Für 1 Million Dollar das eigene Unternehmen mit Schadsoftware infizieren? 🤔

Die #HacksDerWoche, als Versuch auch einmal in Textform. Heute:

🚗 Tesla
🌉 Bridgefy
🌭 Geht der CCC in ein Restaurant...

/1

Nummer 1: #Tesla hat es erwischt. Fast. Ein Mitarbeiter bekam 1 Million Dollar von einem russischen Staatsbürger geboten, um Informationen zum Tesla-Netzwerk preiszugeben, und das Unternehmen ultimativ mit Schadsoftware zu infizieren.

/2

Warum? Es sollten anscheinend Unternehmensgeheimnisse (Kundendaten?) exfiltriert werden, um dann Tesla erpressen zu können. Der Mitarbeiter hat vollkommen richtig reagiert, das FBI eingeschalten, und über mehrere Meetings wurden Beweise gesammelt. Angreifer ist nun verhaftet.

/3

Tesla hat hier aus meiner Sicht enormes Glück gehabt:
- Was, wenn der Mitarbeiter nicht gewusst hätte, wie verheerend so ein Angriff sein kann?

"Es ist ja eh nur ein Programm" wäre hier fatal gewesen.

/4

- Was, wenn er nicht gewusst hätte, wie man in so einem Fall reagiert?

Kann durchaus passieren, dass Cyberangriffe verschwiegen werden. Aus Angst vor Konsequenzen ("Warum hast du auf den Link geklickt!?")

/5

- Was, wenn die Rechte des MA (Annahme) nicht genügend eingeschränkt sind?

Das würde die Menge an Informationen, die nach außen gelangen können, drastisch erhöhen. Und auch den Schaden, sollte der MA tatsächlich die Schadsoftware ins Unternehmen bringen.

/6

Nummer 2: #Bridgefy.

Eine App, die Messaging über Bluetooth und Mesh Network anbietet. Beworbene Einsatzgebiete: Naturkatastrophen, aber auch Proteste.

Ein Paper zerlegt nun den Use Case "Protest".

/7

Bridgefy ist nicht geeignet für Szenarien, in denen es einen Gegenspieler gibt, der Interesse daran hat
- User zu deanonymisieren
- zu Überwachen

Hier noch der Link zum Paper:
martinralbrecht.files.wordpress.com/2020/08/bridge…

Ein Angreifer kann eigentlich eh alles:
- Sich als andere Personen ausgeben
- Man in the Middle, inkl. Nachrichten verändern
- User deanonymisieren
- Das soziale Netz analysieren (Wer spricht mit wem?)
- Die physische Location annähern

Heisst: #Bridgefy ist für den Einsatz in Protesten ungeeignet. Die Entwickler haben das erkannt, es gibt ein Statement: Die App wird von Grund auf neu gebaut, auf Basis des sicheren Open Source Protokolls Signal.

/10

Bottom Line zu #Bridgefy: Noch nicht für deine Proteste verwenden.

/11

Nummer 3: Geht der #CCC in ein Restaurant. Klingt wie ein schlechter Witz, ist es auch. Dort müssen sie sich in eine Corona-Liste eintragen. Die ist (bequemerweise) in der Cloud.

/12

Nur: "Deren vollmundige Versprechen über die Sicherheit der erfassten Daten weckten Argwohn und Altruismus des CERT-Teams."

Der Detektiv-Schalter legt sich um.

/13

Quelle: ccc.de/de/updates/202…

Long story short: 5,4 Millionen Reservierungen, 4,8 Millionen Personendatensätze einsehbar, 87k Corona-Listen-Datensätze einsehbar.

Man kann außerdem:
- Bestellungen für Dritte stornieren oder auslösen
- Speisekarten einsehen

/14

Und, natürlich, Passwörter tlw. in Klartext. Der Anbieter heißt by the way #gastronovi

/15

Das wars für heute. Respekt, wenn du bis hierhin dabei geblieben bist. Gefällt dir dieses Format? Feedack bitte auch gerne via Reply :)

Nachtrag zu Tesla:

https://twitter.com/nutellaberliner/status/1301077751655469056