Kategorien
Allgemein

Einbruch ins Kapitol

Am 6. Januar 2021 drang ein gewaltsamer Mob in das Kapitol, den Sitz des US-Kongresses, ein. Sie stießen in die Räume der Abgeordneten vor, waren im Plenarsaal des Senats und sicher in einigen anderen Räumen. Die Eindringlinge fanden vermutlich viele offene Schränke, Unterlagen wie auch ungesperrte Computer vor. Politisch wird der Vorgang von anderer Seite bewertet. Aber was heißt das aus Sicht der IT- und Computer-Sicherheit?

Mittlerweile gelöschter Tweet eines der Eindringlinge. Es zeigt den Computer von Nancy Pelosi, Vorsitzende der Fraktion der Demokraten. (via Tweet)

Bei den Überlegungen muss man sich klar machen, dass der Angriff nicht überraschend oder spontan war. Vielmehr gab es eine Demonstration, wo viele Leute zusammen trafen und in den diversen Kanälen wurde für bestimmte Aktionen getrommelt. Selbst Donald Trump hatte vorher angekündigt, dass es wild werden wird. Das T-Shirt des Herrn auf der rechten Seite spricht hier auch eine deutliche Sprache. Trump-Anhänger mit einem Pullover "Civil War January 6, 2021"

Damit muss man davon ausgehen, dass hier Leute unter den Eindringlingen waren, die sich speziell darauf vorbereitet haben. Im einfachsten Fall hatten die Leute einen Satz von USB-Sticks oder Festplatten einstecken und haben sich Kopien von allem gemacht, was denen unter die Finger kam. Das heißt, beliebige Dateien können sich jetzt in deren Händen befinden. Weiterhin gibt es die Unart, Zugangsdaten an den Bildschirm zu kleben, unter die Schreibtischunterlage zu kleben etc. Bei allen, die dies gemacht haben (Angestellte, Abgeordnete und generell alle mit einem Zugang), muss man davon ausgehen, dass die Zugänge kompromittiert sind.

Natürlich ist damit nicht Schluss. Denn auch aktive Angriffe sind denkbar. Gerade bei den offenen Rechnern hätten Angreifer Schadsoftware einspielen können, die Tastatureingaben ausliest, Festplatteninhalte überträgt oder sich von dort aus ins interne Netz weitergräbt. Auch der Einbau von Keyloggern, Kameras, Mikrofonen etc. ist denkbar.

Nach den Angaben des United States House Permanent Select Committee on Intelligence können die Leute im Kapitol nur auf nicht eingestufte, quasi öffentliche Dokumente zugreifen. Für den Zugriff auf Geheimdokumente gibt es ein abgesichertes so genanntes Sensitive Compartmented Information Facility (SCIF). Nach den derzeitigen Erkenntnissen drang dort niemand ein.

Alles anderes muss aus meiner Sicht als kompromittiert angesehen werden und als Sicherheitsvorfall, ggf. sogar als Notfall behandelt werden.

Was wäre zu tun? Die Auswirkungen sind massiv. Aus meiner Sicht liegen folgende Schritte nahe:

  • Automatisches Ausloggen aller Personen von allen Systemen
    Dies verhindert, dass Leute mit geklauten Geräten auf Ressourcen zugreifen können, falls die noch eingeloggt sind. Dies hätte sofort beim Eindringen in die Gebäude passieren sollen.
  • Sperrung aller Zugänge und Neuvergabe von Zugangsdaten
    Man muss davon ausgehen, dass Passwörter und andere Zugangsdaten abgeflossen sind. Gegebenenfalls wurden Handys geklaut, die manchmal als zweiter Faktor beim Login gelten. Daher muss jeder Zugang gesperrt und erneuert werden.
  • Erneuerung der Hardware
    Jeder einzelne Hardware-Baustein kann kompromittiert sein. Das fängt bei der Verkabelung an, geht über Router, Switche, WLAN-Access-Points, Telefonanlagen, Kopierer, Drucker, Scanner bis hin zu den persönlichen Geräten der Leute.
  • Schulung und Aufklärung der Personen
    Unter Umständen versuchen die Angreifer ihr Wissen in den nächsten Tagen und Wochen auszunutzen. Das heißt, eventuell versuchen die mittels Social Engineering das Wissen auszuweiten und in die Systeme einzudringen. Daher müssen die Leute im Kapitol über diese Risiken aufgeklärt werden und denen mitgeteilt werden, was sie zu tun haben. Hier braucht es dann auch eine funktionierende Meldekette, um alle anderen zu informieren und zu schützen.

Daneben lassen sich eine ganze weiterer Maßnahmen denken. Insbesondere unter dem Hintergrund, dass der Kongress sicher auch Ziel von Geheimdiensten ist und auch Agenten unter den Angreifern waren, müsste man vermutlich nach Abhörgeräten suchen.

Insgesamt ist das ein massiver Sicherheitsvorfall und verlangt nach vielfältigen Maßnahmen.

Kategorien
Allgemein

Smittestopp gestoppt

Vor etwas über einem Monat schrieb ich einen Beitrag zu Smittestop. Dies ist die Corona-App aus Norwegen. Diese speicherte GPS- und Bluetooth-Daten auf einem Azure-Server. Generell machte die App keinen guten Eindruck aus Sicht der Privatsphäre. So endete mein Beitrag mit den Worten:

Man kann nur hoffen, dass die Datatilsynet einen Blick darauf wirft und korrigierende Maßnahmen trifft.

https://insecurity.radio.fm/die-norwegische-corona-app/

Und es gibt gute Nachrichten zu vermelden. Die norwegische Datenschutzaufsichtsbehörde hat obiges getan und eine Entscheidung getroffen. Laut einer Pressemitteilung muss die Verarbeitung personenbezogener Daten beendet werden und alle bisher erfassten Daten sind zu löschen.

Die App wurde insgesamt 1,6 Millionen mal heruntergeladen und etwa 600.000 Benutzer:innen teilen die Daten mit den norwegischen Behörden. Das entspricht etwa 10 % der norwegischen Bevölkerung.

Der Bescheid der Datatylsinet lässt den Behörden bis zum 23. Juni 2020 Zeit, um die Fehler zu beheben. Die Behörde kritisiert insbesondere den Einsatz von GPS. Sie sind der Ansicht, dass dies zu tief in die Privatsphäre eingreift und im Widerspruch zu den Empfehlung der WHO sowie des europäischen Datenschutzausschusses steht.

Camilla Stoltenberg, Leiterin des Folkehelseinstituttets, sieht das natürlich anders. Sie kritisiert die Entscheidung und sieht hier eine wichtige Rolle in der Infektionsprävention. Der Journalist Henrik Moltke fragte die Firma Simula, die die App entwickelt hat, wieviele Leute gewarnt wurden. Simula reagierte nur mit einem Link auf die Gesundheitsbehörde. Darin steht, dass bisher niemand gewarnt wurde.

Die Gesundheitsbehörde hat natürlich noch große Hoffnungen an die App und will die verbessern. Warten wir ab, was hier noch passiert.

Kategorien
Allgemein

Die katarische Corona-App EHTERAZ

Die Corona-App aus Katar macht weiter in der Reihe der schlechten Beispiele und legte die persönlichen Daten von über einer Million Nutzerinnen und Nutzer offen.

EHTERAZ wurde vom Innenministerium des Emirates Katar herausgegeben. Die App ist für Android und iOS verfügbar. Im Gegensatz zu einigen anderen Ländern oder Apps ist der Einsatz in Katar verpflichtend. Die Strafen sind recht drakonisch. Es drohen nämlich drei Jahre Gefängnis oder eine Geldstrafe von umgerechnet knapp 50.000 €. Im Playstore werden über eine Million Installationen vermeldet. Für iOS konnte ich keine Zahlen finden. Aber bei 2,7 Millionen Einwohnern ist das schon eine ordentliche Installationsbasis. Doch wie funktioniert die Anwendung?

Bei der Registrierung muss zunächst eine Telefonnummer aus Katar sowie die Personenkennzahl (National ID number) eingegeben werden. Daraufhin wurde eine Antwort vom Server erzeugt, die folgende Daten enthielt:

  • Name der Person mit der Personenkennzahl
  • Farbindikator (rot, gelb, frün, grau) des Gesundheitsstatus’
  • QR-Code
  • Aufenthaltsort der Person (Länge und Breite)
  • falls die Person behandelt wird, der Name der medizinischen Einrichtung

Die Daten wurden zurückgegeben, nachdem die Personenkennzahl an den Server übertragen wurde. Das heißt, wer die Kennzahl kennt, kann sich die Daten anzeigen lassen. Dabei ist die Kennzahl auch nicht kompliziert aufgebaut. Diese besteht im wesentlichen aus dem Geburtsjahr, eine Ländercode und einer laufenden Nummer. Insgesamt sind die also sehr leicht vorherzusagen. Man konnte dem Server auch eine unbegrenzte Zahl an Anfragen schicken.

Alles in allem ist das keine gute Kombination. Denn so lässt sich der Gesundheitsstatus recht einfach abfragen.

Die Software kann weiterhin auch auf Ortsangaben (GPS-Daten) zugreifen und es ist möglich, einen Bewegungsverlauf aufzuzeichnen. Derzeit ist das deaktiviert. Allerdings kann das sowohl für alle wie auch für Einzelpersonen aktiviert werden. Die Entscheidung liegt beim Betreiber der Software. Diese Bewegungsdaten würden in dem Fall dann auf einen zentralen Server hochgeladen werden.

Für den Fall, dass jemand positiv getestet wurde und sich in Quarantäne befindet, scheint die Software auch zu überwachen, dass dies eingehalten wird. Denn es wird der Ort sowie ein Radius um den Ort gespeichert. Weiterhin scheint es Warnungen zu geben, wenn der Radius verlassen wird.

All diese Punkte in Verbindung mit der Pflicht, die App installieren zu müssen, lassen einem wieder mal die Haare zu Berge stehen.

Quellen