Under attack – security operations
While working for security, I’ve faced several challenging situations, working with management, researchers, foresics, police – but only 3 where I will think of after retirement (so far ;-)).
I would like to express them here and share some lessons I learnt…
a) LoveLetter
The story is simple: I think I was one of the first finding the code. When I came to the office in the morning the mailserver hang and was full of spam email trying to send out (which was blocked on Checkpoint Firewalls by the way).
I analysed the email attachment (encrypted VB script which I decode by writing my own functions for analysing it) and I sent my findings to our partner – Kaspersky Labs. Half an hour later they respond to me that this was known and old and I don’t need to take care of. As I was young and had a high respect towards the „experts“, I called myself stupid…
2 hours later heise published an article about a guy somewhere else in Germany who found a critical worm called „LoveLetter“…
That could have been my starting point towards a brilliant career in security and could have build a great reputation… 😉 I missed it and guess what? I’m still doing security and I’m still good…
b) MSSQL-Worm
When this came up I had a day off at the company I worked for. I was at a drivers training with my own car… This was the time I did a hard call completely disconnecting an international company from the internet for several hours until we got the situation under control – by the way, we don’t get infected, we were quick enough.
To be correct, it was not my call alone, my manager agreed, but it was the first time I realized the responsibility towards a company infrastructure and the importance of balance and the right strategy.
The other learning to took out of this scenario was the fact that not all systems can be patched due to financial constrains. This was the time when I reduced to talk about security as burden, as something nobody want to take attention to. Instead I changed my message towards the term „Risk Management“ – as it’s always the question on how much risk you are willing to take.
c) Emotet
Risk, and how much you want to take, is the driver for successful emotet attacks. There are software solutions and (more important) process and training ideas to reduce the probability of a successful cyber attack, but they do cost work, time and money.
Seeing a screenshot showing an anti-virus software that it found a virus, is nothing important. But if it comes from a client computer and the executing user was a domain admin – well – than you realize, you have a problem…
Emotet – with the consequence of taking a company down for weeks and with all the fear and wild running people – this is what your personal stress-test is about.
An experience you don’t want to go for again. Because – independent how good you have acted, how secure you operated, how creative your team was to find secure operational ways – there will be always someone from external claiming to be better – and, of course, faster.
And believe me: the big consultant companies (KPMG, PWC, BearingPoint, Deloitte etc) they know how to sell their view to your C-level – even when they never had talked to you. The challenge is to bring the attention to the dynamic of these attacks, the affected underlying infrastructure and the time you need to keep your company secure. The physical limits of the infrastructure cannot be expanded in the short term by more manpower.
The simple fact about Emotet? We defend it, no encryption happened, only some passwords stolen, etc… Yes, they came in, but we were fast and hard enough to do the right calls! And we had a setup which was robust enough. We kicked them out! This time.
The end
In summary, modern security operation has not yet achieved the level it can be. There are still skilled security experts required, to do the correct judgement and get the right conclusions. I’ve meet serveral companies – splunk for instance – claiming that they do have KI technology in place. They might be right, but this KI is not what I expected.
Behaviour based detection and analytics in combination with existing multi-layered protection approaches and and indeep view into the environment should be basic. The same level of importance should be raised towards the need of playbooks and general operational standards. But any technology will fail if there is not the rigth level of attention from c-level to this. This includes the need of a dedicated security team lead by a CISO.
I’ve seen people being completely convinced on their systems, on their approaches, that they could not imagine that an attacker could find another way. These are the one who will fail – at a point in time.
This leads finally to some sentences driving this part of my life:
1. The last limit is your imagination.
2. The only way to be safe is to never be secure. (Benjamin Franklin?)
3. They all cook with water only.
Happy hunting!
Supergrundrecht auf Meinungsfreiheit
Ursachenforschung
Die aktuelle Situation in Deutschland, in Europa, – mit Pegida und Terror – empfinde ich als sehr beängstigend. Noch beängstigender finde ich es aber, dass niemand über die tieferliegenden Ursachen schreibt. Und angefangen hat das Ganze schon vor einiger Zeit. Mit der Injektion eines neoliberalen, menschenverachtenden, egozentrischen Weltbilds in unsere Gesellschaft. Dieses hat den Gedanken einer Gemeinschaft nachhaltig verdrängt.
Dieser Verdrängungsprozess hat eine falsch verstandene Toleranz geschürt. Er hat uns die Freiheit (des Unternehmers) als wichtigstes Gut der westlichen Kultur verkauft. Er hat menschliche Werte und Verhaltensmuster einer humanistischen Aufklärungsideologik unterworfen.
Doch gerade wenn es um die Mohamed-Karikaturen, Tanzverbot-Freitage, um die Verspottung der Christen und andere, ähnliche Dinge geht, habe ich ein Problem:
Meinungsfreiheit
Nur durch die Meinungsfreiheit, durch das Recht auf eine eigene Meinung, ist es möglich auch geistige Freiheit zu gewährleisten. Deshalb werde ich fast immer und fast jederzeit für die Meinungsfreiheit eintreten.
Doch Meinungsfreiheit um jeden Preis kommt dem Supergrundrecht auf Sicherheit gleich. Diese Forderung verkennt, dass es andere Grundrechte gibt, beziehungsweise ordnet die Meinungsfreiheit ihnen unter.
Für mich kann es nur ein Supergrundrecht geben:
Das Recht auf Menschlichkeit
Der Schrei nach Meinungsfreiheit kommt meines Erachtens am Lautesten von den Egoisten (die sich selbst vermutlich nicht so bezeichnen würden). Menschen, die in einer Gesellschaft aufwachsen, in der das eigene Recht wichtiger ist als das Recht des Gegenüber. Menschen, die zu schnell fahren und sich zunächst bei der Polizei beschweren, warum das andere Auto nicht angehalten wurde.
Menschen, die nicht mehr erkennen, dass die Regeln einer Gesellschaft dem Zusammenleben und nicht primär dem eigenen Wohlergehen dienen.
Regeln des Zusammenlebens
Meines Erachtens ist das Verspotten und Verhöhnen anderer nicht unbedingt durch die Meinungsfreiheit gedeckt.
Und genau an dieser Stelle greifen auch Gesetze, die eben der Meinungsfreiheit auch Grenzen aufzeigen:
§ 166 StGB (Strafgesetzbuch)
Beschimpfung von Bekenntnissen, Religionsgesellschaften und Weltanschauungsvereinigungen(1) Wer öffentlich oder durch Verbreiten von Schriften (§ 11 Abs. 3) den Inhalt des religiösen oder weltanschaulichen Bekenntnisses anderer in einer Weise beschimpft, die geeignet ist, den öffentlichen Frieden zu stören, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer öffentlich oder durch Verbreiten von Schriften (§ 11 Abs. 3) eine im Inland bestehende Kirche oder andere Religionsgesellschaft oder Weltanschauungsvereinigung, ihre Einrichtungen oder Gebräuche in einer Weise beschimpft, die geeignet ist, den öffentlichen Frieden zu stören.
Meines Erachtens ist der Sinn dieses Paragraphen nicht, die Meinungsfreiheit zu verbieten, sondern Grundwerte von einem Teil der Menschen in unserer Gemeinschaft zu schützen.
Ich fordere deshalb nicht seine Abschaffung, sondern seine konsequentere Umsetzung – und ggf Erweiterung. Schade allerdings, dass es solche Paragraphen zu brauchen scheint.
Was ich vermutlich nie verstehen werde:
Warum beleidigt /verhöhnt eigentlich jemand einen anderen Glauben? Was will er/sie damit erreichen? Ist es sein Glaube, dass alle anderen Ansichten bekämpft werden müssen? Wie ist es um Grundwerte wie Menschlichkeit, Toleranz und Respekt bei diesen Menschen bestellt?
Mir drängt sich folgender Eindruck auf: Menschen, die keinen eigenen Wertekanon haben, tun sich auch schwerer zu verstehen, wie es ist, wenn man den Wertekanon anderer verletzt.
Es kann doch nicht wirklich ein menschenwürdiges Ziel sein, anderen Glauben zu diffamieren!
Die Piraten fordern zwar einerseits einiges an Freiheit – genauso wie die deutlichere Trennung von Kirche und Staat – aber aus Ihrem Grundsatzprogramm wird auch eine Gesellschaftsordnung deutlich, die von der Gemeinschaft ALLER getragen werden soll.
Merke: Das geht nicht ohne Menschlichkeit, Respekt und Toleranz.
FDGO und jetzt?
Den Begriff freiheitliche demokratische Grundordnung (FDGO) habe ich im Zusammenhang mit den Piraten das erste Mal memoriert. Ich akzeptiere die zugrunde liegende Definition des Bundesverfassungsgerichts. Ich bekenne mich zu Ihr.
Aber:
Mir ist das nicht ausreichend, denn auch Extremisten haben kein Problem damit sich darauf zu berufen. Ebenso Menschen, die im sinnbildlichen Sinne über Leichen gehen um Ihre Ziele zu erreichen. Menschen, die Flüchtlinge ertrinken lassen und Menschen, die bereit sind alles zu verkaufen. Ihre Seele und Ihr Herz eingeschlossen.
Deshalb gebe ich nicht viel auf nur FDGO beschwörenden Aussagen. Dieses ist für mich kein akzeptabler kleinster gemeinsamer Nenner. Es ist die Basis, die Grundlage, definiert aber nicht die Ziele einer Partei oder Ihre Vorstellungen. Auch vermittelt sie nur rudimentär (wenn überhaupt) ein Wertebild. Sie skizziert eine Gesellschaftsform.
Wenn wir uns unter dem Banner der FDGO sammeln, so sammeln wir uns nicht wirklich unter Zielen und auch unter keinerlei Wertevorstellungen, die wir gemeinsam teilen.
Für mich gilt es die Präambel unserer Partei, Ihr Grundsatzprogramm und den Piratenkodex als Maßstab hinzuzufügen.
Ich bin positioniert!
Hier ist meine Position:
- Menschlichkeit ist die Grundlage meines Wertebildes. Mensch zu sein heißt unter anderem Fehler machen zu dürfen und zu lernen. Besonders heißt es aber auch, verzeihen und vergessen zu können.
- Ich bin intolerant in Bezug auf Menschen, in deren Verhalten ich ein am Menschen ausgerichtetes Wertebild nicht erkennen kann.
- Ich habe keine Lust auf Diskussionen mit Menschen, deren Beiträge es an Respekt, Toleranz und Höflichkeit missen lassen. Das verschwendet meine Zeit.
- Ich bin Postgender. Ich trenne zwischen gesellschaftlichen Rollen und Geschlechtern.
- Ich verwehre mich gegen jegliche Einordnung in politisch definierten Kategorien. Ich lasse mich nicht auf Wortspiele ein, die die Absicht haben mich irgendwo hin zu kategorisieren.
- Ich halte es mit Ferris Bueller: „Alle -ismen sind schlecht.“ Jegliche Art von Extremismus lehne ich ab. Ich setze Rechts- mit Linksextremismus nicht gleich.
- Ich bin ein Mensch, der zufällig in Deutschland geboren wurde. Ich bin kein „anti-deutscher“, aber auch kein Nationalist. Ich bin Weltbürger.
- Ich neide nicht. Ich freue mich für jeden, der seine Ziele erreicht und ich bemitleide jeden, der diese auf Kosten anderer Menschen erreicht.
- Ich weiß, dass ich Fehler mache. Ich hoffe immer darauf, dass ich sie erkenne und aus Ihnen lernen kann.
Hieraus ergibt sich – für mich:
- Der Mensch muss frei sein dürfen. Aber in seiner Freiheit ist auch die Verantwortung zu finden, die Freiheit anderer zu respektieren und zu schützen.
- Es gibt keine Alternative zum BGE, wenn die Menschlichkeit wichtiger ist als kapitalistische Interessen.
- Alle politischen Entscheidungen sind auf eine Frage hin zu überprüfen: Hilft es den meisten Menschen und Ihrer Umwelt?
- Ich würdige Angriffe nicht. Ich reagiere nicht. Wer mit mir reden will tut das mit sachlichen Argumenten und ohne Unterstellungen. Oder eben nicht. Doch dann redet er nicht mit mir, sondern gegen eine Wand.
- Ich habe keine Angst mein Gesicht zu verlieren. Deshalb muss ich mich nicht verteidigen. Deshalb muss ich nichts richtig stellen. Deshalb ist es egal, was irgendjemand über mich denkt. Entscheidend ist, dass ich am nächsten Tag in den Spiegel schauen kann.
- Ich verwehre mich gegen jegliche Einordnung in politisch definierten Kategorien. Menschen sind viel zu vielschichtig, als dass sie sich einfach einordnen lassen.
- Ich sympathisiere mit der Antifa, so wie ich den Begriff Antifa für mich verstehe: Als Bewegung gegen Faschismus. Ich bin oft auf der Straße gewesen, wenn es für die Menschlichkeit ging. Doch ich vermeide Veranstaltungen, die potentiell Gewalt vermuten lassen.
- Ich glaube an meine große Vision. Einer Vision von Menschlichkeit, die den kurzatmigen Kapitalismus überwunden hat. Das ist es, was ich meinen Kindern weitergeben möchte.
Und Du so?
The vision
THE LEADER
I looked to the North and I turned to the West
For a sign, a light in the sky
Oh, the message is clear, that the time is near
For a leader to come again
A circle of stones on the head of a hill
Tonight is where it will be
In this desolate place, we all stand and wait
For a leader to come again
Yes, a leader will come again
For it is written, that a leader will be here
And then a vision, left me blinded by the light
And it started right in front of my eyes
THE VISION
And I saw a burning chariot
And the four horsemen of the apocalypse
Waiting on high
And I heard the thunder rolling in
And behold our leader on a pale horse riding in the sky
And I saw this land a battlefield
With a hundred thousand men
Fighting hand to hand
And I heard the sounds of victory
And the rivers ran red with the blood of our enemies
And I, I saw fire from the sky
I saw fire and I saw paradise (paradise)
Fire from the sun, I saw fire
And I saw Alpha and Omega
Fire, I saw fire
And I saw paradise (paradise)
Fire, I saw fire
WHAT ABOUT ME
I am left in the night, trembling with fear
I have seen to the future and the future is here
Our leader will bring victory, but our land is in flames
And as the final sounds of battle disappear, I had to say
What about me and you and the ones that we love?
What about me and you and the ones that we love?
Well, what about us?
I put this lyrics here as this is something which came in my mind these days. Sorry, for the confusion, this may take in your mind. It was the last sentence – about what happen to the ones that we love, which always makes me thinking.
You wanna know who wrote it? It’s an artist who often tell stories. He wrote some well known „soft“ balades, but also some pretty powerful and melodic stuff like „Crusader“ or this one… It’s Chris de Burgh. All the lyrics are of course his property and I have no idea, if I violate any interlectual property laws by simply publishing this lyrics here. I hope not.
I placed it here as I want to honor a man who was by my side somehow the last 30 years. His song „In a country churchyard“ played at the church while I married my Anke. The first concert I’ve been (together with my mother as I was 14 years) happen in Grevenbroich at an ice hockey area. And I still remember the crowd singing the „spaceman came travelling“ long after Chris already walk from stage.
I wish you all a peaceful and silent christmas and a healthy and lucky next year.
Yours,
Oliver