„Nicht der Stärkste einer Spezies überlebt, sondern derjenige, der sich am besten an Veränderungen anpassen kann.“ — Charles Darwin

Es ist eine Weile her, dass ich zuletzt in diesem Blog meinen Standpunkt zu meinem Lieblingsthema vorgebracht habe — die Zukunft der IT-Sicherheitsbranche; das hole ich hiermit nach. Bereiten Sie sich auf viele Wörter vor — hoffentlich keine allzu belanglosen — über die neuesten Technologien im Bereich der Informationssicherheit und zu aktuellen Tendenzen, mit einer Beilage aus zusammengestellten Fakten und Überlegungen. Popcorn, fertig — los …!

Ich werde an dieser Stelle über ideale IT-Sicherheit schreiben und darüber, wie sich die Sicherheitsindustrie diesem Ideal annähert. Was geht dabei im Zuge dieser Entwicklung vonstatten und wie kann all das mithilfe von Darwins Evolutionstheorie erklärt werden? Wie führt natürliche Auswahl dazu, dass bestimmte Arten vorherrschen, während andere auf der Strecke bleiben, um von Paläontologen der kommenden Jahre untersucht zu werden? Und was ist Symbiose und was sind Parasiten?

Ich beginne mit einigen Definitionen …

Nahezu perfekt in einer fehlerhaften Welt

Perfekter Schutz — 100% Sicherheit — ist unmöglich. Die IT-Sicherheitsbranche kann und sollte natürlich nach Perfektion streben und dabei bestmögliche Schutzmechanismen entwickeln, aber jeder Millimeter mehr in Richtung 100% Sicherheit kostet exponentiell mehr — und zwar in einem Maße, dass die Kosten um diesen Schutz zu gewährleisten höher sind als die möglichen Schadenskosten im schlimmsten erfolgreichen Angriffsszenario.

Dementsprechend ist es nur logisch, realistischen idealen Schutz (unter dem Blickwinkel potenzieller Opfer) wie folgt zu definieren: Idealer Schutz ist dann gegeben, wenn die Kosten, um unser System zu hacken, größer sind als der mögliche Schaden, der erzielt werden könnte. Oder, aus anderer Perspektive gesehen: Idealer Schutz ist dann gegeben, wenn die Kosten für eine erfolgreiche Attacke größer sind, als der Gewinn, den die Angreifer machen würden.

Natürlich sind die Kosten einer Attacke mitunter irrelevant für die Angreifer; zum Beispiel für staatlich unterstützte Cyberkriegstreiber. Aber das heißt nicht, dass wir aufgeben.

Wie also entwickeln wir ein Sicherheitssystem, das realisierbaren idealen Schutz bietet?

Modern defenders vs traditional: think about adversaries not incidents, by @johnlatwc #TheSAS2016 pic.twitter.com/gss5MITuO1

— Eugene Kaspersky (@e_kaspersky) February 8, 2016

Read on: Darwinismus im Bereich IT-Sicherheit: Anpassen oder sterben

Letztes Frühjahr (2015) haben wir Duqu 2.0 aufgedeckt — einen hochprofessionellen, sehr teureren Cyberspionage-Einsatz. Wahrscheinlich staatlich unterstützt. Wir sind auf den Einsatz aufmerksam geworden, als wir eine Betaversion von Kaspersky Anti Targeted Attack (KATA) getestet haben — unsere Sicherheitslösung, die vor komplexen gezielten Angriffen wie Duqu 2.0 schützt.

Und jetzt, ein Jahr später, kann ich stolz ausrufen: Hurra! Das Produkt ist nun offiziell veröffentlicht und voll einsatzbereit!

Aber lassen Sie mich zunächst einmal einen Schritt zurückgehen, um Ihnen zu erklären, wie es so weit gekommen ist — wieso wir es jetzt mit staatlich unterstützter Cyberspionage zu tun haben und warum wir einen sehr spezifischen Schutz entwickeln mussten.

(Diejenigen, die lieber direkt zum Punkt kommen wollen, können die Einleitung über diesen Link abkürzen.)

So oft wird von der „guten alten Zeit“ gesprochen — gerade so, als wären in der Vergangenheit keine schlechten Dinge passiert. Die Musik war besser, die Gesellschaft gerechter, die Straßen sicherer, das Bier hatte eine schönere Schaumkrone und so weiter und so fort. In Bezug auf manche Dinge war es früher allerdings wirklich besser; ein Beispiel ist, dass es in vergangenen Jahren relativ einfach war, Cyberplagen zu bekämpfen.

Damals habe ich das natürlich nicht so gesehen. Wir haben 25 Stunden am Tag gearbeitet, 8 Tage die Woche, und die Virenschreiber und ihre beeindruckende Vermehrungsrate verflucht. Jeden Monat (und mitunter häufiger) gab es weltweite Wurmepidemien und wir dachten die ganze Zeit über, dass die Situation wohl kaum viel schlechter werden kann. Wie wir uns geirrt haben…!

Anfang dieses Jahrhunderts wurden Viren noch vorwiegend von Studenten und Cyberrowdys geschrieben. Diese hatten weder die Absicht, noch die Fähigkeiten, ernstzunehmende Malware zu entwickeln, so dass die Epidemien, für die sie verantwortlich waren, oftmals mit proaktiven Methoden, binnen weniger Tage ausgelöscht wurden. Sie hatten schlichtweg keine Motivation, um tatsächlich bedenkliche Malware auszutüfteln; sie haben nur zum Spaß Schadprogramme geschrieben, wenn DOOM und Duke Nukem anfingen, sie zu langweilen J.

Mitte der 2000er Jahre kamen auf einmal große Geldsummen im Internet ins Spiel und neue Technologien, über die sich alles vernetzen ließ, von MP3-Playern bis hin zu Atomkraftwerken. Professionelle cyberkriminelle Gruppierungen traten in Erscheinung und machten Jagd auf das große Geld, das im Internet zu holen ist, während Cybergeheimdienste von den technologischen Möglichkeiten angezogen wurden. Diese Gruppen hatten die Motivation, die Mittel und das Know-how, um hochkomplexe Malware zu entwickeln, ausgefeilte Angriffe auszuführen und dabei nicht auf dem Radar erfasst zu werden.

Etwa um diese Zeit herum „starb die Antivirensoftware“: traditionelle Schutzmethoden konnten keine ausreichende Sicherheit mehr bieten. Es begann ein regelrechtes Cyberwettrüsten — eine moderne Interpretation des ewigen Modells der auf Gewalt basierenden Macht — entweder man greift an oder man verteidigt sich. Cyberattacken wurden selektiver/zielgenauer in Bezug auf die gewählten Angriffsziele, diskreter und weitaus fortgeschrittener.

„Grundlegende“ Antivirensoftware, (die zu diesem Zeitpunkt schon weitaus mehr als nur Antivirensoftware war), war inzwischen zu komplexen Mehrkomponentensystemen weiterentwickelt worden, mit mehrstufigen Sicherheitsmechanismen und vollgepackt mit verschiedenen Schutztechnologien, während fortgeschrittene Firmensicherheitssysteme noch eindrucksvollere Waffenlager zur Zugangskontrolle und zur Erkennung von Eingriffen aufgebaut hatten.

Allerdings hatte diese Herangehensweise, obgleich sie oberflächlich betrachtet sehr eindrucksvoll erschien, einen kleinen aber entscheidenden Nachteil für große Unternehmen: das Verfahren war nicht in der Lage, proaktiv die professionellsten gezielten Angriffe zu erkennen — die einzigartige Malware nutzen, in Zusammenhang mit spezifischem Social Engineering und Zero-Days. Malware, die sich vor Sicherheitstechnologien versteckt halten kann.

Ich spreche von Attacken, die sorgfältig über Monate, wenn nicht Jahre hinweg von Topexperten geplant wurden, mit schier unerschöpflichen Budgets und zum Teil sogar mit staatlicher Förderung. Angriffe wie diese können mitunter jahrelang unerkannt bleiben; der Einsatz der Equation Group beispielsweise, den wir 2014 aufgedeckt haben, hatte seine Anfänge bereits 1996!

Banken, Regierungen, kritische Infrastrukturen, Hersteller — Zehntausende große Organisationen unterschiedlicher Bereiche und mit unterschiedlichen Besitzformen (im Grunde die Basis der heutigen Weltwirtschaft und -ordnung) — es hat sich gezeigt, dass sie alle anfällig sind für diese extrem professionellen Bedrohungen. Und die Nachfrage nach Daten, Geld und geistigem Eigentum des Angriffsziels ist groß und steigt kontinuierlich weiter an.

Was also ist zu tun? Sollen wir diese modernen Extremgefährdungen als unvermeidlichen Teil des modernen Lebens akzeptieren? Den Kampf gegen gezielte Angriffe aufgeben?

Nein, ganz und gar nicht!

Alles, was — auf wie auch immer komplexe Art und Weise — angegriffen werden kann, kann zu einem hohen Grad geschützt werden, wenn eine ernstzunehmende Menge an Zeit und Verstand investiert wird. Es wird nie zu 100% sicheren Schutz geben, aber eben maximalen Schutz, der verhindert, dass Angriffe ausgeführt werden können: Hindernisse, die so beeindruckend sind, dass die Angreifer sich dafür entscheiden, keine weiteren Anstrengungen mehr zu unternehmen und stattdessen ein anderes, weniger gut geschütztes Opfer angreifen. Natürlich gibt es auch Ausnahmen, insbesondere wenn es um politisch motivierte Angriffe auf bestimmte Personen geht. Solche Attacken werden hartnäckig bis zum bitteren Ende durchgezogen — einem siegreichen Ende für den Angreifer. Aber das ist kein Grund, den Kampf gar nicht erst aufzunehmen.

Ok, so viel zum geschichtlichen Kontext. Nun zum wichtigsten Teil: dem Hausmittel gegen fortgeschrittene gezielte Attacken — unsere neue Plattform Kaspersky Anti Targeted Attack (KATA).

Was genau ist KATA, wie funktioniert es, und wie viel kostet es?

Zunächst einmal zur grundlegenden Struktur einer gezielten Attacke…

Ein gezielter Angriff ist immer einzigartig: maßgefertigt für eine bestimmte Organisation oder Einzelperson.

Die Kriminellen, die hinter einem gezielten Angriff stehen, beginnen damit, gewissenhaft bis ins kleinste Detail alle Informationen zu ihren Angriffszielen zusammenzusuchen, da eine gründliche Vorarbeit fast genauso entscheidend für den Erfolg eines Angriffs ist, wie das verfügbare Budget. Alle Einzelpersonen, die sie ins Visier nehmen, werden ausspioniert und analysiert: Lifestyle, Familie, Hobbies und so weiter. Auch die Unternehmensstruktur wird gründlich untersucht. Anhand dieser Informationen wird schließlich eine Angriffsstrategie ausgewählt.

Als nächstes (i) dringen die Angreifer in das Netzwerk ein und verschaffen sich aus der Ferne (unentdeckt) Zugriff, einschließlich aller Berechtigungen. Anschließend (ii) gefährden sie die kritischen Infrastruktur-Knotenpunkte. Und schließlich — „geht die Bombe hoch!“ — (iii): sie stehlen oder vernichten Daten, brechen Geschäftsvorgänge ab — was auch immer Ziel des Angriffs ist. Und was gleichermaßen wichtig ist: sie verwischen ihre Spuren, so dass sie nicht zur Rechenschaft gezogen werden können.

Die Motivation, die Dauer der verschiedenen Vorbereitungs- und Durchführungsschritte, die Angriffsvektoren, die Eingriffstechnologie und die angewendete Malware selbst — alles ist individuell unterschiedlich. Aber unabhängig davon wie einzigartig ein Angriff ist, gibt es immer eine Schwachstelle. So dass der Blick aus der Vogelperspektive Gesamtüberblick, der sich aus verschiedenen Quellen im ganzen Netzwerk ergibt, es möglich macht, einen Eingriff zu erkennen.

Um alle Daten über derartige Anomalien zu sammeln und ein Gesamtbild zu erstellen, benutzt KATA Sensoren — spezielle „E-Agenten“ — die fortlaufend den IP-/Web-/E-Mail-Verkehr analysieren und die Vorgänge auf den Workstations und Servern überwachen.

Wir fangen beispielsweise IP-Verkehr (HTTP(s), FTP, DNS) mittels TAP/SPAN ab; der Websensor vernetzt sich über ICAP mit dem Proxyserver, und der Mailsensor wird über POP3(S) mit dem E-Mail-Server verbunden. Die E-Agenten sind richtige Leichtgewichte (für Windows etwa 15 Megabytes), sie sind mit anderer Sicherheitssoftware kompatibel und haben so gut wie keinen Einfluss auf Netzwerk- oder Endpunktressourcen.

Alle gesammelten Daten (Objekte und Metadaten) werden dann an das Analysezentrum übertragen, zur Verwertung und Archivierung mittels verschiedener Methoden (Sandbox, Antivirenscanner und anpassbaren YARA-Regeln, Überprüfung von Dateien und URLs, Abtastung auf Sicherheitsschwachstellen, etc.). Es ist außerdem möglich, das System mit unserer Cloud, dem Kaspersky Security Network, zu verbinden, oder es zur besseren Nutzung intern zu belassen, mit Hilfe einer internen Kopie über das Kaspersky Private Security Network.

Sobald das Gesamtbild erkennbar wird, ist es Zeit für den nächsten Schritt. KATA deckt verdächtige Aktivitäten auf und kann die Administratoren und SIEM (Splunk, Qradar, ArcSight) über jedwede unerfreuliche Entdeckung informieren. Und was sogar noch besser ist: je länger das System in Betrieb ist, und desto mehr Daten über das Netzwerk angesammelt werden, umso effektiver ist es, da atypisches Verhalten leichter zu erkennen wird.

Mehr Details darüber wie KATA funktioniert, gibt es hier.

Und ja; fast hätte ichs vergessen… wie viel kostet das?

Nun ja, darauf gibt es keine einfache Antwort. Der Servicepreis ist von einer Vielzahl Faktoren abhängig; dazu gehört unter anderem die Größe und die Topologie des Unternehmensnetzwerks, wie die Sicherheitslösung konfiguriert ist, und wie viele zusätzliche Services genutzt werden. Eine Sache ist allerdings klar: die Kosten sind unbedeutend verglichen mit dem potenziellen Schaden, den die Plattform abwendet.

Wer hat JFK umgebracht?

Wer kontrolliert das Bermuda-Dreieck?

Was wollen die Freimaurer wirklich?

Ganz einfach! Die Antworten zu diesen Fragen könnten nicht einfacher sein. Man muss nur eines hinzufügen: „laut Informationen anonymer Quellen“, und voila! — schon hat man die Antwort — auf jede Frage, auf alles, oder jeden. Und die Antworten sind gleich viel glaubwürdiger – nicht wegen ihrer… Glaubwürdigkeit, sondern aufgrund des Prestiges, das normalerweise dem entsprechenden Medium zugeschrieben wird, das die Geschichte veröffentlicht hat.

note to self: when I publish my next APT report, I'll make sure to quote at least two anonymous sources, for added credibility.

— Stefan Tanase (@stefant) August 14, 2015

Gerade eben brachte Reuters eine „weltexklusive“ Geschichte atemberaubender Proportionen aus der Antivirus-Welt. Der Artikel, gefüllt mit sensationellen – falschen – Anschuldigungen, behauptet, dass Kaspersky Lab (KL) sehr spezielle, gezielte Schadprogramme entwickelt und diese anonym an andere Antivirus-Hersteller gibt, um diesen Ärger zu machen und deren Marktanteil zu schädigen. Oh ja. Aber sie haben vergessen, hinzuzufügen, dass wir all das bei dampfenden Banya-Besuchen machen, nachdem wir unsere Bären, auf denen wir herumreiten, draußen geparkt haben.

I don’t usually read @reuters. But when I do, I see false positives. For the record: this story is a complete BS: https://t.co/m0Rcy2Vm6Y

— Eugene Kaspersky (@e_kaspersky) August 14, 2015

Die Reuters-Geschichte basiert auf Informationen, die von anonymen ehemaligen KL-Mitarbeitern kommen. Und die Anschuldigungen sind kompletter Unsinn, so einfach ist das.

Verärgerte Ex-Mitarbeiter sagen oft unschöne Dinge über ihre früheren Arbeitgeber, aber in diesem Fall ist das Ganze einfach nur lächerlich. Vielleicht konnten diese Quellen die Journalisten beeindrucken, aber meiner Meinung nach ist die Veröffentlichung solch einer „exklusiven“ Geschichte – OHNE EIN FITZELCHEN EINES BEWEISES – einfach nicht das, was ich unter gutem Journalismus verstehe. Ich würde nur gerne erfahren, was diese „Ex-Mitarbeiter“ den Medien beim nächsten Mal über uns erzählen und wer deren Bockmist vielleicht glauben wird.

In Wirklichkeit ist der Reuters-Artikel eine Verschmelzung einiger Fakten mit einem großzügigen Maß purer Fiktion.

To be honest: its quite annoying all these insinuating stories about Kaspersky. Haven't seen any solid evidence nor trustworthy sources.

— Rickey Gevers (@UID_) August 14, 2015

In den Jahren 2012 und 2013 hatte die Antivirus-Branche ein ernsthaftes Problem mit False Positives. Und leider waren auch wir unter den stark betroffenen Firmen. Das Ganze stellte sich als koordinierte Attacke auf die gesamte Branche heraus: Jemand verbreitete legitime Software, die mit schädlichem Code angereichert war, der speziell auf Antivirus-Engines verschiedener Firmen abzielte, auch auf unsere. Nach wie vor ist nicht bekannt, wer die Attacke startete, aber nun wird mir gesagt, dass ich das selbst gewesen sein soll! Das hätte ich nun wirklich nicht erwartet, und diese grundlose Anschuldigung hat mich echt überrascht!

Das war passiert: Im November 2012 produzierten unsere Lösungen False Positives zu mehreren Dateien, die eigentlich sauber waren. Dabei handelte es sich um den Steam Client, das Mail.ru Game Center und den QQ Client. Eine interne Untersuchung zeigte, dass diese Vorfälle das Resultat einer koordinierten Attacke durch Unbekannte waren.

Mehrere Monate vor diesem Vorfall bekam unser Viruslabor über brancheninterne Austauschkanäle wie die VirusTotal-Webseite laufend leicht modifizierte, legitime Dateien von Steam, Mail.ru und QQ. Die Ersteller dieser Dateien fügten Teile schädlichen Codes hinzu.

@DavisSec –> I agree. @e_kaspersky is very enthusiastic about #cybersecurity, but an industry saboteur seems unlikely. cc:@josephmenn

— John Bumgarner (@JohnBumgarner) August 14, 2015

Später kamen wir zu dem Schluss, dass die Angreifer wussten, wie unterschiedlich die Entdeckungsalgorithmen der einzelnen Hersteller arbeiteten und den schädlichen Code genau dort injizierten, wo die automatischen Systeme danach suchen würden.

Diese neu erhaltenen, modifizierten Dateien wurden als schädlich eingestuft und in unsere Datenbanken übernommen. Insgesamt erhielten wir mehrere Dutzend legitimer Dateien, die schädlichen Code enthielten.

Als dann die rechtmäßigen Entwickler der Dateien aktualisierte Versionen ihrer Software veröffentlichten, tauchten False Positives auf. Die Systeme verglichen die Dateien mit der Malware-Datenbank – die sehr ähnliche Dateien enthielt – und stuften die neuen, völlig legitimen Dateien als schädlich ein. Anschließend aktualisierten wir unsere Entdeckungsalgorithmen, um solche fehlerhaften Entdeckungen zu vermeiden.

Die Angriffe gingen das ganze Jahr 2013 weiter und wir bekamen ständig modifizierte Dateien. Und uns wurde klar, dass wir nicht die einzige Firma sind, die hier angegriffen wird: Andere Unternehmen erhielten diese Dateien ebenfalls und hatten die gleichen False Positives.

@davidu @josephmenn @e_kaspersky Vikram @symantec has stated they deeply investigated the FP issue in '13 and findings != K

— Christopher M Davis (@DavisSec) August 14, 2015

Im Jahr 2013 gab es daraufhin eine geschlossene Besprechung der führenden Sicherheitsfirmen und anderer Branchenmitglieder, die ebenfalls von den Angriffen betroffen waren – dabei waren auch Hersteller, die selbst nicht betroffen waren, aber über das Problem Bescheid wussten. Während dieser Besprechung tauschten die Teilnehmer Informationen zu den Vorfällen aus, versuchten die Gründe dafür herauszufinden und arbeiteten an einem Maßnahmenplan. Leider gab es dabei keinen Durchbruch, aber es wurden einige interessante Theorien bezüglich der Urheber der Angriffe ausgesprochen. Genauer gesagt, überlegten die Teilnehmer, ob ein anderer AV-Hersteller hinter den Angriffen stecken könnte oder ob es ein Versuch mächtiger Unbekannter war, ihre Schadprogramme anzupassen, um die Entdeckung durch die bekanntesten AV-Lösungen zu umgehen.

We had investigated these attacks but could not find out who was behind them. We had some suspects, Kaspersky was not one of them.

— Liam O'Murchu (@liam_omurchu) August 14, 2015

Vorwürfe wie diese sind nichts Neues. Schon in den 1990er Jahren habe ich ein Schild mit der Aufschrift „Nein!“ zu Pressekonferenzen mitgenommen. Das hat mir oft geholfen. Ich habe es einfach hochgehoben, wenn jede dritte Frage lautete „Schreiben sie selbst Viren, deren Infektionen sie dann mit ihren Produkten ‚heilen‘ können?“ Ja klar. Sicher. Und heute werde ich das immer noch gefragt. Glauben die Menschen wirklich, eine über 18 Jahre alte Firma, die zu 100 Prozent auf dem Vertrauen ihrer Kunden aufbaut, würde so etwas machen?

I really like @josephmenn but I am having a hard time with this @e_kaspersky story. I simply can't see them doing that.

— Christopher M Davis (@DavisSec) August 14, 2015

Es scheint, als würden diese Menschen es vorziehen, jemanden für schuldig zu halten, bis die Unschuld bewiesen ist. Aber ich glaube, solche Menschen wird es wohl immer geben. C’est la vie. Ich hoffe nur, dass alle anderen diese anonymen, dummen und grundlosen Anschuldigungen durchschauen… Ich kann sicher sagen, dass wir weiterhin mit der ganzen AV-Industrie zusammenarbeiten werden, um die digitale Welt sicherer zu machen, und dass wir zu unserem Wort stehen, Cyber-Bedrohungen aufzudecken und davor zu schützen, egal woher diese kommen mögen.

@e_kaspersky zu den haltlosen Vorwürfen, FALSE POSITIVES provoziert zu habenTweet

https://twitter.com/luludcheng/status/632241882437976064

Immer wieder einmal (alle paar Jahre oder so) passiert etwas wirklich Unschönes in der Cyber-Welt – etwas unerwartet Neues und Schlechtes, das die Welt verändert. Für die meisten „Zivilisten“ ist es nur die aktuellste Meldung im Strom anscheinend unvermeidlicher, beängstigender Cyber-Überraschungen. Und ich und meine Kollegen nicken, blinzeln, schneiden Grimassen und ziehen unsere Augenbrauen hoch wie Roger Moore, während wir Dinge sagen wie: „Wir haben sie erwartet, Mr. Bond. Was hat sie aufgehalten?“

Denn wir erkunden und analysieren laufend die Tendenzen des Dark Web, so dass wir eine Ahnung davon haben, wer hinter dessen Dunkel steckt und welche Motivationen die Hintermänner haben. Auf diese Art und Weise können wir voraussagen, wie sich manche Dinge entwickeln werden.

Immer wenn eines dieser „unerwarteten“ Dinge passiert, bin ich meist in der schwierigen Situation, eine Rede (eher mehrere Reden) halten zu müssen, bei der es um ein „Willkommen des neuen Zeitalters“ geht. Das Schwierigste ist, zuzugeben, dass ich nur eine Rede wiederhole, die ich schon vor Jahren gehalten habe. Das Einfache: Ich muss diese alte Rede nur aktualisieren und ein bisschen etwas hinzufügen, zum Beispiel „Ich habe schon davor gewarnt; und sie alle dachten, ich betreibe nur Panikmache, um Produkte zu verkaufen!“

Ok, Sie verstehen schon (niemand hört schließlich gerne „ich habe es ja gesagt“, also mache ich besser weiter 🙂 ).

Also, um welche unschöne Cyber-Überraschung geht es diesmal? Um eine, die einen Bereich betrifft, den ich sehr mag: die Welt der Automobile!

Vor ein paar Tagen veröffentlichte Wired einen Artikel, dessen erster Satz folgendermaßen lautet: „Ich fuhr mit 70 Meilen pro Stunde am Stadtrand von St. Louis, als der Exploit anfing zu arbeiten.“ Igitt!

Hackers Remotely Kill a Jeep on the Highway—With Me In It http://t.co/b5t9A5WVKg Thx @nudehaberdasher, @0xcharlie for not quite murdering me

— Andy Greenberg (@agreenberg at the other places) (@a_greenberg) July 21, 2015

Der Artikel beschreibt dann ein erfolgreiches Experiment, bei dem Hacker Sicherheitsforscher aus der Ferne ein Auto übernehmen, das zu intelligent ist: Sie haben (monatelang) das computerisierte Uconnect-System eines Jeep Cherokee analysiert, schließlich eine Sicherheitslücke gefunden und es geschafft, per Internet die Kontrolle über kritische Funktionen des Fahrzeugs zu übernehmen – während der Wired-Reporter das Auto auf einem Highway fuhr! Ich erzähle Ihnen hier kein Märchen. Wir sprechen hier nicht über einen „Laborfall“, bei dem ein einziges Mal ein Auto gehackt werden konnte. Nein, die Sicherheitslücke, die die Forscher gefunden und ausgenutzt haben, betrifft fast eine halbe Millionen Autos. Uups – und nochmal Igitt!.

Read on: HACKER, DIE IHR AUTO AUS DER FERNE STEUERN: JETZT MÖGLICH.

Zunächst eine kurze Zusammenfassung der ersten beiden Teile…

An der schweizerisch-französischen Grenze, in der Nähe von Genf ist das CERN zu finden. In seinen Gebäuden arbeiten moderne Alchemisten Wissenschaftler am Verständnis der fundamentalen Struktur des Universums. Sie zerschmettern Protonen und andere Partikel bei nahezu Lichtgeschwindigkeit und schleudern diese aufeinander, was verschiedene Arten von Quark-Gluon-Plasma sowie andere mysteriöse physikalische Phänomene erzeugt. Dann nutzen sie gewaltiges Hirnschmalz (Mathematik, Physik, Atomphysik, Quantenmechanik… und all das), Ingenieursfähigkeiten und Computerleistung, um die Ergebnisse der Kollisionen dieser fundamentalen Partikel zu verfolgen.

Wir waren vor kurzem hier und wurden ausführlich herumgeführt. Natürlich haben wir auch viele Fotos gemacht…

Der erste Beschleuniger, den wir gesehen haben, hat den Namen LEIR (Low Energy Ion Ring). Darin werden Blei-Ionen angesammelt. Hier kommen die Ionen vom Linearen Beschleuniger LINAC-3 zum LEIR, dann gehen sie durch einen PS-Ring, und dann in einen Komplex großer Ringe, unter anderem den Large Hadron Collider (LHC).

Read on: Das größte Gerät der Welt – Teil drei.

Die aktuelle Debatte nach David Camerons Vorschlag, in Großbritannien verschlüsselte, private Kommunikation zu verbieten, hat einige sehr wichtige Probleme aufgezeigt.

Der Vorschlag würde ein Verbot von Messengern wie WhatsApp, iMessage oder Snapchat in Großbritannien bedeuten. Technisch ist das zwar möglich, doch so ein Verbot für die Nutzung aller verschlüsselten Kommunikationskanäle ist nicht leicht durchsetzbar.

Und ich bezweifle, dass so etwas dem Land mehr Sicherheit im Offline-Bereich bringen würde.

Die Aufgabe von Sicherheitsdiensten und Strafverfolgungsbehörden ist, die Öffentlichkeit vor Kriminellen, Terroristen und anderen Bedrohungen zu schützen. Es scheint, als wollten Sicherheitsdienste die Möglichkeiten haben, auf unsere Kommunikationen zuzugreifen, um illegale Aktivitäten zu unterbinden und verhindern zu können, und um damit die Öffentlichkeit besser schützen zu können.

Doch Verschlüsselung ist lebenswichtig für die Cyber-Sicherheit und um Kommunikationen vor Hackern und Cyberkriminellen zu schützen. Müssen wir den Schutz unserer Daten und Online-Kommunikation aufgeben, um die Sicherheit im täglichen Leben zu verbessern? Ich bezweifle sehr, dass wir das tun sollte.

Ich denke, dass ein Verschlüsselungsverbot, wenn es denn eingeführt wird, die Offline-Sicherheit nicht fühlbar verbessern wird. Aber es wird auf jeden Fall den Stand der Cyber-Sicherheit verschlechtern und schließlich normale Anwender und Firmen allen möglichen Cyber-Angriffen, Hackings und Spionageversuchen aussetzen.

Regierungen haben schon oft versucht, die IT-Sicherheit zu untergraben, um Daten sammeln zu können. So haben wir in unserem Virenlabor bereits Schadprogramme mit der Qualität staatlicher Programme analysiert (etwa Flame), die unter anderem legitime Programme wie Microsoft Update ausnutzen.

Ich kenne den Wert der mit dieser Aktion gesammelten Daten nicht, doch die Existenz solcher Schadprogramme hat der globalen Cyber-Sicherheit nicht gut getan.

Ich glaube, das eigentliche Problem hier ist, dass globale Staatsführer und Geheimdienste anscheinend einen Widerspruch zwischen Sicherheit und Cyber-Sicherheit sehen; während die Cyber-Sicherheit eigentlich ein wichtiger und wertvoller Teil der allgemeinen Sicherheit sein sollte.

Vor ein paar Tagen kündigte Microsoft eine großangelegte Razzia von No-IP an, einem Dynamic-DNS-Service, in dessen Folge 22 Domains beschlagnahmt wurden. Die Jungs aus Redmond sagten aus, gute Gründe dafür zu haben: No-IP habe auf den Seiten alle möglichen unerwünschten Schadprogramme; No-IP sei eine Brutstätte für Cyberkriminelle; No-IP sei ein Epizentrum für zielgerichtete Attacken; und No-IP arbeite nie mit anderen zusammen, um das ganze Übel auszumerzen.

Wie bei den meisten Konflikten, haben beide Seiten die üblichen widersprüchlichen Mitteilungen veröffentlicht: „Es ist sein Fehler – nein, sie hat angefangen“.

No-IP sagte, der Service sei sauber und immer bereit, beim Kampf gegen Cyberangriffe zu kooperieren, während die Kunden der Firma sehr verärgert über die Razzia seien und sie für einen illegalen Angriff auf ein legales Unternehmen hielten – vor allem, da es möglich sei, praktisch überall Schadprogramme zu finden, so dass die gerichtliche Störung eines Dienstes einfach nicht gerechtfertigt sei.

Ist es legal, einen Dienst zu schließen, wenn dort #Schadprogramme gefunden werden?… Wenn man die überall finden kann?…

Und die Razzia war sehr weitreichend: Über vier Millionen Seiten wurden aus dem Web genommen, neben schädlichen allerdings auch harmlose Seiten. Insgesamt waren 1,8 Millionen Anwender davon betroffen. Microsoft versucht, die Spreu vom Weizen zu trennen und die sauberen Seiten wieder online zu bringen; allerdings beschweren sich nach wie vor viele Anwender über Störungen.

Herauszufinden, wer Schuld an dem Ganzen hat, ist eine undankbare und wahrscheinlich hoffnungslose Aufgabe. Solch investigativen Journalismus überlasse ich… den Journalisten. Stattdessen möchte ich Ihnen einige Denkanstöße geben: trockene, rohe Fakten und Zahlen – und vielleicht/hoffentlich kommen Sie dann zu Ihren eigenen Schlussfolgerungen bezüglich der Legalität und Sittlichkeit der Microsoft-Aktion…

1) Die Schließung der 22 No-IP-Domains betraf die Operationen von etwa 25 Prozent der zielgerichteten Attacken, die wir beobachten. Das sind Tausende Spionageaktionen und cyberkriminelle Angriffe der letzten drei Jahre. Ungefähr ein Viertel davon hat mindestens ein Command-and-Control-Center (C&C) bei diesem Hosting-Anbieter. So nutzen zum Beispiel Hackergruppen wie die Syrian Electronic Army und Gaza Team ausschließlich No-IP, während die Gruppe Turla den Anbieter für 90 Prozent seiner Seiten nutzt.

2) Wir können bestätigen, dass No-IP von allen großen Anbietern am schlechtesten kooperiert. So hat die Firma zum Beispiel all unsere E-Mails zu einem Botnetz-Sinkholing ignoriert.

3) Unsere Analyse aktueller Schadprogramme zeigt, dass No-IP oft von Cyberkriminellen für Bontetz-Control-Center genutzt wird. Eine einfache Suche über Virustotal bestätigt das mit harten Zahlen: Insgesamt stammen 4,5 Millionen einzigartige Schadprogramm-Samples von No-IP.

4) Allerdings zeigen die aktuellen Zahlen unserer Security-Cloud (KSN) weniger eindeutige Ergebnisse. Hier eine Tabelle mit entdeckten Cyberattacken von Dutzenden der größten Anbieter dynamischer DNS-Dienste:

Read on: Jenseits von Gut und Böse?

In meinem Job komme ich viel in der Welt herum, spreche bei Konferenzen und treffe mich mit anderen Experten, um ihnen meine Geschichten zu erzählen und mir ihre anzuhören. Und eines Tages habe ich mir gedacht, warum sollte man diese Geschichten nicht auch hier erzählen? Darum hier einige auf recht unterschiedliche Art „witzige“ (wortwörtlich und im übertragenen Sinne) Geschichten aus der Welt der IT-Sicherheit.

Read on: Anekdoten von der IT-Security-Front

Sie werden ohne Zweifel mit der folgenden Beobachtung übereinstimmen:

Man sieht sie überall: Leute in Aufzügen, Cafés, U-Bahnen, Taxis, Flughäfen, Flugzeugen, bei Konzerten und Partys, auf Bürgersteigen und in dunklen Kinos (Verdammt!) – im Grunde in fast allen möglichen Situationen gibt es einige – nein, viele –, die sich auf Smartphones, Touchscreens oder Tablets konzentrieren oder darauf herumtippen. Und seien wir ehrlich – Sie machen das auch, oder? (Aber natürlich nie im dunklen Kino 🙂 )

Aber was machen diese ausdauernden Smartphone-Tipper die ganze Zeit? Spielen? IMing? Filme ansehen, Nachrichten oder ein E-Book lesen?

Alles möglich. Doch meist habe ich beobachtet, dass viele Leute zu jedem passenden Zeitpunkt, Tag und Nacht, bei gutem und schlechtem Wetter ihreArbeits-E-Mails lesen und Dinge für ihre Arbeit erledigen. Und das auf ihren eigenen absurd teuren Smartphones! Außerhalb der Geschäftszeiten. Ohne Zwang und mit viel Enthusiasmus, oder zumindest ohne zu Murren :). Ich sehe manchmal sogar jemanden seufzen und unbewusst einen Schmollmund ziehen, dass keiner schreibt!

Woher kommt dieses plötzliche „24 Stunden im Büro, irgendwie“? Vielleicht ist es ein trickreicher Virus, der die Gehirne der Anwender direkt vom Blidschirm aus infiziert? (Hmmm, das wäre eine Idee für den 1. April 2013 🙂 ). Oder hatten die Business-Management-Gurus die ganze Zeit unrecht, wenn sie über Mitarbeitermotivation sprachen? Alles was es brauchte, war, schöne kleine Glas-Geräte mit Internetzugang – gekauft vom Mitarbeiter möchte ich hinzufügen – ans Firmennetzwerk anzuschließen. Was könnte einfacher sein? Und das ist genau, was passiert ist; hier der Beweis: Laut Forrester nutzen 53 Prozent der Angestellten ihre privaten Geräte für die Arbeit.

Read on: MDM: Mobil-Disziplin-Meisterschaft.

Ein ernstes Thema, über das ich in den letzten Jahren immer wieder kritisch geschrieben und gesprochen habe, hat sich jetzt endlich durch die Ränge der Macht hochgearbeitet, und wird offiziell beachtet – und verurteilt. Sogar vom Präsidenten der USA! Am Tag vor dem President’s Day hat Barack Obama einen Tadel gegen Patent-Trolle ausgesprochen. Als er um einen Kommentar zur aktuellen Situation beim Schutz geistigen Eigentums und den Missbrauch von Patenten gebeten wurde, brachte er folgendes Juwel:

„Die Leute, über die Sie sprechen [Patent-Trolle] sind ein klassisches Beispiel; Sie produzieren selbst nichts. Sie versuchen nur, die Ideen von anderen für sich zu nutzen und zu übernehmen, und sie versuchen, daraus für sich Geld heraus zu holen.“

Nicht schlecht. Endlich etwas Verstand an der Spitze! Er hat weiter gesagt, dass Patent-Trolle (wobei das nicht der Begriff war, den er benutzte) eines der Dinge repräsentieren, die derzeit im amerikanischen Patentsystem schief laufen. Anschließend sprach er über die Bestrebungen seiner Regierung, eine Patentreform durchzuführen:

„Ich glaube, dass unsere bisherigen Bemühungen bei der Patentreform nur die halbe Strecke geschafft haben. Wir müssen weitere Unterstützer zusammenbringen und versuchen, einen Konsens für ein intelligenteres Patentrecht zu schaffen.“

Etwas mehr Infos zu Obamas Kommentaren finden Sie hier, oder schauen Sie sich das Video an – ab der 16. Minute:

Read on: Obama: Patente nicht gerade patent.