Category Archives: Politik

Log4Shell ist gefährlich

Darum ist Log4Shell so gefährlich
Vor einer Woche sorgte die Nachricht der Sicherheitslücke Log4Shell für Schockwellen nicht nur in den IT-Abteilungen. Warum der Zero-Day-Exploit so gefährlich ist.

Als vor einer Woche die ersten Berichte über die Sicherheitslücke «Log4Shell» die Runde machten, ging es nicht nur in den IT-Abteilungen, sondern auch in den Nachrichtenredaktionen schlagartig hektisch zu. Ein komplexes Informatik-Problem wurde in Sekundenschnelle zur Herausforderung für die weltweite IT-Infrastruktur, und damit zum Problem für die zunehmend vernetzte Welt. Der Tenor von IT-Sicherheitsexperten: Log4Shell sei nichts weniger als eine der grössten Bedrohungen für das Internet überhaupt. Auch eine Woche später hält die Lücke IT-Experten nach wie vor in Atem.

Was ist Log4Shell?
Seinen Namen Log4Shell hat die Sicherheitslücke durch die sehr verbreitete Programmbibliothek Log4J erhalten. Hinter dem Akronym verbirgt sich Logging for Java («Protokollieren für Java»). Es ist somit ein kleines Hilfsprogramm, welches zum Türöffner für eine Vielzahl anderer Programme wird, durch die Sicherheitslücke funktionsbedingt jedoch auch für mögliche Angreifer. Diese können die Lücken in Log4J ausnutzen, Programmcode auf dem kompromittierten System ausführen, um schliesslich Informationen abzugreifen oder auch Rechenleistung für das Krypto-Mining zu stehlen. Bleiben die Folgen unentdeckt, kann dies fatale Folgen haben. Die Attacken folgten in einem atemberaubenden Tempo. Das Team von Log4j reagierte zwar schnell und hat bereits zahlreiche Updates zur Verfügung gestellt. Aber da liegt nicht das Problem. Es sind unter anderem die vielen Millionen Geräte, die selten oder gar nicht gewartet werden. Aber auch mit der schlichten Installation eines Patches ist es oftmals nicht getan. Log4Shell ist Open-Source-Software und für unzählige Systeme angepasst. Die versammelte Cybercrime-Gemeinde begann nach Bekanntwerden von Log4Shell umgehend, mithilfe von Massenscans so viele verwundbare Systeme wie möglich auszumachen. Dabei klopft spezielle Software automatisiert IP-Adressen ab und analysiert, ob der entsprechende Webserver anfällig ist. Sicherheitsforscher und IT-Dienstleister registrierten verdächtige Aktivitäten und Angriffe nicht nur von Hackergruppen, sondern auch von Geheimdiensten rund um den Globus. Mit dabei die üblichen Verdächtigen wie etwa China, Iran und Nord-Korea. Seit Bekanntwerden der Sicherheitslücke, wahrscheinlich schon davor, liefern sich Cyberkriminielle und Entwickler ein Wettrennen. Wie so oft haben Letztere dabei häufig das Nachsehen. Meldungen über erfolgreiche Angriffe sind mittlerweile kaum mehr zu überblicken. Bei der Analyse der Attacken sparen sonst zurückhaltende Informatiker nicht mit Superlativen. Mitunter kommt dabei gar pandemischer Jargon zum Einsatz. Denn wie bei Corona führen neue Varianten permanent zu neuen Hürden für Entwickler.

Warum ist Log4Shell so gefährlich?
Die Gefahr des sogenannten Zero-Day-Exploits liegt vor allem in der enormen Verbreitung von Log4J. Praktisch alle Java-Applikationen verwenden diese Bibliothek. Java wiederum ist auf Milliarden von Systemen in Verwendung, vom Smartphone bis zum Webserver. Michael Stampfli, Head of Security Operations beim Schweizer Cybersecurtiy Dienstleister InfoGuard AG erklärt im Gespräch mit blue News: «Log4Shell ist eine gravierende kritische Sicherheitslücke, welche in unzähligen Produkten von einfachen Open-Source-Organisations-Applikationen stecken kann.» Bei einem Zero-Day-Exploit handelt es sich um eine Sicherheitslücke, die entweder gleichzeitig oder sogar vor Erscheinen eines Patches bekannt wird. «Dadurch entsteht ein Zeitfenster für Angreifer; ein Zeitfenster, welches ihnen erlaubt, diese Schwachstellen auszunutzen», erläutert Reto Zeidler, Chief Managed Services Officer der ISPIN AG. Dieses Zeitfenster nutzen Angreifer mittlerweile millionenfach. Einer Aufsehenerregenden Studie von Check Point Software zufolge seien bereits innert der ersten drei Tagen nach Bekanntwerden der Lücke rund 846’000 Attacken registriert worden. Eine der grössten Herausforderungen besteht Zeidler zufolge zunächst darin, herauszufinden, wo diese Lücke überhaupt vorhanden ist: «Was die Log4Shell-Sicherheitslücke besonders macht, ist, dass sie eine Softwarekomponente betrifft, welche als Bestandteil in den verschiedensten Anwendungen genutzt wird und daher extrem weit verbreitet ist.»

Wie ist die Situation in der Schweiz?
Natürlich versetzte die Sicherheitslücke auch in der Schweiz IT-Fachleute allerorten in Alarmbereitschaft. Der Analyse von Check Point zufolge sind hierzulande mit 48 Prozent fast die Hälfte der vom Unternehmen erfassten Firmennetzwerke bereits angegriffen worden. Auch bei InfoGuard haben sich bereits mehrere Unternehmen mit Hilfeersuchen gemeldet, wenngleich Bestandskunden bislang nicht betroffen seien. Reto Zeidler weiss Ähnliches zu berichten: «Unsere Spezialisten können bestätigen, dass es derzeit aktive Angriffsversuche gibt. Bisher ist es uns gelungen, diese bei unseren Kunden abzuwehren. Damit gewinnen diese Zeit, um diese Lücken zu schliessen.»

Was ist zu tun?
Privatanwender können sich selbst nicht wirklich gegen die Lücke schützen. Die Liste der betroffenen Unternehmen jedoch liest sich wie eine Hitliste der Internet-Infrastruktur, von Apple über Google bis Amazon. Da ein sogenannter Exploit nur dann möglich ist, wenn der Server Internet-Zugang hat, gilt laut Stampfli höchstens die allgemeine Empfehlung: «Das Blockieren von unbekanntem, ausgehendem Netzwerktraffic von Servern, damit das Nachladen von Schadcode verhindert wird.» Aktuell helfen die Experten des von InfoGuard vorwiegend bei der Bewältigung der Identifizierung betroffener Systeme. Dabei sei es Stampfli zufolge besonders wichtig, «erfolgreiche Angriffe so rasch wie möglich zu erkennen und einzudämmen». Auch Zeidler betont die Bedeutung der Geschwindigkeit: «Wir empfehlen den Unternehmen, so rasch als möglich festzustellen, welche Systeme bei ihnen von dieser Lücke betroffen sind. Dabei sind vor allem diejenigen Systeme zu priorisieren, welche von aussen, also aus dem Internet, erreichbar sind.»

Wie geht es jetzt weiter?
Die grosse Verbreitung der Software und einige andere Faktoren führen nach Ansicht von IT-Fachleuten dazu, dass «Log4Shell» auch weiterhin ein Sicherheitsproblem bleiben wird und damit auch eine Herausforderung für die kritische Infrastruktur Internet. Experten sind sich weitgehend einig, dass es das so schnell nicht gewesen sein wird. So auch Michael Stampfli: «Ein eingeschränktes Set an präventiven Massnahmen sowie die Schwierigkeit der Identifikation betroffener Komponenten sind dafür verantwortlich, dass uns diese Schwachstelle noch einige Zeit begleiten wird.»

Happy St. Patrick’s Day

Happy Saint Patrick’s Day 2021
Der Saint Patrick’s Day ist der Gedenktag des irischen Bischofs Patrick, der im 5. Jahrhundert lebte und als erster christlicher Missionar in Irland gilt. Sein Geburts- und sein Sterbetag sind nicht bekannt; das Datum 17. März für den Sterbetag tauchte erstmals im 7. Jahrhundert auf. Einige Historiker vermuten, dass in der Gestalt des Sankt Patrick, wie er heute verehrt wird, mindestens zwei Einzelpersonen zusammenflössen. Patrick wird in der katholischen Kirche als Heiliger verehrt.

Gedenktag
Der Gedenktag des heiligen Patrick wird in der römisch-katholischen Kirche sowie der Anglikanischen Church of Ireland am 17. März begangen. Da der Heilige als Schutzpatron Irlands gilt, ist das Fest des Heiligen im irischen Regionalkalender ein Hochfest.

Der 17. März ist in der Republik Irland, in Nordirland, im britischen Überseegebiet Montserrat sowie der kanadischen Provinz Neufundland ein gesetzlicher Feiertag. Der Saint Patrick’s Day wird weltweit von Iren, irischen Emigranten und zunehmend auch von Nicht-Iren gefeiert. In Dublin und den meisten anderen irischen Städten machen grosse Paraden und vielfältige Aktivitäten den Saint Patrick’s Day zu einem bunten Volksfest. Die grössten Paraden finden in Dublin, München, New York, Boston, New Orleans, Chicago, Manchester und Savannah statt. Auch in der britischen Hauptstadt London gibt es jährlich eine Parade und ein Festival.

Am 17. März ist Grün die vorherrschende Farbe der feiernden Iren in aller Welt. In einigen Städten (z.B. Chicago) werden am Saint Patrick’s Day sogar die Flüsse grün eingefärbt. Hierzu werden heute pflanzliche Farbstoffe verwendet. Auch Bier (aber nicht das irische Guinness) wird an diesem Tag manchmal grün eingefärbt…

Miketop – Lego Corona-Virus

Lego Corona Virus mit trauriger Corona Minifigur „Corona Krise 2020, ich war dabei“
Hallo Freunde. Das Corona Virus breitet sich extrem schnell aus. Bitte haltet euch an die Vorschriften, helft und unterstützt euch gegenseitig. Seid keine Egoisten und macht keine Hamsterkäufe, denn es reicht für alle. Setzt euren gesunden Menschenverstand ein – und es wird alles wieder gut werden. Bitte bleibt gesund meine Freunde…

 

Miketop – Corona Minifigur

Miketop – Lego Covid19-Minifigur
Meine neuste Kreation – Lego Minifigur mit „Corona Krise 2020, ich war dabei“. Limitiert auf 5 Stück. Leider hat das Corona-Virus die ganze Welt im Griff…

 

Die chinesische Währung

Fünf kuriose Fakten zum Yuan
Chinas neue Führung treibt den Wandel des Wirtschaftssystems voran und gibt erstmals den Wechselkurs der Landeswährung Yuan komplett frei. Die Welt hat China lange unter Druck gesetzt, jetzt gibt Peking nach. Allerdings mit Einschränkungen. So ist die Freigabe zunächst nur regional stark begrenzt. Die Regierung plant ein Zollfreigebiet in der Wirtschaftsmetropole Shanghai, wo der Yuan frei gehandelt werden soll, wie aus Plänen des Staatsrates hervorgeht. Bislang kontrolliert China die Geschäfte mit seiner Währung sehr stark: Die Zentralbank gibt täglich einen fixen Wechselkurs für den Yuan vor. Der Wert des Yuan wird somit nicht wie bei den meisten anderen Währungen üblich durch Angebot und Nachfrage bestimmt. Westliche Staaten kritisieren, der Yuan sei dadurch unterbewertet. Das mache chinesische Exporte besonders billig und damit konkurrenzfähiger als Produkte anderer Staaten. In den vom Staatsrat im August gebilligten Plänen zum Zollfreigebiet Shanghai heisst es, China wolle den Yuan „letztlich” freigeben. Die Einführung einer von Angebot und Nachfrage bestimmten Währung in einem Zollfreigebiet sei ein Test unter der Bedingung, dass „das Risiko kontrolliert werden kann”.

Yuan Renminbi China Miketop

Fakten zur China-Währung
Namen: Renminbi ist der offizielle Name des chinesischen Geldes. Die „Volkswährung” – so die Übersetzung – wurde nach Gründung der Volksrepublik 1949 eingeführt. Yuan ist das Wort für die Zahleinheit, das Schriftzeichen ist dasselbe wie für den japanischen Yen. Der Begriff Yuan wird auch für andere Währungen verwendet, so heisst der US-Dollar auf Chinesisch „Meiyuan” und der Euro „Ouyuan”.

Alltag: Im Geschäft oder Supermarkt sprechen die Chinesen vor allem im Norden des Landes aber eher von einem Kuai (Stück) statt einem Yuan. Einen Kuai bezahlen die Chinesen umgangssprachlich auch, wenn sie im Ausland andere Währungen in die Hand nehmen.

Richtig kompliziert: Für Ausländer schwer zu behalten sind die chinesischen Bezeichnungen für kleinere Geldeinheiten. Ein Yuan entspricht zehn Jiao (Ecke), umgangssprachlich sagen die Chinesen auch Mao (Haar). Ein Jiao wiederum ist so viel wie zehn Fen (Ration).

Münz-Armut: Während Yuan und Jiao in China als Geldscheine verschiedener Größen kursieren, sind die aus Aluminium geprägten Fen-Münzen wegen ihres geringen Werts kaum noch verbreitet.

Aussprache: Der Yuan wird „Jüen” ausgesprochen.

error: Content is protected :-)