c't 20/2016
S. 48
News
Sicherheit

Sicherheitsfirma beeinflusst Börsenkurs

Mit einem Bericht über Schwachstellen in Herzschrittmachern hat die Sicherheitsfirma MedSec den Börsenkurs des Medizintechnik-Herstellers St. Jude Medical um knapp fünf Prozent gedrückt. MedSec hatte Lücken entdeckt und diese absichtlich nicht an den Hersteller, sondern an die Investmentfirma Muddy Waters Capital (MWC) gemeldet. MWC hatte die Erkenntnisse veröffentlicht und gleichzeitig empfohlen, die Aktie von St. Jude zu verkaufen und dafür Papiere der Konkurrenzfirma Abbott Laboratories zu kaufen.

Dieses Vorgehen stellt eine neue Dimension bei der Veröffentlichung von Sicherheitslücken dar. Potenziell lässt sich mit solchen Börsen-Wetten mehr Geld verdienen als mit den Belohnungen der Hersteller für das Finden von Lücken. Vor allem bei Medizintechnik, wo die Suche nach Schwachstellen aufwendig und mit erheblichen Kosten für die Sicherheitsfirmen verbunden ist.

Sicherheitsforscher hegen derweil Zweifel am MedSec-Bericht. Angesichts dessen, dass ähnliche Sicherheitslücken in vergleichbarer Medizintechnik lange bekannt sind und bisher fast ausschließlich nur theoretisch in Erscheinung getreten sind, scheinen MedSec und MWC den vorliegenden Fall künstlich aufgebauscht zu haben. Das Archimedes Center for Medical Device Security, ein Zusammenschluss aus Forschern der University of Michigan und der Sicherheitsfirma Virta Labs mit jahrelanger Erfahrung bei der Untersuchung von Sicherheitslücken in Medizingeräten, kann im MedSec-Bericht keine schlüssigen Beweise für Fehlfunktionen von St.-Jude-Schrittmachern finden.

Auch St. Jude hält die Vorwürfe von MedSec für nicht zutreffend und geht nun juristisch gegen die Sicherheitsfirma vor. MedSec habe demnach die Interessen der Patienten, deren Leben von den Herzschrittmachern abhänge, aus finanziellen Interessen missachtet. MedSec hatte in seinem Bericht betroffenen Patienten empfohlen, die Funkverbindung und damit die Diagnosefunktion der Defibrillatoren abstellen zu lassen. (fab@ct.de)

Niedersächsische Polizei nimmt Microsoft-Scammer in Indien hoch

Fahnder aus Osnabrück und Hannover haben in Kalkutta ein Callcenter von Betrügern stillgelegt, die sich gegenüber Opfern in ganz Europa als Support-Mitarbeiter von Microsoft ausgegeben hatten, um diese dann ihrer Kreditkartendaten zu erleichtern. Allein in Deutschland gibt es 7647 Geschädigte. Die Betrüger hatten sie unter Vorwänden wie abgelaufenen Lizenzen oder Schadsoftware-Infektionen dazu gebracht, Fernwartungssoftware zu installieren. Die Opfer hatten für den angeblichen Service bis zu 250 Euro bezahlt und erlebten dann eine böse Überraschung, als die Betrüger erneut weitaus höhere Beträge abbuchten.

Die indische Polizei stürmte das Callcenter mit 250 Beschäftigten im laufenden Betrieb. Mit dabei: Ein Osnabrücker Staatsanwalt und drei LKA-Experten. Allerdings sollten sich die deutschen Opfer keine Hoffnungen machen, die Beute jemals wieder zu sehen. „Das Geld ist weg“, so die Staatsanwaltschaft. (fab@ct.de)

WoSign stellt regelwidrig Zertifikate aus

Die chinesische Kostenlos-Zertifizierungsstelle WoSign ist durch eine Reihe von Unregelmäßigkeiten beim Ausstellen von SSL-Zertifikaten aufgefallen. Mozilla berichtet von zwei Fehltritten der Certificate Authority (CA): Vor knapp einem Jahr hatte es ein Admin geschafft, sich ein Zertifikat für die GitHub-Domain ausstellen zu lassen. Das hatte geklappt, weil GitHub seinen Nutzern Subdomains überlässt, über die diese dann die Kontrolle haben. Da WoSign beim Erzeugen von Zertifikaten die Subdomains nicht richtig geprüft hatte, konnte der Forscher ein Zertifikat für die komplette Domain beantragen. Zwar hat er die Sicherheitslücke an die CA gemeldet, diese hat aber nicht den üblichen Gang nach Canossa angetreten und die Browser-Hersteller informiert. Außerdem weigerte sich WoSign zunächst, die 33 auf diese Weise bösartig ausgestellten Zertifikate ungültig zu machen.

In einem anderen Fall gelang es einem Admin, WoSign-Zertifikate zu beantragen, indem er seine Kontrolle über Webseiten unter der Domain belegte, die unter hohen Portnummern erreichbar waren. Da es sich dabei um unprivilegierte Ports handelt, konnten Nutzer sich diese Zertifikate ohne Admin-Rechte auf dem System ausstellen lassen. Das ist insgesamt 72 Mal passiert – auch diese unsichere Vorgehensweise war nicht gemeldet worden.

Mozilla erwägt momentan, welche Konsequenzen die Fehltritte für die CA haben sollen. Genau wie die direkten Konkurrenten StartSSL und LetsEncrypt stellt WoSign kostenlose Zertifikate zur Verfügung, die von allen großen Browsern ohne Zertifikatswarnungen akzeptiert werden. Denkbar wäre, dass Mozilla den WoSign-Zertifikaten das Vertrauen entzieht. (fab@ct.de)

Kommentieren