grenzenlos. Wenn Sie ein Plug-in mit der Engine Ihrer Website verknüpfen, wird dieses automatisch ausgeführt und erfordert nur dann Ihre Aufmerksamkeit, wenn ein Betriebsfehler auftritt – bzw. dann, wenn jemand den Fehler bemerkt. Und darin lauert die Gefahr solcher Module: Wenn Entwickler Plug-ins nicht mehr länger unterstützen oder weiterverkaufen, kriegen Nutzer dies oftmals gar nicht mit. Plug-ins mit Leak-Risiko Plug-ins, die seit Jahren nicht aktualisiert wurden, enthalten möglicherweise nicht gepatchte Schwachstellen, die ausgenutzt werden können, um die vollständige Kontrolle über eine Website zu übernehmen oder die Seite mit einem Keylogger, Krypto-Miner oder sonstiger Schadsoftware zu bestücken. Selbst wenn Updates zur Verfügung stehen, schenken viele Websitebetreiber diesen nur wenig bis gar keine Beachtung, und gefährdete Module können auch noch Jahre, nachdem ihr Support eingestellt wurde, aktiv bleiben. Selbst wenn Plug-in-Entwickler mögliche Schwachstellen patchen, kann es sein, dass die Patches aus irgendeinem Grund nicht automatisch installiert werden. In einigen Fällen vergessen Modul-Autoren beispielsweise ganz einfach, die Versionsnummer im Update zu ändern. Kunden, die sich auf automatische Updates verlassen, anstatt manuell nach verfügbaren Aktualisierungen zu suchen, bleiben dann auf veralteten Plug-ins sitzen. Plug-in-Ersatz Einige Website-Content-Management-Plattformen blockieren den Download von Modulen, die nicht länger unterstützt werden, automatisch. Dennoch können Entwickler und Plattformen keine anfälligen Plug-ins von den Webseiten der Nutzer löschen; denn das könnte zu Störungen oder schlimmeren Schäden oder Beeinträchtigungen führen. Hinzu kommt, dass veraltete Plug-ins möglicherweise nicht auf der Plattform selbst, sondern auf öffentlich verfügbaren Diensten gespeichert werden. Löscht der Entwickler ein Modul oder stellt dessen Support ein, greift Ihre Website trotzdem weiterhin auf den jeweiligen Container zu, in dem das Plug-in einst gespeichert wurde. Cyberkriminelle können diesen Container ganz einfach klonen oder zu ihren Gunsten nutzen und die Ressource dazu zwingen, Malware anstelle des Plug-ins herunterzuladen. Genau das ist mit dem Tweet-Zähler „New Share Counts“ passiert, der im Cloud-Speicher Amazon S3 gehostet wurde. Nachdem der Support des fraglichen Plug-ins eingestellt wurde, veröffentlichte der Entwickler eine Nachricht diesbezüglich auf der dazugehörigen Website. Das Problem? Mehr als 800 Kunden hatten die Message schlichtweg nicht gelesen. Kurze Zeit später schloss der Plug-in-Autor den in Amazon S3 gespeicherten Container und Cyberkriminelle nutzten die Gunst der Stunde. Sie erstellten einen Speicher mit demselben Namen und platzierten darin ein bösartiges Skript. Webseiten, die das Plug-in weiterhin verwendeten, fingen an, den neuen Code zu laden, der Nutzer direkt zu einer Phishing-Seite umleitete, die, anstelle des Tweet-Zählers, eine nette Prämie für die Teilnahme an einer Umfrage versprach. Wenn Plug-ins den Besitzer wechseln Anstatt ihre Kreationen einfach aufzugeben, entscheiden sich einige Entwickler dazu, diese lieber zu verkaufen – und nicht alle sind besonders wählerisch, wenn es um einen potenziellen Käufer geht. Das bedeutet, dass auch Cyberkriminelle ein Modul im Handumdrehen legal erwerben können. In solchen Fällen kann das nächste Update möglicherweise Malware auf Ihrer Website bereitstellen. Derartige Plug-ins zu entdecken ist leider keine leichte Aufgabe und in den meisten Fällen tatsächlich eine Frage des Zufalls. Behalten Sie die Plug-ins auf Ihrer Website im Auge Wie Sie sehen, gibt es zahlreiche Möglichkeiten eine Website über die darauf installierten Plug-ins zu infizieren. Aus diesem Grund empfehlen wir Ihnen, die Sicherheit der Plug-ins auf Ihrer Website stets im Auge zu behalten. Erstellen Sie eine Liste aller Plug-ins, die auf Ihren Ressourcen verwendet werden und überprüfen und aktualisieren Sie diese regelmäßig. Lesen Sie die Entwicklerhinweise der von Ihnen verwendeten Drittanbieter-Software und der Websites, über die sie verbreitet wird. Aktualisieren Sie Plug-ins regelmäßig. Wenn sie nicht länger unterstützt werden, sollten Sie diese so schnell wie möglich ersetzen oder entfernen. Wenn eine Unternehmenswebsite nicht länger benötigt oder verwendet wird, sollten Sie nicht vergessen, alle Inhalte – inklusive Plug-ins – zu löschen. Es ist lediglich eine Frage der Zeit, bis sich Schwachstellen einschleichen, die Cyberkriminelle ausnutzen könnten, um Ihr Unternehmen zu kompromittieren. Quelle: Kaspersky Bloghttps://www.kaspersky.de/blog/dangerous-plugins/18959/Author: Sergey Golubev

ESET ESA Neues Feature SelfEnrollment
ESET

ESET Secure Authentication Version 2.8.20.0

ESET hat ein kleines Update für die Secure Authentication Suite veröffentlicht. Die Version 2.8.20.0 enthält einige neue Features. Hier eine Übersicht der neuen Funktionen: •Added: Integration with ESET’s core licensing model •Added: Support for self-enrollment of users •Added: Support for time-based tokens via ESA mobile app •Added: Support for third-party tokens (all OATH compliant HOTP/TOTP) •Added: Reports •Added: Whitelisting per feature •Added: FIDO support Weitere Informationen können Sie auch hier nachlesen: https://help.eset.com/esa/28/en-US/release-notes.html

seppmail-version
SEPPmail

SEPPmail Update Version 10.1.6.1

SEPPmail hat am 29.03.19 eine neue Version als Update bereitgestellt. Die neue Version 10.1.6.1 enthält einige Änderungen und Fixes an der vorhandenen Firmware. Die iKomm MSP SEPPmail Cluster werden in den kommenden Tagen aktualisiert. Auf Grund des Cluster werden keine Ausfallzeiten erwartet. Sollte es dennoch zu Ausfallzeiten kommen werden wir Sie unsere Kunden entsprechend und rechtzeitig informieren. Noch kein iKomm SEPPmail Kunde? Klicken Sie hier um weitere Informationen zu erhalten.

Fudo Security

Fudo Security Workshop bei 8Soft GmbH

Sehr informativer Workshop mit Fudo Security und iKomm GmbH zum Thema Privileged Access Management. Herzlichen Dank an Manfred Warta und Jürgen Salomon für die ausführlichen Mehrwerte einer PAM-Lösung und der Einzigartigkeit von Fudo. 8soft Letzte Woche fand bei unserem Würzburger Partner 8soft ein Fudo Workshop statt. Wir freuen uns über das positive Feedback und hoffen es hat allen Teilnehmern gefallen und sie konnten auch etwas mitnehmen aus dem Workshop. Wir freuen uns auf spannende Projekte mit 8soft und Fudo Security. Danke an das gesamte Team der 8soft für diesen wunderbaren Tag.

Kaspersky Labs

Schlüssel-Leaks auf GitHub & wie sie verhindert werden können

Vor kurzem haben Forscher der North Carolina State University mehr als 100.000 Projekte auf GitHub, die Token, kryptographische Schlüssel und andere vertrauliche Daten enthielten, gefunden, die in offener Form gespeichert worden waren. Insgesamt konnten mehr als eine halbe Million dieser Objekte, von denen mehr als 200.000 einzigartig sind, in der Public Domain gefunden werden. Die betroffenen Token gehörten zu großen Unternehmen wie Google, Amazon MWS, Twitter, Facebook, MailChimp, MailGun, Stripe, Twilio, Square, Braintree und Picatic. GitHub ist eine bekannte und beliebte Ressource im Bereich der kooperativen Softwareentwicklung. Die Plattform wird verwendet, um Code in Repositories mit offenem oder eingeschränktem Zugriff zu speichern, mit Kollegen zu teilen, sie in Programmtests einzubeziehen oder gebrauchsfertige Open-Source-Entwicklungen zu verwenden. Der Onlinedienst vereinfacht und beschleunigt die Erstellung von Apps und Diensten erheblich, weshalb er vor allem bei Programmierern besonders beliebt ist. Unternehmen, die ihre Software basierend auf Open-Source-Modulen erstellen, verwenden GitHub aktiv und auch Firmen, die Wert auf Transparenz legen, greifen häufig auf die Plattform zurück. Trotzdem ist immer Vorsicht geboten, wenn Code auf GitHub hochgeladen wird – ein gut gemeinter Rat, den Entwickler nicht immer befolgen. Welche Daten wurden veröffentlicht? Die Forscher hatten bei ihrer Untersuchung festgestellt, dass GitHub Blöcke mit frei verfügbarem Code hostet, der Token und Schlüssel enthält, die zur Autorisierung und somit zur Ausführung bestimmter Aktionen im Namen von Nutzern oder Apps ausreichen. Zu diesen unwissentlich freigegebenen Informationen gehörten: Anmeldeinformationen für Administratorkonten auf wichtigen Websites; API-Schlüssel oder -Token, die die Verwendung von In-App-API-Funktionen ermöglichen – eine Reihe von Tools, die der Interaktion zwischen verschiedenen Systemkomponenten, z. B. einem Programm und einer Website dienen; Kryptographische Schlüssel von denen viele zur Authentifizierung anstelle eines Passworts verwendet werden; die Kenntnis eines einzigen Schlüssels reicht aus, um Zugriff auf eine Reihe von Ressourcen zu erhalten, einschließlich privater Netzwerke. Deshalb stellen geleakte Token und kryptographische Schlüssel eine Gefahr dar Der nicht autorisierte Zugriff auf Ihre Konten stellt eine ernsthafte Bedrohung für Ihr Unternehmen dar. Warum, erklären wir Ihnen an den folgenden Beispielen. Eine Möglichkeit, Token zu missbrauchen, die auf GitHub veröffentlicht wurden, ist der Versand von E-Mail-Nachrichten oder die Veröffentlichungen von Beiträgen, die angeblich von dem Unternehmen stammen, das diese Token zur Verfügung gestellt hat. So könnte ein Eindringling beispielsweise Zugriff auf eine Unternehmens-Website oder ein Facebook- oder Twitter-Konto erhalten und dort einen schädlichen Post- oder Phishing-Link platzieren. Da offizielle Webseiten und Konten oftmals als zuverlässige Informationsquellen angesehen werden, ist die Wahrscheinlichkeit groß, dass viele Leser davon ausgehen, dass der Beitrag oder Link vollkommen sicher ist und keine Gefahren birgt. Darüber hinaus können Cyberkriminelle Ihre Abonnenten-Liste (wenn Sie beispielsweise MailChimp verwenden) zu Phishing-Zwecken verwenden. Wie im vorherigen Szenario hoffen die Kriminellen auch in diesem Fall darauf, dass die Nutzer einer E-Mail vertrauen, die von einem legitimen Unternehmen stammt. Derartige Angriffe können den Ruf eines Unternehmens enorm schädigen und aufgrund der verlorenen Kunden und vor allem der Zeit, die für die Wiederherstellung des normalen Unternehmensbetriebs benötigt wird, großen Schaden anrichten. Zudem können Cyberkriminelle die kostenpflichtigen Features eines Dienstes – wie  Amazon AWS – auf Ihre Kosten nutzen. So erhielt der Blogger Luke Chadwick beispielsweise eine Nachricht von Amazon, in der ihm mitgeteilt wurde, dass sein Schlüssel öffentlich auf GitHub verfügbar war. Eine Suche führte ihn zu einem alten Projekt, das er aus irgendeinem Grund vergessen hatte zu schließen. Als Chadwick sich in sein Amazon-Konto einloggte, staunte er nicht schlecht, als er sah, dass noch ganze 3.493 US-Dollar zur Zahlung ausstanden. Wie sich herausstellte, hatte ein unbefugter Nutzer den öffentlich verfügbaren Schlüssel in die Hände bekommen und angefangen unter Verwendung von Lukes Konto Kryptowährung zu schürfen. Letztendlich wurden dem Blogger die Kosten von Amazon erstattet. Denken Sie jedoch daran, dass die Geschichte nicht immer so glücklich ausgeht wie in diesem Fall. So landeten die privaten Daten auf GitHub Die Analyse der Forschungsergebnisse zeigt, dass nicht nur junge und unerfahrene Programmierer vertrauliche Informationen in der Public Domain vergessen. So wurden beispielsweise Daten, die den Zugriff auf die Website einer großen Regierungseinrichtung bereitstellten, von einem Entwickler mit 10-jähriger Erfolgsgeschichte auf GitHub veröffentlicht. Token und Schlüssel aller Art werden in GitHub-Repositories aus zahlreichen Gründen veröffentlicht. Um eine App in einen bestimmten Service zu integrieren sind möglicherweise Autorisierungstools erforderlich. Bei der Veröffentlichung von Test-Code verwenden einige Programmierer gültige Schlüssel anstelle von Debug-Schlüsseln und vergessen dann, diese erneut zu entfernen. Der Securosis-Analyst und CEO Rich Mogull veröffentlichte unter anderem eine App auf GitHub, die er für einen Konferenzbericht entwickelte. Alle Daten zur Autorisierung wurden lokal gespeichert. Um jedoch einzelne Codeblöcke debuggen zu können, erstellte er eine Testdatei mit mehreren Zugriffsschlüsseln. Nach dem Debuggen hatte Mogull einfach vergessen, die Schlüssel wieder aus dieser Datei zu entfernen. Sie wurden anschließend von Kriminellen gefunden, die Amazon-Dienste im Wert von 500 US-Dollar für sich verbuchen konnten, bevor der Vorfall bemerkt wurde. Möglicherweise sind sich viele Entwickler auch einfach nicht der Gefahr bewusst, die das Hinterlassen gültiger Token in GitHub-Repositories birgt. So schützen Sie Ihre Ressourcen Machen Sie Ihre Entwickler darauf aufmerksam, dass der Upload gültiger Token und Schlüssel zum Öffnen von Repositories schädlich und gefährlich sein kann; Programmierer sollten verstehen, dass sie vor dem Platzieren von Code sicherstellen müssen, dass dieser keine geheimen Daten enthält. Alle Produktmanager sollten die Projekte Ihres Unternehmens auf GitHub überprüfen, um herauszufinden, ob sie vertrauliche Informationen enthalten. Wenn dies der Fall ist, sollten diese umgehend gelöscht werden. Wenn Daten, die Ihr Unternehmen auf GitHub speichert, Passwörter enthalten, sollten Sie die jeweiligen Kennwörter umgehend ändern. Es gibt keine Möglichkeit herauszufinden, ob der Code bereits angesehen und gespeichert wurde. Author: Sergey GolubevQuelle: Kaspersky Blog https://www.kaspersky.de/blog/token-on-github/18892/

Nach oben scrollen