| Home Themenübersicht / Sitemap Notizen Webmaster |
von Philipp Schaumann
|
Link-Konventionen: Fette Links öffnen ein fremde Seite in einem neuen Fenster Blau hinterlegte Links bleiben auf der sicherheitskultur.at |
Das bei den Angriffen mit unbemannten Drohnen in Afganistan eine große Zahl von Zivilisten umkommen ist dokumentiert (Berichte bezeugen bis zu 10 Zivilisten pro getötetem Taliban). Jetzt gibt es ein Gerichtsverfahren in den USA in der eine plausible Erklärung berichtet wird (Inside the Lawsuit That Could Ground Deadly CIA Predator Drones).
Da haben wohl 2 Firmen gemeinsam an der Software für die Drohnen gearbeitet. Bei den Ortsbestimmungen und Berechnungen gab es erhebliche Probleme mit Gleitkommazahlen, aber die CIA wollte die Software sofort haben. Eine der beiden Firmen hat sich geweigert, die halbfertige Software auszuliefern (zumindest hat sie eine Garantie verlangt dass sie selbst für etwaige Todesfälle durch ungenaue Zielfindung nicht verantwortlich sind).
Das haben sie nicht bekommen und sie sind aus dem Projekt herausgeworfen worden. Die andere Firma hatte den Quellcode nicht, hat aber die Betaversionen re-engineert (sic!) und ausgeliefert. Die schlechte Treffsicherheit der Drohnen erscheint somit erklärlich. Jetzt wird prozessiert. Die ausgebotete Firma verlangt dass die Nutzung der Software eingestellt wird (nicht, weil dadurch unbeteiligte Menschen getötet werden, sondern weil ihr Intellectual Property verletzt wurde).
Der nächste Beitrag "Überwachtes Internet" referenziert den alten Ingenieursspruch: Schnell, billig oder hohe Qualität, beliebige 2 können gleichzeitig implementiert werden, nie alle 3 gemeinsam. In diesem Fall hat die CIA 'schnell' über die Qualität gestellt, obwohl die mangelnde Qualität täglich Menschenleben kostet. Irgendwie hat das was mit Ethik zu tun (bzw. Mangel an Ethik).
Aktualisierung Dez. 2010:
Ein ziemlich fundierter Artikel in der NY Times diskutiert den immer stärker werdenden Einsatz von Robotern im Iran und Afghanistan: War Machines: Recruiting Robots for Combat. Der Einsatz betrifft derzeit hauptsächlich Geräte die nur halb-autonom sind, d.h. sie werden von einem Soldaten gesteuert der über eine Video-Verbindung sehen kann, was der Roboter "sieht". Der Trend geht jedoch immer mehr auch zu autonomen Systemen und die werfen eine ganze Reihe von juristischen und ethischen Problemen auf, z.B. wenn die Entscheidung Zivilist oder Feind einem Computer überlassen wird.
Aktualisierung Oktober 2011:
Ein Bericht in Wired über Infektionen der Software der Dronen: Computer Virus Hits U.S. Drone Fleet und ein Artikel in der NYT: Coming Soon: The Drone Arms Race. Der Artikel berichtet, dass jetzt auch andere Länder aktiv am Bau von unbemannten Flugkörpern für Angriffszwecke entwickeln. Die Autoren sehen eine neue Form des Krieges: Das Überfliegen von Grenzen um dort Personen zu jagen, die als Terroristen beschuldigt werden. Die USA hat diese Form des Krieges begonnen, andere Länder werden folgen.
Es gibt derzeit eine ganze Reihe von Aktivitäten, die die Konzeption des Internets erheblich verändern könnten. Bruce Schneier verlinkt auf 2 interessante Artikel dazu (aus denen ich einige Stichworte wiedergeben werde): Dan Geer on "Cybersecurity and National Policy" und The militarization of the Internet.
Susan Crawford weißt darauf hin, dass es derzeit in den USA eine Reihe von Aktivitäten gibt, die alle in die gleiche Richtung zielen: ein sog. "authenticated internet". Da ist z.B. der Vorstoß der Strafverfolgungsbehörden dass aller Datenverkehr des Internets durch Server in den USA gehen muss und dass bei allen verschlüsselten Verbindungen eine Hintertür für die Behörden eingebaut werden muss. Dies würde bedeuten, dass selbst Skypeverkehr zwischen 2 Geräten im gleichen lokalen Netz zwangsweise über die USA geführt werden müsste.
Dieser Ansatz stellt das Konzept des Internets auf den Kopf und versucht aus dem Internet ein Telefonnetz zu machen. Darüber habe ich an ganz anderer Stelle geschrieben: Das Internet ist im Gegensatz zum Telefonnetz konzipiert als ein Netz von intelligenten Endgeräten.
Parallel dazu reden viele Politiker und Militärs von zukünftigen Cyberkriegen, die auch 'pre-emptive' sein können und die "active threat neutralization" enthält und dem Militär das Recht einräumen soll, auch notfalls in die Rechner von US-Bürgern einzudringen (bei Ausländern natürlich sowieso). Und es gibt mehr Stimmen nach einem 'authenticated internet'. Das könnte z.B. so aussehen, dass nur noch surfen kann, wer seine Bürgerkarte in das entsprechende Gerät gesteckt hat.
Der andere Artikel 'Cybersecurity and National Policy' ist akademischer und beschäftigt sich Sicherheitskonzepten. Im Artikel geht es um nationale Sicherheit, d.h. Sicherheit der Netze eines Landes, aber die gleichen Denkansätze sind genauso relevant, wenn man sie in Richtung 'Sicherheits-Policy für ein Unternehmen' liest. Hier einige der Thesen:
Er bezieht sich auf den Ingenieursspruch: Schnell, billig oder hohe Qualität, beliebige 2 können gleichzeitig implementiert werden, nie alle 3 gemeinsam. Für die Informationssicherheit wandelt er es ab auf 'Freiheit, Sicherheit, Bequemlichkeit', welche 2 sind gewünscht. Und sein Fazit am Ende des Artikels ist, dass für ihn die Freiheit die erste Priorität ist und dann die Sicherheit als zweites, d.h. für ihn sicher kein 'authentisiertes Internet' mit zentralen Servern in den USA.
Er definiert Sicherheit als die 'Abwesenheit von Überraschungen, die mit denen man nicht umgehen kann' (absense of unmitigatable surprises). Ein sicheres System ist eines, das auch bei Angriffen noch mit reduzierter Kapazität zur Verfügung steht, bzw. wo Prozesse vorliegen, die Alternativen zur Verfügung stehen, die ein Weiterfunktionieren ermöglichen. Risiko-Absorbierung statt Risiko-Vermeidung.
An dieser Stelle sieht er in Bezug auf die Abhängigkeit jedes Einzelnen, aller Firmen und der Gesamtgesellschaft von der IT ziemlich schwarz: ("our dependence on all things cyber as a society is now inestimably irreversible and irreversibly inestimable"). Als Beispiel nimmt er die Globalisierung mit ihrer Abhängigkeit von extrem zerbrechlichen Versorgungsketten (supply chain). Er postuliert, dass deren Sicherheit ohne einen Überwachungsstaat nicht zu gewährleisten ist.
Dann fragt er, welche Möglichkeiten eine Regierung hat, um die Sicherheit des Internets zu erhöhen, die 3 Steuerungsmöglichkeiten sind: Vorschriften (regulations), Steuern und Versicherungspreise. Regulierungen klappen seiner Meinung nach am besten, wenn es wenige große Martkteilnehmer gibt, so wie beim Telefon und kaum, wenn die Anbieter, so wie bei der Software und der Internetkommunikation vollkommen zersplittert und zum Teil sehr klein sind.
Steuern die die Sicherheit von Software und Systemen fördern (z.B. durch steuerliche Absetzbarkeit gewisser Entwicklungen) wären komplex und hätten sicher genausoviel unerwünschte Nebenwirkungen wie Wirkungen.
Steuerung über Versicherungspreise sieht er darin, dass der Staat die Möglichkeit hätte, Haftung für unsichere Software einzuführen und solche Haftungsausschlüsse wie in den unsäglichen EULAs (end-user licence agreement) zu verbieten. Er befürchtet, dass dann die Software-Industrie in Länder umzieht, die bei so etwas nicht mitmachen.
Sein nächster Vorschlag ist "no system fails silently". D.h. wenn etwas passiert, so muss es öffentlich werden, so wie dies ja in einigen Staaten, jetzt auch Ö, als "data breach law" in Datenschutzfragen eingeführt wurde.
Letzter Diskussionspunkt ist dann, wer für die vielen infizierten PCs, eines der Grundübel des Internets, verantwortlich gemacht werden sollte/könnte. Optionen wären: der Besitzer des PCs, der ISP (Internet Service Provider) des Kunden, oder der Entwickler der unsicheren Software. Gegen den ISP spricht, dass dies ohne eine sehr intensive Überwachung des Datenverkehrs des Kunden nicht möglich wäre, siehe oben, das überwachte Internet. Bei der Software graut ihm ein wenig vor einer neuen Behörde, die die Unbedenklichkeit von Software zertifieren würde.
Und sein letzter, sicherheits-philosophischer Punkt betrifft das von ihm mitentwickelte Kerberos als Authentisierungssystem. Das geht von der Prämisse "ich bin OK und du bist OK, das Netz dazwischen interessiert uns nicht" aus. Dieses Konzept ist für viele Anwendungen überholt. Für einen Anbieter von Internet-Banking muss gelten "mein Server ist OK, das Netz ist feindlich und der Rechner des Kunden mit einer hohen Wahrscheinlichkeit infiziert". Nur auf dieser Grundlage können heute sichere Services angeboten werden. Und dies ist leider bisher nur zu selten der Fall (ein positives Beispiel dafür ist Internet-Banking mit SMS-TAN, vorausgesetzt das SMS wird nicht auf einem verwundbaren Smartphone empfangen.
Die Sonntagsbeilage der NY Times berichtet in einem sehr langen Artikel The Great Cyberheist über Albert Gonzales, auch bekannt unter dem Pseudonym Soupnazi, der hinter dem Auffliegen der Shadowcrew-Hacker-Website gesteckt hat (Six "Shadow Crew" Members Plead Guilty).
Die Geschichte ist aber noch viel wilder. Die NY Times schreibt "He was leading a double life within a double life". Er hat nämlich während er im Auftrag des Secret Service die Gruppe unterwandert hat gleichezeitig auch noch den Secret Service hintergangen und ein Netz aufgebaut, das die größten Kreditkartendiebstähle der bisherigen Geschichte durchgeführt hat (BJ’s Wholesale Club, Marshall, TJX, OfficeMax, Barnes & Noble, Target, Sports Authority, Boston Market und viele andere). Dies geschah zuerst über Eindringen in WLANs, dann über Re-engineering der POS (Point of Sales)-Terminals und dann Eindringen in die Netze und Server in denen die Kreditkarten verarbeitet wurden. D.h. sie haben quasi ALLE Kreditkarten-Transaktionen der betroffenen Firmen mitgeschnitten.
Und noch einen Manager von der dunklen Seite des Internets hat es erwischt.
Aktualisierung Juni 2011:
Das mit dem Doppelrolle scheint gar nicht so eine Ausnahmen zu sein: 2011 One in four US hackers 'is an FBI informer.
Dieser Artikel auf heise.de beschreibt sehr gut die Hintergründe für die Zwickmühle von RIM. Es geht darum dass einerseits RIM seine Blackberry-Smartphones als die sichersten Smartphones und damit auch für Firmen geeignet positioniert. Gleichzeitig machen über eine ganze Reihe von Regierungen Druck auf RIM um ein Abhören der Kommunikationen in ihrem Land zu ermöglichen.
Firmen die Blackberry einsetzen sind vermutlich beunruhigt wenn sie lesen, dass sich jetzt RIM mit den Ländern über das Abhören geeinigt hat. heise schreibt:
Diese Graphik zeigt die unterschiedlichen Kommunikationswege der privaten und der Firmengeräte sehr gut. Mitarbeiter in Unternehmen die Blackberry einsetzen sind aber evtl. beunruhigt über die Tatsache, dass die Administratoren die Liste aller ihre Telefonate sehen können.
 |
| Microsoft meldet 2007 ein Patent für eine "Überwachung" der Fernsehzuschauer an - jetzt ist eine Implementierung in der Xbox angedacht Quelle: Engadget (siehe Artikel) |
17.11.2010 - Is your Videogame watching you?
Futurezone berichtet über mehrere Artikel in den USA zur Frage Is your Videogame watching you?. Die Artikel beschreiben dass Microsofts Chief Operating Officer Dennis Durkin vergangenen Donnerstag gegenüber Investoren durchblicken ließ, dass die Kamera von Microsofts Xbox 360 Controller-System Kinect für Analysezwecke eingesetzt werden könnte. Die gewonnen Daten könnten ausgewertet und für personalisierte Werbung genutzt werden, so Durkin.
Das Wallstreet-Journal berichtet, dass die Kamera und die Software des Systems, die dazu eigentlich dazu dient, dass die Bewegungen der Spieler automatisch erkannt und als Steuerung für die Spiele verwendet werden können auch so clever ist, dass sie Gesichtserkennung durchführt um automatisch den jeweiligen Spielern ihre Avatare zuzuordnen.
Daraus folgert natürlich auch, dass das System auch weiss, wie viele Personen im Raum sind und vermutlich auch noch weitere Informationen hat, die es weitergeben kann. Aber natürlich könnte das System auch ganze Filme zurückübertragen.
Sprecher von Microsoft rudern jetzt heftig zurück: Microsoft reassured users today that none of its systems “use any information captured by Kinect for advertising targeting purposes.” Digitaltrends kommentiert diesen Satz mit: "They can, but they’re not. Yet." Das ist nämlich der Kern der Story, es gibt sehr hoch positionierte Leute in Microsoft, die ernsthaft über eine Überwachungskamera im Wohnzimmer ihrer Kunden nachdenken und öffentlich darüber reden. Die Hemmschwelle beim Überwachen liegt sehr niedrig.
Engadget weisst in ihrem Artikel darauf hin, dass das ganze ja nicht wirklich neu ist. Sie verlinken auf einen früheren Artikel Microsoft envisions invasive approach to targeted advertising aus dem Jahr 2007 über ein Patent vom Microsoft in dem ein sehr ähnliches System (statt Xbox damals der Fernseher) bereits zum Patent angemeldet wurde.
Ich vermute, dass der Prototype dieses "Überwachungssystems" in einem Microsoft-Labor bereits funktioniert, dass es jetzt aber als nicht-opportun gesehen wird, darüber zu reden.
Hier ein Witz zum Thema: Kinect als Überwachungskamera (wer den Schaden hat ....)
Die Firma Secunia bietet mit ihrem Personal Security Inspector (PSI) eine sehr empfehlenswerte kostenlose ständige Sicherheitsüberprüfung für Windows Rechner. Das Tool überprüft Windows-Betriebssysteme und vor allem die vielen Standard-Anwendungen auf technische Schwachstellen. Als Gegenleistung bekommt Secunia einen einzigartigen Überblick über den Stand der Schwachstellen auf den Heimrechnern. Dies haben sie jetzt in ihrem Secunia Half Year Report 2010 (pdf) veröffentlicht.
Sie berichten dabei, dass die Lage bei den Schwachstellen seit 2005 dramatisch schlechter geworden ist. Offensichtlich hat die Software-Industrie insgesamt es nicht geschafft, Programme auf den Markt zu bringen, die sicherer sind als noch vor 5 Jahren. Zitat:
 |
Es hat, wie die Graphik zeigt, lediglich Verschiebungen gegegeben. So hat es Microsoft geschafft, bei den Schwachstellen deutlich hinter den anderen Firmen zurückzufallen, d.h. ihre Initiative für sicherere Software, die Microsoft seit Beginn des Jahrtausends sehr aktiv betreibt, scheint sich auszuzahlen. Apple streitet jetzt mit Oracle im die höchste Zahl von neu veröffentlichten Schwachstellen.
Zitat:
Für mich gibt es für den Anwender daher nur die 1 Lösung die ich auf allen meinen PCs einsetze: den Personal Security Inspector installieren.
 |
Zu einer etwas anderen Analyse kommt Microsoft in ihrem Microsoft Security Intelligence Report (SIR) 1. Hälfte 2010.
Microsoft sieht einen leichten Rückgang bei der Zahl der öffentlich berichteten Verwundbarkeiten (National Vulnerability Database - http://nvd.nist.gov).
Quelle aller dieser Graphiken: Microsoft Security Intelligence Report (SIR) 1. Hälfte 2010
 |
Microsoft sieht natürlich die gleiche Verschiebung weg vom Betriebssystem zu den Anwendungen, aber auch dort sehen sie einen Rückgang der Verwundbarkeiten.
Mehr Statistiken aus diesem Bericht finden sich auf der Seite zu Data Loss.
Ich hatte bereits an anderer Stelle darüber geschrieben: Gehen von den Handys Gefahren aus?. Ja, und zwar erhebliche, nämlich durch die Benutzung im Straßenverkehr. Anlass für diese Notiz ist zum Einen, dass einem Kollegen ein junger Mann hinten reingefahren ist (mit erheblichem Sachschaden an dessen Fahrzeug) der gerade vom Handy abgelenkt war. Und in den USA wird der tödliche Unfall des Schönheitschirurgen Dr. Frank Ryan thematisiert, der sich vom Handy abgelenkt über eine Klippe gestürzt hat.
Ein recht vernünftiger Blogger berichtet dass es noch viel schlimmer kommen kann. Der Trend geht dahin, Autos als Entertainment-Center auszustatten, mit direkten Internet-Anschluss und Displays im Armaturenbrett.
Die Automobil-Industrie ist sehr daran interessiert, mit irgendwelchen neuen Features auf den Markt zu kommen und die Unterhaltungsindustrie ist natürlich auch sofort begeistert. Und die Gesetzgeber werden sich auch hier breit schlagen lassen und nach so kosmetischen Zugeständnissen wie Spracherkennung und Freisprecheinrichtung (die nachgewiesenermaßen keine Reduzierung der Unfälle bringen - Hands-Free Cellphone Devices Don't Aid Road Safety, Study Concludes und (pdf, 8 MB)) solche Geräte erlauben.
Zitat Consumer-Reports: "The National Safety Council (NSC) earlier this month [Juli 2009] released an estimate described as “conservative” that more than 636,000 crashes, 330,000 injuries, 12,000 serious injuries, and 2,600 deaths are caused a year by a distracted drivers on cell phones."
| Zu den Sicherheitsproblemen im SCADA-Umfeld und dem Spezialfall Smart Meter und Smart Grid gibt es mehr an andereren Stellen. |
Das Thema fing eigentlich relativ harmlos an: Siemens hat in seiner SCADA Software hardcoded-passwords für den Zugriff der Applikation zur MS-SQL-Datenbank. Und jemand hatte bereits vor Jahren das Passwort in einem Support-Blog veröffentlicht. Und Siemens sagt, bitte bitte nicht ändern, sonst geht ja die Applikation (z.B. das Kraftwerk) nicht mehr.
Und damit die Schadsoftware die dieses Passwort ausnutzt um die Spionage zu betreiben auch sauber installiert haben sich die Angreifer die Mühe gemacht und die Software sauber digital signiert und zwar mit (vermutlich gestohlenen) private keys von taiwanesischen Herstellern (Realtek Semiconductor und JMicron Technology Corp). Deren Keys sind jetzt weltweit auf der Revocation List - das ist recht unangenehm für die betroffenen Firmen, die Windows-Treiber produzieren bei der Installation Warnungen.
 |
Quelle: f-secure.com - Klick bringt volle Version |
Und dann stellt sich heraus, dass das Ganze noch viel komplexer ist. Die Schadsoftware stielt nicht nur Daten, sie greift direkt in Industrial Control Systems (ISC) ein (die als Untermenge die SCADA-Systeme enthalten). ISCs bestehen aus Programmable Logic Controllers (PLC) (speicherprogrammierbare Steuerungen) die mit Hilfe dieser Systeme programmiert und gesteuert werden. ISCs verwalten den Code für die PLCs. Im Fall der Siemens S-7 Steueranlagen wird die Software in den PLCs durch eine Windows-Software WinCC kontrolliert und gewartet.
Die FAZ schreibt: "Der digitale Erstschlag ist erfolgt"
Die Experten sagen, dass dieser Wurm extrem komplex ist und sehr viel Know-How für seine Entwicklung erfordert hat. 60% aller infizierten Systeme finden sich in Iran, ob das Zufall ist oder nicht, bleibt derzeit offen.
Es wäre wohl nicht das erst mal, dass so Software für Sabotage genutzt wird. Wenn man den Gerüchten glauben schenken darf, so gab es 1982 einen Präzedenzfall, Symantec schreibt:
Angeblich handelte es sich um amerikanische Software die in einer russischen Gaspipeline eingesetzt wurde. Die Quelle dieser Story ist das Buch "At the Abyss" von Thomas C.Reed, Secretary of the US Air Force.
Hier eine Analyse des Infektionsprozesses der PLC Steuerungssoftware.
 |
| Quelle: http://www.langner.com/en/index.htm |
Aktualisierung 25.9.2010:
Der Hamburger Security-Experte für Produktionssysteme Ralph Langner hat zusammen mit Kollegen den Code dieser Malware detailliert untersucht und dabei erstaunliches festgestellt. Der Code sucht gezielt nach einem Datenblock 890 und fügt dort an genau einer bestimmten Stelle zusätzlichen PLC Code ein, der allerdings vor den Benutzern des WinCC Systems verborgen wird. Dieser zusätzliche Code sorgt dafür, dass eine gewisse Routine, die einen bestimmten Prozess kontrolliert, unter gewissen Umständen übersprungen wird. Falls diese Routine eine Regulierung durchführen würde, so spricht viel für die Annahme, dass das Ziel dieses Angriffs eine sehr gezielte Sabotage darstellt. Dieser Code funktioniert nur mit ganz spezieller Steuerungssoftware und Geräten. Nun zu den möglichen Tätern. Langner schreibt:
Die Experten spekulieren, dass die Gerüchte über "technische Probleme" die in der letzten Zeit bei der iranischen Kernbrennstoff-Anreichungsanlage aufgetreten sind, kein Zufall sind. Die Anlage wird durch den russischen Integrator Atomstroiexport betreut, deren eigene Website seit langer Zeit infiziert ist. Außerdem erweckt dieser Screenshot der angeblich aus der Anlage in Bushehr stammt und eine Fehlermeldung zeigt, die besagt, dass die WinCC-Software nicht lizensiert ist, kein großes Vertrauen in die Professionalität der Installation und deren Sicherheitsvorkehrungen.
Aktualisierung 30.9.2010:
Weitere Berichte und Analysen, auch die Spekulation, dass Busheer nicht das Hauptziel des Angriffes war, sondern die unterirdische Urananreicherungsanlage in Natanz und dass der Schaden bereits 2009 eingetreten ist.
Die FAZ schreibt:
Die NY Times weist auf eine im Jahr 2009 gesunkene Zahl von aktiven Zentrifugen hin.
Allerdings ist es auch möglich, dass Anlagen im Iran nur im Rahmen eines aus dem Ruder gelaufenen Angriffs auf Indien befallen wurden. Kaspersky hat neuere Zahlen veröffentlicht, wonach Indien das Epizentrum der Stuxnet-Aktivitäten war und ist.Der russische Kraftwerksbauer Atomstroyexport, der mit infizierten Laptops mutmaßlich den Stuxnet-Wurm in Bushehr eingeschleppt haben soll, arbeitet derzeit beispielsweise auch gerade am indischen Atomkraftwerk Kudankulam.
Die FAZ weist auf einen Test in den USA im Jahr 2007 hin:
Der Leiter der US Cyber Consequences Unit Scott Borg hat Mitte 2009 einen Angriff durch den Mossad in einem Interview mit der israelischen News-Seite Ynetnews beschrieben. Dort steht auch ein möglicher Hinweis wie der Schadcode in die Anlage gekommen sein könnte:
Symantec publiziert eine schöne Zusammenfassung der technischen Details zu Stuxnet, eine detaillierte technische Beschreibung des Infektionsprozesses, der die extreme technische Komplexität aufzeigt und ein 49-seitiges Stuxnet Dossier (pdf).
CERT.AT hat eine Anleitung veröffentlicht: Erkennung von Stuxnet im eigenen Unternehmen (pdf).
F-secure.com bringt ein sehr gutes FAQ: Stuxnet Questions and Answers. (Leckerbissen: "Q: How could governments get something so complex right? - A: Trick question. Nice. Next question."
Die ultimative, sehr ausführliche, gut bebilderte Zusammenfassung gibt es bei arstechnica: How digital detectives deciphered Stuxnet, the most menacing malware in history.
| Zu den Sicherheitsproblemen im SCADA-Umfeld gibt es mehr an anderer Stelle. |
Nachtrag Nov. 2010: Shodan, die SCADA-Suchmaschine
Die Presse berichtet über eine spezialisierte Suchmaschine Shodan, mit deren Hilfe verwundbare SCADA und andere ICS (industrial control systems) leicht gefunden werden können. Die US-Regierung hat dazu einen Alert herausgegeben. Langsam wird es wirklich eng für Firmen, die ihre Kontrollsysteme nicht sauber vom Internet getrennt haben.
Aktualisierung Nov. 2010: Die Auflösung
Symantec berichtet, dass sie mit Hilfe eines Experten für solche Steuerungssysteme das Rätsel gelöst haben: Stuxnet: A Breakthrough. Die Module die verändert werden kontrollieren die Drehzahlen von sehr sehr schnellen Elektromotoren. Die Software spricht an wenn die Frequenz über 807 Umdrehungen pro Sekunde liegt. Motoren über 600 Umdrehungen unterliegen den Export-Restriktionen weil sie eigentlich fast nur für Urananreicherung benötigt werden.
Hier was die Software tut:
Für mich als Laien auf diesem Gebiet bedeutet dies, dass damit erstens der Motor kräftig belastet wird und zweitens das Material, das mit der Zentrifuge separiert werden soll, ordentlich durcheinander gemischt wird. Hier ein Link zu einem FAZ-Artikel dazu Die Angreifer kennen ihr Ziel offenbar ganz genau.
Noch eine Aktualisierung im November: Stuxnet hat zwei "digitale Sprengköpfe". Stuxnet greift sowohl Steuerungen der Siemens-Typen S7-300 (315) als auch S7-400 (417) (in Bushehr zur Turbinensteuerung eingesetzt) an. Hier die Details: 417 attack code: Doing the man-in-the-middle ON the PLC.
Und noch mal Aktualisierung im November: Es wird berichtet dass Stuxnet kommerziell angeboten wird. Eine Veränderung zum Angriff auf andere Infrastrukturen wird aber sehr schwer sein, da es extrem detaillierte Kenntnisse des technischen Aufbaus der Steuerungen voraussetzt.
Aktualisierung Dez. 2010: Vergleich mit Natanz-Berichten
Das Institute for Science and International Security (ISIS) hat die Berichte der Internationalen Atomenergie-Behörde IAEA über Natanz mit den Berichten über Stuxnet verglichen: Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant? Preliminary Assessment. Fazit: Zu der Zeit wo Stuxnet aktiv war gab es in Natanz auch technische Probleme. Der Bericht untersucht die Wahrscheinlichkeit, dass diese beiden Tatsachen ursächlich miteinander verknüpft sind.
Aktualisierung Jan. 2011:
Die NY Times berichtet dass es Hinweise gäbe, dass Stuxnet eine US-israelische Gemeinschaftsarbeit sei: Stuxnet Gemeinschaftsprojekt der USA und Israels?. Es wird sogar spekuliert, dass die Software in einem Anreicherungszentrum in der Negev-Wüste getestet wurde. Andere Experten widersprechen jedoch dieser Theorie ("Er hoffe, dass die Entwickler digitaler Waffen mehr auf der Pfanne hätten, als die Tricks, die bulgarische Teenager schon in den 90er Jahren zur Tarnung ihrer Viren eingesetzt hätten.")
Aktualisierung April 2012:
Jetzt gibt es neue Berichte über (angebliche) Hintergründe: Innenangreifer half bei Stuxnet-Infektion. Angeblich war es ein Mitarbeiter der den ersten USB-Stick eingesteckt hat. So eine Veröffentlichung führt jetzt natürlich zu einer weiteren Suche nach unsicheren Mitarbeitern, was die Arbeitsmoral und die Effektivität weiter reduzieren wird, d.h. egal ob der Bericht stimmt, er schadet dem Vorankommen bei der Aufbereitung des Urans. Der Artikel verlinkt auf die Orignalquellen.
In einem dreiwöchigen Experiment testeten die Antivirus-Spezialisten von Bitdefender wie gut sich Social Networks nutzen lassen. Für die gefälschte Anfrage im Social Network erstellten sie das Profil einer 21-jährigen Blondine. Angeschrieben wurden je 1.000 Männer und Frauen. Um eine möglichst repräsentative Menge von Probanden zu erreichen, wurden zudem User zwischen 17 und 65 Jahren in das Experiment mit einbezogen. Das Durchschnittsalter betrug 27,3 Jahre.
Bereits nach 7 Tagen hatten 94 Prozent der 2.000 weltweit angeschriebenen User den Kontakt bestätigt. Immerhin 13 Prozent von diesen machten sich im Anschluss wenigstens die Mühe nachzufragen, woher man sich genau kenne. Als Hauptgrund für die Kontaktaufnahme gaben 53 Prozent „das schöne Gesicht“ der 21-Jährigen an. Mitrbeiter der IT-Branche waren unter den Vertrausseeligen kräftig vertreten (Hier die Details: malwarecity.com). Von diesen IT-lern waren wiederum 31 Prozent im Bereich IT-Security tätig.
Anschließend wählten die Tester 20 der Probanden die die Anfrage bestätigt hatten aus, um eine kleine Konversation mit der 21-jährigen Dame zu führen. Hier galt es herauszufinden, wie viele private Informationen die einzelnen Nutzer bereit waren, dem Fake-Kontakt preiszugeben. 10 Prozent der IT-Mitarbeiter hatten bereits nach einer halben Stunde privater Konversation der jungen Dame sensible Informationen wie Adresse, Telefonnummer sowie den Namen von Vater und Mutter etc. verraten. Nach zwei Stunden Gespräch hatten 72 Prozent sogar vertrauliche Daten über ihren Arbeitsplatz verraten, beispielsweise Informationen über noch nicht veröffentlichte Software oder Zukunftsstrategien etc.
Das Verhalten der Kollegen IT-Experten kann schon manchmal arg peinlich sein. Computerbild hat korrekt laufende PCs zu den Reparatur-Services von Medion, Asus, Hewlett Packard, Fujitsu Siemens, Toshiba, Targa, Conrad und PC-Feuerwehr gebracht, und zwar mit der Bitte eines Checkouts ohne Datenverlust. Das Ergebnis steht unter Repariert und ausspioniert: PC-Techniker schnüffeln in Ihrem PC!.
Das Ergebnis: Bei über der Hälfte der Computer schnüffelten PC-Techniker durch die privaten Dateien, was für diese Reparatur generell nicht erforderlich war. Sie betrachteten Urlaubsbilder, sichteten Dokumente, schauten sich Videos an und kopierten sogar Dateien. In einem Fall war die Platte neu formatiert, in einem anderen Fall eine ganz neue Platte eingebaut. Einer der Rechner startete nicht mehr, er war falsch wieder zusammengesetzt worden, ein anderer hatte angeblich neuen Hauptspeicher eingesetzt bekommen, Diagnoseprogramme waren vorher jedoch nicht genutzt worden. Die traurigen Details sind auf computerbild.de.
Fazit ist, was ich seit Jahren behaupte: Wir (die IT-ler) bringen dringend Ethikregeln, so dass diese Kollegen zumindest ein schlechtes Gewissen haben. Oder wir brauchen viel mehr solcher Tests.
 |
| Nicht nur haben die Hacker rund um 4chan "moot" an Platz 1 gebracht, sondern die Reihenfolge aller Personen so manipuliert, dass ein Satz entsteht |
Irgendwie war das im Frühjahr 2009 an mir vorbeigerauscht. Der Time 100 (most influential person) war im Jahr 2009 gehackt worden. Ich wusste bereits, dass Online-Polls im Internet oft zu einem Wettbewerb zwischen IT-lern (z.B. 2 Universitäten) ausarten, Playboy-Polls sind berühmt dafür.
Mehr zu Hacktivismus gebe ich an anderer Stelle. |
Aber diese Manipulation hatte noch eine zusätzliche Qualität: Nicht nur haben die Hacker rund um 4chan "moot" an Platz 1 gebracht, sondern die Reihenfolge aller Personen so manipuliert, dass ein Satz entsteht. Hier sind Insider-Informationen dazu: Inside the precision hack die die Perfektion der eingesetzten Software anzeigt, mit deren Hilfe so eine exakte Manipulation möglich ist.
Zum Thema Copyright, dessen Wert und dessen Durchsetzung lässt sich trefflich streiten. Aber es gibt ein paar Punkte, da kann ich mich drüber streiten, da staune ich nur, was alles möglich ist.
Die Österreichische Nationalbibliothek lässt ihre 400.000 Bände vom 16. bis ins 19. Jahrhundert von Google kostenlos einscannen. Ich bin ja kein großer Fan der Datensammelwut von Google, aber in diesem Fall halte ich das für eine Win-Win Situation. Google bekommt die Ergebnisse der Scans nicht-exklusiv, die Nationalbibliothek kann die Inhalte selbst auf ihre Website stellen, kann diese von alle Suchmaschinen der Welt indizieren lassen und die Wissenschaft und die Öffentlichkeit haben endlich bequemen Zugriff auf diese Bücher.
Dann kommen die Verleger beginnen sofort zu jammern, dass das ein nationaler Ausverkauf sei. Auch die IG Autorinnen Autoren regen sich auf. Auf dem IT-Rechtstag letzte Woche berichteten Anwälte der (Zeitungs-)Verleger, dass ein Mechanismus geschaffen werden müsste, damit die Zeitschriften verhindern könnten, dass ihre Inhalte ungefragt von Google indiziert werden.
Hier die Neuigkeit für die Verleger und ihre Anwälte: Diesen Mechanismus gibt es bereits. Er heißt robots.txt. Dies ist eine kleine Textdatei die auf jedem Webserver liegen sollte und in der angegeben wird, welche der dortigen Inhalte indiziert werden sollen und welche nicht. Bei sicherheitskultur.at wird da z.B. spezifiziert, dass keine Bilder für die Bildersuche indiziert werden sollen (Disallow: /images/*). So einfach ist das nämlich. Die zweite Option sind dann noch die Meta-Tags von HTML-Seiten, da kann das noch mal spezifiziert werden.
D.h. die Inhaber der Verwertungsrechte haben sehr wohl die Möglichkeit, die Nutzung ihrer Inhalte durch Google zu verhindern, man müsste sich nur etwas besser auskennen. Ebenso halte ich das Opt-Out beim Scannen von verwaisten Werken für eine akzeptable Option. Buchverleger sollten übrigens nicht zu sehr über die "Enteignung von Autoren" reden, der Begriff passt eigentlich viel besser auf Verträge mit Autoren die ich gesehen habe:
Da bleibt von "alleiniger Inhaber aller Rechte" nicht viel übrig.
Das andere ärgerliche Thema rund um Copyright sind die ACTA-Verhandlungen (Anti-Counterfeiting_Trade_Agreement). Die Futurezone des ORF (die ja auf Wunsch der Zeitungsverleger - siehe oben - im Rahmen des neuen ORG-Gesetz eingestellt werden soll) berichtet US-Plan gibt Marschrichtung vor und dann ein paar Tage später Verbraucherschutz: ACTA verletzt Grundrechte. Und das fasst sehr gut meine Meinung dazu zusammen. Da wird wohl den Internet-Service-Providern (ISP) auferlegt, den Datenverkehr ihrer Kunden aktiv zu überwachen. Und es wird wohl, so wie es aussieht, auch auf das Three Strikes-Prinzip hinauslaufen. D.h. wegen dem Vorwurf einer zivilrechtlich relevanten Taten wird das Grundrecht auf Information beschnitten, indem der Betroffene keinen Internetzugang mehr bekommen soll.
Drei Artikel zu Geschäftsmodellen rund um Copyright-Klagen. Da ist erstmal ein Trojaner der wenn er einen Rechner infiziert hat dort ein Fenster öffnet und den Benutzer informiert, die (nicht-existierende) ICPP Copyright Foundation hätte Raubkopien auf dem Rechner gefunden und es müssten zur Vermeidung eines Prozesses 400 Euro per Kreditkarte gezahlt werden. Wer sich darauf einlässt und das entsprechende Fenster für die Zahlung nutzt, dem werden dann zwar diese 400 Euro nicht von der Kreditkarte abgebucht (das wäre vermutlich zu leicht nachzuverfolgen), die so gewonnenen Kreditkarteninformationen werden einfach für weitere Betrügereien verwendet.
Der nächste Artikel beschäftigt sich dann mit richtigen Gerichtsverfahren. The RIAA? Amateurs. Here's how you sue 14,000+ P2P users berichtet, dass die großen Plattenverlage mittlerweile kaum noch Downloader verklagen, aber andere Anwälte haben das Geschäftsmodell für sich selbst entdeckt und produzieren in knapp über 3 Monaten fast so viele Klagen wie die RIAA-Verwertungsgesellschaft seit Beginn der Kampagne - bereits jetzt 15 000 für die ersten Monate 2010 allein durch eine Gesellschaft.
Die Anwälte suchen sich relativ unbekannte "independent" Filmproduzenten, suchen im Internet wer deren Filme herunterlädt und drohen mit Prozess, alternativ eine Zahlung von 1500 bis 2500 US$. Ein großer Teil der so Bedrohten zahlt; es ist ein tolles Geschäft, für die Anwälte und die Filmproduzenten die auch ihren Anteil bekommen.
In Deutschland ist Bushido berüchtigt für seine Abmahnungskampagnen. Es werden Unterlassungserklärungen und pauschal 859 Euro verlangt. Angeblich lässt er auch Fans abmahnen, die Texte von ihm auf Websites stellen.
Dabei ist Bushido kein unbeschriebenes Blatt: Ihm selbst werden zahlreiche Urheberrechtsverletzungen vorgeworfen und er ist auch schon einschlägig verurteilt worden. Der vorige Links gibt auch Hinweise, wie man sich gegen Bushido und ähnliche Ansuchen wehren kann. Kurzttipp: Bevor Sie irgendwas tun, nehmen Sie Kontakt mit einem Anwalt auf, die Erstberatung ist meistens kostenlos und dann wissen Sie besser über ihre Rechte bescheid.
Aktualisierung Juni 2010:
heise.de berichtet von gefäschten Emails mit Abmahnungen einer nicht mehr exisitierenden Kanzlei, Bezahlung angefordert über Paysafecard wird gefordert, eine sehr beliebte anonyme Bezahlmethode im Internet-Untergrund.
Das ist leider ein sehr besetztes Thema, das kaum irgendwo sachlich diskutiert werden kann. Wer gegen Internetsperren ist steht sofort im Ruf, Kinderpornographie zu befürworten. Ein recht vernünftiger Arikel in der Futurezone des ORF Kinderporno: SPÖ und ÖVP für Internet-Sperren verweist auf eine Aktion in Deutschland "Löschen funktioniert".
Die österreichischen Parlamentarier haben sich dazu durchgerungen, dass "das Löschen solcher Inhalte Vorrang vor dem Sperren haben" soll, anderseits sehen sie die Sperren immer noch als zweitbeste Lösung. Weiter unten in dem Artikel werden dann auch die Missbrauchsmöglichkeiten erwähnt: "So wurden in der deutschen Diskussion auch Forderungen nach Sperren von Torrent-Trackern für unlizenzierten Tausch von Mediendateien oder Glücksspielangeboten laut."
Der Arbeitskreis aus Deutschland (siehe 2. Link) hat das mal durchgetestet. Sie haben auf Grund von europäischen Sperrlisten automatisiert 348 verschiedene Webhosting-Provider in 46 Ländern angeschrieben und über rund 1943 gesperrte vorgeblich illegale Webseiten informiert. Ergebnis: 250 Webhoster haben prompt auf die Anfrage geantwortet, hatten aber hauptsächlich legale Inhalte gefunden; 10 Hoster gaben an, ingesamt 61 illegale Inhalte entfernt zu haben. Also - so schwer ist das mit dem "Entfernen statt Sperren" offensichtlich nicht. Die verbotenen Inhalte werden nämlich zum überwiegenden Teil in Ländern gespeichert, wo ein Entfernen der Inhalte sehr leicht möglich ist.
Hier ein Artikel dazu aus der futurezone des ORF: Kinderpornos meistens in USA gehostet. Dieser Artikel beruht auf einer Presseerklärung der stopline.at, auf der illegale Inhalte im Web gemeldet werden können und die von der ISPA, der Vereinigung der Internet Service Provider in Ö betrieben wird. Hier die Aussendung ISPA-Stopline: Im ersten Halbjahr 2010 kein österreichischer Server betroffen.
Die Hoster der Websites auf der Sperrliste waren übrigens gar nicht darüber informiert, dass diese URLs auf der Sperrliste sind. Wenn sie informiert worden wären hätte man die meisten der URLs erst gar nicht auf die Sperrliste setzen müssen weil die Hoster entweder die Inhalte gelöscht oder die Fehleinschätzung korrigiert hätten. Das regelmäßige Verteilen der aktuellen Sperrlisten an die Betreiber der DNS-Infrastruktur ist vermutlich oft mehr Arbeit als das Entfernen der Inhalte aus dem Netz.
Und jetzt zu den schlechteren Nachrichten: Bei der überwiegenden Mehrheit der Webseiten zeigte sich bei der Überprüfung, dass die Webseiten kein kinderpornographisches, teilweilse überhaupt kein irgendwie beanstandbares Material enthielten - die Webauftritte waren folglich zu Unrecht gesperrt. In Finnland werden zudem auch mehrere inländische Webseiten blockiert die sich kritisch mit den dortigen Internet-Sperren auseinandersetzen. D.h. solche Sperren werden bereits jetzt für Zensurzwecke eingesetzt. Auch aus Australien wird Zensur über solche Sperrlisten berichtet.
ja
Technische Implementierung und deren Wirkungslosigkeit
Es gibt nur eine wirklich sichere Möglichkeit um im Internet-Zugriffe zu sperren: alle Zugriffe müssen über eine oder mehrere zentrale Firewalls gehen. Dies ist in Nordkorea und in China implementiert. Die in Europa vorgeschlagenen Sperren sind keine wirklichen Sperren (und das entsprechende Gesetz heißt in D. Zugangserschwerungsgesetz). Es sollen lediglich die DNS-Server in den jeweiligen Ländern die URLs zu den "gesperrten" Inhalten nicht mehr auflösen. D.h. der DNS-Server gibt keine IP-Adresse zurück sondern zeigt eine Seite die besagt, dass auf gesperrte Inhalte zugegriffen werden sollte. Nach der in D. geplanten Implementierung hätte auch automatisch eine Meldung an die Behörden generiert werden sollen, damit sie diesem Fall nachgehen können.
 |
| Von der RSA-Website: "The RSA Anti-Fraud Command Center works 24x7 to detect, monitor, track and shut down phishing, pharming and Trojan attacks around the world." |
Die Umgehung einer solchen Scheinsperre ist extrem einfach: der Benutzer ändert bei seinem PC die Netzwerkeigenschaften und stellt die Adresse des DNS z.B. auf 8.8.8.8. Das ist der neue Google-DNS, der in den USA liegt, wo eine solche Scheinsperre als Zensur gesehen würde. D.h. eine solche Scheinsperre wäre extrem wirkungslos, auch ich würde lieber über den Google-DNS surfen als Gefahr zu laufen, dass ich wegen einer der vielen oben aufgezeigten "false positives", d.h. fälschlichen Sperrungen, Besuch von der Behörde bekomme und schlimmstenfalls mein Rechner für eine ausführliche Untersuchung beschlagnahmt wird.
Die Lösung: Löschen statt Sperren
Aber auch hier haben diese Anti-Phishing-Dienste Mittel und Wege, das Problem zu lösen. Z.B. verfügen solche Anti-Phishing-Dienste über Kontakte zu vielen Polizeibehörden und da findet sich dann zumeist ein Weg, die Website vom Netz zu nehmen. Der Punkt ist: wenn private Firmen es schaffen, "Inhalte vom Netz zu nehmen" dann ist es schwer verständlich warum die Polizeibehörden der Welt - gemeinsam - dies nicht schaffen können und daher zu dem (untauglichen) Mittel der Scheinsperre greifen wollen. Daher die Forderung ganz vieler Organisationen: Endlich diese Inhalte systematisch löschen zu lassen. Falls die Polizeibehörden dazu ressourcenmäßig nicht in der Lage sind, so übernehmen die kommerziellen Anbieter dies bestimmt sehr gern.
Der oben referenzierte Artikel der ISPA erklärt sehr schön, dass es auch heute eine gut funktionierende Kooperation gibt und dass das Löschen kein unlösbares Problem ist:
Der Test aus D. hat gezeigt, dass von den 348 Webhostern 250 prompt reagiert haben. Was ist mit dem Rest? Auch hier gibt es Lösungen. Banken und größere Firmen nutzen kommerzielle Anti-Phishing-Dienste (z.B. RSA Fraud Center und CSIS Antiphishing), die sich rühmen, JEDE Website vom Netz zu nehmen. Bei seriösen Betreibern ist das Recht einfach. Alle seriösen Webhoster haben Abuse-Kontaktadressen (meist abuse@"Die über 60% des illegalen Inhalts in den USA senden eine eindeutige Botschaft an die Politik und
die Sicherheitsbehörden: Verstärkte Zusammenarbeit, das Durchsetzen der Schutzrechte der Betroffenen und natürlich auch die Verfolgung der Straftäter sind das Gebot der Stunde. Würde man dieser Problematik ähnliche Anstrengungen widmen, wie beispielsweise dem kürzlich beschlossenen Abkommen für Finanztransaktionen (SWIFT), wäre der Kinderporno-Sumpf wohl bald ausgetrocknet."
 |
Das Kernproblem sind die Kindesmisshandlungen selbst, nicht die Fotos
Das eigentliche Problem ist aber nicht die Kinderpornographie, sondern die auf diesen Bildern und Videos sehr oft dargestellten sexuellen Misshandlungen der Kinder und die dadurch in den Opfern ausgelösten körperlichen und psychischen Traumatisierungen (der Begriff "Kindesmissbrauch" ist in diesem Zusammenhang zumindestens extrem unglücklich; das Wort "Missbrauch" unterstellt implizit, dass es auch einen korrekten Gebrauch von Kindern geben könnte). Diese Misshandlungen sind es, die zum Schutz der Kinder strafrechtlich verfolgt und so effektiv wie möglich erschwert werden müssen.
Oft zeigt sich, wie in dem aktuellen Wiener Fall, dass die Verfolgung von Kinderpornographie-Zugriffen Hinweise auf Kindesmisshandlungen gibt, so wie es auch in diesem Fall zu sein scheint. Diese Misshandlungen werden natürlich weder durch Zugaungserscherungen noch durch das Löschen der Inhalte abgestellt.
Das Löschen der Inhalte ist aber eine Behinderung des Marktes mit solchen Bildern und Videos. Es ist eine grauslige Tatsache, dass viele Bilder und Videos auch auf Nachfrage hergestellt werden und dass eine Behinderung solcher Foren, in denen (gegen Bezahlung) Bestellungen für bestimmte Inszenierungen abgegeben werden, sehr wohl Kinder vor diesen Misshandlungen retten kann.
Aktualisierung Juli 2010:
Und schon wieder werden neue Überwachungswünsche unter dem Vorwand Kinderpornografie bekannt: EU plant massive Ausweitung der "Vorratsdaten-Sammlung". Diesmal geht es nicht um die Erschwerung des Zugriffs, sondern um eine Aufzeichung und Auswertung der Suchbegriffe in Suchmaschinen um angeblich auf diese Weise "Online-Kinderpornografie und anstößige sexuelle Inhalte rasch und effektiv zu bekämpfen" - wie auch immer das gehen soll. Und wie auch immer diese Auswertungen den Opfern helfen können.
Wirkliches Ziel muss doch sein, die Anbieter der Daten zu identifizieren (dafür braucht es aber keine Überwachung der Suchmaschinen, sondern vielleicht nur einfach eine Nutzung der Suchmaschinen durch die Exekutive - "Google ist dein Freund") und dann diesen Anbietern das Handwerk zu legen.
Noch mal Aktualisierung Juli 2010:
Hier Berichte aus Australien, wo die Regierung bereits ziemlich weit war. Es ging in dem Gesetzesentwurf nicht nur um Kinderpornographie, sondern auch um Anleitungen zu Verbrechensbegehung (was immer da alles drunter fällt, evtl. auch solche Berichte über Angriffe wie ich sie auf dieser Website bringe).
Mittlerweile ist die Regierung wieder vorsichtiger geworden und ist bereit, diesen Schutz auch anders zu implementieren. Hier ein Artikel aus Australien: Conroy backs down on net filters. Auch hier fordern Aktivisten "better equip parents to protect their children at home, and better equip police to combat the issues at their source".
Hier ein recht guter Hintergrundartikel: Kindesmissbrauch: Netzsperren als Wegsehen mit vielen weiteren Links zum Thema.
Aktualisierung August 2010:
heise.de: Provider: "Löschen statt Sperren" funktioniert. Ähnlich klingt der Bericht der schweizer Koordinationsstelle zur Bekämpfung der Internet-Kriminalität (Kobik). Sie berichten darüber, dass sie sehr erfolgreich diese Inhalte aus dem Web entfernen (lassen).
Sept. 2010:
Futurezone berichtet über die Wiederkehr der Netzsperren. Der Artikel berichtet über 2 Dokumente: die International Watch Foundation dokumentiert IWF experience, tactical suggestions and wider considerations (pdf). IWF ist sehr aktiv und erfolgreich beim Entfernen aus dem Internet, sowohl in Großbritannien wie auch in anderen Ländern. Weil es aber Fälle gibt, an denen auch sie scheitern befürworten sie ein gezieltes URL-Sperren. Sie sprechen sich aber explizit gegen das Sperren von Domain-Names (und damit IP-Adressen), so wie das heute vorgeschlagen wird. Sie sagen, dass ein großer Teil der illegalen Inhalte auf legitimen Seiten gehostet wird, z.B. Photosharing, und dass es zu erheblichen Colateralschäden kommen würde. Es bieten eine täglich 2x aktualisierte Liste von ca. 500 vollständigen URLs an, die aus den ca. 40 000 Reports die sie pro Jahr bearbeiten, übrig bleiben. Sie betonen, dass das auf diese Liste setzen jeweils nur eine Interim-Lösung ist bis die Entfernung aus dem Internet gelungen ist.
Und aus Deutschland gibt es ein Harmonisierungspapier zum zukünftigen Umgang mit Hinweisen auf kinderpornografische Webseiten das beschreibt, dass es bisherigen bei der Bekämpfung von Kinderpornographie in Deutschland eine Ungleichbehandlung der Meldung an die 3 deutschen Stellen gab, das BKA aber eine einheitliche Vorgehensweise durchsetzt, bei der das Entfernen die allerhöchste Priorität hat. (Hier übrigens die Links von Meldestellen).
In den USA gibt es mittlerweile Pläne das DNS System gegen Urheberrechtsverletzungen zu missbrauchen. Die EFF hat einen offenen Brief von 87 prominenten US-Internetpionieren initiiert. Über das Antipiraterieabkommen ACTA könnten diese Maßnahmen auch nach Europa kommen.
Eine weitere Studie beschäftigt sich mit der Effektivität der Netzsperren. Der deutsche AK Zensur hat sich 167 Einträge von Sperrlisten aus Schweden und Dänemark (pdf) angesehen und dabei festgestellt, dass lediglich drei Adressen noch Inhalte enthielten, die als Kinderpornografie klassifiziert werden können.
Febr. 2011:
Futurezone berichtet über ein konkretes Ermittlungsbeispiel und zeigt auf Netzsperren warnen die Täter.
April 2011:
Ein sehr guter Artikel von der bundesdeutschen Justizministerin Sabine Leutheusser-Schnarrenberger setzt sich kritisch mit dem angeblichen Recht auf Vernetzung der Post-Privacy-Befürworter auseinander. Aber dann geht sie auch auf die Problematik der Netz-Sperren ein:
Aktualisierung Mai 2011:
Deutschland: Löschen statt Sperren nun fix.
Aktualisierung Dezember 2011:
EU-Minister fordert mehr Anstrengungen beim Löschen von Kinderpornographie.
Aktualisierung Jan. 2012:
Auf dem Chaos Computer Congress 2011 wird ein System vorgestellt (und kritisiert), mit dessen Hilfe Kinderpornographie im Netz über Hash-Werte identifiziert werden soll. Ich persönlich finde diesen Vorschlag zumindest diskussionswürdig. Da bereits diese Hashwerte vorliegen sehe ich kein Problem, wenn die Crawler der Suchmaschinen in diesen Fällen Alarm schlagen.
Ein interessanter Artikel Experimental Security Analysis of a Modern Automobile (pdf) zeigt, wie leicht angreifbar moderne Autos mit ihren 50 - 70 integrierten Prozessoren sind (embedded systems). Diese Prozessoren werden typischerweise mittels CAN-Bus miteinander gekoppelt, an dem nicht nur Systeme wie Engine Control Module, Electronic Brake Control Module, Transmission Control Module und Body Control Module angeschlossen sind, sondern auch das Autoradio (das zumeist auch verwendet wird um alle Blinker- und Warngeräusche zu erzeugen und daher eng mit den anderen Fahrzeugprozessoren gekoppelt sein muss), die Klimananlage, die Airbags, die Diebstahlsicherung, das Navi, die Instrumentierung im Armaturenbrett, der elektronische Türöffner und das Telematic-Module, das über GSM (Handy) eine Lokalisierung und Blockierung des gestohlenen Autos erlaubt.
Die Sicherheitsphilosophie der Ingenieure bezieht sich jedoch nur auf Safety (das Vermeiden von Unfällen, z.B. bei Ausfall von Prozessoren oder des Daten-Bus, und nicht auf Security (dem Schutz gegen böswillige Datenpakete im Bus-System. Solche böswilligen Datenpakete können auf vielfältige Weise in das Datennetz kommen. Ein möglicher Weg wäre der Anschluss eines kleinen Computers (z.B. ein iPhone) an den Diagnosestecker unter dem Armaturenbrett. Ein anderer Weg geht über die drahtlosen Systeme die an den Bus angschlossen sind, z.B. den Türöffner und das Telematic Module.
Eine weitere Angriffsmöglichkeit sind Geräte die nicht vom Hersteller stammen, z.B. Autoradios und Navis die von vielen Anbietern verfügbar sind und auch mit vielen anderen Prozessoren kommunizieren müssen (z.B. um zu wissen ob Blinkergeräusche erzeugt werden müssen).
Die Spezifikationen des CAN-Bus besagen, dass Signale nur von autorisierten Systemen akzeptiert werden sollen, aber den Testern der beiden Universitäten ist es gelungen, über jede der Angriffspfade alle Prozessoren beliebig anzusprechen. So konnten sie z.B. einzelne Räder gezielt blockieren, die Bremse vollständig deaktivieren, das Auto hupen lassen, vollständig deaktivieren, oder auch dafür sorgen dass es trotz abgezogenen Schlüssels immer weiter lief. Diese böswilligen Signale können auch ganz gezielt eingesetzt werden wenn das Fahrzeug bestimmte Betriebszustände erreicht, z.B. bei einer bestimmten Geschwindigkeit. Auch hier sagt wiederum die Spezifikation, dass z.B. die Bremsen ein Deaktivierungskommando nur akzeptieren dürfen, wenn das Fahrzeug steht, aber auch diese Sicherheitsregeln waren in den beiden Testfahrzeugen nicht implementiert.
Das heißt, es gibt vielfältige Angriffsmöglichkeiten die von "nur extrem nervig" (Dauerhupton) bis tödlich reichen (Deaktivierung des Bremssystems wenn eine bestimmte Geschwindigkeit erreicht wird). Und das allerbeste für Morde durch Angriff auf den Datenbus ist, dass es den Angreifern gelungen ist, nach erfolgtem Angriff alle Spuren einer Manipulation der Systeme wieder zu überschreiben, d.h. sie konnten Programme im Speicher der Prozessoren manipulieren und nach erfolgter Tat automatisch den Originalcode wieder drüber speichern.
Aktualisierung August 2010:
heise.de berichtet über eine weitere Studie zu Sicherheit elektronischer KFZ-Steuerungen: Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System (TPMS) Case Study. Es geht dabei um Angriffe auf Autos über die drahtlose Verbindung zwischen den Ventilen und der Bordelektronik, die in den USA bereits jetzt Pflicht sind und in der EU sehr bald Pflicht werden.
Den Autoren finden heraus, dass es keine Absicherung gegen fremde Signale gibt. So gelingt es bei 2 gängigen Automarken in das Fahrzeugsystem einzudringen und die Reifendruckanzeigen während der Fahrt von einem anderen Auto aus zu manipulieren (damit könnte man z.B. einen Fahrer dazu zu bringen anzuhalten, was für Räuber eine gute Gelegenheit ergibt). Ebenso konnten die Autoren die Fahrzeuge anhand der IDs der Reifendrucksensoren auch auf 40 m Entfernung noch tracken. Noch dramatischer: Im Rahmen der Tests hat die ganze TPMS-Unit irgendwann ihren Geist aufgegeben und musste kostspielig ersetzt werden, das sollte mittels "verwirrender" Dateninhalte eigentlich nicht möglich sein.
Aktualisierung März 2011:
Ich glaube, das Thema wird uns noch mehr beschäftigen: Auto-Bremsen per Bluetooth und MP3-Trojaner gehackt. Dieser Angriff hat über die Freisprechanlage funktioniert, sie konnten das Fahrzeug auch über ein dem Auto noch nicht bekanntes Handy steuern. Außerdem funktionierte die Infektion über eine CD mit einer manipulierten MP3-Datei. Hier der Link zu Originalartikeln: Taking Control of Cars From Afar und With hacking, music can take control of your car. Der Angriff über Musik im 2. Artikel ist in so fern interessant, weil er "skaliert", d.h. flächendeckend eingesetzt werden kann: Der Angreifer kann die Systeme im Auto mittels einer präparierten MP3-Datei übernehmen. Der Angreifer könnte die Datei über Filesharing flächendeckend verteilen. Wenn die Datei auf eine CD gebrannt wird und im Autoradio abgespielt, dann übernimmt der Schadcode die Computer im Auto. Sofern der Wagen entsprechend ausgerüstet ist sendet er die Position des Wagens an den Angreifer (entweder über Internet-Anschluss im Auto oder GSM). Wenn dann der benachrichtigte Dieb zu Wagen kommt, so kann die Elektronik die Türen öffnen und den Wagen starten.
Noch ein Artikel über Forscher in Magdeburg die ebenfalls mehr Schutzfunktionen für die IT im Auto fordern.
Aktualisierung August 2011:
Neuer Angriff gegen Autos: Hackers unlock car via text. Die Forscher haben per SMS die Autotüren geöffnet und den Motor gestartet. Und noch mal hier: Cars vulnerable to hack attacks.
Aktualisierung November 2011:
Noch ein Stück persönlicher werden ähnliche Angriffe auf drahtlos-gesteuert Insulinpumpen, die dazu gebracht werden können, eine tödliche Dosis abzugeben. Zur Beruhigung der Patienten: diese Angriffe gehen nur gegen die drahtlosen Modelle und sind nur sehr schwer zu implementieren (erfordern spezielle Hardware und Software). Und natürlich kann der Täter sein Opfer, wenn er mal auf diese Nähe herangekommen ist, auch auf vielfältige andere Weise töten.
Peinlich (und leider typisch) ist, dass die Gerätehersteller, genau wie die Anbieter von drahtlosen Herzschrittmachern, sich keinerlei Gedanken zu möglichen Schutzmechanismen gegen Angriffe gemacht haben. Man zeigt sich beim Hersteller eher überrascht und will ein Industrikonsortium einberufen, um kompatible Schutzmethoden zu entwickeln ("dann gründen wir erst mal ein Komitee").
Aktualisierung März 2012:
Auf der Blackhat Europa Konferenz zeigen Sicherheitsexperten, wie Fahrzeuge, die mit der sog. “M2M”-Technologie ausgerüstet sind angegriffen werden können und zwar mittels SMS.
Aktualisierung Mai 2012:
Ein Artikel berichtet über Upgrading Auto Software In A Flash. Es geht darum, dass für Autos mittlerweile die gleiche Problematik besteht wie für jeden anderen Computer: die Software muss ständig aktualisiert werden. In den USA wurden bereits 2007 mehr als 1 Mio. Autos für Software-Updates in die Werkstatt gerufen, August 2011 hat Honda allein 2 Mio Rückrufe gehabt, und Jaguar 18000 im Oktober. Um dieses Problem zu lösen hat eine Organisation, die OMA-DM (Open Mobile Alliance Device Management) einen Standard für over-the-air Software Updates für Autos entwickelt, mit deren Hilfe die Software aktualisiert werden kann ("reflashing").
Was da im Augenblick mit dem Ankauf von Kundendaten von Schweizer Bankkunden passiert ist aus Sicht eines Bank-Sicherheitsverantwortlichen eine ganz heiße Kiste. Da wird durch den Ankauf ein Markt geschaffen, der viele frustierte System-Administratoren in Versuchung bringen könnte. Eine ganze Reihe von guten Punkten bringt Hans Zeger unter Dürfen gestohlene Personendaten gehandelt und verwertet werden?. (Der folgende Text bezieht sich NUR auf österreichisches Recht.)
'Datendiebstahl' kann es gar nicht geben, Diebstahl bezieht sich immer auf Dinge, keine Daten, Ideen oder ähnliches. ARGE DATEN: Vor einigen Jahren wurden aus einer Justizanstalt tausende Häftlingsakten auf eine DVD kopiert und verkauft. Nach Rückgabe der DVD wurden die Strafverfahren eingestellt, da kein Diebstahl mehr bestehe.
Aber strafbar macht sich ein Administrator (ob Bank oder Klinik oder Industriebetrieb) durch die Weitergabe von internen Daten auf jeden Fall. In Ö z.B. Strafgesetzbuch - § 122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses oder die einschlägigen Vertraulichkeitsregelungen, z.B. im Bankengesetz, Telekommunikationsgesetz und im Ärztegesetz (das nämlich nicht nur für Ärzte, sondern für alle Beschäftigten im Gesundheitswesen gilt).
Ebenfalls greift bei einem Verkauf solcher Daten die Strafbestimmung in § 51 DSG (und ist neuerdings ein Offizialdelikt und damit in vom Staatsanwalt zu verfolgen): Wer in der Absicht, sich (etwa durch Verkauf) einen Vermögensvorteil zu verschaffen, Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind (z.B. als Bankmitarbeiter), einem anderen (etwa einem "Datenhehler", dem Staat direkt oder auch einem angeblich "zufälligen" Finder) zugänglich macht, kann mit bis zu einem Jahr Freiheitsstrafe belangt werden. Dies trifft auch alle Mittäter und es ist bereits der Versuch strafbar. (Zitat Rainer KNYRIM)
Die sog. Cybercrime-Paragraphen (§148a StGB – Betrügerischer Datenverarbeitungsmissbrauch, §118a StGB – Widerrechtlicher Zugriff auf ein Computersystem, §119a StGB - Missbräuchliches Abfangen von Daten, §126b StGB – Störung der Funktionsfähigkeit eines Computersystems, §126c StGB – Missbrauch von Computerprogrammen oder Zugangsdaten, §225a StGB – Datenfälschung) haben zumindest in Ö einige Einschränkungen: Vorraussetzung ist die Verletzung (und nicht nur Überwinden) von spezifischen Sicherheitsvorrichtungen („herkömmliche“ Vorkehrungen wie verschlossene Türen reichen nicht aus).
Ebenfalls Voraussetzung ist die Absicht, sich oder anderen einen Vermögensvorteil oder anderen einen Vermögensnachteil zuzufügen, bzw. die Daten jemand anderem oder öffentlich zugänglich zu machen. Im konkreten Fall in der Schweiz (2010) sagt der Administrator, dass er lediglich dafür sorgen wollte, dass Gesetzesbrecher bestraft werden. Er hatte ja diese Daten auch schon vor Jahren den schweizer Behörden unentgeltlich angeboten.
Auch das Datenschutzgesetz greift nicht sehr gut, es regelt nämlich die rechtmäßige Vearbeitung von Daten, außerdem sind die Strafen in Ö auf 25000 Euro begrenzt. Aber selbst wenn eine solche Datensammlung nicht-rechtmäßig entstanden ist, so kann sie in Ö oder D. doch als Beweis verwendet werden, im Gegensatz zum angelsächsischen Recht.
Die Verarbeitung der Daten durch die Steuerbehörden ist dann aber wiederum ganz sicher eine rechtmäßige Datenverarbeitung, da die Verfolgung von Steuerhinterziehern Aufgabe der Behörde ist. Sicher verboten wäre eine Anstiftung zum Ausspähen von Betriebsgeheimnissen (§122 StGB), Verletzung von Telekommunikationsgeheimnissen (§119), Verletzung von Amtsgeheimnissen (§310 StGB) und Amtsmissbrauch (§302 StGB), etc. Aber ob der Ankauf bereits eine Anstiftung ist, bleibt offen.
Gefundene Daten, z.B. auf einem im Taxi liegengebliebenen Laptop (viele Hundert jeden Tag in den Großstädten) können legal verwendet (und vermutlich sogar auf eBay angeboten) werden solange keine Sicherungen überwunden worden sind (z.B. eine Festplattenverschlüsselung). ARGE DATEN:
Mein Beitrag aus dem Jahr 2008 hat sich auch schon mit dem Thema Datendiebstahl beschäftigt.
Und hier noch ein Krimi - die Schweizer HSBC-Bank
Recht spannend (wie ein Krimi) lesen sich übrigens auch die Details im Fall der Schweizer HSBC-Bank, Februar 2010. Hier zuerst der Standard, und für alle die französisch können dann ein Interview mit Hervé Falciani und weitere Artikel im Le Figaro. Hervé Falciani erklärt die lange Geschichte wie er zuerst versucht hat, seinen Arbeitgeber für eine Aktion gegen Geldwäsche zu begeistern, dann die schweizer Behörden und wie er dann aufgegeben hat und versucht hat, die Daten zu verkaufen. Da kommt dann eine Scheinfirma in Hongkong vor, ein Tripp nach Beirut unter falschem Namen und ein Server in Canada auf dem die Daten in verschlüsselter Form ruhen.
Aktualisierung Juli 2010:
Mittlerweile berichtet die Presse von einem blühenden Markt für Daten-CDs und die Selbstanzeigen schnellen in die Höhe (was ja an sich eine gute Sache für das Allgemeinwohl ist - 1 Milliarde Euro zusätzlicher Steuereinnahmen). Es wird von mittlerweile 7 CDs aus Liechtenstein und der Schweiz berichtet (mit unterschiedlicher Qualität) und einem gut florierenden Markt für Bank-Administratoren (und anderen Mitarbeitern mit Zugriff auf Kundenlisten) denen die Einhaltung der Gesetze nicht so sehr am Herz liegt. Auch die Credit Suisse kommt in Bedrängnis und muss Hausdurchsuchungen über sich ergehen lassen.
Aktualisierung August 2010:
Es kommt Bewegung in den Fall der Liechtenstein-CD. Aus irgendeinem Grund hat jemand bei den Geheimdiensten die falsche Identität von Heinrich Kieber angetastet, dies hat zu einem Streit zwischen den bundesdeutschen Geheimdiensten geführt. Außerdem gibt es eine Theorie vom zweiten Mann und der Informant hat Angst, wohl berechtigerweise, wenn man die Details aus dem Dokumentarfilm über sein extrem wildes Leben berücksichtigt. So sieht er übrigens aus. Und hier gibt es seine Geschichte, auf über 600 Seiten von ihm selbst erzählt in Der Fürst. Der Dieb. Die Daten. Von Heinrich Kieber als kostenloses PDF.
Und hier gleich zum nächsten Informanten und dem nächsten Fall von "Datendiebstahl im Umfeld von Steuerhinterziehung": Bradley Birkenfeld ist der Informant hinter dem Streit USA gegen UBS (und muss jetzt erst mal in den USA (!!) einsitzen. Die ausführliche Artikelserie bringt viele Hintergründe über schweizer Nummernkonten. In diesem Fall geht es nicht mal um EDV, sondern hier wurden wohl Karteikärtchen fotokopiert, aber auch das ist Datendiebstahl. Wie auch im obigen Fall handelt es sich beim Täter im eine recht schillernde Persönlichkeit und die Motive scheinen nicht unbedingt im Drang zu liegen, der Gerechtigkeit zum Durchbruch zu verhelfen.
Aktualisierung April 2012:
Jetzt wird es ziemlich bizarr: die Schweizer Staatsanwaltschaft erlässt Haftbefehl gegen deutsche Finanzbeamte. Zitat:
Verblüffend ist für mich nicht die Entscheidung, sondern nur der Zeitpunkt: die Tat ist ja nun schon eine ganze Weile her und die ganze Zeit öffentlich bekannt. Die Schweiz hat wohl ziemlich lang gebraucht um zu erkennen, dass der Kauf von illegal erworbenen Daten nicht unproblematisch ist. Deutschland hat es bis heute noch nicht erkannt wie die Aufregung in Deutschland zeigt.
Philipp Schaumann, http://sicherheitskultur.at/
Home