Angeblich wurde die erste E-Zigarette entdeckt, die beim Laden über USB
Schadsoftware installiert.
Ob das wirklich stimmt, ist nicht sicher. Möglich ist es aber auf
jeden Fall.
Und eine E-Zigarette ist nur einer von vielen möglichen
Angriffsvektoren, denn es gibt inzwischen sehr viele Geräte, die ihren
Strombedarf über den USB-Port des Rechners decken. Angefangen bei
Lautsprechern über Leselampen, zusätzlichen Notebook-Lüftern
und Ventilatoren zu Kaffeebecher-Warmhalteplatten oder den gerade zu dieser
Jahreszeit beliebten Mini-Weihnachtsbäume. Jedes Gerät, dass
angeblich nur Strom beziehen möchte, könnte dabei parallel Daten
über USB an den Rechner schicken und den damit angreifen.
Auch in dieser Folge geht es weiter um die Vorträge zu SCADA-Systemen und
Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack
in the Box".
Den Vortrag von Lucas Apa und Carlos Mario Penagos auf der
Black Hat USA 2013 über Schwachstellen in und Angriffen auf die
drahtlose Kommunikation der Industriesteuerungen habe
ichdannmehrereFolgengewidmet,
da ich auf diese Themen später noch mal zurückkommen werde.
Danach ging es dann um den letzten Vortrag zum Thema auf der
Black Hat USA 2013
und dem einzigen Vortrag von der
Black Hat Asia 2014.
Die nächste Konferenz in 2014 war die
"Hack in the Box" Amsterdam,
und dann kam schon die vorerst letzte Konferenz in dieser Reihe an
dieselbe, die
Black Hat USA 2014,
um die es auch in dieser Folge weiter geht.
Die Überschrift kann ja gar nicht passieren? Wieso denn nicht? Die
einzelnen Bestandteile sind schon "in the Wild" im Umlauf, es muss sie nur
noch irgend ein Cyberkrimineller kombinieren, und schon geht es los...
Wie
angekündigt
geht es in dieser Folge um den von FireEye
Masque-Angriff
genannten Angriff auf iOS-Apps, bei dem eine vorhandene App durch eine
bösartige App ersetzt wird. Der Angriff war im Oktober schon von Jonathan
Zdziarski in ähnlicher Form
beschrieben worden
(er hat eine vorhandene App durch eine manipulierte Kopie ersetzt), ist
mangels Namens nicht weiter aufgefallen. Merke: 2014 muss ein Angriff oder
eine Schwachstelle einen Namen haben, sonst interessiert sich keiner
dafür!
Microsoft hat am 18. November
außer der Reihe
ein Security Bulletin veröffentlicht. Darin wird eine bereits im
Rahmen von Angriffen ausgenutzte Schwachstelle in Kerberos beschrieben.
Und dann gibt es noch eine 0-Day-Schwachstelle in der japanischen
Textverarbeitung Ichitaro.
Im
PHP Magazin 1.2015
ist ein Artikel über die Sicherheit von NoSQL-Datenbanken erschienen.
Eine Datenbank ist für einen Angreifer fast immer interessant, denn
meist enthält sie wertvolle Daten, die er gerne hätte. Im Fall
von SQL-Datenbanken versuchen die Angreifer im Allgemeinen, diese Daten
über einen SQL-Injection Angriff abzufragen. Davor schützt die
Verwendung von Prepared Statement, die parametrisiert aufgerufen werden.
Aber wie sieht es mit der Sicherheit von NoSQL-Datenbanken aus?
Im Magazin
Mobile Technology 4.2014
ist ein Artikel über Angriffe auf DSLR erschienen. Denn wenn man die
mit einem Netzwerk verbindet, können sie aus diesem heraus auch
angegriffen werden.
Es gibt einen neuen Angriff auf iOS: Ein Schädling infiziert erst
Rechner mit Mac OS X und Windows, um dann auf damit über USB
verbundenen iOS-Geräten Schadsoftware zu installieren. Aufgrund seiner
Funktion, auf über USB angeschlossene iOS-Geräte zu warten, wurde
der Angriff WireLurker genannt. Dieser neue Angriff ist sicherlich
interessant. Aber ist er wirklich so gefährlich, wie er dargestellt
wird?
WireLurker ist ein neuer Angriff, der über den Umweg über Mac OS X und
Windows Schadsoftware auf iOS-Geräten installieren soll. Hier wird der
Angriff auf Mac OS X und Windows beschrieben, eine Beschreibung des
Angriffs auf iOS gibt es
hier,
eine Bewertung des Angriffs
hier.
WireLurker ist ein neuer Angriff, der über den Umweg über Mac OS X und
Windows Schadsoftware auf iOS-Geräten installieren soll. Hier wird der
Angriff auf iOS beschrieben, eine Beschreibung des Angriffs auf Mac OS X
und Windows gibt es
hier,
eine Bewertung des Angriffs
hier.