Das IT-Sicherheitskonzept zur Aufrechterhaltung und Verteidigung infrastruktur-„relevanter“ deutscher Unternehmen war ja eine ausgesprochen schwere Geburt. Viele Firmen haben da in der Abwägung von „Reputationsschäden“ herumgeeiert: „wir sind gerade total gehackt worden, aber das jetzt überall herumzuposaunen, bringt uns ja auch nicht weiter“… Auch Politiker posten ihre „epic fails“ ja nicht freiwillig… Aber natürlich ist die Sache mit Koordination und gemeinsamem Vorgehen bei richtig happigen Cyber-Angriffen schon logisch. Nicht jedes kleinere Unternehmen kann das Know-How vorhalten, größere Unternehmen mit Top-Spezialisten können da hilfreich eingreifen.
Wobei die Gegenargumentein Sachen „Cyberfeuerwehr“ natürlich auch stimmen – wieso gilt eigentlich nicht mehr die Eigenverantwortung (und Haftung…) für Bullshit, der letztlich auf smarte Kostensenkungs-Schlaumeiereien von BWL-Fuzzies zurückgeht? Was ist mit angeblichen oder tatsächlichen Geheimdienst-Hacks? Wie läuft das mit der Geheimhaltung und dem Einblick in die „Kronjuwelen“ einer Firma? Noch ist ja auch völlig fraglich, welche Unternehmen überhaupt in die BSI-Pläne eingeweiht sind und/oder als „Kooperationspartner“ mitmachen wollen.
Es gibt ja bei vielen großen, mächtigen US-Unternehmen (oder auch bei deutschen Hinterhof-Klitschen…) mit authentischem (oder auch mit nachgeäfftem…) „auf-zu-neuen-Horizonten“-Gestus so einen ganz fantastischen Titel für irgendwelche freischwebenden Gurus mit Visionen: „Chief Technology Evangelist“; oder so ähnlich. Ich habe mich immer gefragt, ob eine solche Jobbezeichnung für wahrhaft Gläubige – von Papst Franziskus bis hin zum salafistischen Eiferer – nicht eigentlich pure Blasphemie ist. Zum Glück haben beide (der Papst und der Eiferer…) Besseres bzw. Schlechteres zu tun, als sich näher damit zu beschäftigen.
„Evangelist“; wie gesagt nicht übel. Aber eigentlich hätte ich auch etwas für eine hippe Visitenkarte: „Michael Gessat – DRadio Wissen (demnächst DLF Nova 🙂 ) – Netzapokalyptiker“. Sagt meine Moderatorin. Und zugegeben – ich habe ja irgendwie ein Faible für die neuesten Hacks, Sicherheitslücken und Hintertüren; für Irrtümer, Fahrlässigkeiten, Betrug und Verrat – und irgendwie ist mir natürlich auch gar nicht immer so ganz klar, dass das apokalyptische Szenario die „ganz normalen“ Nutzer emotional, psychologisch schier überfordert. Sicherheits-müde macht.
Das US-amerikanische NIST hat das jetzt aber einmal erforscht und zweifelsfrei konstatiert: Dauerpanik und Dauer-Alarm führt bei den Adressaten zu Lähmung und Resignation. Man muss die Komplexität reduzieren, sagt das NIST. OK, es ist ja ganz einfach: Machen Sie regelmäßig Backups. Klicken Sie nicht auf jeden Link in einer Email. Ab und zu mal ein Update vom Betriebssystem. In Wirklichkeit lasse ich es selbst ab einer bestimmten Schwelle gut sein. Apokalyptiker bin ich ja gern. Aber nicht paranoid.
Gerade haben wir noch gestaunt, mit welchen Datenmengen unbekannte Angreifer den IT-Journalisten Brian Krebs mundtot machen wollten, da kommt schon der nächste Rekordwert für eine DDoS-Attacke: 1,1 Terabit pro Sekunde soll in der Spitze auf die Server des französischen Webhosters OVH niedergegangen sein. Der Angriff zieht sich schon seit 10 Tagen hin, das berichtet der Gründer des Unternehmens, Octave Klaba, auf Twitter. Klaba vermutet, vom gleichen Botnetz wie im Falle von Brian Krebs attackiert zu werden – was ja noch nicht einmal heißen muss, dass auch die gleichen Verantwortlichen bzw. Auftraggeber dahinterstecken: Möglicherweise handelt es sich ja wiederum um „DDOs as a service“.
Auf jeden Fall kommt die Datenflut erneut von scheinbar „unschuldigen“ kleinen Internet-Dingen; hauptsächlich von gehackten Webcams – die Angreifer haben da offenbar Zugriff auf eine gewaltige Anzahl; zum Wochenanfang registrierte Klaba innerhalb von 48 Stunden 15.000 neu hinzugeschaltete Zombie-Cams, in den nächsten 24 Stunden waren es dann sogar weitere 18.000. Die neue Rekordattacke dürfte auch Admins in größeren Firmen und Medienhäusern die Sorgenfalten tiefer werden lassen – denn bei solchen Traffic-Dimensionen kann man auch mit einer gut ausgestatteten Firewall-Architektur die eigene Website nicht mehr verteidigen.
Fragt sich, ob die großen Content-Distribution-Anbieter der neuen Herausforderung noch gewachsen sind und ihren Kunden weiterhin bezahlbaren Schutz bieten können. Die aktuellen Rekord-Attacken könnten innerhalb von zwei Jahren der neue DDoS-Standard geworden sein, so sieht es auch Martin McKeay, „Senior Security Advocate“ bei Akamai und verantwortlich für den regelmäßigen „State of the Internet/Security Report“ des Unternehmens. Aber er bleibt zuversichtlich:
Mit jedem neuen Angriff lernen wir, unsere eigenen Fähigkeiten neu zu überprüfen, damit unsere Verteidigung besser und effizienter wird. Einerseits müssen wir sicherstellen, dass wir ausreichende Kapazitäten haben, um die Attacken zu absorbieren. Andererseits müssen wir aber auch mit neuen Entschärfungstechniken kontern, die nicht allein auf einer „noch dickeren Leitung“ beruhen. Es ist auch sehr wichtig, die Werkzeuge und die Fähigkeiten der Angreifer zu analysieren, um mit zukünftigen Attacken umgehen zu können.
Das Problem, so Martin McKeay, besteht nicht zuletzt darin, dass Angriffspakete aus dem IoT zunächst einmal überhaupt nicht exotisch daherkommen, es ist also keineswegs trivial, den „bösen“ und den „guten“ Traffic auseinanderzuhalten:
Die meisten „Internet-der-Dinge“-Geräte nutzen ganz herkömmliche Computerhardware, keine Spezialanfertigungen. Und auch die verwendete Software ist allgemeiner Standard, der Traffic sieht also praktisch genauso aus und verhält sich praktisch genauso wie bei jedem anderen Gerät oder Computer im Internet.
Und auch wenn man Botnetz-Traffic mit viel Know-How immerhin noch teilweise identifizieren könne – der Schlüssel zum Problem liege woanders, so McKeay.
Der entscheidende Faktor, mit den IoT-Bots fertig zu werden: Wir müssen den Geräteherstellern klarmachen, welche Gefahren sie mit ihren unsicheren und schlecht wartbaren Produkten schaffen.
Bislang ist auf dieser Seite allerdings von entsprechendem Problembewusstsein nichts zu spüren. Vielleicht müsste da einmal in einer Reihe von Fällen die ganz große Produkthaftungs-Keule zur Anwendung kommen.
DRadio Wissen – Hielscher oder Haase vom 30.09.2016 (Moderation: Till Haase)
Nachklapp 03.10.2016 – Mittlerweile weiß Brian Krebs höchst interessante Details zu der IoT-Attacke zu berichten: Ein Hacker, der sich „Anna-senpai“ nennt, macht den Quellcode seiner Botnetz-Malware öffentlich. Er (oder sie) selbst habe nicht vorgehabt, allzu lange im DDoS-Business zu bleiben. Und neben diesem „Mirai“-Toolkit kursiert noch ein weiteres namens „Bashlight“. Das ist ja großartig, dann werden IoT-Angriffe vielleicht bald schon etwas für Script-Kiddies. 🙂 Und um mal direkt mit dem Finger zu zeigen: Laut der Security-Firma Level 3 haben Webcams des Herstellers Dahua (Default-Passwort „7ujMko0admin“) im aktuellen Fall die Zombie-Armee gestellt.
Nachklapp 04.10.2016 – Ein Teil der Verantwortung liegt natürlich bei Kunden, die Default-Passwörter nicht ändern. Dabei ist anzumerken, dass ein „einfacher Konsument“ ein Smart-TV oder ähnliches eben „in Betrieb nimmt“ und nicht wie ein Admin oder Computerfachmann bewusst als neues Netz-System einrichtet. Hier gehören unübersehbare Hinweise in die Betriebsanweisungen und in den Setup-Ablauf. Richtig übel: Anscheinend gewährleistet die Wahl eines eigenen Passwortes im Web-Interface der Geräte noch lange nicht, dass nicht Telnet- oder SSH-Zugang munter weiter mit dem Default-Account erreichbar bleiben.
DRadio Wissen – Hielscher oder Haase vom 4.10.2016 (Moderation: Diane Hielscher)
Es ist zwei Wochen her, da haben wir über ein reichlich dreistes Geschäftsmodell zweier Jugendlicher in Israel geredet. Enttarnt hatte die beiden ambitionierten Hacker der bekannte US-amerikanische IT-Journalist Brian Krebs. Und dessen Webseite wurde nun letzte Woche aus dem Netz gepustet – mit dem größten jemals registrierten DDoS-Angriff. Das klingt jetzt nicht unbedingt nach reinem Zufall. Mittlerweile ist der Kollege wieder erreichbar im Netz – unter den Fittichen von Googles „Shield“.
Zuvor hatte Akamai mit seinem – ebenfalls gratis zur Verfügung gestellten – CDN und DDoS-Schutz das Handtuch geworfen; ob das letztlich eine kluge und ökonomisch sinnvolle Entscheidung war, das kann man getrost bezweifeln. Kapitulation vor den Netz-Bösewichtern ist kein geschäftsförderndes Signal, auch wenn das Dagegenhalten richtig Geld kostet. Wie nah das Netz wirklich an der Kippe und in der Hand von Vandalen oder Plattmachern ist, darüber kann man jetzt trefflich spekulieren. Denn ganz klar – der Angriff auf Krebs war eine Machtdemonstration; dass die Attacke von den doch eigentlich arrestierten israelischen Sportsfreunden stammt, ist relativ unwahrscheinlich – außer, die beiden wollen ihre Zukunft hinter Gittern noch signifikant verlängern 🙂 …
Aber Krebs hat ganz recht mit seiner aktuellen Überschrift – die Möglichkeit zur Zensur, dazu, unliebsame Stimmen im Netz zum Schweigen zu bringen, die hat mittlerweile jeder böswillige Akteur. Nicht zuletzt, weil Hersteller millionenfach vermeintlich simple und dumme Devices ins „internet der Dinge“ bringen – simple, dumme, einfach ausnutzbare und niemals gestopfte Sicherheitslücken inklusive. Die Webcams, Router, Fernseher und Android-Zombies bringen aber ein ganz ordentliches Botnet zusammen. Das kann so nicht weitergehen.
DRadio Wissen – Hielscher oder Haase vom 27.09.2016 (Moderation: Till Haase)
Nicht immer ist die größte Zahl auch Garant für höchste Qualität. Das gilt für Einschaltquoten, Follower im Netz und auch für Hacking-Aktionen. Im Fall von Yahoos Desaster gleichermaßen für Täter und Opfer: Bevor wir Näheres über die Art und Weise wissen, wie denn jetzt die angeblichen Staats-Hacker in das Netz der digitalen Resterampe eingedrungen sind, können wir die Hacking-Leistung nicht beurteilen. Vielleicht war das ja völlig simpel. Und bevor wir nicht wissen, wieviel der „mindestens 500 Millionen“ betroffenen Kundenkonten Karteileichen waren, können wir auch den tatsächlichen Schaden für die Yahoo-Nutzer bzw. das Netz nicht abschätzen.
Aber dass das Yahoo-Management, allen voran die vielleicht schlechteste Totes-Pferd-Reiterin aller Zeiten, Marissa Mayer, die Angelegenheit heruntergespielt hat, um den Verkaufspreis von Yahoo und die eigene Versager-Prämie nicht zu schmälern – da würde ich jetzt mal glatt drauf wetten. Vielleicht klärt sich das ja noch in den nächsten Tagen oder Wochen – dann wird das u.U. eine richtig happige Sache, wenn man da die Öffentlichkeit, den potentiellen Käufer Verizon und die Aktionäre hinters Licht geführt haben sollte.
DRadio Wissen – Hielscher oder Haase vom 23.09.2016 (Moderation: Diane Hielscher)
P.S. (29.09.2016): Da war wohl etwas dran an den Gerüchten um zwar erkannte, aber nicht behobene Sicherheitsschlampereien, wie nun die New York Times berichtet.
Mal richtig schön gehackt zu werden – davor ist ja eigentlich keine Website ernsthaft gefeit. Obwohl da jetzt vielleicht Admins Protest einlegen und argumentieren, dass sie auf ihrem System immer brav alle Sicherheitsprobleme und Sicherheitsupdates mitverfolgen und diese sofort einspielen, dass sie bekannte Maßnahmen wie die Wahl eines zeitgemäßen Verschlüsselungs- und Hash- und Salt-Algorithmus für ihre Userdaten und Passwörter implementiert haben. Was jetzt genau bei Eurekalert schief gelaufen ist, das wissen die Betreiber am besten.
Auf jeden Fall wurde die Website gehackt.
Screenshot Eurekalert
Und die Brisanz liegt in diesem Fall darin, dass Eurekalert halt die Plattform ist, über die sich Journalisten vorab über die Veröffentlichungen informieren können, die in den führenden wissenschaftlichen Magazinen anstehen. Da gibt es jeweils eine Sperrfrist – nämlich das offizielle Erscheinungsdatum der Zeitschriften wie „Science“ oder „Nature“. Der Sinn dieser Sperrfrist ist, dass man in Ruhe seine Interviews mit den Studienautoren führen kann, dass nicht ein einzelner vorprescht, der Zeitung den Neuigkeitseffekt versemmelt und der übrigen Berichterstattung vorzeitig und egoistisch die Luft rauslässt. Was letztlich dazu führen würde, dass weniger über die wissenschaftlichen Studien berichtet werden würde.
Ein bewährtes System also; Zuwiderhandlungen gegen die Sperrfrist werden übrigens ziemlich humorlos geahndet. Kürzlich hatte z.B. mal motherboard.vice.com eine Sperrfrist von „Science“ gebrochen und musste dann recht peinlich Kotau machen. Im jetzigen Hacking-Fall hat allerdings der Hacker seine Beute per Twitter „angeboten“ und wohl auch mindestens eine der gesperrten („embargoed“) News geleakt. Als Reaktion blieb Eurekalert nichts anderes übrig, als die Notbremse zu ziehen und die Seite komplett vom Netz zu nehmen – offenbar sind News mit und ohne Sperrfrist nicht konzeptuell so getrennt, als dass man sich nur auf die „heiklen“ Informationen hätte beschränken können.
Man darf also vermuten, dass in dieser Woche die Berichterstattung von Wissenschaftsjournalist(inn)en über aktuelle Studien etwas schwierig wird 😉 – und die vom Hack betroffenen Kollegen und Kolleginnen (ich auch…) müssen sich halt ein neues Passwort ausdenken. Und wenn sie auf der Eurekalert-Seite ein „Master-Passwort“ verwendet haben, dann sollten sie dieses bei anderen Webdiensten auch schleunigst ändern. Ich bekenne mich ja übrigens auch schuldig: Mein Eurekalert-Passwort war so alt und so einfach, dass ich eigentlich schon lange mal gedacht hatte, das sollte ich mal ändern. Sonst wäre ich plötzlich auf der „schwarzen Liste“ der Embargo-Brecher gelandet… Gottlob war das ja jetzt kein individueller, sondern ein globaler Hack 🙂 .
Für die NSA ist der „Equation Group“-Hack bzw. -Leak eine ziemlich happige Sache, obwohl die Tragweite der Panne in der allgemeinen öffentlichen Wahrnehmung überhaupt noch nicht so ganz adäquat angekommen ist – möglicherweise ja mit Absicht.
Cisco und Juniper latschten jahrelang mit heruntergelassener Hose herum, ihre Kunden auch. (Von den übrigen Exploits wollen wir mal nicht reden…) Und die NSA hat das gewusst und beherzt zugelangt. Business as usual halt.
DRadio WIssen – Hielscher oder Haase vom 23.08.2016 (Moderation: Thilo Jahn)
Kein „Man-in-the-Middle“, sondern eher ein „Man-on-the-Side“-Angriff – das ist das Szenario, das doch nach einem recht ernsthaften Problem aussieht. In einem seit 2012 eingebautem Feature im TCP-Stack von Linux steckt ein Bug: Im Grunde einst als Sicherheits- oder Performance-Verbesserung eingeführt, erweist sich das Limit bei den ACK-Paketen, bei der Beantwortung von Verbindungsanfragen nun als Schwäche. Um sich in eine Verbindung zwischen einem User und einer Website einzuklinken, braucht ein Angreifer nur die IP-Adressen beider Seiten zu kennen und in seiner Netzwerkumgebung „IP-Spoofing“, also das Segeln unter falscher Flagge, einstellen zu können – eine mit regem Interesse aufgenommene Entdeckung von Informatikern der University of California, Riverside – vorgeführt auf der Usenix-Sicherheitskonferenz in Boston.
Und dann kann ein Angreifer dem „Opfer“ Code im Namen des eigentlichen Verbindungsziels unterjubeln. Ohne irgendeine Abwehrchance. Und ohne die bei Man-in-the-Middle-Attacken notwendige „Mithilfe“ entweder des Providers oder des Nutzers. Leider auch bei sensibleren Verbindungen über das Tor-Netzwerk. (Wie immer stellt sich ja die Frage – wie lange wusste irgend jemand von dem Problem bzw. Angriffsvektor?) Linux-Anwender sind tendenziell technikaffin – insofern werden die Updates auf Servern und PCs schnell eingespielt sein. Im Zweifelsfall gibt es auch einen Hotfix, mit dem man sich sofort absichern kann. Bleiben die üblichen Zombie-Kandidaten: Android-Devices. Und die ganzen tollen IoT-Gadgets, die nie aktualisiert werden. Willkommen in der Matrix.
An sich ist Zwei-Wege-Authentifizierung ja eine gute Idee und ein Sicherheitsfeature – und alle möglichen Netz-Dienste schicken also Bestätigungscodes per SMS an ein vorher registriertes Gerät, um irgendetwas zu beglaubigen – einen Passwortwechsel oder einen Kauf wie bei Apple oder Google, oder halt die erstmalige Verwendung eines neuen Gerätes. Die gute Idee wird allerdings zu einer ganz schlechten, wenn auch der vermeintlich sichere Alternativ-Kommunikationskanal in der Hand eines Angreifers ist. Dass das zum Beispiel im Iran so ist, davon hätte eigentlich auch Telegram ausgehen dürfen – und seine rund 20 Millionen User in dem von religiösen Eiferern gelenkten Staat vielleicht auch schon etwas klarer vor dem jetzt eingetretenen Szenario warnen können.
Telegram empfiehlt als Reaktion auf den Hack, sich eben nicht auf die Geräte-Authentifizierung per SMS zu verlassen, sondern stattdessen ein starkes Passwort einzurichten. Das allerdings kann man vergessen – und deswegen verschickt der Betreiber dann auf Anforderung eine Recovery-Mail. Wenn der Account, an den diese Mail geht, allerdings in der Hand eines Angreifers ist – dann haben wir den gleichen Salat wie bei der SMS. Da gibt es also offensichtlich mehr Fallstricke in heiklen Kommunikations-Situationen, als man sich zunächst klarmacht – auch mit End-zu-End-Verschlüsselung. Für die Masse der Telegram-User im Iran ist es vielleicht ein kleiner Trost, dass das Regime nicht die Kapazitäten haben dürfte, alle Accounts zu überwachen oder zu hacken.
Offenbar schafft es ja auch die NSA nicht, die Telegram-User beim IS mit genau der gleichen Methode komplett abzuschnorcheln. Müsste aber eigentlich gehen.
Wer allen Ernstes zuhause im Wohnzimmer eine Dauerlausch-Einrichtung a la Amazon Echo, Google Home oder Apple Siri installiert (die ja möglicherweise demnächst auch noch dauerglotzt, wer gerade da ist und welchen Gesichtsausdruck der oder die macht…), ist ohnehin fest in der Post-Privacy-Sphäre verankert. Wobei die Sprachassistenzsysteme ja in gewissen Situationen durchaus ihre Berechtigung haben – etwa im Auto, wenn man beide Hände am Lenkrad braucht; oder wenn man gerade ein Baby wiederbelebt…
Aber ganz ohne Zweifel wird das Geplauder und Assistieren nicht mehr aufzuhalten sein – da ist es doch schon wieder im Sinne eines kurzen Realitätschecks didaktisch wertvoll, wenn auch Hacker sich den neuen Kommunikationskanal zunutze machen und mit verzerrten Borg-Kommandos unterhalb der menschlichen Verständnisschwelle, aber sehr wohl oberhalb der des Gerätes akustisch Sand ins Getriebe streuen. Die ganze Sache klingt momentan noch etwas skurril – aber dass es wie üblich genügend Spaßvögel, Trolle und Ganoven geben wird, die das Voice-Hacken mal ausprobieren, das ist klar.
Vielleicht wird man (bzw. eben nicht man selbst, sondern der Personal Assistent in der Jackentasche…) ja demnächst im Gedränge von Werbeheinis angesprochen oder in der Fußgängerzone mit Megaphonen überfallen. Oder für das Radio wär das natürlich auch etwas, um schlagartig die Klickzahlen für die Homepage oder den Social-Media-Channel nach oben zu boosten.
