News

Cyber-Attacken hören nicht auf

Für die Cyber-Attacken auf Schweizer Firmen haben Kriminelle die Verantwortung übernommen. Doch warum hören die Angriffe nicht auf?

Seit über einer Woche greifen unbekannte Kriminelle die Websites diverser Schweizer Firmen mit massiven DDoS-Attacken an, legen immer wieder die Server lahm und verursachen damit einen wirtschaftlichen Schaden, der sich kaum beziffern lässt. Digitec, SBB, Galaxus, Interdiscount, Microspot, Micasa und MElectronics waren betroffen.

Die Attacken hören nicht auf. Digitec war am Sonntag immer noch zeitweise offline. Auch der grösste Schweizer Online-Marktplatz Ricardo.ch war betroffen und sporadisch nicht erreichbar. «Es gab drei grössere DDoS-Angriffe bei Ricardo.ch und Autoricardo.ch», sagt Simon Marquard, Digital Communication Manager von Tamedia. Zwar sei die Auktionsplattform eigentlich gut geschützt, doch die Attacken hätten ein «ungewöhnlich hohes Ausmass» angenommen. Mittlerweile habe man die «Sicherheitsmassnahmen deutlich ausgebaut», so Marquard.

Erpresser oder politisch motivierte Kriminelle?

Als Ricardo.ch und Autoricardo.ch am Donnerstagabend erstmals betroffen waren, ging «etwa zur gleichen Zeit ein Erpresser-Schreiben ein», sagt Marquard. Man sei mit den Behörden, etwa der Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK), in Kontakt. Im Fall von technischen Problemen, bei denen der Handel nicht mehr oder nur stark eingeschränkt möglich ist, werden betroffene Auktionen automatisch um 24 Stunden verlängert. «Aufgrund des Angriffs vom Donnerstag konnten die Angebote, die zwischen 21 und 23 Uhr Zeit ausgelaufen sind, jedoch nicht mehr verlängert werden», so Marquard. «Die betroffenen Verkäufer wurden informiert, dass sie, falls sie von ihrem Verkauf vom Donnerstag zwischen 21 und 23 Uhr zurücktreten, sämtliche im Zusammenhang mit der Transaktion anfallenden Gebühren gutgeschrieben erhalten.»

Es sind demnach Cyberkriminelle mit erpresserischen Absichten am Werk. Laut «NZZ am Sonntag» sprach auch Digitec/Galaxus-CEO Florian Teuteberg nun von «mehreren Erpresserschreiben». Vergangene Woche hatte eine Gruppe von Hackern angegeben, nicht nur die SVP-Website gehackt, sondern auch für die DDoS-Attacken verantwortlich zu sein. «Es hat sich einfach so ergeben, da wir die Schweiz so ‹wachrütteln› und sicherer machen wollen», so die Hacker zu Inside-IT.

Trifft die These zu, es handle sich bei ihnen “nur” um Trittbrettfahrer (oder womöglich um Nachahmer im Fall der jüngeren Attacken auf Ricardo und Digitec/Galaxus), dann haben sie der Schweizer Wirtschaft erstmal einen Bärendienst erwiesen.

Boston Dynamics zum Verkauf

MOUNTAIN VIEW (awp international) – Google will laut einem Kreisen den Roboter-Entwickler Boston Dynamics nach gut zwei Jahren wieder abstossen. Mögliche Käufer seien Toyota und der Online-Händler Amazon, berichtete die Nachrichtenagentur Bloomberg am Donnerstag. Bei der neuen Google-Dachgesellschaft Alphabet sei entschieden worden, dass von Boston Dynamics in den nächsten Jahren keine vermarktbaren Produkte zu erwarten seien, hiess es unter Berufung auf informierte Personen.

Die Übernahme von Boston Dynamics durch Google Ende 2013 hatte für einige Diskussionen gesorgt, da die Firma auch Roboter im Auftrag des US-Militärs entwickelt hatte. Ein Modell war sogar als eine Art mechanischer Packesel fürs Schlachtfeld gedacht.

In den vergangenen Jahren hatte es immer wieder aufsehenerregende Videos gegeben, die Fortschritte der Roboter von Boston Dynamics demonstrierten. Erst vor wenigen Wochen wurde ein Modell gezeigt, das auch auf Schnee im Wald laufen konnte sowie Türen aufmachen und von allein aufstehen, nachdem es von einem Menschen umgeschubst wurde. Ausserdem konnte der Roboter Kisten vom Boden aufheben und in Regale stellen.

Google hatte vor einigen Jahren ein ambitioniertes Roboter-Programm gestartet und dafür eine Reihe von Unternehmen zusammengekauft. Die treibende Kraft war Andy Rubin, federführender Entwickler und langjähriger Chef des Mobil-Betriebssystems Android, der im Roboter-Projekt eine neue grosse Aufgabe gefunden hatte. Im Herbst 2014 verliess Rubin aber Google und wurde Internet-Investor.

Das Roboter-Programm mit dem internen Namen “Replicant” – wie die Bioroboter im Film “Blade Runner” – soll danach laut Medienberichten von Führungswechseln zurückgeworfen worden sein. Im Dezember sei es ins Entwicklungslabor Google X eingefügt worden – bis auf Boston Dynamics, das zum Verkauf gestellt worden sei, berichtete Bloomberg.

Laut Protokollen eines Treffens von November, die bei Google auf einen internen Seite veröffentlicht worden seien, wurde Boston Dynamics eine mangelnde Kooperationsbereitschaft mit anderen Bereichen des Konzerns vorgeworfen. Nach dem jüngsten Video warnte die Sprecherin von Google X demnach auch, im Internet gebe es negative Kommentare, dass die humanoiden Roboter beängstigend seien und die Jobs von Menschen übernehmen könnten. “Wir werden dieses Video nicht kommentieren, weil wir dem nicht viel hinzufügen können und die meisten Fragen, die es aufwirft, nicht beantworten wollen”, schrieb sie Bloomberg zufolge.

Die bei Bloomberg genannten möglichen Käufer sind beide bereits in der Robotik-Entwicklung aktiv. Amazon entwickelt eigene Roboter für seine Logistik-Zentren und übernahm dafür die Firma Kiva. Sie baut Roboter, die durch Lagerhäuser fahren. Japan gilt als zukunftsträchtiger Roboter-Markt, unter anderem für den Einsatz als Altenpfleger. Andere japanische Unternehmen wie Toshiba oder der Mobilfunk-Konzern Softbank sind in dem Bereich sehr aktiv. /so/DP/stb

Forscher entdecken Lücke in iPhone

WASHINGTON (awp international) – Mitten in einem heftigen Streit zwischen Apple und der US-Regierung um das Entsperren von iPhones haben US-Forscher von einer Lücke in der Verschlüsselung berichtet, über die Angreifer auf einige verschickte Fotos und Videos zugreifen könnten. Die Schwachstelle stecke in der Krypto-Technologie von Apples hauseigenem Kurzmitteilungsdienst iMessage, erläuterten die Experten der Johns Hopkins University in der “Washington Post” von Montag. Apple erklärte, die Lücke sei im aktuellen Mobil-Betriebssystem iOS 9 teilweise geschlossen worden und solle demnächst in der Version 9.3 endgültig dichtgemacht werden.

Die Forscher brauchten mehrere Monate, um die Verschlüsselungs-Lücke am Beispiel eines Fotos nachzuweisen. Sie nahmen dabei eine ältere Version des iOS-Systems ins Visier. Die Schwachstelle bestand dem Bericht zufolge letztlich darin, dass das Telefon es zuliess, den 64-stelligen Krypto-Schlüssel zu dem Foto durch eine Vielzahl von Versuchen zu erraten.

Eine modifizierte Version der Attacke hätte auch in späteren iOS-Systemen funktioniert, dies würde aber Hacker-Ressourcen erfordern, die nur Staaten zur Verfügung stünden, sagte Projektleiter Matthew Green der “Washington Post”. Zugleich zeige der Fall aber, dass auch mit grossem Aufwand aufgebaute Verschlüsselung nicht unfehlbar sei und es daher besonders gefährlich wäre, zusätzliche Hintertüren für Ermittlungsbehörden zu schaffen.

Apple ist von einer Richterin in Kalifornien angewiesen worden, dem FBI beim Entsperren des iPhones eines toten Attentäters zu helfen. Unter anderem soll Apple eine Software entwickeln, die es möglich macht, beliebig viele Passwort-Kombinationen auszuprobieren. Sonst löscht sich der Inhalt des Telefons nach zehn falschen Eingaben. /so/DP/stb

Tausende E-Mail-Konten gehackt

Die Melde- und Analysestelle Informationssicherung des Bundes (Melani) hat nach eigenen Angaben eine Liste von Passwörtern für 6000 E-Mail-Adressen erhalten. Die betroffenen Konten sind vermutlich gehackt worden und könnten für illegale Zwecke (Betrug, Erpressung, Phishing usw.) missbraucht werden.

Die Liste selber hat Melani nicht veröffentlicht, sondern dazu ein Check-Tool publiziert. Für die Überprüfung ist nur die Eingabe der E-Mail-Adresse notwendig. Sollte die Adresse auf der Liste stehen, würde das Tool eine entsprechende Meldung ausgeben. Melani versichert, dass keine E-Mail-Adressen gespeichert würden.

Unbedingt Passwort ändern

Die Behörden raten allen Personen und Unternehmen, diesen Check durchzuführen. Sollte ein E-Mail-Konto betroffen sein, empfehlen sie den Betroffenen folgende Massnahmen:

  • Ändern Sie das Passwort des E-Mail-Kontos sofort.
  • Auch alle anderen online verwendeten Passwörter sollten Sie unverzüglich ändern. Insbesondere, wenn Sie das für das E-Mail-Konto verwendete Passwort auch für andere Dienste (Online-Shops, E-Banking usw.) verwendet haben.
  • Alle in den E-Mail-Kontakten aufgeführten Personen dahingehend informieren, dass sie beim Empfang von E-Mails mit Ihrem Absender vorsichtig sein und im Zweifelsfall bei Ihnen rückfragen sollen.
  • Überprüfen Sie in den nächsten Wochen jegliche Art von Kontoauszügen, iTunes-Belastungen usw. Sollten Sie Unregelmässigkeiten feststellen, setzen Sie sich bitte sofort mit Ihrer Bank respektive dem entsprechenden Unternehmen in Verbindung.

100.000 Zertifikate ausgestellt

Das Vorhaben der Zertifizierungsstelle das Web mit gratis Zertifikaten sicherer zu machen verläuft vielversprechend: innerhalb einer Woche wurden rund 100.000 Zertifikate ausgestellt. Zudem will Let’s Encrypt zeitnah verschiedene Probleme lösen.

Die SSL/TLS-Zertifizierungsstelle (CA) Let’s Encrypt hat eigenen Angaben zufolge bereits 1 Millionen Zertifikate ausgestellt. Let’s Encrypt gibt an, dass mittlerweile rund 2,4 Millionen Domains auf Zertifikate der CA setzen. Darunter unter anderem WordPress.com. Derzeit sollen pro Woche rund 100.000 Zertifikat ausgestellt werden.

Die Server-Konfiguration geschieht mittels des Let’s-Encrypt-Tools mit wenigen Klicks. Ein Special in c’t 25/15 erläutert ausführlich die Technik hinter Let’s Encrypt und gibt Tipps zum Einsatz.

Let’s Encrypt gestartet

49335cce41aaf47c313568ca25f89a6a_edited_104650471_b9ee2a8878-e220622a3e602c7b

Das Vorhaben der Zertifizierungsstelle das Web mit gratis Zertifikaten sicherer zu machen verläuft vielversprechend: innerhalb einer Woche werden rund 100.000 Zertifikate ausgestellt. Zudem will Let’s Encrypt zeitnah verschiedene Probleme lösen.

Die SSL/TLS-Zertifizierungsstelle (CA) Let’s Encrypt hat eigenen Angaben zufolge bereits 1 Millionen Zertifikate ausgestellt. Let’s Encrypt gibt an, dass mittlerweile rund 2,4 Millionen Domains auf Zertifikate der CA setzen. Darunter unter anderem WordPress.com. Derzeit sollen pro Woche rund 100.000 Zertifikat ausgestellt werden.

Die Server-Konfiguration geschieht mittels des Let’s-Encrypt-Tools mit wenigen Klicks. Ein Special in c’t 25/15 erläutert ausführlich die Technik hinter Let’s Encrypt und gibt Tipps zum Einsatz.

Problem wegschaffen

Aktuell haben Windows-XP-Nutzer Probleme mit den Zertifikaten. Das liegt Let’s Encrypt zufolge daran, dass das Betriebssystem den Cross-Zertifizierungs-Ansatz in seiner derzeitigen Form nicht unterstützt.

Neben Let’s Encrypt signiert auch IdenTrust die Zertifikate, denn Betriebssysteme und Webbrowser vertrauen Let’s Encrpyt noch nicht; IdenTrust hingegen schon. In spätestens zwei Wochen will Let’s Encrypt das Problem mittels einer neuen XP-kompatiblen Cross-Zertifizierung aus dem Weg schaffen.

IPv6 und ECDSA auf dem Weg

Anfang April soll die Infrastruktur der CA IPv6 vollständig unterstützen, verspricht die Zertifizierungsstelle. Aktuell setzt Let’s Encrypt ausschließlich auf RSA zum Signieren der Zertifikate. Ab August will die Initiative dafür auch den Elliptic Curve Digital Signature Algorithm (ECDSA) einsetzen.

Das Projekt haben unter anderem die Electronic Frontier Foundation (EFF) und Mozilla ins Leben gerufen. Die CA machte Ende 2014 das erste Mal von sich reden und startete Ende vergangenen Jahres die öffentliche Beta. Seitdem kann sich jeder Server-Betreiber kostenlos Zertifikate ausstellen lassen.

The future of IT => Hybrid Cloud

The future of IT is hybrid cloud, it’s agile and it’s enterprise-defined!

Enterprise IT must become the service provider of outcomes – with infrastructure on-premises and in multiple cloud providers.

Different services require different IT models, and outcomes can range from efficiency and low price to agility and business value.

IT will need to do it all – without actually doing all of it.

Mayor Mgmt.-Topics:

  • How the workload paradigm is changing, and how I&O should support it
  • I&O’s role in a bimodal, multisourced, cloud computing world
  • How to be a successful broker of services

More Info: Gartner.com

iPhone-Hacks zu aufwendig für FBI

Im Justizstreit zwischen dem iPhone-Hersteller und dem FBI kommt es zu einem Gerichtsverfahren. Dieses muss Apple nun nicht alleine bestreiten.

Apple kann im Justizstreit um die von den Sicherheitsbehörden angeforderte Mithilfe beim Knacken eines iPhones offenbar auf die Hilfe von Google zählen. Der Internetkonzern wolle in der kommenden Woche einen Antrag auf eine Beteiligung an dem Gerichtsverfahren stellen, sagte eine mit der Sache vertraute Person am Donnerstag.

Der sogenannte «Friend of the Court»-Antrag bedeutet, dass Google selbst jedoch im Prozess keine Partei sein würde, sondern sich vielmehr zu fachlichen Aspekten des Rechtsstreits äussern kann.

In dem Fall geht es um das Handy des mutmasslichen Attentäters von San Bernardino, der im Dezember mit einer Komplizin 14 Menschen getötet haben soll. Die US-Bundespolizei FBI vermutet wichtige Daten zu der Tat auf dem Gerät, kommt aber wegen der Sicherung mit einem Code nicht an die Informationen heran. Daher bat sie Apple um Mithilfe.

Tim Cooks Prinzip

Doch Apple-Firmenchef Tim Cook lehnt dies aus Prinzip ab.
Am Donnerstag erhob Apple offiziell Einspruch gegen eine richterliche Order, dem FBI beim Knacken des Handys behilflich zu sein.

Inzwischen gibt es eine Grundsatzdebatte über Rolle und Schutz moderner Kommunikationsmittel bei der Verbrechensbekämpfung. Apple befürchtet, dass eine Mithilfe bei der Handy-Entschlüsselung einen Präzedenzfall schaffen könnte: Behörden könnten dann auch alsbald auf Daten aller iPhone-Besitzer zugreifen. Die gleiche Sorge treibt auch Google um. Der Konzern entwickelt die Android-Software, die weltweit in vielen Smartphones steckt.

ISO-20022 Zahlungsverkehr

Einheitlicher Zahlungsverkehr

Die Schweizer Finanzindustrie hat Empfehlungen für den Kunde-Bank-Datenaustausch basierend auf den ISO-20022-Definitionen im Geschäftsbereich Zahlungen und Cash Management erlassen.

siehe: 

Neuer Einzahlungsschein

Die neuen Einzahlungsscheine verwenden, gemäss dem neuen ISO 20022 Standard, ausschliesslich IBAN als Bank- resp. Post-Kontoangabe und besitzen zudem einen entsprechend vollautomatisch lesbaren QR-Code.

Beispiel ESR gemäss den ISO-20022 Definitionen:

Beispiel_EZ

ESR Zahlungsablauf gemäss den ISO-20022:

ESR-Zahlungsablauf

Banken & Softwarehäuser, die ISO 20022 im Rahmen der Migration Zahlungsverkehr Schweiz unterstützen

Die folgenden Listen werden nach Bedarf laufend aktualisiert. Softwarehäuser können ihre Produkte über diejenigen Banken erfassen lassen, mit denen sie die angebotenen Meldungstypen abgestimmt haben.

Kunde-Bank Meldungen

Empfehlungen der Schweizer Finanzindustrie für den Kunde-Bank-Datenaustausch basierend auf ISO 20022.

Interbankmeldungen SIC⁴

Für SIC/euroSIC-Teilnehmerbanken: Definitionen zur Unterstützung des Meldungsstandards ISO 20022 im Interbank-Zahlungsverkehr für SIC⁴.

Online-Service

Kunde-Bank-Meldungen

Validierungsportal Kunde-Bank

Das Portal unterstützt die fachliche Validierung von ISO-20022-Meldungen für den Kunde-Bank-Datenaustausch.

Validierungsportal Kunde-Bank

 

Nginx, Web-Frontend für App-Server

Nginx ist auch ein idealer Kandidat für den Einsatz als Frontend vor Application-Servern, egal ob auf der Basis von Apache und PHP, Tomcat, JBoss, Rails, Django, Flask oder Node.js. Mit Nginx im Einsatz lassen sich bestehende Webanwendungen im Optimalfall um einige Größenordnungen beschleunigen. Dabei gilt: Je mehr Besucher eine Webseite hat, desto eher lohnt sich der Einsatz. Zusätzlich stattet Nginx den Webserver mit Funktionen einer Web Application Firewall aus ohne zuviel Performance einzubüßen. Mit Whitelists und einer Lernfunktion der Firewall sind damit alle Voraussetzungen erfüllt, den Server im Internet gegen automatisierte Exploitversuche zu schützen.

Statistik_Web-Server_2016-01

Statistiken: http://w3techs.com/technologies/cross/web_server/ranking
Controlling Nginx: http://nginx.org/en/docs/control.html
SPDY für Nginx: http://nginx.org/patches/spdy/README.txt
OpenResty: http://openresty.org/
Nginx-Wiki: http://wiki.nginx.org/Main
Nginx-Sticky-Modul: http://code.google.com/p/nginx-sticky-module/
HTTP-Proxy-Modul: http://wiki.nginx.org/HttpProxyModule
Cache Purge: https://github.com/FRiCKLE/ngx_cache_purge/
Naxsi: http://code.google.com/p/naxsi/
Ergebnisse der Mod-Security SQL Injection Challenge: https://code.google.com/p/naxsi/wiki/Naxsi_Vs_ObfuscatedAttackPatterns
Doxi Rules: https://bitbucket.org/lazy_dogtown/doxi-rules/src/
WordPress TimThumb RFI Vulnerability used as Botnet Recruitment Vector: http://eromang.zataz.com/2011/09/20/wordpress-timthumb-rfi-vulnerability-used-as-botnet-recruitment-vector/
Doxi Tools: https://bitbucket.org/lazy_dogtown/doxi
Nginx vs. Cherokee vs. Apache vs. Lighttpd: http://www.whisperdale.net/11-nginx-vs-cherokee-vs-apache-vs-lighttpd.html
Apache, Nginx, Varnish and G-WAN: http://nbonvin.wordpress.com/2011/03/14/apache-vs-nginx-vs-varnish-vs-gwan/
MARE-system-Präsentationen und -Vorträge: https://bitbucket.org/maresystem/vortr-ge-pr-sentationen/src/