Wöchentlicher C<3W Newsletter #11
by Der C3W Newsletter für IT Zeug, Datenschutz und Privatsphäre
Liebe Freund*innen und Angehörige des Wiener Chaos,
Der Newsletter für die Woche vom 29.07. bis 04.08.
Inhalt:
- Why we fight for crypto
- Limits bei PIN-losem Bezahlen mit VISA umgehbar
- Hack the Hacks not the Hackers
- Neue Hacker*innen Stockfotos braucht die Welt!
- Die IT-Security, die Wolf schreit
- 3/4 aller strafbaren Hasspostings in Deutschland kommen von rechts
- Ross Anderson arbeitet an der 3. Auflage von Security Engineering
*** Why we fight for crypto ***
--------------------------------------------------
Eine schöne Zusammenfassung der Argumente, warum es sich lohnt für
sichere Kommunikation für alle zu kämpfen. Inklusive dem Hinweis, dass
(zumindest in den USA) die Zahlen nicht für ein massenhaftes "Going
Dark" von Kriminellen sprechen.
--------------------------------------------------
<https://blog.erratasec.com/2019/07/why-we-fight-for-crypto.html>
*** Limits bei PIN-losem Bezahlen mit VISA umgehbar ***
--------------------------------------------------
Kontaktloses Zahlen ohne PIN-Eingabe ist praktisch und aufgrund der
Limits auch relativ gut gegen Missbrauch geschützt. Zumindest wurde das
bisher behauptet. Britische Forscher haben allerdings jetzt bei
VISA-Karten nachgewiesen, dass sie mit einem MITM-Angriff die Karte und
das Bezahlterminal davon überzeugen konnten, auch höhere Beträge
abzubuchen ohne einen PIN zu verlangen.
Dagegen tun will VISA allerdings nichts, da der Angriff nicht skalierbar
und mit hohem Aufwand für Kriminell verbunden sei.
--------------------------------------------------
<https://heise.de/-4484956>
*** Hack the Hacks not the Hackers ***
--------------------------------------------------
Die amerikanische Firma Trinity will im Kampf gegen pöhse Hacker*innen
eine "neue" Strategie einsetzen: Sie will sich zwischen Angegriffene und
Angreifende positionieren und den Traffic so manipulieren, dass für
Angreifer*innen nicht erkennbar ist, ob sie erfolgreich waren oder
nicht. Dieses "Hacking the Hacks" soll für Frustration und Zeitverlust
bei den Kriminellen sorgen und gleichzeitig die Probleme von klassischem
"Hack Back" umgehen.
Klingt nach einer tollen Idee: Firmen können also für einen massiven
MITM-Angriff bezahlen, bei dem eine andere Firma ihren gesamten
Netzwerkverkehr mitliest und alles, was an aus deren Sicht böse
Netzwerke geht, nach Belieben verändern. Es ist ja auch sehr
realistisch, dass eine einzelne Firma die exakten Kommunikationsmuster
jeder einzelnen Schadsoftware kennt und sinnvoll manipulieren kann. Und
was tun, wenn die Bösen bemerken, dass sie hier verarscht werden? Keine
Sorge, das kann nicht passieren, denn Trinity wird einfach niemals
verraten, wie und was sie genau machen -- Security by Obscurity, eine
bombensichere Taktik! Da dementsprechend auch Kund*innen nicht wissen,
was eigentlich mit ihrem Netzwerktraffic passiert, könnten böse Zungen
glatt behaupten, dass Trinity sie gleich mitverarscht.
--------------------------------------------------
<https://www.wired.com/story/tom-bossert-trinity-active-threat-interference/>
*** Neue Hacker*innen Stockfotos braucht die Welt! ***
--------------------------------------------------
Dieser Ansicht ist zumindest die Firma Openideo. Darum haben sie einen
Wettbewerb gestartet, um Hackern und Haecksen ein neues visuelles Image
zu verpassen -- weg vom Hoodie-tragenden, männlichen, weißen Kellerkind
im grünen Terminalschein. Einreichen ist bis 15. August möglich.
--------------------------------------------------
<https://www.golem.de/news/it-security-hoodie-klischeebilder-sollen-durch-we…>
*** Die IT-Security, die Wolf schreit ***
--------------------------------------------------
Sicherheitslücken sind ein großes Problem. Damit aber auch die selbst
gefundene Sicherheitslücke medial die größtmögliche Aufmerksamkeit
bekommt, muss einiges beachtet werden: Eigene Website, eigene Graphiken
und natürlich ein klingender Name. Dass durch diese Taktiken auch
eigentlich irrelevante oder gar inexistente Sicherheitslücken
aufgebauscht werden, dürfte kaum jemanden überraschen.
Bei all dem Hype ist es oft schwierig festzustellen, welche Lücken
wirklich gefährlich sind. Ein lesenswerter Artikel darüber, wie die
Journalist*innen bei golem.de mit diesem Problem umgehen.
TL;DR: Verifizieren was geht, Unsicherheiten benennen und Fehler
eingestehen.
--------------------------------------------------
<https://www.golem.de/news/berichterstattung-ueber-sicherheitsluecken-so-sic…>
*** 3/4 aller strafbaren Hasspostings in Deutschland kommen von rechts ***
--------------------------------------------------
Aus der Antwort der deutschen Bundesregierung auf eine Anfrage der
Linkspartei geht hervor, dass ca. drei Viertel aller strafbaren
Hasspostings lt. deutschem Bundeskriminalamt politisch motivierter
Kriminalität von rechts zugeordnet werden können. Diese Zahlen sind seit
Beginn der Erhebung 2017 mit 74.0% (2017) und 76.7% (2018) relativ
konstant. Strafbare Hasspostings von links machten 2017 5.4% und 2018
8.6% der Fälle aus.
Unglaublich überraschend diese Zahlen...
--------------------------------------------------
<https://netzpolitik.org/2019/bundesregierung-drei-viertel-aller-strafbaren-…>
*** Ross Anderson arbeitet an der 3. Auflage von Security Engineering ***
--------------------------------------------------
Das sind zwar keine News, ist aber vlt. für die eine oder den anderen
interessant: Ross Anderson arbeitet aktuell an der 3. Auflage seines
Klassikers "Security Engineering" und hat mit dem Verlag ausgehandelt,
dass er alle Kapitel für Reviewzwecke bis zur Veröffentlichung des
Buches auf seiner Webseite als PDFs zum kostenlosen Download zur
Verfügung stellen darf.
--------------------------------------------------
<https://www.cl.cam.ac.uk/~rja14/book.html>
LG,
dimir