Under attack – security operations

While working for security, I’ve faced several challenging situations, working with management, researchers, foresics, police –  but only 3 where I will think of after retirement (so far ;-)).

I would like to express them here and share some lessons I learnt…

a) LoveLetter

The story is simple: I think I was one of the first finding the code. When I came to the office in the morning the mailserver hang and was full of spam email trying to send out (which was blocked on Checkpoint Firewalls by the way).

I analysed the email attachment (encrypted VB script which I decode by writing my own functions for analysing it) and I sent my findings to our partner – Kaspersky Labs. Half an hour later they respond to me that this was known and old and I don’t need to take care of. As I was young and had a high respect towards the “experts”, I called myself stupid…

2 hours later heise published an article about a guy somewhere else in Germany who found a critical worm called “LoveLetter”…

That could have been my starting point towards a brilliant career in security and could have build a great reputation… 😉 I missed it and guess what? I’m still doing security and I’m still good…

b) MSSQL-Worm

When this came up I had a day off at the company I worked for. I was at a drivers training with my own car… This was the time I did a hard call completely disconnecting an international company from the internet for several hours until we got the situation under control – by the way, we don’t get infected, we were quick enough.

To be correct, it was not my call alone, my manager agreed, but it was the first time I realized the responsibility towards a company infrastructure and the importance of balance and the right strategy.

The other learning to took out of this scenario was the fact that not all systems can be patched due to financial constrains. This was the time when I reduced to talk about security as burden, as something nobody want to take attention to. Instead I changed my message towards the term “Risk Management” – as it’s always the question on how much risk you are willing to take.

c) Emotet

Risk, and how much you want to take, is the driver for successful emotet attacks. There are software solutions and (more important) process and training ideas to reduce the probability of a successful cyber attack, but they do cost work, time and money.

Seeing a screenshot showing an anti-virus software that it found a virus, is nothing important. But if it comes from a client computer and the executing user was a domain admin – well – than you realize, you have a problem…
Emotet – with the consequence of taking a company down for weeks and with all the fear and wild running people – this is what your personal stress-test is about.

An experience you don’t want to go for again. Because – independent how good you have acted, how secure you operated, how creative your team was to find secure operational ways – there will be always someone from external claiming to be better – and, of course, faster.

And believe me: the big consultant companies (KPMG, PWC, BearingPoint, Deloitte etc) they know how to sell their view to your C-level – even when they never had talked to you. The challenge is to bring the attention to the dynamic of these attacks, the affected underlying infrastructure and the time you need to keep your company secure. The physical limits of the infrastructure cannot be expanded in the short term by more manpower.

The simple fact about Emotet? We defend it, no encryption happened, only some passwords stolen, etc… Yes, they came in, but we were fast and hard enough to do the right calls! And we had a setup which was robust enough. We kicked them out! This time.

The end

In summary, modern security operation has not yet achieved the level it can be. There are still skilled security experts required, to do the correct judgement and get the right conclusions. I’ve meet serveral companies – splunk for instance – claiming that they do have KI technology in place. They might be right, but this KI is not what I expected.

Behaviour based detection and analytics in combination with existing multi-layered protection approaches and and indeep view into the environment should be basic. The same level of importance should be raised towards the need of playbooks and general operational standards. But any technology will fail if there is not the rigth level of attention from c-level to this. This includes the need of a dedicated security team lead by a CISO.

I’ve seen people being completely convinced on their systems, on their approaches, that they could not imagine that an attacker could find another way. These are the one who will fail – at a point in time.

This leads finally to some sentences driving this part of my life:

1. The last limit is your imagination.

2. The only way to be safe is to never be secure. (Benjamin Franklin?)

3. They all cook with water only. (a german sentence – maybe better: Everyone puts their pants on one leg at a time.)

Happy hunting!

Related Images:

Die Postkarte

Der Grad der Vertraulichkeit von Kommunikation zwischen Menschen hängt immer auch vom gewählten Kommunikationskanal ab. Es hat sich eingebürgert die eMail als Equivalent zum alten direkten Brief zu betrachten. Also ein Schreiben von Einem zum Anderen. Geschützt durch das Fernmeldegeheimnis.

Leider hat die Sache einen Haken. Eine eMail ist kein Brief, sondern eine Postkarte. Jeder, der sie transportiert kann sie auch lesen. Erst wenn eine eMail verschlüsselt wird – also die Postkarte in einen Briefumschlag gesteckt wird – kann man die eMail mit einem Brief vergleichen.

 

Related Images:

Einführung in Verschlüsselung

Mit Prism und Tempora ist jedem Menschen klar geworden, dass seine Nachrichten zu keiner Zeit vertraulich und privat sind. Seit Jahren haben einige davor gewarnt, nun wird diese Tatsache für uns alle zum anerkannten Fakt.

Dennoch haben viele Menschen das grundsätzliche Bedürfnis, dass ihre Privatsphäre respektiert wird. Sie möchten nicht immer darüber nachdenken müssen, was sie sagen und schreiben, weil sie Angst vor falschen Verdächtigungen, Nachstellungen und Störungen in ihrer Umwelt haben – oder zumindest haben sollten!

Ende-zu-Ende

Die Wege, die unsere Nachrichten im Internet nehmen, können wir nicht kontrollieren. Wir haben wieder einen Beweis erhalten, warum wir unserem eigenen Staat (und den “befreundeten” Staaten) nicht mehr trauen dürfen. Es ist deshalb Notwehr, die Daten direkt bei uns bis hin zum Empfänger durchgehend (Ende-zu-Ende) zu verschlüsseln.

Das Konzept der Ende-zu-Ende-Verschlüsselung sieht vor, dass nur der Sender und der Empfänger die Nachricht im Original kennen. Der Transport der Nachricht erfolgt über unsichere Wege, die transportierte Nachricht kann sogar leicht abgefangen werden. Aber sie kann nicht gelesen werden, sie ist unnütz, da nur Sender und Empfänger die Nachricht in ihr Original verwandeln können.

Der Schlüssel

Das Konzept ist dabei immer dasselbe. Die Nachricht wird mit Hilfe eines Schlüssels so verändert, dass nur der Besitzer des Schlüssels (oder einer Kopie davon) die Nachricht wieder herstellen kann.

Denken wir an den alten Cäsar Cipher. Der Name klingt unbekannt und doch haben viele als Kinder im Spiel diese Ersetzung benutzt: Man legt 2 Streifen mit dem Alphabet übereinander und verschiebt einen Streifen um, sagen wir, 4 Buchstaben. Beim Schreiben der geheimen Nachricht wird jeder Buchstabe des einen Streifens mit dem entsprechenden des anderen Streifens (4 Stellen weiter) ersetzt. A wird zu E, B wird zu F, C wird zu G und so weiter.

Um den Zugang zu einer Nachricht zu erschweren, braucht man also 2 Dinge:

  • Einen Schlüssel – beim Cäsar Ciper ist das die Anzahl der Stellen, um die wir das Alphabet verschieben
  • Den Verschlüsselungsalgorithmus – beim Cäsar Ciper ist das die Tatsache, dass wir das Verschieben von Alphabet-Streifen nutzen

Unsere Wohnung

Wenn wir unsere Haustür abschließen, passiert im Prinzip das gleiche. Wir erschweren den Zugang zu unseren Dingen, die im Haus lagern. Wir lagern diese Dinge in einem Gebäude mit einem Türschloss (Algorithmus). Mit Hilfe eines Schlüssels bekommen wir den Zugang zu unserem Inhalt.

Wir haben also einen Schlüssel und nur der Besitzer dieses Schlüssels kommt berechtigt in das Haus – also sozusagen an den Inhalt. Wichtig ist es, hierbei zu erkennen, dass wir den Zugang zu unserem Haus nicht absolut dicht machen können.

Der Einbrecher

Wir wissen, der Einbrecher nutzt unterschiedliche Techniken, um unbefugt in unser Haus zu kommen. Zum Beispiel:

  • Er macht sich eine Kopie von dem Schlüssel oder nutzt einen Originalschlüssel
  • Er knackt das Türschloss, ohne den Schlüssel zu besitzen
  • Er nutzt einen anderen Weg (z.B. Fenster) in das Haus.

Wir wissen, wenn jemand in das Haus hinein will, wird er auch einen Weg finden. Mit Hilfe von Fenstersicherungen, Alarmanlagen und Wachpersonal können wir diesen Weg in das Haus so schwer machen, dass für den Einbrecher der Aufwand in keinem Verhältnis mehr zum Nutzen steht. Es hängt also davon ab, für wie schützenswert wir die Dinge halten, die wir im Haus lagern.

Codebrecher

Ähnlich wie mit den Einbrechern in unser Haus ist es mit den Einbrechern in unsere digitale Kommunikation. Die Kryptoanalyse ist das Fachgebiet, welches sich mit der Entschlüsselung von Informationen beschäftigt, wenn KEIN berechtigter Zugang zur Information existiert. Menschen und Systeme, die sich mit diesen Techniken beschäftigen, sind sozusagen die Einbrecher in unser Haus.

Verschlüsselung einfach technisch

Für die Verschlüsselung der eigenen Online-Kommunikation braucht es drei Dinge:

  • Eine Nachricht (zB. eMail)
  • Einen Verschlüsselungsalgorithmus (zB. AES )
  • Einen Schlüssel

Die Nachricht wird mit Hilfe des Verschlüsselungsalgorithmus und des Schlüssels so verfremdet, dass sie nicht mehr lesbar ist. Um sie wieder lesbar zu machen, braucht man den Algorithmus und den Schlüssel.

Das Problem mit dem Schlüssel

Das alles wäre soweit ganz einfach, wenn es da nicht ein Problem gäbe. Irgendwie müssen Sender und Empfänger den Schlüssel erst einmal austauschen. Bei unserem Haus geben wir den Schlüssel oder Kopien davon an Menschen, von denen wir wollen, dass sie auch in das Haus kommen. Wenn diese Menschen aber in Australien wohnen würden, wäre das mit der Schlüsselübergabe etwas schwieriger.

Mit den digitalen Schlüsseln ist es genau das gleiche Problem. Wie bekomme ich den Schlüssel vom Sender zum Empfänger? Per E-Mail scheidet aus. Hier könnte ich den Schlüssel gleich auf eine Postkarte kleben und in den Briefkasten werfen. Ebenso wissen wir seit den 80er Jahren von Programmen wie Echolon – so dass die Schlüsselübergabe per Telefonanruf auch nicht der sicherste Weg ist, da fast alle Kommunikation abgehört wird.

Das besondere Schlüsselsystem

Und an dieser Stelle wird die digitale Welt einzigartig. Wir bedienen uns speziellen mathematischen Funktionen, die es möglich machen, statt einen Schlüssel ein Schlüsselpaar zu bekommen. Von diesem Paar ist ein Schlüssel „öffentlich“ und der andere „privat“.

Statt wie bisher den gleichen Schlüssel zum Verschließen und Öffnen zu verwenden, kann jeder Teilschlüssel des Schlüsselpaars nur in eine Richtung verwendet werden. Entweder zum Verschließen oder zum Öffnen. Wir machen uns also keine Gedanken mehr, wem der „öffentliche“ Schlüssel in die Finger geraten könnte, denn damit kann man zwar verschlüsseln, aber nicht entschlüsseln.

Und so lösen wir das Problem wie der Schlüssel zum Empfänger kommt. Denn der benötigte Teilschlüssel (Publickey) ist ja jetzt öffentlich. Wir hinterlegen diesen öffentlichen Schlüssel einfach irgendwo im Netz. In der wirklichen Welt würde man sagen – irgendwo bei einem Notar oder einer Bank beispielsweise.

Das Versenden von Nachrichten

Wenn wir also eine Nachricht an jemanden senden wollen, müssen wir uns nicht mehr auf einen gemeinsamen Schlüssel einigen. Wir suchen einfach im Internet den öffentlichen Schlüssel des Empfängers und verschlüsseln die Nachricht damit.

Nur der Empfänger, der als einziger den privaten Schlüssel (Private Key) besitzen sollte, kann diese Nachricht wieder entschlüsseln. Dieses Verfahren heißt deshalb Public-Private-Key Verfahren oder asymetrische Verschlüsselung.

Digitale Signatur

Wir haben ein Schlüsselpaar aus einem privaten und einem öffentlichen Schlüssel. Bei Nachrichten, die verschlüsselt werden sollen, nutzt der Absender den öffentlichen Schlüssel des Empfängers. Interessant ist die Tatsache, dass die Schlüssel auch noch umgekehrt genutzt werden. Beim Unterschreiben will der Absender dem Empfänger ja mitteilen, dass genau er es war, der die Nachricht geschrieben hat. Und das wiederum kann der Absender nun mit seinem PRIVATEN Schlüssel tun. Und der Empfänger kann mit dem ÖFFENTLICHEN Schlüssel des Absenders überprüfen, ob die Nachricht tatsächlich vom Absender kam.

Also:

  • Verschlüsseln mit dem öffentlichen Schlüssel des Empfängers
  • Unterschreiben mit dem privaten Schlüssel des Absenders

Das Problem des Vertrauens

Wenn wir also eine Nachricht versenden wollen und wir finden irgendwo den öffentlichen Schlüssel des Empfängers. Woher wissen wir dann, dass der öffentliche Schlüssel TATSÄCHLICH dem Empfänger gehört? Hätte nicht unser Einbrecher einfach versuchen können, sich als der freundliche Nachbar von nebenan auszugeben um mich zu täuschen?

An dieser Stelle erkennen wir, dass am Ende immer irgendwo Vertrauen existieren muss. Wir müssen dem Nachbar vertrauen, dem wir den Schlüssel geben, oder dem Notar, der Bank oder dem Freund. Wir vertrauen ihnen, dass sie den Schlüssel für mich und andere sicher aufbewahren.

Digitales Vertrauen

Für dieses Problem gibt es zwei grundsätzliche Lösungen in der digitalen Welt. Eines davon ist strikt hierarchisch aufgebaut. Es gibt eine zentrale Stelle, einen Notar oder eine Bank sozusagen. Ein Trustcenter. Wenn diese Stelle die Echtheit eines Schlüssels bestätigt, und wir dieser Stelle vertrauen, dann vertrauen wir auch dem Schlüssel selbst. Wir vererben praktisch das Vertrauen.

Dieses Verfahren kommt zum Beispiel bei Zertifikaten zum Einsatz. Wenn man ein solches Verfahren großflächig einsetzen möchte, spricht man von einer PKI – eine Public Key Infrastruktur. Denn was passiert zum Beispiel wenn ein Schüssel nicht länger gültig sein darf, weil der Einbrecher den privaten Schlüssel gefunden und kopiert hat?

In Finnland wird das ganze bereits in den 90er Jahren über ein staatliches Trustcenter umgesetzt. Alle Personalausweise haben einen privaten Schlüssel zu dem es einen öffentlichen Schlüssel bei diesem Trustcenter gibt. Dort kann man also ganz einfach die Echtheit eines Schlüssels überprüfen – wenn man dem Staat traut. Genau genommen ist in Finnland auf den Personalausweisen ein Zertifikat. Aber das führt hier zu weit.

Und damit sind wir bei der zweiten Lösung. Der Begriff heißt „Web-of-Trust“ oder Netz des Vertrauens. Das Prinzip beruht darauf, dass wir Menschen in unserer Umgebung unterschiedlich stark vertrauen. Menschen, denen wir besonders stark vertrauen glauben wir auch, wenn sie uns andere Menschen empfehlen. Durch solche Vertrauens- und Empfehlungsketten entsteht ein Netz des Vertrauens, und man kann Menschen vertrauen, die man gar nicht kennt.

In der Praxis wurde dieses Verfahren durch Phil Zimmermann’s PGP (Pretty Good Privacy – heute GPG) umgesetzt. Vermutlich spielte auch die gerade zu dieser Zeit gemachte Entdeckung eines speziellen NSA-Abhörchips für alle Computer (Clipper / Skipjack) eine Rolle, dass man grundsätzlich über die Frage des Vertrauens gegenüber Behörden nachdachte.

Abwägungen

Gegen das PKI-System spricht das Problem des Vertrauens in eine einzige zentrale Stelle, gegen das Web-of-Trust das Problem dieses zu verteilen und aufzubauen.

Im beruflichen Umfeld ziehe ich gegenwärtig die PKI-Lösung mit Zertifikaten vor, denn Zertifikate spielen in einigen anderen technischen Umsetzungen ebenfalls eine Rolle und das Handling von Zertifikaten ist bei einigen Betriebssystemen bereits integriert.

Im privaten Umfeld erscheint aber die PGP /GPG- Lösung geeigneter, da sie dezentral funktioniert und auch in anderen Open-Source Anwendungen umgesetzt werden kann. Es wird auf eine zentrale Vertrauensstelle verzichtet.

Dass ich im obigen Artikel nicht über die tatsächlich stattfindende hybride Verschlüsselung schreibe und manche Fakten arg strapaziert habe, möge mir der Experte verzeihen.

Fazit

Verschlüsselung ist einfacher, als man glaubt. Jeder, der das Internet für seine private Kommunikation nutzt, kann diese selbst verschlüsseln – damit der Staat ab morgen wieder klingeln muss, wenn er sich Zugang zu unserem privaten digitalen Wohnzimmer verschaffen möchte.

Allerdings fehlt immer noch ein Massenprodukt auf dem Markt, welches allen Anforderungen gerecht wird – speziell wenn es um die einfache Bedienbarkeit geht. Wichtig wäre es deshalb, wenn von öffentlicher Seite her die Forschung und Entwicklung an freier und im Quellcode offener Software und Diensten gefördert wird, die eine sichere Kommunikation und den Schutz unserer Privatsphäre im Netz sicherstellen.

Aktuell wird auf EU-Ebene das Horizon2020-Rahmenforschungsprogramm ausgestaltet. Das wäre die nächste große Chance für alle europäischen Regierungen, ihre Bürger in Zukunft besser zu schützen – auch wenn bezweifelt werden darf, dass es dafür von Regierungsseite ein ausreichendes Interesse gibt.

 

Über den Autor: Oliver Grube (43) ist CISSP (Certified Information System Security Professional) und verantwortet bei einem internationalen Lebensmittelhersteller die Netzwerksicherheit in Europa. Als Mitglied der Piratenpartei kandidiert er in Schleswig-Holstein für den Bundestag.

Related Images:

VDS – Wo ist denn das Problem?

Die Vorratsdatenspeicherung ist ein „no-go“ für die Piraten. Interessant wird es, wenn man sich dem Thema auf rein datentechnischer Ebene nähert. Denn, ohne es beweisen zu können, behaupte ich, einige der Techniken der VDS werden schon seit Jahren im professionellen Umfeld eingesetzt.

Die Verbindungsdaten

Das heutige IPFIX Protokoll (RFC 3917) ist aus den “netflow” Protokollen entstanden. Diese wurden entwickelt, um Netzwerknutzung zu analysieren, visualisieren und Dienste wie zum Beispiel Quality-of-Service anbieten zu können. Kurz:

Im Business ist die Aufzeichnung und Analyse von Verbindungsdaten Alltagsgeschäft.

So genannte SIEM (Security Information and Event Monitoring) Systeme bieten diese Datenkorrelation ebenfalls an. Hierbei werden noch viel mehr unterschiedliche Datenquellen zur Korrelation hinzugezogen. Zur Vollständigkeit zu erwähnen ist ebenfalls, dass nicht alle Verbindungsdaten auf dem Internet Protokoll basieren und deshalb bereits heute andere Aufzeichnungs- und Analyseverfahren hierfür existieren.

Das ist die erste Datenhälfte, die bereits heute erhoben wird. Allerdings nicht überall und nicht immer im gleichen Umfang.

Die Stammdaten

Der zweite Teil, sind die Accountdaten, die Stammdaten der Benutzer. Name, Anschrift, und wann der Benutzer für wie lange sich mit den angebotenen Diensten verbunden hat. Auch diese Daten werden heutzutage fast immer erfasst. Ob zu Abrechnungszwecken oder zur Beweisführung im Streitfall ist dabei zunächst nicht relevant. Anders als die technischen Daten oben, werden diese Daten von fast allem Anbietern erfasst und man ist darauf angewiesen zu glauben, wie lange diese Daten wirklich gespeichert werden.

Die Zusammenführung

Die Vorratsdatenspeicherung sorgt für eine formale Verbindung zwischen den Verbindungsdaten und den Stammdaten, indem die zu einer bestimmten Zeit durch einen bestimmten Stammdatensatz verwendete Netzwerkadresse für einen längeren Zeitraum gespeichert wird. Hinzu kommen bei der Vorratsdatenspeicherung noch Maßnahmen, die eine mögliches geringes Verfälschungsrisiko der gewonnen Daten garantieren sollen.

Das Problem

Wäre es möglich, diese zusammengeführten Daten so zugriffs- und manipulationssicher aufzubewahren, dass sie einzig und alleine der Verbrechensaufklärung dienen würden (vergleichbar mit der Vernehmung von Zeugen) so wäre ich FÜR eine Vorratsdatenspeicherung. Als Instrument der Verbrechensbekämpfung erscheint die Vorratsdatenspeicherung sinnvoll. Sie erlaubt den Strafverfolgungsbehörden Ihre Aufgabe auch in der digitalen Welt weiter zu führen. Ähnlich, wie es ein Bundestrojaner oder andere Ermittlungstaktiken tun.

Das Problem ist nicht der Ansatz und die berechtigten Interessen der Verfechter der VDS.

Das Problem liegt tiefer. Es liegt im Menschen und im System:

Daten sind nicht sicher aufbewahrbar. Sie sind per se manipulierbar. Ihre Existenz alleine gefährdet Ihre ursprüngliche Legitimation. Denn Daten wecken Begehrlichkeiten. Es ist vorhersehbar, wie auf kurz oder lang sogar der Autoversicherer wissen will, wie häufig der Kunde auf Internetseiten gesurft hat, die Versicherungsbetrugspraktiken erklären. Das ähnlich dem Massen-Gentest wir alle gebeten werden, doch einfach unsere Verbindungsdaten zur Entlastung offen zu legen. Und dann ist da ja noch die GEMA…

Das zweite große Problem ist Ihre scheinbare Unanfechtbarkeit. Inzwischen wissen wir, dass ein Fingerabdruck mehrfach existieren kann – bei Zwillingen zum Beispiel. Trotzdem ist es immer noch so, dass der Fingerabdruck ein sicheres Indiz für die Täterüberführung ist. Auch wenn die Häufigkeit eines doppelten Fingerabdrucks mir von jedem Statistiker um die Ohren geworfen wird, so ist alleine die Tatsache, dass sie existiert ein Grund für einen berechtigten Zweifel an der Schuld.

Computerdaten sind um ein vielfaches einfacher zu manipulieren. Je besser das Schutzsystem dieser Daten, desto höher die Überzeugung der Hersteller/Sachverständigen, dass es nicht manipulierbar ist. Wenn ein Angreifer es schaffen würde, mit den Kennungsdaten Deines Handy eine telefonische Bombendrohung bei der Polizei auszusprechen – und die freundlichen Beamten klingen dann an Deine Türe… der Rechtstreit wird Dich viel Zeit und Nerven kosten!

Das dritte Problem ist das Rechtsverständnis unserer Gesellschaft. Unschuldig bis zum Nachweis der Schuld. Keine Vorverurteilung, keine Lynchjustiz und ein fairer Prozess. All das sind Errungenschaften die den Bürger vor dem Staat schützen sollen und deren Ziel es ist, Rechtstaatlichkeit zu garantieren. Bei der Vorratsdatenspeicherung – ähnlich wie beim Massen-Gentest – wird an diesen Prinzipien heimlich manipuliert. Es werden Fakten geschaffen – natürlich nicht im Großen und Lauten, sondern im Kleinen und Stillen, die unseren Rechtsstaat aushebeln.

Zusammenfassung

Wenn wir in 20 Jahren zu Unrecht verdächtigt werden (kann das jemand ausschließen?), dann bleibt zu hoffen, dass unsere Warnungen heute gehört wurden. Fälle, die auf falschen Daten basieren gibt es einige. Wer erinnert sich nicht an die ältere Dame, die obwohl nachweislich im Urlaub gewesen, tausende geschützter Musikstücke gehandelt haben soll?

Die Probleme der VDS sind um ein Vielfaches schwerer als es die schlimmste Tat jemals sein könnte. Um Kinderschänder, Terroristen, Vergewaltiger und Raubkopierer zu verfolgen und hängen zu sehen, nehmen wir den massiven Eingriff in die Grundwerte der Gesellschaft in Kauf. Und vergessen dabei, dass diese Grundwerte nicht nur die Täter, sondern JEDEN einzelnen von uns schützen.

Related Images:

IT Risiko der Piraten

Risiko ist das, was unser Leben -oft unbewußt- bestimmt. Wenn IT Security “Experten” von Security sprechen, so assoziieren wir unter anderem die Sicherheitsleute, die Zollkontrollen und all das, was wir als Einschränkung unserer Freiheit wahrnehmen – nicht zu letzt die ewigen Passwortprobleme. Der Begriff Security ist folgerichtig negativ belegt. Deshalb habe ich mir angewöhnt statt von Security lieber von Risiken zu sprechen – denn mit dem Begriff verbinden wir wertneutraler eine allgemeine Thematik.

Hinweis vorweg: Ich nehme keinesfalls in Anspruch, den nachfolgenden Text als vollständig und fehlerfrei verkaufen zu wollen. Es ist ein Kompromiss zwischen meinem Interesse das Verständnis in diesem Bereich zu fördern einerseits und der dafür ohne Auftrag aufgewandten Zeit andererseits. Es ist (m)eine Sicht der Dinge und bestimmt nicht die einzig mögliche Sichtweise.

In Abschnitten:

  1. Die Angreifer
  2. Der Angriff
  3. Die Abwehrmaßnahmen
  4. Der Schaden
  5. Die Wahrscheinlichkeit
  6. Das Risiko
  7. Abschließend

Die Angreifer

Grundsätzlich ist jede konkurrierende Interessensgruppe potentieller Nutznießer einer Schadenssituation bei den Piraten. Das heißt folgerichtig, dass eine Vielzahl an Organisationen und Menschen mit den entsprechenden Möglichkeiten Angriffe auf die Piraten durchführen könnten.

Glücklicherweise ist der Großteil dieser Gruppen sehr wohl in der Lage diese Angriffe auf nicht-technischer Ebene, zum Beispiel durch gute Mediennutzung auszuführen. Hierbei muss dann auch seltener die Schwelle zur Illegalität überschritten werden und der Schaden in der Reputation kann sogar längerfristig wirken.

Neben der oben genannten Gruppe von kontroversen Interessensvertretern, gibt es weitere Gefahrengruppen. Zum Beispiel könnten extremistisch-ideologische Einzeltäter sich durch den Erfolg der Partei genötigt sehen, Ihr einen Dämpfer zu verpassen. Auch könnten ambitionierte Datenreisende („Script-Kiddies“) einfach Freude am Versuch haben.

Von ernstzunehmenden Angriffen, die kein kompromittierendes Ziel verfolgen, sondern die Sicherheit von Systemen erproben und verbessern (ethical hacking), könnte ebenfalls eine Gefahr ausgehen, die ich aber persönlich eher als gering einstufen würde.

Der Angriff

Das Dienste durch das Ausnutzen legaler Technologie zu einem Ausfall gebracht werden können ist nicht neu. Ein solcher Angriff ist zwar ärgerlich, aber wenn die Verfügbarkeit der Systeme unproblematisch ist, ist er auch nicht nachhaltig schädlich. Der Ausfall von Diensten zu bestimmten Zeiten (z.B. heiße Wahlkampfphase, großes Live-Event etc.) kann aber sehr wohl zu Schädigungen in der Außenwahrnehmung führen.

Nun aber gesetzt dem Fall, wir haben es mit einem Angreifer oder einer Angreifergruppe zu tun, deren Ziel nicht ein Ausfall der Systeme (deny of service), sondern ein gezieltes Kompromittieren ist. Hierbei kommt es dann gewöhnlich zu einem überlegten Einsatz von vielen Techniken und Methoden. Techniken des Social Engineering (z.B. Spearfishing) genauso wie Netzwerkangriffe (wiretapping, DNS re-route, crafted network packages, etc.) und zero-day Vulnerabilities kommen zum Einsatz. Und, nicht zu vergessen, der Angreifer verfolgt im der ersten Angriffswelle ein Ziel und hat viel Zeit dieses zu erreichen. Er braucht Zugang zu dem System.

Das Vorgehen sähe dabei in etwa so aus:

  1. Informationen über die eingesetzten Systeme sammeln (locations, IP, OS, Apps, extensions, routing etc.)
  2. Informationen über die Menschen dahinter sammeln (Aufgaben, Background, Sicherheitsempfinden, Aufmerksamkeit, Vorlieben, Interessen etc)
  3. Das anzugreifende System wählen (Geringe Wartung, bekannte Vulnerabilities, hoher vermuteter Informationsgehalt, unzureichende Schutzmechanismen)
  4. Angriff ausführen
  5. Hintertür einbauen und Spuren verwischen
  6. Systemdaten kopieren und offline analysieren (logs, Webroots, registry, /etc dir,  pam, history, snmp strings, temp folders etc.)
  7. gefundene Accountdaten und Informationen bei anderen System über den offiziellen Zugriff probieren
  8. Schaden anrichten

Die Abwehrmaßnahmen

Die wichtigste Abwehrmaßnahme ist nicht in der Technologie, sondern im Menschen zu finden. Ein hohes Sicherheitsbewußtsein aller Beteiligten ist DIE Grundvoraussetzung für erfolgsversprechende ernsthafte Gegenmaßnahmen. Hierbei aber muss die Technik helfen. Denn vor jeder Gegenmaßnahme steht das Erkennen eines Angriffs.

Deny of Service Angriffe
Gegenmaßnahmen für eine Teilgruppe der DOS (Deny of service)-Angriffe lassen sich einfach umsetzen (Patching, Kapazitätsplanung). Gegenmaßnahmen für den Bereich der netzwerkbasierten DOS Angriffe sind aber teilweise technologiebedingt nur durch erheblichen Mehraufwand erfolgsversprechend umsetzbar.

Probing Angriffe
Bezeichne ich als halbherzige Angriffsversuche mit Hilfe von vorgefertigten Tools durch mehr oder weniger begabte ambitionierte Datenreisende. Schutz bietet in den meisten Fällen schon das Einhalten von Grundsätzen der IT Sicherheit.

Ernsthafte Angriffe
Zunächst steht zu befürchten, dass ernsthafte Angriffe über einen längeren Zeitraum unentdeckt bleiben – können. SIEM Systeme sind hier ein wichtiges Mittel, um zeitnahe Reaktionen zu ermöglichen.

Ebenso ist zu befürchten, dass IT durch Dritte auf den Angriff hingewiesen wird. Ein Szenario, welches leider häufiger beobachtet werden kann. Die Folgen in so einem Falle sind ins Besondere in Bezug auf die Außenwirkung zu bedenken.

Die Abwehr- und Schutzmaßnahmen, die ergriffen werden, müssen sauberen Prozessen folgen. Sie sind nicht nur technischer Natur (Border defense, Firewalls, DMZ, Intrusion Prevention, Content Filtering, Access Control, Patching, Hardening, Encryption etc) sondern im gleichen Maße auch organsatorischer Natur (dicsretionary vs. madatory access control, double proof, need-to-know, least-privilege, job-rotation, accreditation, etc.).

Grundsätzlich spielt sich die Abwehr von Angriffen auf mehreren Ebenen ab. Ähnlich wie eine Zwiebel mit Ihren Schichten, folgt das defense-in-depth Konzept dem Ziel, das Eindringen durch viele Schutzschichten zu erschweren.

Der Schaden

Die technische Infrastruktur der Piraten ist robust. Sie ist von Profis vernetzt und dezentral. Ein kurzfristiger Ausfall der Systeme führt wahrscheinlich nicht zu direkten finanziellen Einbußen, da kein Verkaufsgeschäft betrieben wird.

Für eine politische Organisation ist aber das Schadenspotential besonders im Bereich der Reputation zu suchen. Als Piratenpartei behaupten wir unter anderem Kernkompetenzen im Bereich Datenschutz, Transparenz und dem Internet allgemein. Ein Schaden, der also in diesen Bereichen entsteht wirft zwangsläufig die Frage nach der eigenen Kompetenz auf. Ein Sicherheitsunternehmen, bei dem eingebrochen wird, ist genauso fraglich, wie der KFZ Mechaniker, dessen PKW dauerhaft kaputt ist.

Besonders schwer wiegt ein Schaden, der durch Offenlegung von personenbezogenen Daten entstehen könnte, da es erklärtes Parteiziel ist, diese besser zu schützen (siehe SPD Hack im April 2012).

Dieser Schaden ist schwer zu bemessen und hängt auch mit der Publizität des Vorfalls zusammen. Ebenso spielt die Art der vorfallsbezogenen Kommunikation eine größere Rolle bei der Schadensbegrenzung.

Merke:
IT Schäden sind interdisziplinär! Der Pressesprecher, der Vorstand und die Fraktion müssen genauso im Boot sein, wie die betroffenen Mitglieder.

Die Wahrscheinlichkeit

In der IT Security besteht der Konsens, dass es die Frage, ob man angegriffen wird, nicht gibt. Die Frage muss lauten WANN man angegriffen wird. Die Wahrscheinlichkeit wie häufig und in welcher Intention ein Angriff erfolgt,  lässt sich unter anderem aus einer fundierten Gefahrenanalyse ableiten. Hierfür stehen aber zu wenig Informationen zur Verfügung und es würde in diesem Kontext zu weit führen. Die Frage der Wahrscheinlichkeit eines Angriffs muss deshalb unbeantwortet bleiben.

Das Risiko

In der IT Security kann man Risiken kalkulieren. Allgemein gilt die Formel:

Risiko = Auswirkung * Wahrscheinlichkeit

Das Risiko in unserem Fall ist schwer zu beziffern, da die Auswirkungen, der Schaden, schwer zu belegen ist. Auch um die Wahrscheinlichkeit zu fixieren fehlen ausreichend Informationen und Fakten. Leider kann dadurch auch die Frage nach dem tatsächlichen Risiko nicht beantwortet werden und vieles verbleibt im Bereich wilder Spekulationen. Deshalb ist es mir nicht möglich zu einer belastbaren Risikoabschätzung zu kommen.

Abschließend

Ziel dieses Artikels sollte es auch eher sein, zum Nachdenken anzuregen. Ich freue mich über jedes Feedback und bin gerne bereit etwas ausführlicher zu werden… 😉

Und: Danke, dass Du bis zum Ende gelesen hast!

Related Images:

Vor- und Nachteile dezentraler PiratenIT

Das die IT der Piraten in Schleswig-Holstein ein Spiegelbild der Partei ist, ist nicht verwunderlich, sondern konsequent. Ein Kern von x Piraten organisiert die IT. Durch die individuelle Vernetzung und die gegenseitige Anerkennung hat man einen gemeinsamen Nenner gefunden, der den Status Quo definiert. Das Ganze passiert auf der Basis der individuell gemachten Erfahrung und mit dem Kompetenzlevel des Backgrounds eines jeden Einzelnen.

Da Teilnehmer eigenverantwortlich Dienste anbieten und oder  verwalten, kann man von einem dezentralen Aufbau sprechen. Daran ändert auch eine zentrale Koordinationsrolle wenig. Die Systeme sind losgelöst von einem Gesamtkonzept – oder das Gesamtkonzept ist nicht offensichtlich. Es gibt weder Standards, noch Richtlinien – auch die Diensteverfügbarkeit ist nicht definiert. https://infosocke.piratenpad.de/infosammlung?

Aber, es musste all das auch nicht geben, als die Partei noch aus wenigen Mitgliedern, die sich größtenteils gegenseitig kannten, bestand. Also bitte, das oben geschriebene ist keine Kritik, sondern eine Bestandsaufnahme, so wie sie sich mir als Außenstehendem präsentiert.

Der größte Vorteil der dezentralen IT ist mit dem des Internet vergleichbar. Durch ihren vermischten Aufbau und viele individuelle Zuständigkeiten und keine (oder wenige) zentrale Backend-Infrastrukturen bieten die Piraten viele unterschiedliche, aber als Einzelsystem weniger lohnenswerte, Ziele. Angriffe auf die Verfügbarkeit können zwar Teile ausbremsen, aber schwerlich alles lahmlegen. Das ein System kompromittiert wurde stellt den Schutz der anderen Systeme in der Theorie nicht in Frage.

Der größte Nachteil der dezentralen IT ist Ihre fehlende Systemintegration. Durch zentrale Backend Infrastrukturen (z.B. DNS, Time, Syslog, Directory, OTRS, AccessControl, SIEM)  kann Administration, Sicherheit und Skalierbarkeit auf einen professionelleren Level gehoben werden. Gerade die fehlende zentrale Administration kann im Angriffsfall zu fatalen Folgen führen – zum Beispiel, wenn ein -längst vergessener- Account auf eine wichtige Datenbank genutzt wird. Oder ein Admin Account kompromittiert wird. Eine schnelle zentrale Sperrung ist in dezentralen Systemen nicht möglich; es fehlt die Möglichkeit der zentralen Schadensabwehr. Schlimmer noch: Es reduziert die Möglichkeit einen Angriff überhaupt zu erkennen.

Ich bin bei einem Gespräch im Nebensatz mit der Aussage konfrontiert worden, dass zentrale Systeme aber auch zentrale Angriffsflächen bieten. Dem stimme ich absolut und ohne Einschränkung zu. Sie bedürfen aufgrund Ihrer Wichtigkeit einen größeren Schutz. Allerdings gebe ich zu bedenken, das wenige Systeme einfacher geschützt werden können als Viele. Ein Angreifer braucht nur 1 Fehler, in 1 System,  in 1 Sekunde…

Related Images: