Home      Themenübersicht / Sitemap      Webmaster      

 

Newsletter AboVorläufige Gedanken, erfreuliches, beklagenswertes

 

Philipps Notizen - 2015

von Philipp Schaumann

An dieser Stelle werden Beobachtungen veröffentlicht, die ich interessant finde, ohne dass die Texte immer gleich in einen logischen größeren Zusammenhang eingereiht werden müssen.

 


Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at


20.12.2015 - Altersbegrenzung und Altersverifikation in Social Networks (aktualisiert 2017)

Ein neues Datenschutzgesetz ist im Entstehen, und Teile der Presse konzentrieren sich auf einen Randaspekt und Scheinkonflikt: Facebook schon mit 13 oder erst ab 16 Jahren. Das ist aber ziemlich witzlos solange es ein Internet gibt, indem man Surfen kann, ohne vorher eine Smartcard in einen entsprechenden Leser gesteckt zu haben und damit seine volle Identität offen gelegt hat.

Großbritannien führt 2017 eine zwangsweise Altersverifizierung für alle Nutzer von Porn-Websites ein. Wie New Scientist korrekt schreibt, ist das ein Sicherheitsdesaster. Eine sichere Prüfung des Alters ist nämlich ohne eine Preisgabe der Identität nicht möglich. So eine Anforderung öffnet Tür und Tor für Betrüger, die vorgeben eine Pornwebsite zu betreiben, aber in Wirklichkeit nur hinter dne Daten her sind, die bei der Prüfung des Alters anfallen, z.B. Kreditkartendaten oder Bankdaten.

Die Idee hinter Altersbeschränlkungen für Social Networks ist, dass jüngere Kinder vor den Gefahren der Social Networks wie z.B. Bullying geschützt werden sollen. Das ist gut gemeint, aber ich fürchte, dass ein Kind das mit 13 - 16 nicht mit den Klassenkameraden chatten kann, noch eher Ziel von Bullying werden wird. Daher ist die Anforderung der Zustimmung der Eltern für die Eltern eine schwierige Frage (sofern das Kind nicht einfach bei der Anmeldung lügt und sich selbst 16 Jahre alt macht). Die Anforderung führt auch heute bereits oft dazu, dass Eltern gemeinsam mit ihren Kindern falsche Altersangaben für ihr Kind machen, kein wirklich gutes Vorbild. Auf diese Weise lernen die Kinder, dass man beim Alter auch lügen darf.

Die Herausforderung der Altersverifikation im Internet besteht ganz konkret seit die US-Regierung 1998 ein Schutzgesetz beschlossen hat, das besagt, dass bei Kindern unter 13 höhere Anforderungen an den Datenschutz gestellt werden müssen (Children's Online Privacy Protection Act (COPPA)). Schnelle und simple Reaktion der Social Networks: Verbot der Nutzung durch Kinder unter 13 Jahre, Problem scheinbar gelöst, es müssen keine Dienste angeboten werden, die keine Werbung bringen und keine Daten sammeln. Seitdem machen sich die Kinder entweder selbst älter oder die Eltern kämpfen mit der Entscheidung, ob und ab wann sie für ihre Kinder lügen sollen (und ein falsches Alter bestätigen).

Wir haben es hier mit 2 getrennten Problemstellungen zu tun: Erstens - ist es eigentlich richtig, dass Kinder nur unter Aufsicht ins Internet dürfen und zweitens, woran erkennt man im Internet das Alter, d.h. wie trennen wir Erwachsene und Kinder?

Jetzt zur ersten Problemstellung: ist es eigentlich richtig, dass Kinder nur unter Aufsicht ins Internet dürfen? danah boyd ist eine recht bekannte Forscherin zu Fragen von "Kindern und Social Networks". Sie schreibt einen sehr lesenswerten Aufsatz What If Social Media Becomes 16-Plus? Die Autorin beschäftigt sich hauptberuflich damit, welche konkreten Lösungen Kinder und Jugendliche für den Umgang mit Social Networks finden, und nicht nur behütete Jugendliche, die Vertrauen zu ihren Eltern haben können, sondern auch Kinder in Problemzonen. Und diese Kinder lassen sich die Social Networks nicht nehmen, egal was die Eltern oder die Gesetzgeber anstellen. Sie stört sich daran, dass Kinder (zwischen 13 und 16, je nach Land unterschiedlich) entmündigt werden und dass der Gesetzgeber glaubt, die Eltern könnten die Privatsphäre und die Psyche der Kinder besser schützen. Sie hat großen Zweifel, ob die Mehrheit der Eltern der Verantwortung über die Daten ihrer Kinder wirklich gerecht werden können, Zitat:

danah boyd weißt auf die UN Konvention über die Rechte der Kinder hin. Alle EU-Länder haben diese Konvention ratifiziert (im Gegensatz zu den USA, dort stehen Elternrechte IMMER über den Kinderrechten). Und eines der Rechte ist das Recht auf Privatsphäre, auch und speziell gegenüber den Eltern. Das betrifft Kinder in behüteten Umgebungen, aber vor allem betrifft es die Kinder bei denen die Eltern das eigentliche Problem darstellen. Wenn man die neue Regelung ganz eng nehmen würde, so müssten Eltern die ihre Kinder missbrauchen zustimmen, bevor sich die Kinder in einem Selbsthilfe-Netz Rat und Hilfe holen können. Oder Kinder die merken dass ihre sexuelle Identität nicht mit den engen und strengen Vorstellungen der Eltern kompatibel ist. danah boyd schreibt: "good luck trying to stop a 15-year-old from sharing photos with her best friend when her popularity is on the line." Das neue Gesetz romantisiert die heile Welt von Eltern die willens und in der Lage sind, liebevoll und vertrauensvoll mit ihren Kindern gemeinsam soziale Netze zu erkunden und dann wissen, wann sie sich daraus zurückziehen müssen. Hier ihre Zusammenfassung:

An anderer Stelle habe ich einen Link mit m.E. recht guten Vorschlägen, welche Netze für Kinder sicherer sind als andere. Ich habe die Vorschläge auf deutsch zusammengefasst. Der Autor sagt, dass er rein öffentliche Sites wie Instagram, Twitter, YouTube für typischerweise sicherer hält, weil die Eltern auch sehen können, welche Reaktionen die Kinder auf ihre Beiträge bekommen. Die nächste Stufe sind dann Accounts wie Facebook bei denen die Eltern "friend" der Kinder sein können und so miterleben, was im Account der Kinder passiert. Erst danach kommen die vertraulichen Sites wie Snapchat und Secret und YikYak in denen auf Grund der Abgeschlossenheit oft extrem rauhe und harte Sitten herrschen.

Aber, siehe voriger Abschnitt, natürlich haben wir hier auch einen Konflikt mit dem Recht auf Privatsphäre der Kinder, dies muss abhängig vom Alter bei der Entscheidung der Eltern berücksichtigt werden und irgendwann müssen sich die Eltern zurückziehen und darauf vertrauen, dass die Kinder sich selbst schützen werden. Und dieses Alter wird für jedes Kind unterschiedlich sein, die Schwelle kann irgendwo zwischen 13 und 18 liegen, aber spätestens wenn die Kinder den Wunsch nach Privatsphäre ausdrücken, so muss sie gewährt werden.

Zurück zum zweiten Problem und zu möglichen Lösungen des Verifikationsproblem. Bereits 2008 gab es in den USA kommerzielle Dienste, die das Problem der Feststellung des wirklichen Alters lösen wollten, aber die Dienste sind sehr umstritten. Denn eine Altersfeststellung ohne Verletzung des Datenschutz ist nicht möglich, und die Schulen haben sich verständlicherweise dagegen gewehrt, die Mitarbeit dabei als zusätzlichen Service zu betrachten. Eine wirkliche Prüfung des Alters im Internet ist nur für die Grenze möglich, wo Jugendliche ihre eigene Kreditkarte haben können. Hier ein guter Artikel zur Problematik in der NY Times: Verifying Ages Online Is a Daunting Task, Even for Experts. Alle Versuche, das Alter über Stimmprüfung oder Fingerscanning zu verifizieren, sind gescheitert.

Auch andersrum ist es schwierig. Es gibt Websites oder "Umgebungen" in Social Networks, in denen sich nur Kinder aufhalten sollen damit sie dort Schutz vor Erwachsenen haben. Aber es ist im Netz ja nicht wirklich schwierig, sich jünger zu machen. Auch dort tauchen immer wieder Erwachsene, oft mit bösen Absichten, auf.

Hier eine kleine eigene Anektdote dazu: Ich hatte mich in 2005 oder so irgendwo registriert (Ich glaube es war hotmail) und dabei aus Faulheit als Geburtsdatum 1.1.00 angegeben. Dann wollte ich später aus irgendeinem Grund das Datum korrigieren, weil ich durch mein junges Alter irgendwo blockiert wurde. DAs ging aber nicht, es kam eine Nachricht, meine Eltern müssten zuerst die Altersänderung bestätigen. Kurz gestutzt, dann habe ich ein weiteres Browserfenster geöffnet, einen weiteren Hotmail-account angelegt, ("Philipps-Vater" oder so) und habe auf diesen verwiesen. Dort musste dann "Philipps-Vater" bestätigen, dass ich das Recht habe, mein Alter zu korrigeren. Nachdem ich dies im 2. Browserfenster getan hatte, konnte ich mich im ersten Fenster endlich volljährig machen. Noch ein Tipp, die so wie ich im Internet meist ein falsches Geburtsdatum angeben: Unbedingt die jeweiligen Daten irgendwo notieren (Ich tue dies im PW-safe). Man wird nämlich später oft aus Sicherheitsgründen nach dem Alter gefragt, mein "Alter" nicht zu kennen, hat schon einige zusätzliche Mühen bereitet.

An anderer Stelle schreibe ich übrigens ausführlicher darüber, welche Schutzmöglichkeiten es bei Bullying gibt.
 



23.11.2015 - Die Architektur des Internets, zentral vs. dezentral

Dieser Artikel greift ein Thema auf, das ich bereits in 2011 bereits einmal in etwas anderem Zusammenhang diskutiert hatte: Brauchen wir ein neues Internet? Diesmal geht es aber in eine etwas andere Richtung.

Auch wenn immer wieder behauptet wird, "das Internet wäre eben so wie es ist", mit Werbung und Tracking und unseren privaten Daten auf Cloud-Servern, kostenlos dort gelagert wenn wir dafür unser Recht auf Privatsphäre abreten, so stimmt das nicht wirklich. Evgeny Morozov sagt das sehr schön:

Im Gegensatz zum früheren Telefonnetz ist das Internet ein reines Transportnetz, sehr schön dargestellt in 2 älteren Artikeln The Rise of the Stupid Network und World of Ends. Die Hauptqualität des Internets liegt darin, dass alle Intelligenz in den Endpunkten liegt und nicht, wie im Telefonnetz, im Netz selbst. Dadurch erfüllt es seine wichtigste Funktion, nämlich beliebige Rechner und damit Menschen (noch fast) gleichberechtigt miteinander kommunizieren zu lassen.

Die extreme "Dummheit" des Internets ist genau der Grund, warum es möglich ist, so viele innovative Dienste anzubieten. Das war im Telefonnetz nicht möglich, weil die Netzbetreiber sehr darauf geachtet haben, dass über diese Kabel nur ganz bestimmte sehr eingeschränkte Inhalte (nämlich 5 KHz breite Tonsignale) transportiert werden können.

Die Diskussion um die Frage, was das Internet eigentlich wirklich sei, das zieht sich als roter Faden durch die Geschichte des Internets. Ich erinnere, wie 1995 die Fernsehgeselschaften das Internet als riesiges Verteilmedium für zentral erstellte inhalte gesehen hat. Wie sollen wir so viele Distributionskanäle nur mit Content füllen, war die Frage. Ergebnis war, dass die IT-Firmen auf einmal die Content-Firmen aufgekauft hat. Deswegen produziert eine Sony-Tochter heute in Hollywood Filme. "Content is King" hieß es damals.

Gleichzeitig haben Libertäre das Internet als ideale Möglichkeit gesehen, dass jetzt alle jeder mit seinem Heim-PC gleichberechtigt im Netz Informationen und Dienste anbieten kann, siehe die beiden Artikel "Stupid Network" und "World of Ends" (die "Ends" sind unsere Heim-PCs, auf denen jeder einen Webserver installieren könnte). Dieser Teil des Internets hat auch wirklich Fortschritte gemacht, eigentlich bis vor kurzem mehr Fortschritte als die zentralen Content-Anbieter. Es kam zuerst die Zeit der privaten Homepages, dann die Zeit der Wikipedia, von Blogs, dann kamen Social Networks, auch die gefüllt mit Inhalten der Nutzer, nicht zentralen Content-Produzenten.

Aber gleichzeitig haben die großen Firmen einen genialen Weg gefunden, wie sie die Kontrolle über das "Netz" wieder zurückbekommen können. Sie hosten die benutzer-erzeugten Inhalte, und zwar kostenlos, aber nur wenn die Benutzer dafür die Kontrolle über ihre Daten abgeben und personifizierte Werbung erlauben. Das haben die Nutzer lange tollieriert, aber nach Snowden und immer penetranterer Flicker-Flacker-Werbung haben die Adblocker mittlerweile eine Abdeckung erreicht, die einigen Anbietern von kostenlosem Content langsam weh tut.

Und immer wieder wird erklärt, das Internet wäre nun mal so, dass Dienste kostenlos sein müssten und dass dafür Werbung zu tolerieren sei. Das stimmt aber nicht, das Internet ist von der Konzeption her eines der neutralsten Medien überhaupt. Natürlich könnten wir wirklich unsere Daten auf Servern zu Hause hosten und die anderen Nutzer holen sie dort ab. Peer-to-Peer Filesharing hat das gezeigt, wie toll das geht: Keine zentralen Server, jeder ist Konsument und Anbieter gleichzeitig. Auf diese Weise liesen sich auch Social Networks implementieren. Bald haben wir in unseren Wohnung einen Rechner in jedem Elektrogerät und die Hälfte der Elektrogeräte will auch ins Internet. Warum haben wir unsere Profildaten des Social Networks in dem mit dem Internet verbundenen Kühlschrank oder Waschmaschine (wo uns doch jeder einreden will, dass alle Geräte jetzt online sein müssen, damit wir sie über unsere Apps steuern können). Wir wissen auch, wie man Authentisierungsdienste schreiben könnte, bei denen meine Passworte nur bei mir zu Hause liegen und die externen Dienste nur einen befristeten Zugriffstoken bekommen. Alle diese Techniken sind verstanden, aber sie werden nicht implementiert.

Die Industrie arbeitet hart daran, dass das gleichberechtigte Internet weniger gleichberechtigt wird. Da ist einmal die Netzneutralität, die vielen nicht gefällt, bzw. wo Netzanbieter noch etwas mehr mitschneiden möchten. Zum anderen lagern wir freiwillig unsere Daten in Cloud-Dienste aus weil dies bequem ist. Was wir damit erzeugen ist die Renaissance des Netzes bei dem die Endpunkte dumm und nicht mehr programmierbar sind und wo die Intelligenz im Zentrum steht. Das Zentrum sind eben nicht mehr die Telekoms, sondern jetzt eben die Cloud-Hoster (Apple, Google, Microsoft, Amazon, Facebook, ....). An anderer Stelle habe ich die Cloud-Dienste als neues Feudalsystem bezeichnet und damit bin ich nicht allein.

Ein verwandtes Thema an anderer Stelle: Wer gewinnt den Kampf ums Internet?
 


22.11.2015 - Bitcoin, Blockchains und ihre Möglichkeiten
aktualisiert 2018

Alle diese Inhalte zu Blockchains und Kryptowährungen sind jetzt an anderer Stelle.
 



14.11.2015 - Immer mehr Social Robots im Kinderzimmer - und fast alle sind verwundbar

Diese Inhalte sind jetzt alle unter Internet of Things

 


Dez. 2016:
Eine Studie der RAND sagt, dass die Kosten für "gehackt werden" überraschend gering sind:

Bei der Studie wurden 12000 Fälle untersucht und dabei durchschnittliche Kosten von 0.4% des Umsatzes gefunden. Wenn man das mit Rechnungsbetrug vergleicht, der typischerweise 5% darstellt oder mit "retail shrinkage", d.h. Ladendiebstahl und Diebstahl durch die Mitarbeiter, typischerweise 1,3%, so gehen die Cybersecurityschäden um Umsatz oft unter.

Beziehungsweise, die Schäden werden von anderen getragen, das nennt man Externalitäten. Die Kosten schlagen beim Nutzer auf, der sich mit den Folgen des Identitätsverlust durch die massenhaften Datenverluste rumärgern muss (3 Milliarden Datensätze werden Ende 2016 im Netz angeboten). Das gleiche Problem wieder beim IoT, das Mirai-Botnet: die Hersteller der angreifbaren Kameras putzen sich ab, den Schaden haben die Firmen die von den dDoS-Angriffen betroffen sind. Oder wie in den Fällen von Target und Home Depot bei den Banken oder den Händlern (siehe etwas weiter unten).

Bruce Schneier sagt, dass wir es bei der Informationssicherheit mit einem kompletten Marktversagen zu tun hätten, Schäden treten fast immer bei "Unschuldigen" auf, oft auch bei den Konsumenten.

Hier der Link zur Studie selbst. Das deckt sich mit früheren Berichten spektakulärer Vorfälle - die Zeche zahlt leider nicht die Firma die es durch bessere Vorkehrungen hätte verhindern können:


09.11.2015 - Haben wir uns an den Verlust von Firmendaten längst gewöhnt? - Die Kosten von Datenverlusten

Das SC Magazine beginnent seinen Artikel zu Get used to it?: Mega breaches mit "Call it shock and yawn." Jede Woche gibt es mehr oder weniger große Einbrüche in Firmen, Kunden-Daten werden entführt, zum Teil auch Firmengeheimnisse, und das Leben geht irgendwie einfach so weiter für die nicht betroffenen CIOs.

Das Ponemon Institut schreibt: "Some organizations shrug their shoulders and see breaches .... as a cost of doing business." Die US-Regierung hat sich mit Office of Personnel Management (OPM) die vertraulichen Unterlagen zu 22 Mio Angestellten abnehmen lassen, inklusive der Unterlagen zu den Sicherheitsüberprüfungen der Geheimnisträger. Viel schlimmer kann es für eine Behörde eigentlich nicht kommen, aber das Leben geht immer so weiter - da wird mal sein Chief Information Officer oder Chief Security Officer gefeuert, aber eigentlich passiert sonst nicht viel. Eine Lösung ist nicht in Sicht. Dieser Vorfall ist ein Beispiel für den Datendiebstahl zu Spionagezwecken, vermutlich hat sich ein Geheimdienst diese Unterlagen gesichert. (Hier ein Bericht über den Vorfall: Untersuchungsbericht zum OPM (US Office of Personnel Management) Data Breach. Und noch eine recht eindrucksvolle und kompakte Zusammenfassung der gesamten Ereignisse im Wired" Journal.) )

Einschub 2017: Solche dramatischen Datenverluste hängen u.a. auch damit zusammen, dass die NSA eine Doppelrolle hat: Schutz der US-Infrastruktur und gleichzeitig Angriff gegen fremde Systeme. Um hier Abwägungen zu treffen, nämlich ob Verwundbarkeiten dem Hersteller gemeldet und dann gefixt werden sollen, oder als Zero-Days für Angriffe verwendet werden soll, dafür gibt es den sog. Vulnerability Equities Process. Im verlinkten Artikel erklärt Bruce Schneier, dass der leider zu oft pro-Angriff ausgeht.

Heute (d.h. ab spätestens 2015) sind wir alle davon bedroht, nicht nur die Geheimnisträger: Bruce Schneier hat in einem etwas früheren Artikel im Atlantic geschrieben "The Meanest Email You Ever Wrote, Searchable on the Internet: In the age of cloud computing, everyone is vulnerable."

Dabei ging es ihm hauptsächlich um Daten in der Cloud, aber ob unsere Daten bei der GIS (der österreichischen Firma für den Einzug der TV-Gebühren, bei einer Krankenkasse, bei einem Mobilfunkbetreiber, einem Automobilclub, bei einem Internetprovider, bei einer Bank oder bei einem Verkehrsbetrieb verloren gehen, das macht letztendlich keinen so großen Unterschied. Bruce Schneier nennt es Organizational doxing - stealing data from an organization's network and indiscriminately dumping it all on the Internet. Ziel ist entweder Erpressung oder einfach nur der Firma oder der Person zu schaden.

Bankennetze scheinen nicht viel sicherer zu sein: JPMorgan hatte über mehrere Monate ungeladene Gäste im internen Netz. Die Daten von 80 Mio US-Haushalten wurden gestohlen, die USA hat ingesamt nur ca. 115 Mio Haushalte, das ist ein guter Anteil. Und das ist keine Einzelfall: Die Angreifer waren bei mindestens 10 Banken in den internen Netzen. An anderer Stelle mehr zum JPMorgan-Fall (in 2015 gibt es Anklagen gegen die 3 Täter, eine wilde Geschichte tut sich auf, viel größer als eine einzelne Bank).

Ergebnis der vielen Datenverluste ist heute (2015): Die Daten ALLER US-Bürger sind heute auf dem schwarzen Markt erhältlich, Europa liegt noch ein bisschen hinterher, aber ich fürchte, wir könnten bald nachziehen.

Meine Theorie zum Volkswagen Betrug

Management hat sich weit aus dem Fenster gelehnt: wir knacken den Dieselmarkt in den USA mit sauberer Technologie. Die Techniker berichten, dass sie das einfach nicht hinbekommen: entweder sind die Motoren sauber, aber lahm, oder kräftig und schmutzig. Der Boss sagt: "Ich will dass das Problem gelöst wird, das erwarte ich von euch, Details interessieren mich nicht. Ich will nicht hören, warum es nicht geht, ich will hören dass ihr es geschaft habt". Die Techniker denken lange nach, bis einer letztendlich auf die schnelle Lösung kommt, wir bauen (nur schnell bis wir die wirkliche Lösung haben) einen Test-Modus ein. Der Chef ist sehr zufrieden, er kann sein Versprechen, den USA Diesel-Markt zu knacken einhalten und freut sich über seinen dicken Bonus. Details möchte er lieber nicht wissen.

Die Techniker hatten fest vor, dass das wirkliche Problem gelöst wird und die Mogelei so schnell wie möglich wieder ausgebaut wird. Aber das mit der Lösung klappt nicht und jetzt taucht das Problem auch in anderen Märkten auf. Der USA-Chef prahlt "Meine Techniker haben das Problem gelöst". Niemand will Details wissen. Dann wird der lokale und temporäre dirty Fix zur globalen und permanenten Lösung (wenn so lange niemand drauf gekommen ist, dann wird das doch auch noch länger gut gehen). Jemand "steckt" das Problem Audit/Revision. Die tragen das Problem weiter oben vor, aber dort will man das alles nicht hören, der Erfolg soll nicht kaputt gemacht werden: "das nehmen wir aber jetzt mal nicht ins Protokoll".

Nun gibt es für VW 7 oder mehr Milliarden Euro Schaden, aber die Manager haben sicher ihren Bonus längst im Trockenen und sitzen auch bestimmt nicht mehr auf diesen Positionen, nach so viel Erfolg.

Warum soll das im Automobilbau anders sein als in der IT: Auch bei uns gibt es den Wunsch nach dem schnellen dirty Fix ("schnell eine weitgehende Firewall-Freischaltung damit es beim Go-Live kein Problem gibt, wir können ja später immer noch klären, warum es mit den korrekten Einstellungen nicht funktioniert". Wenn da der CISO nicht ganz strikt ist und eine Befristung gleich in die Firewall-Regel einbaut, so bleiben schnelle Fixes ewig erhalten und werden zum Produktionsstandard.

Ein Problem scheint zu sein, dass die Kosten die Firmen nach solchen massiven Datenverlusten haben, angeblich oft gar nicht so schlimm sind und dass eine gute Sicherheit unter Umständen teurer sein kann. Dann nimmt die Firma eben gewisse Risiken in Kauf (so wie auch VW vermutlich geglaubt hat, dass sie mit den Mogeleien durchkommen).

Es folgen jetzt 3 Beispiele aus dem Artikel Data breaches may cost less than the security to prevent them.

Daher gähnt der eine oder andere CIO oder CISO wenn er hört, dass die Konkurrenz mal wieder ordentlich Daten verloren hat (wenn seine Firma betroffen ist, so gähnt er nicht, denn er ist es vermutlich, der geopfert werden wird).

Das heißt, die Schäden schrecken nicht wirklich ab, jeder glaubt, dass seine Firma nicht betroffen sein wird, es gibt ja noch genügend andere Opfer. Ohne Gesetze die ernsthafte Strafen für den Verlust von Kundendaten verhängen rechnet sich Sicherheit für die Firmen nur begrenzt. Die Geschichte vom Reputationsschaden klingt zwar plausibel, aber JPMorgan hat das wohl alles nicht so viel geschadet. Letztendlich vergessen Kunden sehr schnell.

Umfangreiche Unterlagen zu Schäden durch Datenverluste (auch mit ein paar Beispielen bei denen fehlende Sicherheit zum Konkurz geführt hat): Cost of a Data Breach: How Harmful Can a Data Breach Be?.
 



01.03.2015 - Spielt die NSA in der gleichen Liga wie der Rest der Sicherheitsexperten?

Im Blog thinkst wird die berechtigte Frage gestellt: If the NSA has been hacking everything, how has nobody seen them coming?. Die Antwort, die dort versucht wird, ist leider für alle, deren Aufgabe der Schutz der IT-Infrastruktur von Firmen und Organisationen ist, ziemlich ernüchternd, bzw. auch erschütternd.

Die kurze Zusammenfassung der Antwort ist, dass die NSA in der Profiliga spielt und dort (vermutlich) (derzeit) der einzige Spieler ist und wir anderen (fast) alle in der Amateurliga. Mit wir alle sind auch alle Sicherheitsfirmen und Anbieter von Sicherheitssoftware wie Kaspersky, RSA, Trend Micro, etc. gemeint. Nach allem was wir jetzt in den Snowden-Papieren lesen hat die NSA einen sehr großen Teil der weltweiten Kommuikationsstruktur unter ihrer Kontrolle, unterwandert viele große Organisationen (nicht nur Belgacom und Gemalto) und kann Daten beliebig stehlen ohne dass der Verdacht auf die NSA fällt. Ihrem Ziel der "global network dominance" sind die USA ziemlich nahe gekommen.

Konkret zur Frage, warum es niemand gemerkt hat ist ihre erste (von 6) Antworten: Weil die Mitarbeiter und Ex-Mitarbeiter (mit der Ausnahme von Edward Snowden) perfekt schweigen können. Die zweite Antwort ist: Weil die NSA ihre Angriffe perfekt versteckt. Dazu gehört zum Beispiel der Trick "4th party collection". Dabei unterwandern sie die Server von anderen Diensten oder Cyberkriminellen und ziehen die Daten ab, die dort gesammelt wurden. Wenn dann Forensiker die bestohlene Organisation untersuchen, so finden sie nur Spuren, die auf den originären Angreifer hindeuten und merken nicht, dass die NSA die Daten auch hat.

Aus einer NSA Präsentation: Die NSA exfiltriert Daten, indem sie diese durch die active implants beim "Opfer" "irgendwohin" sendet (ein Ziel das nicht zur NSA zurückgeführt werden kann) und diese Daten dann auf dem Weg durch einen sog. passive collector unauffällig abgreift

Jetzt mache ich gleich einen Sprung zur vierten Antwort. Hier wird gefragt, warum die bestohlenen Organisationen nicht gemerkt haben, dass ihre Daten auf dem Weg zur NSA sind. Der Trick der hier angwendet wird läuft bei der NSA unter FASHIONCLEFT. Dies nützt aus, dass die NSA einen so großen Teil der weltweiten Datenströme abgreifen kann, dass es egal ist, wohin die Daten wandern, auf dem Weg dorthin kann die NSA die Daten unbemerkt abzweigen (siehe Grafik rechts). Wenn die Forensiker das Opfers dann den Verkehr des Zielservers untersuchen, so gibt es keine NSA-Zugriffe auf diesen Server, die Daten waren längst auf dem Weg gestohlen worden.

Weiter mit der zweiten Antwort: Dadurch dass die NSA in so vielen internen Netzen präsent ist, kann sie ihre Angriffe aus jedem Land erfolgen lassen. Damit sind Zuordnungen von Angriffen zu chinesischen Angreifern möglicherweise in Wirklichkeit von der NSA, das Problem der Attribution ist kaum lösbar. Der andere Trick den die NSA anwendet um ihre Aktivitäten zu verschleiern ist der Einsatz (oder die Mitbenutzung) von Botnets. Wie gut die NSA darin ist, fremde Botnetze zu übernehmen haben ja die veröffentlichten Übernahmen von Cybercrime-Botnetzen gezeigt. Die Botnetzübernahme läuft unter DEFIANTWARRIOR.

Die dritte Antwort ist: Wir alle schauen auf dem falschen Level und sehen daher die Infektionen nicht. Low-level code heißt bei den meisten Sicherheitsexperten und den Anbietern von Schutzsoftware wie Malware-Scannern normalerweise Maschinencode. Aber die NSA geht noch einen großen Schritt tiefer, nämlich zur Firmware (wie ich weiter unten detailliert beschreibe). Keine der Schutzsoftware schaut, ob sich beim BIOS oder der Firmware von Netzwerkkarten oder Magnetplatten was verändert hat. Wir alle, auch die Experten sind blind für die Angriffe der NSA auf diesem Niveau.

Die fünfte Antwort ist: Ihre Angriffswerkzeuge sind so viel besser als alle anderen und ihr Budget, z.B. für Zero Days und ihre Manpower-Resourcen sind so viel höher, dass sie dadurch quasi unsichtbar werden. Das ist, als ob eine Amateurmanschaft gegen eine Weltmeistermanschaft spielt. Und die Weltmeistermanschaft trainiert seit Jahrtausendbeginn. Die anderen Cyberkrieger haben gut 15 Jahre aufzuholen.

Viel mehr zur NSA an anderer Stelle.

Die sechste Antwort ist: Viele der Experten die auf den Kongressen ihre klugen Vorträge halten haben entweder keine Ahnung von den Möglichkeiten der NSA oder (noch schlimmer), haben gute Gründe, die Fähigkeiten unterzubewerten und ihre (zumeist wirkungslosen) Werkzeuge gegen Malware und APTs zu verkaufen. Das heißt, alle bei denen die Bedrohungsanalyse "Angriff durch Nation-State Actor" einschließt (und das sind durchaus auch Firmen die Know-How haben bei der Industriespionage lohnt) müssen ihre Anstrengungen deutlich erhöhen und Werkzeuge für Angriffe auf dem Niveau der NSA werden derzeit (noch) nicht wirklich angeboten.
 



22.02.2015 - Oft übersehenes Angriffsobjekt: Firmware, z.B. BIOS

Die Firmware in Computern, aber auch allen anderen elektronischen Geräten wird immer mehr zu einem Angriffsziel. Unter Firmware versteht man Software, die in elektronische Geräte eingebettet ist. Sie ist zumeist in einem Flash-Speicher, einem EPROM, EEPROM oder ROM gespeichert und durch den Anwender nicht oder nur mit speziellen Mitteln bzw. Funktionen austauschbar. Jedes elektronische, bzw. heute oft sogar elektrische Geräte haben so etwas. Im Laptop oder Desktop (d.h. auf dem Motherboard) selbst heißt ist dies z.B. das sog. BIOS (bzw. heute UEFI). Aber auch jede Magnetplatte, jeder USB-Stick, die Soundkarte, die Graphikkarte, Drucker, jede Digitalkamera, jede moderne Waschmaschine (egal ob sie "im Netz ist" oder nicht), WLAN-Router, Fernbedienung, Musikanlagen, Fernseher und natürlich alle "Smart Devices" und alles was zum Internet of Things gehört, haben so etwas. Und natürlich alle modernen Autos. Zum Teil wird diese Software auch "embedded system" genannt.

Und diese Software ist nicht nur angreifbar, sondern leider auch zumeist nur unzureichend geschützt. Angreifbar setzt voraus, dass das Gerät für den Angreifer erreichbar ist, entweder bereits in der Produktion beim Hersteller (wie bei den SIM-Karten, siehe unten), auf dem Transportweg (wie dies die NSA tut) oder dann beim Kunden. Der Angriff beim Kunden setzt voraus, dass das Gerät "im Netz" zu finden ist, aber das trifft ja auf mehr und mehr Geräte zu. Für Fernseher wird es langsam selbstverständlich (siehe Samsung), für "smart devices" ebenso, und auch Autos müssen jetzt auch bald online sein (und an anderer Stelle beschreibe ich die Verwundbarkeiten in der Automobiltechnik.

2015 wird bekannt, dass die NSA zusätzlich zur Kontrolle über Router und andere Netzkomponenten auch die Firmware in allen gängigen Magnetplatten überschreiben kann und durch eine Version ersetzen, die ihnen einen Speicherbereich bietet, der für das Betriebssystem und die Virenscanner nicht sichtbar ist. Außerdem haben sie sich die Schlüssel von vielen (oder allen?) SIM-Karten der Handys und Smartphones besorgt.

Das sind alles Angriffe gegen die Firmware. Ein Problem dabei ist, dass Firmware grundsätzlich schwer gegen Zugriffe zu schützen ist und dass es für Anti-Malware Programme schwierig ist, zu prüfen, ob noch eine korrekte Version davon vorliegt. Dies macht dieser Artikel Sichert Firmware endlich nachprüfbar ab! zum Thema. Die Verwundbarkeit des BIOS/UEFI ist schon seit langem ein Thema. Und die NSA hat einen Trojaner, der im BIOS eines Mainboards steckt und das RAM auslesen kann.

Aber die NSA sind nicht die einzigen, die solche Angriffe durchführen, die anderen Geheimdienste sind vermutlich nicht viel schlechter und auch die Cyberkriminellen können Firmware angreifen denn viele dieser Angriffe sind mittlerweile Allgemeinwissen. Z.B. BadUSB, BadBOIS, Fritzbox, Millionen von Home Routern und Kabelmodems.

Unter dem Stichwort Internet of Things beschreibe ich die Problematik für Home Automation Geräte (Alarmanlage, Kühlung, Heizung, Licht, Kühlschrank, Waschmaschine, alles übers Smartphone steuerbar). Die Firmware dieser Geräte ist sinnvollerweise übers Netz zu aktualisieren (falls nicht, so könnten Fehler und Verwundbarkeiten nur durch eine Besuch des Technikers behoben werden, das ist zu teuer). Diese Aktualisierungen sind üblicherweise sehr schlecht oder gar nicht abgesichert. So haben es Sicherheitsexperten geschafft, durch Abhören dieser Datenverbindung (im eigenen Heim-Netz, d.h. sehr einfach) das zentrale Passwort für diese Aktualisierungen zu bekommen, dadurch in das Netz des Herstellers zu gelangen, dort die Firmware aller Geräte zu ändern so dass der Angreifer alle Geräte dieses Typs weltweit unter Kontrolle bringen kann. Wie ideal z.B. für Fernseher, die eh darauf programmiert sind, auf die Worte im Wohnzimmer zu lauschen, ein Traum für alle Spionageorganisationen.
 


Nov.2015:
Auch der 2. Pariser Anschlag war möglich obwohl die Behörden in Frankreich so viel Überwachungsmöglichkeiten haben wie sonst in Europa nur der GCHQ in Großbritannien.

Und auch ein Verbot von Kryptographie hätte absolut nichts gebracht, denn die Angreifer haben unverschlüsselt kommuniziert: Paris police find phone with unencrypted SMS saying "Let's go, we're starting".

Hier noch ein Link zu weiteren Artikeln die zeigen, dass der Ruf nach einem Verschüsselungsverbot der Versuch war, aus dem Anschlag noch etwas politisches Kleingeld zu schlagen: Police Find Paris Attackers Coordinated Via Unencrypted SMS.

Auch das Gerücht, dass über verschlüsselte Playstationverbindungen kommuniziert wurde war falsch.

August 2016 schon wieder eine Initiative zum Thema Verschlüsselung und Hintertüren, diesmal aus Frankreich. Und das obwohl beim Planen der Pariser Attacken die Attentäter keine Verschlüsselung genutzt wurde, obwohl es den Attentätern befohlen wurde. Und auch der LKW-Fahrer in Nizza kommunizierte unverschlüsselt.

 

17.01.2015 - Auch flächendeckende Überwachung kann Terrorismus nicht sicher verhindern

Wie ein dressierter Hund springen viele Politiker nach dem Attentat auf Charlie Hebdo und den Supermarkt in Porte de Vincennes in Paris auf und verlangen nach viel mehr Überwachung, z.B. David Cameron, aber auch Angela Merkel. Die Attentate haben aber, ganz im Gegenteil, gezeigt, dass die Überwachung wirkungslos war. Die Franzosen sind nämlich sehr gut im Überwachen: Die Vorratsdatenspeicherung schreibt 12 Monate vor und Orange übergibt in Frankreich alle seine Daten freiwillig und vollständig und das seit 30 Jahren.

Denn (wie der Artikel Mass surveillance not effective for finding terrorists sehr gut erklärt), hat Frankreich eine fast vollständige Überwachung und die Polizei kannte die Attentäter seit langer Zeit sehr gut. Trotzdem hat diese Kenntnis die Attentate nicht verhindert, denn es gibt einfach nicht genug Polizisten um alle potentiell verdächtigen Bürger persönlich zu überwachen. Aber die Sicherheitsbehörden fordern bei jedem Anschlag mehr Überwachung und wenn das den nächsten Anschlag auch nicht verhindert, so ist dies für sie der Beweis, dass noch mehr Daten benötigt werden.

Einige Hintergrundpapiere aus der Geschichte der Cryptowars

Ein ausführliches Papier zu den ersten Cypto Wars (42 Seiten): DOOMED TO REPEAT HISTORY? LESSONS FROM THE CRYPTO WARS OF THE 1990s

Aus dem Jahr 1997: The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption (20 Seiten)

Der Artikel verlinkt auf einen anderen Artikel Why Does the NSA Engage in Mass Surveillance of Americans When It's Statistically Impossible for Such Spying to Detect Terrorists? in dem die Mathematik dahinter erkärt wird. Selbst wenn ein absolut geniales Computersystem es schaffen würde, die False-Positive Rate (d.h. die fälschlich verdächtigten) auf 1 von 1000 zu bringen, so hätte Großbritannien 60 000 Terrorverdächtige und Deutschland 80 000. Was sollte die Polizei mit dieser Liste der Terrorverdächtigten denn anfangen? Wie gesagt, die Pariser Attentäter waren ja als sehr verdächtig auf der Liste. Dieser lange NY Times Artikel From Amateur to Ruthless Jihadist in France beschreibt, wie genau die Attentäter der Polizei über viele Jahre bekannt waren, sie hatten sein Telefonat überwacht, viel mehr geht eigentlich nicht als Überwachung.

Ein anderes Beispiel, das jetzt in der NY Times ausführlich dokumentiert wurde ist der Anschlag im Mumbai 2008. Der indische, der britische und der US-Geheimdienst hatten über längere Zeit die Vorbereitungen auf den Anschlag mitgeschnitten und sogar analysiert, ohne jedoch zu den richtigen Schlüssen zu kommen: Piles of Spy Data, but an Uncompleted Puzzle. Zitat: ". . . a lesson that emerged from the tragedy in Mumbai was that computer traffic only tells you so much. It's only a thin slice.' The key is the analysis, he said, and "we didn't have it."

Ähnlich auch Gert Rene Polli Polli, der ehemalige Leiter des Bundesamts für Verfassungsschutz und Terrorismusbekämpfung in Österreich: Gesamte Telekommunikation in Österreich wird gespeichert. Zitat: "Die Angst vor Terrorismus bleibt also wohl ein starkes Triebmittel in der politischen Debatte. Sicherheitsbehörden und Nachrichtendienste fachen diese Diskussion ab, da sie diese Werkzeuge haben wollen."

2020: Die EU-Regierungen starten den 3. Crypto War.
Jeder Terroranschlag ist wieder ein Gelegenheit, gegen die Ende-zuu-Ende-Verschlüsselung vorzugehen. Diese Gelegenheit wird von den Politikern auch 2020 nicht verpasst - und diesmal sogar koordiniert auf EU-Ebene. Neu ist diesmal, dass dabei alle ein Bekenntnis zur wichtigen Bedeutung von starker Verschlüsselung abgeben. Neu ist, dass sie nun einfach von den Technikern eine Lösung erwarten, wie die Behörden bei Bedarf trotzdem auf die Kommunikation zugreifen sollen. Wie das aussehen soll, bleibt dabei unklar. Wir sind dann bei Ideen wie der Schlüsselhinterlegung, bzw. die Behörden als weiteren Teilnehmer in jede abzuhörende Kommunikation, z.B. ein Whatsapp-Gespräch, als weitere Person einzubinden.

Hier aus dem Nov. 2020: Cryptowars: EU drängt auf Fähigkeiten zur Entschlüsselung. Grundlegende Sicherheitsmängel für alle anderen Nutzer eines Dienstes oder einer Technologie sollen damit nicht geschaffen werden. Techniker haben eine solche "magische Lösung" immer wieder ins Reich der Märchen verdammt, da es "ein bisschen verschlüsselt" nicht gebe. Die deutsche Datenschutzkonferenz von Bund und Ländern (DSK) hat sich deutliich dagegen ausgesprochen. Die "Aushöhlung von Verschlüsselungslösungen" wäre kontraproduktiv und könnte durch Kriminelle und Terroristen leicht umgangen werden.

2015: Statement von Apples Tim Cook zu Privatsphäre versus Sicherheit.

Tim Cook von Apple hält eine flammende Rede für mehr Verschlsüsselung, gegen Backdoors der Regierungen und gegen den Deal "kostenlose Dienstleistungen gegen die Daten der Kunden: Apple's Tim Cook Delivers Blistering Speech On Encryption, Privacy.

Feb. 2016: Studie von Harvard: Strafverfolger werden nicht "blind" durch Verschlüsselung.

 

Der Schrei nach einem Verbot von sicherer Verschlüsselung - das "Going Dark Problem" oder der neue Crypto War

Auf einmal stürzen, nach einer Vorlage durch David Cameron, alle Sicherheitsbehörden der westlichen Welt auf die Gelegenheit und versteigen sich in Forderungen nach einem Verbot der sicheren Verschlüsselung, bzw. verlangen, dass alle Schlüssel staatlich hinterlegt werden müssen. So will Cameron z.B. Snapchat and WhatsApp als zu (abhör-)sicher verbieten. Auch EU's counter-terrorism coordinator Gilles de Kerchove stimmt ihm zu und President Obama auch. Die Sicherheitsbehörden behaupten, sonst "ständen sie im Dunklen", das "Going Dark Problem".

Juli 2015 hat eine Gruppe von sehr renomierten Wissenschaftlern im Bereich IT-Sicherheit ein gemeinsames Statement verfasst um zu erklären, warum ein Gesetz das starke Verschlüsselung vorschreibt oder das Hinterlegen von Schlüsseln eine sehr dumme Idee ist:
Keys Under Doormats: Mandating insecurity by requiring government access to all data and communications.

Hier eine andere Position zum Crypto War Thema (Anfang 2016): The second crypto war is not about crypto. Seine Punkte sind, dass die technische Argumentation bezüglich neuer Schwachstellen vom eigentlichen Thema ablenkt, nämlich ob die Transparenz der Bürgerkommunikation eigentlich ethisch und politisch zu rechtfertigen ist und wie mögliche gezielte Zugriffe durch Strafverfolgungsbehörden ermöglicht und reglementiert werden können.

Der Science Fiction Autor Cory Doctorov hat sich dazu sehr eloquent geäußert: What David Cameron just proposed would endanger every Briton and destroy the IT industry. Cory bezieht sich auf eine Forderung, dass es keine Software geben darf, die nicht durch die Behörden abgehört werden kann. D.h. jede Software die verschlüsselt, braucht eine Backdoor.

Cory zählt auf, was dies bedeuten würde. Da ist erstmal die Tatsache, dass diese Hintertüren nicht geheim bleiben würden. Wenn die Polizei eines Landes zugreifen kann, so kann auch bald die Unterwelt (er bringt Beispiele dafür im Artikel). Und dann erklärt er, was diese Forderung technisch bedeuten würde.

Die Forderung wäre nur wirksam wenn verhindert werden könnte, dass Engländer sich beliebige Software herunterladen und installieren können. Nur so kann sichergestellt werden, dass alles den UK-Vorschriften entspricht. D.h. Zugriffe zu Firmen die sichere Software anbieten oder zu Software-Repositories wie z.B. App-Shops müssen sicher verhindert werden.

Open Source repositories müssen blockiert werden (dies erfordert eine Kontrolle aller Datenverbindungen wie derzeit in China). Suchmaschinen in Großbritannien dürfen keine entsprechenden Ergebnisse mehr liefern, an der Grenze müssten die Touristen ihre eletronischen Geräte abgeben, weil sie ja sonst verbotene Software ins Land bringen könnten. Apple und Microsoft müssten dazu gebracht werden, sich an diese Regeln zu halten und das Ausführen von allen Programmen zu verhindern, die sicher verschlüsseln, Linux müsste ganz verboten werden.

An anderer Stelle diskutiere ich die verwandte Frage nach der Macht im Internet - liegt die bei den Staaten oder können sich die Bürger hier gegen den Staat organisieren?

Ähnliche Themen werden auch im "ask me anything" auf Reddit mit Snowden, Poitras und Greenwald diskutiert.

Bzw., wie Cory Doctorow in The coming war on general-purpose computing erklärt: General-Purpose Computing, d.h. Computer die man als Endbenutzer selbst programmieren kann, müssten verboten werden, denn diese stellen ein Problem für staatliche Kontrollöre dar. Doctorow startet mit der Geschichte der Bemühungen das Kopieren von Musik und Filmen zu verbieten und technisch zu verhindern, kommt dann aber bald darauf, dass es dafür keine wirkliche Lösung geben kann. Der Grund ist, dass der General-Purpose Computer eine Turing-Maschine ist und jede andere Maschine simulieren kann. D.h. es ist nicht wirklich möglich, einen solchen Computer in seiner Funktionalität einzuschränken, es sei denn, dass General-Purpose Computer grundsätzlich verboten werden - d.h. wir dürften dann nur noch sog. Appliances kaufen, die eine feste, durch den Staat freigegebene (und manipulierte) Funktionalität haben, wie dies ja beim Internet of Things üblicherweise der Fall ist.

Bruce Schneier äußert sich im Juli 2015 weil in den USA immer stärker gefordert wird, dass ALLE Software die in den USA produziert wird, Backdoors (d.h. Schlüssel die bei den Behörden hinterlegt sind) enthalten müssen. Die Behörden (z.B. FBI) führen aus, dass die IS-Rekruteure verschlüsselte Kommunikation verwenden, von denen die US-Behörden zwar die Meta-Daten bekommen (d.h. wer mit wem), aber nicht die Inhalte. Schneier führt korrekt aus, dass ein Verbot von sicherer Verschlüsselung für US-Firmen allein nicht ausreicht, so lange es irgendwo auf der Welt einen Anbieter oder ein Open Source Projekt gibt, das sichere, nicht-abhörbare Kommunikation erlaubt: Back Doors Won't Solve the Going Dark Problem.

Ähnlich kritisch sieht auch der Standard diese Vorstöße der Politik in Richtung Verbot von Verschlüsselung: Staatliche Hintertüren: Zwölf Antworten zum Verschlüsselungsverbot.

Tatsache bleibt, dass die Überwachung wenn es um Kampf gegen Terrorismus geht, kläglich versagt hat, 1 einziger Fall kann genannt werden bei dem ein US-Taxifahrer dadurch erwischt wurde, weil er einige 1000 Dollar an einem jihadistische Organisation überwiesen hat. Im Gegensatz zu den "Going Dark"-Rufen haben Ermittlungsbehörden durch die neuen Technologien und die Daten, die die Bürger selbst posten oder auf die sie legal mit Richterbeschluss herankommen, "goldene Zeiten".

Cory Doctorow legt in einem anderen Artikel Technology should be used to create social mobility - not to spy on citizens dass es bei der Überwachung in Wirklichkeit darum geht, soziale Unruhen zu verhindern. Doctorow bezieht sich auf Thomas Piketty und sein Buch Capital in the 21st Century, in dem er erklärt, dass je größer die soziale Ungleichheit ist, desto größer müssen die staatlichen Aktivitäten sein, um die Bürger im Schach zu halten.

Handys sind dabei ein "Gottesgeschenk". Sie vermitteln dem Bürger ein Gefühl von Kontrolle und Lebensqualität, anderseits ermöglichen sie die freiwillige Überwachung der Bürger, weil ohne Tracking der Handy-Standorte keine Gespräche möglich sind. Und wenn die Standorte aller Menschen jederzeit bekannt sind, entsteht eine vollkommene Transparenz, denn die Standorte (über den Tag verteilt und über längere Zeit) verraten unglaublich viel über jeden von uns (außer über Terroristen, die sich entsprechend vorsichtig verhalten können). Auch da wird wieder deutlich, dass die Überwachung nicht gegen die Terroristen, sondern für die Kontrolle der Bürger eingesetzt werden soll.

Es bringt auch nichts, die einzelnen Regierungen herauszupicken (wie Bruce Schneier in seinem neuen Buch schreibt). Alle Spionagebehörden arbeiten mehr oder weniger eng zusammen. Die gibt es als Kerngruppe auf der angelsächsischen Seite die "5 eyes": US, UK, Kanada, Australien und Neuseeland. Erweitert wird dies zu den "9 eyes" durch Dänemark, Frankreich, Niederlande und Norwegen. Wiederum erweitert zu "14 eyes" mit Deutschland, Belgien, Italien, Spanien und Schweden. Bilaterale Zusammenarbeiten gibt es mit Indien und Saudi Arabien und manchmal (z.B. zu den olympischen Spielen in Sotchi) auch mit Russland. Bruce Schneier schreibt:

Ich fürchte, er hat recht. Jeder Staat wird mit fast jedem anderen Staat die Daten von "unliebsamen" und "unbequemen" Bürgern austauschen.

 

Die FREAK-Verwundbarkeit - Eine direkte Folge des 1. Crypto Wars (siehe ** weiter unten)

Der "FREAK" -- "Factoring Attack on RSA-EXPORT Keys" Angriff funktioniert, weil in 1990 Netscape, bei der Erfindung von SSL, von der US-Regierung gezwungen wurde, für die Nutzung des Web-Browsers außerhalb der USA eine so schwache Verschlüsselung zu implementieren, dass die NSA (und die anderen Geheimdienste) die HTTPS Verbindungen knacken können.

Damit die Webserver für US-Benutzer starke Verschlüsselung anbieten können, aber für Nicht-US-Benutzer nur die schwache funktioniert, wurde in die Webserver eingebaut, dass die starke nur aktiviert wird, wenn der Browser darauf besteht, was nur die US-Browser getan haben.

Das hatte sich zwischenzeitlich mit dem Ende des 1. Crypto Wars längst erledigt, aber die Webserver haben bis 2015 weiter die Möglichkeit angeboten, für einen Browser der behauptet, keine starke Verschlüsselung zu können, auch auf die schwache umzusteigen. Ein Angreifer (staatlich oder kriminell) kann daher, wenn er den Datenverkehr manipulieren kann ("Man-in-the-Middle") dieses Kommando an den Webserver senden, mit dem Ergebnis dass die Verbindung abgehört werden kann. Der Benutzer bekommt davon nichts mit.

Dieser Trick kam Anfang 2015 an die Öffentlichkeit, es besteht aber der Verdacht, dass er zwischenzeitlich sehr wohl ausgenutzt wurde.

Die Geschichte zeigt ganz deutlich, dass jede Schwächung die für die Geheimdienste und die Polizei in die Internetsicherheit eingebaut wird, irgendwann den Bürgern mal auf den Kopf fällt - die Kriminellen nutzen die gleichen Schwächen wie die Regierungen auch.

 

Die Geschichte der Crypto Wars

Als First Crypto War werden die Bemühungen der US-Behörden bezeichnet, den Export von Verschlüsselungssoftware (oder -hardware) dem Handel mit Waffen gleichzusetzen. Die englische Ausgabe der Wikipedia schreibt in einem langen Artikel zu Crypto Wars dass bereits in den frühen Tagen des Kalten Krieges der Export von vielen Technologien, z.B. auch bestimmte Software die als strategisch betrachtet wurde, von einer Organisation mit dem Namen CoCom genehmoigt wurden musste: "technology associated only with weapons of war ("munitions") and dual use technology, which also had commercial applications". Ab den 60igern wurde jedoch Verschlüsselung von den Banken für Geldüberweisungen eingesetzt und die Software mit Algorithmen wie DES musste bei jedem Export in den Ostblock genehmigt werden. "IBM originally planned to have a key size of 64 bits; NSA lobbied for a key size of 48 bits. The end compromise were a key size of 56 bits." Bereits 1997 wurde dies von vielen als viel zu unsicher betrachtet, die Snowden Dokumente zeigen, dass die NSA keinerlei Problem damit hatte.

Um für kommerzielle Anwendungen Verschlüsselung zu ermöglichen, ohne die NSA einzuschränken, wollte die US-Regierung in den 90igern den Clipper Chip durchsetzen. Dieser Chip hätte eine "Backdoor" enthalten, die es den US-Behörden erlaubt hätte, alle Daten zu entschlüsseln. Dies war aber international nicht durchzusetzen und in 1996 wurde das Programm offiziell eingestellt.

Ebenso zu den Crypto Wars werden die Aktivitäten der NSA in den 80igern verstanden, die Verschlüsselungen der drahtlosen Telefonie A5/1 bewusst unsicher zu machen: "Security researcher Ross Anderson reported in 1994 that "there was a terrific row between the NATO signal intelligence agencies in the mid-1980s over whether GSM encryption should be strong or not. The Germans said it should be, as they shared a long border with the Warsaw Pact; but the other countries didn't feel this way, and the algorithm as now fielded is a French design." 128 bit wären vernünftig gewesen, "The British proposed a key length of 48 bits, while the West Germans wanted stronger encryption to protect against East German spying, so the compromise became a key length of 56 bits." Und diese unsichere "Verschlüsselung" benutzen wir heute immer noch.

Zum Thema PGP:
Natürlich ist auch die Position richtig, die hier 2016 in einem Vortrag präsentiert wird: Wer explizite Verschlüsselungen wie PGP nutzt ist für die Abhörer deutlich sichtbar, auch wenn sie nicht an die Inhalte kommen. Wer anderseits PGP nicht nutzt um nicht aufzufallen, der hat sich schon an die Überwachungsgesellschaft angepasst, die Überwacher sind ihrem Ziel wieder einen Schritt näher.

Parallel dazu kam es in den Anfangen der PC-Zeit zum ersten Eklat durch Phil Zimmermanns PGP (Pretty Good Privacy), die 1991 im beginnenden Internet weltweit zur Verfügung stand. Die Regierung versuchte das zu verhindern (und 1993 wurde Zimmermann wegen Verstoß gegen die Export-Restriktionen für Munition angeklagt. Die Strafen hätten erheblich sein können, aber nach einigen Jahren wurde sein Fall wieder eingestellt).

Mit dem Netscape Web-Browser und seiner SSL-Technologie für vertrauliche Webzugriffe, z.B. zu Banken, wurde 128-bit RC4 eingesetzt. Die US-Regierung zwang Netscape zu einer 'international edition' mit nur 40-bit Verschlüsselung (um eine leichteres Entschlüsseln durch die NSA zu ermöglichen). Auch Lotus Notes war davon betroffen. Erst 1996 wurde Software Bill Clinton von den Regeln für Waffenhandel ausgenommen.

Die NSA-Aktivitäten rund um das BULLRUN Programm nach der Jahrtausendwende dienen nicht nur dazu, Schwächen in bestehenden Algorithmen zu finden und auszunutzen, sondern auch, in den Standardisierungsgremien wie NIST ganz bewusst Schwächen in die modernen Algorithmen einzubauen. Ein Beispiel ist der Dual_EC_DRBG Zufallszahlengenerator. Das Schwächen der Algorithmen ist weitgehend gelungen und wird zumeist als Second Crypto War bezeichnet.

Auch der Diebstahl der Schlüssel auf den SIM-Karten der Handys bei Gemalto gehört in die Kategorie Crypto Wars. Es wird vermutet, dass nicht nur bei Gemalto gestohlen wurde und dass die NSA sind großflächig die Schlüssel für Handyverschlüsselung besorgt hat.

Ein Artikel in techrepublic macht darauf aufmerksam, dass das US-Programm gegen starke Verschlüsselung für alle Bullrun und das entsprechende britische Programm Edgehill heißen. Beides sind Bürgerkriege. Das sind gute Analogien, denn auch bei diesem Aktivitäten geht es um einen Krieg gegen die Privatsphäre der Bürger und damit die Kontrolle über die Bürger. Denn es geht hier nicht wie bei den Aktivitäten von Turing im 2. Weltkrieg darum, einen Krieg gegen einen anderen Staat zu gewinnen, sondern alles über jeden Bürger zu erfahren.
 


 


11.01.2015 - Ausblick 2015 und Rückblick 2014 (ergänzt)

Anlass für diesen Beitrag sind die vielen Rück- und Ausblicke. Die 2 hilfreichsten fand ich zum Einen The Biggest Security Threats We'll Face in 2015 von Kim Zetter. Der Beitrag ist aber stark auf die USA konzentriert, daher werde ich alle Punkte aus meiner europäischen Perspektive kommentieren. Der andere sehr gute Rück- und Ausblick kommt von der europäischen ENISA: ENISA draws the Cyber Threat Landscape 2014: 15 top cyber threats, cyber threat agents, cyber-attack methods and threat trends for emerging technology areas (mit über 400 Links zu Orginalquellen).

Als positive Entwicklungen in 2014 führt die ENISA an:

Negativ sehen sie folgende Trends:


 

Nation State Attacks

Das ist nicht ganz neu, es wird aber immer deutlicher, wie offensiv das Feld bereits beackert wird. STUXNET ist mittlerweile an alter Hut, die Angriffe auf Belgacom waren bereits in 2013 bekannt, aber kamen mit der Aufdeckung von REGIN mehr in den Blick der Öffentlichkeit. Es wurde deutlicher, dass die Software genutzt wurde, um tief in die Netze eines verbündeten Landes einzudringen und auch die Handy-Base Stations zu übernehmen. Ein in Friedenszeiten durchaus ungewöhnlicher Vorgang.

Beim Sony-Angriff ist es noch nicht klar, ob es wirklich ein Nation State Attack war, aber man kann das nicht ausschließen. Und wer das deutsche Stahlwerk sabotiert hat, ist noch weit offen. Aber auf Grund des detaillierten Fachwissens sieht es doch stark nach Profis aus. In 2014 wurde ein anderer älterer Vorfall bekannt: 2008 explodierte eine Pipeline in der Türkei und es wird vermutet, dass Angreifer sich über die Verkabelung der externen Videokameras in das interne Netz gehackt haben und dann den Druck manipuliert. Der Verdacht liegt auf Russland, auch wenn kurdische Separatisten offiziell die Verantwortung übernommen haben.

Ich erwarte für 2015 noch einiges auf diesem Gebiet der Cyber-Sabotage. Das angenehme für die Angreifer ist, dass nur bei groben Fehlern der Schuldige klar zugeordnet werden kann und die Möglichkeiten, falsche Spuren zu legen, sind vielfältig.

Extortion (d.h. Erpressung)

Sony ist da jetzt das große Beispiel und es hätte ja auch fast geklappt. Aber mit viel weniger Öffentlichkeit passieren diese Fälle (vermutlich) ständig (und nur wenige kommen in die Presse), z.B. der Erpressungsversuch gegen die Genfer Kantonalbank (BCGE).

Im Privatbereich wächst der sehr lukrative Markt der Ransomware-Angriffe. Das Wachstum ist in Zahl der Fälle und Sophistication, d.h. die infizierten Systeme nutzen zum Teil TOR für eine sichere Kommunikation "nach Hause".
 

Data Destruction

Wieder ist Sony das aktuellste Beispiel: Die Angreifer haben nicht nur alle Daten "entführt" sondern danach "verbrannte Erde" hinterlassen. Sie haben nicht nur die Festplatten systematisch gelöscht, sondern auch die MBRs (die Master Boot Records) und vielleicht auch die Partitionierung der Platten. Bei so einem System ist das Wiederaufsetzen sehr mühsame Handarbeit - BIOS-Einstellungen verstellen, dann von einer geeigneten CD booten (sofern überhaupt ein Laufwerk drin ist) und dann mühsam die Platte wieder mit Strukturen füllen. Wenn die Angreifer sehr gut sind (und ausreichende Vor-Informationen über die Hardware haben), so können sie sogar im BIOS Schaden anrichten und schlimmstenfalls die Rechner ganz zerstören.

Ähnliche Angriffe hat es vorher bereits gegeben: in Süd Korea gegen Banken und Presse und in Saudi Arabien und Iran gegen die Ölindustrie (Bei Aramco wurden auch die Platten gelöscht [bzw. "30,000 of Aramco's computers were destroyed" - was immer das Aussagen will] und zwar mit der gleichen kommerziellen Software wie im Sony-Fall - bei Aramco wird Iran als Täter diskutiert - siehe Link). Aktualisierung August 2015: The Inside Story Of The Biggest Hack In History. Die Sache war offenbar noch deutlich größer als bisher vermutet: Aramco hat 5 Monate gebraucht bis sie ihre IT wieder voll am Laufen hatten.

Diese tolle interaktive grafische Darstellung (auf die Zeichnung klicken und dann Authentisierung canceln) zeigt wie erfolgreich die Angreifer mittlerweile geworden sind und in welche Größenordnungen die Datenverluste seit 2004 bis 2015 gewachsen sind, mit Background-Info, Quelle: http://www.informationisbeautiful.net

Best of Data Breach in 2013 - die 15 spektakulärsten Fälle


 

Angriffe gegen Banken und Kreditkarten

In den USA sind 2014 vor allem noch viel mehr Kreditkartendaten gestohlen als je zuvor (siehe die Graphik links, wobei das nicht alles Kreditkartenprobleme waren, aber Target [70 Mio Karten], Home Depot [56 Mio Karten], und "massive American business hack" [160 Mio Karten] sind gute Beispiele). Dies wird auch 2015 noch so bleiben, denn erst im Laufe des Jahres wollen die US-Unternehmen auf das EMV-Protokoll für Kreditkarten umsteigen das wir in Europa nutzen (der Chip in der Bankomat- und Kreditkarte - "chip 'n' PIN" im englischen).

Aus Laufen aber auch große Angriffe gegen Banken direkt, z.B. war das interne Netz von JP Morgan im Sommer 2014 ca. 2 Monate vollständig unterwandert. 80 Mio Kunden sind betroffen - wenn man bedenkt, dass die USA nur 115 Mio Haushalte hat, so betraf dies einen großen Teil der US-Bürger. Wer die Täter waren ist vollkommen offen, evtl. steckt hier auch ein Staat dahinter.

Eine neue Klasse von Angriffen gegen Bankomaten sind sog. Blackbox Attacks. Dabei wird die obere Haube des Bankomaten entfernt und damit kommen die Angreifer an den internen Computer - aber noch nicht an das Geld, das ist im unteren Teil, dem Tresor und der ist separat geschützt. Bei den Blackbox Attacks bringen die Angreifer die Geldladen im unteren Teil dazu, ihren Inhalt "auszuspucken", entweder indem sie den Rechner im oberen Teil übernehmen (z.B. von einem mitgebrachten USB-Stick oder CD-ROM starten oder einen eigenen Rechner anschließen, der dann geeignete Kommandos an den Tresor schickt). Dies wird auch "Jackpot-Attack" genannt, weil die Bankomatkarten dann ihr Geld einfach ausspucken.

In Russland haben Angreifer (genannt Anunak group) noch eine andere Technik mit großen Erfolg gegen Banken angewendet. Sie sind mittels Infektionen auf den Geräten von Mitarbeitern (gezielte Phishing-Angriffe) in die internen Netz eingedrungen und haben die Software der Bankomatkarten so verändert, dass sie wenn zu bestimmten Uhrzeiten bestimmte Codes an der Tastatur eingegeben werden, eine Kontrolle über die Geldausgabe ermöglichen. Sie verstellen die internen Tabellen: die Geldlade mit den 5000 Rubel-Scheinen wird umkonfiguriert, so dass das System glaubt, dass dort nur 100 Rubel-Scheine drin sind.

Europol hat die europäischen Banken gewarnt, dass Angriffe mittels eingeschleusten Personen für ganz Europa anstehen. Dagegen verblassen die ständigen Phishing Angriffe fast, auch wenn sie für den einzelnen betroffenen Kunden sehr wohl Desaster darstellen. Die Kunden war bis vor einem Jahr relativ sicher, wenn sie mobile TANs (mTAN) verwendeten. Aber den Angreifern gelingt es immer wieder, die Kunden die auf der falschen Banken-Website ihr Passwort eingegeben haben, auch dazu zu überreden, auf dem Smartphone ein Software zu installieren, die den Angreifern die SMS weiterleitet - Game Over für den Kunden, er hat die Kontrolle über das Konto vollständig verloren, die Angreifer ändern natürlich als Erstes mal das Passwort. Oder sie sind noch kecker und rufen beim Kunden an und lassen sich die TAN Codes vorlesen.

Dann gibt es noch eine Klasse von Großangriffen gegen Banken: ATM Cash-Out oder auch Unlimited Operations. Das sind größere logistische Übungen und erfordern viele Teilnehmer. Voraussetzung ist, dass die Angreifer Zugang zu dem Netz einer Bank oder eines Anbieters für Pre-Paid Karten haben. Wenn die Angreifer dort im Netz sind, so wird zu einem bestimmten Zeitpunkt bei vielen Tausend Karten der Wert auf einen sehr hohen Wert gesetzt, das Limit entfernt und der PIN geändert. Sog. "Runner" stehen in vielen Städten der Welt bereit und holen mit diesen Karten Bargeld ab. Bei einem Angriff in 2011 wurden 15 000 Bankomat-Behebungen in 18 Ländern genutzt und 14 Mio $ abgehoben. In 2008 waren es 2100 Bankomaten in 280 Städten im Einsatz, 9 Mio $ der Ertrag. In 2013 wurden bei einem anderen Angriff 45 Mio $ erbeutet. Der Name "Unlimited Operations" kommt daher, dass die Angreifer, da sie ja Zugriff auf die Systeme des Karten-Herausgebers haben, "leere" Karten immer wieder auffüllen können, daher die 45 Mio in 12 Stunden. Die Zeit ist für die Angreifer begrenzt, denn die Buchhaltung der Bank merkt spätestens beim sog. "End-of-Day" dass den Abhebungen keine Einzahlungen gegenüberstehen.


 

Indirekte Angriffe - Third Party Breaches

Darunter versteht man, wenn der Angriff nicht direkt gegen die Zielfirma geführt wird, sondern eine andere Schwachstelle gesucht wird. So wurde ein großes Unternehmen infiltriert, indem die Angreifer in das Netz der Wartungsfirma für die Haustechnik (engl. HVAC) eingedrungen war. Das ist recht typisch, dass die Haustechnikfirmen heute einen Zugang zu ihren Geräten wollen, und wenn das Unternehmen dafür kein separates Netz bereitstellt, so ist dies eine Öffnung so groß wie ein Scheunentor. Auf diese Weise sind die Angreifer zu Target reingekommen.

Der Angriff gegen RSA 2013 war wohl nur eine Vorbereitung um an die Zugangscodes zu kommen, mit denen dann andere Firmen, vor allem regierungsnahe Unternehmen angegriffen wurden. Ihr in diesem Fall wurde unterstellt, dass dies ein Angriff eines anderes Staats war. Der Angriff gegen Lockheed Martin wird mit dem RSA Angriff in Verbindung gebracht.

Weitere Beispiele sind die zahlreichen Einbrüche bei Certificate Authorities die zur Vorbereitung von Angriffen auf andere dienten. Selbst im Fall von Sony nutzten die Angreifer die Kontrolle die sie über die Sony-IT hatten dafür aus, sich Code-Signing Schlüssel zu besorgen mit denen sie jetzt die Sicherheitsmaßnahmen von Windows besser aushebeln können, wenn sie Schadsoftware installieren wollen.
 

Kritische Infrastruktur

Angriffe gegen Strom- und Wasserversorgung und ähnliche kritische Systeme sind bisher noch nicht ernsthaft von Staaten gegen andere Staaten eingesetzt worden, aber die Vorbereitungen laufen extrem aktiv: Industrieunternehmen berichten, dass ständig versucht wird, in ihre Steuerungssysteme einzudringen, Stichwort Angriffe gegen SCADA und ICS. Es ist nur eine Frage der Zeit, bis es da mal zu einem ganz großen Knall kommt, sehr ähnliche Angriffe finden sich ja überall in diesem Artikel.