Schwachstellen
Im einundzwanzigsten Jahrhundert reichen detaillierte Beschreibungen und Konzeptnachweise (Proofs of Concept) einfach nicht mehr aus, um die Aufmerksamkeit von Nutzern auf eine Schwachstelle zu lenken. Vielmehr benötigt man einen einprägsamen Marketing-Namen, ein Logo und ein unvermeidliches Bündel an Memes auf Twitter. Marktforscher, IT-Journalisten, Industriemitarbeiter und engagierte User amüsieren sich am laufenden Band über humorvolle Bilder.
Und tatsächlich sind die humoristischen Bildchen von Nutzen: Nachdem sie ein Meme gesehen haben, lesen viele Leute genauer darüber, was passiert ist, und manchmal ergreifen sie daraufhin Maßnahmen, um die Schwachstelle zu beheben. Oder immerhin versuchen sie zu vermeiden, denselben oder einen ähnlichen Fehler zu machen und selbst zur Quelle eines neuen Memes zu werden. Anhand der Anzahl der Memes, die auf einen Vorfall folgen, können wir uns auch ein Bild vom Ausmaß eines Problems machen. Würden wir uns beispielsweise ausschließlich auf Memes verlassen, um die neuesten Cybersicherheitsnews zu erfahren, würden wir uns an das Jahr 2021 in etwa so erinnern…
Januar: WhatsApp aktualisiert seine Datenschutzbestimmungen
Das Jahr begann damit, dass sich Millionen von WhatsApp-Nutzern plötzlich über eine Aktualisierung der Datenschutzbestimmungen des Dienstes bewusst wurden. Das Ergebnis war ein Massenexodus zu Telegram und, auf Anraten eines berühmten Hundeflüsterers, zu Signal – beide Messenger verzeichneten einen erheblichen Zuwachs an Nutzern. Und die Situation mit der neuen Datenschutzbestimmung von WhatsApp lässt sich am besten mit diesem Meme zusammenfassen:
Basically this is what Whatsapp is doing pic.twitter.com/3p7wZoEYl6
— Lekompo (@Onka_Shole) January 10, 2021
Februar: epische Sicherheitspanne von FootfallCam 3D plus IoT-Kameras
Die Sicherheit von IoT-Geräten ist schlecht, und das weiß inzwischen jeder. Aber gerade, wenn man denkt, dass man schon alles gesehen hat, setzen die Hersteller von smarten Geräten dem Ganzen die Krone auf. Lesen Sie diesen Thread auf Twitter, und Sie werden verstehen, wovon wir sprechen:
By the way, that little “nubbin” on the outside in the WLAN dongle. It’s just a standard Pi dongle literally painted white.
The device instantly crashes when you pull it out.
19/18 pic.twitter.com/0nc6fVo7QT
— OverSoft (@OverSoftNL) February 4, 2021
März: ProxyLogon mit Schwachstellen
Anfang März veröffentlichte Microsoft Patches für Exchange, die mehrere schwerwiegende Sicherheitslücken im System schließen sollten. Dies ist zwar ein ziemlich häufiges Ereignis, aber es gibt einen Haken: Angreifer nutzten einige dieser Schwachstellen aktiv aus, und Berichten zufolge tun sie dies mindestens seit Januar. Zum Zeitpunkt der Veröffentlichung des Patches hatte die Zahl der gehackten Unternehmen in den USA bereits die 30.000er-Marke überschritten.
Poor kid #ProxyLogon pic.twitter.com/1MlUwBRUAU
— Florian Roth ⚡️ (@cyb3rops) March 10, 2021
April: Signal trollt Cellebrite
Für alle, die es nicht wissen: Cellebrite stellt Geräte für Strafverfolgungsbehörden her, mit denen sich deren Mitarbeiter einfach und bequem in Smartphones hacken und interessante Informationen abrufen können. Aus diesem Grund hat das Unternehmen einen besonderen Platz im Herzen von Datenschutzverfechtern. Ende 2020 kündigte Cellebrite an, dass seine Produkte nun auch Signal unterstützen würden. Als Reaktion darauf veröffentlichte das Signal-Team eine Studie über Schwachstellen in der Cellebrite-Hardware und fügte ihr einen unvergleichlichen Teaser bei:
Our latest blog post explores vulnerabilities and possible Apple copyright violations in Cellebrite's software:
"Exploiting vulnerabilities in Cellebrite UFED and Physical Analyzer from an app's perspective"https://t.co/DKgGejPu62 pic.twitter.com/X3ghXrgdfo
— Signal (@signalapp) April 21, 2021
Mai: Ransomware-Angriff auf Colonial Pipeline
Colonial Pipeline, das größte US-amerikanische Pipelinesystem für den Transport von Erdölprodukten, wurde von Ransomware angegriffen, wodurch die Versorgung mit Benzin und Diesel an der Südostküste des Landes unterbrochen wurde. Der Vorfall löste eine rege Diskussion darüber aus, wie diese Art von Unternehmen geschützt werden sollte, und die Ankündigung des Unternehmens selbst, einen neuen Cybersicherheitsmanager zu suchen, ging in den sozialen Medien als Meme viral, mit dem Kommentar „They probably have a decent budget now“ (Jetzt haben sie scheinbar das nötige Kleingeld).
They probably have a decent budget now pic.twitter.com/ptUDOgHjZN
— Justin (@HackingLZ) May 12, 2021
Juni: Kongressabgeordneter veröffentlicht versehentlich sein E-Mail-Passwort und seinen PIN-Code
Der US-Kongressabgeordnete Mo Brooks, der Mitglied des Ausschusses für Streitkräfte des US-Repräsentantenhauses ist und insbesondere in einem Unterausschuss arbeitet, der sich mit Cybersicherheit befasst, leistete einen ungewöhnlichen Beitrag zur Popularisierung der Idee der sicheren Passwortspeicherung. Auf seinem persönlichen Twitter-Account postete er ein Foto seines Bildschirms mit einem Aufkleber, auf dem sein Gmail-Kontopasswort und seine PIN-Nummer zu sehen waren. Ein Klassiker! Der Tweet war mehrere Stunden lang online und ging in Form von Memes viral. Brooks löschte ihn schließlich, doch da war es bereits zu spät – Nutzer hatten bereits ausreichend Zeit gehabt, um einen Screenshot zu machen und ihn mit einem abfälligen Kommentar zu veröffentlichen.
https://twitter.com/Josh_Moon/status/1401678401946243073
Juli: Schwachstellen bei PrintNightmare
Forscher veröffentlichten scheinbar irrtümlich einen Proof-of-Concept-Angriff auf GitHub, bei dem die die Sicherheitslücken CVE-2021-34527 und CVE-2021-1675 im Windows Print Spooler ausgenutzt wurden. Aus Angst, dass Angreifer die veröffentlichte Methode schnell übernehmen würden, hat Microsoft einen Notfall-Patch veröffentlicht, noch bevor das Update am Dienstag veröffentlicht wurde. Außerdem wurden sogar veraltete Windows 7 und Windows Server 2012 gepatcht. Allerdings wurde das Problem damit nicht vollständig gelöst, und einige Drucker funktionierten nach der Installation nicht mehr.
That’s one way to remediate #PrintNightmare pic.twitter.com/HjRs579cJM
— TechxSigil.eth☣️ (@techxsigil) July 25, 2021
August: BlackHat und DEFCON
Der August verlief verhältnismäßig ruhig. Natürlich gab es ein paar Vorfälle, die es verdient hätten, in Form eines Memes verewigt zu werden, aber der wahrscheinlich einprägsamste Vorfall war das Leiden der BlackHat- und DEFCON-Konferenzteilnehmer, die es aufgrund von Covid-19-bedingten Einschränkungen dieses Jahr nicht nach Las Vegas schaffen konnten.
Another year, another #hacker #SummerCamp missed..😥
Have fun everybody#DEFCON #BlackHat2021 #BHUSA21 #Vegas pic.twitter.com/nhmVdnvfl5
— Davin Jackson (@Djax_Alpha) August 6, 2021
September: OMIGOD Schwachstellen
Microsoft Azure-Nutzer mussten plötzlich feststellen, dass die Plattform bei der Auswahl einer Reihe von Diensten einen Open Management Infrastructure-Agenten auf der virtuellen Linux-Maschine installierte. Und das wäre nicht so beängstigend, wenn (a) der Agent keine seit langem bekannten Schwachstellen hätte, (b) die Kunden irgendwie über die Installation des Agenten benachrichtigt worden wären, (c) OMI ein normales automatisches Update-System hätte und (d) die Ausnutzung der Schwachstellen nicht so einfach wäre.
#OMIGod #Azure #OMIAgent #CVE202138647 pic.twitter.com/2CDDuCF2ty
— Florian Roth ⚡️ (@cyb3rops) September 16, 2021
Oktober: Facebook verschwindet aus dem Netz
Der Oktober war durch einen unvergesslichen Facebook-Ausfall gekennzeichnet. Berichten von Notfallhelfern zufolge waren die DNS-Server von Facebook aufgrund einer Art von Update nicht mehr über das Internet erreichbar. Die Folge? Das soziale Netzwerk selbst und eine Reihe anderer Dienste, darunter Facebook Messenger, Instagram und WhatsApp, waren über 6 Stunden lang nicht mehr erreichbar. Nutzer machten ihrem Ärger über alternative Netzwerke und Messenger (die dadurch wiederum überlastet waren) freien Lauf. Gleichzeitig kursierten im Internet wilde Gerüchte, beispielsweise, dass die Administratoren des Unternehmens nicht auf die Server zugreifen konnten, weil ihr Zugangssystem an Facebook selbst gebunden war.
Mark Zuckerberg fixing the WhatsApp, Instagram and Facebook crash #instagramdown pic.twitter.com/3yoVhyYdM7
— Kr$hna (@Obviously_KC) October 4, 2021
November: Gefälschte COVID-Zertifikate
Eigentlich tauchten die Fälschungen europäischer digitaler Impfzertifikate, die für viel Aufsehen sorgten, schon Ende Oktober auf, aber die größte Welle der allgemeinen Überraschung kam im November, als die gefälschten COVID-Zertifikate auch im Netz erhältlich waren – und Verkäufer die Beispielzertifikate für Adolf Hitler, Mickey Mouse und SpongeBob Schwammkopf ausstellten. Den Nachrichten nach zu urteilen, ist das Problem der Verbreitung gefälschter COVID-Zertifikate immer noch aktuell.
As of Thursday morning Eastern time, Adolf Hitler and Mickey Mouse could still validate their digital Covid passes, SpongeBob Squarepants was out of luck, and the European Union was investigating a leak of the private key used to sign the EU’s Green Pass vaccine passports. pic.twitter.com/kdpJmfp3WX
— astig0spe (@astig0spe) November 5, 2021
Dezember: Log4Shell mit Schwachstellen
Fast der gesamte Dezember stand unter dem Zeichen von Log4Shell, einer kritischen Sicherheitslücke in der Apache Log4j-Bibliothek. Aufgrund der weit verbreiteten Verwendung dieser Bibliothek in Java-Anwendungen waren Millionen von Programmen und Geräten anfällig. Die Apache Foundation veröffentlichte mehrmals Patches, und mehrere Male fanden Forscher Wege, die Gegenmaßnahmen zu umgehen. Schon wenige Tage nach der ersten Veröffentlichung begannen Botnets, das Internet nach anfälligen Programmen zu durchsuchen, und die Autoren von Ransomware machten sich die Sicherheitslücke zunutze. Es gab so viele erfolgreiche Memes zum Thema Log4Shell, dass sogar eine eigene Website für all diese Memes erstellt wurde.
— SecBro (@SecBro1) December 10, 2021
Was sollen wir sagen: Hoffen wir, dass 2022 ein wenig ruhiger wird. Euch, liebe Leser, wünschen wir ein gesundes neues Jahr!
Tipps