:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Infektion mit Israelischer Spionagesoftware Pegasus erkennen Pegasus-Malware auch für iOS eine Gefahr
Mit der Spionagesoftware Pegasus werden zahlreiche Geräte durch Geheimdienste ausgespäht, auch von herkömmlichen Benutzern. Wir zeigen, wie die Software erkannt und entfernt werden kann.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Mit dem Projekt Pegasus des israelischen Unternehmens NSO Group spähen Geheimdienste weltweit die Endgeräte von Benutzern aus. Anfällig sind vor allem iOS-Geräte, also iPhones und iPads, aber auch Android-Smartphones und -Tablets. Die Sicherheitslücken, die Pegasus in iOS nutzt, sind Stand Juli 2021 noch offen. Das heißt, auch aktuelle iOS- und Android-Geräte sind immer noch anfällig für die Angriffe durch Pegasus. Auch iOS 14.6 ist komplett wehrlos gegen die Angriffe, das gilt auch für aktuelle Android-Versionen.
Für die Verwendung von Pegasus ist eine Serverlösung notwendig. Diese wird durch NSO bei verschiedenen Cloudanbietern betrieben. Amazon hat bei AWS mittlerweile die Konten von NSO gesperrt. Das bedeutet aber nicht, dass das Unternehmen nicht bei anderen Stellen Server betreibt.
Das müssen Sie zu Pegasus wissen
Derzeit ist ein umfassender und sicherer Schutz vor Pegasus faktisch nicht möglich. Derzeit sind noch keine Angriffe aus Deutschland identifiziert. Auf der Seite von Netzpolitik.org sind Informationen zu den Ländern zu finden, in denen Angriffe stattgefunden haben. Allerdings hat NSO auch beim Bundeskriminalamt im Jahr 2017 das Produkt vorgestellt. Im Jahr 2019 hatte das Unternehmen einen Termin bei Joachim Herrmann, dem bayerischen CSU-Innenminister. Es gab zwar anscheinend Begeisterung für das Produkt, es fand (bisher) aber noch kein Kauf statt.
Pegasus kann auf einem Smartphone Zugriff auf alle Daten vornehmen. Auch die Verwendung von sicheren Messengern wie Signal ist in diesem Fall kein Schutz, da sich die Malware bereits auf dem Smartphone befindet. Auch Verschlüsselungstechnologien bieten keinerlei Schutz, da Pegasus auch die Eingaben überwacht.
Die NGO Amnesty International hat mit forensischen Methoden entdeckt, dass viele Journalisten mit der Malware überwacht werden. Dahinter stecken Geheimdiensten, Behörden und andere Angreifer, die unberechtigt die Malware zum Ausspionieren von unschuldigen Bürgern nutzen.
iOS wird durch Pegasus zum Verbündeten von Geheimdiensten
Journalisten, Menschenrechtsaktivisten, Anwälte, Politiker, Oppositionelle, Staats-Oberhäupter, aber auch normale Anwender können Opfer der Schadsoftware werden. Dabei fällt es bei der Verwendung nicht auf, wenn Behörden oder andere Angreifer das System überwachen. Es gibt aber Möglichkeiten die Malware zu erkennen und zu beheben. Im Fokus von Pegasus stehen drei Schwachpunkte in iOS, die über das Versenden einer SMS und der Ausführung eines Links ausgenutzt werden kann.
In aktuellen Pegasus-Versionen ist es nicht mal mehr notwendig, dass ein Anwender den Link anklickt, dass sich Pegasus auf dem Endgerät installiert. Auch iMessage oder Twitter sind grundsätzlich Einfallstore. Die Anwender müssen den jeweiligen Link nur anklicken, um Pegasus zu starten (Zero-Click). Die SMS und iMessage-Nachrichten müssen außerdem für den jeweiligen Anwender nicht unbedingt sichtbar sein.
Nach Aktivierung von Pegasus auf einem Endgerät haben die Angreifer Zugriff auf alle Daten eines iOS-Gerätes. Dazu gehören Chats, Telefonate, Fotos und auch der Zugriff auf Mikrofon und Kamera.
Was hilft auf iPhones gegen Pegasus
Einige Sicherheitsspezialisten sind der Meinung, dass Pegasus bei einem Kaltstart des iPhones auf dem System entfernt wird. Zuvor sollten Anwender iMessage und Facetime auf dem iPhone deaktivieren. Durch den Neustart wird Pegasus entfernt. Aber auch das Ausschalten von Facetime und iMessage stellt nicht sicher, dass auf dem Telefon keine neue Infektion stattfinden kann.
Mobile Verification Toolkit – Infektion mit Pegasus erkennen
Mit der Open Source Mobile Verification Toolkit können erfahrene ITler überprüfen, ob ein Smartphone mit Pegasus infiziert wurde. Mit dem MVT lassen sich iOS-Geräte genauso untersuchen, wie Android-Smartphones und -Tablets. Es gibt für das MVT keine grafische Oberfläche, die Verwendung erfolgt im Terminal von Linux oder macOS.
:quality(80)/images.vogel.de/vogelonline/bdb/1855800/1855834/original.jpg "Mobile Verification Toolkit lässt sich auf Linux und macOS installieren. Die Verwendung erfolgt im Terminal.")
:quality(80)/images.vogel.de/vogelonline/bdb/1855800/1855835/original.jpg "Das Aufrufen von MVT im Terminal erfolgt über „mvt-ios“ und „mvt-android“.")
Das MVTZ nutzt normalerweise vorhandene Backups von Android oder iOS und durchsucht diese nach „Indicators Of Compromise“ (IOC). Diese IOCs sind anschließend Anzeichen dafür, dass sich Pegasus auf dem Gerät befindet oder befunden hat. Solche IOCs sind zum Beispiel Domain-Adressen des Unternehmens NSO Group.
Auf infizierten Telefonen könnte sich dieser Domain-Name in einer SMS oder einer E-Mail befinden. Es gibt zahlreiche IOCs, die durch Amnesty International zur Verfügung gestellt werden. Diese kann MVT einlesen und danach Scans mit den IOC-Daten durchführen.
Die Installation kann auf Linux und macOS erfolgen. Für die Installation auf einem Linux-Computer sind folgende Befehle notwendig:
sudo apt install python3 python3-pip libusb-1.0-0 pip install mvtDie Installation kann auch über das Kopieren der Installationsquellen erfolgen:
git clone https://github.com/mvt-project/mvt.gitcd mvtpip3 installAuf macOS erfolgt die Installation der Vorausetzungen mit:
brew install python3 libusbDanach lassen sich mit dem Toolkit iOS-Geräte und Android-Geräte untersuchen. Dazu stehen die beiden Befehle „mvt-ios“ und „mvt-android“ zur Verfügung. Für die beiden Befehle gibt es verschiedene Optionen, mit denen die Untersuchung stattfindet. Für „mvt-ios“ sind folgende Optionen wichtig:
- check-backup - Artefakte aus einem iTunes-Backup extrahieren
- check-fs - Extrahiert Artefakte aus einem vollständigen Dateisystem-Dump
- check-iocs - Vergleicht gespeicherte JSON-Ergebnisse mit bereitgestellten Indikatoren
- decrypt-backup - Entschlüsseln eines verschlüsselten iTunes-Backups
Android-Geräte werden mit „mvt-android“ untersucht. Dazu werden folgende Befehle genutzt:
- check-backup - Überprüfen eines Android-Backups
- download-apks - Alle oder nicht gelistete installierte APKs herunterladen
Wer sich umfassend mit dem Thema auseinandersetzen will, findet in der Dokumentation eine Hilfe zu den verschiedenen Optionen.
(ID:47532074)
:quality(80)/p7i.vogel.de/wcms/48/23/4823fc9728af060082662083770937da/0110957961.jpeg "Aktuell gehalten, schützen Gatekeeper und XProtect Remediator macOS zuverlässig vor Malware. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/5d/0f5d83099df51d9ea4de4c3594f896bc/0112207715.jpeg "Wir stellen die besten acht Vulnerability-Scanner für Linux vor. (Bild: deagreez - stock.adobe.com)")