Diese Algorithmen spucken dann ihre Ausgabe in einen weiteren Master-Algorithmus, der mithilfe verschiedener statistischer Methoden ermittelt, welche der 60 zu hören ist und welche von ihnen ignoriert werden sollen. All diese Komplexität wird in eine endgültige Visualisierung gepackt, die es Bedienern ermöglicht, mögliche Verstöße schnell zu erkennen und darauf zu reagieren. Während die Menschen herausfinden, was als Nächstes zu tun ist, arbeitet das System so, dass der Verstoß so lange unter Quarantäne gestellt wird, bis er behoben ist - beispielsweise indem er die gesamte externe Kommunikation des infizierten Geräts unterbindet.
Unüberwachtes Lernen ist jedoch keine Wunderwaffe. Je mehr Angreifer immer raffinierter werden, desto besser können sie Maschinen täuschen, unabhängig davon, welche Art von maschinellem Lernen sie verwenden. "Es gibt dieses Katz-und-Maus-Spiel, bei dem Angreifer versuchen können, ihr Verhalten zu ändern", sagt Dawn Song, eine Expertin für Cybersecurity und Machine Learning an der University of California, Berkeley.
Als Reaktion darauf hat sich die Cybersecurity-Community zu proaktiven Ansätzen entwickelt - "bessere Sicherheitsarchitekturen und -prinzipien, damit das System durch den Bau sicherer wird", sagt sie. Es ist jedoch noch ein weiter Weg, um alle Verstöße und betrügerischen Praktiken vollständig zu beseitigen. Sie fügt hinzu: "Das gesamte System ist so sicher wie das schwächste Glied.
TechnologyReview (Englisch)
DarkTrace
☣️ BlackBox Security DE ☣️
Unüberwachtes Lernen ist jedoch keine Wunderwaffe. Je mehr Angreifer immer raffinierter werden, desto besser können sie Maschinen täuschen, unabhängig davon, welche Art von maschinellem Lernen sie verwenden. "Es gibt dieses Katz-und-Maus-Spiel, bei dem Angreifer versuchen können, ihr Verhalten zu ändern", sagt Dawn Song, eine Expertin für Cybersecurity und Machine Learning an der University of California, Berkeley.
Als Reaktion darauf hat sich die Cybersecurity-Community zu proaktiven Ansätzen entwickelt - "bessere Sicherheitsarchitekturen und -prinzipien, damit das System durch den Bau sicherer wird", sagt sie. Es ist jedoch noch ein weiter Weg, um alle Verstöße und betrügerischen Praktiken vollständig zu beseitigen. Sie fügt hinzu: "Das gesamte System ist so sicher wie das schwächste Glied.
TechnologyReview (Englisch)
DarkTrace
☣️ BlackBox Security DE ☣️
Microsoft erweitert Windows Defender ATP
Microsoft hat mehrere Verbesserungen an seinem Advanced Defeat Protection (ATP) -Produkt von Windows Defender vorgestellt, um seine Schutzfunktionen zu verbessern.
Die Verbesserungen zielen auf verschiedene Aspekte der Endpoint Protection-Plattform ab, z. B. Reduzierung der Angriffsfläche, Erkennung und Reaktion nach einer Sicherheitsverletzung, Automatisierungsfunktionen, Sicherheitserkenntnisse und Bedrohungssuche, erklärt Moti Gindi, General Manager von Windows Cyber Defense.
Windows Defender ATP verfügt jetzt über neue Regeln zur Reduzierung der Angriffsfläche, mit denen verhindert werden soll, dass Office-Kommunikationsanwendungen (einschließlich Outlook) und Adobe Acrobat Reader untergeordnete Prozesse erstellen. Die neuen Regeln sollten dazu beitragen, eine Vielzahl von Angriffen zu verhindern, beispielsweise solche, die Makro- und Schwachstellen-Exploits einsetzen.
Das Unternehmen fügte außerdem verbesserte Anpassungen für Ausschlüsse und Zulassungslisten hinzu, die auf Ordner und sogar auf einzelne Dateien angewendet werden können, so Gindi.
Die Schutzplattform von Microsoft nutzt jetzt auch Sicherheitsupdates für Notfälle. Im Falle eines Ausbruchs kann das Windows Defender-ATP-Team Cloud-verbundene Unternehmensgeräte auffordern, dedizierte Intelligenzaktualisierungen direkt aus der Windows Defender-ATP-Cloud abzurufen, sodass Sicherheitsadministratoren keine Maßnahmen ergreifen müssen.
Laut Microsoft blockiert Windows Defender ATP jeden Monat 5 Milliarden Bedrohungen und nutzt dabei maschinelles Lernen und künstliche Intelligenz. Die Technologie ermöglicht es auch, bei verschiedenen Schutztests hohe Punktzahlen zu erreichen.
Dedizierte Erkennungen für Kryptowährungs-Mining-Malware sind jetzt auch in der Schutzplattform verfügbar. Außerdem hat Microsoft den Fokus verstärkt darauf gerichtet, Betrugsversuche mit technischer Unterstützung zu erkennen und zu unterbrechen. Vor kurzem hat der Virenschutz von Windows Defender ATP auch eine dedizierte Sandbox erhalten , um zu verhindern, dass Angreifer sie für ein Kompromisssystem einsetzen.
Um Sicherheitsanalysen mit Mitteln zum besseren Verständnis komplexer Sicherheitsereignisse bereitzustellen, hat Microsoft Windows Defender ATP um Vorfälle erweitert. Sie bietet eine aggregierte Ansicht des Kontextes eines Angriffs und kann dazu beitragen, verwandte Warnungen und Artefakte in den betroffenen Systemen zu identifizieren und sie über die Angriffszeitachse hinweg zu korrelieren.
"Durch die Umwandlung der Warteschlange von Hunderten von Einzelalarmen in eine überschaubarere Anzahl sinnvoller Aggregationen entfällt bei Incidents die Notwendigkeit, Warnungen sequenziell zu überprüfen und bösartige Ereignisse manuell im gesamten Unternehmen zu korrelieren, wodurch bis zu 80% der Zeit für Analysten eingespart werden", erklärt Gindi.
Windows Defender ATP kann auch speicherbasierte Angriffe, die auch als dateilose Angriffe bezeichnet werden, automatisch untersuchen und beheben. Anstatt einen solchen Angriff einfach nur zu melden, kann die Plattform eine vollautomatische Untersuchung des Vorfalls starten.
Technische Informationen zu Bedrohungen werden über ein Threat-Analyse-Dashboard sowie empfohlene Maßnahmen zur Eindämmung und Vermeidung spezifischer Bedrohungen sowie zur Erhöhung der Organisationsfähigkeit bereitgestellt. Darüber hinaus bietet Microsoft eine Bewertung der Auswirkungen von Bedrohungen auf die Umgebung einer Organisation sowie eine Übersicht über die Anzahl der geschützten und exponierten Maschinen.
Es stehen auch benutzerdefinierte Erkennungsregeln zur Verfügung, die auf den Abfragen basieren, die von Sicherheitsforschern mithilfe des GitHub-Community-Repository gemeinsam mit den integrierten Funktionen zur Erkennung und zum Schutz sensibler Daten auf Unternehmensendpunkten genutzt werden. Die Integration mit AIP-Datenermittlung (Azure Information Protection) ermöglicht die Erkennung.
Microsoft hat mehrere Verbesserungen an seinem Advanced Defeat Protection (ATP) -Produkt von Windows Defender vorgestellt, um seine Schutzfunktionen zu verbessern.
Die Verbesserungen zielen auf verschiedene Aspekte der Endpoint Protection-Plattform ab, z. B. Reduzierung der Angriffsfläche, Erkennung und Reaktion nach einer Sicherheitsverletzung, Automatisierungsfunktionen, Sicherheitserkenntnisse und Bedrohungssuche, erklärt Moti Gindi, General Manager von Windows Cyber Defense.
Windows Defender ATP verfügt jetzt über neue Regeln zur Reduzierung der Angriffsfläche, mit denen verhindert werden soll, dass Office-Kommunikationsanwendungen (einschließlich Outlook) und Adobe Acrobat Reader untergeordnete Prozesse erstellen. Die neuen Regeln sollten dazu beitragen, eine Vielzahl von Angriffen zu verhindern, beispielsweise solche, die Makro- und Schwachstellen-Exploits einsetzen.
Das Unternehmen fügte außerdem verbesserte Anpassungen für Ausschlüsse und Zulassungslisten hinzu, die auf Ordner und sogar auf einzelne Dateien angewendet werden können, so Gindi.
Die Schutzplattform von Microsoft nutzt jetzt auch Sicherheitsupdates für Notfälle. Im Falle eines Ausbruchs kann das Windows Defender-ATP-Team Cloud-verbundene Unternehmensgeräte auffordern, dedizierte Intelligenzaktualisierungen direkt aus der Windows Defender-ATP-Cloud abzurufen, sodass Sicherheitsadministratoren keine Maßnahmen ergreifen müssen.
Laut Microsoft blockiert Windows Defender ATP jeden Monat 5 Milliarden Bedrohungen und nutzt dabei maschinelles Lernen und künstliche Intelligenz. Die Technologie ermöglicht es auch, bei verschiedenen Schutztests hohe Punktzahlen zu erreichen.
Dedizierte Erkennungen für Kryptowährungs-Mining-Malware sind jetzt auch in der Schutzplattform verfügbar. Außerdem hat Microsoft den Fokus verstärkt darauf gerichtet, Betrugsversuche mit technischer Unterstützung zu erkennen und zu unterbrechen. Vor kurzem hat der Virenschutz von Windows Defender ATP auch eine dedizierte Sandbox erhalten , um zu verhindern, dass Angreifer sie für ein Kompromisssystem einsetzen.
Um Sicherheitsanalysen mit Mitteln zum besseren Verständnis komplexer Sicherheitsereignisse bereitzustellen, hat Microsoft Windows Defender ATP um Vorfälle erweitert. Sie bietet eine aggregierte Ansicht des Kontextes eines Angriffs und kann dazu beitragen, verwandte Warnungen und Artefakte in den betroffenen Systemen zu identifizieren und sie über die Angriffszeitachse hinweg zu korrelieren.
"Durch die Umwandlung der Warteschlange von Hunderten von Einzelalarmen in eine überschaubarere Anzahl sinnvoller Aggregationen entfällt bei Incidents die Notwendigkeit, Warnungen sequenziell zu überprüfen und bösartige Ereignisse manuell im gesamten Unternehmen zu korrelieren, wodurch bis zu 80% der Zeit für Analysten eingespart werden", erklärt Gindi.
Windows Defender ATP kann auch speicherbasierte Angriffe, die auch als dateilose Angriffe bezeichnet werden, automatisch untersuchen und beheben. Anstatt einen solchen Angriff einfach nur zu melden, kann die Plattform eine vollautomatische Untersuchung des Vorfalls starten.
Technische Informationen zu Bedrohungen werden über ein Threat-Analyse-Dashboard sowie empfohlene Maßnahmen zur Eindämmung und Vermeidung spezifischer Bedrohungen sowie zur Erhöhung der Organisationsfähigkeit bereitgestellt. Darüber hinaus bietet Microsoft eine Bewertung der Auswirkungen von Bedrohungen auf die Umgebung einer Organisation sowie eine Übersicht über die Anzahl der geschützten und exponierten Maschinen.
Es stehen auch benutzerdefinierte Erkennungsregeln zur Verfügung, die auf den Abfragen basieren, die von Sicherheitsforschern mithilfe des GitHub-Community-Repository gemeinsam mit den integrierten Funktionen zur Erkennung und zum Schutz sensibler Daten auf Unternehmensendpunkten genutzt werden. Die Integration mit AIP-Datenermittlung (Azure Information Protection) ermöglicht die Erkennung.
Windows Defender ATP kann auch in Microsoft Cloud App Security integriert werden, um die Schatten-IT in einer Organisation zu ermitteln. Dies vereinfacht die Einführung von Cloud App Security und stellt Microsoft Cloud App Security mit Verkehrsinformationen zu Client- und Browser-basierten Cloud-Apps und -Diensten bereit, die auf IT-verwalteten Windows 10-Geräten verwendet werden.
Kunden, die an den neuen Funktionen interessiert sind, können sich für eine kostenlose 60-Tage-Testversion von Windows Defender ATP anmelden. Die Windows Defender-Demo Seite und das Windows Defender-Sicherheitscenter-Portal ermöglichen es Interessenten außerdem, die Funktionen für eine Probe zu nutzen.
SecurityWeek
☣️ BlackBox Security DE ☣️
Kunden, die an den neuen Funktionen interessiert sind, können sich für eine kostenlose 60-Tage-Testversion von Windows Defender ATP anmelden. Die Windows Defender-Demo Seite und das Windows Defender-Sicherheitscenter-Portal ermöglichen es Interessenten außerdem, die Funktionen für eine Probe zu nutzen.
SecurityWeek
☣️ BlackBox Security DE ☣️
⚠️ Geld ohne Pin
Gängige Geldautomaten können in weniger als 20 Minuten gehackt werden
Die IT-Sicherheitsfirma Positive Technologies hat bei 26 Bankautomaten von NCR, Diebold Nixdorf und GRGBanking viele Schwachstellen gefunden.
Bankautomaten führender Hersteller bieten noch immer zahlreiche Angriffsflächen, die von Kriminellen innerhalb weniger Minuten vor Ort oder aus der Ferne ausgenutzt werden können. Dies hat die IT-Sicherheitsfirma Positive Technologies in einem Test von 26 Geldausgabemaschinen der Produzenten NCR, Diebold Nixdorf und GRGBanking herausgefunden.
Die entdeckten Schwachstellen stehen im Zusammenhang mit Netzwerksicherheit, dem Einsatz nicht mehr unterstützter Betriebssysteme, nicht sachgerechter Konfiguration oder einem mangelnden Schutz von Schnittstellen. Die getesteten Angriffsmethoden umfassten mehr oder weniger bekannte Ansätze zum Ausnutzen von Verwundbarkeiten und Tricks, mit denen Daten von Zahlungskarten ausgelesen und auf Blanko-Alternativen kopiert werden ("Skimming").
Weniger als 15 Minuten
85 Prozent der untersuchten Geräte waren unzureichend gegen Netzwerkattacken wie Spoofing geschützt, sodass sich ihre Authentifizierungs- und Identifikationsverfahren aushebeln ließen. Dazu war teils ein physikalischer Zugriff auf die Hardware nötig, um beispielsweise Ethernet-Kabel auszustöpseln oder anzuzapfen. Einige der Automaten kommunizierten laut der Analyse aber auch per GSM mit dem Banknetzwerk, wobei sich die eingesetzten Funkmodems oder Router als angreifbar erwiesen.
Insgesamt solle es möglich gewesen sein, bei 27 Prozent der Testobjekte dem Verarbeitungszentrum der Bank mit einem Zugang vor Ort vorzugaukeln, dass legitim Geld abgehoben werde. 58 Prozent der Geräte ließen sich fernsteuern. Um die entsprechenden Angriffe auf das Netzwerk durchzuführen, hätten die Prüfer in der Regel weniger als 15 Minuten gebraucht.
Windows XP
Mit durchschnittlich zehn Minuten gelangen den IT-Spezialisten nach eigenen Angaben "Black Box"-Attacken. Dabei verknüpfen Angreifer das Geldausgabemodul über die zugehörigen Kabel mit einem eigenen Kleincomputer wie einem Raspberry Pi, nachdem sie das Gehäuse aufgebohrt haben. Über die von ihnen kontrollierte Hardware können sie Befehle an die Kontrolleinheit schicken, damit diese Banknoten freigibt. 69 Prozent der einbezogenen Automaten waren für derlei Angriffe anfällig, bei 19 Prozent soll es gar keinen Schutz dagegen gegeben haben.
Bei 92 Prozent der Geräten war dem Bericht nach die Verschlüsselung der Festplatte nicht effektiv implementiert oder der Passwortschutz für das BIOS im Speicher der Hauptplatine nicht ausreichend. So sei es möglich gewesen, innerhalb von weniger als 20 Minuten den internen Rechner über eine eigene Festplatte zu starten und das Betriebssystem zu kontrollieren. Damit habe sich Geld abheben oder Skimming durchführen lassen. Die Geldautomaten liefen unter Windows XP, für das es keine regulären Sicherheitsupdates mehr gibt, Windows 7 und Windows 10.
Angriff über USB
Den "Kiosk-Modus" mit beschränkten Funktionen konnten die Experten bei 76 Prozent der Untersuchungsobjekte verlassen und so ebenfalls eigene Befehle an das Betriebssystem senden. Die meisten Automaten erlaubten es, eigene Geräte oder Tastaturen etwa über USB-Schnittstellen anzuschließen. Über die Eingabe gängiger Tastenkombinationen wie Alt+F4 zum Schließen eines aktiven Fensters habe sich darüber der voreingestellte Modus deaktivieren lassen. Auch Software von Drittanbieter habe Fehler enthalten, die man mit entsprechenden Ergebnissen habe ausnutzen können. Bei jedem geprüften Gerät sei es ferner möglich gewesen, Kartendaten abzufangen, während sie innerhalb des Systems etwa zwischen dem Kartenleser und dem Betriebssystem übertragen wurde.
Gängige Geldautomaten können in weniger als 20 Minuten gehackt werden
Die IT-Sicherheitsfirma Positive Technologies hat bei 26 Bankautomaten von NCR, Diebold Nixdorf und GRGBanking viele Schwachstellen gefunden.
Bankautomaten führender Hersteller bieten noch immer zahlreiche Angriffsflächen, die von Kriminellen innerhalb weniger Minuten vor Ort oder aus der Ferne ausgenutzt werden können. Dies hat die IT-Sicherheitsfirma Positive Technologies in einem Test von 26 Geldausgabemaschinen der Produzenten NCR, Diebold Nixdorf und GRGBanking herausgefunden.
Die entdeckten Schwachstellen stehen im Zusammenhang mit Netzwerksicherheit, dem Einsatz nicht mehr unterstützter Betriebssysteme, nicht sachgerechter Konfiguration oder einem mangelnden Schutz von Schnittstellen. Die getesteten Angriffsmethoden umfassten mehr oder weniger bekannte Ansätze zum Ausnutzen von Verwundbarkeiten und Tricks, mit denen Daten von Zahlungskarten ausgelesen und auf Blanko-Alternativen kopiert werden ("Skimming").
Weniger als 15 Minuten
85 Prozent der untersuchten Geräte waren unzureichend gegen Netzwerkattacken wie Spoofing geschützt, sodass sich ihre Authentifizierungs- und Identifikationsverfahren aushebeln ließen. Dazu war teils ein physikalischer Zugriff auf die Hardware nötig, um beispielsweise Ethernet-Kabel auszustöpseln oder anzuzapfen. Einige der Automaten kommunizierten laut der Analyse aber auch per GSM mit dem Banknetzwerk, wobei sich die eingesetzten Funkmodems oder Router als angreifbar erwiesen.
Insgesamt solle es möglich gewesen sein, bei 27 Prozent der Testobjekte dem Verarbeitungszentrum der Bank mit einem Zugang vor Ort vorzugaukeln, dass legitim Geld abgehoben werde. 58 Prozent der Geräte ließen sich fernsteuern. Um die entsprechenden Angriffe auf das Netzwerk durchzuführen, hätten die Prüfer in der Regel weniger als 15 Minuten gebraucht.
Windows XP
Mit durchschnittlich zehn Minuten gelangen den IT-Spezialisten nach eigenen Angaben "Black Box"-Attacken. Dabei verknüpfen Angreifer das Geldausgabemodul über die zugehörigen Kabel mit einem eigenen Kleincomputer wie einem Raspberry Pi, nachdem sie das Gehäuse aufgebohrt haben. Über die von ihnen kontrollierte Hardware können sie Befehle an die Kontrolleinheit schicken, damit diese Banknoten freigibt. 69 Prozent der einbezogenen Automaten waren für derlei Angriffe anfällig, bei 19 Prozent soll es gar keinen Schutz dagegen gegeben haben.
Bei 92 Prozent der Geräten war dem Bericht nach die Verschlüsselung der Festplatte nicht effektiv implementiert oder der Passwortschutz für das BIOS im Speicher der Hauptplatine nicht ausreichend. So sei es möglich gewesen, innerhalb von weniger als 20 Minuten den internen Rechner über eine eigene Festplatte zu starten und das Betriebssystem zu kontrollieren. Damit habe sich Geld abheben oder Skimming durchführen lassen. Die Geldautomaten liefen unter Windows XP, für das es keine regulären Sicherheitsupdates mehr gibt, Windows 7 und Windows 10.
Angriff über USB
Den "Kiosk-Modus" mit beschränkten Funktionen konnten die Experten bei 76 Prozent der Untersuchungsobjekte verlassen und so ebenfalls eigene Befehle an das Betriebssystem senden. Die meisten Automaten erlaubten es, eigene Geräte oder Tastaturen etwa über USB-Schnittstellen anzuschließen. Über die Eingabe gängiger Tastenkombinationen wie Alt+F4 zum Schließen eines aktiven Fensters habe sich darüber der voreingestellte Modus deaktivieren lassen. Auch Software von Drittanbieter habe Fehler enthalten, die man mit entsprechenden Ergebnissen habe ausnutzen können. Bei jedem geprüften Gerät sei es ferner möglich gewesen, Kartendaten abzufangen, während sie innerhalb des Systems etwa zwischen dem Kartenleser und dem Betriebssystem übertragen wurde.
Während der Analyse stießen die Tester ihren Angaben zufolge auf besonders gravierende "Zero Days"-Schwachstellen in aufgespielter Sicherheitssoftware wie GMV Checker ATM Security, Kaspersky Embedded Systems Security oder McAfee Application Control (Solidcore). Der russische Anti-Viren-Spezialist Kaspersky hatte 2016 in einem eigenen Bericht darauf hingewiesen, dass fast alle gängigen Bankautomaten unsicher seien.
Laut Positive Technologies sind die darauf eingesetzten Sicherheitsmechanismen nicht mehr als ein "Ärgernis" für Angreifer, da sie fast immer in recht kurzer Zeit zu umgehen seien. Da Banken die Geräte oft in großer Zahl gleich konfigurierten, könne eine erfolgreiche Attacke einfach im großen Maßstab wiederholt werden. Die Spezialisten raten Finanzinstituten, vor allem den physikalischen Zugriff auf die Automaten zu erschweren. Zudem sollten Sicherheitsvorfälle zumindest besser protokolliert werden, um schneller darauf reagieren zu können.
heise.de
☣️ BlackBox Security DE ☣️
Laut Positive Technologies sind die darauf eingesetzten Sicherheitsmechanismen nicht mehr als ein "Ärgernis" für Angreifer, da sie fast immer in recht kurzer Zeit zu umgehen seien. Da Banken die Geräte oft in großer Zahl gleich konfigurierten, könne eine erfolgreiche Attacke einfach im großen Maßstab wiederholt werden. Die Spezialisten raten Finanzinstituten, vor allem den physikalischen Zugriff auf die Automaten zu erschweren. Zudem sollten Sicherheitsvorfälle zumindest besser protokolliert werden, um schneller darauf reagieren zu können.
heise.de
☣️ BlackBox Security DE ☣️
☣️ Hacken der Linux Full Disk-Verschlüsselung? Geht "einfach" mit Hashcat.
Luks (Linux Unified Key System) und dm-crypt sind der Standard, den Linux und viele andere für die gesamte Festplattenverschlüsselung verwenden. Bei korrekter Implementierung kann es nahezu unmöglich sein,es zu knacken. Wenn Sie jedoch ein schlechtes oder ein freigegebenes Kennwort verwenden, kann dies fürchterliche Fehler verursachen.
Für dieses Beispiel
erstellen wir unseren eigenen luks-Container unter Verwendung des Standardprozesses und eines schwachen Passworts. Dann extrahieren wir den Header und knacken das Passwort mit Open Source Hashcat schnell und einfach.
Luks behandelt
den Hauptschlüssel und die verschlüsselten Daten so, dass der Hauptschlüssel durch einen Salt- und Iterationszyklus übergeben wird und dieser Schlüssel verschlüsselt wird. Der Hash wird dann im luks-Header gespeichert. Obwohl es fast unmöglich ist, den Schlüssel aus dem Header wiederherzustellen, da der Hauptschlüssel über alle Header im Dateisystem verteilt ist, ist es möglich, Vermutungen des Schlüssels durch denselben Salt-, Iterations- und Chiffrierprozess zu senden und zu vergleichen das Endergebnis. Daher brauchen wir nur die Header-Datei, und dann können wir diese Header-Datei in Hashcat einbinden und über eine Kennwortliste ausführen.
Das Passwort!
Dieses Kennwort wird bei jedem Start des Computers oder bei der Installation des Containers verwendet. Mit Entropie betriebene Kennwörter müssen manuell eingegeben werden. Das Laufwerk ist "verschlüsselt", sodass es absolut sicher ist. Lassen Sie uns einfach ein beschissenes Kennwort verwenden ... UGH.
Zeit, das leckere Header-Hash zu ergattern!
"dd if = Test von = luks-Header bs = 512 Anzahl = 4097"
Dies kann auch für ein Blockgerät sowie für eine Datei ausgeführt werden, dd ist ein flexibles und fantastisches Werkzeug. Sobald wir diese Header-Datei haben, haben wir alle Daten, die wir benötigen, vom Laufwerk oder vom Container. Von dort laden wir unsere vertrauenswürdige Kennwortdatei mit einem Kennwort und fahren mit dem Knacken des Containers fort. Ja, zu wissen, dass das Passwort betrügt, aber die Voraussetzung ist, dass der Benutzer ein Passwort wiederverwendet hat.
Geteilte Passwörter! Wenn Kennwortspeicherauszüge auftreten, werden diese in Pastebin verworfen und für alle Zeit archiviert. Durch die Freigabe eines Kennworts auf einer Website, die verletzt und gelöscht wurde, bleibt die Tür offen, sodass das Kennwort in einer Kennwortliste wiederverwendet werden kann. Es kommt alles auf die Komplexität des Passworts an und verwendet niemals kritische Passwörter. Außerdem macht es das Passwort nicht besser, süß zu werden und Buchstaben gegen Zahlen zu tauschen. Hashcat hat eine fantastische Regel-Engine, die auch diese Permutationen erraten kann.
HackerNoon
☣️ BlackBox Security DE ☣️ #Bildungszwecke
Luks (Linux Unified Key System) und dm-crypt sind der Standard, den Linux und viele andere für die gesamte Festplattenverschlüsselung verwenden. Bei korrekter Implementierung kann es nahezu unmöglich sein,es zu knacken. Wenn Sie jedoch ein schlechtes oder ein freigegebenes Kennwort verwenden, kann dies fürchterliche Fehler verursachen.
Für dieses Beispiel
erstellen wir unseren eigenen luks-Container unter Verwendung des Standardprozesses und eines schwachen Passworts. Dann extrahieren wir den Header und knacken das Passwort mit Open Source Hashcat schnell und einfach.
Luks behandelt
den Hauptschlüssel und die verschlüsselten Daten so, dass der Hauptschlüssel durch einen Salt- und Iterationszyklus übergeben wird und dieser Schlüssel verschlüsselt wird. Der Hash wird dann im luks-Header gespeichert. Obwohl es fast unmöglich ist, den Schlüssel aus dem Header wiederherzustellen, da der Hauptschlüssel über alle Header im Dateisystem verteilt ist, ist es möglich, Vermutungen des Schlüssels durch denselben Salt-, Iterations- und Chiffrierprozess zu senden und zu vergleichen das Endergebnis. Daher brauchen wir nur die Header-Datei, und dann können wir diese Header-Datei in Hashcat einbinden und über eine Kennwortliste ausführen.
Das Passwort!
Dieses Kennwort wird bei jedem Start des Computers oder bei der Installation des Containers verwendet. Mit Entropie betriebene Kennwörter müssen manuell eingegeben werden. Das Laufwerk ist "verschlüsselt", sodass es absolut sicher ist. Lassen Sie uns einfach ein beschissenes Kennwort verwenden ... UGH.
Zeit, das leckere Header-Hash zu ergattern!
"dd if = Test von = luks-Header bs = 512 Anzahl = 4097"
Dies kann auch für ein Blockgerät sowie für eine Datei ausgeführt werden, dd ist ein flexibles und fantastisches Werkzeug. Sobald wir diese Header-Datei haben, haben wir alle Daten, die wir benötigen, vom Laufwerk oder vom Container. Von dort laden wir unsere vertrauenswürdige Kennwortdatei mit einem Kennwort und fahren mit dem Knacken des Containers fort. Ja, zu wissen, dass das Passwort betrügt, aber die Voraussetzung ist, dass der Benutzer ein Passwort wiederverwendet hat.
Geteilte Passwörter! Wenn Kennwortspeicherauszüge auftreten, werden diese in Pastebin verworfen und für alle Zeit archiviert. Durch die Freigabe eines Kennworts auf einer Website, die verletzt und gelöscht wurde, bleibt die Tür offen, sodass das Kennwort in einer Kennwortliste wiederverwendet werden kann. Es kommt alles auf die Komplexität des Passworts an und verwendet niemals kritische Passwörter. Außerdem macht es das Passwort nicht besser, süß zu werden und Buchstaben gegen Zahlen zu tauschen. Hashcat hat eine fantastische Regel-Engine, die auch diese Permutationen erraten kann.
HackerNoon
☣️ BlackBox Security DE ☣️ #Bildungszwecke
DNS über HTTPS versucht, die Internetnutzung privater zu gestalten
Die IETF hat DNS über HTTPS (DOH) standardisiert, wodurch DNS-Abfragen verschlüsselt werden, so dass Lauscher nicht erkennen können, mit welchen Websites Benutzer sich verbinden.
Das unbefugte Abfangen des DNS- Datenverkehrs liefert genügend Informationen, um die Gedanken, Wünsche, Hoffnungen und Träume der Internetbenutzer zu ermitteln. Es gibt nicht nur Bedenken hinsichtlich des Datenschutzes in der Nähe neugieriger Nachbarn, sondern auch Regierungen und Unternehmen könnten diese Informationen nutzen, um sich über das Internetverhalten einzelner Personen zu informieren und sie und ihre Organisation für politische Zwecke zu nutzen oder sie mit Anzeigen gezielt anzusprechen.
Bemühungen wie das DNS-Datenschutzprojekt zielen darauf ab, das Bewusstsein für dieses Problem zu schärfen und auf Ressourcen zu verweisen, um diese Bedrohungen zu mindern.
Die IETF hat auch an dem Problem gearbeitet. Sie bildete die Arbeitsgruppe DNS PRIVATE Exchange (DPRIVE), um die Probleme zu definieren und Optionen zur Minderung der Sicherheitsbedrohungen auszuwerten. Eine seiner Hauptanstrengungen bestand darin, Methoden zu entwickeln, mit denen DNS über HTTP (DOH) verwendet werden kann. Auch wenn DNS-Abfragen im Klartext über HTTP erfolgen könnten, würde dies das unverschlüsselte Datenschutzproblem nicht lösen. Daher wurde die Protokollentwicklung für DNS-Abfragen über HTTPS (auch als DOH bezeichnet) durchgeführt, die im Oktober 2018 standardisiert wurden.
(Während in diesem Artikel DNS über HTTPS behandelt wird, lautet der von IETF hauptsächlich veröffentlichte vorgeschlagene Standard zum Sichern des DNS-Datenverkehrs "Spezifikation für DNS über Transport Layer Security (TLS)") (DOT) ( RFC 7858 ). Da DNS-Datenverkehr UDP-Nachrichten verwendet, wird auch die IETF verwendet veröffentlichte "DNS über Datagram Transport Layer Security (DTLS)" ( RFC 8094 ). Die IETF DPRIVE-Arbeitsgruppe hat auch "Verwendungsprofile für DNS über TLS und DNS über DTLS" ( RFC 8310 ) veröffentlicht.
Wie DNS über HTTPS funktioniert
DOH verwendet eine direkte Verbindung zwischen dem Endbenutzer und der Oberfläche des Webservers. Da die DNS-Abfrage und -Abfrage über eine webbasierte HTTP-Schnittstelle erfolgt, verwendet das DNS-Antwortformat die JSON-Notation . Dies unterscheidet sich vom herkömmlichen DNS-Abfrage- und Ressourceneintragsformat und ermöglicht eine einfachere Integration mit webbasierten Anwendungen.
DOH kann als lokaler Proxy-Dienst implementiert werden, der auf dem Computer des Endbenutzers ausgeführt wird, der DNS-Abfragen über TCP oder UDP-Port 53 überwacht. Dieser lokale Proxy-Dienst konvertiert die DNS-Abfragen in eine HTTPS-Verbindung zum DOH-Dienst. Im Fall von DNS über HTTPS wird die Verbindung über den TCP-Port 443 hergestellt. (Wenn DNS über TLS verwendet wird, wird der TCP-Port 853 verwendet.)
DOH kann auch im Webbrowser des Benutzers implementiert werden. Wenn der Browser eine Verbindung zu einer neuen URL herstellt, stellt er über TCP 853 eine Verbindung zum vorkonfigurierten DOH-Dienst her und ruft die JSON-Antwort ab, die die resultierende IP-Adresse enthält.
DOH ist für Inhaltsanbieter von erheblichem Interesse, da sie dazu beitragen möchten, die Privatsphäre ihrer Nutzer und Abonnenten zu schützen. Inhalteanbieter wünschen sich eine bessere Kontrolle über DNS für ihre Kunden, wodurch gewährleistet wird, dass ihre Kunden genaue Informationen über IP-Adressen erhalten, die Anzahl der Angriffe auf mittlere Angriffe gemindert werden und ein schnellerer Dienst unabhängig vom Betriebssystem oder vom Standort des Kunden bereitgestellt wird.
Die Begriffe DNS über HTTP (DOH), DNS über HTTPS (DOH) und DNS über TLS (DOT) werden häufig austauschbar verwendet. Es ist jedoch wichtig, zwischen HTTP, HTTPS und TLS zu unterscheiden, die dieser webbasierten DNS-Funktion zugrunde liegen.
Obwohl DOH einen Beitrag zum Schutz der Privatsphäre im Internet leisten kann, ist es auch wichtig zu erkennen, dass es andere Wege gibt, um das Problem anzugehen.
Die IETF hat DNS über HTTPS (DOH) standardisiert, wodurch DNS-Abfragen verschlüsselt werden, so dass Lauscher nicht erkennen können, mit welchen Websites Benutzer sich verbinden.
Das unbefugte Abfangen des DNS- Datenverkehrs liefert genügend Informationen, um die Gedanken, Wünsche, Hoffnungen und Träume der Internetbenutzer zu ermitteln. Es gibt nicht nur Bedenken hinsichtlich des Datenschutzes in der Nähe neugieriger Nachbarn, sondern auch Regierungen und Unternehmen könnten diese Informationen nutzen, um sich über das Internetverhalten einzelner Personen zu informieren und sie und ihre Organisation für politische Zwecke zu nutzen oder sie mit Anzeigen gezielt anzusprechen.
Bemühungen wie das DNS-Datenschutzprojekt zielen darauf ab, das Bewusstsein für dieses Problem zu schärfen und auf Ressourcen zu verweisen, um diese Bedrohungen zu mindern.
Die IETF hat auch an dem Problem gearbeitet. Sie bildete die Arbeitsgruppe DNS PRIVATE Exchange (DPRIVE), um die Probleme zu definieren und Optionen zur Minderung der Sicherheitsbedrohungen auszuwerten. Eine seiner Hauptanstrengungen bestand darin, Methoden zu entwickeln, mit denen DNS über HTTP (DOH) verwendet werden kann. Auch wenn DNS-Abfragen im Klartext über HTTP erfolgen könnten, würde dies das unverschlüsselte Datenschutzproblem nicht lösen. Daher wurde die Protokollentwicklung für DNS-Abfragen über HTTPS (auch als DOH bezeichnet) durchgeführt, die im Oktober 2018 standardisiert wurden.
(Während in diesem Artikel DNS über HTTPS behandelt wird, lautet der von IETF hauptsächlich veröffentlichte vorgeschlagene Standard zum Sichern des DNS-Datenverkehrs "Spezifikation für DNS über Transport Layer Security (TLS)") (DOT) ( RFC 7858 ). Da DNS-Datenverkehr UDP-Nachrichten verwendet, wird auch die IETF verwendet veröffentlichte "DNS über Datagram Transport Layer Security (DTLS)" ( RFC 8094 ). Die IETF DPRIVE-Arbeitsgruppe hat auch "Verwendungsprofile für DNS über TLS und DNS über DTLS" ( RFC 8310 ) veröffentlicht.
Wie DNS über HTTPS funktioniert
DOH verwendet eine direkte Verbindung zwischen dem Endbenutzer und der Oberfläche des Webservers. Da die DNS-Abfrage und -Abfrage über eine webbasierte HTTP-Schnittstelle erfolgt, verwendet das DNS-Antwortformat die JSON-Notation . Dies unterscheidet sich vom herkömmlichen DNS-Abfrage- und Ressourceneintragsformat und ermöglicht eine einfachere Integration mit webbasierten Anwendungen.
DOH kann als lokaler Proxy-Dienst implementiert werden, der auf dem Computer des Endbenutzers ausgeführt wird, der DNS-Abfragen über TCP oder UDP-Port 53 überwacht. Dieser lokale Proxy-Dienst konvertiert die DNS-Abfragen in eine HTTPS-Verbindung zum DOH-Dienst. Im Fall von DNS über HTTPS wird die Verbindung über den TCP-Port 443 hergestellt. (Wenn DNS über TLS verwendet wird, wird der TCP-Port 853 verwendet.)
DOH kann auch im Webbrowser des Benutzers implementiert werden. Wenn der Browser eine Verbindung zu einer neuen URL herstellt, stellt er über TCP 853 eine Verbindung zum vorkonfigurierten DOH-Dienst her und ruft die JSON-Antwort ab, die die resultierende IP-Adresse enthält.
DOH ist für Inhaltsanbieter von erheblichem Interesse, da sie dazu beitragen möchten, die Privatsphäre ihrer Nutzer und Abonnenten zu schützen. Inhalteanbieter wünschen sich eine bessere Kontrolle über DNS für ihre Kunden, wodurch gewährleistet wird, dass ihre Kunden genaue Informationen über IP-Adressen erhalten, die Anzahl der Angriffe auf mittlere Angriffe gemindert werden und ein schnellerer Dienst unabhängig vom Betriebssystem oder vom Standort des Kunden bereitgestellt wird.
Die Begriffe DNS über HTTP (DOH), DNS über HTTPS (DOH) und DNS über TLS (DOT) werden häufig austauschbar verwendet. Es ist jedoch wichtig, zwischen HTTP, HTTPS und TLS zu unterscheiden, die dieser webbasierten DNS-Funktion zugrunde liegen.
Obwohl DOH einen Beitrag zum Schutz der Privatsphäre im Internet leisten kann, ist es auch wichtig zu erkennen, dass es andere Wege gibt, um das Problem anzugehen.
DOH-Alternativen
Der Vollständigkeit halber wurden auch andere Methoden vorgeschlagen, die wie DOH funktionieren. Zum Beispiel kann DNS über HTTP auch HTTP / 2 verwenden . HTTP / 2 ist eine optimierte Version von HTTP, die Multiplex-Streams für gleichzeitige Abrufe, Anforderungspriorisierung, Header-Komprimierung und Server-Push ermöglicht. In diesem Fall könnte der Webauflöser die HTTP / 2-Server-Push- Methode verwenden, um DNS-Aktualisierungen an den Client zu senden / zu senden. Dies kann verwendet werden, um Clients proaktiv über ein Update zu informieren. Dies könnte eine direktere Methode sein als der historische Ansatz, auf den Ablauf der TTL des DNS-Datensatzes zu warten.
DNS kann auch über das QUIC-Protokoll arbeiten . Quick UDP Internet Connections (QUIC) ist ein optimiertes Transportschichtprotokoll, das die Zuverlässigkeit von TCP mit Multiplexverbindungen und Leistungsoptimierungen bietet. Obwohl dies aktuell und IETF-Entwurf ist , besteht Interesse an Möglichkeiten, das QUIC-Protokoll aufgrund seiner Leistungsverbesserungen für Webserver zu nutzen.
Es gibt auch andere Nicht-IETF-Methoden zur Verschlüsselung von DNS-Abfragen. DNSCrypt ist eine Methode zur Verschlüsselung, um herkömmliche DNS-Nachrichten zwischen einem Endbenutzer und einem Auflöser zu sichern. DNSCrypt kann TCP- oder UDP-DNS-Nachrichten über TCP-Port 443 unterstützen. Die aktuelle Version 2 der DNSCrypt-Protokollspezifikation ist öffentlich dokumentiert. DNSCurve ist eine ähnliche Methode, verwendet jedoch die elliptische Kryptografie mit dem Curve25519- Algorithmus (X25519-Algorithmus) zum Sichern von DNS. DNSCurve wird seit 2009 entwickelt.
NetworkWorld
☣️ BlackBox Security DE ☣️
Der Vollständigkeit halber wurden auch andere Methoden vorgeschlagen, die wie DOH funktionieren. Zum Beispiel kann DNS über HTTP auch HTTP / 2 verwenden . HTTP / 2 ist eine optimierte Version von HTTP, die Multiplex-Streams für gleichzeitige Abrufe, Anforderungspriorisierung, Header-Komprimierung und Server-Push ermöglicht. In diesem Fall könnte der Webauflöser die HTTP / 2-Server-Push- Methode verwenden, um DNS-Aktualisierungen an den Client zu senden / zu senden. Dies kann verwendet werden, um Clients proaktiv über ein Update zu informieren. Dies könnte eine direktere Methode sein als der historische Ansatz, auf den Ablauf der TTL des DNS-Datensatzes zu warten.
DNS kann auch über das QUIC-Protokoll arbeiten . Quick UDP Internet Connections (QUIC) ist ein optimiertes Transportschichtprotokoll, das die Zuverlässigkeit von TCP mit Multiplexverbindungen und Leistungsoptimierungen bietet. Obwohl dies aktuell und IETF-Entwurf ist , besteht Interesse an Möglichkeiten, das QUIC-Protokoll aufgrund seiner Leistungsverbesserungen für Webserver zu nutzen.
Es gibt auch andere Nicht-IETF-Methoden zur Verschlüsselung von DNS-Abfragen. DNSCrypt ist eine Methode zur Verschlüsselung, um herkömmliche DNS-Nachrichten zwischen einem Endbenutzer und einem Auflöser zu sichern. DNSCrypt kann TCP- oder UDP-DNS-Nachrichten über TCP-Port 443 unterstützen. Die aktuelle Version 2 der DNSCrypt-Protokollspezifikation ist öffentlich dokumentiert. DNSCurve ist eine ähnliche Methode, verwendet jedoch die elliptische Kryptografie mit dem Curve25519- Algorithmus (X25519-Algorithmus) zum Sichern von DNS. DNSCurve wird seit 2009 entwickelt.
NetworkWorld
☣️ BlackBox Security DE ☣️
WannaCry
Totgesagte leben länger
Laut einer aktuellen Bitkom-Umfrage
fürchtet sich jeder dritte Internet-Nutzer (34 Prozent) vor Ransomware. Dass diese Angst durchaus berechtigt ist, zeigt eine aktuelle Kaspersky-Studie zu den Bedrohungen im dritten Quartal 2018: Die Anzahl durch Ransomware angegriffener Nutzer stieg im dritten Quartal um zwei Drittel von 158.921 auf 259.867 an. Fast ein Drittel (28,7 Prozent) dieser Attacken ist auf WannaCry zurückzuführen, insgesamt infizierten sich 74.621 Nutzer weltweit damit.
Ransomware noch aktiv
Obwohl die WannaCry-Epidemie bereits eineinhalb Jahre zurückliegt und Windows zwei Monate vor den ersten Attacken einen Patch veröffentlichte, der die Sicherheitslücken des Betriebssystems schließen sollte, infizieren sich Nutzer bis heute weiterhin mit dieser Ransomware.
„Die anhaltende Verbreitung der WannaCry-Angriffe ist eine weitere Warnung, dass Epidemien nicht so schnell enden, wie sie beginnen – es gibt immer langfristige Konsequenzen“, so Fedor Sinitsyn, Sicherheitsforscher bei Kaspersky Lab. „Verschlüsselungs-Angriffe können so schwerwiegend sein, dass es notwendig ist, vorbeugende Maßnahmen zu ergreifen und Patches auf den Geräten zu installieren, so dass man sich nicht mit verschlüsselten Daten auseinandersetzen muss.“
Weitere Ergebnisse für das dritte Quartal 2018
Leichter Rückgang bösartiger Attacken:
Die Lösungen von Kaspersky Lab entdeckten und blockierten 947.027.517 bösartige Attacken aus rund 200 Ländern und Regionen weltweit; ein Rückgang um 1,7 Prozent gegenüber dem zweiten Quartal
Fast ein Drittel weniger schädliche URLs: Die Anzahl der URLs, die von den Web-Antivirus-Komponenten als schädlich eingestuft wurde, ging von 351.913.075 auf 246.695.333 zurück, eine Abnahme um 29,9 Prozent.
Anstieg von Banking-Malware um mehr als 40 Prozent: Auf 305.315 Computern wurden versuchte Infektionen von Malware festgestellt, die Geld von Online-Bankkonten stehlen sollte; im vorherigen Quartal waren es noch 215.762 Versuche, was einem Anstieg um 41,5 Prozent gleichkommt.
Ein Viertel mehr schädliche Objekte:
Lösungen von Kaspersky Lab erkannten 239.177.356 schädliche und unerwünschte Objekte; ein Anstieg von 24,5 Prozent im Vergleich zum vorherigen Quartal (192.053.604).
Ein Viertel weniger mobile schädliche Installationspakete: Die mobilen Schutzlösungen von Kaspersky Lab entdeckten 1.305.015 schädliche Installationspakete; im zweiten Quartal waren es 1.744.244, ein Rückgang um 25,2 Prozent.
Kaspersky-Tipps zum Schutz vor Verschlüsselungs-Malware
✅ Betriebssystem und Apps regelmäßig aktualisieren.
✅ Regelmäßig Back-ups der Daten erstellen.
✅ Eine robuste Sicherheitslösung wie Kaspersky Security Cloud verwenden.
✅ E-Mail- und SMS-Absendern mit verdächtigen Anhängen und Links misstrauen und diese im Zweifelsfall nicht öffnen.
✅Sollte das Gerät infiziert worden sein, auf keinen Fall das geforderte Lösegeld bezahlen, sondern Anzeige erstatten. Unter NoMoreRansom.org oder https://noransom.kaspersky.com/ stehen zahlreiche Entschlüsselungstools zur Verfügung, die bei einem Ransomware-Angriff gegebenenfalls die verschlüsselten Daten wieder herstellen können.
TrojanerInfoDE
☣️ BlackBox Security DE ☣️
Totgesagte leben länger
Laut einer aktuellen Bitkom-Umfrage
fürchtet sich jeder dritte Internet-Nutzer (34 Prozent) vor Ransomware. Dass diese Angst durchaus berechtigt ist, zeigt eine aktuelle Kaspersky-Studie zu den Bedrohungen im dritten Quartal 2018: Die Anzahl durch Ransomware angegriffener Nutzer stieg im dritten Quartal um zwei Drittel von 158.921 auf 259.867 an. Fast ein Drittel (28,7 Prozent) dieser Attacken ist auf WannaCry zurückzuführen, insgesamt infizierten sich 74.621 Nutzer weltweit damit.
Ransomware noch aktiv
Obwohl die WannaCry-Epidemie bereits eineinhalb Jahre zurückliegt und Windows zwei Monate vor den ersten Attacken einen Patch veröffentlichte, der die Sicherheitslücken des Betriebssystems schließen sollte, infizieren sich Nutzer bis heute weiterhin mit dieser Ransomware.
„Die anhaltende Verbreitung der WannaCry-Angriffe ist eine weitere Warnung, dass Epidemien nicht so schnell enden, wie sie beginnen – es gibt immer langfristige Konsequenzen“, so Fedor Sinitsyn, Sicherheitsforscher bei Kaspersky Lab. „Verschlüsselungs-Angriffe können so schwerwiegend sein, dass es notwendig ist, vorbeugende Maßnahmen zu ergreifen und Patches auf den Geräten zu installieren, so dass man sich nicht mit verschlüsselten Daten auseinandersetzen muss.“
Weitere Ergebnisse für das dritte Quartal 2018
Leichter Rückgang bösartiger Attacken:
Die Lösungen von Kaspersky Lab entdeckten und blockierten 947.027.517 bösartige Attacken aus rund 200 Ländern und Regionen weltweit; ein Rückgang um 1,7 Prozent gegenüber dem zweiten Quartal
Fast ein Drittel weniger schädliche URLs: Die Anzahl der URLs, die von den Web-Antivirus-Komponenten als schädlich eingestuft wurde, ging von 351.913.075 auf 246.695.333 zurück, eine Abnahme um 29,9 Prozent.
Anstieg von Banking-Malware um mehr als 40 Prozent: Auf 305.315 Computern wurden versuchte Infektionen von Malware festgestellt, die Geld von Online-Bankkonten stehlen sollte; im vorherigen Quartal waren es noch 215.762 Versuche, was einem Anstieg um 41,5 Prozent gleichkommt.
Ein Viertel mehr schädliche Objekte:
Lösungen von Kaspersky Lab erkannten 239.177.356 schädliche und unerwünschte Objekte; ein Anstieg von 24,5 Prozent im Vergleich zum vorherigen Quartal (192.053.604).
Ein Viertel weniger mobile schädliche Installationspakete: Die mobilen Schutzlösungen von Kaspersky Lab entdeckten 1.305.015 schädliche Installationspakete; im zweiten Quartal waren es 1.744.244, ein Rückgang um 25,2 Prozent.
Kaspersky-Tipps zum Schutz vor Verschlüsselungs-Malware
✅ Betriebssystem und Apps regelmäßig aktualisieren.
✅ Regelmäßig Back-ups der Daten erstellen.
✅ Eine robuste Sicherheitslösung wie Kaspersky Security Cloud verwenden.
✅ E-Mail- und SMS-Absendern mit verdächtigen Anhängen und Links misstrauen und diese im Zweifelsfall nicht öffnen.
✅Sollte das Gerät infiziert worden sein, auf keinen Fall das geforderte Lösegeld bezahlen, sondern Anzeige erstatten. Unter NoMoreRansom.org oder https://noransom.kaspersky.com/ stehen zahlreiche Entschlüsselungstools zur Verfügung, die bei einem Ransomware-Angriff gegebenenfalls die verschlüsselten Daten wieder herstellen können.
TrojanerInfoDE
☣️ BlackBox Security DE ☣️
ISPs in der Türkei und in Ägypten verbreiten immer noch FinFisher-Spyware in einer massiven Spionagekampagne
Eine ausgedehnte und fortlaufende Computerspionage-Kampagne, die in Ägypten, der Türkei und Syrien verbreitet ist, basiert auf Technologien, die von einem kanadisch-amerikanischen Netzwerkunternehmen, SandVine, und einem berüchtigten Spyware-Hersteller, der als GammaGroup oder Lench IT Solutions bekannt ist, entwickelt wurden.
Neue Forschungsergebnisse
der Menschenrechtsorganisation Citizen Lab zeigen, wie Produkte von zwei westlichen Technologieunternehmern die landesweite Überwachung in mehreren Entwicklungsländern unter autoritärer Herrschaft erleichterten. Die Ergebnisse ziehen sich zurück in die Berichterstattung eines slowakischen Cybersecurity-Unternehmens, das im September und Dezember letzten jahres auf Internet-Provider-Ebene (ISP) ähnliche "Man-in-the-Middle" - Cyberangriffe entdeckte.
Menschen, die über lokale ISPs in Ägypten, der Türkei und Syrien online waren, wurden dazu verleitet, äußerst aufdringliche Spyware zu installieren, mit der der Angreifer uneingeschränkten Zugriff auf ein infiziertes Gerät, einschließlich Mikrofon und Kamera, erhalten kann. Immer wenn gezielte Benutzer in der Türkei versuchten, auf bestimmte Websites zuzugreifen, um freie Software zu installieren, wurde ihnen stattdessen eine fast identische, aber mit Sprengseln beladene Version zur Verfügung gestellt, die Malware enthält, sagen Forscher. In einem anderen Fall wurden große Teile des Internets in Ägypten im Rahmen einer offensichtlichen Werbebetrugskampagne leise auf eine kleine Anzahl kommerzieller Websites geleitet.
Die Forscher sagen,
dass Internet-Hardware von SandVine dazu beigetragen hat, diese Vorhaben zu verwirklichen. Es wurde angeblich vor Ort bei mindestens zwei verschiedenen inländischen ISPs installiert: Türk Telekom in der Türkei und Telecom Egypt in Ägypten, um den Internetverkehr zu regulieren. Teile Syriens sind über Systeme, die in die Türk Telekom führen, mit dem Internet verbunden, wodurch auch einige Syrer betroffen sind.
In einer Reihe
von Nachrichten zwischen Citizen Lab, SandVine und seinem Eigentümer Francisco Partners, einer amerikanischen Private-Equity-Firma, behauptete das kanadisch-amerikanische Unternehmen, dass seine Hardware niemals für solche Zwecke bestimmt war. Es ist nicht klar, wer die SandVine-Technologie in diesen beiden Fällen kontrollierte. Die Forscher teilten CyberScoop jedoch mit, dass der wahrscheinlichste Kandidat die regierende Regierung jedes Landes ist, in dem die Spionage bis heute andauert. Türk Telekom hat auf eine Anfrage nicht reagiert.
"Sehr schwer zu erkennen"
Costin Raiu, Leiter des globalen Forschungs- und Analyseteams von Kaspersky Lab, sagte, dass die direkte Bereitstellung von Malware über einen ISP äußerst selten ist.
"Bedrohungsschauspieler, die Man-in-the-Middle-Angriffe auf ISP-Ebene durchführen können, bilden einen sehr exklusiven" Club ", erklärte Raiu. „Dies liegt daran, dass ISPs selten bereitwillig mit Regierungen zusammenarbeiten, um Angriffe auf ihre zahlenden Kunden zu starten. Für die Benutzer können Angriffe auf ISP-Ebene vollständig unsichtbar sein. Sie glauben, Sie laden ein legitimes Programm wie Skype oder RAR herunter, stattdessen erhalten Sie einen Trojaner. Es kann sehr schwer zu erkennen sein und kann sogar Computerliebhaber überlisten. “
Laut Citizen Lab-Forscher Bill Marczak wurden SandVine-Boxen in der Türkei bei Türk Telekom so konfiguriert, dass ein Administrator bestimmte IP-Adressen gezielt ansprechen konnte, sodass ein zugehöriger Computer versuchte, legitime, freie Software von einer von mehreren Websites herunterzuladen ein trojanisiertes Programm. Dies wurde durch eine Code-Injection- und Website-Redirection-Technik erreicht, die den Benutzer dazu zwang, nach dem Herunterladen der Software eine völlig andere Domäne aufzurufen.
Eine ausgedehnte und fortlaufende Computerspionage-Kampagne, die in Ägypten, der Türkei und Syrien verbreitet ist, basiert auf Technologien, die von einem kanadisch-amerikanischen Netzwerkunternehmen, SandVine, und einem berüchtigten Spyware-Hersteller, der als GammaGroup oder Lench IT Solutions bekannt ist, entwickelt wurden.
Neue Forschungsergebnisse
der Menschenrechtsorganisation Citizen Lab zeigen, wie Produkte von zwei westlichen Technologieunternehmern die landesweite Überwachung in mehreren Entwicklungsländern unter autoritärer Herrschaft erleichterten. Die Ergebnisse ziehen sich zurück in die Berichterstattung eines slowakischen Cybersecurity-Unternehmens, das im September und Dezember letzten jahres auf Internet-Provider-Ebene (ISP) ähnliche "Man-in-the-Middle" - Cyberangriffe entdeckte.
Menschen, die über lokale ISPs in Ägypten, der Türkei und Syrien online waren, wurden dazu verleitet, äußerst aufdringliche Spyware zu installieren, mit der der Angreifer uneingeschränkten Zugriff auf ein infiziertes Gerät, einschließlich Mikrofon und Kamera, erhalten kann. Immer wenn gezielte Benutzer in der Türkei versuchten, auf bestimmte Websites zuzugreifen, um freie Software zu installieren, wurde ihnen stattdessen eine fast identische, aber mit Sprengseln beladene Version zur Verfügung gestellt, die Malware enthält, sagen Forscher. In einem anderen Fall wurden große Teile des Internets in Ägypten im Rahmen einer offensichtlichen Werbebetrugskampagne leise auf eine kleine Anzahl kommerzieller Websites geleitet.
Die Forscher sagen,
dass Internet-Hardware von SandVine dazu beigetragen hat, diese Vorhaben zu verwirklichen. Es wurde angeblich vor Ort bei mindestens zwei verschiedenen inländischen ISPs installiert: Türk Telekom in der Türkei und Telecom Egypt in Ägypten, um den Internetverkehr zu regulieren. Teile Syriens sind über Systeme, die in die Türk Telekom führen, mit dem Internet verbunden, wodurch auch einige Syrer betroffen sind.
In einer Reihe
von Nachrichten zwischen Citizen Lab, SandVine und seinem Eigentümer Francisco Partners, einer amerikanischen Private-Equity-Firma, behauptete das kanadisch-amerikanische Unternehmen, dass seine Hardware niemals für solche Zwecke bestimmt war. Es ist nicht klar, wer die SandVine-Technologie in diesen beiden Fällen kontrollierte. Die Forscher teilten CyberScoop jedoch mit, dass der wahrscheinlichste Kandidat die regierende Regierung jedes Landes ist, in dem die Spionage bis heute andauert. Türk Telekom hat auf eine Anfrage nicht reagiert.
"Sehr schwer zu erkennen"
Costin Raiu, Leiter des globalen Forschungs- und Analyseteams von Kaspersky Lab, sagte, dass die direkte Bereitstellung von Malware über einen ISP äußerst selten ist.
"Bedrohungsschauspieler, die Man-in-the-Middle-Angriffe auf ISP-Ebene durchführen können, bilden einen sehr exklusiven" Club ", erklärte Raiu. „Dies liegt daran, dass ISPs selten bereitwillig mit Regierungen zusammenarbeiten, um Angriffe auf ihre zahlenden Kunden zu starten. Für die Benutzer können Angriffe auf ISP-Ebene vollständig unsichtbar sein. Sie glauben, Sie laden ein legitimes Programm wie Skype oder RAR herunter, stattdessen erhalten Sie einen Trojaner. Es kann sehr schwer zu erkennen sein und kann sogar Computerliebhaber überlisten. “
Laut Citizen Lab-Forscher Bill Marczak wurden SandVine-Boxen in der Türkei bei Türk Telekom so konfiguriert, dass ein Administrator bestimmte IP-Adressen gezielt ansprechen konnte, sodass ein zugehöriger Computer versuchte, legitime, freie Software von einer von mehreren Websites herunterzuladen ein trojanisiertes Programm. Dies wurde durch eine Code-Injection- und Website-Redirection-Technik erreicht, die den Benutzer dazu zwang, nach dem Herunterladen der Software eine völlig andere Domäne aufzurufen.
Zu den Websites,
die zielgerichtete Software in der Türkei vertreiben, gehörten solche, die von Avast Antivirus verwaltet wurden, CCleaner, den Browser-Hersteller Opera und den kostenlosen Open-Source-Softwareverteiler 7-Zip. Diese Domänen sind nicht HTTP Secure.
Die beigefügte Spyware,
FinFisher genannt und von GammaGroup entwickelt, war in jedem herunterladbaren Programm versteckt. Dies bedeutete, dass die Websites selbst nicht gefährdet wurden, sondern die gesamte Internetverbindung zwischen dem Endbenutzer und dem ISP war verdächtig.
Mehr als ein Werkzeug
Die Spionageoperation in der Türkei reicht mindestens bis Anfang 2017 zurück. Mehrere Wellen verteilen verschiedene FinFisher-Versionen im Laufe der Zeit, so die Forscher. Ende 2017 stellten die Angreifer auf eine völlig andere, weniger ausgefeilte Spyware-Variante namens StrongPity um, die seit mehreren Jahren an die Hackerangriffe der Türkei gebunden ist .
Die Änderung des Spyware-Typs
fand statt, nachdem das bereits erwähnte slowakische Cybersecurity-Unternehmen ESET die Aktivität im September 2017 in seinem Blog veröffentlicht hatte. Diese Stelle enthielt jedoch keine Informationen darüber, wo die Operation stattfand. In einem Interview mit CyberScoop lehnten ESET-Forscher die Bereitstellung des geografischen Standorts ab und wiesen auf einen potenziellen Rückschlag bei der ursprünglichen Datenquelle hin.
Andere Quellen
versorgten CyberScoop mit privaten Informationen über die FinFisher-Forschung von ESET Anfang des Jahres, einschließlich des Hintergrunds der Herkunft der beschriebenen ISP-basierten Cyberangriffe. Im Januar wandte sich CyberScoop an mehrere digitale Menschenrechtsorganisationen, darunter Citizen Lab und die Electronic Frontier Foundation, um in diesem Zusammenhang die Bestätigung Dritter über die Spionagetätigkeit in der Türkei und in Ägypten zu erhalten. Eine relevante Geschichte wurde jedoch verzögert, als das Citizen Lab die Forschung aufnahm und hinter den Kulissen neue Entdeckungen machte.
Obwohl die Spionage-Hardware
ähnlich ist, unterscheiden sich die Situationen in jedem Land geringfügig, sagte Marczak zu CyberScoop. In Ägypten erzählt die von Citizen Lab erfasste Aktivität einen Teil der Geschichte, während andere Erkenntnisse von ESET diese möglicherweise vervollständigen.
Sieben Jahre nach dem arabischen Frühling ist Ägypten in eine Situation gerutscht, in der die Bürger genau überwacht werden und autoritäre Führer paranoid über einen Aufstand sind.
Citizen Lab
stellte fest, dass Teile des ägyptischen Internets - in begrenzten Zeiträumen, die normalerweise nur 30 Minuten dauerten - einige lokale Benutzer zu Ad-Betrug-Seiten umleiten würden . Es ist nicht klar, wer dies getan hat oder warum es passiert ist, aber es scheint einen anderen Zweck als die Monetarisierung gegeben zu haben. Untersuchungen von ESET haben beispielsweise gezeigt, dass im vergangenen Jahr eine separate FinFisher-Kampagne mit dem FinFly-Produkt von GammaGroup in Ägypten aktiv war, diese jedoch anscheinend gezielter war und weit weniger bekannte Infektionen aufwies als in der Türkei. Die FinFisher-StrongPity-Kampagne hat mehr als 100 Geräte erreicht. In Ägypten schien die Ausbreitung von FinFly durch einen lokalen ISP nur weniger als 30 bekannte Opfer anzuvisieren, basierend auf früheren Untersuchungen.
„Durchgesickerte Dokumente
des landesweiten Spyware-Anbieters FinFisher deuten darauf hin, dass das Unternehmen ein In-Path-Netzwerk-Injektionssystem namens FinFly ISP verkauft. Das komplexe System unterstützt eine Reihe einzigartiger Funktionen, z. B. das Herunterladen von heruntergeladenen Binärdateien im laufenden Betrieb “, heißt es in dem Bericht von Citizen Lab. "Das System wurde offenbar an Regierungen in der Mongolei und in Turkmenistan verkauft, und mindestens ein zusätzlicher Kunde, der aus den FinFisher 2014 nicht identifiziert werden konnte, durchlief Dokumente."
die zielgerichtete Software in der Türkei vertreiben, gehörten solche, die von Avast Antivirus verwaltet wurden, CCleaner, den Browser-Hersteller Opera und den kostenlosen Open-Source-Softwareverteiler 7-Zip. Diese Domänen sind nicht HTTP Secure.
Die beigefügte Spyware,
FinFisher genannt und von GammaGroup entwickelt, war in jedem herunterladbaren Programm versteckt. Dies bedeutete, dass die Websites selbst nicht gefährdet wurden, sondern die gesamte Internetverbindung zwischen dem Endbenutzer und dem ISP war verdächtig.
Mehr als ein Werkzeug
Die Spionageoperation in der Türkei reicht mindestens bis Anfang 2017 zurück. Mehrere Wellen verteilen verschiedene FinFisher-Versionen im Laufe der Zeit, so die Forscher. Ende 2017 stellten die Angreifer auf eine völlig andere, weniger ausgefeilte Spyware-Variante namens StrongPity um, die seit mehreren Jahren an die Hackerangriffe der Türkei gebunden ist .
Die Änderung des Spyware-Typs
fand statt, nachdem das bereits erwähnte slowakische Cybersecurity-Unternehmen ESET die Aktivität im September 2017 in seinem Blog veröffentlicht hatte. Diese Stelle enthielt jedoch keine Informationen darüber, wo die Operation stattfand. In einem Interview mit CyberScoop lehnten ESET-Forscher die Bereitstellung des geografischen Standorts ab und wiesen auf einen potenziellen Rückschlag bei der ursprünglichen Datenquelle hin.
Andere Quellen
versorgten CyberScoop mit privaten Informationen über die FinFisher-Forschung von ESET Anfang des Jahres, einschließlich des Hintergrunds der Herkunft der beschriebenen ISP-basierten Cyberangriffe. Im Januar wandte sich CyberScoop an mehrere digitale Menschenrechtsorganisationen, darunter Citizen Lab und die Electronic Frontier Foundation, um in diesem Zusammenhang die Bestätigung Dritter über die Spionagetätigkeit in der Türkei und in Ägypten zu erhalten. Eine relevante Geschichte wurde jedoch verzögert, als das Citizen Lab die Forschung aufnahm und hinter den Kulissen neue Entdeckungen machte.
Obwohl die Spionage-Hardware
ähnlich ist, unterscheiden sich die Situationen in jedem Land geringfügig, sagte Marczak zu CyberScoop. In Ägypten erzählt die von Citizen Lab erfasste Aktivität einen Teil der Geschichte, während andere Erkenntnisse von ESET diese möglicherweise vervollständigen.
Sieben Jahre nach dem arabischen Frühling ist Ägypten in eine Situation gerutscht, in der die Bürger genau überwacht werden und autoritäre Führer paranoid über einen Aufstand sind.
Citizen Lab
stellte fest, dass Teile des ägyptischen Internets - in begrenzten Zeiträumen, die normalerweise nur 30 Minuten dauerten - einige lokale Benutzer zu Ad-Betrug-Seiten umleiten würden . Es ist nicht klar, wer dies getan hat oder warum es passiert ist, aber es scheint einen anderen Zweck als die Monetarisierung gegeben zu haben. Untersuchungen von ESET haben beispielsweise gezeigt, dass im vergangenen Jahr eine separate FinFisher-Kampagne mit dem FinFly-Produkt von GammaGroup in Ägypten aktiv war, diese jedoch anscheinend gezielter war und weit weniger bekannte Infektionen aufwies als in der Türkei. Die FinFisher-StrongPity-Kampagne hat mehr als 100 Geräte erreicht. In Ägypten schien die Ausbreitung von FinFly durch einen lokalen ISP nur weniger als 30 bekannte Opfer anzuvisieren, basierend auf früheren Untersuchungen.
„Durchgesickerte Dokumente
des landesweiten Spyware-Anbieters FinFisher deuten darauf hin, dass das Unternehmen ein In-Path-Netzwerk-Injektionssystem namens FinFly ISP verkauft. Das komplexe System unterstützt eine Reihe einzigartiger Funktionen, z. B. das Herunterladen von heruntergeladenen Binärdateien im laufenden Betrieb “, heißt es in dem Bericht von Citizen Lab. "Das System wurde offenbar an Regierungen in der Mongolei und in Turkmenistan verkauft, und mindestens ein zusätzlicher Kunde, der aus den FinFisher 2014 nicht identifiziert werden konnte, durchlief Dokumente."
Spillover nach Syrien
In Ägypten und in der Türkei war Syrien am begrenztesten. Marczak spekulierte, dass möglicherweise einige türkische Internet-Geräte nach Syrien geschmuggelt wurden, wodurch Verbindungen hergestellt wurden, die mit Türk Telekom verbunden waren und daher auch für den SandVine-Administrator in der Türkei zugänglich waren. Router und IP-Adressen, die anscheinend mit einer kurdischen Milizengruppe in Verbindung standen, von denen bekannt ist, dass sie in Syrien operieren, gehörten zu denjenigen, die mit FinFisher angesprochen wurden.
Neben der Abgabe von Spyware und der Finanzierung von Adfraud-Mitteln scheint SandVine-Hardware dazu verwendet worden zu sein, Inhalte verschiedener Verleger und Menschenrechtsorganisationen in der Türkei und in Ägypten zu blockieren, darunter Human Rights Watch und Reporter ohne Grenzen.
In der Vergangenheit
hat die GammaGroup ihre Spionagetools nur für Regierungen zur Verfügung gestellt. Trotzdem wurde das Unternehmen mit internationaler Kritik konfrontiert, weil es mitgeholfen hat, diktatorische Regime mit den erforderlichen Mitteln zu rüsten, um Menschenrechtsaktivisten, Journalisten und andere Dissidenten zu finden und letztendlich gefangen zu nehmen.
SandVine,
das nach der Übernahme durch Francisco Partners im Juli 2017 mit Procera Networks aus Kalifornien kombiniert wurde, war bisher noch nie mit Spyware in Verbindung gebracht worden. Francisco Partners ist auch Inhaber eines berüchtigten israelischen Malware-Entwicklungsshops namens NSO Group. Dieser Cyber-Arms-Dealer hat von der Regierung der Vereinigten Arabischen Emirate eingeführte Spyware entwickelt , um einen bekannten lokalen Menschenrechtsaktivisten zu überleben.
In den letzten Wochen
haben Sprecher von Procera Networks einige Aspekte des Citizen Lab-Berichts bestritten. Als Reaktion darauf führte Citizen Lab eine zusätzliche Due Diligence durch, darunter die Durchführung von zwei unabhängigen Peer-Reviews durch Dritte, sagte Ronald Deibert, Direktor des Citizen Lab.
„Wir hatten weder direkt noch indirekt geschäftliche oder technologische Beziehungen zu bekannten Malware-Anbietern, und unsere Produkte können keine schädliche Software einschleusen. Während unsere Produkte über eine Umleitungsfunktion verfügen, ist die HTTP-Umleitung eine Technologie, die sich normalerweise in vielen Arten von Technologieprodukten befindet “, sagte ein Procera-Sprecher gegenüber Forbes . "Die Behauptungen, die uns Citizen Lab bisher zur Verfügung gestellt hat, sind technisch ungenau und absichtlich irreführend. Wir verfügen über eine Geschäftsethikkommission, die eine umfassende Überprüfung aller potenziellen Engagements durchführt, um das potenzielle Risiko eines Produktmissbrauchs vor dem Verkauf zu erkennen."
☣️ BlackBox Security DE ☣️
In Ägypten und in der Türkei war Syrien am begrenztesten. Marczak spekulierte, dass möglicherweise einige türkische Internet-Geräte nach Syrien geschmuggelt wurden, wodurch Verbindungen hergestellt wurden, die mit Türk Telekom verbunden waren und daher auch für den SandVine-Administrator in der Türkei zugänglich waren. Router und IP-Adressen, die anscheinend mit einer kurdischen Milizengruppe in Verbindung standen, von denen bekannt ist, dass sie in Syrien operieren, gehörten zu denjenigen, die mit FinFisher angesprochen wurden.
Neben der Abgabe von Spyware und der Finanzierung von Adfraud-Mitteln scheint SandVine-Hardware dazu verwendet worden zu sein, Inhalte verschiedener Verleger und Menschenrechtsorganisationen in der Türkei und in Ägypten zu blockieren, darunter Human Rights Watch und Reporter ohne Grenzen.
In der Vergangenheit
hat die GammaGroup ihre Spionagetools nur für Regierungen zur Verfügung gestellt. Trotzdem wurde das Unternehmen mit internationaler Kritik konfrontiert, weil es mitgeholfen hat, diktatorische Regime mit den erforderlichen Mitteln zu rüsten, um Menschenrechtsaktivisten, Journalisten und andere Dissidenten zu finden und letztendlich gefangen zu nehmen.
SandVine,
das nach der Übernahme durch Francisco Partners im Juli 2017 mit Procera Networks aus Kalifornien kombiniert wurde, war bisher noch nie mit Spyware in Verbindung gebracht worden. Francisco Partners ist auch Inhaber eines berüchtigten israelischen Malware-Entwicklungsshops namens NSO Group. Dieser Cyber-Arms-Dealer hat von der Regierung der Vereinigten Arabischen Emirate eingeführte Spyware entwickelt , um einen bekannten lokalen Menschenrechtsaktivisten zu überleben.
In den letzten Wochen
haben Sprecher von Procera Networks einige Aspekte des Citizen Lab-Berichts bestritten. Als Reaktion darauf führte Citizen Lab eine zusätzliche Due Diligence durch, darunter die Durchführung von zwei unabhängigen Peer-Reviews durch Dritte, sagte Ronald Deibert, Direktor des Citizen Lab.
„Wir hatten weder direkt noch indirekt geschäftliche oder technologische Beziehungen zu bekannten Malware-Anbietern, und unsere Produkte können keine schädliche Software einschleusen. Während unsere Produkte über eine Umleitungsfunktion verfügen, ist die HTTP-Umleitung eine Technologie, die sich normalerweise in vielen Arten von Technologieprodukten befindet “, sagte ein Procera-Sprecher gegenüber Forbes . "Die Behauptungen, die uns Citizen Lab bisher zur Verfügung gestellt hat, sind technisch ungenau und absichtlich irreführend. Wir verfügen über eine Geschäftsethikkommission, die eine umfassende Überprüfung aller potenziellen Engagements durchführt, um das potenzielle Risiko eines Produktmissbrauchs vor dem Verkauf zu erkennen."
☣️ BlackBox Security DE ☣️
⚠️Wichtige Nachricht von BlackBox Security DE und cRyPtHoN_INFOSEC_DE⚠️ #Bildungszwecke
Jeder Beitrag in diesem Kanal dient nur zu Bildungszwecken!
Alle Handlungen und / oder Aktivitäten im Zusammenhang mit dem in diesem Kanal enthaltenen Material liegen allein in Ihrer Verantwortung. Die Verwendung der Informationen in diesem Kanal kann zu Strafanzeigen gegen die betreffenden Personen führen.
Die Autoren und cRyPtHoN_INFOSEC_DE bzw BlackBox Security DE haften nicht, für den Fall, dass Strafanzeigen gegen Personen erhoben werden, die die Informationen in diesem Telegram Kanal missbrauchen, um gegen geltendes Recht zu verstoßen.
⚠️Denkt immer daran, diese Techniken, Anleitungen oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).
⚠️Wichtige Nachricht von BlackBox Security DE und cRyPtHoN_INFOSEC_DE⚠️ #Bildungszwecke
Jeder Beitrag in diesem Kanal dient nur zu Bildungszwecken!
Alle Handlungen und / oder Aktivitäten im Zusammenhang mit dem in diesem Kanal enthaltenen Material liegen allein in Ihrer Verantwortung. Die Verwendung der Informationen in diesem Kanal kann zu Strafanzeigen gegen die betreffenden Personen führen.
Die Autoren und cRyPtHoN_INFOSEC_DE bzw BlackBox Security DE haften nicht, für den Fall, dass Strafanzeigen gegen Personen erhoben werden, die die Informationen in diesem Telegram Kanal missbrauchen, um gegen geltendes Recht zu verstoßen.
⚠️Denkt immer daran, diese Techniken, Anleitungen oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).
⚠️Wichtige Nachricht von BlackBox Security DE und cRyPtHoN_INFOSEC_DE⚠️ #Bildungszwecke
Forwarded from cRyPtHoN™ INFOSEC (DE)
☢️Handystrahlung - so stark strahlen Smartphones☢️
Gehirntumore, Unfruchtbarkeit, Kopfschmerzen – dass Handystrahlung krank macht, ist nicht bewiesen, aber auch nicht ausgeschlossen.
Ein möglichst strahlungsarmes Modell ist darum immer eine gute Wahl.
☣️ Hier für euch die Strahlungswerte einiger Smartphones
☣️ SAR-Werte
Handystrahlung wird mit dem SAR-Wert für die spezifische Absorptionsrate in der Einheit Watt pro Kilogramm angegeben.
☣️ sehr gering = unter 0,4 W/kg;
☣️ gering = 0,4-0,6 W/kg;
☣️ mittel=0,6 bis 1 W/kg;
☣️ mittel=0,6 bis 1 W/kg;
☢️ Handystrahlung beim Apple iPhone 7
Das Apple iPhone 7 ist bei vielen Konsumenten sehr begehrt und derzeit Apples Topmodell – leider auch in Sachen Handystrahlung: Die SAR-Werte sind beunruhigend hoch, das Bundesamt für Strahlenschutz (BfS) gibt die Strahlung des Handy mit 1,38 (am Ohr) und 1,34 (am Körper) an, also hoch. Das Apple iPhone 7 plus ist mit 1,24 (am Ohr) und 1,0 (am Körper) nur wenig besser.
☢️ Handystrahlung beim Huawei P9 lite
Das Huawei P9 lite ist ein modernes Smartphone mit großem Display und schönem Design. Allerdings sind die SAR-Werte nicht von schlechten Eltern: Das BfS gibt die Strahlung des Smartphones mit 1,38 (am Ohr) und 1,59 (am Körper) an, also hoch. Beim Modell Huawei P9 liegen sie bei 1,43 (am Ohr) und 0,55 (am Körper), also ebenfalls hoch.
☢️ Handystrahlung beim Apple iPhone SE
Das Apple iPhone SE gilt als Apples Budget-Handy, zugleich ist es angenehm kompakt. Ist die Strahlung geringer? Leider nicht: Als SAR-Werte gibt das BfS 0,97 (am Ohr) und 0,99 (am Körper) an, also gerade noch mittel, fast schon hoch. Das iPhone 7 strahlt laut BfS noch mehr.
☢️ Handystrahlung beim Apple iPhone 6s
Das Smartphone Apple iPhone 6s ist nicht das neueste Modell, aber noch immer bei vielen Mobilfunkanbietern im Programm – und in Sachen Handystrahlung besser als das iPhone 7: Die SAR-Werte gibt das Bundesamt für Strahlenschutz (BfS) mit 0,87 (am Ohr) und 0,98 (am Körper) an, also gerade noch mittel, fast schon hoch. (Das ältere iPhone 5s: 0,98)
☢️ Handystrahlung beim Sony Xperia X
Besser als das iPhone schneidet bei der Strahlung zum Beispiel das Handy Sony Xperia X ab. Das BfS gibt die SAR-Werte wie folgt an: 0,72 (am Ohr) und 1,23 (am Körper), also mittel. Innerhalb des Sortiments können SAR-Werte übrigens schnell abweichen, so kommt das Sony Xperia XA auf die besseren Werte 0,47 / 0,47 (Ohr / Körper), als gering.
☢️ Handystrahlung beim Samsung Galaxy A3
Das Samsung Galaxy A3 ist nicht das technisch beste Handy von Samsung, aber beliebt als einfaches Smartphone und auch bei Mobilfunkanbieter oft zu sehen. Der SAR-Wert ist zwar nicht bedrohlich hoch, aber auch nicht gerade niedrig: 0,62 (am Ohr) und 0,52 (am Körper), also mittel. Samsung hat aber auch Handys mit weitaus weniger Strahlung im Angebot.
☢️ Handystrahlung beim HTC 10
Derzeit ein Top-Handy: Das HTC 10** lockt mit bildstabilisierter (Selfie-)Kamera und gutem Sound. Auch der SAR-Wert geht in Ordnung: Das BfS gibt die Strahlung des Smartphone HTC 10 mit 0,42 (am Ohr) und 0,17 (am Körper) an, also gering. Aber es geht noch besser…
☢️ Handystrahlung beim Samsung Galaxy S7
Eines der Top-Smartphones von Samsung: Das Samsung Galaxy S7**. Wenn der SAR-Wert wichtig ist, ist es ebenfalls eine Option: Das BfS gibt die Strahlung des Samsung Galaxy S7 mit 0,41 (am Ohr) und 0,62 (am Körper) an, also gering.
☢️ Handystrahlung beim Fairphone 2
Gute News für Smartphone-Fans: Es geht auch mit weniger Strahlung. Das Bundesamt für Strahlenschutz (BfS) bescheinigte dem Fairphone 2 mit 0,33 (am Kopf) einen sehr geringen SAR-Wert (0,69 am Körper). Außerdem ist das Fairphone 2 reparierbar, mit fairer produzierten Rohstoffen gebaut und bietet noch vieles mehr.
Gehirntumore, Unfruchtbarkeit, Kopfschmerzen – dass Handystrahlung krank macht, ist nicht bewiesen, aber auch nicht ausgeschlossen.
Ein möglichst strahlungsarmes Modell ist darum immer eine gute Wahl.
☣️ Hier für euch die Strahlungswerte einiger Smartphones
☣️ SAR-Werte
Handystrahlung wird mit dem SAR-Wert für die spezifische Absorptionsrate in der Einheit Watt pro Kilogramm angegeben.
☣️ sehr gering = unter 0,4 W/kg;
☣️ gering = 0,4-0,6 W/kg;
☣️ mittel=0,6 bis 1 W/kg;
☣️ mittel=0,6 bis 1 W/kg;
☢️ Handystrahlung beim Apple iPhone 7
Das Apple iPhone 7 ist bei vielen Konsumenten sehr begehrt und derzeit Apples Topmodell – leider auch in Sachen Handystrahlung: Die SAR-Werte sind beunruhigend hoch, das Bundesamt für Strahlenschutz (BfS) gibt die Strahlung des Handy mit 1,38 (am Ohr) und 1,34 (am Körper) an, also hoch. Das Apple iPhone 7 plus ist mit 1,24 (am Ohr) und 1,0 (am Körper) nur wenig besser.
☢️ Handystrahlung beim Huawei P9 lite
Das Huawei P9 lite ist ein modernes Smartphone mit großem Display und schönem Design. Allerdings sind die SAR-Werte nicht von schlechten Eltern: Das BfS gibt die Strahlung des Smartphones mit 1,38 (am Ohr) und 1,59 (am Körper) an, also hoch. Beim Modell Huawei P9 liegen sie bei 1,43 (am Ohr) und 0,55 (am Körper), also ebenfalls hoch.
☢️ Handystrahlung beim Apple iPhone SE
Das Apple iPhone SE gilt als Apples Budget-Handy, zugleich ist es angenehm kompakt. Ist die Strahlung geringer? Leider nicht: Als SAR-Werte gibt das BfS 0,97 (am Ohr) und 0,99 (am Körper) an, also gerade noch mittel, fast schon hoch. Das iPhone 7 strahlt laut BfS noch mehr.
☢️ Handystrahlung beim Apple iPhone 6s
Das Smartphone Apple iPhone 6s ist nicht das neueste Modell, aber noch immer bei vielen Mobilfunkanbietern im Programm – und in Sachen Handystrahlung besser als das iPhone 7: Die SAR-Werte gibt das Bundesamt für Strahlenschutz (BfS) mit 0,87 (am Ohr) und 0,98 (am Körper) an, also gerade noch mittel, fast schon hoch. (Das ältere iPhone 5s: 0,98)
☢️ Handystrahlung beim Sony Xperia X
Besser als das iPhone schneidet bei der Strahlung zum Beispiel das Handy Sony Xperia X ab. Das BfS gibt die SAR-Werte wie folgt an: 0,72 (am Ohr) und 1,23 (am Körper), also mittel. Innerhalb des Sortiments können SAR-Werte übrigens schnell abweichen, so kommt das Sony Xperia XA auf die besseren Werte 0,47 / 0,47 (Ohr / Körper), als gering.
☢️ Handystrahlung beim Samsung Galaxy A3
Das Samsung Galaxy A3 ist nicht das technisch beste Handy von Samsung, aber beliebt als einfaches Smartphone und auch bei Mobilfunkanbieter oft zu sehen. Der SAR-Wert ist zwar nicht bedrohlich hoch, aber auch nicht gerade niedrig: 0,62 (am Ohr) und 0,52 (am Körper), also mittel. Samsung hat aber auch Handys mit weitaus weniger Strahlung im Angebot.
☢️ Handystrahlung beim HTC 10
Derzeit ein Top-Handy: Das HTC 10** lockt mit bildstabilisierter (Selfie-)Kamera und gutem Sound. Auch der SAR-Wert geht in Ordnung: Das BfS gibt die Strahlung des Smartphone HTC 10 mit 0,42 (am Ohr) und 0,17 (am Körper) an, also gering. Aber es geht noch besser…
☢️ Handystrahlung beim Samsung Galaxy S7
Eines der Top-Smartphones von Samsung: Das Samsung Galaxy S7**. Wenn der SAR-Wert wichtig ist, ist es ebenfalls eine Option: Das BfS gibt die Strahlung des Samsung Galaxy S7 mit 0,41 (am Ohr) und 0,62 (am Körper) an, also gering.
☢️ Handystrahlung beim Fairphone 2
Gute News für Smartphone-Fans: Es geht auch mit weniger Strahlung. Das Bundesamt für Strahlenschutz (BfS) bescheinigte dem Fairphone 2 mit 0,33 (am Kopf) einen sehr geringen SAR-Wert (0,69 am Körper). Außerdem ist das Fairphone 2 reparierbar, mit fairer produzierten Rohstoffen gebaut und bietet noch vieles mehr.
Forwarded from cRyPtHoN™ INFOSEC (DE)
☢️ Handystrahlung beim Samsung Galaxy S7 edge
Bei Samsung mögen vielleicht ab und zu die Akkus explodieren, doch beim aktuellen Top-Modell Samsung Galaxy S7** edge stimmen dafür die SAR-Werte. Das Bundesamt für Strahlenschutz (BfS) maß beim Samsung Galaxy S7 edge einen erfreulich geringen Wert von 0,26 (am Kopf, 0,51 am Körper), also einen sehr geringen SAR-Wert.
☢️ Handystrahlung beim Samsung Galaxy S9 DUOS (SM-G960F/DS) aktuelles Modell
SAR-Wert am Ohr 0,369 - SAR-Wert am Körper 1,18
(Messabstand: 0,5 cm)
☢️ Handystrahlung beim Samsung Galaxy S9+ DUOS (SM-G965F/DS) aktuelles Modell
SAR-Wert am Ohr 0,294 SAR-Wert am Körper 1,35
(Messabstand: 0,5 cm)
☢️ Handystrahlung beim Samsung - Samsung Galaxy S9+ Single (SM-G965F) aktuelles Modell
Identisch zum DUOS
(Messabstand: 0,5 cm)
☣️ Die SAR-Werte stammen vom Bundesamt für Strahlenschutz, wo du auch selbst nach den SAR-Werten deines Smartphones suchen kannst.
https://www.bfs.de/SiteGlobals/Forms/Suche/BfS/DE/SARsuche_Formular.html
📡 @cRyPtHoN_INFOSEC_DE
Bei Samsung mögen vielleicht ab und zu die Akkus explodieren, doch beim aktuellen Top-Modell Samsung Galaxy S7** edge stimmen dafür die SAR-Werte. Das Bundesamt für Strahlenschutz (BfS) maß beim Samsung Galaxy S7 edge einen erfreulich geringen Wert von 0,26 (am Kopf, 0,51 am Körper), also einen sehr geringen SAR-Wert.
☢️ Handystrahlung beim Samsung Galaxy S9 DUOS (SM-G960F/DS) aktuelles Modell
SAR-Wert am Ohr 0,369 - SAR-Wert am Körper 1,18
(Messabstand: 0,5 cm)
☢️ Handystrahlung beim Samsung Galaxy S9+ DUOS (SM-G965F/DS) aktuelles Modell
SAR-Wert am Ohr 0,294 SAR-Wert am Körper 1,35
(Messabstand: 0,5 cm)
☢️ Handystrahlung beim Samsung - Samsung Galaxy S9+ Single (SM-G965F) aktuelles Modell
Identisch zum DUOS
(Messabstand: 0,5 cm)
☣️ Die SAR-Werte stammen vom Bundesamt für Strahlenschutz, wo du auch selbst nach den SAR-Werten deines Smartphones suchen kannst.
https://www.bfs.de/SiteGlobals/Forms/Suche/BfS/DE/SARsuche_Formular.html
📡 @cRyPtHoN_INFOSEC_DE