car2go-Elektroautos in Berlin
Foto: © Von Avda / www.avda-foto.de, CC BY-SA 3.0, https://securelist.com/remotely-controlled-ev-home-chargers-the-threats-and-vulnerabilities/89251/

Sicherheitslücken in Ladegeräten für Connected Elektroautos entdeckt

Während moderne Elektrofahrzeuge ständig auf Schwachstellen getestet werden, bleiben einige ihrer wichtigsten Zubehörteile – etwa die Batterieladegeräte – oft ungeprüft.
Experten von Kaspersky Lab haben herausgefunden [1], dass von einem großen Anbieter gelieferte Ladegeräte für Elektrofahrzeuge (Electronic Vehicles; EV) von außen kompromittierbare Schwachstellen aufweisen. Dadurch könnten Cyberangreifer unter anderem Schäden am heimischen Stromnetz verursachen.

Schon heute gehören in einigen Regionen öffentliche und private Ladestationen für Elektrofahrzeuge zum Alltagsbild. Deren wachsende Beliebtheit veranlasste die Experten von Kaspersky Lab dazu, weit verbreitete und für private Garagen gedachte Ladegeräte, die über eine Fernzugriffsfunktion verfügen, zu überprüfen.
Das Ergebnis: Ein angeschlossenes Ladegerät kann im Falle einer Kompromittierung zur Gefahr für die Stromversorgung werden; auch wäre es in der Lage, das entsprechende Netzwerk zum Erliegen zu bringen.
Mögliche Auswirkungen: finanzielle Verluste oder im schlimmsten Fall eine Beschädigung anderer, an das Netzwerk angeschlossener Geräte.

Die Experten von Kaspersky Lab fanden einen Weg, Befehle am Ladegerät auszulösen, die den Ladeprozessor stoppen oder diesen auf den maximal möglichen Stromfluss einstellen können. Während die erste Option lediglich dazu dienen könnte, eine Person an der Nutzung des Autos zu hindern, käme es bei der zweiten möglicherweise zu einer Überhitzung von Geräten, die nicht durch eine selbstrückstellende Sicherung geschützt sind.

Extern initiierte Befehle und Bruteforcing als Gefahr

Ein Angreifer muss nur den WLAN-Zugriff auf das Netzwerk, mit dem das Ladegerät verbunden ist, modifizieren, um die Strommenge zu ändern. Da die Geräte für den privaten Gebrauch bestimmt sind, ist die Sicherheit des drahtlosen Netzwerkes entsprechend begrenzt. Das ermöglicht Angreifern leichten Zugang – etwa durch Bruteforcing, der konsequenten Verwendung aller möglichen Passwortoptionen: Laut Statistiken von Kaspersky Lab [2] wurden 94 Prozent aller Angriffe auf IoT-Technologien im Jahr 2018 durch Telnet und SSH Password Bruteforcing verursacht.
Innerhalb des drahtlosen Netzwerks können Eindringlinge die IP-Adresse des Ladegeräts leicht identifizieren, was es ihnen wiederum ermöglicht, Schwachstellen auszunutzen und Prozesse zu stören.
Alle gefundenen Schwachstellen wurden dem Hersteller bereits gemeldet und sind inzwischen behoben.

„Oftmals wird vergessen, dass Cyberkriminelle bei einem gezielten Angriff immer nach dem am wenigsten offensichtlichen Ziel suchen, um möglichst unbemerkt zu bleiben. Deshalb ist es essentiell, nicht nur bei neuen, bisher noch nicht getesteten, Innovationen nach Schwachstellen zu suchen, sondern auch deren technologisches Zubehör unter die Lupe zu nehmen. Dieses ist in der Regel ein begehrtes Einfallstor für Cyberkriminelle. Anbieter von Connected Cars sollten deshalb besondere Sorgfalt walten lassen und Cybersicherheitsexperten mit der Überprüfung ihrer Geräte und des Zubehörs beauftragen. Im Falle der identifizierten Schwachstellen hatten wir das Glück, eine positive Reaktion des Herstellers zu erhalten, die zu einem schnellen Patch der Geräte führte.
So konnten wir potenziellen Angriffen vorbeugen“, freut sich Dmitry Sklyar, Sicherheitsforscher bei Kaspersky Lab.

Sicherheitsempfehlungen von Kaspersky Lab

  • Regelmäßige Aktualisierung aller intelligenten Geräte auf die neuesten Softwareversionen. Updates können Patches für kritische Sicherheitslücken enthalten. Diese nicht herunterzuladen könnte dem Zugriff von Cyberkriminellen auf Haus und Privatleben Tür und Tor öffnen.
  • Keine Verwendung des Standardkennworts für WLAN-Router und andere Geräte. Ein starkes Passwort ist essentiell und sollte niemals für mehrere Anwendungen oder Geräte gleichzeitig verwendet werden.
  • Das Smart Home Network sollte vom Heimnetzwerk, das von verschiedenen Endgeräten für reine Internet-Suchfunktionen genutzt wird, getrennt werden. Auf diese Weise ist sichergestellt, dass nicht das gesamte Smart Home-System betroffen ist, wenn ein Gerät durch eine Phishing-E-Mail mit generischer Malware gefährdet wird.

Weitere Informationen zur Kaspersky-Studie sind unter https://securelist.com/remotely-controlled-ev-home-chargers-the-threats-and-vulnerabilities/89251/ verfügbar.

 

Quellen:

[1] https://securelist.com/remotely-controlled-ev-home-chargers-the-threats-and-vulnerabilities/89251/
[2] https://securelist.com/new-trends-in-the-world-of-iot-threats/87991/

 

Innovationen in der Medizintechnik: Bruno Reichart steuert für Testzwecke einen Operationsroboter
Foto: © Von Andreas Bohnenstengel, CC BY-SA 3.0 de, https://commons.wikimedia.org/w/index.php?curid=38558752

KRITIS: Gesundheitswesen im Hackerfokus

Neben der Patienten-Infrastruktur und Medizintechnik ist die IT-Sicherheit entscheidend

Bisher profitiert die Medizintechnik enorm durch neue Technologien – seitdem Gesundheitseinrichtungen allerdings im Fokus internationaler Hacker stehen, sieht die Lage anders aus.
„Während sich manch Krankenhaus zum digitalen Vorzeigeprojekt entwickelt hat, wurde die Bedeutung der IT-Sicherheit in den Infrastrukturen deutlich unterschätzt“, sagt Andreas Schlechter, Geschäftsführer von Telonic. Das Systemhaus sichert komplexe Infrastrukturen mit proaktiven Mechanismen gegen Risiken von außen und innen ab und betreut auch Projekte im Gesundheitswesen. Laut Lagebericht zur IT-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI) liegt die Gesundheitsbranche auf dem vierten Platz bezogen auf das Meldeaufkommen von Hackerangriffen auf kritische Infrastrukturen (KRITIS).

Digitale Viren greifen an

Während Ärzte direkt am Krankenbett über Tablet-Computer auf virtuelle Patientenakten, Diagnosen, Blutwerte, Röntgenaufnahmen und vieles mehr zugreifen können, zeigen sich die Risiken der digitalen Viren um so drastischer. Eine geschlossene Notaufnahme und Probleme bei der Patientenbehandlung waren erst im September die Folge eines Angriffes auf die Ameos-Klinik in Bremerhaven, der 24 Stunden andauerte. „Es war schlicht Glück, dass nur ein Krankenhaus dieser Gruppe betroffen war. Durch Vernetzungen innerhalb eines Kliniknetzes können auch leicht mehrere Krankenhäuser über eine Sicherheitslücke angegriffen werden“, warnt Andreas Schlechter von Telonic. Tatsächlich betreibt die Ameos-Gruppe nach eigenen Angaben 77 Einrichtungen an 41 Standorten, betroffen war jedoch nur der Standort Bremerhaven. Mit einem eigenen Lösungspaket bietet Telonic umfassende Security-Services für die IT-Abteilungen von Kliniken und Praxiszentren an. Beginnend mit der Analyse und Beratung bieten spezielle Softwarelösungen proaktiven Schutz auch vor noch unbekannten Bedrohungen – eine wichtige Funktion beim Schutz der Patienten.

Grundversorgung in Gefahr

Bei anhaltenden Attacken, die das Ausmaß von Wannacry & Co erreichen könnten, ist eine Gefährdung der medizinischen Grundversorgung nicht auszuschließen. Bereits 2016 brach der gesamte Betrieb eines Krankenhauses im nordrhein-westfälischen Neuss zusammen. Die Klinik war Opfer eines Trojaners, der im Krankenhausnetzwerk Daten verschlüsselte. Statt digitaler Führungsposition wurde der Betrieb schlagartig ins Papierzeitalter zurückgeworfen. Auch die Unternehmensberatung Roland Berger warnt mit der „Krankenhausstudie 2017“ und gibt alarmierende Daten aus: Von 500 befragten Krankenhäusern gaben 64 Prozent an, schon einmal Opfer eines Hackerangriffs geworden zu sein. Doch die tatsächlichen Zahlen könnten noch höher liegen: „Die Intensität und verdeckte Operation solcher Attacken wird noch deutlich zunehmen. Das Gesundheitswesen muss sich und die Daten schützen, um die Patienten vor Schaden zu bewahren“, sagt Andreas Schlechter von Telonic.

 

Spear-Phishing-E-Mails mit Trojanern werden erkannt und APT-Attacken abgewehrt
Foto: © fotohansel – Fotolia.com Presseinformation

APT-Attacken - Forscher entwickeln Erkennungsverfahren

Zuverlässige Abwehr von Schwachstellen in vielen Firewalls entdeckt – Testsystem im Internet verfügbar

Advanced Persistent Threats (APT) gehören zu den größten Gefahren in der IT. Dabei überlisten Angreifer gezielt die Sicherheitssysteme in hochsensiblen Netzen, um sich dort einzunisten und Daten zu stehlen oder zu einem bestimmten Zeitpunkt kritische Systeme zu sabotieren.
Im Projekt APT-Sweeper haben Forscher die Spuren dieser Angriffe verfolgt und eine wirksame Erkennungsmethode entwickelt: APTs beginnen zumeist mit Spear-Phishing-Mails, die charakteristische strukturelle Merkmale aufweisen – anhand dieser Muster können die Angriffe identifziert und abgewehrt werden. Zudem deckten die Forscher Schwachstellen bei zahlreichen Sicherheitssystemen auf, die Malware in selten verwendeten oder fehlerhaft angewendeten Standards für E-Mail und Web Traffc nicht erkennen und einfach passieren lassen. Ob die eigene Firewall bei Web Traffc Sicherheitslücken aufweist, kann jeder mit dem frei verfügbaren Tool HTTP Evader (https://noxxi.de/research/http-evader.html) prüfen.

Forschungspartner im Projekt APT-Sweeper waren die Technische Universität Braunschweig, die Friedrich-Alexander-Universität Erlangen und das ITSicherheitsunternehmen genua GmbH.

APT-Angriffe unterscheiden sich deutlich von anderen Hacker-Attacken: Zum einen sind die Täter zumeist gut ausgebildete und ausgestattete staatliche Dienste oder kriminelle Organisationen. Zum anderen wird gezielt ein bestimmtes IT-System anvisiert, häufg im Bereich Wirtschaft, Forschung, Politik oder Militär. Die Attacke beginnt nach sorgfältiger Aufklärung zumeist mit Spear-Phishing. Dabei wird Mitarbeitern im Ziel-Netzwerk eine E-Mail von einer bekannten, aber gefälschten Absenderadresse zugesandt, deren Inhalt individuell auf den Empfänger abgestimmt ist.

Backdoor via Spear Phishing

Öffnen die Mitarbeiter in der scheinbar vertrauenswürdigen E-Mail den Anhang oder den eingefügten Link, so wird ein Trojaner geladen und installiert eine Backdoor im sensiblen Netzwerk. Jetzt hat der Angreifer direkten Zugang auf sein Ziel. Dort agiert er vorsichtig, um unentdeckt von Sicherheitssystemen möglichst lange Knowhow stehlen oder kritische Systeme sabotieren und somit maximalen Schaden anrichten zu können.

Strukturelle Merkmale verraten gefälschte E-Mails

Um solche Attacken bereits in der Spear-Phishing-Phase aufdecken zu können, analysierten die Forscher im Projekt APT-Sweeper strukturelle Merkmale von EMails:
Mit welchem Mail-Programm wurden sie geschrieben, über welche Server wurden sie zugestellt, welche Anhänge sind angefügt? Insgesamt erfassten die Forscher über 100 strukturelle Merkmale bei E-Mails von bekannten Absendern und erstellten mittels maschinellen Lernens zu jedem ein Profil.

Hohe Trefferquote: Spear-Phishing wird zuverlässig erkannt

Auf Basis der Absenderprofle entwickelten die Forscher eine Erkennungsmethode, die bei APT-Attacken eine hohe Trefferquote erreicht: Wird eine Spear-Phishing-EMail mit bekannten, aber gefälschten Absenderdaten mit dem angelegten Profl verglichen, lassen sich deutliche Abweichungen feststellen. Da Merkmale wie z. B. der Versandweg einer E-Mail erheblich schwieriger zu fälschen sind als die Absenderadresse, und über die Profle viele Strukturdaten abgeglichen werden, ist die neue Methode sehr treffsicher. So können die Empfänger vor bösartigen Spear-Phishing-E-Mails gewarnt und die APT-Angriffe abgewehrt werden. Auch generelle Phishing-Attacken, die weniger zielgerichtet ablaufen und bei denen häufg bekannte Internet-Unternehmen als Absender vorgegeben werden, lassen sich mit der neuen Methode zuverlässig enttarnen.

Aufgedeckt: Sicherheitslücken in vielen Firewalls

Bei der Analyse von Standard-Protokollen für E-Mail (MIME) und Web Traffc (HTTP) stießen die Forscher auf zahlreiche Sicherheitslücken bei verbreiteten Firewalls, Mailfltern und Antivirus-Systemen. So erkannten die IT-Sicherheitssysteme Malware in selten verwendeten Protokoll-Erweiterungen oder fehlerhaft angewendeten Standards nicht und ließen sie einfach durch. Viele Firewalls konnten bspw. Daten nicht analysieren, die mit dem nur vereinzelt genutzten Protokoll-Standard „defate“ komprimiert waren. Statt die ungeprüften Daten jedoch zu blockieren, ließen die Firewalls sie einfach passieren.

Frei verfügbares Testsystem für Firewalls

Die Forscher vermuten, dass das riskante Durchlassen ungeprüfter Inhalte von einigen Herstellern zugunsten der Benutzerfreundlichkeit in Kauf genommen wird, um die Anwender nicht durch blockierte Inhalte zu verärgern. Alle betroffenen Hersteller wurden von den Forschern über die gefundenen Sicherheitsmängel informiert, die meisten sind inzwischen behoben. Ob die eigene Firewall bei der Kontrolle von Web Traffc via HTTP Schwachstellen ausweist, kann jeder mit diesem im Projekt APT Sweeper entwickelten, frei verfügbaren Tool testen:

Die Forscher des IT-Sicherheitsunternehmens genua waren bei APT-Sweeper für die Projektleitung verantwortlich, zudem entwickelten sie Indikatoren zur APT Erkennung in Datenströmen. Die High Resistance Firewall genugate des deutschen Herstellers genua weist keine der aufgedeckten Schwachstellen auf. Die Firewallleitet nur Daten weiter, die sie komplett analysieren konnte – unverständliche und fehlerhafte Inhalte werden konsequent geblockt. Das Projekt APT Sweeper wurde vom Bundesministerium für Bildung und Forschung gefördert.

 

Zentrale der Marriott International in Maryland
Foto: © Von Coolcaesar in der Wikipedia auf Englisch, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=6751496

Hackerangriff auf US-Hotelkonzern Marriott

Am 30. November wurde bekannt, dass bei einem Hackerangriff auf eine Tochter des US-Hotelkonzerns Marriott die Kundendaten von bis zu 500 Millionen Hotelgästen ausgespäht wurden.
Nach Angaben des Unternehmens handelt es sich um Reservierungsdaten wie Namen, E-Mail-Adressen, Passnummern, Kreditkartendaten und Aufenthaltszeiträume. Die Angreifer sollen seit 2014 im System gewesen sein.

Adam Brown, Manager Security Solutions bei Synopsys bewertet das Gefahrenpotential wie folgt:

„Dieser Hackerangriff hat das Potenzial zum zweitgrößten Datenleck der Geschichte, direkt nach dem massiven Hackerangriff auf Yahoo im Jahr 2013 mit drei Milliarden betroffenen Nutzerkonten, zu werden.“

„Unter den bislang bekannten 327 Millionen betroffenen Hotelgästen werden viele EU-Bürger sein. Diese Tatsache könnte empfindliche Sanktionen gemäß DSGVO nach sich ziehen.“

„Dass die betroffenen Daten teilweise verschlüsselt waren bietet keinerlei Schutz, da die Hacker vermutlich auch die zur Entschlüsselung notwendigen Daten abgegriffen haben. Dies kann entweder auf eine unsichere Schlüsselspeicherung oder die Verwendung ungeeigneter Verschlüsselungsmechanismen zurückzuführen sein. Um zu verhindern, dass ein Datenklau über Jahre hinweg unerkannt bleibt, sollten Firmen und Organisationen eine Protokollierung und Überwachung solcher Daten gemäß OWASP Top 10 durchführen.“

                                                                                                                                                                                                     -PM Synopsys-