Monatliches Archiv: März 2016

Zurück zu meinem alten Haus.

Noworossijsk ist auch meine Heimatstadt! Vor 50,5 Jahren wurde ich dort geboren. Meine Familie hat jahrelang in diesem Gebäude hier gewohnt – Revolution-von-1905-Straße 21. In den frühen Siebzigern sind wir dann weggezogen, nach Chlebnikowo in der Region Moskau, wo ich eingeschult wurde.

Hier ist die Nummer 21:

In diesem Hof habe ich im Sandkasten gespielt, bin zum ersten Mal Fahrrad gefahren und auf die Aprikosen- und Maulbeerbäume geklettert… Wie nostalgisch!

Read on: Zurück zu meinem alten Haus.

Noworossijsk: Die beste Stadt Russlands?

Vor ein paar Tagen hat unser leitender Geschäftsführer (E.D.) eine Notiz mit dem Programm für eine meiner anstehenden Geschäftsreisen erhalten:

  • Krasnodar: Treffen mit dem Gouverneur der Region; Kooperationsabkommen unterzeichnen;
  • Krasnodar: Treffen mit unseren Geschäftspartnern aus Krasnodar;
  • Krasnodar: Vorlesung an der staatlichen Universität von Kuban halten;
  • Flug nach Noworossijsk;
  • Noworossijsk: Treffen mit unseren Geschäftspartnern aus Noworossijsk;
  • Noworossijsk: Besuch des Hafens der Stadt.

Der Notiz war eine Quittung für die Vorauszahlung der Miete eines Hubschraubers, um von Krasnodar nach Noworossijsk zu fliegen, beigefügt. Der Name der Firma, der der Hubschrauber gehörte? Abrau-Durso – der (vor Ort) sehr gut bekannte Wein- und Champagnerproduzent!

„Aha. Ich verstehe schon. Und das nennst Du eine Geschäftsreise?!“, witzelte E.D. 🙂

Leider hatten wir keine Zeit für einen Besuch der Weinkellerei zwecks einer Weinprobe. Siehst Du, E.D., es war doch nur geschäftlich. 🙂

Die Aussichten von oben waren ziemlich spektakulär:

Read on: Noworossijsk: Die beste Stadt Russlands?

Gesamtüberblick

Letztes Frühjahr (2015) haben wir Duqu 2.0 aufgedeckt — einen hochprofessionellen, sehr teureren Cyberspionage-Einsatz. Wahrscheinlich staatlich unterstützt. Wir sind auf den Einsatz aufmerksam geworden, als wir eine Betaversion von Kaspersky Anti Targeted Attack (KATA) getestet haben — unsere Sicherheitslösung, die vor komplexen gezielten Angriffen wie Duqu 2.0 schützt.

Und jetzt, ein Jahr später, kann ich stolz ausrufen: Hurra! Das Produkt ist nun offiziell veröffentlicht und voll einsatzbereit!

Kaspersky Anti-Targeted Attack Platform

Aber lassen Sie mich zunächst einmal einen Schritt zurückgehen, um Ihnen zu erklären, wie es so weit gekommen ist — wieso wir es jetzt mit staatlich unterstützter Cyberspionage zu tun haben und warum wir einen sehr spezifischen Schutz entwickeln mussten.

(Diejenigen, die lieber direkt zum Punkt kommen wollen, können die Einleitung über diesen Link abkürzen.)

So oft wird von der „guten alten Zeit“ gesprochen — gerade so, als wären in der Vergangenheit keine schlechten Dinge passiert. Die Musik war besser, die Gesellschaft gerechter, die Straßen sicherer, das Bier hatte eine schönere Schaumkrone und so weiter und so fort. In Bezug auf manche Dinge war es früher allerdings wirklich besser; ein Beispiel ist, dass es in vergangenen Jahren relativ einfach war, Cyberplagen zu bekämpfen.

Damals habe ich das natürlich nicht so gesehen. Wir haben 25 Stunden am Tag gearbeitet, 8 Tage die Woche, und die Virenschreiber und ihre beeindruckende Vermehrungsrate verflucht. Jeden Monat (und mitunter häufiger) gab es weltweite Wurmepidemien und wir dachten die ganze Zeit über, dass die Situation wohl kaum viel schlechter werden kann. Wie wir uns geirrt haben…!

Anfang dieses Jahrhunderts wurden Viren noch vorwiegend von Studenten und Cyberrowdys geschrieben. Diese hatten weder die Absicht, noch die Fähigkeiten, ernstzunehmende Malware zu entwickeln, so dass die Epidemien, für die sie verantwortlich waren, oftmals mit proaktiven Methoden, binnen weniger Tage ausgelöscht wurden. Sie hatten schlichtweg keine Motivation, um tatsächlich bedenkliche Malware auszutüfteln; sie haben nur zum Spaß Schadprogramme geschrieben, wenn DOOM und Duke Nukem anfingen, sie zu langweilen J.

Mitte der 2000er Jahre kamen auf einmal große Geldsummen im Internet ins Spiel und neue Technologien, über die sich alles vernetzen ließ, von MP3-Playern bis hin zu Atomkraftwerken. Professionelle cyberkriminelle Gruppierungen traten in Erscheinung und machten Jagd auf das große Geld, das im Internet zu holen ist, während Cybergeheimdienste von den technologischen Möglichkeiten angezogen wurden. Diese Gruppen hatten die Motivation, die Mittel und das Know-how, um hochkomplexe Malware zu entwickeln, ausgefeilte Angriffe auszuführen und dabei nicht auf dem Radar erfasst zu werden.

Etwa um diese Zeit herum „starb die Antivirensoftware“: traditionelle Schutzmethoden konnten keine ausreichende Sicherheit mehr bieten. Es begann ein regelrechtes Cyberwettrüsten — eine moderne Interpretation des ewigen Modells der auf Gewalt basierenden Macht — entweder man greift an oder man verteidigt sich. Cyberattacken wurden selektiver/zielgenauer in Bezug auf die gewählten Angriffsziele, diskreter und weitaus fortgeschrittener.

„Grundlegende“ Antivirensoftware, (die zu diesem Zeitpunkt schon weitaus mehr als nur Antivirensoftware war), war inzwischen zu komplexen Mehrkomponentensystemen weiterentwickelt worden, mit mehrstufigen Sicherheitsmechanismen und vollgepackt mit verschiedenen Schutztechnologien, während fortgeschrittene Firmensicherheitssysteme noch eindrucksvollere Waffenlager zur Zugangskontrolle und zur Erkennung von Eingriffen aufgebaut hatten.

Allerdings hatte diese Herangehensweise, obgleich sie oberflächlich betrachtet sehr eindrucksvoll erschien, einen kleinen aber entscheidenden Nachteil für große Unternehmen: das Verfahren war nicht in der Lage, proaktiv die professionellsten gezielten Angriffe zu erkennen — die einzigartige Malware nutzen, in Zusammenhang mit spezifischem Social Engineering und Zero-Days. Malware, die sich vor Sicherheitstechnologien versteckt halten kann.

Ich spreche von Attacken, die sorgfältig über Monate, wenn nicht Jahre hinweg von Topexperten geplant wurden, mit schier unerschöpflichen Budgets und zum Teil sogar mit staatlicher Förderung. Angriffe wie diese können mitunter jahrelang unerkannt bleiben; der Einsatz der Equation Group beispielsweise, den wir 2014 aufgedeckt haben, hatte seine Anfänge bereits 1996!

Banken, Regierungen, kritische Infrastrukturen, Hersteller — Zehntausende große Organisationen unterschiedlicher Bereiche und mit unterschiedlichen Besitzformen (im Grunde die Basis der heutigen Weltwirtschaft und -ordnung) — es hat sich gezeigt, dass sie alle anfällig sind für diese extrem professionellen Bedrohungen. Und die Nachfrage nach Daten, Geld und geistigem Eigentum des Angriffsziels ist groß und steigt kontinuierlich weiter an.

Was also ist zu tun? Sollen wir diese modernen Extremgefährdungen als unvermeidlichen Teil des modernen Lebens akzeptieren? Den Kampf gegen gezielte Angriffe aufgeben?

Nein, ganz und gar nicht!

Alles, was — auf wie auch immer komplexe Art und Weise — angegriffen werden kann, kann zu einem hohen Grad geschützt werden, wenn eine ernstzunehmende Menge an Zeit und Verstand investiert wird. Es wird nie zu 100% sicheren Schutz geben, aber eben maximalen Schutz, der verhindert, dass Angriffe ausgeführt werden können: Hindernisse, die so beeindruckend sind, dass die Angreifer sich dafür entscheiden, keine weiteren Anstrengungen mehr zu unternehmen und stattdessen ein anderes, weniger gut geschütztes Opfer angreifen. Natürlich gibt es auch Ausnahmen, insbesondere wenn es um politisch motivierte Angriffe auf bestimmte Personen geht. Solche Attacken werden hartnäckig bis zum bitteren Ende durchgezogen — einem siegreichen Ende für den Angreifer. Aber das ist kein Grund, den Kampf gar nicht erst aufzunehmen.

Ok, so viel zum geschichtlichen Kontext. Nun zum wichtigsten Teil: dem Hausmittel gegen fortgeschrittene gezielte Attacken — unsere neue Plattform Kaspersky Anti Targeted Attack (KATA).

 

Was genau ist KATA, wie funktioniert es, und wie viel kostet es?

Zunächst einmal zur grundlegenden Struktur einer gezielten Attacke…

Ein gezielter Angriff ist immer einzigartig: maßgefertigt für eine bestimmte Organisation oder Einzelperson.

Die Kriminellen, die hinter einem gezielten Angriff stehen, beginnen damit, gewissenhaft bis ins kleinste Detail alle Informationen zu ihren Angriffszielen zusammenzusuchen, da eine gründliche Vorarbeit fast genauso entscheidend für den Erfolg eines Angriffs ist, wie das verfügbare Budget. Alle Einzelpersonen, die sie ins Visier nehmen, werden ausspioniert und analysiert: Lifestyle, Familie, Hobbies und so weiter. Auch die Unternehmensstruktur wird gründlich untersucht. Anhand dieser Informationen wird schließlich eine Angriffsstrategie ausgewählt.

Als nächstes (i) dringen die Angreifer in das Netzwerk ein und verschaffen sich aus der Ferne (unentdeckt) Zugriff, einschließlich aller Berechtigungen. Anschließend (ii) gefährden sie die kritischen Infrastruktur-Knotenpunkte. Und schließlich — „geht die Bombe hoch!“ — (iii): sie stehlen oder vernichten Daten, brechen Geschäftsvorgänge ab — was auch immer Ziel des Angriffs ist. Und was gleichermaßen wichtig ist: sie verwischen ihre Spuren, so dass sie nicht zur Rechenschaft gezogen werden können.

Die Motivation, die Dauer der verschiedenen Vorbereitungs- und Durchführungsschritte, die Angriffsvektoren, die Eingriffstechnologie und die angewendete Malware selbst — alles ist individuell unterschiedlich. Aber unabhängig davon wie einzigartig ein Angriff ist, gibt es immer eine Schwachstelle. So dass der Blick aus der Vogelperspektive Gesamtüberblick, der sich aus verschiedenen Quellen im ganzen Netzwerk ergibt, es möglich macht, einen Eingriff zu erkennen.

Um alle Daten über derartige Anomalien zu sammeln und ein Gesamtbild zu erstellen, benutzt KATA Sensoren — spezielle „E-Agenten“ — die fortlaufend den IP-/Web-/E-Mail-Verkehr analysieren und die Vorgänge auf den Workstations und Servern überwachen.

Wir fangen beispielsweise IP-Verkehr (HTTP(s), FTP, DNS) mittels TAP/SPAN ab; der Websensor vernetzt sich über ICAP mit dem Proxyserver, und der Mailsensor wird über POP3(S) mit dem E-Mail-Server verbunden. Die E-Agenten sind richtige Leichtgewichte (für Windows etwa 15 Megabytes), sie sind mit anderer Sicherheitssoftware kompatibel und haben so gut wie keinen Einfluss auf Netzwerk- oder Endpunktressourcen.

Alle gesammelten Daten (Objekte und Metadaten) werden dann an das Analysezentrum übertragen, zur Verwertung und Archivierung mittels verschiedener Methoden (Sandbox, Antivirenscanner und anpassbaren YARA-Regeln, Überprüfung von Dateien und URLs, Abtastung auf Sicherheitsschwachstellen, etc.). Es ist außerdem möglich, das System mit unserer Cloud, dem Kaspersky Security Network, zu verbinden, oder es zur besseren Nutzung intern zu belassen, mit Hilfe einer internen Kopie über das Kaspersky Private Security Network.

Sobald das Gesamtbild erkennbar wird, ist es Zeit für den nächsten Schritt. KATA deckt verdächtige Aktivitäten auf und kann die Administratoren und SIEM (Splunk, Qradar, ArcSight) über jedwede unerfreuliche Entdeckung informieren. Und was sogar noch besser ist: je länger das System in Betrieb ist, und desto mehr Daten über das Netzwerk angesammelt werden, umso effektiver ist es, da atypisches Verhalten leichter zu erkennen wird.

Mehr Details darüber wie KATA funktioniert, gibt es hier.

Und ja; fast hätte ichs vergessen… wie viel kostet das?

Nun ja, darauf gibt es keine einfache Antwort. Der Servicepreis ist von einer Vielzahl Faktoren abhängig; dazu gehört unter anderem die Größe und die Topologie des Unternehmensnetzwerks, wie die Sicherheitslösung konfiguriert ist, und wie viele zusätzliche Services genutzt werden. Eine Sache ist allerdings klar: die Kosten sind unbedeutend verglichen mit dem potenziellen Schaden, den die Plattform abwendet.

Top-100-Serie: Die Letzten.

Hiermit wird meine persönliche Liste der ‚Top-100 unglaublich schönen Orte der Welt, die man gesehen haben muss und die nach Kontinenten aufgeteilt sind,‘ abgeschlossen.

Bisher habe ich Euch die Orte 1–90 meiner Top-100 vorgestellt. Weiter unten kommen noch vier weitere (Nr. 97–100). Natürlich hinterlässt das eine geheimnisvolle Lücke – von 91 bis 96…

In Wirklichkeit gibt es hier gar kein Geheimnis. Ich komme einfach nur nicht dazu, die schöne runde Zahl von 100 zu erfüllen! Ich denke, dass ich die Lücke mit einigen von den Bonus Tracks füllen oder abwarten könnte, bis jemand – hoffentlich in den Kommentaren (unten) – mit einigen Orten, die man gesehen haben muss, aufwartet, die ich aus irgendwelchen Gründen einfach nicht bedacht habe. Es handelt sich also wirklich um eine Lücke, die etwas Raum für Verbesserung/ Perfektionierung lässt, wobei ich mir nicht sicher bin, wie genau ich sie derzeit verbessern und perfektionieren kann.

Nach diesem peinlichen Einwand, will ich diese letzten paar Top-Orte, ehm, aus dem Weg schaffen…

  1. Der Nordpol.

Ihr hättet vielleicht raten können, dass dieser in diesem nachträglichen Beitrag zu meinen Top-100 erscheinen würde, da er keinem Kontinent angehört – er ist noch nicht einmal ein Land –weswegen es immer etwas kompliziert ist, ihn irgendwo ‚einzuordnen‘. Ihr könnt ihn auf einem Eisbrecher auf einer Fahrt erreichen (nur Bilder; russischer Text), und mir wurde gesagt, dass es eine wirklich lohnenswerte – und nicht zuletzt extreme – Exkursion ist. Etwas, das Ihr hier nicht sehen werdet, obwohl Ihr es vielleicht erwartet hättet, sind … Pinguine! Nein, die gibt es nur auf der anderen Seite der Erde – in der Antarktis (und an den in der Nähe liegenden Südspitzen von Südamerika und Südafrika).

Source

Quelle

Read on: Top-100-Serie: Die Letzten.

Expo-Marathon.

Direkt nach dem Mobile World Kongress in Barcelona hatten es alle eilig, zu einer anderen Ausstellung – der Embedded World – nach Nürnberg zu kommen.

Hierbei dreht es sich um die Automatisierung aller Dinge, die rotieren, sich drehen, die Dinge nach oben und unten befördern, die wärmen und kühlen, die pumpen, die chemisch binden, die sich auf Rädern bewegen, die schwimmen und fliegen, sowie ‚alles Digitale für Menschen mit orangenen Helmen‘ und tonnenweise ähnliches Zeug. Ganz großer Cyber-Industrialismus!

cesna-nurnberg-milano-5

Read on: Expo-Marathon.

Top 100 Serie: Australien, Neuseeland und Ozeanien.

So seltsam es auch erscheinen mag – da sie ja so weit entfernt sind – stellen Australien und Neuseeland die Region dar, die ich von allen Regionen der Welt bisher am meisten erkundet habe. Ich habe schon so viele von ihren Top-100-Orten besucht, und ich habe vor, die, die ich bisher noch nicht gesehen habe, schon sehr bald zu besuchen. „Warum so eilig?“, werden Sie sich vielleicht fragen, da ich mir in dieser Top-100-Serie schon öfters gesagt habe, dass „ich schon bald“ Dutzende der aufgeführten Orte, an denen ich noch nicht war, „besuchen muss“. Nun, die Antwort ist leicht: Die Gegend ist einfach nur genial. Die Orte, die ich dort schon besucht habe: allesamt großartig. Wenn man dann noch Kängurus, Koalas und Krokodile mit dazu nimmt, dann wird daraus der interessanteste Kontinent der Erde! Ok, vielleicht nicht ganz ein kompletter Kontinent, da es ja noch Australasien gibt, also sollte ich vielleicht einfach doch nur ‚Region‘ sagen. Oh, und was Ozeanien angeht, bin ich bisher nur auf Hawaii gewesen. Die Einwände sind vermerkt, legen wir also los und machen uns auf nach Down Under!…

  1. Kimberley.

Australier haben mir schon jahrelang von dieser weniger bekannten Region Ozeaniens erzählt. Endlich habe ich mir sie im Sommer 2015 selber angeschaut. Jetzt weiß ich, warum darüber so ein Aufsehen gemacht wird.


Source

Quelle

Read on: Top 100 Serie: Australien, Neuseeland und Ozeanien.