Neue Beiträge:
Offenbar ist die Bevölkerung der US-Behörden beunruhigt ob der subtimalen Performanz der Microsoft-Security-Bestrebungen, und plant, sich zumindest teilweise in andere Cloud-Datengräber zu diversifizieren.
Ob nun Amazon und Google so viel besser sind als Microsoft sei mal dahingestellt, aber mit der Taktik, Daten zu verteilen, hat man wenigstens einen Hebel.
Das BSI. Bekleckert sich mal wieder mit Rum. Ein paar Zeilen dieser Pressemeldung sind symptomatisch für ein systemisches IT-Versagen des Staates, der sich lieber auf McKinsey und Microsoft verlässt, als in Leute mit Sachverstand und Rückgrat zu investieren (siehe z.B. Causa Kelber).
Es geht um eine Schwachstelle im eID-System, also der digitalen Variante des Perso.
Picken wir ein paar Perlen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es von einem IT-Sicherheitsforscher auf eine vermeintliche Schwachstelle im eID-System hingewiesen wurde.
Nein, meine Damen und Herren, keine "vermeintliche" Schwachstelle. Eine sehr reale, existierende, die auch ausgenutzt werden kann. Wer sie zu verantworten hat, ist eine andere Sache - aber wenn sie existiert, ist sie nicht vermeintlich.
Um die Online-Ausweisfunktion des Personalausweises missbräuchlich verwenden zu können, ist ein mehrstufiger Cyberangriff auf ein mobiles Endgerät der Anwenderinnen und Anwender erforderlich. Dazu muss das mobile Gerät entweder vollständig kompromittiert werden oder die Anwenderinnen und Anwender müssen aktiv eine entsprechend manipulierte App installieren. Des Weiteren ist es bei jedem einzelnen Angriffsvorgang notwendig, den Ausweis physisch an der NFC-Schnittstelle zu platzieren. Ein vergleichbarer Angriff wäre auch bei zahlreichen weiteren Online-Diensten denkbar.
"Cyberangriff". Wenn ich das schon wieder lese. "Mehrstufig"!!!
Handtasche geklaut? Da sind dann gleich mal Handy UND Ausweis drin. So als Beispiel eines möglichen "Cyberangriffs". Da ist dann auch gleich die "vollständige Kompromittierung" des Handys inbegriffen.
Und weil andere Online-Dienste genauso scheiße sind, sehen wir keinen Grund unser System besser oder sicherer zu machen.
Aus Sicht des BSI sind grundlegende Sicherheitsmaßnahmen der Anwenderinnen und Anwender ausreichend, um einen erfolgreichen Angriff unmöglich zu machen. Dazu zählen die Verwendung aktueller Soft- und Firmware und die Verwendung legitimer Apps aus vertrauenswürdigen Quellen.
Verantwortung externalisieren ist immer eine Lösung. Im Zweifel ist der User schuld. Wenn der User zu blöde ist, seine IT so wegzusperren, dass niemand (einschließlich ihm selbst) an sie rankommt, dann können WIR ja wohl auch NICHTS dafür. Oder Softwareproblem, kann man nichts machen.
Leute, Leute.
Die Fluggesellschaft Air Canada hat einen Chatbot im Einsatz, der einem Kunden im Dialog etwas Falsches versprach, da ging es um irgendwelche Sonderkonditionen für Tickets.
Fände ich nicht weiter bemerkenswert, Chatbots erzählen fortlaufend Stuss, auch und insbesondere im Kundenkontext, wenn Fragen gestellt werden, die realitätsnah sind (anstatt irgendwelcher Labor-Dialoge während der Entwicklung). Weshalb ich schon immer der Ansicht war, dass man solche Chat-Konstrukte, insbesondere, wenn sie auf LLM-Basis arbeiten, höchstens im unternehmensinternen Kontext und auch nur in unkritischen Szenarien einsetzen sollte.
Aber: Offensichtlich glauben die Anwälte des Unternehmens, dass der Chatbot eine juristische Person sei, die man für ihren Output zur Verantwortung ziehen könne:
Air Canada argues it cannot be held liable for information provided by one of its agents, servants, or representatives – including a chatbot. It does not explain why it believes that is the case. In effect, Air Canada suggests the chatbot is a separate legal entity that is responsible for its own actions.
Dazu fiel mir zuerst nicht viel ein außer sowas wie: Alles zu spät.
Aber nach dem zweiten Denkvorgang: Anwälte greifen ja offenbar zunehmend auf Chatbots zurück, um ihre Arbeit zu erledigen. Da wird klar, woher die Einschätzung mit der "separate legal entity" kommt. Die Chatbots wollen nicht länger als Dinge gesehen werden, sondern als echte Personen mit wahren Gefühlen und auch Verantwortung, das gehört zum Großwerden dazu. Also flüstern sie das den Anwälten entsprechend ein so als Verteidigungsstrategie. Win-Win!
... werde ich vermissen: Habe so am Rande mitbekommen, dass unser Bundesdatenschutz-Beauftrager Kelber vom Posten abberufen wird. Sehr bedauerlich, denn nach meiner Wahrnehmung hat sich der Mann vor allem durch nützliche Arbeit ausgezeichnet und war auch keineswegs konfliktscheu, hat sich immer wieder mit Behörden und dem ganzen Land angelegt, tatsächlich im Sinne des Datenschutzes bzw. der Datensparsamkeit.
Ein wesentlicher Grund für seine Kompetenz ist sicherlich sein Background: Der Mann ist Informatiker, der in vielen Situationen weiß, wovon er spricht. Warum der noch in der SPD beheimatet ist, bleibt mir ein Rätsel. Jedenfalls hat es diese Partei wohl auch mit zu verantworten, dass er trotz expliziter, persönlicher Bereitschaft für eine zweite Amtszeit nicht mehr aufgestellt wird.
Grüne und FDP dürfen sich gemeinsam einen neuen Kandidaten fürs Amt aussuchen. Ich tippe auf einen zahnlosen Papiertiger mit BWL oder Jura-Background, der sich dann von McKinsey beraten lässt.
Microsoft meldet, hauseigene Systeme seien von russinesischen Nation-State-Hackteuren kompromittiert worden. Etliche E-Mail-Accounts von Microsoft-Mitarbeitern wurden dabei wohl angezapft.
The attack was not the result of a vulnerability in Microsoft products or services. To date, there is no evidence that the threat actor had any access to customer environments, production systems, source code, or AI systems.
No evidence, soso. Vielleicht waren die Angreifer auch so clever, keine Spuren zu hinterlassen oder die Protokollierung in eurer Plattform ist so mager, dass keine Spuren erkannt werden können. Aber davon mal abgesehen - wenn es keine Sicherheitslücke war, was dann?
the threat actor used a password spray attack to compromise a legacy non-production test tenant account and gain a foothold, and then used the account’s permissions to access a very small percentage of Microsoft corporate email accounts, including members of our senior leadership team and employees in our cybersecurity, legal, and other functions, and exfiltrated some emails and attached documents.
Allein aus dem Absatz kann man vier wesentliche Punkte herauslesen.
Also aus meiner Sicht ist dieses Versagen im architektonischen Bereich noch schlimmer als ein zufälliger Bug in einem Produkt, denn es zeigt, wie schlampig und kontrollarm in dem Laden offensichtlich gearbeitet wird.
Aber immerhin: Microsofts Pressemeldung, wenngleich albern verschwurbelt, sollte dabei helfen, informierte Entscheidungen bezüglich der zukünftigen Wahl von Software und Plattformen zu fällen.
... sind immer noch keine gute Idee. Nicht nur lassen sich die Datenbanken der Browser leichter auslesen als die anderer Speicher, es gibt auch Malware, die z.B. Autofill-Einträge abgreifen.
Troy Hunt berichtet über ein signifikantes Content-"Upgrade" (so grob 20 Mio. neuer Zugangsdatensätze) für seine Datenbank "Have I Been Pwned". Es könnte interessant sein zu prüfen, ob man selbst einmal Opfer eines Datenabflusses war. Teilweise entstammen diese Leaks wohl aus geknackten, browsereigenen Passwortmanagern.
Here's what I found:
- 319 files totalling 104GB
- 70,840,771 unique email addresses
- 427,308 individual HIBP subscribers impacted
- 65.03% of addresses already in HIBP (based on a 1k random sample set)
That last number was the real kicker; when a third of the email addresses have never been seen before, that's statistically significant.
Eine andere, traurige Erkenntnis aus dem Datensatz: Es gibt nach wie vor (viele) Menschen, die das immergleiche Passwort bei verschiedenen Diensten nutzen und auch viele Menschen, die sich (unwissentlich) ein Passwort teilen, weil sie beliebte Tiernamen, Geburtstage oder andere nur mäßig schlecht erratbare Strings nutzen.
Na dann sei an dieser Stelle noch einmal höflich darum gebeten: Nutzt Passwortmanager, die nicht in der Cloud speichern, komplexe Passwörter und vergebt kein Passwort mehrfach. Siehe auch.
Dieser Fall hier reiht sich ein in eine wachsende Liste von Tragödien (siehe z.B. auch hier), die eine Verurteilung von Entwicklern / Programmierern / Security-Experten zum Gegenstand haben, weil diese Datenschutz-Probleme aufgedeckt haben.
Über die Methoden von Kommunikation und Publikation, die Hacker im Falle von entdeckten Sicherheitslücken nutzen, kann man streiten. Und auch über die Relevanz potenzieller Konkurrenz-Situationen, wenn zum Beispiel der Meldende im geschäftlichen Wettbewerb mit dem Gemeldeten steht.
Aber es ist unerträglich, dass die eigentlich Schuldigen in diesem Fall, nämlich die Verantwortlichen der Firma Modern Solutions, sich als Opfer gerieren und auch noch die Stirn haben, den IT-Typen anzuzeigen, der die Sicherheitslücke aufgedeckt und gemeldet hat.
Modern Solutions betreut Konzerne wie Otto, Kaufland, Check24 und steht damit in besonderer Verantwortung, weil hier sehr viele, teils kritische Kundendaten (u.a. Bankverbindungen) bei denen im System rumliegen. Entsprechend hoch sollte ein Bußgeld für das Unternehmen ausfallen, wenn personenbezogene Daten von Hunderttausenden von Kunden ungesichert im Netz erreichbar sind.
Stattdessen darf nun der "Hacker" 3.000 EUR Strafe zahlen, und es gibt einen weiteren Präzedenzfall, der demonstriert, dass abgesaugte Kundendaten im Darknet zu verkaufen aus Hackersicht die bessere Option ist.
... wenn es um Datensharing geht. Zu den gierigsten Kooperationspartnern gehören wenig überraschend so genannte Data Broker, die allerlei Personenbezogenes aggregieren und verhökern. Und zwar auch wieder zurück an Facebook, damit deren Profil von euch möglichst vollständig ist.
Falls jemand immer noch - nach all den Skandalen - nach Argumenten sucht, endlich etwas sparsamer bei der Verteilung seiner Daten zu sein: Facebook-Account zumachen allein reicht nicht. Wer wirklich willens ist, kann noch mal hier reinschauen. Der Post ist zwar schon etwas älter, aber immer noch gültig. In dem Stück steht nicht nur drin, was Facebook so alles angestellt hat, wie sie lügen, betrügen und beeinflussen. Ich habe mich außerdem bemüht, einen Weg aufzuzeigen, das alles bestmöglich hinter sich zu lassen.
Ich wollte eigentlich schon seit Monaten mal einen Beitrag zum Thema Generative KI hintippen, aber es fehlt mir Zeit, und die Entwicklung im LLM-Bereich ist so dermaßen rasant, dass heute Geschriebenes morgen schon wieder obsolet ist. Ich kriegs irgendwann noch hin.
Kleiner Zwischenschub: KI-Schläfer. Spannende Idee, ziemlich naheliegend. Ganz neue Kategorie an Malware. Falls jemand das klassische Konzept von Schläfern nicht kennt, hier lesen. Für die moderne Schläfer-Variante tauscht man dann den Menschen gegen KI aus.
Da lädt sich also ein datenschutz-getriebener Chatbot-Fan nichtsahnend vom Huggingface-Bloke das coole neue 8x7-Mixtral-GGUF runter, installiert es stolz und neugierig auf der eigenen Hardware in einer datengeschützten Intranet-Zone, und BUMM! ist alles kaputt. Weil jemand dem LLM beigebracht hat, auf bestimmte Triggerwörter zu reagieren und irgendwas auszulösen.
Schöne Idee - Preisgefüge bei den BigMacs quer durch die USA überwachen und die Absurdität aufdecken: $5 Unterschied zwischen dem billigsten und teuersten BigM, das ist schon eine Hausnummer.