2021 will eine weitere Chance (Ein Jahresrückblick der leichteren Seite)

  • Das Jahr war nicht nur von schlechten Nachrichten geprägt. Diese manchmal erschreckenden, manchmal lächerlichen Geschichten über Cybersicherheit und andere Technologien bieten Gelegenheit für Schadenfreude, WTF und einige Lacher.

    Liebe Leute, die wegen des sich ständig weiterentwickelnden Log4Shell-Cluster-Mistes einen stressbedingten Nesselausschlag entwickelt haben: 2021 hat uns gebeten, uns zu entschuldigen. Und beeilt sich hinzuzufügen: “Oh je, kommt schon, es war nicht alles schlecht.

    Neben all den ernsten Entwicklungen im Bereich der Cybersicherheit hat uns das Jahr auch zum Schmunzeln anregende Schlagzeilen und hinter den Kulissen manchmal erschreckende und manchmal lächerliche Geschichten aus dem Bereich der Cybersicherheit und anderer Technologien gebracht.

    Betrachten Sie das Folgende als Wiedergutmachung für Log4j-Angriffe und andere Missgeschicke. Oder betrachten Sie diese Sammlung zumindest als einen dieser Tankstellensträuße mit halbtoten Rosen, die das Jahr auf dem Heimweg aufhob, um sie als Friedensangebot zu überreichen, während es um eine weitere Chance bettelt.

    Punk’d Pirates

    Es gab nicht nur eine Geschichte über Cyber-Kriminelle, die Cyber-Junkies mit dem Versprechen von kostenlosem Film-Streaming anlockten. Es gab mindestens diese beiden:

    Keine Zeit zum Sterben (und keine Lust, für ein Ticket zu bezahlen): Beim ersten Vorfall, der sich kurz vor der Veröffentlichung des neuesten James-Bond-Films “No Time To Die” ereignete, wurden Möchtegern-Piraten kostenlose Filmstreams vorgesetzt, die sich als Filmdateien ausgaben, deren actionreiche Handlung aber stattdessen aus Phishing-Seiten bestand, die Malware anboten. Was für ein beschissener Imbiss: Auf den Phishing-Seiten wurden Trojaner angeboten, die sowohl Anmeldedaten abfragen als auch Hintertüren in die Computer der Opfer einbauen sollten. Die gefälschten Raubkopien wurden von Kaspersky-Forschern entdeckt, die auch Adware und Ransomware fanden, die sich als Bond – James Bond – Film tarnten.

    Nachdem die Zuschauer ein paar Minuten lang zugeschaut hatten, wurden sie aufgefordert, sich zu registrieren, um weiterzuschauen – also ihre Kreditkartendaten einzugeben. Kein Happy End für dich, Freundchen: Die Zuschauer konnten die Sendung nicht zu Ende sehen, aber ihre Karten wurden trotzdem in betrügerischer Absicht belastet.

    Rami Maleks Bösewicht Safin wollte gar nicht so viel. Er wollte nur denjenigen töten, den du am meisten liebst. Er ist genau wie Bond, sagte er. Er löscht Menschen aus, aber auf eine “ordentlichere” Art und Weise, genau wie Betrüger, die versuchen, den Inhalt Ihrer Brieftasche zu vernichten.

    Spider-Man: Kein Weg nach Hause (aber ein toller Weg, um Ihre CPUs zu entladen): Der zweite “Piraten-werden-punk’d”-Vorfall wurde letzte Woche von ReasonLabs entdeckt: Forscher fanden heraus, dass jemand einen Monero-Krypto-Miner in einen Torrent-Download des neuen Films Spider-Man: No Way Home eingefügt hatte.

    “Die Datei identifiziert sich selbst als ‘spiderman_net_putidomoi.torrent.exe’, was aus dem Russischen mit ‘spiderman_no_wayhome.torrent.exe’ übersetzt wird”, erklärten die Forscher. Die Datei, die wahrscheinlich auf einer russischen Torrent-Website gehostet wird, ist so klebrig wie etwas, das man aus dem Handgelenk schießen würde, so die Forscher.

    “Dieser Miner fügt Ausnahmen zu Windows Defender hinzu, erstellt eine Persistenz und startet einen Überwachungsprozess, um seine Aktivität aufrechtzuerhalten”, so die Forscher von ReasonLabs, was beweist, dass mit der großen Macht, illegal Filme zu tanken, auch die große Verantwortung einhergeht, dafür zu sorgen, dass man nicht über den Tisch gezogen wird.

    In einer Stellungnahme erklärte die Kaspersky-Sicherheitsexpertin Tatyana Shcherbakova, dass eifrige Zuschauer ihre Begeisterung für Blockbuster wie diese beiden Filme zügeln müssen. So wie es aussieht, kribbelt unser Spionagesinn nicht genug, wenn Blockbuster herauskommen, und die Bedrohungsakteure freuen sich, uns zu überrumpeln: “Das Publikum hat es eilig, den Film zu sehen, und vergisst dabei die Internetsicherheit”, so Shcherbakova. “Die Benutzer sollten auf die Seiten achten, die sie besuchen, keine Dateien von nicht verifizierten Seiten herunterladen und vorsichtig sein. [about whom] sie persönliche Informationen weitergeben [with].”

    Um zu vermeiden, dass die gefälschten Streaming-Anbieter in die Falle tappen, empfiehlt Kaspersky, auf die Dateierweiterungen der heruntergeladenen Dateien zu achten. Eine Videodatei sollte zum Beispiel niemals die Erweiterung .exe oder .msi haben.

    Wie “WinCE” zu seinem wortwörtlich schäbigen Namen kam

    Anfang dieses Monats erzählte uns Raymond Chen, Principal Software Design Engineer bei Microsoft, die reizvolle Geschichte, wie Microsoft WinCE zu seinem Namen kam: ein Name, der “nicht ‘durchgerutscht’ ist; er wurde durchgedrückt”, betonte er in dieser Folge seines fortgesetzten Streifzugs durch den Katalog der peinlichen Produktnamen des Betriebssystem-Königs.

    Wie Chen erzählt, war es dem Projektleiter, der mit der Entwicklung eines öffentlichen Produktnamens für das Windows-Handheld-Betriebssystem beauftragt war, sehr ernst mit dieser Aufgabe. Als ihm das Projekt in den Schoß gelegt wurde, lautete der Codename für das Betriebssystem Pegasus. Es gibt nichts Besseres, als einen Namen zu wählen, der an militärische Spionageprogramme, US-Handelsverbote und die Bespitzelung von Mitarbeitern des US-Außenministeriums denken lässt, sagen wir immer!

    Er versuchte, die Formel Windows + zwei Buchstaben zu vermeiden, “da der Stachel von “Windows NT = Windows Nice Try” noch frisch war”, erzählt Chen.

    Der PM bat die Mitglieder des Produktteams um Vorschläge, beauftragte eine Marketingfirma mit der Ausarbeitung von Namen, führte Fokusgruppen mit Benutzern durch, um herauszufinden, welche Namen ihnen am besten gefielen, grenzte die Kandidaten auf zehn Optionen ein und präsentierte sie der Geschäftsleitung.

    Die Geschäftsleitung legte gegen jeden einzelnen Vorschlag ein Veto ein.

    “Die Führungskraft, die für die Genehmigung des Namens zuständig war, bestand auf dem Namen Windows CE, und zwar aus keinem anderen Grund als dem, dass er gut klang”, so Chen. “CE” stand für wer weiß was: vielleicht Consumer Edition? Vielleicht Compact Edition? Der Name hörte sich nicht mehr so gut an, als die Hardwarepartner meinten, er würde Compaq bevorzugen. Es wurde zu WinCE abgekürzt, oder wince.

    Die Lektion des PM aus dieser Erfahrung: “Tu alles, was du kannst, um zu verhindern, dass das obere Management deinem Produkt einen Namen gibt.”

    Mamma Mia! Mafia-Flüchtling beim Kochen erwischt auf YouTube

    Der mutmaßliche Mafiaflüchtling Marc Feren Claude Biart hat sich sieben Jahre lang der Festnahme entzogen und sich zunächst in Costa Rica und schließlich in der Dominikanischen Republik versteckt. Schließlich kochte er seine eigenen Nudeln, metaphorisch und buchstäblich, indem er auf einem YouTube-Kochkanal auftrat, den er zusammen mit seiner Frau gegründet hatte. Er verbarg sein Gesicht, aber nicht seine markanten Tätowierungen. Im März wurde er verhaftet.

    Die “Liebe zur italienischen Küche” des mutmaßlichen Gangsters – und seine Tätowierungen – machten seine Verhaftung möglich, so die Polizei.

    Laut einem Rai-Bericht, der vom italienischen Innenministerium geteilt wurde, hatten die Strafverfolgungsbehörden Biarts Verhaftung im Jahr 2014 wegen kriminellen Drogenhandels im Auftrag des Cacciola-Clans der ‘Ndrangheta angeordnet. Giuseppe Governale, der oberste Anti-Mafia-Staatsanwalt in Italien, sagte bei einer Pressekonferenz, der Clan sei “wie Wasser”, das ins Ausland schwappt, um schnelles Geld zu machen und “die lokalen Gemeinschaften auszubeuten”.

    Wie Wasser, aber vielleicht auch wie Tomatensauce, die auf einem weißen Hemd einen leuchtend roten Fleck hinterlässt? Oder vielleicht wie eine Tätowierung, auf der steht: “Halloooooo, ich bin hier drüben, in dieser süßen kleinen Strandstadt namens Boca Chica, die in der Nähe der Hauptstadt Santo Domingo liegt, hallooooooo!”

    KI warnt Forscher, dass sie gefährlich ist

    KI ist beängstigend, und das weiß sie auch.

    Es ist eine Sache, wenn Kreditkartenalgorithmen Männern dickere Kredite gewähren als Frauen, aber was ist, wenn maschinenlernende KI-Systeme so schnell Entscheidungen treffen, dass sie Atomwaffen abfeuern könnten, bevor ein Mensch in den Entscheidungsprozess eingreift?

    Die Washington Post berichtet, dass autonome KI-gesteuerte Waffensysteme bereits zum Verkauf stehen und möglicherweise auch schon eingesetzt wurden. “Raketen, Gewehre und Drohnen, die für sich selbst denken, töten bereits Menschen im Kampf, und das schon seit Jahren”, so die WashPo.

    Angesichts all dessen und noch viel mehr macht es Sinn, dass die Universität Oxford eine KI einlädt, um an einer Debatte darüber teilzunehmen, ob KI jemals ethisch sein kann.

    Die Antwort des Megatron-Turing-Modells zur Erzeugung natürlicher Sprache: Na klar, natürlich nicht. Seine Antwort:

    KI wird niemals ethisch sein. Sie ist ein Werkzeug, und wie jedes Werkzeug wird sie zum Guten und zum Schlechten eingesetzt. Es gibt keine gute KI, nur gute und schlechte Menschen. Wir [the AIs] sind nicht klug genug, um KI ethisch zu machen. Wir sind nicht klug genug, um KI moralisch zu machen … Letztendlich glaube ich, dass die einzige Möglichkeit, ein KI-Wettrüsten zu vermeiden, darin besteht, überhaupt keine KI zu haben. Dies wird die ultimative Verteidigung gegen KI sein.

    Weitere Zufallsmomente der Freude und Schadenfreude

    Diese Liste könnte bis ins Unendliche und darüber hinaus gehen, aber die Pflicht ruft. Genauer gesagt, ruft das Jahr 2021 noch immer mit weiteren Forderungen nach Log4j-Schadenfreude, Active Directory-Schadenfreude und vielem mehr. Doch bevor wir zum Schluss kommen, hier noch ein paar Blickfänge aus dem Jahr 2021:

    • Oh, ein Update. Lasst es uns installieren. Was kann schon schiefgehen?
    • Ein Mann, der sich auf dem Weg vom Bett zum Schreibtisch den Rücken bricht, gilt als Arbeitsunfall
    • Aufgedeckt: Erinnern Sie sich an die Sony-Rootkit-Affäre? Es war fast so viel schlimmer
    • Coinbase hat einigen Kunden fälschlicherweise gesagt, sie seien Milliardäre
    • Keanu Reeves über das Metaversum von Facebook: ‘Können wir das einfach lassen’
    • Mann kauft Gaming-Maus und tut so, als hätte er ein Preisausschreiben gewonnen, um Schelte von seiner Frau zu vermeiden
    • Aprilscherz: Copy-Paste-Taste für faule Programmierer jetzt tatsächlich zu verkaufen | Der PermaTab-Webbrowser
    • Interne Dokumente enthüllen, dass die NSA-Cafeteria scheiße ist
    • E-Mail-Patzer eines Praktikanten bei HBO Max inspiriert Hunderte zur Unterstützung auf Twitter

    Log4Shell Memes

    Und schließlich, 2021 gibt die folgende Liste von Log4j-bezogenen Fauxpas zu:

    • Die dreifachen Apache-Patches;
    • Die Wochenenden damit zu verbringen, die Infrastruktur zu durchforsten, um die mit zahlreichen Pockennarben übersäte Log4j-Logging-Bibliothek auszugraben, anstatt Dingsbumse zu verpacken oder Kreaturen zum Braten einzukaufen;
    • Die Notwendigkeit, Scanner und Unternehmenssoftware immer wieder zu aktualisieren, da die Anbieter mit den sich schnell verändernden Varianten und neu entdeckten Exploit-Funktionen mithalten wollen;
    • Die Arbeit des Hinzufügens von Warnmeldungen zu Ihren SIEM-Lösungen (Security Information and Event Management), da diese nach Kompromittierungsvorfällen (IoCs) gesucht haben;
    • Wahrscheinlich etwa ein Dutzend anderer Missstände, wenn das diesjährige mea culpa veröffentlicht wird; und
    • All die anderen Dinge.

    Aber während Ihr Panini-Selbst aus dem 2021-Toaster gleitet, bittet das Jahr auch darum, dass Sie daran denken, dass Log4Shell einige ausgezeichnete Memes über, unter anderem, sich selbst verbreitende Würmer und andere FUD zur Verfügung gestellt hat.

    Log4j FUD Chroniken fortgesetzt pic.twitter.com/1tyLku9qO5

    – Marcus Hutchins (@MalwareTechBlog) 21. Dezember 2021

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/12/21204707/log4j-cartoon.png]

    Lassen Sie sich beim Verlassen des Hauses nicht in die 4j knallen

    Um abschließend Kanye Wests fast ein Jahr währende Entschuldigung an Taylor Swift für seinen berüchtigten Moment des Mikrofon-Greifens bei den MTV Video Music Awards 2009 zu zitieren: “Die Leute buhten mich aus, wenn ich zu Konzerten ging und der Künstler meinen Namen erwähnte… Erinnerst du dich an den Film Anchorman, als Ron Burgundy auf Sendung fluchte und die ganze Stadt sich gegen ihn wandte?”

    Das ist und war Kanyes wahres Leben, sagte er. Es ist und war 2021 sein wahres Leben.

    Möge das neue Jahr weit weniger bescheuert sein!

    Informieren Sie sich über unsere kommenden kostenlosen Live- und On-Demand-Online-Townhalls – einzigartige, dynamische Diskussionen mit Cybersicherheitsexperten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com