Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter AboVorläufige Gedanken, erfreuliches, beklagenswertes

 

Philipps Notizen - 2012

von Philipp Schaumann

An dieser Stelle werden Beobachtungen veröffentlicht, die ich interessant finde, ohne dass die Texte immer gleich in einen logischen größeren Zusammenhang eingereiht werden müssen.

 


Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

 


04.11.2012 - Wenn Hacker im Film fremde PCs übernehmen

Im Film kann man das immer wieder sehen und auch in Romanen lesen (z.B. in der Millenium-Trilogie von Stieg Larsson): irgendwelche genialen Hacker nehmen sich einen PC vor und dringen dann in diesen ein, installieren dort Software und kontrollieren ihn dann als wenn sie vor der Tastatur sitzen würden.

Ich ärgere mich immer, wenn ich das lese, denn das funktioniert nicht, egal wie genial die Hacker sind. Hacker können in Server eindringen, z.B. Webserver, weil die dafür programmiert sind, Verbindungen von außen anzunehmen. Moderne Betriebssysteme von PCs und Macs verbinden sich nach außen, aber sie nehmen, wenn sie nicht umkonfiguriert sind, keine Verbindungen von außen an (zumindest ab Windows XP, SP2 - so etwas ging bei Windows 95, aber heute geht das nicht mehr). Um einen PC zu übernehmen muss der Besitzer des PCs die Schadsoftware selbst abholen, z.B. indem das Opfer eine Website besucht. Dies werden die Angreifer versuchen, indem sie dem Opfer ein Email schicken und versuchen, ihn dorthin zu locken. Das ist z.B. auch beim Staatstrojaner so, obwohl der wirklich von Profis entwickelt wurde, das Opfer muss die Software selbst irgendwo abholen, zumindestens unwissentlich abholen. Ein PC, der einfach nur im Internet sitzt und keine Verbindungen aufbaut, der bleibt auch sauber.

Hier eine Geschichte dazu: Die georgischen Behörden haben beobachtet, wie ein Hacker in 400 georgische Systeme eingedrungen ist um dort vertrauliche Informationen zu klauen: Georgia turns the tables on Russian hacker. Aus dem Artikel:

Das heißt, auch hier musste erst eine Falle gestellt werden so dass der Hacker sich die Schadsoftware selbst auf den Rechner holt. Das hat denn auch geklappt, die Fotos und viele Beweise wurden in einem Bericht des georgischen CERTs (PDF) veröffentlicht. Und hier eine Veröffentlichung von arstechnica mit weiteren Hintergründen: How Georgia doxed a Russian hacker (and why it matters). Hier wird auch die Frage behandelt, was das ganze für den normalen Benutzer im Internet bedeutet /bedeuten könnte.




14.10.2012 - Abenteuerliches zu Cybercrime-Statistiken

Sicherheitsexperten sind ständig auf der Suche nach Zahlen, die belegen, wie ernst die Lage bei der Informationssicherheit eigentlich ist. Das ist sehr unglücklich, aber vermutlich besteht die Hoffnung, dass wenn man belegen kann, welche Risiken und mögliche Kosten durch Schwachstellen entstehen können, so erhofft man sich wohl ein besseres Sicherheitsbudget. Leider ist das Problem aber kaum lösbar, wie die folgenden Artikel zeigen und es ist eine bizarre Situation entstanden, wie irgendwelche Zahlen aus der Luft gegriffen werden, dann auf Pressekonferenzen zitiert werden und sich dann in Regierungserklärungen wiederfinden können. Und ab dann gilt die Zahl wirklich als belegt.

Dabei ist die Behauptung entstanden, ob denn die Kosten von Cybercrime wirklich 1 trillion USD weltweit pro Jahr sind. Wie problematisch das Ganze ist, zeigt ein sehr guter Artikel von Microsoft-Researchern: Sex, Lies and Cyber-crime Surveys. Das Hauptproblem liegt in der geringen Zahl von Fällen.

Außerdem kommt noch der self-selection bias drauf. Opfer von Internetbetrug haben eine viel größere Bereitschaft an solchen Umfragen teilzunehmen.

Jetzt zur der Trillion: Does Cybercrime Really Cost $1 Trillion?. Der Autor dieses Artikels findet Security Firmen und Politiker, die immer wieder die gleichen Zahlen zitieren, für die aber keine stabile Grundlage existiert. Hier in der NYT dazu The Cybercrime Wave That Wasn’t.

Der Norton Cybercrime report 2012 kommt übrigens auf 110 billion, d.h. 10% der McAfee Zahl. Und da sind Reparaturarbeiten auch mit drin, d.h. wenn jemand nach einem Data Leak die Website noch mal ordentlich umbaut, so zählt das vermutlich mit.

Hier ein weiterer Wissenschaftlicher Artikel der in einer Metastudie The Use, Misuse, and Abuse of Statistics in Information Security Research. Der Artikel vergleicht Statistiken und kommt zu dem Ergebnis, dass eigentlich alle diese Statistiken wissenschaftlich nicht haltbar sind.




31.08.2012 - EU-Konsultation zu IMPROVING NETWORK AND INFORMATION SECURITY

Es geht bei dieser Konsultation um die Frage, WIE am besten eine Erhöhung der Sicherheit im Internet erreicht werden kann. Natürlich wird Bewusstseinsbildung und ähnliches als Wege dorthin angeboten, aber ich denke nicht, dass sich dadurch grundlegend was ändern wird.

Andere Fragen beziehen sich auf die Fragestellung, ob eine Regulierung sinnvoll oder notwendig ist, und falls ja, auf welcher Ebene und wie streng.

Mein persönlicher Vorschlag dazu ist, dass es Ziel dieser Intitiativen sein sollte, ein Level-Playing-Field herzustellen. Derzeit ist es in vielen Bereichen so, dass es für Firmen finanziell von Vorteil ist, billige Angebote auf den Markt zu bringen und wenig in Sicherheit zu investieren. Dies hat den Vorteil, dass die Produkte entweder preislich günster sind, oder die Profite höher und auf jeden Fall schneller am Markt.

Der Markt ist (bisher ?) nicht in der Lage, diese Situation zu ändern. Dies würde voraussetzen dass wir einen rationalen Kunden vor uns haben, der die Sicherheit der Produkte beurteilen kann und die Sicherheit vernünftig gegen die höheren Kosten aufzurechnet. Dies geschieht nicht, Firmen die in Sicherheit investieren werden in vielen Fällen vom Markt bestraft.

So investieren zwar einige wenige Firmen in Penetration-Tests auf eigene Kosten, und verbessern damit die Software für die gesamte Industrie, aber das sind wirklich nur wenige, was die vielen Vorfälle auf Grund von verwundbarer Software< demonstrieren (das ist zwar nett von den Firmen die in diese Tests investieren, aber erzeugt kein Level-Playing-Field). An anderer Stelle schreibe ich mehr zum Thema Haftung für Software.

Ein Grund für diese Marktverzerrungen liegt z.B. darin, dass die Strafen für Datenschutzverletzungen (speziell in Ö) so niedrig sind, dass es sich vom Wirtschaftlichen nicht wirklich rechnet, das Datenschutzgesetz einzuhalten. Die notwendigen Maßnahmen sind zumeist deutlich teurer als die möglichen Strafen.

Ähnlich ist es bei Data Leaks. Selbst der Verlust von großen Mengen personen-bezogener Daten im letzten Jahr blieb für die verantwortlichen Firmen (Data Owner) ohne juristische oder wirtschaftliche Folgen (die GIS ist ein Monopol, das Innnenministerium als data owner der Polizeidaten steht wohl über der Sache, die Krankenversicherung in Tirol ist auch nicht belangt worden obwohl sie ihre Versicherten auf einen öffentlichen Server gestellt hat, etc.).

Im Rahmen der verschiedenen Cyber Strategy for Austria Initiativen vom Bundeskanzleramt in Österreich und vom Innenministerium wurde auch dort von einigen Teilnehmern der Veranstaltungen eine konsequente Anwendung der bestehenden Gesetze angemahnt.

Jetzt zu der Frage, auf welcher Ebene sollte reguliert werden. Mein Vorschlag: EU-weit und branchen-spezifisch. D.h. für die Finanzindustrie gelten bestimmte Vorgaben und in der Lebensmittelindustrie (auch eine kritische Infrastruktur) können das durchaus etwas andere sein. Andere Länder haben solche Regeln z.B. im Bankenbereich, so ist in Singapur eine 2-Faktor Authentication zwingend eingeführt worden und damit waren die Kosten für alle Banken gegeben und es wurden nicht einige Banken finanziell belohnt, weil sie keine Geräte ausgegeben haben.

The public consultation runs from 23 July to 15 October 2012 und der Fragebogen ist hier verlinkt.





12.08.2012 - Bizarres im Sommer 2012

Passwortdiebstähle

Erst ist da ein lange Kette von Passwortdiebstählen. Hier einiges aus der langen Liste: LinkedIn, eHarmany, Last.fm, League of Legends und Lustiges Taschenbuch, Yahoo Contributor Network, GMX-Accounts, Grafikkartenherstellers Nvidia, Billabong, Formspring, Onlinespiele-Plattform Gamigo, Singlebörse meetOne, Dropbox, Online-Brillenladen Mister Spex. Es ist immer noch unklar, wer eigentlich hinter dieser Welle steckt. Klar ist, dass ganz ganz viele Web-Entwickler grob fahrlässig mit den Geheimnissen ihrer Benutzer umgehen, ohne dass das anscheinend für die Website schwere Konsequenzen hat. Vielleicht müsste man doch mal über das Thema Haftung nachdenken.

Cloud-Risiken

Dann erklärt Steve Wozniak, der Mitgründer von Apple, dass Cloud Computing keine gute Idee ist und dass wir uns alle noch umschauen werden. Zitat: "The risks of cloud computing will be horrendous", Steve Wozniak said last night, ". . . the more we transfer everything onto the web, onto the cloud, the less we're going to have control over it." Europäische Datenschützer sagen: Wild Wild Cloud: Datenschutzkontrolle unmöglich. Ein wichtiger Punkt ist für sie die rechtliche Unsicherheit. Zitate:

Hier mehr zu Cloud computing.

Der Amazon, Apple, Gmail, Wired-Hack

Und ein unbekannter Hacker beweist dann gegenüber einem Redakteur der Technik-Zeitschrift Wired, dass Cloud-Dienste wirklich keine gute Idee sind. Er nimmt dem Redakteur die Kontrolle über seine Online-Accouts ab und so gut wie alle seine Daten. Und zwar nicht mittels technischem Hacking, sondern durch Telefonanrufe, bei Helpdesks, Social Engineering eben. Hier der Ablauf aus Sicht das Opfers, zusammengefasst von wired.com:

Die privaten Daten auf dem MacBook waren nicht das Ziel des Hackers. Ziel war immer nur der Twitter Account, attraktiv weil nur mit 3 Buchstaben. Alle seine Fotos der ersten ein einhalb Jahre seiner Tochter hat er nur verloren weil der Hacker gründlich vorgegangen ist und die Wiederherstellung erschweren wollte. Ebenso war das Löschen von 8 Jahren Emails auf Gmail nur Nebensache, getan um wenig Spuren zu hinterlassen und damit das Opfer es schwerer hat, seine Accounts wieder zu bekommen.

Und so ging der Angreifer vor:
Der Angreifer sah, dass der Twitter-Account mit einem gmail-account verknüpft war. Die Funktion "Passwort vergessen" zeigt, dass der Email-Account für das Rücksetzen des Passworts so aussieht: m••••n@me.com. Da das Opfer Mat Honan heißt, war der Rest nicht schwer zu erraten. Als nächstes versuchte der Angreifer, diesen Account unter seine Kontrolle zu bekommen. Apple verlangt beim Telefonsupport e-mail, billing address und die letzten 4 Stellen der Kreditkarte. Die Billing Adresse gab es aus der Registrierung der Web-Domaine, die hätte es aber auch aus dem Telefonbuch gegeben. Aber der Angreifer braucht die Kreditkartennummer.

Erster Anruf ist bei Amazon. Er lässt für den Amazon-Account des Opfers eine weitere Kreditkarte eintragen. Dafür braucht er nur den Namen des Opfers und die Email-Adresse und die Billing Adresse. Dann legt er auf, ruft aber gleich wieder im Call-Center an.

Diesmal sagt er, dass er nicht mehr in seinen Account kommt. Sie fragen ihn nach seiner Kreditkarte und er gibt ihnen die Nummer der neuen Karte (die nicht wirklich existiert, erzeugt durch einen , davon gibt es reichlich im Netz). Amazon fügt eine weitere Email-Adresse diesem Account zu. Nächster Schritt ist: "Passwort-vergessen", es kommt ein Email, auf Link klicken und schon ist der Amazon-Account übernommen. Der Angreifer könnte jetzt die Lieferadresse ändern und Waren bestellen, tut er aber nicht. Die Benachrichtigungen würden an den neuen Email-Account des Angreifers gehen. Aber daran war der Angreifer gar nicht interessiert. Er hat sich nur die Kreditkarten angeschaut. Und da zeigt Amazon aus Sicherheitsgründen nur die letzten 4 Stellen, aber das reicht ja bei Apple um sich zu legitimieren.

Nächster Anruf also bei Apple, den .me.com Account übernehmen. Mit Hilfe des me.com-Mail Accounts kann der Angreifer das AppleID Passwort zurücksetzen und alle Daten des Opfers löschen. Dann übernimmt der den Gmail-Account, auch wieder über Passwort-Rücksetzen. Da er jetzt alle Mail-Accounts kontrolliert ist es kein Problem, auch beim Twitter-Account das Passwort rücksetzen zu lassen.

Der Autor des Wired-Artikels schreibt, dass er mittlerweile von mehreren gehört hat, denen ähnliches passiert ist, evtl. von der gleichen Gruppe von Angreifern. Und dann schreibt er, dass dieses Cloud-Risiko noch auf uns alle zukommen wird:

Und der Autor bestätigt, dass er das alles natürlich hätte verhindern können. Alle seine Accounts waren über die "Passwort zurücksetzen"-Verknüpfungen miteinander verbinden, es genügte, einen davon zu knacken. Für seinen Google-Account hätte er 2-Faktor Authentisierung verwenden können, dann hätte der Angreifer auch noch sein Handy haben müssen und der Angriff wäre (so) nicht möglich gewesen. [Liebe Leser - diese Feature gibt es auch bei anderen Webmailern, z.B. bei Hotmail, haben Sie das bereits eingestellt?]

Und natürlich hätte der Autor eine Datensicherung für seinen MacBook machen sollen. Außerdem war es eine dumme Idee, "Find My Mac" zu aktivieren. Denn damit kann jeder, der Zugriff auf die AppleID bekommt, die MacOS-Geräte löschen, nicht nur der Besitzer.

Hier noch mal auf futurezone und arstechnica. Und unter dem Stichwort Cloud Security beschreibe ich dann, wie man sich am besten gegen solche Angriffe schützt.

Sept. 2012:
Und hier jetzt noch eine sehr detaillierte Hintergrundstory Cosmo, the Hacker ‘God’ Who Fell to Earth. Dabei geht es um einen unglücklichen 15-jährigen, der sich diese und viele andere Social Engineering Angriffe ausgedacht hat. Dieser Artikel zeigt sehr dramatisch, wie sehr bei den heutigen Cloud-Diensten das Zurücksetzen der Passworte zum riesigen Sicherheitsproblem geworden ist.

 

Mai 2013:
Noch ein interessanter Aspekt der Angriffe: Wie sich jetzt herausstellt war ein wichtiges Ziel der ausländischen Angriffe gegen Google und andere (neben Emails von politischen Dissidenten) auch die Liste der Accounts, die im Auftrag von CIA und FBI überwacht werden: Chinese hackers who breached Google gained access to sensitive data, U.S. officials say. D.h. genauso spannend wie die Disssidenten-Emails fand der ausländische Geheimdienst die Liste der Personen, die auf ihrer Gehaltsliste stehen und denen FBI und CIA bereits auf der Spur sind. Das zeigt, dass das Abhören zwar Informationen liefert, aber möglicherweise für beide Seiten.




2014: Das Buch 'Flash Boys' hat ebenfalls High-Speed Trading zum Thema, hier eine NYT Adaption.

'The Fear Index' handelt von einer Software, die an den Börsen der Welt Milliardengewinne erzielt und sich dann verselbstständigt. Mir hat das Buch gut gefallen.

 

August 2012: Haben die Computer bereits die Kontrolle? - Bizarres aus der Welt das Automated Trading

Knight Capital ist, bzw. war, einer der Marktführer bei automated high-frequency trading. Knight hat ca. 11% aller Deals bei den US-Börsen abgewickelt. Am Morgen des 1. August 2012 haben sie eine neue Version in Betrieb genommen die wohl noch nicht ganz ausgetestet war. Die Software hat angefangen, wie wild alle möglichen Papier zu kaufen und zu verkaufen. Und zwar so intensiv, dass das Programm die Kurse "vor sich her trieb" und damit selbst nach unten oder oben bewegte. Das Programm war so heftig, dass selbst Papiere beeinflusst wurden, die das Programm gar nicht handelte. Nach 45 Minuten wurde die Software vom Netz genommen, Knight Capital ist im 440 Mio US$ ärmer und damit bankrott und sucht einen Käufer.

Jetzt kommt das Bizarre daran: schon nach wenigen Minuten war nicht nur Knight Capital klar, dass da was schief läuft: Trading Program Ran Amok, With No ‘Off’ Switch. Auch die Börse hatte nach wenigen Minuten angerufen und verlangt, dass sie vom Netz gehen. Aus irgendeinem Grund hat das aber dann noch weitere 40 Minuten, bzw. 440 Mio $ gedauert. Bis jetzt habe ich keine Erklärung gelesen, warum das Programm nicht gestoppt worden ist (gestoppt werden konnte). Das sieht fast aus wie eine Vorlage für einen Roman, bzw. wie ein Prequel zur Matrix-Serie: Computerprogramm lässt sich nicht mehr stoppen.

Nur damit es keine Missverständnisse gibt: Ich gehe nicht davon aus, dass das Programm die Herrschaft übernommen hatte. Ich vermute, dass das Programm nicht auf einem physischen Rechner lief, der einfach abgeschaltet werden konnte und dass die Netzwerkverbindung auch nicht aus einem Kabel und einem Stecker bestand, den man hätte rausziehen können. Das ganze läuft vermutlich in einer rein virtuellen Umgebung und niemand kann zum Rechner um ihn abzuschalten. Das hätte in der Software von vornherein vorgesehen werden müssen. Das ganze wirft aber grundsätzliche Fragen zum automatisierten Handel auf, die jetzt mit mehr Sorge als früher gestellt werden.

Auf Knight Capital kommt auch juristisch noch einiges zu: "Knight Capital also faces heavy regulatory scrutiny. The Securities and Exchange Commission is examining potential legal violations as it pieces together the firm’s missteps."

Sept. 2012:
Die NY Times berichtet über den Ölhandel am 17.9.2012: Shares Slip After a Turbulent Spell in Oil Trading. Der Kurs macht innerhalb von Minuten erheblich Abwärtsbewegungen. Zitat:

Nachtrag: Nein, ich bin nicht der Meinung, dass die Computer die Kontrolle übernommen haben. Ich halte das für eine Überforderung der Programmentwickler, die Algorithmen und System zusammenbauen, der Komplexität sie nicht verstehen. Das ist eigentlich fast genauso schlimm, aber keine Basis für Verschwörungstheorien.

Okt. 2012:
A single mysterious computer program that placed orders — and then subsequently canceled them — made up 4 percent of all quote traffic in the U.S. stock market last week. Die Vermutung ist, dass jemand testen wollte, ob er die Börse so auslasten kann, dass die anderen nicht mehr zugreifen können. Zitat:

"Co-located" bezieht sich in diesem Fall darauf, dass viele dieser Handelssysteme ich gleichen Gebäude wie die Börse sind, so dass ihre Systeme noch ein paar Microsekunden eher ihre Trades absetzen können als Systeme, die weiter weg sind. Durch Co-location reduziert sich die Zahl der Router durch die der Datenverkehr muss. Der Artikel verlinkt dann auf einen anderen Artikel Unclear What Caused Kraft Spike. Da stieg aus unerklärlichen Gründen die Kraft-Aktie innerhalb von Sekunden von $45.55 auf $58.54. Ein weiterer Artikel in der NY Times zeigt die unterschiedlichen Meinungen zu diesem Problem auf: Speed Trades’ Problems and Pluses.

 

April 2013:
Unbekannte haben einen Twitter Account von AP übernommen und berichten von einem Anschlag auf das Weiße Haus, die Börse stürzt ab. In dem Artikel wird diskutiert, ob das menschliche Händler waren, die die Nerven verloren haben und ihre Aktien verkauft, oder ob das nicht automatisierte Programme sind, die die Überschriften der Nachrichten und auch Tweets lesen und automatisch blitzschnell reagieren. Immerhin hat Bloomberg ein Twitter Interface in ihre spezialisierten Händlerarbeitsplätze eingebaut. Wichtig zu erinnern ist: Es ist egal, ob das Abstoßen von Aktien bei einem Anschlag auf das White House eine sinnvolle Reaktion ist - dadurch dass es so viele tun stürzen die Aktien auf jeden Fall ab, das ist der Herdentrieb-Effekt: Wenn die Herde mitläuft kann ein einzelnes Tier nicht stehen bleiben.





17.07.2012 - Bruce Schneier: So you want to be a security expert

Im Bruce Schneier Newsletter ist ein lesenswerter Text How to Break Into Security. Gedacht ist der Text als Antwort auf Anfragen wie "wie werde ich ein Security Experte". Der Text selbst findet sich unter dem Link, im Newsletter sind aber zusätzlich noch viele interessante Ressoucen, deswegen liste ich diese hier extra auf.

Training classes:
 - http://www.sans.org/
 - http://www.offensive-security.com/
 - 
 - Self-starter training resources:
 - http://www.offensive-security.com/metasploit-unleashed/Main_Page
 - http://www.backtrack-linux.org/tutorials/
 - http://www.hackthissite.org/
 - https://www.owasp.org/index.php/WebGoat_User_Guide_Table_of_Contents
 - http://www.irongeek.com/i.php?page=mutillidae/mutillidae-deliberately-vulnerable-php-owasp-top-10 
 - or http://tinyurl.com/3voxvrl
 - 
Computer security book recommendations:
 - http://www.schneier.com/book-ce.html
http://www.amazon.com/gp/product/0470068523/ref=as_li_tf_tl?ie=UTF8&tag=counterpane&linkCode=as2&camp=1789&creative=9325&creativeASIN=0470068523 
 - or http://tinyurl.com/7stov7w
 - http://www.amazon.com/gp/product/0321814908/ref=as_li_tf_tl?ie=UTF8&tag=counterpane&linkCode=as2&camp=1789&creative=9325&creativeASIN=0321814908 
 - or http://tinyurl.com/7wp2jub
 - http://www.amazon.com/gp/product/0321501950/ref=as_li_tf_tl?ie=UTF8&tag=counterpane&linkCode=as2&camp=1789&creative=9325&creativeASIN=0321501950 
 - or http://tinyurl.com/7k3ogny
 - http://www.amazon.com/gp/product/0470395362/ref=as_li_tf_tl?ie=UTF8&tag=counterpane&linkCode=as2&camp=1789&creative=9325&creativeASIN=0470395362 
 - or http://tinyurl.com/6lz5kdb
 - http://www.amazon.com/gp/product/0929408233/ref=as_li_tf_tl?ie=UTF8&tag=counterpane&linkCode=as2&camp=1789&creative=9325&creativeASIN=0929408233 
 - or http://tinyurl.com/7vsxzxa
 - http://www.schneier.com/book-sandl.html
 - http://www.amazon.com/gp/search?ie=UTF8&keywords=Hacking%20Exposed%20Series&tag=counterpane&index=books&linkCode=ur2&camp=1789&creative=9325 
 - or http://tinyurl.com/6p6dsyf
 - http://taosecurity.blogspot.com/search/label/bestbook

Other book recommendations:
 - http://www.schneier.com/book-beyondfear.html
 - http://www.schneier.com/book-lo.html
 - http://www.cl.cam.ac.uk/~rja14/econsec.html

Blog:
 - http://seclists.org/

Psychology of security:
 - http://www.schneier.com/essay-155.html

 - http://mail.pauldotcom.com/cgi-bin/mailman/listinfo/pauldotcom
 
Mailing lists and blogs:
 - https://lists.sans.org/mailman/listinfo/dfir
 - https://lists.sans.org/mailman/listinfo/gpwn-list
 - http://www.schneier.com
 - http://www.cigital.com/silver-bullet/podcast
 - http://www.lightbluetouchpaper.org/

Security certifications:
 - http://www.schneier.com/blog/archives/2006/07/security_certif.html
 - http://www.starmind.org/2012/01/13/security-certification-23-learning/

The security mindset:
 - http://www.schneier.com/blog/archives/2008/03/the_security_mi_1.html
 - http://www.schneier.com/blog/archives/2012/06/teaching_the_se.html

Schneier's Law:
 - http://www.schneier.com/blog/archives/2011/04/schneiers_law.html

Cryptography resources:
 - http://www.schneier.com/crypto-gram-9910.html#SoYouWanttobeaCryptographer or 
 - http://tinyurl.com/8tk8t
 - http://www.schneier.com/paper-self-study.pdf

 





10.05.2012 - Das LinkedIn Desaster und andere Password-Leaks

Auf einer russischen Hackerwebsite tauchen 6,5 Mio LinkedIn Passworte auf, das sind 5% der LinkedIn-Nutzer. LinkedIn versucht abzuwiegeln, und verkündet, sie hätten die betroffenen Passworte bereits gesperrt und diese Benutzer per Email bereits informiert und ihnen einen Link geschickt, mit dem sie sich ein neues Passwort vergeben können.

Hacker verschicken jetzt Emails, die vorgeben diese LinkedIn-Emails zu sein und fordern ihrerseits die Empfänger auf, auf einen Link zu klicken, d.h. LinkedIn hat den Hackern eine wunderbare Vorlage geliefert.

Außerdem gibt eigentlich keinen Grund, anzunehmen, dass die Angreifer nur diese 5% der Passworte haben. Alle Passworte für eine Website stehen typischerweise gemeinsam in einer Datenbanktabelle. D.h. vermutlich sind ALLE LinkedIn-Nutzer betroffen. Zugriff auf diese Business-Informationen von 160 Mio Nutzern sind ein gefundenes Fressen für Social Engineering. Die technischen Details finden sich auf arstechnica.

LinkedIn hat noch ein weiteres Problem, die Passworte sind nämlich sehr unsicher abgespeichert worden und daher leicht zu knacken (für die Experten: ungesalzene (!!) SHA-1-Hashes). Dies deutet darauf hin, dass die Security Kenntnisse bei den LinkedIn-Technikern nicht sehr hoch sind.

Letzte Woche hatte LinkedIn bereits Schlagzeilen, weil bekannt wurde, dass ihre App den Nutzern anbietet, die Termine in der App zu verwalten. Dazu hat die App die gesamten Termine inkl. etwaiger Notizen und Unterlagen und eventuellen Zugriffscodes für Telekonferenzen auf die LinkedIn-Server geladen. D.h. das Datenschutzbewusstsein ist nicht viel höher als die IT-Security Basics Kenntnisse.

An anderer Stelle mehr zum Thema Passworte und den gleichzeitigen Vorfällen bei eHarmony, League of Legends, Lustiges Taschenbuch und Last.fm. Aber es geht noch weiter, dort auch die Links zu den Leaks bei Nvidia, Yahoo, AmdroidForum, GMX und weiteren mehr. Ebenfalls dort zu finden ist ein Text der den State-of-the-Art beim Sichern von Passworten beschreibt.

 





02.06.2012 - Flame / sKYWIper - Hype oder Superwaffe? - Updates: Madi Campaign - Gauss Virus - Red October - NetTraveler

Grundsätzliches zu Überwachungssoftware und Überwachungstechniken findet sich an anderer Stelle.

Ähnliche Themen sind die Diskussion zum Bundestrojaner in Deutschland und den Handel mit Überwachungs-Software, z.B. FinFisher aus Deutschland, die bei Diktatoren sehr beliebt ist und ähnliche Funktionalitäten bietet.

Ein weiteres verwandtes Thema sind die Händler von Zero-Day Exploits, die Regierungen die Möglichkeit bieten, die Rechner der Bürger zu übernehmen.

Flame / sKYWIper

Die Presse überschlägt sich mit einem (angeblichen) neuen Beispiel für Cyberwar: Ein Programm das "Flame" genannt wird. Es ist vermutlich von einer staatsnahen Organisation entwickelt worden und wurde vor allem in Nahen Osten eingesetzt. Über die Mikrofone und Kameras der befallenen Rechner kann mit Hilfe dieser Software die Umgebung (Büro) abgehört bzw. ausgespäht werden, Screenshots von Useraktivitäten können angefertigt und in eine interne Datenbank abgelegt und verschickt werden. Weiters ist es möglich Tastatureingaben aufzuzeichnen und sogar auf Bluetooth-Geräte, die sich in der Nähe des Rechners befinden, zuzugreifen. Diese Aufzeichnungen, aber auch Dokumente mit vertraulichen Firmendaten können dann via Mail versandt werden. Dies sind jedoch nur einige Beispiel der Fähigkeiten von Flame.

Kaspersky vertritt die Ansicht, dass es sich hier um Cyberwar handelt, aber das bundesdeutsche Bundesamt für Sicherheit im Informationswesen (BSI) und das Antiviren-Haus Ikarus widersprechen dem heftig.

Nach dem was man bisher weiß (heise-FAQ), bzw. viel technischer (das Paper von Crysys.hu (pdf)) sieht es folgendermaßen aus: es handelt sich um eine Spionagesoftware (und sicher keine Cyberwar-Waffe) für gezielte Angriffe auf sehr lohnenswerte Spähziele.

Die Software wird wohl in vielen Variationen seit 5 bis 8 Jahren eingesetzt und kann sehr viel: Screenshots sammeln, das Mikrofon einschalten und Gespräche aufzeichnen, über Bluetooth Verbindung mit anderen Geräten wie Smartphones aufnehmen und ähnliches. Im Gegensatz zu anderer Schadsoftware, die möglichst weit verbreitet werden soll, werden typischerweise bei einem Einsatz nur bis zu einem Dutzend Rechner infiziert. Die Gesamtzahl von etwa 1000 infizierten Systemen über mehrere Jahre hinweg ist sehr gering im Vergleich zu Zeus und SpyEye, die jeweils Millionen von Systemen gekapert haben.

Es geht wohl bei dieser Software darum, dass Profi-Analytiker einer Spionage-Organisation die gewonnen Informationen auswerten und dann entscheiden, ob ein lohnendes Ziel infiziert wurde, dann geht die Beobachtung weiter oder ob nach einem anderen PC gesucht werden soll. In diesem Fall de-installiert sich die Malware auch wieder. Die Verbreitung wird limitiert durch die Kapazität der menschlichen Analytiker. Es ist sehr wahrscheinlich, dass eine Regierungsorganisation dahinter steckt, aber welche, das ist derzeit reine Spekulation.

Juni 2012:
Die Software verfügt über eine Selbstmordmodul, das kurz vor der öffentlichen Entdeckung eingebaut wurde und erst jetzt nach der Entdeckung aktiviert wurde.

Die Washington Post verkündet, dass die USA und Israel gemeinsam Flame entwickelt hätten und zwar als Vorbereitung für Stuxnet. Hier der Originalartikel: U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say:

Der Artikel referenziert auch (wenn auch technisch inkorrekt) auf den technisch sehr ehrgeizigen Missbrauch der Windows Update Funktionalität, besser beschrieben in dem heise artikel: Windows-Update-GAU: Versäumnisse und Expertise. "An der Entwicklung des Super-Spions Flame waren offenbar hochkarätige Kryptografie-Experten beteiligt, denen ein Versäumnis im Hause Microsoft in die Hände spielte. Die Flame-Entwickler signierten ihr Spionage-Werkzeug mit einem gefälschten Microsoft-Zertifikat, das sie durch einen MD5-Kollisionsangriff erstellen konnten. Dabei nutzen die Virenschreiber jedoch nicht die bislang bekannten Verfahren, sondern entwickelten den Angriff weiter."

Sept. 2012:
Neue Erkenntnisse zeigen auf, dass Flame wohl bereits seit 2006 im Einsatz war: Kaspersky Lab: Flame cyber-espionage campaign dates back to 2006. Wieder ein Hinweis darauf, dass gängige Antimalware Software gegen gezielt entwickelte Angriffs-Software keine Chance hat.

Außerdem scheint die Infrastruktur die dafür eingesetzt wurde durchaus vielseitig zu sein. So gibt es Hinweise darauf, dass die Command & Control Server für 4 verschiedene Client-Typen genutzt wurden (oder werden konnten), nur einer davon war Flame und ein anderer ist evtl. immer noch aktiv und unentdeckt: Spionagetrojaner Flame gibt Geheimnisse preis.

 

Gauss, miniFlame und Narilam

Juli 2012:
Neue Aufregung im Nahen Osten: Kaspersky berichtet über eine neue Spionage-Software, gezielt für den Nahen Osten - The Madi Campaign - Part I.

August 2012:
Im Rahmen seiner Untersuchungen zum 20-MByte-Trojaner "Flame" sind die Sicherheitsforscher von Kaspersky Lab auf einen wesentlich weiter verbreiteten Cousin gestoßen: "Gauss". Der Trojaner soll im Libanon sowie in Israel und Palästina vermutlich Zehntausende Rechner infiziert haben. Interessant ist, das hier zusätzlich auch Bankenzugangspassworte übertragen werden, die Software kann z.B. mit folgenden Banken umgehen: Bank of Beirut, Banque Libano-Française (EBLF), Blom Bank, Byblos Bank, Citibank, PayPal, Credit Libanais und Fransabank. Wie Duqu und Flame enthält auch Gauss einen Selbstzerstörungsmechanismus – nach 30 Aufrufen von einem USB-Stick aus löschte Gauss sich selbstständig, um einer Erkennung durch Virenschutzprogramme zu entgehen.

Oktober 2012:
Neue Erkenntnisse zeichnen ein noch viel komplexeres Bild: State-Sponsored Malware ‘Flame’ Has Smaller, More Devious Cousin - von Kaspersky miniFlame genannt. Hier einige Zitate:

Nov. 2012:
Und das Spiel im Nahen Osten geht immer weiter: W32.Narilam ist eine Malware die gezielt versucht in MS SQL Datenbanken mit persischen Tabellennamen zu kommen und dort einfach nur Datenelemente zu löschen oder zu überschreiben.

April 2013:
Die Gauss Geschichte scheint noch einige spannende Geheimnisse zu verbergen: The quest to crack the world’s most mysterious malware warhead. Kaspersky ist immer noch an Gauss dran und versucht, die Funktionen von Gauss zu verstehen (und dabei ordentlich Werbung für sich zu machen).

Es scheint, dass es neben den Spionage-Funktionalitäten noch ein Modul namens Gödel gibt, das so gut verschlüsselt ist, dass bisher keiner herausgefunden hat, wozu es dient. Und dabei wird nicht mal ein kompliziertes Verfahren verwendet sondern die schwache Verschlüsselungen RC4 und eine Schlüsselgenerierung mit dem längst geknackten MD-5. Aber . . .

Wenn Gauss einen Rechner infiziert hat, so wendet das Programm für eine Schlüsselgenerierung den MD-5 auf alle Programmpfade der Reihe nach an und probiert damit für alle diese Schlüssel aus, ob damit Gödel zu entschlüsseln ist (sehr vereinfacht ausgedrückt). D.h. das Modul Gödel wird nur auf einem Rechner aktiv, der ein ganz bestimmtes Programm enthält.

Welches Programm das ist, ist (noch) nicht bekannt, obwohl seit langer Zeit mit Brute-Force Methoden daran gearbeitet wird. Jetzt hilft angeblich auch der Entwickler von Hashcat mit. Weil der Schlüssel (und damit die Zielmaschine) noch nicht gefunden wurde, so ist auch noch vollkommen offen, was das Programm auf diesem Rechner dann tun würde. Da unterstellt wird, dass Gauss von den Entwicklern von Stuxnet stammt, könnte das durchaus etwas recht destruktives sein.

Dafür spricht auch, dass Gauss diesen Code auch auf USB-Sticks schreibt, was dazu dienen könnte, sich auf Systeme zu verbreiten, die nicht am Internet hängen, z.B. irgendwelche sehr gut geschützten Steuerungen. Wenn das keine spannende Geschichte ist. ;-)

 

Red October

Jan. 2013:
Schon wieder gibt es Neues aus dem Bereich der Cyberspionage zu berichten: Kaspesky berichtet über "Operation Roter Oktober". Dabei handelt es sich um eine sehr professionelle Kampagne um Daten von vor allem diplomatisch genutzten PCs abzuziehen. Die Schadsoftware verbreitet sich nicht automatisch und wird gezielt an die Opfer verschickt, zumeist in Form von infizierten Office- oder PDF-Dateien. Neue Funktionalitäten sind bei dieser Software dass auch Smartphones infiziert und überwacht werden.

Kaspersky findet zahlreiche Hinweise, dass die Entwickler russisch sprechen, aber das beweist natürlich nicht, dass sie im Auftrag der russischen Regierung arbeiten. Es können natürlich auch "Freiberufler" sein. Die Details finden sich in den Artikeln, bzw. in den dort verlinkten Detailberichten. Die Software die Kaspersky da entdeckt und jetzt analysiert hat war übrigens seit ca. 5 Jahren aktiv und einzelne Programme waren auch schon als Schadsoftware gemeldet worden. Was bisher verkannt worden war das ist, dass diese Programme Teil einer ausgeklügelten professionellen Aktion waren.

 

Jan. 2013:
Kaspersky berichtet kurze Zeit später: . . . the attackers shutting down the whole operation". Und jetzt können sich die Experten streiten, welche Software noch gefinkelter ist. Zitat von Kaspersky security researcher Kurt Baumgartner bei Ars Technica:

 

NetTraveler

Juni 2013: Meldung von Kasperksy: seit 2004 infiziert eine Cyberspionage-Kampagne NetTraveler hochrangige Ziele ins Visier. Es ist der übliche Ablauf: Spear-phishing, d.h. gezielte Emails infizieren die PCs von wichtigen Entscheidungsträgern und ab dann werden gezielt Daten übertragen. Angeblich mindestens 350 hochrangige Opfer, davon einige in Deutschland, die meisten Ziele liegen jedoch in Asien.

 





28.04.2012 - Werden unsere Surf-Daten verkauft?

Manchmal kann man in kritischen Berichten lesen, dass die Daten, die bei unseren Aktivitäten im Internet anfallen, verkauft werden. Ich behaupte, dass dies, von wenigen kriminellen Aktivitäten abgesehen, nicht wirklich zutrifft.

Von welchen Daten rede ich hier? Es geht um unser Verhalten im Internet, z.B.

Der Rest von diesem Beitrag findet sich bei Spuren im Internet.

 




Preise für exklusiv angebotene Schwachstellen in verschiedenen Systemen - Preisführer ist iOS (das System von iPads und iPhones) mit 6-stelligen Beträgen pro Exploit
Quelle: Forbes

 


01.04.2012 - Waffenhändler im Cyberkrieg - Zero-Day-Händler - die private Überwachungsindustrie

Forbes berichtet über den (mehr oder weniger) legalen Handel mit Zero-Day-Schwachstellen (bzw. Exploits, d.h. einem Programm, das die Schwachstelle ausnutzt).

Sog. "Zero-Days" sind Softwarefehler, die (noch) nicht öffentlich bekannt sind und daher für Angriffe verwendet werden können. Interessiert an solchen Informationen sind die Hersteller, die Kriminellen, aber auch Regierungen. Letzere entweder um sie für eigene Angriffe wie Stuxnet zu verwenden, oder aber für die Überwachung der Bürger (das läuft dann als "lawful inspection" - wie auch immer man das sehen will).

Security Experten (white hat hackers) haben eine Reihe von Möglichkeiten, ihre Erkenntnisse zu verwerten. Da gibt es responsible disclosure, d.h. die Informationen über die Schwachstelle werden dem Software-Entwickler zur Verfügung gestellt, entweder kostenlos oder gegen eine (symbolische) Bezahlung, die weit weg von diesen Zahlen liegt. Manche verwerten ihre Erkenntnisse, indem sie diese auf Konferenzen vortragen oder anderweitig als Werbung nutzen. Wieder andere verkaufen direkt an die Black-Hat Community, die Kriminellen im Internet. Von diesen grenzt sich der Exploit-Händler im Artikel deutlich ab. Anderseits will auch er nicht wissen, wofür seine Handelsware verwendet wird, ob für Überwachungen oder Angriffe auf andere Staaten. Der Artikel schreibt dann weiter:

 

Juni 2012:
Ein interessanter Artikel über die Entwicklung des Zero-Day-Exploit Handels bestätigt den obigen Bericht und berichtet einige zusätzliche Details.

Und noch eine Veröffentlichung: TippingPoint ZDI defectors launch new vulnerability buying program.

Empfehlenswert zu diesem Thema ist Bruce Schneier: The Vulnerabilities Market and the Future of Security. Als Händler zählt er auf:

Bruce Schneier fasst seine Bauchschmerzen mit dieser Entwicklung folgendermaßen zusammen:

Auch andere Firmen sind im Geschäft mit Regierungen jeder Schattierung aktiv. Hier ein Bericht über die Software FinFisher aus Deutschland, die bei Diktatoren recht beliebt ist.
(Nov. 2012) über den Hersteller von FinSpy: Briefkastenfirmen der Gamma Group enttarnt. Hier ein Artikel zu einem anderen Zero-Day Händler: Revuln. Sie spezialisieren sich auf Verwundbarkeiten in SCADA Software.

Nov. 2012:
Vupen prahlt gerade mit Windows 8 Hack den sie jetzt meistbietend im Angebot hätten. Der Angriffscode soll sämtliche Schutzfunktionen aushebeln die Windows 8 einem Exploit entgegenzusetzen hat: etwa die Adressverwürfelung (Address Space Layout Randomization, ASLR), die Microsoft in der jüngsten Windows-Ausgabe auf weitere Systembereiche ausgeweitet und mit einer verbesserten Randomisierung ausgestattet hat. Auch die Datenausführungsverhinderung (Data Execution Prevention, DEP) und der ROP-Schutz werden angeblich ausgehebelt, genauso wie die Sandbox-ähnliche Protected Mode des Internet Explorer. Den Exploit macht das Unternehmen seiner zahlenden Kundschaft zugänglich.

Grundsätzliches zu Überwachungssoftware und Überwachungstechniken findet sich an anderer Stelle.

Ähnliche Themen sind die Diskussion zum Bundestrojaner in Deutschland und den Handel mit Überwachungs-Software, z.B. FinFisher aus Deutschland, die bei Diktatoren sehr beliebt ist und ähnliche Funktionalitäten bietet.

Ein weiteres verwandtes Thema sind die Händler von Zero-Day Exploits, die Regierungen die Möglichkeit bieten, die Rechner der Bürger zu übernehmen.

Ebenfalls Nov. 2012:
Studie über Zero-Days: Eine Untersuchung auf der Basis von öffentlich verfügbaren Daten zu real-world Exploits (11 Mio Rechner), Verwundbarkeiten und Malware Incidents 2008-2011. Ergebnis: Sie finden 18 Zero-Days, davon 11 die bisher nicht als Zero-Days erkannt worden waren (d.h. es war nicht klar, dass der Exploit bereits existierte als die Verwundbarkeit noch nicht öffentlich bekannt war). Die Zero-Day Verwundbarkeiten waren im Schnitt 312 Tage ausgenutzt worden, zum Teil aber bis 2,5 Jahre. Nach der Veröffentlichung explodierten regelmäßig die Angriffe die auf dieser Verwundbarkeit beruhten.

 

Feb. 2013:
Ein Artikel sagt, der Malware-Industrial Complex macht uns alle unsicherer im Netz (bzw. hier auf deutsch: Die Entstehung des "Malware-Industrial Complex"). Der Artikel meint, dass die neue Cyberwar-Strategie der US-Regierung den globalen Markt für IT-Sicherheitslücken noch weiter anheizen wird. Auf den globalen Hackerkonferenzen wie Black Hat und Defcon waren die Enthüllungen der letzten Konferenzen nicht mehr so spektakulär wie in den Jahren zuvor. Das könnte damit zusammenhängen, dass ein Sicherheitsforscher beim Verkauf an einen der Dealer der die Exploits an staatliche Behörden weiterverkauft, gut Geld verdienen kann. Und natürlich gibt es großes Interesse dieser Käufer, dass unsere alle Geräte NICHT gepatcht werden, sonst werden ihre teuer gekauften "Cyberwaffen" ja wirkungslos.

 

Juli 2013:
Einen sehr guten Überblick über die Anbieter und die Käufer gibt der Artikel Nations Buying as Hackers Sell Flaws in Computer Code. Sie berichten auch über die Bug Bounty-Programme der großen Firmen wie Google und Facebook für Ethical Hackers, erwähnen aber, dass die Beträge die von den Regierungen zu holen sind ("auf der "dunklen Seite"), deutlich höher sind: "The military establishment", he [Mr. Soghoian of the A.C.L.U] said, "created Frankenstein by feeding the market."

 

Sept. 2013:
Im Rahmen der PRISM-Veröffentlichungen werden jetzt Zahlen bekannt: Die NSA gab 2011 $25 Mio für Zero-Day Verwundbarkeiten aus um damit 231 Angriffe auf Rechner in anderen Staaten auszuführen und mittlerweile 85000 Rechner infizieren und steuern könnten, für, Zitat: ". . . virtual or physical access to create and sustain a presence inside targeted systems or facilities.” The document adds: “System logs and processes are modified to cloak the intrusion, facilitate future access, and accomplish other operational goals”. . . . “The United States is moving toward the use of tools short of traditional weapons that are unattributable — that cannot be easily tied to the attacker — to convince an adversary to change their behavior at a strategic level

 

Nov. 2013:
Privacy International hat eine Datenbank mit Unternehmen zusammengetragen, die Überwachungstechnik anbieten: Surveillance Industry Index. Der Report listet 338 Unternehmen aus 36 Ländern, welche Technik sie anbieten, wozu sie in der Lage ist und – in einigen Fällen – an welche Regierungen sie verkauft wurde. Dafür haben sie unter anderem die auf Wikileaks veröffentlichten Spy Files ausgewertet sowie Material der Omega Research Foundation, insgesamt 1203 Dokumente zu 97 verschiedenen Überwachungstechniken. Diese Programme werden zur Überwachung der Bevölkerung eingesetzt, können natürlich auch für Industriespionage verwendet werden.

 

Feb. 2014:
Die kanadische Organisation Citizenlab hat eine Reihe von Artikeln über Hacking Team’s RCS spyware geschrieben, die vor allem von kleineren Ländern eingesetzt wird, um unliebsame Journalisten zu überwachen. Die Kundenliste liest sich ungefähr so: Azerbaijan, Colombia, Egypt, Ethiopia, Hungary, Italy, Kazakhstan, Korea, Malaysia, Mexico, Morocco, Nigeria, Oman, Panama, Poland, Saudi Arabia, Sudan, Thailand, Turkey, UAE, und Uzbekistan. Hacking Team ist ein italienisches Unternehmen. Dies zeigt, dass nicht nur in den high-tech Ländern die Überwachungsindustrie zu blühen beginnt. Das ist ein Trend, der uns alle unsicherer machen wird.

 

Aug. 2014:
Einem unbekannten Hacker ist es gelungen, bei Gamma International einzudringen und mit 40 GB Daten wieder abzuziehen. Der hier verlinkte Artikel gibt einen guten Überblick über die bisherigen Aktivitäten von und gegen den Produzenten von FinSpy und FinFisher. Jetzt wird es wohl auch für eine Weile möglich sein, dass endlich die Anti-Malware Programme diese Spionage-Programme entdecken, zumindest bis den Leuten von Gamma wieder was ganz Neues eingefallen ist wie sie der Entdeckung entgehen können. Ein herber Schlag für die Firma und ein Lichtblick für Dissidenten, die auf diese Weise ausgespäht werden sollen.

 




 

29.02.2012 - BLACKOUT - Morgen ist es zu spät

Ein neues Buch ist auf dem Markt. Es ist ein Krimi, der viele der Themen behandelt, die auch auf dieser Website das Thema sind: SCADA-Verwundbarkeiten, Probleme mit den Smart Metern, die verschiedenen Typologien der Angreifer und auch die Differenzierung von Cyberwar von anderen Angriffen im Internet.

Natürlich ist das ganze als Krimi natürlich ein gutes Stück spannender als hier auf der Website mit den trockenen Studien und den Links auf die ellenlangen Studien (und mit 800 Seiten auch recht detailliert - aber m.E. trotzdem auch für Laien geeignet).

Das Buch "Blackout" ist in empfehlenswertes Buch (der Name ist etwas unglücklich, es gibt noch andere Bücher mit dem Namen "Blackout"). Auch die Website zum Buch ist empfehlenswert, sie hat viele weiterführende Links zu Materialien und Artikeln zu diesem Thema. In Wien war eine Podiumsdiskussion zum Buch mit Vertretern aus dem Innenministerium und der Stromwirtschaft, launig besprochen in Die Presse.

Der Standard berichtet unabhängig vom Buch von einer österreichischen Studie Blackouts in Österreich (Langfassung: Blackouts in Österreich Teil I – Analyse der Schadenskosten, Betroffenenstruktur und Wahrscheinlichkeiten großflächiger Stromausfälle als PDF). Die Studie beschränkt sich auf Ausfälle bis 48 Stunden (im Buch dauert der Ausfall deutlich länger). Zitate:

Das Buch behandelt Themen, die auf dieser Website auch detailliert vorkommen: Smart Meter und ihre Sicherheitsprobleme und die Sicherheitsherausforderungen der SCADA-Systeme. Außerdem geht es um Buch um Hacktivismus und Cyber-Sabotage.

Es gibt übrigens auch Videos, die das Thema Manipulation von Smart Metern zu Thema machen, sehr interessant gemacht: Urban hack attack und Delta Lloyd "Hackman".

Auf der Facebook-Seite des Autors postet ein Leser "Es ist schon wirklich überraschend wie nah das Buch der Realität immer wieder kommt. . . " und verlinkt dabei auf Backdoor in mission-critical hardware threatens power, traffic-control systems.

September 2012:
Hacker-Angriff auf Smart-Grid-Entwickler - versucht da jemand, das Buch nachzustellen?

Nov. 2012:
Mit 5-jähriger Verspätung (weil zu brisant) wird jetzt in den USA eine Studie zum Thema Blackout veröffentlicht: Terrorist Attack on Power Grid Could Cause Broad Hardship, Report Says. Die Studie betont, dass auf Grund von Lieferschwierigkeiten ein physischer Angriff auf die großen Trafostationen zu einer sehr langen Phase ohne Strom führen würde. Sie machen konkrete Vorschläge wie mit diesem Problem umgegangen werden könnte (wenn die Finanzierung geklärt wäre - ich persönlich vermute, dass mit einer Umwidmung der Ausgaben für die Nackt-Scanner schon einiges erreicht werden könnte, und Vorkehrungen auf diesem Gebiet helfen auch im Fall von Naturkatastrophen - so können auch durch Wirbelstürme vergleichbare Schäden entstehen ). Der Bericht zum Download findet sich unter Terrorism and the Electric Power Delivery System (156 Seiten, kostenlos nach Registrierung). Der NY Times Artikel referenziert übrigens noch einen etwas älteren Krimi aus den USA, in denen Terroristen das Stromnetz über EMP (Electromagnetic pulse) angreifen.

Dez. 2012:
Ein interessantes Interview zwischen dem Autor von Blackout und dem Chef der bundesdeutschen Netzagentur, verantwortlich für die Sicherheit und Zuverlässigkeit der Stromnetze: "Das wäre ein Riesenproblem". Zitat aus dem Interview:

 

März 2014:
Die BBC berichtet: Energy firm cyber-defence is 'too weak', insurers say. Hintergrund sind Berichte von Lloyd's of London, dass eine auffallend große Zahl von britischen Energieversorgern um eine Versicherung für die Schäden von IT-Angriffen ansucht. Diese werden jedoch abgelehnt, weil nach einer Untersuchung der Sicherheitsmaßnahmen eine derart große Verwundbarkeit festgestellt wird, dass die Versicherung sich nicht daruf einlässt.

 





19.02.2012 - Cloud-Speicher und Security

Dieser Artikel beschreibt die grundsätzliche Problematik der verschiedenen Cloud-Dienste. Sehr gute Tipps gibt es auch beim Konsument.at zu Online-Speicherdiensten. Wie man sich am Besten bei der Nutzung von Cloud-Diensten grundsätzlich schützen kann habe ich an anderer Stelle berichtet.

Sehr relevant für alle Cloud-Betrachtungen sind natürlich die Enthüllungen, dass die NSA (und andere) den internen Datenverkehr zwischen den Rechenzentren von Cloud-Anbietern abhören.

Häufig werden die Cloud-Dienste von Smartphones oder Tabletts aus genutzt. Mehr zu deren Risiken unter mobile Geräten.

Drobox und bessere Alternativen, z.B. Wuala (weiter unten dann: iCloud)

Der Standard brachte vor einiger Zeit einen Überblick über Cloud Speicherdienste. Der Artikel vergleicht Dropbox mit SugarSync, Wuala, Box, Skydrive, Amazon Cloud Drive, Ubuntu One, Teamdrive, SparkleShare, Picasa, Google Docs und Google Music und natürlich Apples iCloud. In dem Standard Artikel geht es hauptsächlich um Features, wie viel freien Speicher es kostenlos gibt, etc.

Im Economist wird ein anderes Thema behandelt: Keys to the cloud castle - es geht darum, wer bei verschlüsselten Diensten eigentlich die Schlüssel in der Hand hat. Die meisten der Services betonen, dass die Daten bei ihnen naütrlich sicher sind, übertragen mit HTTPS und dann (oft) verschlüsselt gespeichert. Der Artikel weißt darauf hin, dass es darum geht, wer die Schlüssel für die Daten hat. Dropbox bietet viele Services an und kann z.B. den Datenzugriffa auch dann wiederherstellen, wenn der Benutzer sein Passwort vergessen hat. Das bedeutet, dass der Schlüssel bei Dropbox liegt und nicht beim Benutzer selbst. Zitat aus dem Artikel:

Es ist natürlich Blödsinn, dass der Grund für den Privatsphärewunsch zumeist Gesetzesübertretungen sind, es gibt noch viele andere legitime Gründe für den Schutz der Privatsphäre (das habe ich an anderer Stelle ausführlich erklärt). Aber natürlich ist es eine gute Idee, den Schutz selbst in die Hand zu nehmen, z.B. indem ich die Dateien vor der Synchronisation mit einem Tool wie TrueCrypt verschlüssele, oder ein Werkzeug wie EncFS, SecretSync, oder BoxCryptor verwende, das für die Integration mit Dropbox entwickelt wurde.

Nov. 2013: Ich finde immer mehr Anbieter, die Cloud-Verschlüsselungen für Firmen anbieten. Einer davon ist Cypher-X. Die Lösung scheint aus einem Gateway zu bestehen, das Firmen bei ihrer Firewall installieren und Client-Programmen für verschiedene Betriebssysteme, die mit Active Directory (AD) verbunden sind.

Wenn dann ein Service, z.B. Dropbox, als 'trusted' dort eingetragen ist dann holt sich der Client einen Schlüssel aus AD und kommuniziert der Client mit Dropbox nur über dieses Gateway. Dabei werden die Daten vor dem Hochladen mit dem lokalen Schlüssel verschlüsselt. Solange alle Mitarbeiter den Client benutzen können Dateien innerhalb des Unternehmens geteilt werden, denn jeder Client holt sich den entsprechenden Schlüssel aus dem AD ab.

Die Software scheint mir aber keine Lösung für Services wie Office365 oder Google Docs zu sein, dort müssen die Daten (leider im Klartext auf dem fremden Server liegen).

Wann immer ich erwarte, dass ich mehr tun kann als nur Synchronisieren, so kann ich nicht erwarten dass ich exklusiven Zugriff zu den Inhalten habe. D.h. alle Webmail-Anbieter, wie Gmail, GMX, und Hotmail, alle Dokument-Kollaborationsdienste wie Google Docs, und alle "Sharing-Dieste" wie Flickr, Youtube, Facebook, aber auch kommerzielle Services wie Salesforce.com haben Zugriff zu den Daten.

Es gibt aber auch Datei-Synchronsierungsdienste, die nur für die Synchronisation zwischen meinen Geräten gedacht sind, z.B. das europäische System Wuala. Hier ist ein Artikel der die Sicherheitskonzepte von Dropbox vs. Live Mesh, SpiderOak, SugarSync, Wuala vergleicht. Wuala hat 2 Vorteile: die Daten bleiben in Europa und werden bereits auf dem lokalen Gerät verschlüsselt. Aber auch SpiderOak gilt es recht sicher. D.h. SpiderOak und Wuala bieten Sicherheitsfeatures, bei denen der Benutzer in voller Kontrolle seiner Dateien ist, auch die Administratoren haben keinen Zugriff. (Warum die Speicherung in Europa und durch eine europäische Firma einen großen Unterschied machen kann erkläre ich weiter unten.) August 2012: Dropbox bietet jetzt Zweifaktor-Authentifizierung an, aber das ist ja nicht das einzige Problem dieses Diensts.

Nov. 2012:
Ohne Gewähr: Update zum Status von Dropbox: heise.de - Dropbox ist "ziemlich sicher".

 

Feb. 2013:
Interessante Entwicklung: Mega ist ein neuer Cloud-Speicherdienst von Kim Dotcom, berühmt/berüchtigt wegen MegaUpload. Mega speichert alle Daten verschlüsselt (damit sie keine Verantwortung für evtl. Raubkopien haben) und sie machen die Verschlüsselung im Browser, d.h. der Benutzer muss keine Software installieren. SpiderOak, der Konkurrent, hat sich das angeschaut: SpiderOak's Analysis and Recommendations for the Crypto in Kim Dotcom's Mega. Der (recht sichere) Cloud-Speicherdienst SpiderOak hat sich die Sicherheit des neuen Speicherdienste Mega angeschaut und dann korrekt macht.

 

April 2014:
Als neue und sicherere Lösung wird die Dropbox-Alternative Seafile 3.0 sehr gut besprochen. Herausforderung ist jedoch, dass der Nutzer sich den Cloud Server selbst einrichten muss, allerdings stehen nicht nur Linux, sondern auch Windows und sogar Raspberry Pi Versionen zu Auswahl. Letztere klingt sehr interessant.

 

Apple iCloud

Die polizeilichen Trainingsunterlagen enthalten Vordrucke, die der Ermittler nur noch ergänzen muss
Quelle: heise.de

Wie sicher ist iCloud?: Zitat: "iCloud sichert Ihre Inhalte, indem sie verschlüsselt über das Internet gesendet, in verschlüsseltem Format gesichert und sichere Token zur Authentifizierung verwendet werden. Nicht verschlüsselt gesichert werden allerdings unter anderem E-Mail und Notizen." Hier die Details von Apple, was alles verschlüsselt wird - die Frage, was bleibt unverschlüsselt, die steht nur implizit im Text.

April 2012:
Die Futurzone berichtet über einen Artikel in ArsTechnica: Apple hat Zugriff auf iCloud-Daten. "Apple mag die Daten der iCloud zwar auf ihren Laufwerken verschlüsseln - doch sie behalten den Key", meint Rich Mogull, CEO der Sicherheitsfirma Securosis gegenüber Ars Technica.

Für mich ist die Lehre: Alle US-Clouddienste haben mit hoher Wahrscheinlichkeit einen Nachschlüssel.

Noch ein Artikel zu einem ähnlichen Thema: Apple und Google entsperren Smartphones für Strafverfolger. Hier geht es nicht um die Daten die in der iCloud gespeichert werden, sondern um das entsperren des iPhones. Auch hier gibt es offenbar Hintertürchen.

Der Spiegel schreibt ziemlich kritisch: Apple kann verschlüsselte iCloud-Daten einsehen und zitiert aus den Nutzungsbedingungen:

 

Mai 2012:
Techrepublic hat sich die Terms of Service von Google Drive durchgelesen und ist leicht beunruhigt, bzw. verstört. Dort steht:

Der Autor fragt sich, warum eigentlich Derivative Works wie Übersetzung für die Dateien die die Nutzer auf Google Drive speichern notwendig sein könnten. Die Einschränkung auf "limited purpose . . . of improving our service" klingt schon besser, aber warum muss das so weitgehend formuliert sein. Er verweist dann auf den entsprechenden Absatz in den Microsoft SkyDrive Bedingungen und die klingen ein bisschen weniger gefährlich.

 

Patriot Act

Vor einiger Zeit gab es Berichte über die Möglichkeit des US-Zugriff auf Europas Daten im Rahmen von Cloud Services. Daten die US-Firmen in der EU gespeichert haben sind im Zugriff des US-Behörden. Hier noch mehr Details in einer Zusammenfassung auf ZDNet. Dort wird dann auf weitere Details verlinkt, z.B. findet sich dort:

Nov. 2012:
Im Rahmen der Beschlagnahme der Daten auf MegaUpload gab es ein paar sehr prägnante Äußerungen aus dem USA: Megaupload and the Government's Attack on Cloud Computing. Die EFF weißt darauf hin, dass einige Betroffene von der Datenbeschlagnahme, die ihre Daten zurückhaben wollen, auf einen sehr komplexen und aufwändigen Rechtsablauf hingewiesen wurden (mehrere Reisen zu Hearings in Virginia). Zitat aus der Regierungsstellungnahme:

Das ist eine interessante juristische Position der US-Behörden: Sie können bei einem Hosting bei einem US-Unternehmen nicht nur jederzeit auf die Daten lesend zugreifen, sondern sie können diese auch jederzeit beschlagnahmen ("likely limit any property interest he may have").

 

Security Requirements und andere Studien

Das Fraunhofer Institut hat Mai 2012 eine Studie zu Cloud-Sicherheit veröffentlicht: Sicherheitsmängel bei Cloud-Speicherdiensten. Sie kommen zu folgendem Schluß: Die Sicherheit von Cloud-Speicherdiensten ist oft mangelhaft. Neben technischen Mängeln fanden die Tester auch Schwächen in der Benutzerführung. Das kann dazu führen, dass vertrauliche Daten sich mithilfe von Suchmaschinen finden lassen. Außerdem erklären sie, nach welchen Kriterien solche Dienste beurteilt werden sollten. Weil fast alle dieser Dienste (noch) in den USA liegen, gehen sie auch noch ausführlich auf die Problematik Safe Harbour ein (Seite 39). Hier der Link zur Studie.

Vom deutschen Bundesamt für Sicherheit im Informationswesen (BSI) gibt es ein umfangreices PDF zu Security und Cloud Services: Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter. Eine ENISA-Studie hilft bei Risikoabschätzung für Cloud Computing.

Die deutsche Gesellschaft für Informatik hat Thesen zu Sicherheit und Datenschutz in Cloud Computing veröffentlicht und gibt viele interessante Literaturhinweise zu rechtlichen und regulatorischen Fragen.

 





12.02.2012 - Problemfeld SCADA und ICS

Unter SCADA (supervisory control and data acquisition) versteht man Systeme, die technische Prozesse überwachen und steuern. Solche Systeme werden heute bei sehr vielen technischen Prozessen eingesetzt, u.a. auch bei der Wasser- und Energieversorgung, aber auch bei fast allen industriellen Produktionen. SCADA ist eine Untermenge der größeren Gruppe der ICS (Industrial Control Systems).

Die dabei eingesetzten technischen Mess- und Steuerelemente heißen PLC (Programmable logic controller), auf deutsch speicherprogrammierbare Steuerungen (SPS). Die Computer die für die Steuerung eingesetzt werden und die PCSs waren früher in separaten Netzen und hatten keine Verbindung mit dem „Office-Netz“ und vor allem nicht mit dem Internet. Heute ist dies oft nicht mehr der Fall, weil auch diese Systeme Daten von außen beziehen oder nach außen liefern.

Aber selbst wenn diese Systeme keine direkten Verbindungen nach außen haben, so stellen sie doch einen Angriffspunkt dar, wie der Fall Stuxnet gezeigt hat, bei dem die Wiederaufbereitungsanlage angegriffen wurde obwohl sie über das Internet nicht direkt erreichbar war (für die Details siehe den Link). Nach Stuxnet ist dieses Thema auf einmal in die Öffentlichkeit gerückt, aber seit vielen Jahren warnen Sicherheitsexperten vor den vielen Schwachstellen und der zum Teil mangelhaften Absicherung vieler SCADA-Systeme.

Die Firma C4-Security ist ein Spezialist in SCADA Research. In ihrer Präsentation SCADA Security - Generic Electric Grid Malware Design (PDF) berichten sie 2009, dass die Argumentation der SCADA-Betreiber, dass eh nichts passieren kann weil alles viel zu komplex sei, nicht stimmt und dass es auch im SCADA-Bereich Zeit ist, zu "herkömmlichen" Sicherheitsmethoden wie Authentisierung der Kommunikationspartner und Verschlüsselung der Verbindungen über zu gehen. In einem anderen PDF erklären sie ein konkretes Angriffsbeispiel: Control System Attack Vectors and Examples.

Auf dem Chaos Computer Club Kongress wurde 2007 bereits präsentiert: SCADA (in)Security: Hacking Critical Infrastructures. Der Vortrag bringt viele Darstellungen der Kontrollnetze und berichtet über reale Beispiele von IT-Problemen in der SCADA-Welt und wie weit diese Welt hinter dem State-of-the-Art der IT-Sicherheit hinterher ist.

Internet Security Systems X-Force (heute Teil von IBM) präsentierte ihre Erkenntnisse zum Thema SCADA-Security (PDF, ich glaube aus 2006) folgendermaßen: "You can go to the store and buy a book on pen-testing that will give you all the knowledge you need to cause a widespread power blackout". Sie berichten, dass es ihnen bereits während der Verkaufspräsentation einmal gelungen ist, über ein offenes WLAN in das Kontrollnetz einzudringen und dass sie selten bei ihren Penetration-Tests nicht erfolgreich waren.

März 2011:
Security Researcher (und vermutlich nicht nur die) haben mittlerweile Schwachstellen in ziemlich vielen SCADA Programmen gefunden (Industrieleittechnik: Sicherheitslücken in Hülle und Fülle). D.h. ähnliche Angriffe lassen sich gegen viele technische Objekte durchführen. Allerdings gehört dazu deutlich mehr als nur die Schwachstellen in der SCADA Software. Der Angreifer muss auch sehr genau wissen, welche Geräte dort gesteuert werden und wie sie angesprochen werden können. So besagen ja die Gerüchte, dass für den Angriff auf Natanz eine Anlage mit den gleichen Zentrifugen aufgebaut wurde damit die Angriffssoftware getestet werden kann.

So ungefähr kann sich das dann darstellen
Quelle: SCADA (in)Security: Hacking Critical Infrastructures

April 2011:
Studie: Stuxnet befällt deutsche Energieversorger.

Heise:de schreibt: "Im Rahmen einer Studie des Antivirenherstellers McAfee antworteten 59 Prozent der befragten Strom-, Gas- und Wasserversorger aus Deutschland, dass sie den Stuxnet-Wurm in ihren Systemen entdecken konnten. Nach bisherigem Kenntnisstand hat der Schädling bei den Firmen keinen Schaden angerichtet; Stuxnet hat es vermutlich auf eine iranische Urananreicherungsanlage in Natanz abgesehen und wird nur aktiv, wenn es sein Ziel identifiziert hat. "Hätten seine Schöpfer den Wurm jedoch anders konfiguriert, wäre das Schadenspotential immens gewesen", so McAfee-Manager Hans-Peter Bauer."

Zur gleichen Studie: Warnung vor Angriffen auf Stromnetze. Und der Report von McAfee: Dramatic Increase in Cyberattacks and Sabotage on Critical Infrastructure.

Mai 2011:
US-Regierung warnt vor Siemens-Sicherheitsleck. Die Erklärung von Siemens, dass nur wenn die IT-Sicherheitsschranken überwunden seien, die Software so attackiert werden könne, dass sie in einen Sicherheitsmodus fahre und sich abschalte ist ein wenig schwach. Das ist nun mal die Eigenschaft von IT-Security Bedrohungen, dass diese normalerweise nur schlagend werden, wenn mehrere Dinge zusammentreffen. Aber dass das immer wieder gelingt zeigen die dramatischen Beispiele der letzten Wochen, z.B. bei Sony.

Mehr zum Thema Angriffe auf Stromnetze weiter oben.

Juni 2011:
Siemens gibt bekannt, dass sie Lücken in Automatisierungssystemen geschlossen haben. In einem Siemens Security Advisory (pdf) wird dargelegt, dass über einen sog. Replay-Angriff Daten eine eine Programm-Steuerung (PLC) gesendet werden können, obwohl die eigentlich durch ein Passwort geschützt ist. So (oder so ähnlich) könnte Stuxnet gearbeitet haben.

PLCs
Quelle: arstechnica

Februar 2012:
Es geht immer weiter mit den Schwachstellen-Veröffentlichungen im SCADA-Bereich: Hoping to Teach a Lesson, Researchers Release Exploits for Critical Infrastructure Software. Hier ein Zitat das die Verwundbarkeit der Stromnetze anzeigt:

Mai 2012:
der Christian Science Monitor berichtet: Alert: Major cyber attack aimed at natural gas pipeline companies.

Juni 2012:
Der arstechnica-Artikel "forever day bugs" verweisen auf die steigende Zahl von Veröffentlichungen von Verwundbarkeiten in SCADA-Systemen die nie geschlossen werden sollen (daher der Name des Artikels). Der Grund ist, dass es sich zum Teil um veraltete Geräte und Systeme handelt die nicht mehr verkauft und weiterentwickelt werden:

September 2012
Das liegt genau zwischen dem SCADA-Thema und dem nächsten Artikel über Smart Grid und Smart Meter: Hacker-Angriff auf Smart-Grid-Entwickler. Spekuliert wird im Artikel (und den darin verlinkten Artikeln) dass der Angriff aus China kommen könnte und dass dies eine gute Methode wäre, um Schadsoftware in die SCADA-Controller einzufügen. Außerdem lernen die Angreifer natürlich sehr viel wenn sie den Quellcode in Ruhe studieren können.

Dezember 2012
New report warns of SCADA CYBERGEDDON. Wie The Register schreibt, die Grundlagen der Statistiken sind nicht ganz klar, aber die Zahlen klingen erschreckend: '40 percent of SCADA systems “available from the Internet” can be easily hacked, half of the vulnerabilities the company found allow the execution of arbitrary code on the target system, one-third of vulnerabilities arise from poor configuration such as using default passwords, and one-quarter are related to users not installing security updates.' Die Angriffe sind die üblichen: Ausnutzen von hardcodierten Passworten, SQl-Injection, remote command execution, session handling.

Ebenfalls im Dezember 2012 wird bekannt, dass die NSA (National Security Agency der USA) seit 2010 Testangriffe auf US-Unternehmen durchführt, die SCADA- und PLC-Systeme einsetzen: NSA targeting domestic computer systems in secret test. Ich gehe davon aus, dass es sich dabei um etwas handelt, was man Pentest nennt und das jede Firma gegen ihre eigenen Systeme durchführen soll - wenn die Firmen es nicht tun, so ist es gut, wenn es die staatlichen Behörden tun, die dann auf die Firmen Druck machen können, die Schwachstellen zu schließen.

 

Jan. 2013:
Das US-CERT berichtet in seinem aktuellen ICS-CERT Monitor von gleich zwei Viren-Infektionen bei US-amerikanischen Stromversorgern im letzten Quartal 2012. In diesen Fällen wurden industrielle Steuerungsanlagen, die sauber in getrennten Netzen waren, in dem einen Fall über USB-Sticks, im anderen Fall über den Laptop eines Mitarbeiters infiziert. Die Infektionen verursachten unter anderem den mehrwöchigen Ausfall eines Elektrizitätswerks, d.h. wir haben es bereits mit ernsthaften finanziellen Schäden zu tun.

Die Firma Positive Technologies legt eine Studie vor: SCADA Safety in Numbers. Dort werden auf 30 Seiten konkrete Zahlen über die Zahl der (im Internet) gefundenen Schwachstellen in ICS (Industrial Control Systems) aufgezeigt und wie schnell (bzw. langsam) die Verwundbarkeiten behoben werden können.

 

Feb. 2013:
Die US-Firma Mandiant legt einen umfangreichen Bericht vor, in dem sie eine Unit 61398 der chinesischen Volksbefreiungsarmee für die meisten Angriffe auf US-Firmen verantwortlich macht (hier die Studie: APT1: Exposing One of China's Cyber Espionage Units (PDF). 76 Seiten, viele Details und Unterlagen, so viele Details liegen vermutlich über keine "Cyberwar"-Truppe irgendwo anders vor. Die Hinweise sind mehr als nur IP-Adressen,die Details sind im Report. Ich kenne keinen Bericht, der die Details der Struktur einer solchen Cyberwar/Spionageeinheit so detailliert beschreibt.

Es gibt im Internet auch Kritik an dem Bericht. Dabei wird aufgezeigt, dass die Hinweise zwar sehr für China sprechen, es anderseits (zumindest theoretisch) bei einer stringenten Geheimdienstanalyse dazu gehören würde, auch alternative Erklärungsszenarien nach ihrer Wahrscheinlichkeit zu untersuchen. Die Firma Mandiant sagt, dass sie dafür die Resourcen nicht hat. In einer weiteren Kritik werden einige geographische Fehler aufgezeigt und darauf hingewiesen, dass der Bereich von Shanghai aus dem die Angriffe kommen immerhin 5 Mio Einwohner und auch viele ausländische Firmen, z.B. NEC und Intel (die alle diese IP-Netzen nutzen aus denen die Angriffe kamen.

Letztendlich spricht sehr viel dafür, dass diese Analyse trotzdem korrekt ist, immer hin haben die Täter auch eine Reihe von schweren Fehlern gemacht, wie z.B. ihre Nicknames aus der Pre-Armee-Zeit bis heute weiter zu verwenden oder von den gleichen Rechnern auch auf Facebook zuzugreifen.

Bruce Schneier weißt darauf hin, dass dieses Beispiel zumindest zeigt, wie schwierig "Attribution", d.h. die Zuordnung eines Hackerangriffs zu den Tätern ist. In diesem Fall war es möglich weil sich die Angriffe über viele Jahre hingezogen haben. Wenn es aber um wirklichen Cyberwar ginge, so wären wohl nur wenige Stunden Zeit bis das Militär wissen will, wo sie mit konventionellen Waffen zurückschlagen können. Und in wenigen Stunden, Tagen oder auch Wochen kann eine sichere Zuordnung nie gelingen.

April 2013:
Eine ziemlich technische Ergänzung dazu gibt es in APT1: technical backstage. IT-Sicherheitsforscher aus Luxemburg haben es geschafft, in Server der APT1-Angreifger einzudringen und haben dabei interessante Details gefunden:

Den letzten Aspekt finde ich sehr itneressant: Die Forscher suchten die sog. Drop-Server in denen die infizierten PCs ihre Daten abliefern. Sie wunderten sich, warum oft keine zu "sehen" waren. Lösung: die sind nur 6 Tage in der Woche "hochgefahren", und zwar Montags bis Samstags, jeweils 2 Uhr Nachts bis ca. 9 Uhr morgens (unsere Zeit). Deutlich zu sehen: Das sind die normalen Arbeitszeiten in China, wir haben es nicht mit Hackern zu tun die Nächte durcharbeiten, sondern mit normalen Angestellten (Soldaten?), die 8- 9 Stunden ihren Beruf ausüben und danach heim zu ihren Familien gehen.

 

An anderer Stelle berichtet ich über Veröffentlichungen in 2013 über die ebenso heftigen Aktivitäten entsprechender US-Abteilungen gegen andere Staaten.

 

Im Bericht der NYTimes zu diesem Report stehen auch einige interessante Details zum Thema SCADA. Dort wird referenziert auf Shady RAT, auf die Angriffe auf RSA und Coca Cola, aber auch auf Angriffe auf Firmen, die sich auf Steuerungssysteme spezialisiert haben, z.B. Digital Bond. Bei Digital Bond wurde ein Spearfishing Email erkannt und der Mitarbeiter hat die Datei mit dem remote-access tool nicht geöffnet. Erfolgreicher war der Angriff auf Telvent, eine kanadische Firma, jetzt Teil von Schneider Electric. Zitat:

D.h. die Angreifer sind dabei, sich die detaillierten Pläne der Strom-, Gas- und Wasserversorgung, Pipelines und ihrer Steuerung zu besorgen, danach lassen sich Angriffe planen.

 

März 2013:
Trend Micro hat im Internet einen SCADA Honeypot aufgestellt: Sie simulierten ein im Internet sichtbares Wasserdruckkontrollsystem einer (fiktiven) Pumpstation, angesiedelt in einer amerikanischen Kleinstadt. Hier der Bericht über die registrierten Angriffe.

Ergebnis: In 1 Monat verzeichneten sie 39 Angriffe aus 14 Ländern (ohne automatisierte Portscans, etc., Angriffe auf die SCADA-Komponenten oder -Software). 35% kamen aus China, 19% stammten aus den USA, 12% aus Laos, 8% aus UK und 6% aus Russland. 12 dieser Angriffe konnten die Forscher als "gezielt" einstufen.

 

Mai 2013:
Heise.de hat Industrieanlagen in Deutschland untersucht und dabei kritische Schwachstelle in hunderten Industrieanlagen gefunden. Sie fanden unter anderem Fernwärmekraftwerke, wichtige Rechenzentren, eine Justizvollzugsanstalt und ein Stadion, dessen Industriesteuerungen sorglos mit dem Internet verbunden waren.

Ein anderer Sicherheitsexperte hat nach sog. offenen Serial-Port-Servern im Internet gesucht. Diese werden z.B. für die Wartung der Steuerungen für Ampelanlagen, zur Verwaltung von Wäschetrocknern oder Bezahlterminals oder bei VPN-Servern in Firmen eingesetzt. Davon offenbarten 114.000 Geräte bekannte Sicherheitslücken. Auf vielen kann man sich mit vom Hersteller voreingestellten Standard-Kennwörtern Zugang verschaffen. 13.000 Geräte ermöglichten sogar einen direkten Zugriff über einen Software-Befehl – ohne Kennwort.

 




21.01.2012 - Risiko Smart Meter und Smart Grid

Smart Meter und Smart Grid hängen zusammen, aber sollten von der Risikobetrachtung her separat analysiert werden. Warum in der Zukunft ein Smart Grid benötigt wird, kann ich nachvollziehen. Durch die zunehmende dezentrale Stromerzeugung werden die Stromlieferanten vor ziemliche technische Probleme gestellt. Hier nur 1 Beispiel: wenn z.B. lokal in einem Dorf die Bauern große Flächen für Solarzellen nutzen so liefern diese Solarzellen, je nach Implementierung 1 oder auch 3 Phasen in das lokale Verbrauchsnetz. Viele Verbraucher, z.B. Heißwasserbereiter, hängen auch nur an 1 Phase. D.h. es kann in so einem Netz leicht vorkommen, dass auf einer Phase des Umspannwerks ein hoher Verbrauch, auf einer anderen Phase ein hoher Bedarf ist. So etwas kann leicht zu Instabilitäten im Netz führen. Um dies auszugleichen muss der Stromlieferant über solche Situationen zeitnah informiert sein. Daher müssen alle diese Komponenten miteinander Daten austauschen können. Dies wird Smart Grid genannt.

Smart Meter leuchten mir deutlich weniger ein. Das Schlagwort beschreibt den Ersatz der derzeitigen Ferrariszähler durch kleine billige Computer gemeint, die dann nicht nur den Stromverbrauch eines Haushalts zeitnah zurückmelden können, sondern auch Steuerungsfunktionen bis hin zum Abschalten des Zählers aus der Ferne enthalten. Diese intelligenten Zähler müssen hauptsächlich deswegen eingeführt werden, weil eine EU-Richtlinie dies verlangt. Beführworter propagieren, dass die Verbrauchen durch die Möglichkeit, zeitnah über ihren augenblicklichen Stromverbrauch informiert zu sein, weniger Strom verbrauchen werden.

Diese Systeme sollen auch die Stromanbieter in die Möglichkeit versetzen, variable Tarife anzubieten, die eine Stromnutzung zu Zeiten schwachen Stromverbrauchs belohnen. Manchmal wird in diesem Zusammenhang das Argument gebracht, dass dann die Waschmaschine um 1 Uhr Nachts gestartet werden kann, aber dieses Argument ist selbst manchen Beführwortern peinlich, da es in Miethäusern ganz klar ist, dass dieses Argument Unsinn ist. Insgesamt ist mit Einsparungen im einstelligen Prozentbereich zu rechnen (was die höheren Kosten nicht wirklich rechtfertigt, eine Kampagne zum Vermeiden von Stand-By bei Unterhaltungselektronik kann ähnliche Einsparungen bringen).

 

Gefährdung von Datenschutz und Privatsphäre
Problematisch an den Smart Metern sind zum Einen die möglichen Gefährdungen der Privatsphäre dadurch dass die Stromlieferanten (und möglicherhweise noch andere Interessierte, es gibt bereits Begehrlichkeiten) dann wissen, wann die Bewohner einer Wohnung zu Hause sind, wann sie duschen, etc, sondern auch, weil diese Zähler sehr billig sein sollen und daher, so wie es bis jetzt aussieht, stark an der Security gespart wird.

Ein Vortrag beim letzten Chaos Computer Congress, hat aufgezeigt, was man mit einem ungesicherten Smart Meter alles tun kann und wie viele Informationen sich aus dem Stromverbrauch eines Haushalts gewinnen lassen. Dabei geht es nicht nur darum, dass leicht zu sehen ist, ob eine Wohnung bewohnt ist, sondern jedes einzelne Haushaltsgerät hat spezifische Verbrauchsprofile. So kann man z.B. einen Herd deutlich von einem Kühlschrank, einer Kaffemaschine und einem Fernseher unterscheiden. Bei genügender Auflösung ist es, wie auf dem Chaos Computer Congress gezeigt wurde, sogar möglich, zu sehen, welche Fernsehsendung jemand anschaut.

 

Gefährdung der Integrität des Stromnetzes und der Stromversorgung
In diesem Abschnitt geht es jetzt um die Möglichkeit von böswilligen Manipulationen der Zählernetze, die schlimmstenfalls zu einem provozierten großflächigen Stromausfall führen können. Wie so etwas aussehen könnte, das findet sich auf diesen 2 Videos, die das Thema Manipulation von Smart Metern zu Thema haben: Urban hack attack und Delta Lloyd "Hackman". Zum Glück ist dies bisher alles nur fiktional.

Wer sich wirklich gruseln will, dem sei die umfangreiche Studie des deutschen Bundestages über die Auswirkungen eines längerdauernden, flächendeckenden Stromausfalls empfohlen. Der Text ist sehr umfangreich und detailliert. Er legt dar, wie ziemlich schnell die Situation für die Bevölkerung sehr unangenehm wird: ohne Strom bricht ziemlich schnell auch die Wasserversorgung, Bargeldversorgung, Lebensmittelversorgung, Abwasserentsorgung und ähnliche Dienste zusammen. Die Gesundheitsversorgung hält noch gute 48 Stunden, dann geht auch dort der Diesel für die Notstromaggregate aus. Dort wird dann nicht nur das Essen knapp, sondern irgendwann müssen die Maschinen abgestellt werden.

Einige historische Blackouts
Quelle: cybersecurityaustria.at
Hier weitere Beispiele

Österreich ist bisher von längeren großflächigen Stromausfällen weitgehend verschont geblieben, in Deutschland hat es aber 2005 und 2006 einige größere Ausfälle gegeben (siehe die Liste rechts). Die Allianz Versicherung warnt aber, dass das nicht so bleiben muss: Allianz: Stromausfälle könnten sich häufen.

Grundsätzlich gibt es viele Möglichkeiten, ein solches komplexes System wie die Stromversorgung anzugreifen: Smart Meter als Einfallstor für Angreifer. Bereits 2010 hat das FBI vor Manipulationen von Smart Metern gewarnt (der Artikel hat Links zu einem Bericht über die Fälle in Puerto Rico).

In Deutschland hat sich mittlerweile das BSI (Bundesamt für Sicherheit in der Informationstechnik) dieser Problematik angenommen und hat entsprechende Schutzprofile für solche Geräte entworfen, die zu Anforderungen an zukünftige Geräte werden sollen (hier ein Artikel dazu: Intelligente Stromzähler: Entwurf für Schutzprofil zur Diskussion gestellt).

In Österreich liegen die Initiativen bisher leider noch außerhalb der Politik. Der private Verein Cyber Security Austria nimmt sich in Österreich dieses Themas an. Dort gibt es eine Reihe von Unterlagen, u.a. eine Studie zu Smart Metering and mögliche Auswirkungen auf die nationale Sicherheit (pdf). Der empfehlenswerte Text enthält viele weiterführende Links auch auf die internationale Situation und listet die verschiedenen Bedrohungen auf. Der Text ist voll von weiterführenden Links, d.h. es gibt viel Lesestoff zu diesen Themen.

Die komplexen Strukturen der zukünftigen Smart Grids
Quelle: MIT Studie zu Future Grids (Link siehe im Text)

Eine kurze Studie des Center for Strategic and International Studies "The Electrical Grid as a Target for Cyber Attack" (pdf) analysiert in wieweit die Stromversorgung Ziel von Sabotageangriffen sein kann (sie berühren auch die wichtige Unterschiedung zwischen Spionage, Sabotage und Cyberkrieg.

Die ganzen Angriffsmöglichkeiten und die dramatischen Folgen klingen so, als wäre das ein spannender Stoff für einen Terroristen/Spionage/Desaster Thriller.

März 2012:
Es scheint, dass das Buch jetzt geschrieben wurde: BLACKOUT - Morgen ist es zu spät.

 

Hier noch ein interessantes Kapitel aus einer MIT Studie zu Future Grids (pdf). Hier finden sich viele recht technische Hintergründe zu den Komponenten der Smart Grids (und ein Hinweis, dass die möglichen Bedrohungen weit über Datenschutz-Verletzungen hinaus gehen).

 

Feb. 2012:
Die Arbeiterkammer (AK) und die Mietervereinigung in Österreich fordern: "Zwangseinführung von Smart Metern aussetzen".

Juni 2012:
Der europäische Datenschutzbeauftragte Peter Hustinx warnt vor den Möglichkeiten massives Data Mining mit den Smart Meter Daten zu betreiben.

Juli 2012:
In Österreich tut sich was bei dem Thema Smartmeter: "Smart Meter-Daten wecken Begehrlichkeiten" berichtet die Futurezone.

Sept. 2012:
Smart Meter Hacking Tool Termineter ist als Open Source verfügbar: Open Source Smart Meter Hacking Framework can Hack into the Power Grid. Ein ähnliches Tool mit dem Namen OptiGuard sollte ein einer Konferenz vorstellt werden, wurde aber auf wohl deutlichen Wunsch eines Netzoperators nicht wie geplant auf einer Konferenz vorgestellt: Researcher releases smart meter hacking tool

Nov. 2012:
Wireless meters tell snoopers when you are not home. Hier geht es um eine in den USA eingesetzte drahtlose Übertragung der Verbrauchsdaten durch automated meter reading (AMR). Es sind bereits ein Drittel der Zähler in den USA umgestellt. Alle 30 Sekunden übertragen die Geräte ihre Daten an Mitarbeiter des Energie-Unternehmens, die an den Gebäuden vorbeigehen oder -fahren. Die Forscher haben mittels einer 1000 $ Ausrüstung diese Daten von bis zu 500 Geräten im Abstand von bis zu 300 Metern abhören können. Bei dieser Ablesefrequenz ist klar zu sehen, welchen Wohnungen unbewohnt sind.

Dez. 2012:
Der jährliche Kongress des Chaos Computer Clubs hat sich auch mit dem Thema Smartmeter beschäftigt: 29C3: Hacker erwarten gespannt die neue Smart-Meter-Generation (für die Österreicher: der Artikel beschreibt die Situation in D. wo das Bundesamt für Informationssicherheit (BSI) sog. Schutzprofile ausarbeitet. Wie das in Ö implementiert werden wird, ist wohl derzeit noch offen.

Hier die Links zu den Unterlagen: Version 1.1.7 der Protection Profiles für Smart Meter Gateways und Version 1.0 der Protection Profiles der in Smart Meter Gateways enthaltenen Security Modules (beides PDFs).

In den Secorvo News vom Dez. steht:

Kritisiert wird, dass damit alle wichtigen Sicherheitsaspekte von der Authentifikation bis zur verschlüsselten Übermittlung systematisch geklärt sind, aber Datenschutz, z.B. Erforderlichkeit, Zweckbindung oder Datensparsamkeit werden ausgeklammert. Vermutlich wollten sich die Forscher vom BSI nicht noch eine 2. Baustelle antun.

Die Planungen in D. klingen ganz OK, dann wäre zumindestens dort ein Angriffsszenario wie im Buch Blackout weniger wahrscheinlich. Zur Lage in Österreich (und darüber hinaus, vor allem Deutschland) hier ein Interview mit Herbert Saurugg vom Verein für Cyber Security Austria (CSA) "Ein Blackout in naher Zukunft ist realistisch". Er ist sehr skeptisch was die Stabilität der Energieversorgung betrifft, seiner Meinung nach finden zu viele Veränderungen gleichzeitig statt, ohne dass entsprechende Beeinflussung ausreichend untersucht werden. Er glaubt auch nicht daran, dass Millionen Smart-Meter sicher (genug) gemacht werden können.

 





06.01.2012 - Externalitäten, z.B. bei der Gesichtserkennung / Face Recognition

Ein Artikel in Slate 'Opt-in' settings don't absolve internet companies behandelt das Thema "Externalitäten". Darunter versteht man, wenn Kosten nicht vom Verursacher getragen werden, z.B. wenn eine Entscheidung, z.B. für die Nutzung einer bestimmten Technologie, Auswirkungen auf andere Menschen hat, die sich gar nicht für diese Technologie entschieden haben. (An anderer Stelle schreibe ich mehr über dieses und andere Konzepte der Informationssicherheit und bringe z.B. als Beispiel, dass das Transportieren von Spam-Emails für die Allgemeinheit hohe Kosten verursacht, die nicht vom Spam-Versender getragen werden.)

Der Slate-Artikel bringt ein Beispiel aus den Nicht-IT-Bereich das zeigen soll, dass die Entscheidung Einzelner (heute Opt-In genannt) für eine bestimmte Technologie sich auf alle anderen Menschen auswirken kann. Wenn eine große Zahl von Menschen in einer Wohngegend sich für den Individualverkehr mit PKWs entscheiden, so wird der öffentliche Nahverkehr in dieser Gegend mangels Nachfrage reduziert, was Auswirkungen auch auf die hat, sie sich nicht für PKW-Nutzung entschieden haben.

Der Artikel erklärt, dass wir es bei der Gesichtserkennenung mit der gleichen Problematik zu tun haben. Google und Facebook führen jetzt (Ende 2011) die automatische Gesichtserkennung flächendeckend bei ihren Social Networks ein. In bester Facebook-Manier dort natürlich erst mal für alle automatisch aktiviert, Google etwas vorsichtiger, der Benutzer muss sich aktiv dafür entscheiden (Opt-In). (Google’s Executive Chairman Eric Schmidt warnte noch Anfang 2011 vor dieser Technologie und nannte sie "too creepy even for Google").

Der Artikel in Slate erklärt jetzt, dass die Entwicklung der vergleichsweise harmlosen und freiwilligen Nutzung der Gesichtserkennung in Social Networks dazu geführt hat, dass diese Technologie zu dieser Perfektion entwickelt wurde und nun auch für alle Diktaturen zur Verfügung steht, die damit automatisiert die Fotos und Videos der regierungskritischen Demonstranten auswerten können. Natürlich hätte diese Technologie trotzdem entwickelt werden können, aber im Gegensatz zu den 40er bis 70er Jahre, wo Forschungsaktivitäten im militärischen Bereich die IT-Entwicklung stark angetrieben haben wird Forschung heute weitgehend durch die Nachfrage im Konsumentenbereich vorangetrieben und finanziert und das Militär verwendet die "Abfallprodukte". D.h. die schnelle Perfektionierung der Gesichtserkennung (die noch vor einem Jahrzehnt als in weiter Ferne gesehen wurde) verdanken wir (und die Diktatoren der Welt) vermutlich sehr wohl der Nachfrage aus dem Social Networking, mit allen den dort verbundenen Problemen für die Privatsphäre.

Personal Finance Management
Ein anderes Beispiel für Externalitäten liegt im Bereich Personal Finance Management (PFM). Darunter werden Softwarelösungen wie Quicken oder Microsoft Money verstanden, die dem Benutzer einen besseren Überblick über seine Einnahmen, Ausgaben, etc. ermöglichen soll. Seit 2011 wird solche Software auch verstärkt im Bankenbereich als Zusatzfunktion des Internet-Bankings angeboten. Dies hat für den Kunden den Vorteil, dass er die Rohdaten nicht erst mühsam in ein separates (und oft kostenpflichtiges) Softwarepaket eingeben (oder importieren) muss, sondern die Software wertet einfach die Kontenbewegungen der Giro-, Spar- und Kreditkarten-Konten aus und stellt sie in mehr oder weniger hübscher Form dar, z.B. so wie hier bei der Strands.

Für die Bank ergeben sich optimalerweise 2 Vorteile: die Kunden werden durch die Möglichkeit der automatischen Auswertung angehalten, weniger oft mit Bargeld zu zahlen um auf diese Weise dem System detailliertere Daten zur Verfügung zu stellen. Außerdem ergibt sich damit für die Bank die Möglichkeit, erheblich mehr über ihren Kunden zu erfahren. Hier tritt jetzt der Opt-In Effekt ein: Theoretisch haben die Banken immer Zugriff auf die Kontenbewegungen der Kunden, aber die meisten Banken haben (derzeit) noch keine Software um diese Kontenbewegungen systematisch und automatisch auszuwerten. Die Beschaffung einer solchen Software lohnt für eine Bank auch nur dann, wenn eine nennenswerte Zahl der Kunden von der Bargeldnutzung auf die konsequente Nutzung der Bankomat- oder Kreditkarten umschwenkt.

Und hier entsteht die Externalität: einige Kunden haben kein Problem damit, dass die Bank analysieren kann, wieviel sie wofür ausgeben und freut sich sogar, wenn die Bank dann entsprechende Sonderangebote oder Loyalty Programme anbietet (Opt-In) - anderen graut es bei dieser Vorstellung. Die begeisterten Nutzer dieser Dienste (die sich ihre Privatsphäre über die kostenlosen Auswertungen oder Loyality Programme "abkaufen" lassen) führen aber dazu, dass sich für die Banken diese Software "rechnet" und flächendeckend eingesetzt werden kann. Natürlich lernt die Bank über die Kunden die im Supermarkt mit Bargeld zahlen deutlich weniger, aber trotzdem deutlich mehr als wenn die Bank die Software nicht einsetzen würde.

Das ist sehr ähnlich zur Problematik der Gesichterkennung: durch diejenigen die ihre Privatsphäre bereitwillig teilen (oder opfern) entstehen Lösungen für die bessere Beobachtung oder Analyse auch der anderen (die sich dem nur mit erheblichem Aufwand wirklich entziehen können, wer kommt heute ganz ohne Bankkonto aus?).
 


 

Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.