Die von Bloomberg Businesswire aufgeworfene Story um angebliche Spionage-Chips auf in China gefertigten Motherboards, die auch im Apple-Netzwerk zum Einsatz gekommen sein sollen, nimmt immer skurrilere Züge an. Nun hat sich eine der von der Publikation angeführten 17 Insider-Quellen zu Wort gemeldet und zu Protokoll gegeben, dass seine Aussagen aus dem Kontext gerissen worden seien und er Bloomberg vielmehr mitgeteilt habe, dass die gesamte Geschichte eigentlich keinen Sinn ergibt. Dabei handelt es sich um den Sicherheits-Experten Joe Fitzpatrick, der in dem ursprünglichen Bericht mit den Worten zitiert wurde: "The hardware opens whatever door it wants."

Gegenüber dem Technik-Podcast Risky Business (via 9to5Mac) zeichnet er seine Aussage nun aber in einem anderen Bild. Demnach habe Fitzpatrick gegenüber Bloomberg ausführlich erläutert, wie eine solche Attacke in der Theorie ablaufen könnte. Dabei soll es nach seiner Aussage aber nie um einen tatsächlich im Raum stehenden Angriff im Zusammenhang mit der Supermicro-Affäre gegangen sein. Als er vom Bloomberg-Redakteur Jordan Robertson dann schließlich auf die angeblichen Spionage-Chips aus China angesprochen wurde, soll Fitzpatrick erwidert haben: "It doesn’t make sense to me."

Diese Aussage basiert laut Fitzpatrick vor allem darauf, dass er die beschriebene Methode für deutlich zu aufwändig hält und es einfachere Wege gibt, über die Firmware eines Motherboards eine Hintertür in einen Server einzubauen:

Are you sure there is actually an additional hardware component […] It’s trivial to modify the firmware of most BMC and many of them are trivial to exploit remotely because of the poor quality outdated software they run. The attack you describe could easily be implemented in BMC firmware. Would be just as stealthy and far less costly to design and implement. If they were really implants, are you sure they were malicious?

Und auch am Wochenende gehen die Diskussionen um den Bericht von Bloomberg Businessweek vom Ende der vergangenen Woche weiter. Darin hatte die renommierte Publikation über angebliche Spionage-Chips auf in China produzierten Server-Motherboards berichtet, die auch bei Apple zum Einsatz gekommen sein sollen. Nachdem Apple die darin getätigten Aussagen, wonach das hauseigene Security-Team die Chips entdeckt habe, bereits vehement dementiert und dabei auch betont hatte, unter keinerlei Verschwiegenheitsklausel wegen der angeblichen Ermittlungen zu stehen, mehren sich die Unterstützer Cupertinos. Nachdem bereits das britische National Cyber Security Centre Apples Aussagen unterstützt hatte, tu dies nun auch das US-amerikanische Department of Homeland Security, welches in einem Statement am gestrigen Abend betonte, dass man keinerlei Ansatzpunkte habe, um die Aussagen von Apple anzuzweifeln. In dem Statement heißt es:

The Department of Homeland Security is aware of the media reports of a technology supply chain compromise. Like our partners in the UK, the National Cyber Security Centre, at this time we have no reason to doubt the statements from the companies named in the story. Information and communications technology supply chain security is core to DHS's cybersecurity mission and we are committed to the security and integrity of the technology on which Americans and others around the world increasingly rely. Just this month – National Cybersecurity Awareness Month – we launched several government-industry initiatives to develop near- and long-term solutions to manage risk posed by the complex challenges of increasingly global supply chains. These initiatives will build on existing partnerships with a wide range of technology companies to strengthen our nation's collective cybersecurity and risk management efforts.

Neben den offiziellen Behörden meldeten sich inzwischen auch immer mehr hochrangige Apple-Mitarbeiter gegenüber BuzzFeed News zu Wort. Die anonymen Mitarbeiter bekräftigten dabei Apples markige Worte, mit denen das Unternehmen die Meldungen zurückgewiesen hat. Bei Apple könne sich niemand erklären, wie Bloomberg auf seine Aussagen gekommen sein könnte. Teilweise könne man sich nicht mal vorstellen, dass ein solcher Chip, wie er in dem Bloomberg-Bericht beschrieben wird, überhaupt existiere.

Damit befinden sich Apple und Bloomberg weiterhin in einer Pattsituation, in der offenbar niemand von seinen Aussagen zurückweichen möchte. Bloomberg gehört ohne Zweifel zu den renommiertesten Publikationen überhaupt, weswegen man sich wundern müsste, würde man sich hier ohne Grundlage so weit aus dem Fenster lehnen. Apple und seine Unterstützer auf der anderen Seite lassen keinen Zweifel aufkommen, dass an dem Bericht auch nur irgendetwas dran sein könnte. Ob sich diese Situation jemals auflösen wird, muss nun abgewartet werden.

Der Bericht über angebliche Spionage-Chips auf in China produzierten Server-Motherboards von Bloomberg Businesweek schlägt weiter hohe Wellen. Nachdem Apple die darin getätigten Aussagen, wonach das hauseigene Security-Team die Chips entdeckt habe, bereits gestern vehement dementiert und dabei auch betont hatte, unter keinerlei Verschwiegenheitsklausel wegen der angeblichen Ermittlungen zu stehen, springt dem Unternehmen nun auch das britische National Cyber Security Centre zur Seite. Von dort heißt es gegenüber Reuters:

"We are aware of the media reports but at this stage have no reason to doubt the detailed assessments made by AWS and Apple. [...] The NCSC engages confidentially with security researchers and urges anybody with credible intelligence about these reports to contact us."

Apple hatte die angeblich betroffenen Supermicro-Server in seinen Datenzentren zum Betrieb von iTunes- und AppStore, iCloud und Siri eingesetzt, seine Verbindungen mit dem Hersteller jedoch 2016 abgebrochen, was Bloomberg als weiteren Indiz für das Entdecken der Spionage-Chips wertet. Laut Apple gab es seinerzeit allerdings lediglich einen isolierten Fall eines einzelnen Servers, auf dem ein mit Malware infizierter Treiber gefunden wurde. Inzwischen steht Apples Dementi übrigens auch in Form einer deutschen Pressemitteilung zur Verfügung.

Vergangenen Monat wurde bekannt, dass es einem australiaschen Teenager gelungen war, sich in das Apple-Netzwerk zu hacken und dort mehrere Gigabyte an Daten herunterzuladen. Inzwischen hat der Schüler auch seine Strafe mitgeteilt bekommen, wie Bloomberg berichtet. Demnach erhielt er eine 8-monatige Bewährungsstrafe, da der Hackingangriff als schwerwiegend und durchdacht angesehen wurde. Während der Untersuchung wurde zudem ca. 1 TB an Apple-Daten sichergestellt, was deutlich über den zunächst angenommenen 90 GB liegt. Da der Beschuldigte zum Tatzeitpunkt erst 16 Jahre alt war, darf seine Identität nicht öffentlich verkündet werden. Es wurde allerdings berichtet, dass es sein Traum gewesen sei, eines Tages für Apple zu arbeiten. Dies kann er nun vermutlich vergessen.

Apple hat unmittelbar nach dem Bekanntwerden des Vorfalls zu Protokoll gegeben, dass keinerlei persönliche oder Nutzerdaten von dem Hackingangriff betroffen waren.

Gestern wurde bekannt, dass Apples Netzwerk von einem australischen Teenager aus Melbourne gehackt wurde, wobei dieser auch Zugriff auf verschiedene sensible Daten erhielt. Nach der weltweiten Berichterstattung über diesen Vorfall hat sich nun auch Apple offiziell zu Wort gemeldet und in einem Statement gegenüber Reuters verlauten lassen, dass bei dem Angriff keinerlei Kundendaten betroffen waren oder von dem Australier eingesehen oder abgegriffen werden konnten:

"We ... want to assure our customers that at no point during this incident was their personal data compromised.

Insgesamt lud der Teenager in einem Zeitraum von ca. einem Jahr über 90 GB an Daten von Apples Servern herunter. Um was für Daten es sich dabei konkret handelt und ob diese verschlüsselt waren, ist derzeit noch unklar. Der 16 Jahre alte Teenager hat sich vor einem australischen Jugendgericht bereits des Angriffs schuldig bekannt.

Einem australischen Teenager ist es offenbar gelungen, sich unberechtigten Zugriff auf Apples Netzwerk zu verschaffen und dort auf sensible Informationen zuzugreifen, die auf verschiedenen Servern lagerten. Seine Aktivitäten begann der Teenager, dessen Name aus rechtlichen Gründen nicht genannt werden darf, bereits im Alter von 16 Jahren. Dabei gelang es ihm, ca. 90 GB an vertraulichen Daten von den Apple-Servern zu laden, unter denen sich auch Schlüssel zum Zugriff auf Nutzerkonten befinden sollen. Der Australier hat sich inzwischen vor einem Jugendgericht seines Landes schuldig bekannt, wie The Age berichtet.

Offenbar hat der Teenager versucht, seine Zugriffe über verschiedene Methoden, wie unter anderem VPN-Verbindungen zu verschleiern. Allerdings war Apple in der Lage, die Sereinnummern der hierfür verwendeten MacBooks zu erfassen und zurückzuverfolgen. Als Apple die unauthorisierten Zugriffe bemerkte, informierte man das FBI, welches den Standort des Hackers in Australien ermitteln konnte und daraufhin mit der Australian Federal Police kooperierte, um den Jugendlichen festzusetzen.

Nach Aussage des Anwalts des Jungen sei dieser ein großer Fan Apples und träumte davon, eines Tages für das Unternehmen aus Cupertino zu arbeiten. Ich würde mal vermuten, dass sich dies nun zerschlagen haben dürfte...

Nachdem der Online-Dienst Yahoo bereits früher in diesem Jahr bekannt geben musste, dass bei einem Angriff im September 2014 mindestens 500 Millionen Nutzer-Accounts kompromittiert worden sind, sind nun auch noch die Auswirkungen eines weiteren Angriffs im selben Zeitraum, nämlich im August 2013 bekannt geworden. Dabei sollen nun noch einmal mehr als eine Milliarde (!) Yahoo-Accounts in die Hände von Hackern geraten sein. Während es nicht unwahrscheinlich ist, dass es einige Überschneidungen bei den beiden Angriffen gab, ist die schiere Anzahl der abgegriffenen Accounts bereits mehr als erschütternd. Zu den erbeuteten Informationen zählen die Namen, E-Mail Addressen, Telefonnummern, Gebutrtsdaten, verschlüsselte Passwörter, sowie verschlüsselte und unverschlüsselte Sicherheitsfragen samt ihrer Antworten. Entschlüsselte Passwörter, Zahlungsdaten und Kreditkarteninformationen sollen sich hingegen nicht unter den gestohlenen Daten befinden.

Laut Yahoo wurde der Angriff entdeckt, nachdem sich Strafverfolgungsbehörden mit mutmaßlichen erbeuteten Daten an das Unternehmen gewandt haben. Während man noch keine genauren Informationen zu dem Angriff habe, sieht es so aus, als wäre dieser unabhängig zu dem aus dem September 2014 erfolgt. Inzwischen hat Yahoo damit begonnen, Nutzer mit betroffenen Accounts zu informieren und dabei auch darauf hinzuweisen, dass man bereits verschiedene Maßnahmen ergriffen habe, um die Benutzerkonten abzusichern. Dennoch solle man wachsam sein, Passwörter nach Möglichkeit ändern und jede ungewöhnliche Aktivität auf dem eigenen Konto an Yahoo melden. Zudem wird empfohlen, auch bei Yahoo die sichere Zwei-Faktor-Authentifizierung zu aktivieren.

Bereits Anfang des Jahres kamen Berichte auf, wonach es einen großflächig angelegten Hacker-Angriff auf den Internetdienst Yahoo gegeben habe, den dieser seinerzeit auch bestätigte. Allerdings forderte Yahoo seine User damals nicht auf, die Passwörter der Nutzerkonten zu ändern. Dies dürfte sich in Kürze ändern. So wird inzwischen eine angeblich bei dem damaligen Angriff erbeutete Datenbank mit mehr als 200 Millionen Yahoo-Konten aus dem Jahr 2012 im Darknet für gerade einmal knappe 1.800,- US-Dollar zum Kauf angeboten, wie die Kollegen von re/code berichten. Verantwortlich sein soll dafür derselbe Hacker, der auch schon erfolgreich die Internetdienste LinkedIn und Myspace angegriffen hatte. Diese Datenbank enthält neben dem Klar- und dem Benutzernamen auch die Geburtsdaten und E-Mail-Adressen der Nutzer. Kritisch ist jedoch vor allem, dass darin auch die damals noch mit dem verhältnismäßig unsicheren MD5-Hash gesicherten Kennwörter enthalten sind, die heutzutage, je nach Stärke des verwendeten Passworts, verhältnismäßig leicht zu entschlüsseln sind.

Wie immer gilt, dass es durchaus sinnvol ist, bereits frühzeitig Gegenmaßnahmen zu treffen. So sollte dringend das verwendete Passwort eines Yahoo-Kontos geändert werden. Hat man dieses auch für andere Dienste verwendet, gilt dort dasselbe. Zu den betroffenen Yahoo-Diensten zählen unter anderem das Mail- und Messenger-Angebot, aber auch die Konten des zu Yahoo gehörenden Fotonetzwerks Flickr. Nicht betroffen ist hingegen das inzwischen ebenfalls zu Yahoo gehörende Blog-Netzwerk Tumblr, welches erst 2013 zum Konzern gestoßen ist. Yahoo bietet inzwischen ebenfalls die als sicher geltende Zwei-Faktor-Anmeldung an, bei der der Zugriff auf den Dienst erst nach Eingabe eines per SMS zugesandten Codes möglich ist. Zudem können inzwischen auch Yahoos iOS-Apps für die Authentifizierung eines Yahoo-Kontos genutzt werden.

UPDATE: Inzwischen hat Yahoo den Angriff in der Tat offiziell bestätigt. Dabei kam heraus, dass das Ausmaß noch viel schlimmer ist, als zunächst angenommen. So sind mindestens 500 Millionen Yahoo-Konten von einem Angriff im Jahr 2014 betroffen, bei dem Namen, E-Mail Adressen, Telefonnumern, Geburtstage, verschlüsselte Passwörter, sowie verschlüsselte und unverschlüsselte Sicherheitsfragen und die zugehörigen Antworten. Zum aktuellen Zeitpunkt geht Yahoo nicht davon aus, dass unverschlüsselte Passwörter, Kreditkartendaten oder Bankinformationen betroffen sind.

Yahoo wird in Kürze alle betroffenen Nutzer informieren und sie zu entsprechenden Schritten auffordern. Sollte das Passwort des Accounts seit 2014 nicht geändert worden sein, sollte man dies als erstes tun. Sämtliche kompromittierten Sicherheitsfragen und -antworten wurden inzwischen von Yahoo ungültig gemacht. Zudem gab man die folgenden Anweisungen aus.

• Change your password and security questions and answers for any other accounts on which you used the same or similar information used for your Yahoo account.
• Review your accounts for suspicious activity.
• Be cautious of any unsolicited communications that ask for your personal information or refer you to a web page asking for personal information.
• Avoid clicking on links or downloading attachments from suspicious emails.
• Additionally, please consider using Yahoo Account Key, a simple authentication tool that eliminates the need to use a password altogether.

Es gelten also weiterhin die weiter oben im Artikel gemachten Tippszur Umstellung der Yahoo-Sicherheit auf die Zwei-Faktor-Anmeldung an, bei der der Zugriff auf den Dienst erst nach Eingabe eines per SMS zugesandten Codes möglich ist. Zudem können inzwischen auch Yahoos iOS-Apps für die Authentifizierung eines Yahoo-Kontos genutzt werden ("Yahoo Account Key").