Geknackte Zwei-Faktor-Anmeldung: Warum Software Token keine gute Idee sind
Eine mutmaßlich chinesische Hackergruppe, deren Angriffe bis 2011 zurückgehen, soll einen neuartigen Angriff auf RSA-Software-Token entdeckt haben.
#APT20 ist zurück. Die niederländische #Sicherheitsfirma #FoxIT will eine #Hacker-#Operation einer staatlichen chinesischen #Hackergruppe enttarnt haben, die schon 2011 bei den sogenannten #Nitro #Attacks Unternehmen der #Chemieindustrie angegriffen haben sollen. Die Gruppe, die seit diesen Angriffen unter der Beobachtung diverser #IT-#Security-Unternehmen stand wurde mit dem Codenamen APT 20 belegt und soll nun, nach zwei Jahren ohne sichtbare Angriffe, wieder aufgetaucht sein. Der Bericht von Fox-IT ist vor allem auch deswegen interessant, weil die (mutmaßlichen) Chinesen einen per Zwei-Faktor-Anmeldung gesicherten #VPN-Zugang geknackt haben – mit einem anscheinend komplett neuen Vorgehen.
☣️ Wenn der zweite Faktor kein zweiter Faktor ist
Zwei-Faktor-Anmeldung (#2FA) gilt bei #Sicherheitsforschern eigentlich als non plus ultra für die Absicherung von Benutzerkonten, da der Anwender hier neben seinem Passwort einen zweiten, physischen Faktor benötigt – etwa ein Hardware-Token oder ein #Smartphone mit bestimmter Software. Wenn sich Angreifer, wie APT 20 im vorliegenden Fall, ins #Netzwerk einer Organisation schleichen, können sie zwar in der Regel alle Passwörter, Zertifikate und sonstige Authentifizierung-Merkmale abgreifen, kommen aber nicht an nicht mit dem Netzwerk verbundene Hardware heran. Sie sitzen nun mal (mutmaßlich) in #China und haben von dort keinen Zugriff auf das in den #USA befindliche Hardware-Dongle oder das Handy eines Mitarbeiters.
Weiter auf:
https://www.heise.de/security/meldung/Geknackte-Zwei-Faktor-Anmeldung-Warum-Software-Token-keine-gute-Idee-sind-4622748.html
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@FLOSSb0xIN
📡@NoGoolag
Eine mutmaßlich chinesische Hackergruppe, deren Angriffe bis 2011 zurückgehen, soll einen neuartigen Angriff auf RSA-Software-Token entdeckt haben.
#APT20 ist zurück. Die niederländische #Sicherheitsfirma #FoxIT will eine #Hacker-#Operation einer staatlichen chinesischen #Hackergruppe enttarnt haben, die schon 2011 bei den sogenannten #Nitro #Attacks Unternehmen der #Chemieindustrie angegriffen haben sollen. Die Gruppe, die seit diesen Angriffen unter der Beobachtung diverser #IT-#Security-Unternehmen stand wurde mit dem Codenamen APT 20 belegt und soll nun, nach zwei Jahren ohne sichtbare Angriffe, wieder aufgetaucht sein. Der Bericht von Fox-IT ist vor allem auch deswegen interessant, weil die (mutmaßlichen) Chinesen einen per Zwei-Faktor-Anmeldung gesicherten #VPN-Zugang geknackt haben – mit einem anscheinend komplett neuen Vorgehen.
☣️ Wenn der zweite Faktor kein zweiter Faktor ist
Zwei-Faktor-Anmeldung (#2FA) gilt bei #Sicherheitsforschern eigentlich als non plus ultra für die Absicherung von Benutzerkonten, da der Anwender hier neben seinem Passwort einen zweiten, physischen Faktor benötigt – etwa ein Hardware-Token oder ein #Smartphone mit bestimmter Software. Wenn sich Angreifer, wie APT 20 im vorliegenden Fall, ins #Netzwerk einer Organisation schleichen, können sie zwar in der Regel alle Passwörter, Zertifikate und sonstige Authentifizierung-Merkmale abgreifen, kommen aber nicht an nicht mit dem Netzwerk verbundene Hardware heran. Sie sitzen nun mal (mutmaßlich) in #China und haben von dort keinen Zugriff auf das in den #USA befindliche Hardware-Dongle oder das Handy eines Mitarbeiters.
Weiter auf:
https://www.heise.de/security/meldung/Geknackte-Zwei-Faktor-Anmeldung-Warum-Software-Token-keine-gute-Idee-sind-4622748.html
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@FLOSSb0xIN
📡@NoGoolag
Security
Geknackte Zwei-Faktor-Anmeldung: Warum Software Token keine gute Idee sind
Eine mutmaßlich chinesische Hackergruppe, deren Angriffe bis 2011 zurückgehen, soll einen neuartigen Angriff auf RSA-Software-Token entdeckt haben.
Forwarded from cRyPtHoN™ INFOSEC (DE)
Sie sind bei Tor nicht anonym - Letzten Februar wurde mein Tor-Onion-Dienst von einem riesigen DDoS-Angriff (Distributed Denial-of-Service) auf Tor-Basis betroffen.
Ich verbrachte Tage mit der Analyse des Angriffs, der Entwicklung von Entschärfungsoptionen und der Verteidigung meines Servers. (Der Tor-Dienst, den ich für das Internet-Archiv betreibe, war für ein paar Stunden ausgefallen, aber ich habe es geschafft, ihn am Laufen zu halten und den größten Teil des Angriffs durchzustehen).
Während ich versuchte, kreative Wege zu finden, um den Dienst am Laufen zu halten, konsultierte ich eine Gruppe von Freunden, die im Bereich der Reaktion auf Netzwerkvorfälle sehr aktiv sind. Einige von ihnen sind die Leute, die die Welt vor neuen Netzwerkangriffen warnen. Andere sind sehr erfahren im Aufspüren von Denial-of-Service-Angriffen und den damit verbundenen Command-and-Control (C&C)-Servern. Ich habe sie gefragt, ob sie mir helfen könnten, die Quelle des Angriffs zu finden. "Sicher", antworteten sie. Sie brauchten nur meine IP-Adresse.
Ich las die Adresse ab: "152 Punkt" und sie wiederholten "152 Punkt". "19 Punkt" "19 Punkt" und dann sagten sie mir den Rest der Netzwerkadresse. (Ich war fassungslos.) Tor sollte anonym sein. Man soll die IP-Adresse eines versteckten Dienstes nicht kennen. Aber sie wussten es. Sie hatten die Tor-basierten DDoS beobachtet. Sie hatten eine Liste mit den Adressen der versteckten Dienste, die das Ziel des Angriffs waren. Sie wussten nur nicht, dass diese spezielle Adresse meine war.
Wie sich herausstellt, ist dies ein offenes Geheimnis in der Gemeinschaft der Internetdienste: Sie sind bei Tor nicht anonym !!
💡 Modell der Bedrohung
Es gibt eine Fülle von Dokumenten, die behandeln, wie Tor Pakete dreifach verschlüsselt, eine Route mit Hilfe eines Wächters, eines Relays und eines Ausgangs auswählt und Pfade zufällig bestimmt, um den Netzwerkverkehr durcheinander zu bringen. Allerdings decken nur wenige Dokumente das Bedrohungsmodell ab. Wer kann Ihren Verkehr sehen?
👀 👉🏼🇬🇧 https://www.hackerfactor.com/blog/index.php?/archives/896-Tor-0day-Finding-IP-Addresses.html
#tor #onion #service #zeroday #DDoS #attacks #anonymous #poc #thinkabout
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@NoGoolag
Ich verbrachte Tage mit der Analyse des Angriffs, der Entwicklung von Entschärfungsoptionen und der Verteidigung meines Servers. (Der Tor-Dienst, den ich für das Internet-Archiv betreibe, war für ein paar Stunden ausgefallen, aber ich habe es geschafft, ihn am Laufen zu halten und den größten Teil des Angriffs durchzustehen).
Während ich versuchte, kreative Wege zu finden, um den Dienst am Laufen zu halten, konsultierte ich eine Gruppe von Freunden, die im Bereich der Reaktion auf Netzwerkvorfälle sehr aktiv sind. Einige von ihnen sind die Leute, die die Welt vor neuen Netzwerkangriffen warnen. Andere sind sehr erfahren im Aufspüren von Denial-of-Service-Angriffen und den damit verbundenen Command-and-Control (C&C)-Servern. Ich habe sie gefragt, ob sie mir helfen könnten, die Quelle des Angriffs zu finden. "Sicher", antworteten sie. Sie brauchten nur meine IP-Adresse.
Ich las die Adresse ab: "152 Punkt" und sie wiederholten "152 Punkt". "19 Punkt" "19 Punkt" und dann sagten sie mir den Rest der Netzwerkadresse. (Ich war fassungslos.) Tor sollte anonym sein. Man soll die IP-Adresse eines versteckten Dienstes nicht kennen. Aber sie wussten es. Sie hatten die Tor-basierten DDoS beobachtet. Sie hatten eine Liste mit den Adressen der versteckten Dienste, die das Ziel des Angriffs waren. Sie wussten nur nicht, dass diese spezielle Adresse meine war.
Wie sich herausstellt, ist dies ein offenes Geheimnis in der Gemeinschaft der Internetdienste: Sie sind bei Tor nicht anonym !!
💡 Modell der Bedrohung
Es gibt eine Fülle von Dokumenten, die behandeln, wie Tor Pakete dreifach verschlüsselt, eine Route mit Hilfe eines Wächters, eines Relays und eines Ausgangs auswählt und Pfade zufällig bestimmt, um den Netzwerkverkehr durcheinander zu bringen. Allerdings decken nur wenige Dokumente das Bedrohungsmodell ab. Wer kann Ihren Verkehr sehen?
👀 👉🏼🇬🇧 https://www.hackerfactor.com/blog/index.php?/archives/896-Tor-0day-Finding-IP-Addresses.html
#tor #onion #service #zeroday #DDoS #attacks #anonymous #poc #thinkabout
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@NoGoolag