Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter AboVorläufige Gedanken, erfreuliches, beklagenswertes

 

Philipps Notizen - 2015

von Philipp Schaumann

An dieser Stelle werden Beobachtungen veröffentlicht, die ich interessant finde, ohne dass die Texte immer gleich in einen logischen größeren Zusammenhang eingereiht werden müssen.

 


Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

 


20.12.2015 - Altersbegrenzung und Altersverifikation in Social Networks (aktualisiert 2017)

Ein neues Datenschutzgesetz ist im Entstehen, und Teile der Presse konzentrieren sich auf einen Randaspekt und Scheinkonflikt: Facebook schon mit 13 oder erst ab 16 Jahren. Das ist aber ziemlich witzlos solange es ein Internet gibt, indem man Surfen kann, ohne vorher eine Smartcard in einen entsprechenden Leser gesteckt zu haben und damit seine volle Identität offen gelegt hat.

Großbritannien führt 2017 eine zwangsweise Altersverifizierung für alle Nutzer von Porn-Websites ein. Wie New Scientist korrekt schreibt, ist das ein Sicherheitsdesaster. Eine sichere Prüfung des Alters ist nämlich ohne eine Preisgabe der Identität nicht möglich. So eine Anforderung öffnet Tür und Tor für Betrüger, die vorgeben eine Pornwebsite zu betreiben, aber in Wirklichkeit nur hinter dne Daten her sind, die bei der Prüfung des Alters anfallen, z.B. Kreditkartendaten oder Bankdaten.

Die Idee hinter Altersbeschränlkungen für Social Networks ist, dass jüngere Kinder vor den Gefahren der Social Networks wie z.B. Bullying geschützt werden sollen. Das ist gut gemeint, aber ich fürchte, dass ein Kind das mit 13 - 16 nicht mit den Klassenkameraden chatten kann, noch eher Ziel von Bullying werden wird. Daher ist die Anforderung der Zustimmung der Eltern für die Eltern eine schwierige Frage (sofern das Kind nicht einfach bei der Anmeldung lügt und sich selbst 16 Jahre alt macht). Die Anforderung führt auch heute bereits oft dazu, dass Eltern gemeinsam mit ihren Kindern falsche Altersangaben für ihr Kind machen, kein wirklich gutes Vorbild. Auf diese Weise lernen die Kinder, dass man beim Alter auch lügen darf.

Die Herausforderung der Altersverifikation im Internet besteht ganz konkret seit die US-Regierung 1998 ein Schutzgesetz beschlossen hat, das besagt, dass bei Kindern unter 13 höhere Anforderungen an den Datenschutz gestellt werden müssen (Children’s Online Privacy Protection Act (COPPA)). Schnelle und simple Reaktion der Social Networks: Verbot der Nutzung durch Kinder unter 13 Jahre, Problem scheinbar gelöst, es müssen keine Dienste angeboten werden, die keine Werbung bringen und keine Daten sammeln. Seitdem machen sich die Kinder entweder selbst älter oder die Eltern kämpfen mit der Entscheidung, ob und ab wann sie für ihre Kinder lügen sollen (und ein falsches Alter bestätigen).

Wir haben es hier mit 2 getrennten Problemstellungen zu tun: Erstens - ist es eigentlich richtig, dass Kinder nur unter Aufsicht ins Internet dürfen und zweitens, woran erkennt man im Internet das Alter, d.h. wie trennen wir Erwachsene und Kinder?

Jetzt zur ersten Problemstellung: ist es eigentlich richtig, dass Kinder nur unter Aufsicht ins Internet dürfen? danah boyd ist eine recht bekannte Forscherin zu Fragen von "Kindern und Social Networks". Sie schreibt einen sehr lesenswerten Aufsatz What If Social Media Becomes 16-Plus? Die Autorin beschäftigt sich hauptberuflich damit, welche konkreten Lösungen Kinder und Jugendliche für den Umgang mit Social Networks finden, und nicht nur behütete Jugendliche, die Vertrauen zu ihren Eltern haben können, sondern auch Kinder in Problemzonen. Und diese Kinder lassen sich die Social Networks nicht nehmen, egal was die Eltern oder die Gesetzgeber anstellen. Sie stört sich daran, dass Kinder (zwischen 13 und 16, je nach Land unterschiedlich) entmündigt werden und dass der Gesetzgeber glaubt, die Eltern könnten die Privatsphäre und die Psyche der Kinder besser schützen. Sie hat großen Zweifel, ob die Mehrheit der Eltern der Verantwortung über die Daten ihrer Kinder wirklich gerecht werden können, Zitat:

danah boyd weißt auf die UN Konvention über die Rechte der Kinder hin. Alle EU-Länder haben diese Konvention ratifiziert (im Gegensatz zu den USA, dort stehen Elternrechte IMMER über den Kinderrechten). Und eines der Rechte ist das Recht auf Privatsphäre, auch und speziell gegenüber den Eltern. Das betrifft Kinder in behüteten Umgebungen, aber vor allem betrifft es die Kinder bei denen die Eltern das eigentliche Problem darstellen. Wenn man die neue Regelung ganz eng nehmen würde, so müssten Eltern die ihre Kinder missbrauchen zustimmen, bevor sich die Kinder in einem Selbsthilfe-Netz Rat und Hilfe holen können. Oder Kinder die merken dass ihre sexuelle Identität nicht mit den engen und strengen Vorstellungen der Eltern kompatibel ist. danah boyd schreibt: "good luck trying to stop a 15-year-old from sharing photos with her best friend when her popularity is on the line." Das neue Gesetz romantisiert die heile Welt von Eltern die willens und in der Lage sind, liebevoll und vertrauensvoll mit ihren Kindern gemeinsam soziale Netze zu erkunden und dann wissen, wann sie sich daraus zurückziehen müssen. Hier ihre Zusammenfassung:

An anderer Stelle habe ich einen Link mit m.E. recht guten Vorschlägen, welche Netze für Kinder sicherer sind als andere. Ich habe die Vorschläge auf deutsch zusammengefasst. Der Autor sagt, dass er rein öffentliche Sites wie Instagram, Twitter, YouTube für typischerweise sicherer hält, weil die Eltern auch sehen können, welche Reaktionen die Kinder auf ihre Beiträge bekommen. Die nächste Stufe sind dann Accounts wie Facebook bei denen die Eltern "friend" der Kinder sein können und so miterleben, was im Account der Kinder passiert. Erst danach kommen die vertraulichen Sites wie Snapchat und Secret und YikYak in denen auf Grund der Abgeschlossenheit oft extrem rauhe und harte Sitten herrschen.

Aber, siehe voriger Abschnitt, natürlich haben wir hier auch einen Konflikt mit dem Recht auf Privatsphäre der Kinder, dies muss abhängig vom Alter bei der Entscheidung der Eltern berücksichtigt werden und irgendwann müssen sich die Eltern zurückziehen und darauf vertrauen, dass die Kinder sich selbst schützen werden. Und dieses Alter wird für jedes Kind unterschiedlich sein, die Schwelle kann irgendwo zwischen 13 und 18 liegen, aber spätestens wenn die Kinder den Wunsch nach Privatsphäre ausdrücken, so muss sie gewährt werden.

Zurück zum zweiten Problem und zu möglichen Lösungen des Verifikationsproblem. Bereits 2008 gab es in den USA kommerzielle Dienste, die das Problem der Feststellung des wirklichen Alters lösen wollten, aber die Dienste sind sehr umstritten. Denn eine Altersfeststellung ohne Verletzung des Datenschutz ist nicht möglich, und die Schulen haben sich verständlicherweise dagegen gewehrt, die Mitarbeit dabei als zusätzlichen Service zu betrachten. Eine wirkliche Prüfung des Alters im Internet ist nur für die Grenze möglich, wo Jugendliche ihre eigene Kreditkarte haben können. Hier ein guter Artikel zur Problematik in der NY Times: Verifying Ages Online Is a Daunting Task, Even for Experts. Alle Versuche, das Alter über Stimmprüfung oder Fingerscanning zu verifizieren, sind gescheitert.

Auch andersrum ist es schwierig. Es gibt Websites oder "Umgebungen" in Social Networks, in denen sich nur Kinder aufhalten sollen damit sie dort Schutz vor Erwachsenen haben. Aber es ist im Netz ja nicht wirklich schwierig, sich jünger zu machen. Auch dort tauchen immer wieder Erwachsene, oft mit bösen Absichten, auf.

Hier eine kleine eigene Anektdote dazu: Ich hatte mich in 2005 oder so irgendwo registriert (Ich glaube es war hotmail) und dabei aus Faulheit als Geburtsdatum 1.1.00 angegeben. Dann wollte ich später aus irgendeinem Grund das Datum korrigieren, weil ich durch mein junges Alter irgendwo blockiert wurde. DAs ging aber nicht, es kam eine Nachricht, meine Eltern müssten zuerst die Altersänderung bestätigen. Kurz gestutzt, dann habe ich ein weiteres Browserfenster geöffnet, einen weiteren Hotmail-account angelegt, ("Philipps-Vater" oder so) und habe auf diesen verwiesen. Dort musste dann "Philipps-Vater" bestätigen, dass ich das Recht habe, mein Alter zu korrigeren. Nachdem ich dies im 2. Browserfenster getan hatte, konnte ich mich im ersten Fenster endlich volljährig machen. Noch ein Tipp, die so wie ich im Internet meist ein falsches Geburtsdatum angeben: Unbedingt die jeweiligen Daten irgendwo notieren (Ich tue dies im PW-safe). Man wird nämlich später oft aus Sicherheitsgründen nach dem Alter gefragt, mein "Alter" nicht zu kennen, hat schon einige zusätzliche Mühen bereitet.

An anderer Stelle schreibe ich übrigens ausführlicher darüber, welche Schutzmöglichkeiten es bei Bullying gibt.
 



23.11.2015 - Die Architektur des Internets, zentral vs. dezentral

Dieser Artikel greift ein Thema auf, das ich bereits in 2011 bereits einmal in etwas anderem Zusammenhang diskutiert hatte: Brauchen wir ein neues Internet? Diesmal geht es aber in eine etwas andere Richtung.

Auch wenn immer wieder behauptet wird, "das Internet wäre eben so wie es ist", mit Werbung und Tracking und unseren privaten Daten auf Cloud-Servern, kostenlos dort gelagert wenn wir dafür unser Recht auf Privatsphäre abreten, so stimmt das nicht wirklich. Evgeny Morozov sagt das sehr schön:

Im Gegensatz zum früheren Telefonnetz ist das Internet ein reines Transportnetz, sehr schön dargestellt in 2 älteren Artikeln The Rise of the Stupid Network und World of Ends. Die Hauptqualität des Internets liegt darin, dass alle Intelligenz in den Endpunkten liegt und nicht, wie im Telefonnetz, im Netz selbst. Dadurch erfüllt es seine wichtigste Funktion, nämlich beliebige Rechner und damit Menschen (noch fast) gleichberechtigt miteinander kommunizieren zu lassen.

Die extreme "Dummheit" des Internets ist genau der Grund, warum es möglich ist, so viele innovative Dienste anzubieten. Das war im Telefonnetz nicht möglich, weil die Netzbetreiber sehr darauf geachtet haben, dass über diese Kabel nur ganz bestimmte Inhalte (nämlich 5 KHz breite Tonsignale) transportiert werden.

Die Diskussion um die Frage, was das Internet eigentlich wirklich sei, das zieht sich als roter Faden durch die Geschichte des Internets. Ich erinnere, wie 1995 die Fernsehgeselschaften das Internet als riesiges Verteilmedium für zentral erstellte inhalte gesehen hat. Wie sollen wir so viele Distributionskanäle nur mit Content füllen, war die Frage. Ergebnis war, dass die IT-Firmen auf einmal die Content-Firmen aufgekauft hat. Deswegen produziert eine Sony-Tochter heute in Hollywood Filme. "Content is King" hieß es damals.

Gleichzeitig haben Libertäre das Internet als ideale Möglichkeit gesehen, dass jetzt alle jeder mit seinem Heim-PC gleichberechtigt im Netz Informationen und Dienste anbieten kann, siehe die beiden Artikel "Stupid Network" und "World of Ends" (die "Ends" sind unsere Heim-PCs, auf denen jeder einen Webserver installieren könnte). Dieser Teil des Internets hat auch wirklich Fortschritte gemacht, eigentlich bis vor kurzem mehr Fortschritte als die zentralen Content-Anbieter. Es kam zuerst die Zeit der privaten Homepages, dann die Zeit der Wikipedia, von Blogs, dann kamen Social Networks, auch die gefüllt mit Inhalten der Nutzer, nicht zentralen Content-Produzenten.

Aber gleichzeitig haben die großen Firmen einen genialen Weg gefunden, wie sie die Kontrolle über das "Netz" wieder zurückbekommen können. Sie hosten die benutzer-erzeugten Inhalte, und zwar kostenlos, aber nur wenn die Benutzer dafür die Kontrolle über ihre Daten abgeben und personifizierte Werbung erlauben. Das haben die Nutzer lange tollieriert, aber nach Snowden und immer penetranterer Flicker-Flacker-Werbung haben die Adblocker mittlerweile eine Abdeckung erreicht, die einigen Anbietern von kostenlosem Content langsam weh tut.

Und immer wieder wird erklärt, das Internet wäre nun mal so, dass Dienste kostenlos sein müssten und dass dafür Werbung zu tolerieren sei. Das stimmt aber nicht, das Internet ist von der Konzeption her eines der neutralsten Medien überhaupt. Natürlich könnten wir wirklich unsere Daten auf Servern zu Hause hosten und die anderen Nutzer holen sie dort ab. Peer-to-Peer Filesharing hat das gezeigt, wie toll das geht: Keine zentralen Server, jeder ist Konsument und Anbieter gleichzeitig. Auf diese Weise liesen sich auch Social Networks implementieren. Bald haben wir in unseren Wohnung einen Rechner in jedem Elektrogerät und die Hälfte der Elektrogeräte will auch ins Internet. Warum haben wir unsere Profildaten des Social Networks in dem mit dem Internet verbundenen Kühlschrank oder Waschmaschine (wo uns doch jeder einreden will, dass alle Geräte jetzt online sein müssen, damit wir sie über unsere Apps steuern können). Wir wissen auch, wie man Authentisierungsdienste schreiben könnte, bei denen meine Passworte nur bei mir zu Hause liegen und die externen Dienste nur einen befristeten Zugriffstoken bekommen. Alle diese Techniken sind verstanden, aber sie werden nicht implementiert.

Die Industrie arbeitet hart daran, dass das gleichberechtigte Internet weniger gleichberechtigt wird. Da ist einmal die Netzneutralität, die vielen nicht gefällt, bzw. wo Netzanbieter noch etwas mehr mitschneiden möchten. Zum anderen lagern wir freiwillig unsere Daten in Cloud-Dienste aus weil dies bequem ist. Was wir damit erzeugen ist die Renaissance des Netzes bei dem die Endpunkte dumm und nicht mehr programmierbar sind und wo die Intelligenz im Zentrum steht. Das Zentrum sind eben nicht mehr die Telekoms, sondern jetzt eben die Cloud-Hoster (Apple, Google, Microsoft, Amazon, Facebook, ....). An anderer Stelle habe ich die Cloud-Dienste als neues Feudalsystem bezeichnet und damit bin ich nicht allein.

Ein verwandtes Thema an anderer Stelle: Wer gewinnt den Kampf ums Internet?
 



22.11.2015 - Bitcoin, Blockchains und ihre Möglichkeiten

Immer wieder aktualisiert, zuletzt 2017 mit Details zur vermeintlichen Anonymität von Bitcoin

Immer häufiger finden sich jetzt in der Fachpresse Artikel zum Thema Blockchain. Blockchain ist die Basis-Technologie hinter der sog. Kryptowährung Bitcoin, geht aber weiter darüber hinaus. (Bitcoin wird Cryptocurrency genannt, weil seine Grundlage seiner Fälschungssicherheit digitale Signaturen sind). Ein Artikel im Economist beschreibt das recht gut: Blockchain - The trust machine.

Die Kryptographie hinter Bitcoin. Quelle: Blockchain - The trust machine.

Die Blockchain-Technologie erlaubt es Menschen oder Institutionen die keinen guten Grund haben sich gegenseitig zu vertrauen, trotzdem sichere Vereinbarungen zu treffen. Das Vertrauen das normalerweise dafür notwendig ist, wird durch den Blockchain ersetzt. Bei Bitcoin ist der Blockchain eine öffentlich für jeden einsehbare, aber anonyme Liste aller Zahlungen die je mit Bitcoins durchgeführt wurden.

Mittels Peer-to-Peer Kommunikationen (P2P, wie bei den Filesharing-Diensten wie Napster) wird sichergestellt, dass alle Beteiligten immer die korrekte und vollständige Liste aller Zahlungen zur Verfügung haben. Eine Zahlung ist erst durchgeführt, wenn dieser Zustand erreicht und bestätigt wird. Um Manipulationen zu vermeiden wird ein sog. Proof-of-Work benutzt. Dies ist eine rechen-intensive Aufgabe die sicherstellen soll, dass niemand im P2P-Netzwerk die Kontrolle übernimmt.

In diesem Artikel wird dies recht gut erklärt: The great chain of being sure about things (siehe Zeichnung links).

Der Punkt, an dem jetzt viele Start-Ups aufspringen ist, dass Registraturen und fälschungssichere Unterlagen (anonym oder öffentlich) an ganz vielen Stellen die Basis unseres Wirtschaftssystem sind: Katasterämter mit ihren Unterlagen über Grundstücksbesitz, Miet- und Kaufverträge, aber auch alle Geldbewegungen (zwischen Banken und für einzele Bankkonten). Daher ist es kein Wunder, dass fast alle Großbanken mittlerweile Aktiväten zu Blockchain haben: Deutsche Bank, Banco Santander, Barclays, die US-Börse NASDAQ, die australischen Banken Westpac und ANZ UBS, die Münchener Fidor Bank, VISA (die darüber sogar Autos vermieten wollen) und der europäische Bankenverband EBA.

Der EBA unterscheidet dabei zwischen vier Typen:

Vor allem die letzte Gruppe sei für die Finanzbranche interessant, und zwar für interne und externe Geschäfte. Als Nutzungsszenarien nennt der Bericht den Devisenhandel, grenzüberschreitende Transaktionen, Echtzeit-Überweisungen und die Abwicklung komplexerer Finanzprodukte.

Mehr zu Bitcoin

Hier ein Artikel den Mythos widerlegt, dass Satoshi Nakamoto als genialer Mathematiker Bitcoin allein entwickelt hat. Der Artikel zeigt auf, dass die grundlegenden Techniken hinter Bitcoin nach und nach entwickelt wurden.

Hier das beste Tutorial das ich zu Bitcoin kenne: Der Autor arbeitet sich durch Annahme einer fiktiven Kryptowährung, die er schrittweise immer mehr verbessert, immer näher an das Bitcoin-Protokoll heran. (Jetzt weiß ich endlich, wie das mit dem Wechselgeld bei Bitcoin funktioniert).

Über den aktuellen Stand der Mining Technology. Hier noch ein recht guter Hintergrund zu Bitcoin von prominenten Sicherheitsleuten Ron und Shamir: Quantitative Analysis of the Full Bitcoin Transaction Graph.

22 Banken haben sich 2015 zusammengeschlossen und über den Startup R3CEV einen gemeinsamen Standard zu entwickeln.

Viele der Pilotprojekte basieren auf Ripple. Unter diesem Namen gibt es ein "Settlement System" zwischen Banken, eine virtuelle Währung XRP (ripples) und vor allem das Open Source Ripple Transaction Protocol (RTXP) oder Ripple protocol. Solche blockchain-basierten Systeme brauchen nicht das "mining" mit dem neue "Münzen" erzeugt werden und das "Proof-of-Work" Konzept kann im Fall von Banken die sich gegenseitig "kennen" auch durch real-world Trust ersetzt werden.

Thomas Dapp von der Deutschen Bank sieht in den Aktivitäten der Banken zur Blockchain-Technologie eine Möglichkeit, dem Angriff der Technologiefirmen auf den Finanzsektor abzuwehren. Wenn die Banken nicht selbst dort einsteigen, so werden sie durch diese Technologie überflüssig gemacht werden. Der Grund liegt darin, dass Blockchain verspricht, die Transaktionszeiten und Transaktionskosten dramatisch zu reduzieren:

Die Bank of America hat 2014 bereits ein Patent für Überweisungen via Blockchain eingereicht. Die Aktivitäten der Banken sind natürlich ganz das Gegenteil von den ursprünglichen Konzepten der Bitcoin-Entwickler: eine Welt in der Geld nicht mehr von den großen Banken und/oder den Regierungen kontrolliert wird. Sie haben die technischen Grundlagen geschaffen, auf deren eine "anarchische", aber doch vertrauenwürdige Ökonomie aufgebaut werden könnte, ohne zentrale oder dezentrale Kontrolleure. Aber, wenig überraschend, die "Kontrolleure" wehren sich so gut sie können.

Zur vermeintlichen Anonymität von Bitcoin

Man kann immer mal wieder lesen, dass Bitcoin die Kriminalität fördert, weil es anonym sei. Das stimmt jedoch nicht, Bitcoin ist nicht anonym, sondern pseudonym.

Bitcoin Transaktionen sind pseudonym und öffentlich. Mit Hilfe von Programmen wie blockchain.info oder blocktrail kann jeder mit Zugang zum Internet JEDE Transaktion sehen. Wenn ein Nutzer die Bitcoin Adresse einer anderen Person kennt (oder den Hash der Transaktion oder die IP-Adresse eines Teilnehmers) so kann diese Zahlung verfolgt werden, auch was mit diesen Bitcoins dann weiter passiert. Wie kommt man an eine Bitcoin-Adresse, z.B. durch so einen Post:

Weil alle Transaktionen öffentlich sind, bieten sie auch ein sehr ergiebiges Forschungsfeld, dabei entstehen dann Graphiken wie diese hier:

Beispiel für "transaction graph analysis" - Quelle: A Fistful of Bitcoins: Characterizing Payments Among Men with No Names

Dafür werden Programme genutzt wie Chainalysis, Elliptic oder BitAnalysis. Deren Nutzung führen dann z.B. zur Verhaftung von Ross Ulbricht im Rahmen der Silk Road Aktivitäten oder dem FBI Agenten der in diesem Fall involviert war und die Bitcoin selbst behalten wollte (der Link erklärt die Details im Video).

Natürlich versuchen sich (vor allem kriminelle) Nutzer davor zu schützen und dafür gibt es sog. Mixing Services. Dabei bringen viele Bitcoin-Nutzer ihre Bitcoins in einen großen Pool ein und die werden kann wieder neu verteilt. Danach weiß nur noch der Mixing-Service selbst, welche Bitcoins nun genau zu welcher Adresse gehören. Solche Services heißen z.B. SharedCoin, Bitcoin Fog, BitMixer, Bitcoin Fog, ShapeShift. Mixing macht es schwieriger die Benutzer zu identifizieren, aber nicht unmöglich.

Wenn die Polizei die Identität eines Bitcoin-Nutzers aufdecken will, so wird der erste Versuch eine Suchmaschine sein (wie oben gezeigt). Wenn das nichts bringt, so gibt es die Website walletexplorer.com. Das ist ein Service, der alle die Identitäten sammelt, die mal öffentlich gemacht wurden. Für die Profis gibt es dann noch oben bereits erwähnten kommerzielle Dienste wie Chainalysis, Elliptic, BitAnalysis oder Sabr.

Die eigentliche große Schwachstelle ist jedoch der Punkt, an dem die Bitcoin in "richtiges Geld" rückgewechselt werden sollen (nicht alle Bitcoin-Nutzer können von den Dingen leben, die sie gegen Bitcoin kaufen können). Diese Dienste sind die Bitcoin Exchanges, z.B. Kraken, BitFinex, BitStamp). Diese Firmen unterliegen den Bankenvorschriften und müssen sich von ihren Kunden die Pässe zeigen lassen. Die Polizei sieht durch eine Analyse der Transaktionsketten, wann Bitcoins zu einem Exchange gesendet wurden und kann mit einer entsprechenden richterlichen Verfügung dann die Identitäten spezifischer Kunden abfragen. Damit ist der Zugriff zur Person und oft auch den (z.B. gestohlenen) Bitcoins möglich.

Dez. 2015:
Linux Foundation schmiedet Allianz für Blockchain-Standard: "Der Initiative der Linux Foundation sind neben einigen großen Banken und Finanzunternehmen (darunter die Deutsche Börse) auch IT-Größen wie Intel, Cisco, VMware und Fujitsu beigetreten. IBM will eine umfangreiche Codebasis samt Schutzrechten beisteuern. . . . Die neue Blockchain-Allianz der Linux Foundation tritt einer Initiative von Großbanken [Barclays, Credit Suisse, Goldman Sachs, UBS, JPMorgan, ...] entgegen, die ähnliche Bemühungen in einem Start-up-Unternehmen [R3CEV] gebündelt haben."

Smart Contracts und Ethereum

Ein weiterer Grund für die Aufregung rund im Blockchains ist, dass dieses Konzept in Richtung "Smart Contracts" verallgemeinert werden kann. Dies beschreibt Computer-Protokolle mit denen Vertragsklauseln verhandelt, vereinbart und durchgesetzt werden können. Ein wichtiger Aspekt ist dabei, dass in der Blockchain-Technologie auch eine Scripting-Language enthalten ist, mit deren Hilfe gewisse Teile des Vertrags automatisiert und unter gewissen Bedingungen durchgeführt werden können. DRM (Digital Rights Managemewnt) wird als eine Form von Smart Contract gesehen. Die Musikfirma Billboard möchte darüber Musik-Downloads durchführen und abrechnen.

Das Konzept kann auf der Basis von Blockchain-Technologie zu einem weiteren erheblichen Automatisierungsschub führen. Dazu gibt es schon das Schlagwort Crypto Economics as a mixed human-machine system. Die Ideen gehen zurück zu 1995/96, Nick Szabo: Smart Contracts: Building Blocks for Digital Markets, The Idea of Smart Contracts und Formalizing and Securing Relationships on Public Networks.

Die Firma Ethereum möchte auf Blockchain Technologie das gesamte Web umbauen: "The stated purpose of the Ethereum project is to "decentralize the web" by introducing four components as part of its roadmap: static content publication, dynamic messages, trustless transactions and an integrated user-interface." Hier ein deutschsprachiger Artikel dazu: Ethereum: Wie sich das Netz auf Bitcoin-Basis neu erfindet

Juni 2016

Juni 2016 ein Rückschlag für Experimente auf der Basis von Ethereum und Blockchain: Hacking of More Than $50 Million Dashes Hopes in the World of Virtual Currency. Ein Angreifer hat von einem experimentellen Projekt zu einer neuen virtuellen Währung virtuelles Geld im Wert von 50 Mio USD abgezogen. Dabei hat er einen technisch/logischen Trick genutzt, der im Prinzip als Schwäche bekannt war (recursive call vulnerability). Auf Grund von bereits vorher eingebauten Sicherheitssystemen (man traps) wurde das gestohlene Geld automatisch eingefrohren und steht weder dem Dieb noch dem Projekt nicht zur Verfügung. Das Projekt könnte an das Geld heran, wenn es seine eigenen Regeln bezüglich Eingriffen in Geldsysteme verletzt.

Update wenige Tage später: Ja, das Projekt hat entschieden, dass es den gleichen Programmierfehler ausnutzt, um den Diebstahl zu verhindern. Und der Hacker rechtfertigt sich öffentlich mit 'Wenn im Code mit dem ein Smart Contract abgebildet ist, ein Bug ist, so ist das Ausnutzen dieses Bugs für ihn kein Diebstahl, weil der Vertrag ja nur ganz exakt, d.h. falsch ausgeführt wurde'. Der hier verlinkte (deutschsprachige) Artikel problematisiert die ganze Geschichte und auch die Idee der Smart Contracts: Nach dem DAO-Hack: Verbliebenes Kryptogeld mit freundlichem Hack gesichert. Der Autor stellt u.a. die Frage zum Konzept der Smart Contracts: . . . . Wenn eben der Programmcode das bindende Element des Vertrags sein soll, ist die Ausnutzung des Fehlers dann überhaupt ein Hack geschweige denn ein Verbrechen? Bzw. wie kann sich ein Laie der den Code nicht in allen Details versteht dann auf einen Smart Contract verlassen?

Hier noch ein weiterer sehr lehrreicher Artikel zum DAO-Hack und seiner Problematik und eine bissiger Kommentar Gordon Gekko würde was mit Blockchain machen, dass die Vorfälle rund um Blockchain-Technologien zeigen, dass wir von der Abhängigkeit von Vernunft, Maß und Anstand der Menschen ganz offensichtlich noch nicht weggekommen sind und dass die Entscheidungen (derzeit noch ?) genauso willkürlich sind wie im bisherigen Finanzwesen. Das Resumé des Artikels: [wir brauchen weiter] "gesunde Skepsis vor allen, die Algorithmen als Lösung für ein Problem namens Mensch anpreisen."
 


Ende 2016, Anfang 2017:

Hello Barbie, My Friend Cayla, CloudPets, Bluetooth Furby, i-Que Intelligent Robot

Auch zu dieser Weihnachtszeit sind smarte Puppen im Kinderzimmer wieder ein Thema. Problematisch ist nicht so sehr das Sprechen, sondern dass die Puppen "zuhören". Um das zu tun werden weiterhin die Sprachdaten zusammen mit anderen persönlichen Daten und GPS-Informationen in die US-Cloud-Systeme gesendet.

Einer der Hersteller, VTech, hat bereits in der Vergangenheit Daten "verloren".

Nuance, das Unternehmen hinter der Sprachsoftware erklärt in den Nutzungsbedingungen dass die Daten auch für eigene Zwecke verwendet werden, inkl. Werbung und Marketing. Und dann kommt: “If you are under 18 or otherwise would be required to have parent or guardian consent to share information with Nuance, you should not send any information about yourself to us.” Das heißt, nach Aussagen der Betreiber sind die Spielzeuge nicht für Kinder und Jugendliche geeignet. Hintergrund ist ein US-Gesetz: COPPA the Childrens’ Online Privacy Protection Act of 1998. Die FTC in den USA ermittelt.

Auch in Europa warnen Verbraucherschützer vor diesen Überwachungspuppen.

Feb. 2017 wird „My Friend Cayla“ in Deutschland verboten.

Feb. 2017: Der Spielzeughersteller Spiral Toys bietet mit CloudPets eine ganze Sammlung von sprechenden Puppen an. Problem: Mehr als zwei Millionen Sprachnachrichten, die über CloudPets abgespielt worden sind, lagen ungeschützt im Internet. Dazu noch 820.000 Datensätze mit Account-Daten wie z.B. Passwortangaben. Der Hersteller setzt dafür MongoDB ein, was erst mal kein Problem ist, wenn es denn richtig konfiguriert und aktualisiert ist. Die Verlautbarung dass MongoDB aktualsiert gehört wurde im Dezember versendet, aber der Hersteller hatte nicht reagiert. Dafür haben Erpresser reagiert, die gesamten Daten abgezogen, und dann Erpressungsversuche gestartet.


14.11.2015 - Immer mehr Social Robots im Kinderzimmer - und fast alle sind verwundbar

Auf meiner anderen Website schreibe ich über Robots und auch über ethische Probleme mit "Social Robots", d.h. Roboter die mit Menschen relativ frei interagieren. Die autonomen Robots sind dort die jetzt immer stärker kommenden selbstfahrenden Autos. Sie agieren mit den anderen Verkehrsteilnehmern durch ihr aktives Verhalten und müssen sich auf das Verhalten der Verkehrsteilnehmer einstellen.

Aber Weihnachten 2015 gibt es auch noch andere Roboter, die, wenn es nach Mattel geht, heftig interagieren werden. Die neue Barbie-Puppe hat ein Mikrophone, einen Lautsprecher, eine drahtlose Verbindung und überträgt alles was sie hört, zu einem Cloud-Server, bei dem die Sätze mit geeigneter Software analysiert werden und die der Puppe intelligente Antworten ermöglichen soll. Die Puppe entwortet dann jeweils mit einem von 8000 Standardsätzen.

Da gruselt es nicht nur den Datenschützern, die ob dieser Datenübertragung aus den Wohnungen und Kinderzimmern in die Cloud beunruhigt sind. Es gruselt auch den Pädagogen, die das für ein sehr großes und gewagtes soziales Experiment halten. Die NY Times widmet dem Thema einen langen Artikel: Barbie Wants to Get to Know Your Child. Die Autoren erinnern daran, dass Kinder nur schwer erkennen können, dass es sich "nur" um eine Maschine handelt. Sie erinnern an die Episoden wo Kinder nur mit viel Mühe von ihren Tamagotchis getrennt werden konnten, wenn diese mit ihren Schein-Bedürfnissen zu heftig in das Alltagsleben eingriffen.

Es gibt auch viele Experimente die zeigen, dass Kinder schlecht in der Lage sind, Maschinen die mit ihnen zumindest rudimentär agieren, als Maschinen und nicht als Personen zu betrachten. Diese Puppe wird aber nicht nur rudimentär agieren, sondern sie bietet den Kindern ganz aktiv ihre Freundschaft an und drängt sich in die emotionale Welt der Kindern hinein. Brauchen die Kinder noch andere Kontakte, wenn Barbie sich als wunderbar unproblematische Freundschaft anbietet? Werden Eltern sich nicht mehr nur des Fernsehers und des Tablets mit den Spielen als Babysitter bedienen, sondern nun ihre Töchter weitgehend der Gesellschaft von Barbie überlassen? (Ähnliche Figuren für Jungs lassen sich bestimmt auch entwickeln). Wie sich das Ganze auf die emotionale Entwicklung der Kinder auswirken wird, das bleibt offen, wir werden es wohl in ca. 10 Jahren erfahren.

Wenn diese Puppe ein kommerzieller Erfolg wird, was zu erwarten ist, so werden die Kinderzimmer bald überschwemmt werden von solchen Geschöpfen (sie kostet $92 in den USA). Der Artikel in der NY Times ist sehr ausführlich und behandelt die lange Geschichte der Interaktion von Menschen mit Maschinen, die menschliche Züge zeigen.

Ein weiterer Artikel, diesmal in Darkmatter, sagt die Puppe rufe "hack me, hack me". Die Autoren sind sich einig dass es bald Wege geben wird, über diesen Kanal mehr als nur die Gespräche der Kinder mit ihrer Puppe abzuhören. 2017 zeigt ein Hacker, wie er den Bluetooth Furby elektronisch übernehmen kann.

Der gruselige Teddybär im Patent von Google hat sogar noch eine Kamera (und Motoren) und will auch die Inhalte ins Netz übertragen.

In eine Falle möchte Mattel diesmal nicht reinfallen: Frühere Versuche in diese Richtung wurden heftig kritisiert weil die Puppe z.B. den Mädchen erklärt hat, "Mathematik sei sehr schwierig". Deswegen heftig kritisiert haben sie jetzt alle Sätze auf politische Korrektheit prüfen lassen, die Sätze und Beispieldialoge finden sich auch im Internet.

Google hat übrigens bereits 2012 ein Patent für einen Teddybär angemeldet, der noch gruseliger ist. Der hat neben Mikrophone und Lautsprecher auch noch eine Videokamera.

Die Spielzeughersteller begeben sich hier auf ein recht unsicheres Terrain. Sie nähern sich immer mehr dem Effekt des "Uncanny Valley" (auf meiner anderen Website beschrieben), wo es den Menschen dann immer stärker vor den Robots gruselt. So wurde die Blythe Puppe 1972 auf Grund des Gruselfaktors durch ihre großen beweglichen Augen zum Alptraum vieler Kinder und zu einem kommerziellen Flop. (Hier der englische Wikipedia Eintrag mit einem Bild)

 


Dez. 2016:
Eine Studie der RAND sagt, dass die Kosten für "gehackt werden" überraschend gering sind:

Bei der Studie wurden 12000 Fälle untersucht und dabei durchschnittliche Kosten von 0.4% des Umsatzes gefunden. Wenn man das mit Rechnungsbetrug vergleicht, der typischerweise 5% darstellt oder mit "retail shrinkage", d.h. Ladendiebstahl und Diebstahl durch die Mitarbeiter, typischerweise 1,3%, so gehen die Cybersecurityschäden um Umsatz oft unter.

Beziehungsweise, die Schäden werden von anderen getragen, das nennt man Externalitäten. Die Kosten schlagen beim Nutzer auf, der sich mit den Folgen des Identitätsverlust durch die massenhaften Datenverluste rumärgern muss (3 Milliarden Datensätze werden Ende 2016 im Netz angeboten). Das gleiche Problem wieder beim IoT, das Mirai-Botnet: die Hersteller der angreifbaren Kameras putzen sich ab, den Schaden haben die Firmen die von den dDoS-Angriffen betroffen sind. Oder wie in den Fällen von Target und Home Depot bei den Banken oder den Händlern (siehe etwas weiter unten).

Bruce Schneier sagt, dass wir es bei der Informationssicherheit mit einem kompletten Marktversagen zu tun hätten, Schäden treten fast immer bei "Unschuldigen" auf, oft auch bei den Konsumenten.

Hier der Link zur Studie selbst. Das deckt sich mit früheren Berichten spektakulärer Vorfälle - die Zeche zahlt leider nicht die Firma die es durch bessere Vorkehrungen hätte verhindern können:


09.11.2015 - Haben wir uns an den Verlust von Firmendaten längst gewöhnt? - Die Kosten von Datenverlusten

Das SC Magazine beginnent seinen Artikel zu Get used to it?: Mega breaches mit "Call it shock and yawn." Jede Woche gibt es mehr oder weniger große Einbrüche in Firmen, Kunden-Daten werden entführt, zum Teil auch Firmengeheimnisse, und das Leben geht irgendwie einfach so weiter für die nicht betroffenen CIOs.

Das Ponemon Institut schreibt: "Some organizations shrug their shoulders and see breaches .... as a cost of doing business." Die US-Regierung hat sich mit Office of Personnel Management (OPM) die vertraulichen Unterlagen zu 22 Mio Angestellten abnehmen lassen, inklusive der Unterlagen zu den Sicherheitsüberprüfungen der Geheimnisträger. Viel schlimmer kann es für eine Behörde eigentlich nicht kommen, aber das Leben geht immer so weiter - da wird mal sein Chief Information Officer oder Chief Security Officer gefeuert, aber eigentlich passiert sonst nicht viel. Eine Lösung ist nicht in Sicht. Dieser Vorfall ist ein Beispiel für den Datendiebstahl zu Spionagezwecken, vermutlich hat sich ein Geheimdienst diese Unterlagen gesichert.

Aber heute sind wir alle davon bedroht, nicht nur die Geheimnisträger: Bruce Schneier hat in einem etwas früheren Artikel im Atlantic geschrieben "The Meanest Email You Ever Wrote, Searchable on the Internet: In the age of cloud computing, everyone is vulnerable."

Dabei ging es ihm hauptsächlich um Daten in der Cloud, aber ob unsere Daten bei der GIS (der österreichischen Firma für den Einzug der TV-Gebühren, bei einer Krankenkasse, bei einem Mobilfunkbetreiber, einem Automobilclub, bei einem Internetprovider, bei einer Bank oder bei einem Verkehrsbetrieb verloren gehen, das macht letztendlich keinen so großen Unterschied. Bruce Schneier nennt es Organizational doxing — stealing data from an organization's network and indiscriminately dumping it all on the Internet. Ziel ist entweder Erpressung oder einfach nur der Firma oder der Person zu schaden.

Bankennetze scheinen nicht viel sicherer zu sein: JPMorgan hatte über mehrere Monate ungeladene Gäste im internen Netz. Die Daten von 80 Mio US-Haushalten wurden gestohlen, die USA hat ingesamt nur ca. 115 Mio Haushalte, das ist ein guter Anteil. Und das ist keine Einzelfall: Die Angreifer waren bei mindestens 10 Banken in den internen Netzen. An anderer Stelle mehr zum JPMorgan-Fall (in 2015 gibt es Anklagen gegen die 3 Täter, eine wilde Geschichte tut sich auf, viel größer als eine einzelne Bank).

Ergebnis der vielen Datenverluste ist heute (2015): Die Daten ALLER US-Bürger sind heute auf dem schwarzen Markt erhältlich, Europa liegt noch ein bisschen hinterher, aber ich fürchte, wir könnten bald nachziehen.

Meine Theorie zum Volkswagen Betrug

Management hat sich weit aus dem Fenster gelehnt: wir knacken den Dieselmarkt in den USA mit sauberer Technologie. Die Techniker berichten, dass sie das einfach nicht hinbekommen: entweder sind die Motoren sauber, aber lahm, oder kräftig und schmutzig. Der Boss sagt: "Ich will dass das Problem gelöst wird, das erwarte ich von euch, Details interessieren mich nicht. Ich will nicht hören, warum es nicht geht, ich will hören dass ihr es geschaft habt". Die Techniker denken lange nach, bis einer letztendlich auf die schnelle Lösung kommt, wir bauen (nur schnell bis wir die wirkliche Lösung haben) einen Test-Modus ein. Der Chef ist sehr zufrieden, er kann sein Versprechen, den USA Diesel-Markt zu knacken einhalten und freut sich über seinen dicken Bonus. Details möchte er lieber nicht wissen.

Die Techniker hatten fest vor, dass das wirkliche Problem gelöst wird und die Mogelei so schnell wie möglich wieder ausgebaut wird. Aber das mit der Lösung klappt nicht und jetzt taucht das Problem auch in anderen Märkten auf. Der USA-Chef prahlt "Meine Techniker haben das Problem gelöst". Niemand will Details wissen. Dann wird der lokale und temporäre dirty Fix zur globalen und permanenten Lösung (wenn so lange niemand drauf gekommen ist, dann wird das doch auch noch länger gut gehen). Jemand "steckt" das Problem Audit/Revision. Die tragen das Problem weiter oben vor, aber dort will man das alles nicht hören, der Erfolg soll nicht kaputt gemacht werden: "das nehmen wir aber jetzt mal nicht ins Protokoll".

Nun gibt es für VW 7 oder mehr Milliarden Euro Schaden, aber die Manager haben sicher ihren Bonus längst im Trockenen und sitzen auch bestimmt nicht mehr auf diesen Positionen, nach so viel Erfolg.

Warum soll das im Automobilbau anders sein als in der IT: Auch bei uns gibt es den Wunsch nach dem schnellen dirty Fix ("schnell eine weitgehende Firewall-Freischaltung damit es beim Go-Live kein Problem gibt, wir können ja später immer noch klären, warum es mit den korrekten Einstellungen nicht funktioniert". Wenn da der CISO nicht ganz strikt ist und eine Befristung gleich in die Firewall-Regel einbaut, so bleiben schnelle Fixes ewig erhalten und werden zum Produktionsstandard.

Ein Problem scheint zu sein, dass die Kosten die Firmen nach solchen massiven Datenverlusten haben, angeblich oft gar nicht so schlimm sind und dass eine gute Sicherheit unter Umständen teurer sein kann. Dann nimmt die Firma eben gewisse Risiken in Kauf (so wie auch VW vermutlich geglaubt hat, dass sie mit den Mogeleien durchkommen).

Es folgen jetzt 3 Beispiele aus dem Artikel Data breaches may cost less than the security to prevent them.

Daher gähnt der eine oder andere CIO oder CISO wenn er hört, dass die Konkurrenz mal wieder ordentlich Daten verloren hat (wenn seine Firma betroffen ist, so gähnt er nicht, denn er ist es vermutlich, der geopfert werden wird).

Das heißt, die Schäden schrecken nicht wirklich ab, jeder glaubt, dass seine Firma nicht betroffen sein wird, es gibt ja noch genügend andere Opfer. Ohne Gesetze die ernsthafte Strafen für den Verlust von Kundendaten verhängen rechnet sich Sicherheit für die Firmen nur begrenzt. Die Geschichte vom Reputationsschaden klingt zwar plausibel, aber JPMorgan hat das wohl alles nicht so viel geschadet. Letztendlich vergessen Kunden sehr schnell.

Umfangreiche Unterlagen zu Schäden durch Datenverluste (auch mit ein paar Beispielen bei denen fehlende Sicherheit zum Konkurz geführt hat): Cost of a Data Breach: How Harmful Can a Data Breach Be?.
 



01.03.2015 - Spielt die NSA in der gleichen Liga wie der Rest der Sicherheitsexperten?

Im Blog thinkst wird die berechtigte Frage gestellt: If the NSA has been hacking everything, how has nobody seen them coming?. Die Antwort, die dort versucht wird, ist leider für alle, deren Aufgabe der Schutz der IT-Infrastruktur von Firmen und Organisationen ist, ziemlich ernüchternd, bzw. auch erschütternd.

Die kurze Zusammenfassung der Antwort ist, dass die NSA in der Profiliga spielt und dort (vermutlich) (derzeit) der einzige Spieler ist und wir anderen (fast) alle in der Amateurliga. Mit wir alle sind auch alle Sicherheitsfirmen und Anbieter von Sicherheitssoftware wie Kaspersky, RSA, Trend Micro, etc. gemeint. Nach allem was wir jetzt in den Snowden-Papieren lesen hat die NSA einen sehr großen Teil der weltweiten Kommuikationsstruktur unter ihrer Kontrolle, unterwandert viele große Organisationen (nicht nur Belgacom und Gemalto) und kann Daten beliebig stehlen ohne dass der Verdacht auf die NSA fällt. Ihrem Ziel der "global network dominance" sind die USA ziemlich nahe gekommen.

Konkret zur Frage, warum es niemand gemerkt hat ist ihre erste (von 6) Antworten: Weil die Mitarbeiter und Ex-Mitarbeiter (mit der Ausnahme von Edward Snowden) perfekt schweigen können. Die zweite Antwort ist: Weil die NSA ihre Angriffe perfekt versteckt. Dazu gehört zum Beispiel der Trick "4th party collection". Dabei unterwandern sie die Server von anderen Diensten oder Cyberkriminellen und ziehen die Daten ab, die dort gesammelt wurden. Wenn dann Forensiker die bestohlene Organisation untersuchen, so finden sie nur Spuren, die auf den originären Angreifer hindeuten und merken nicht, dass die NSA die Daten auch hat.

Aus einer NSA Präsentation: Die NSA exfiltriert Daten, indem sie diese durch die active implants beim "Opfer" "irgendwohin" sendet (ein Ziel das nicht zur NSA zurückgeführt werden kann) und diese Daten dann auf dem Weg durch einen sog. passive collector unauffällig abgreift

Jetzt mache ich gleich einen Sprung zur vierten Antwort. Hier wird gefragt, warum die bestohlenen Organisationen nicht gemerkt haben, dass ihre Daten auf dem Weg zur NSA sind. Der Trick der hier angwendet wird läuft bei der NSA unter FASHIONCLEFT. Dies nützt aus, dass die NSA einen so großen Teil der weltweiten Datenströme abgreifen kann, dass es egal ist, wohin die Daten wandern, auf dem Weg dorthin kann die NSA die Daten unbemerkt abzweigen (siehe Grafik rechts). Wenn die Forensiker das Opfers dann den Verkehr des Zielservers untersuchen, so gibt es keine NSA-Zugriffe auf diesen Server, die Daten waren längst auf dem Weg gestohlen worden.

Weiter mit der zweiten Antwort: Dadurch dass die NSA in so vielen internen Netzen präsent ist, kann sie ihre Angriffe aus jedem Land erfolgen lassen. Damit sind Zuordnungen von Angriffen zu chinesischen Angreifern möglicherweise in Wirklichkeit von der NSA, das Problem der Attribution ist kaum lösbar. Der andere Trick den die NSA anwendet um ihre Aktivitäten zu verschleiern ist der Einsatz (oder die Mitbenutzung) von Botnets. Wie gut die NSA darin ist, fremde Botnetze zu übernehmen haben ja die veröffentlichten Übernahmen von Cybercrime-Botnetzen gezeigt. Die Botnetzübernahme läuft unter DEFIANTWARRIOR.

Die dritte Antwort ist: Wir alle schauen auf dem falschen Level und sehen daher die Infektionen nicht. Low-level code heißt bei den meisten Sicherheitsexperten und den Anbietern von Schutzsoftware wie Malware-Scannern normalerweise Maschinencode. Aber die NSA geht noch einen großen Schritt tiefer, nämlich zur Firmware (wie ich weiter unten detailliert beschreibe). Keine der Schutzsoftware schaut, ob sich beim BIOS oder der Firmware von Netzwerkkarten oder Magnetplatten was verändert hat. Wir alle, auch die Experten sind blind für die Angriffe der NSA auf diesem Niveau.

Die fünfte Antwort ist: Ihre Angriffswerkzeuge sind so viel besser als alle anderen und ihr Budget, z.B. für Zero Days und ihre Manpower-Resourcen sind so viel höher, dass sie dadurch quasi unsichtbar werden. Das ist, als ob eine Amateurmanschaft gegen eine Weltmeistermanschaft spielt. Und die Weltmeistermanschaft trainiert seit Jahrtausendbeginn. Die anderen Cyberkrieger haben gut 15 Jahre aufzuholen.

Viel mehr zur NSA an anderer Stelle.

Die sechste Antwort ist: Viele der Experten die auf den Kongressen ihre klugen Vorträge halten haben entweder keine Ahnung von den Möglichkeiten der NSA oder (noch schlimmer), haben gute Gründe, die Fähigkeiten unterzubewerten und ihre (zumeist wirkungslosen) Werkzeuge gegen Malware und APTs zu verkaufen. Das heißt, alle bei denen die Bedrohungsanalyse "Angriff durch Nation-State Actor" einschließt (und das sind durchaus auch Firmen die Know-How haben bei der Industriespionage lohnt) müssen ihre Anstrengungen deutlich erhöhen und Werkzeuge für Angriffe auf dem Niveau der NSA werden derzeit (noch) nicht wirklich angeboten.
 



22.02.2015 - Oft übersehenes Angriffsobjekt: Firmware, z.B. BIOS

Die Firmware in Computern, aber auch allen anderen elektronischen Geräten wird immer mehr zu einem Angriffsziel. Unter Firmware versteht man Software, die in elektronische Geräte eingebettet ist. Sie ist zumeist in einem Flash-Speicher, einem EPROM, EEPROM oder ROM gespeichert und durch den Anwender nicht oder nur mit speziellen Mitteln bzw. Funktionen austauschbar. Jedes elektronische, bzw. heute oft sogar elektrische Geräte haben so etwas. Im Laptop oder Desktop (d.h. auf dem Motherboard) selbst heißt ist dies z.B. das sog. BIOS (bzw. heute UEFI). Aber auch jede Magnetplatte, jeder USB-Stick, die Soundkarte, die Graphikkarte, Drucker, jede Digitalkamera, jede moderne Waschmaschine (egal ob sie "im Netz ist" oder nicht), WLAN-Router, Fernbedienung, Musikanlagen, Fernseher und natürlich alle "Smart Devices" und alles was zum Internet of Things gehört, haben so etwas. Und natürlich alle modernen Autos. Zum Teil wird diese Software auch "embedded system" genannt.

Und diese Software ist nicht nur angreifbar, sondern leider auch zumeist nur unzureichend geschützt. Angreifbar setzt voraus, dass das Gerät für den Angreifer erreichbar ist, entweder bereits in der Produktion beim Hersteller (wie bei den SIM-Karten, siehe unten), auf dem Transportweg (wie dies die NSA tut) oder dann beim Kunden. Der Angriff beim Kunden setzt voraus, dass das Gerät "im Netz" zu finden ist, aber das trifft ja auf mehr und mehr Geräte zu. Für Fernseher wird es langsam selbstverständlich (siehe Samsung), für "smart devices" ebenso, und auch Autos müssen jetzt auch bald online sein (und an anderer Stelle beschreibe ich die Verwundbarkeiten in der Automobiltechnik.

2015 wird bekannt, dass die NSA zusätzlich zur Kontrolle über Router und andere Netzkomponenten auch die Firmware in allen gängigen Magnetplatten überschreiben kann und durch eine Version ersetzen, die ihnen einen Speicherbereich bietet, der für das Betriebssystem und die Virenscanner nicht sichtbar ist. Außerdem haben sie sich die Schlüssel von vielen (oder allen?) SIM-Karten der Handys und Smartphones besorgt.

Das sind alles Angriffe gegen die Firmware. Ein Problem dabei ist, dass Firmware grundsätzlich schwer gegen Zugriffe zu schützen ist und dass es für Anti-Malware Programme schwierig ist, zu prüfen, ob noch eine korrekte Version davon vorliegt. Dies macht dieser Artikel Sichert Firmware endlich nachprüfbar ab! zum Thema. Die Verwundbarkeit des BIOS/UEFI ist schon seit langem ein Thema. Und die NSA hat einen Trojaner, der im BIOS eines Mainboards steckt und das RAM auslesen kann.

Aber die NSA sind nicht die einzigen, die solche Angriffe durchführen, die anderen Geheimdienste sind vermutlich nicht viel schlechter und auch die Cyberkriminellen können Firmware angreifen denn viele dieser Angriffe sind mittlerweile Allgemeinwissen. Z.B. BadUSB, BadBOIS, Fritzbox, Millionen von Home Routern und Kabelmodems.

Unter dem Stichwort Internet of Things beschreibe ich die Problematik für Home Automation Geräte (Alarmanlage, Kühlung, Heizung, Licht, Kühlschrank, Waschmaschine, alles übers Smartphone steuerbar). Die Firmware dieser Geräte ist sinnvollerweise übers Netz zu aktualisieren (falls nicht, so könnten Fehler und Verwundbarkeiten nur durch eine Besuch des Technikers behoben werden, das ist zu teuer). Diese Aktualisierungen sind üblicherweise sehr schlecht oder gar nicht abgesichert. So haben es Sicherheitsexperten geschafft, durch Abhören dieser Datenverbindung (im eigenen Heim-Netz, d.h. sehr einfach) das zentrale Passwort für diese Aktualisierungen zu bekommen, dadurch in das Netz des Herstellers zu gelangen, dort die Firmware aller Geräte zu ändern so dass der Angreifer alle Geräte dieses Typs weltweit unter Kontrolle bringen kann. Wie ideal z.B. für Fernseher, die eh darauf programmiert sind, auf die Worte im Wohnzimmer zu lauschen, ein Traum für alle Spionageorganisationen.
 


Nov.2015:
Auch der 2. Pariser Anschlag war möglich obwohl die Behörden in Frankreich so viel Überwachungsmöglichkeiten haben wie sonst in Europa nur der GCHQ in Großbritannien.

Und auch ein Verbot von Kryptographie hätte absolut nichts gebracht, denn die Angreifer haben unverschlüsselt kommuniziert: Paris police find phone with unencrypted SMS saying “Let’s go, we’re starting”.

Hier noch ein Link zu weiteren Artikeln die zeigen, dass der Ruf nach einem Verschüsselungsverbot der Versuch war, aus dem Anschlag noch etwas politisches Kleingeld zu schlagen: Police Find Paris Attackers Coordinated Via Unencrypted SMS.

Auch das Gerücht, dass über verschlüsselte Playstationverbindungen kommuniziert wurde war falsch.

August 2016 schon wieder eine Initiative zum Thema Verschlüsselung und Hintertüren, diesmal aus Frankreich. Und das obwohl beim Planen der Pariser Attacken die Attentäter keine Verschlüsselung genutzt wurde, obwohl es den Attentätern befohlen wurde. Und auch der LKW-Fahrer in Nizza kommunizierte unverschlüsselt.

 

17.01.2015 - Auch flächendeckende Überwachung kann Terrorismus nicht sicher verhindern

Wie ein dressierter Hund springen viele Politiker nach dem Attentat auf Charlie Hebdo und den Supermarkt in Porte de Vincennes in Paris auf und verlangen nach viel mehr Überwachung, z.B. David Cameron, aber auch Angela Merkel. Die Attentate haben aber, ganz im Gegenteil, gezeigt, dass die Überwachung wirkungslos war. Die Franzosen sind nämlich sehr gut im Überwachen: Die Vorratsdatenspeicherung schreibt 12 Monate vor und Orange übergibt in Frankreich alle seine Daten freiwillig und vollständig und das seit 30 Jahren.

Denn (wie der Artikel Mass surveillance not effective for finding terrorists sehr gut erklärt), hat Frankreich eine fast vollständige Überwachung und die Polizei kannte die Attentäter seit langer Zeit sehr gut. Trotzdem hat diese Kenntnis die Attentate nicht verhindert, denn es gibt einfach nicht genug Polizisten um alle potentiell verdächtigen Bürger persönlich zu überwachen. Aber die Sicherheitsbehörden fordern bei jedem Anschlag mehr Überwachung und wenn das den nächsten Anschlag auch nicht verhindert, so ist dies für sie der Beweis, dass noch mehr Daten benötigt werden.

Einige Hintergrundpapiere aus der Geschichte der Cryptowars

Ein ausführliches Papier zu den ersten Cypto Wars (42 Seiten): DOOMED TO REPEAT HISTORY? LESSONS FROM THE CRYPTO WARS OF THE 1990s

Aus dem Jahr 1997: The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption (20 Seiten)

Der Artikel verlinkt auf einen anderen Artikel Why Does the NSA Engage in Mass Surveillance of Americans When It’s Statistically Impossible for Such Spying to Detect Terrorists? in dem die Mathematik dahinter erkärt wird. Selbst wenn ein absolut geniales Computersystem es schaffen würde, die False-Positive Rate (d.h. die fälschlich verdächtigten) auf 1 von 1000 zu bringen, so hätte Großbritannien 60 000 Terrorverdächtige und Deutschland 80 000. Was sollte die Polizei mit dieser Liste der Terrorverdächtigten denn anfangen? Wie gesagt, die Pariser Attentäter waren ja als sehr verdächtig auf der Liste. Dieser lange NY Times Artikel From Amateur to Ruthless Jihadist in France beschreibt, wie genau die Attentäter der Polizei über viele Jahre bekannt waren, sie hatten sein Telefonat überwacht, viel mehr geht eigentlich nicht als Überwachung.

Ein anderes Beispiel, das jetzt in der NY Times ausführlich dokumentiert wurde ist der Anschlag im Mumbai 2008. Der indische, der britische und der US-Geheimdienst hatten über längere Zeit die Vorbereitungen auf den Anschlag mitgeschnitten und sogar analysiert, ohne jedoch zu den richtigen Schlüssen zu kommen: Piles of Spy Data, but an Uncompleted Puzzle. Zitat: ". . . a lesson that emerged from the tragedy in Mumbai was that “computer traffic only tells you so much. It’s only a thin slice.” The key is the analysis, he said, and “we didn’t have it.”

Ähnlich auch Gert Rene Polli Polli, der ehemalige Leiter des Bundesamts für Verfassungsschutz und Terrorismusbekämpfung in Österreich: “Gesamte Telekommunikation in Österreich wird gespeichert”. Zitat: "Die Angst vor Terrorismus bleibt also wohl ein starkes Triebmittel in der politischen Debatte. Sicherheitsbehörden und Nachrichtendienste fachen diese Diskussion ab, da sie diese Werkzeuge haben wollen."

2015: Statement von Apples Tim Cook zu Privatsphäre versus Sicherheit

Tim Cook von Apple hält eine flammende Rede für mehr Verschlsüsselung, gegen Backdoors der Regierungen und gegen den Deal "kostenlose Dienstleistungen gegen die Daten der Kunden: Apple’s Tim Cook Delivers Blistering Speech On Encryption, Privacy.

Jahreswechsel auf 2016: NewScientist spekuliert, wie der derzeitig Crypto War ausgehen könnte: How 2016’s war on encryption will change your way of life. Die Optionen reichen
    von:
Die Regierungen der USA und UK setzen sich durch und Verschlüsseln wird illegal, aber das betrifft nur die ehrlichen Bürger, es entsteht ein Schwarzmarkt, der illegale Untergrund verschlüsselt weiter
    bis:
Die Bürger setzen sich durch und die Regierungen ziehen ihre Gesetze zurück.

Feb. 2016: Studie von Harvard: Strafverfolger werden nicht "blind" durch Verschlüsselung.

 

Der Schrei nach einem Verbot von sicherer Verschlüsselung - das "Going Dark Problem" oder der neue Crypto War

Auf einmal stürzen, nach einer Vorlage durch David Cameron, alle Sicherheitsbehörden der westlichen Welt auf die Gelegenheit und versteigen sich in Forderungen nach einem Verbot der sicheren Verschlüsselung, bzw. verlangen, dass alle Schlüssel staatlich hinterlegt werden müssen. So will Cameron z.B. Snapchat and WhatsApp als zu (abhör-)sicher verbieten. Auch EU's counter-terrorism coordinator Gilles de Kerchove stimmt ihm zu und President Obama auch. Die Sicherheitsbehörden behaupten, sonst "ständen sie im Dunklen", das "Going Dark Problem".

Juli 2015 hat eine Gruppe von sehr renomierten Wissenschaftlern im Bereich IT-Sicherheit ein gemeinsames Statement verfasst um zu erklären, warum ein Gesetz das starke Verschlüsselung vorschreibt oder das Hinterlegen von Schlüsseln eine sehr dumme Idee ist:
Keys Under Doormats: Mandating insecurity by requiring government access to all data and communications.

Hier eine andere Position zum Crypto War Thema (Anfang 2016): The second crypto war is not about crypto. Seine Punkte sind, dass die technische Argumentation bezüglich neuer Schwachstellen vom eigentlichen Thema ablenkt, nämlich ob die Transparenz der Bürgerkommunikation eigentlich ethisch und politisch zu rechtfertigen ist und wie mögliche gezielte Zugriffe durch Strafverfolgungsbehörden ermöglicht und reglementiert werden können.

Der Science Fiction Autor Cory Doctorov hat sich dazu sehr eloquent geäußert: What David Cameron just proposed would endanger every Briton and destroy the IT industry. Cory bezieht sich auf eine Forderung, dass es keine Software geben darf, die nicht durch die Behörden abgehört werden kann. D.h. jede Software die verschlüsselt, braucht eine Backdoor.

Cory zählt auf, was dies bedeuten würde. Da ist erstmal die Tatsache, dass diese Hintertüren nicht geheim bleiben würden. Wenn die Polizei eines Landes zugreifen kann, so kann auch bald die Unterwelt (er bringt Beispiele dafür im Artikel). Und dann erklärt er, was diese Forderung technisch bedeuten würde.

Die Forderung wäre nur wirksam wenn verhindert werden könnte, dass Engländer sich beliebige Software herunterladen und installieren können. Nur so kann sichergestellt werden, dass alles den UK-Vorschriften entspricht. D.h. Zugriffe zu Firmen die sichere Software anbieten oder zu Software-Repositories wie z.B. App-Shops müssen sicher verhindert werden.

Open Source repositories müssen blockiert werden (dies erfordert eine Kontrolle aller Datenverbindungen wie derzeit in China). Suchmaschinen in Großbritannien dürfen keine entsprechenden Ergebnisse mehr liefern, an der Grenze müssten die Touristen ihre eletronischen Geräte abgeben, weil sie ja sonst verbotene Software ins Land bringen könnten. Apple und Microsoft müssten dazu gebracht werden, sich an diese Regeln zu halten und das Ausführen von allen Programmen zu verhindern, die sicher verschlüsseln, Linux müsste ganz verboten werden.

An anderer Stelle diskutiere ich die verwandte Frage nach der Macht im Internet - liegt die bei den Staaten oder können sich die Bürger hier gegen den Staat organisieren?

Ähnliche Themen werden auch im "ask me anything" auf Reddit mit Snowden, Poitras und Greenwald diskutiert.

Bzw., wie Cory Doctorow in The coming war on general-purpose computing erklärt: General-Purpose Computing, d.h. Computer die man als Endbenutzer selbst programmieren kann, müssten verboten werden, denn diese stellen ein Problem für staatliche Kontrollöre dar. Doctorow startet mit der Geschichte der Bemühungen das Kopieren von Musik und Filmen zu verbieten und technisch zu verhindern, kommt dann aber bald darauf, dass es dafür keine wirkliche Lösung geben kann. Der Grund ist, dass der General-Purpose Computer eine Turing-Maschine ist und jede andere Maschine simulieren kann. D.h. es ist nicht wirklich möglich, einen solchen Computer in seiner Funktionalität einzuschränken, es sei denn, dass General-Purpose Computer grundsätzlich verboten werden - d.h. wir dürften dann nur noch sog. Appliances kaufen, die eine feste, durch den Staat freigegebene (und manipulierte) Funktionalität haben, wie dies ja beim Internet of Things üblicherweise der Fall ist.

Bruce Schneier äußert sich im Juli 2015 weil in den USA immer stärker gefordert wird, dass ALLE Software die in den USA produziert wird, Backdoors (d.h. Schlüssel die bei den Behörden hinterlegt sind) enthalten müssen. Die Behörden (z.B. FBI) führen aus, dass die IS-Rekruteure verschlüsselte Kommunikation verwenden, von denen die US-Behörden zwar die Meta-Daten bekommen (d.h. wer mit wem), aber nicht die Inhalte. Schneier führt korrekt aus, dass ein Verbot von sicherer Verschlüsselung für US-Firmen allein nicht ausreicht, so lange es irgendwo auf der Welt einen Anbieter oder ein Open Source Projekt gibt, das sichere, nicht-abhörbare Kommunikation erlaubt: Back Doors Won't Solve the Going Dark Problem.

Ähnlich kritisch sieht auch der Standard diese Vorstöße der Politik in Richtung Verbot von Verschlüsselung: Staatliche Hintertüren: Zwölf Antworten zum Verschlüsselungsverbot.

Tatsache bleibt, dass die Überwachung wenn es um Kampf gegen Terrorismus geht, kläglich versagt hat, 1 einziger Fall kann genannt werden bei dem ein US-Taxifahrer dadurch erwischt wurde, weil er einige 1000 Dollar an einem jihadistische Organisation überwiesen hat. Im Gegensatz zu den "Going Dark"-Rufen haben Ermittlungsbehörden durch die neuen Technologien und die Daten, die die Bürger selbst posten oder auf die sie legal mit Richterbeschluss herankommen, "goldene Zeiten".

Cory Doctorow legt in einem anderen Artikel Technology should be used to create social mobility – not to spy on citizens dass es bei der Überwachung in Wirklichkeit darum geht, soziale Unruhen zu verhindern. Doctorow bezieht sich auf Thomas Piketty und sein Buch Capital in the 21st Century, in dem er erklärt, dass je größer die soziale Ungleichheit ist, desto größer müssen die staatlichen Aktivitäten sein, um die Bürger im Schach zu halten.

Handys sind dabei ein "Gottesgeschenk". Sie vermitteln dem Bürger ein Gefühl von Kontrolle und Lebensqualität, anderseits ermöglichen sie die freiwillige Überwachung der Bürger, weil ohne Tracking der Handy-Standorte keine Gespräche möglich sind. Und wenn die Standorte aller Menschen jederzeit bekannt sind, entsteht eine vollkommene Transparenz, denn die Standorte (über den Tag verteilt und über längere Zeit) verraten unglaublich viel über jeden von uns (außer über Terroristen, die sich entsprechend vorsichtig verhalten können). Auch da wird wieder deutlich, dass die Überwachung nicht gegen die Terroristen, sondern für die Kontrolle der Bürger eingesetzt werden soll.

Es bringt auch nichts, die einzelnen Regierungen herauszupicken (wie Bruce Schneier in seinem neuen Buch schreibt). Alle Spionagebehörden arbeiten mehr oder weniger eng zusammen. Die gibt es als Kerngruppe auf der angelsächsischen Seite die "5 eyes": US, UK, Kanada, Australien und Neuseeland. Erweitert wird dies zu den "9 eyes" durch Dänemark, Frankreich, Niederlande und Norwegen. Wiederum erweitert zu "14 eyes" mit Deutschland, Belgien, Italien, Spanien und Schweden. Bilaterale Zusammenarbeiten gibt es mit Indien und Saudi Arabien und manchmal (z.B. zu den olympischen Spielen in Sotchi) auch mit Russland. Bruce Schneier schreibt:

Ich fürchte, er hat recht. Jeder Staat wird mit fast jedem anderen Staat die Daten von "unliebsamen" und "unbequemen" Bürgern austauschen.

 

Die FREAK-Verwundbarkeit - Eine direkte Folge des 1. Crypto Wars (siehe ** weiter unten)

Der "FREAK" -- "Factoring Attack on RSA-EXPORT Keys" Angriff funktioniert, weil in 1990 Netscape, bei der Erfindung von SSL, von der US-Regierung gezwungen wurde, für die Nutzung des Web-Browsers außerhalb der USA eine so schwache Verschlüsselung zu implementieren, dass die NSA (und die anderen Geheimdienste) die HTTPS Verbindungen knacken können.

Damit die Webserver für US-Benutzer starke Verschlüsselung anbieten können, aber für Nicht-US-Benutzer nur die schwache funktioniert, wurde in die Webserver eingebaut, dass die starke nur aktiviert wird, wenn der Browser darauf besteht, was nur die US-Browser getan haben.

Das hatte sich zwischenzeitlich mit dem Ende des 1. Crypto Wars längst erledigt, aber die Webserver haben bis 2015 weiter die Möglichkeit angeboten, für einen Browser der behauptet, keine starke Verschlüsselung zu können, auch auf die schwache umzusteigen. Ein Angreifer (staatlich oder kriminell) kann daher, wenn er den Datenverkehr manipulieren kann ("Man-in-the-Middle") dieses Kommando an den Webserver senden, mit dem Ergebnis dass die Verbindung abgehört werden kann. Der Benutzer bekommt davon nichts mit.

Dieser Trick kam Anfang 2015 an die Öffentlichkeit, es besteht aber der Verdacht, dass er zwischenzeitlich sehr wohl ausgenutzt wurde.

Die Geschichte zeigt ganz deutlich, dass jede Schwächung die für die Geheimdienste und die Polizei in die Internetsicherheit eingebaut wird, irgendwann den Bürgern mal auf den Kopf fällt - die Kriminellen nutzen die gleichen Schwächen wie die Regierungen auch.

 

Die Geschichte der Crypto Wars

Als First Crypto War werden die Bemühungen der US-Behörden bezeichnet, den Export von Verschlüsselungssoftware (oder -hardware) dem Handel mit Waffen gleichzusetzen. Die englische Ausgabe der Wikipedia schreibt in einem langen Artikel zu Crypto Wars dass bereits in den frühen Tagen des Kalten Krieges der Export von vielen Technologien, z.B. auch bestimmte Software die als strategisch betrachtet wurde, von einer Organisation mit dem Namen CoCom genehmoigt wurden musste: "technology associated only with weapons of war ("munitions") and dual use technology, which also had commercial applications". Ab den 60igern wurde jedoch Verschlüsselung von den Banken für Geldüberweisungen eingesetzt und die Software mit Algorithmen wie DES musste bei jedem Export in den Ostblock genehmigt werden. "IBM originally planned to have a key size of 64 bits; NSA lobbied for a key size of 48 bits. The end compromise were a key size of 56 bits." Bereits 1997 wurde dies von vielen als viel zu unsicher betrachtet, die Snowden Dokumente zeigen, dass die NSA keinerlei Problem damit hatte.

Um für kommerzielle Anwendungen Verschlüsselung zu ermöglichen, ohne die NSA einzuschränken, wollte die US-Regierung in den 90igern den Clipper Chip durchsetzen. Dieser Chip hätte eine "Backdoor" enthalten, die es den US-Behörden erlaubt hätte, alle Daten zu entschlüsseln. Dies war aber international nicht durchzusetzen und in 1996 wurde das Programm offiziell eingestellt.

Ebenso zu den Crypto Wars werden die Aktivitäten der NSA in den 80igern verstanden, die Verschlüsselungen der drahtlosen Telefonie A5/1 bewusst unsicher zu machen: "Security researcher Ross Anderson reported in 1994 that "there was a terrific row between the NATO signal intelligence agencies in the mid-1980s over whether GSM encryption should be strong or not. The Germans said it should be, as they shared a long border with the Warsaw Pact; but the other countries didn't feel this way, and the algorithm as now fielded is a French design." 128 bit wären vernünftig gewesen, "The British proposed a key length of 48 bits, while the West Germans wanted stronger encryption to protect against East German spying, so the compromise became a key length of 56 bits." Und diese unsichere "Verschlüsselung" benutzen wir heute immer noch.

Zum Thema PGP:
Natürlich ist auch die Position richtig, die hier 2016 in einem Vortrag präsentiert wird: Wer explizite Verschlüsselungen wie PGP nutzt ist für die Abhörer deutlich sichtbar, auch wenn sie nicht an die Inhalte kommen. Wer anderseits PGP nicht nutzt um nicht aufzufallen, der hat sich schon an die Überwachungsgesellschaft angepasst, die Überwacher sind ihrem Ziel wieder einen Schritt näher.

Parallel dazu kam es in den Anfangen der PC-Zeit zum ersten Eklat durch Phil Zimmermanns PGP (Pretty Good Privacy), die 1991 im beginnenden Internet weltweit zur Verfügung stand. Die Regierung versuchte das zu verhindern (und 1993 wurde Zimmermann wegen Verstoß gegen die Export-Restriktionen für Munition angeklagt. Die Strafen hätten erheblich sein können, aber nach einigen Jahren wurde sein Fall wieder eingestellt).

Mit dem Netscape Web-Browser und seiner SSL-Technologie für vertrauliche Webzugriffe, z.B. zu Banken, wurde 128-bit RC4 eingesetzt. Die US-Regierung zwang Netscape zu einer „international edition“ mit nur 40-bit Verschlüsselung (um eine leichteres Entschlüsseln durch die NSA zu ermöglichen). Auch Lotus Notes war davon betroffen. Erst 1996 wurde Software Bill Clinton von den Regeln für Waffenhandel ausgenommen.

Die NSA-Aktivitäten rund um das BULLRUN Programm nach der Jahrtausendwende dienen nicht nur dazu, Schwächen in bestehenden Algorithmen zu finden und auszunutzen, sondern auch, in den Standardisierungsgremien wie NIST ganz bewusst Schwächen in die modernen Algorithmen einzubauen. Ein Beispiel ist der Dual_EC_DRBG Zufallszahlengenerator. Das Schwächen der Algorithmen ist weitgehend gelungen und wird zumeist als Second Crypto War bezeichnet.

Auch der Diebstahl der Schlüssel auf den SIM-Karten der Handys bei Gemalto gehört in die Kategorie Crypto Wars. Es wird vermutet, dass nicht nur bei Gemalto gestohlen wurde und dass die NSA sind großflächig die Schlüssel für Handyverschlüsselung besorgt hat.

Ein Artikel in techrepublic macht darauf aufmerksam, dass das US-Programm gegen starke Verschlüsselung für alle Bullrun und das entsprechende britische Programm Edgehill heißen. Beides sind Bürgerkriege. Das sind gute Analogien, denn auch bei diesem Aktivitäten geht es um einen Krieg gegen die Privatsphäre der Bürger und damit die Kontrolle über die Bürger. Denn es geht hier nicht wie bei den Aktivitäten von Turing im 2. Weltkrieg darum, einen Krieg gegen einen anderen Staat zu gewinnen, sondern alles über jeden Bürger zu erfahren.
 


 


11.01.2015 - Ausblick 2015 und Rückblick 2014 (ergänzt)

Anlass für diesen Beitrag sind die vielen Rück- und Ausblicke. Die 2 hilfreichsten fand ich zum Einen The Biggest Security Threats We’ll Face in 2015 von Kim Zetter. Der Beitrag ist aber stark auf die USA konzentriert, daher werde ich alle Punkte aus meiner europäischen Perspektive kommentieren. Der andere sehr gute Rück- und Ausblick kommt von der europäischen ENISA: ENISA draws the Cyber Threat Landscape 2014: 15 top cyber threats, cyber threat agents, cyber-attack methods and threat trends for emerging technology areas (mit über 400 Links zu Orginalquellen).

Als positive Entwicklungen in 2014 führt die ENISA an:

Negativ sehen sie folgende Trends:


 

Nation State Attacks

Das ist nicht ganz neu, es wird aber immer deutlicher, wie offensiv das Feld bereits beackert wird. STUXNET ist mittlerweile an alter Hut, die Angriffe auf Belgacom waren bereits in 2013 bekannt, aber kamen mit der Aufdeckung von REGIN mehr in den Blick der Öffentlichkeit. Es wurde deutlicher, dass die Software genutzt wurde, um tief in die Netze eines verbündeten Landes einzudringen und auch die Handy-Base Stations zu übernehmen. Ein in Friedenszeiten durchaus ungewöhnlicher Vorgang.

Beim Sony-Angriff ist es noch nicht klar, ob es wirklich ein Nation State Attack war, aber man kann das nicht ausschließen. Und wer das deutsche Stahlwerk sabotiert hat, ist noch weit offen. Aber auf Grund des detaillierten Fachwissens sieht es doch stark nach Profis aus. In 2014 wurde ein anderer älterer Vorfall bekannt: 2008 explodierte eine Pipeline in der Türkei und es wird vermutet, dass Angreifer sich über die Verkabelung der externen Videokameras in das interne Netz gehackt haben und dann den Druck manipuliert. Der Verdacht liegt auf Russland, auch wenn kurdische Separatisten offiziell die Verantwortung übernommen haben.

Ich erwarte für 2015 noch einiges auf diesem Gebiet der Cyber-Sabotage. Das angenehme für die Angreifer ist, dass nur bei groben Fehlern der Schuldige klar zugeordnet werden kann und die Möglichkeiten, falsche Spuren zu legen, sind vielfältig.

Extortion (d.h. Erpressung)

Sony ist da jetzt das große Beispiel und es hätte ja auch fast geklappt. Aber mit viel weniger Öffentlichkeit passieren diese Fälle (vermutlich) ständig (und nur wenige kommen in die Presse), z.B. der Erpressungsversuch gegen die Genfer Kantonalbank (BCGE).

Im Privatbereich wächst der sehr lukrative Markt der Ransomware-Angriffe. Das Wachstum ist in Zahl der Fälle und Sophistication, d.h. die infizierten Systeme nutzen zum Teil TOR für eine sichere Kommunikation "nach Hause".
 

Data Destruction

Wieder ist Sony das aktuellste Beispiel: Die Angreifer haben nicht nur alle Daten "entführt" sondern danach "verbrannte Erde" hinterlassen. Sie haben nicht nur die Festplatten systematisch gelöscht, sondern auch die MBRs (die Master Boot Records) und vielleicht auch die Partitionierung der Platten. Bei so einem System ist das Wiederaufsetzen sehr mühsame Handarbeit - BIOS-Einstellungen verstellen, dann von einer geeigneten CD booten (sofern überhaupt ein Laufwerk drin ist) und dann mühsam die Platte wieder mit Strukturen füllen. Wenn die Angreifer sehr gut sind (und ausreichende Vor-Informationen über die Hardware haben), so können sie sogar im BIOS Schaden anrichten und schlimmstenfalls die Rechner ganz zerstören.

Ähnliche Angriffe hat es vorher bereits gegeben: in Süd Korea gegen Banken und Presse und in Saudi Arabien und Iran gegen die Ölindustrie (Bei Aramco wurden auch die Platten gelöscht [bzw. "30,000 of Aramco’s computers were destroyed" - was immer das Aussagen will] und zwar mit der gleichen kommerziellen Software wie im Sony-Fall - bei Aramco wird Iran als Täter diskutiert - siehe Link). Aktualisierung August 2015: The Inside Story Of The Biggest Hack In History. Die Sache war offenbar noch deutlich größer als bisher vermutet: Aramco hat 5 Monate gebraucht bis sie ihre IT wieder voll am Laufen hatten.

Diese tolle interaktive grafische Darstellung (auf die Zeichnung klicken und dann Authentisierung canceln) zeigt wie erfolgreich die Angreifer mittlerweile geworden sind und in welche Größenordnungen die Datenverluste seit 2004 bis 2015 gewachsen sind, mit Background-Info, Quelle: http://www.informationisbeautiful.net

Best of Data Breach in 2013 - die 15 spektakulärsten Fälle


 

Angriffe gegen Banken und Kreditkarten

In den USA sind 2014 vor allem noch viel mehr Kreditkartendaten gestohlen als je zuvor (siehe die Graphik links, wobei das nicht alles Kreditkartenprobleme waren, aber Target [70 Mio Karten], Home Depot [56 Mio Karten], und "massive American business hack" [160 Mio Karten] sind gute Beispiele). Dies wird auch 2015 noch so bleiben, denn erst im Laufe des Jahres wollen die US-Unternehmen auf das EMV-Protokoll für Kreditkarten umsteigen das wir in Europa nutzen (der Chip in der Bankomat- und Kreditkarte - "chip 'n' PIN" im englischen).

Aus Laufen aber auch große Angriffe gegen Banken direkt, z.B. war das interne Netz von JP Morgan im Sommer 2014 ca. 2 Monate vollständig unterwandert. 80 Mio Kunden sind betroffen - wenn man bedenkt, dass die USA nur 115 Mio Haushalte hat, so betraf dies einen großen Teil der US-Bürger. Wer die Täter waren ist vollkommen offen, evtl. steckt hier auch ein Staat dahinter.

Eine neue Klasse von Angriffen gegen Bankomaten sind sog. Blackbox Attacks. Dabei wird die obere Haube des Bankomaten entfernt und damit kommen die Angreifer an den internen Computer - aber noch nicht an das Geld, das ist im unteren Teil, dem Tresor und der ist separat geschützt. Bei den Blackbox Attacks bringen die Angreifer die Geldladen im unteren Teil dazu, ihren Inhalt "auszuspucken", entweder indem sie den Rechner im oberen Teil übernehmen (z.B. von einem mitgebrachten USB-Stick oder CD-ROM starten oder einen eigenen Rechner anschließen, der dann geeignete Kommandos an den Tresor schickt). Dies wird auch "Jackpot-Attack" genannt, weil die Bankomatkarten dann ihr Geld einfach ausspucken.

In Russland haben Angreifer (genannt “Anunak group”) noch eine andere Technik mit großen Erfolg gegen Banken angewendet. Sie sind mittels Infektionen auf den Geräten von Mitarbeitern (gezielte Phishing-Angriffe) in die internen Netz eingedrungen und haben die Software der Bankomatkarten so verändert, dass sie wenn zu bestimmten Uhrzeiten bestimmte Codes an der Tastatur eingegeben werden, eine Kontrolle über die Geldausgabe ermöglichen. Sie verstellen die internen Tabellen: die Geldlade mit den 5000 Rubel-Scheinen wird umkonfiguriert, so dass das System glaubt, dass dort nur 100 Rubel-Scheine drin sind.

Europol hat die europäischen Banken gewarnt, dass Angriffe mittels eingeschleusten Personen für ganz Europa anstehen. Dagegen verblassen die ständigen Phishing Angriffe fast, auch wenn sie für den einzelnen betroffenen Kunden sehr wohl Desaster darstellen. Die Kunden war bis vor einem Jahr relativ sicher, wenn sie mobile TANs (mTAN) verwendeten. Aber den Angreifern gelingt es immer wieder, die Kunden die auf der falschen Banken-Website ihr Passwort eingegeben haben, auch dazu zu überreden, auf dem Smartphone ein Software zu installieren, die den Angreifern die SMS weiterleitet - Game Over für den Kunden, er hat die Kontrolle über das Konto vollständig verloren, die Angreifer ändern natürlich als Erstes mal das Passwort. Oder sie sind noch kecker und rufen beim Kunden an und lassen sich die TAN Codes vorlesen.

Dann gibt es noch eine Klasse von Großangriffen gegen Banken: ATM Cash-Out oder auch Unlimited Operations. Das sind größere logistische Übungen und erfordern viele Teilnehmer. Voraussetzung ist, dass die Angreifer Zugang zu dem Netz einer Bank oder eines Anbieters für Pre-Paid Karten haben. Wenn die Angreifer dort im Netz sind, so wird zu einem bestimmten Zeitpunkt bei vielen Tausend Karten der Wert auf einen sehr hohen Wert gesetzt, das Limit entfernt und der PIN geändert. Sog. "Runner" stehen in vielen Städten der Welt bereit und holen mit diesen Karten Bargeld ab. Bei einem Angriff in 2011 wurden 15 000 Bankomat-Behebungen in 18 Ländern genutzt und 14 Mio $ abgehoben. In 2008 waren es 2100 Bankomaten in 280 Städten im Einsatz, 9 Mio $ der Ertrag. In 2013 wurden bei einem anderen Angriff 45 Mio $ erbeutet. Der Name "Unlimited Operations" kommt daher, dass die Angreifer, da sie ja Zugriff auf die Systeme des Karten-Herausgebers haben, "leere" Karten immer wieder auffüllen können, daher die 45 Mio in 12 Stunden. Die Zeit ist für die Angreifer begrenzt, denn die Buchhaltung der Bank merkt spätestens beim sog. "End-of-Day" dass den Abhebungen keine Einzahlungen gegenüberstehen.


 

Indirekte Angriffe - Third Party Breaches

Darunter versteht man, wenn der Angriff nicht direkt gegen die Zielfirma geführt wird, sondern eine andere Schwachstelle gesucht wird. So wurde ein großes Unternehmen infiltriert, indem die Angreifer in das Netz der Wartungsfirma für die Haustechnik (engl. HVAC) eingedrungen war. Das ist recht typisch, dass die Haustechnikfirmen heute einen Zugang zu ihren Geräten wollen, und wenn das Unternehmen dafür kein separates Netz bereitstellt, so ist dies eine Öffnung so groß wie ein Scheunentor. Auf diese Weise sind die Angreifer zu Target reingekommen.

Der Angriff gegen RSA 2013 war wohl nur eine Vorbereitung um an die Zugangscodes zu kommen, mit denen dann andere Firmen, vor allem regierungsnahe Unternehmen angegriffen wurden. Ihr in diesem Fall wurde unterstellt, dass dies ein Angriff eines anderes Staats war. Der Angriff gegen Lockheed Martin wird mit dem RSA Angriff in Verbindung gebracht.

Weitere Beispiele sind die zahlreichen Einbrüche bei Certificate Authorities die zur Vorbereitung von Angriffen auf andere dienten. Selbst im Fall von Sony nutzten die Angreifer die Kontrolle die sie über die Sony-IT hatten dafür aus, sich Code-Signing Schlüssel zu besorgen mit denen sie jetzt die Sicherheitsmaßnahmen von Windows besser aushebeln können, wenn sie Schadsoftware installieren wollen.
 

Kritische Infrastruktur

Angriffe gegen Strom- und Wasserversorgung und ähnliche kritische Systeme sind bisher noch nicht ernsthaft von Staaten gegen andere Staaten eingesetzt worden, aber die Vorbereitungen laufen extrem aktiv: Industrieunternehmen berichten, dass ständig versucht wird, in ihre Steuerungssysteme einzudringen, Stichwort Angriffe gegen SCADA und ICS. Es ist nur eine Frage der Zeit, bis es da mal zu einem ganz großen Knall kommt, sehr ähnliche Angriffe finden sich ja überall in diesem Artikel.
 


 

Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:

Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.