Today’s internet security architecture heavily relies on so called public-key cryptography. Without this public-key cryptography, web-traffic encryption does not work and applications such as secure online banking are not be possible. Public-key crypto is well understood and currently no efficient attacks against these cryptographic systems are known. However, already in the 90s Peter Schor was able to show that if a quantum computer can be build all state-of-the-art public-key cryptosystem would become insecure[https://en.wikipedia.org/wiki/Shor‘s_algorithm]. Continue reading
Zweites IT-Sicherheitsgesetz: Bundesregierung beschließt NIS-Umsetzungsgesetz
Mit der EU-Richtlinie über Netzwerk- und Informationssicherheit (kurz: NIS-Richtlinie) hatten Parlament und Rat im Sommer 2016 erstmals europäisches IT-Sicherheitsrecht verabschiedet. Die Mitgliedsstaaten haben nun die Pflicht, das europäische Recht bis Mai 2018 in das jeweilige nationale Recht umzusetzen. Deutschland hatte bereits im Sommer 2015 ein erstes IT-Sicherheitsgesetz verabschiedet, das die europäische Rechtssetzung schon ein Stück weit vorweggenommen hatte. Entsprechend gering ist der Umsetzungsbedarf im deutschen Recht. Continue reading
Cybersicherheit: China verstärkt den Druck auf die Unternehmen
Zum Jahresende 2016 hat die chinesische Regierung mit Maßnahmen zur Erhöhung der Cybersicherheit den Druck auf die Unternehmen erheblich verstärkt. Nach der Verabschiedung des Chinese Cybersecurity Law am 7. November 2016 legte die Cyberspace Administration of China (CAC) am 27. Dezember 2016 die neue chinesische Cybersicherheitsstrategie vor. Continue reading
Mirai goes Deutsche Telekom
On Sunday November 27, a new variant of the Mirai botnet knocked more than 900 000 customers of German ISP Deutsche Telekom (DT) offline. The malware targeted potentially vulnerable home internet routers to exploit a vulnerability in the implementation of the standard protocol, TR-069, that is designed to allow the Internet Service Provider (ISP) to remotely manage the router. The aim of the attack presumably was to recruit additional devices for Mirai-infected botnets that have been used to conduct massive denial-of-service attacks in the past weeks. Continue reading
Joe Biden will send a message to Russia
US VC Joe Biden just announced that the US will “send a message” to Russia. Apparently, it will be a message in the shape of a cyberattack. Cyber-offensive forces in the US have reported to having been activated to that end. The nature of the response is uncertain as escalatory dynamics in cyber signaling have not been defined. It could be a silent demonstration of serious hacking power, or a counter-leaking of embarrassing facts about the Kremlin or secrets of the FSB. But something will happen. The announcement is considered an in-kind answer to a set of recent allegedly Russian cyberattacks on the US electoral process, the latest and largest of which was the attack on the DNC, followed by the publication of Clinton’s emails. Russia denies all allegations, and whether the attacker really is Russia or not actually must be doubted. All indicators point to Russia, but only publicly known indicators have been used in the design of the attack. In other words: everything could be spoofed and may in fact be spoofed. The indicators are almost too obviously Russian. If fake, a third party successfully stages false flag operations to raise tensions between Russia and the US. Either way, with the coming outcome, the incident and its result must be considered very serious. The back and forth may look like mudslinging, but mudslinging with a Clausewitzian notion to it between nuclear superpowers is far from funny.
Poor security: baby phones successfully attacking core internet infrastructure
On Friday, October 21, 2016, Major internet sites such as Amazon, Netflix, Spotify, and Airbnb were no longer available in the United States. One of the most serious downtimes of internet services ever was caused by a denial-of-service attack on the US provider Dyn. Dyn is providing traffic management services for internet providers. Dyn helps them to optimize and steer internet traffic. Therefore, Dyn services are regularly involved in the operations of major internet sites. The DDoS attack on Dyn was performed by a botnet consisting of devices infected with the “Mirai” malware. Unless the most know botnet malwares, Mirai’s bots are not computers, but so-called “internet of things” (IoT) devices. For instance, Mirai infects CCTV cameras, baby phones, satellite antenna receivers, network hard drives, routers, and wifi range extenders. All these devices are internet-connected devices controlled by a linux operating system, and: with very poor security. Continue reading
Wo ist mein Koffer 4.0
Der deutsche Kofferhersteller RIMOWA bietet sein Anfang 2016 Koffer mit integriertem “Electronic Tag” an. Bei diesen Modellen kann bei Flugreisen auf das Aufkleben des Gepäckaufklebers verzichtet werden. Der “Baggage Tag” genannte Aufkleber entfällt, sein Inhalt wird in dem Display des Electronic Tag angezeigt. Für die Flugreisenden soll dadurch das Einchecken weiter erleichtert, für die Airlines weniger personalintensiv ausgestaltet werden. Der Ablauf ist wie folgt: Beim elektronischen Einchecken in der App der Airline (derzeit nur bei Lufthansa) kann ausgewählt werden, wieviel Gepäck mitgeführt werden soll und dass die Kofferanhänger elektronisch erbeten werden. Das Gepäck wird im Check-In-System registriert, die elektronischen Tags auf das Smartphone übertragen (derzeit nur für iPhone verfügbar). Dort muss sich eine spezielle RIMOWA-App befinden, die über Bluetooth den Gepäckaufkleber digital an den Koffer überträgt und dort unveränderlich speichert und anzeigt. Selbst Batterieversagen soll der e-Ink-Anzeige nichts anhaben können. Eine Veränderung des Tags durch Dritte, so der Hersteller, sei nicht möglich. Den Koffer mit dem elektronischen Tag kann man dann (im Idealfall) am Flughafen ohne Schlange-Stehen auf ein Band legen. Die Ausweitung auf weitere Smartphone-Betriebssysteme und der Einsatz bei weiteren Airlines seien geplant, so RIMOWA. Mit den neuen Koffern erreicht das Internet-of-Things die Gepäckabteile der Flugzeuge. Wohin ein Koffer transportiert wird, entscheidet sich nicht mehr anhand des papiernen Kofferanhängers, sondern durch die gespeicherten digitalen Daten. Die Anzeige des altmodischen Barcodes ist dabei sicherlich nur eine Übergangstechnologie, bis in späteren Schritten elektronisch sendende Tags in den Koffern das optische Lesen ganz ablösen. Continue reading
Wahlmanipulation durch Hacking?
Während Österreich seine Präsidentschaftswahl wegen mangelhaften Klebstoffs verschieben muss, plagt die Weltmacht USA ein anderes Wahlproblem: Die Sorge vor einem Hacking-Angriff auf die US-Präsidentschaftswahlen in 2 Monaten. Es ist unwahrscheinlich, dass es Hackern gelingen könnte, die Resultate der US-Präsidentschaftswahl maßgeblich zu beeinflussen. Aber gezielte Angriffe auf Teile des Wahlsystems, wie zum Beispiel Wählerdatenbanken oder Wahlmaschinen, können Wähler im Vorfeld verunsichern und Vertrauen in den Wahlprozess und zuständige Institutionen schwächen. Continue reading
What the DNC Breach tells us about election hacking
The breach of the Democratic National Committee’s networks and the disclosure of nearly 20 000 internal Emails on the online publishing platform WikiLeaks raises many questions about the integrity of democracy in the digital age.
From a cyber security standpoint, the issues currently being discussed most widely are who is behind the attack and how the US government should respond. Intelligence officials reportedly have “˜high confidence’ that Russian intelligence agencies are responsible, echoing analyses of cyber security firms and experts. Continue reading
Das Ende rein mechanischer Schließsysteme?
Hackern haben im Netz ein 3D-Modell des “TSA Master Key” für Safe-Skies-Schlösser veröffentlicht. Jeder kann mit einem 3D-Drucker solche Generalschlüssel für Koffer und Reisetaschen anfertigen. Die zum US-Heimatschutzministerium gehörende Travel Security Agency (TSA) ist unter anderem für die Gepäckkontrolle bei Flugreisen zuständig. Für Gepäckschlösser der Hersteller “Travel Sentry” und “Safe Skies” gibt es eine sogenannte “TSA-Anerkennung”, weil der Behörde Generalschlüssel für diese Schlösser vorliegen. Mit solchen Schlössern gesicherte Gepäckstücke können durch die TSA durchsucht werden, ohne das Schloss zu beschädigen. Die meisten großen Hersteller von Reisegepäck verwenden solche “TSA-Schlösser”. Nachdem bereits ein 3D-Modell eines Generalschlüssels für Schlösser von Travel Sentry veröffentlicht wurde, liegt nun auch ein Modell für den Generalschlüssel von Safe Skies vor. Die am weitesten verbreiteten Gepäckschlösser können damit nicht mehr nur von Sicherheitsbehörden, sondern von jedermann geöffnet werden. Continue reading