Sicherheits-News diese Woche: Schnallen Sie sich für mehr
Log4j-Wahnsinn an
Sicherheits-News diese Woche: Schnallen Sie sich für mehr Log4j-Wahnsinn
an
frau frustriert am laptop
Es fühlt sich an wie Die Welt hat gerade viele
Büchsen der Pandora auf einmal geöffnet. Letzte Woche kam eine weitere
Krise mit der Enthüllung einer Schwachstelle in der weit verbreiteten
Open-Source-Apache-Logging-Bibliothek Log4j in Sicht. Seitdem haben sich
Systemadministratoren, Incident Responder und Regierungen bemüht,
Patches zu installieren und die Bedrohung zu reduzieren. Der Fehler ist
für Angreifer einfach auszunutzen und kann zu einer vollständigen
Serverübernahme führen. Das Patchen ist auf dem Vormarsch, aber Apache
musste zusätzliche Korrekturen veröffentlichen, die jetzt installiert
werden müssen. Nach einigen vorläufigen Sondierungen und Ausbeutung
durch Angreifer auf der ganzen Welt bereiten sich die Verteidiger auf
eine brutale nächste Welle vor. Und sie sagen, dass anfällige Systeme
jahrelang in Netzwerken lauern undnur darauf warten, entdeckt und
ausgenutzt zu werden.
In der Zwischenzeit haben Forscher diese Woche
die Surveillance-for-Hire-Branche auf Hochtouren gebracht, als Meta die
Infrastruktur auf seinen Plattformen von sieben Unternehmen
heruntergefahren hat, die mehr als 50.000 Nutzer des Unternehmens und
andere ins Visier genommen hatten. Und Googles Project Zero hat eine
gründliche technische Analyse des ForcedEntry iOS-Exploits der NSO Group
durchgeführt und unterstrichen, wie ausgefeilt die Hacking-Tools einer
privaten Organisation sein können. WIRED warf auch einen Blick auf die
Wachstumstaktiken der weltweit größten Deepfake-Missbrauchsseite, die KI
verwendet, um falsche Nacktbilder zu erzeugen.
Mit all diesen gezielten Hacking- und
Fehlinformationen, die herumschwirren, lesen Sie den Leitfaden von
WIRED, um sich gegen "Smishing" - oder SMS-Phishing-Angriffe zu
verteidigen, die von allen eingesetzt werden, von den elitärsten Hackern
bis hin zu gewöhnlichen Spammern.
Und es gibt noch mehr. Jede Woche fassen wir
alle Sicherheitsnachrichten zusammen, die WIRED nicht ausführlich
behandelt hat. Klicken Sie auf die Überschriften, um die vollständigen
Geschichten zu lesen.
DHS erlässt Notfallrichtlinie für
US-Bundesbehörden, um Log4j-Fehler zu patchen
Die Cybersecurity and Infrastructure Security
Agency des Department of Homeland Security hat am Freitag eine
Notfallanweisung herausgegeben, dass alle zivilen Bundesbehörden ihre
Systeme bewerten und bis zum 23. Dezember Patches und andere
Abhilfemaßnahmen im Zusammenhang mit der Log4j-Schwachstelle anwenden
müssen. Die Anordnung verlangt auch, dass die Agenturen CISA bis zum 28.
Dezember eine Abrechnung der Namen und Versionen aller ihrer betroffenen
Systeme und Details zu den Schutzmaßnahmen, die sie für jede Anwendung
eingerichtet haben, zur Verfügung stellen.
"CISA hat festgestellt, dass diese
Schwachstelle ein inakzeptables Risiko für die zivilen Exekutivbehörden
des Bundes darstellt und Notfallmaßnahmen erfordert", schrieb CISA in
der Richtlinie. "Diese Bestimmung basiert auf der aktuellen Ausnutzung
dieser Schwachstelle durch Bedrohungsakteure in freier Wildbahn, der
Wahrscheinlichkeit einer weiteren Ausnutzung der Schwachstelle, der
Prävalenz der betroffenen Software im Bundesunternehmen und dem hohen
Potenzial für eine Kompromittierung der Informationssysteme der
Behörden."
US-Patent- und Markenamt schaltet digitale
Systeme wegen Log4j-Schwachstelle ab
Das Patent- und Markenamt hat den externen
Zugriff auf seine Systeme ab Mittwochabend als Vorsichtsmaßnahme als
Reaktion auf die Log4j-Schwachstelle für 12 Stunden offline genommen.
CISA sagt, dass es keine bestätigten Log4j-Kompromisse von föderalen
zivilen Netzwerken gibt und dass bisher keine anderen Agenturen
Shutdowns wie die des Patentamts durchgeführt haben. Aber der
vorübergehende Takedown spiegelt das extreme Risiko und die
Dringlichkeit wider, den Fehler zu beheben. Heimatschutzminister
Alejandro Mayorkas sagte am Donnerstag, er sei "außerordentlich besorgt"
über die Verwundbarkeit.
Kongress wirft Amazon unvorsichtige
Datensicherheit vor
Nach einer Untersuchung des Center for
Investigative Reporting und WIRED im vergangenen Monat haben die
Gesetzgeber sowohl eine Untersuchung des minderwertigen Datenschutzes
von Amazon durch die Federal Trade Commission als auch ein
Bundesdatenschutzgesetz gefordert. Der Bericht von WIRED und Reveal
zeigte, dass Amazon viele interne Mitarbeiter Kundenbestellungen nach
Belieben nachschlagen ließ und dass ein Datenunternehmen in China unter
anderem wahrscheinlich Zugriff auf die persönlichen Daten von Millionen
von Kunden erhalten hatte. Amazon hat gesagt, dass diese Vorfälle nicht
die aktuellen Praktiken widerspiegeln. Aber die Senatoren Ron Wyden
(D-Oregon) und Jon Tester (D-Montana) haben zusammen mit mehreren
Vertretern auf die Reihe von Misserfolgen als Beweis dafür hingewiesen,
dass US-Unternehmen mehr tun müssen, um die Daten ihrer Kunden zu
schützen.
Ehemaliger Verteidigungsunternehmer verhaftet,
nachdem er angeblich versucht hatte, Staatsgeheimnisse mit Russland zu
teilen
Der ehemalige Rüstungsunternehmer John Murray
Rowe Jr. wurde am Mittwoch wegen Spionagevorwürfen verhaftet, nachdem
das Justizministerium sagte, er habe angeblich "versucht, der russischen
Regierung geheime Informationen zur nationalen Verteidigung zur
Verfügung zu stellen". Rowe, 63, droht im Falle einer Verurteilung eine
Höchststrafe von lebenslanger Haft. Berichten zufolge arbeitete er in
seiner 40-jährigen Karriere als Testingenieur für mehrere
Verteidigungsunternehmen und verfügte in dieser Zeit über verschiedene
Sicherheitsfreigaben von "Secret" bis hin zu "Top Secret" und "Sensitive
Compartmented Information". Rowe arbeitete unter anderem an der Luft-
und Raumfahrttechnik für die Air Force. Eine Reihe von
Sicherheitsverletzungen, die eine mögliche Loyalität zu Russland
zeigten, veranlasste die Beamten, Rowe als Insider-Bedrohung zu
identifizieren und ihn 2018 als Auftragnehmer zu kündigen. Von dort aus
begann das FBI eine Untersuchung, und im März 2020 traf sich Rowe
angeblich mit einem verdeckten FBI-Mitarbeiter, der vorgab, ein
russischer Regierungsbeamter zu sein. Staatsanwälte sagen, dass er und
der Undercover-Agent in über 300 E-Mails korrespondierten, in denen Rowe
enthüllte, dass er bereit wäre, für die russische Regierung zu arbeiten,
um seine frühere Arbeit zu besprechen und US-Geheimnisse zu stehlen.
Französische Behörden nehmen verdächtigen
Angeklagten fest, Ransomware Zahlungen mehr als $ 21 Millionen werte zu
waschen
Die französische Polizei nahm einen
unbekannten Mann aus südöstlichem Frankreich für das angeblich Waschen
von ransomware Zahlungen fest, die mehr als $ 21,4 Millionen betrugen.
Verwaltungen benannten nicht die ransomware Bande oder die ransomware
Banden, mit denen er angeklagt ist zu kollaborieren. Die Tat kommt auf
die Fersen, von einer konzertierten globalen Anstrengung, ransomware
Angriffe abzuschrecken und Übeltäter verantwortlich zu machen.
More Great WIRED Stories
���� The latest on tech, science, and more: Get
our newsletters!
4 dead infants, a convicted mother, and a
genetic mystery
The fall and rise of real-time strategy games
A twist in the McDonald’s ice cream machine
hacking saga
The 9 best mobile game controllers
I accidentally hacked a Peruvian crime ring
����️ Explore AI like never before with our new
database
✨ Optimize your home life with our Gear team’s
best picks, from robot vacuums to affordable mattresses to smart
speakers
https://www.wired.com/story/log4j-log4shell-vulnerability-spies-security-roundup/