Weltweite Hacker-Angriffe, unter anderem Krankenhäuser in England lahmgelegt

Wer angesichts der derzeitigen innenpolitischen Debatte über die Bundeswehr noch ein Ohr für echte Bedrohungen hat: Am (heutigen) Freitag wurden weltweit Computersysteme von Hackern angegriffen, die mit offensichtlich vom US-Geheimdienst NSA erbeuteter Schad-Software unter anderem in Großbritannien ganze Krankenhäuser lahmlegten.

Das sieht bislang nach einer Aktion von Kriminellen aus und ist – zunächst – keine Frage der Verteidigungs- und Sicherheitspolitik. Allerdings, und deshalb greife ich das hier auf, eine Frage an die Sicherheit der Daseinsvorsorge in unseren von Computern und Netzen abhängigen Ländern.

Von der New York Times:

Hackers using a tool stolen from the United States government conducted extensive cyberattacks on Friday that hit dozens of countries around the world, severely disrupting Britain’s public health system and wreaking havoc on computers elsewhere, including Russia.

Hospitals in Britain appeared to be the most severely affected by the attacks, which aimed to blackmail computer users by seizing their data. The attacks blocked doctors’ access to patient files and forced emergency rooms to divert people seeking urgent care.
Kaspersky Lab, a Russian cybersecurity firm, said it had recorded at least 45,000 attacks in as many as 74 countries.

und von der britischen Financial Times:

Hackers responsible for the wave of cyber attacks that struck organisations across the globe on Friday from the UK’s National Health Service to European telecoms company Telefónica used cyberweapons stolen from the US National Security Agency, the Financial Times has learnt.
A tool known as Eternal Blue developed by US spies was used by the hackers to supercharge an existing form of criminal malware, three senior cyber security analysts said, leading to one of the fastest-spreading and potentially damaging cyber attacks seen to date.

Aus Deutschland gibt es bislang keine entsprechenden Meldungen; aber das könnte auch nur eine Frage der Zeit oder des Bekanntwerdens sein. Ich fürchte, weiter nach Entwicklung.

Nachtrag: Aktuelle Twitter-Hinweise des zuständigen Bundesamtes für Sicherheit in der Informationstechnik dazu (zu dem Hinweis, sein System aktuell zu halten, sag‘ ich mal lieber nichts):

Ob ein im Internet kursierendes Foto, dass diesen Hacker-Angriff auf Systemen der Deutschen Bahn zeigen soll, echt ist – das ist allerdings bislang völlig unklar:

… und eine weitere internationale Meldung:

45 Gedanken zu „Weltweite Hacker-Angriffe, unter anderem Krankenhäuser in England lahmgelegt

  1. Ein gutes Beispiel dafür, dass wir Alle ganz realen Bedrohungen unterliegen.

    Und was macht der gesamte Führungsstab unserer Armee?

  2. Spass beiseite…
    Peinlich das es Software der NSA sein könnte. Seltsam das RUS Systeme auch betroffen waren/sind oder etwa nicht?
    In Anbetracht der anstehenden Wahlen und der stetig fortschreitenden Digitalisierung unseres Lebens macht mir das schon etwas Sorge.
    Viele Stellen reden ja bereits von der Abschaffung des Bargeldes. Mir ist das im Geldbeutel sicherer.
    Die Frage ist wer da dahinter steckt? Selbe Absicht wie die Telekomm-Nummer kürzlich?

  3. @samy

    Inzwischen gibt es mehrere solcher Bilder von gehackten DB-Anzeigesystemen aus mehreren Bundesländern. Neige nicht mehr zu der Ansicht, dass es ein Fake ist (aber wissen tu ich’s natürlich auch nicht).

  4. @TW
    Ja, selbst wenn die Hälfte aller derzeitigen Nachrichten im Netz Fake wären, dann bliebe noch genug übrig. Banken, Logistikunternehmen, Universitäten, Ministerien usw. auch außerhalb Englands. Könnte dann auch die DB erwischt haben.

    Einer stellte eben einge gute Frage. Wenn das bekanntlich eine gestohlene Schadsoftware der NSA ist, wieso haben die dann nicht gemeinsam mit Microsoft usw. das Problem gefixt? Die Software ist ja für die NSA nutzlos geworden und in Händen böser Buben gelangt.

    Was die derzeitige Situation angeht, wollen wir mal hoffen, dass kein Kraftwerke betroffen sind. Es reicht wenn einige wenige Kraftwerke aus Sicherheitsgründen runtergefahren werden müssen um das gesamte Netz lahmzulegen.

  5. @samy

    Lesen Sie doch einfach, was oben steht… z.B. die Tweets vom BSI: Es gibt einen Patch, wohl schon seit zwei Monaten. Aber der wurde eben nicht auf allen Systemen eingespielt…

  6. Das BSI rät den Anwendern einen Microsoft Patch vom 14.03 einzuspielen.
    Wenn ich in meine Systeme seit dem 14.03. keine Sicherheitsupdates mehr eingespielt habe, ist das grob fahrlässig.

  7. Ransomware bzw. Krypto-Trojaner… Wer Backups/Images hat, setzt seine Systeme auf den letzten Versionsstand zurück. Aber schon die letzte Ransomware-Welle hat gezeigt, dass Unternehmen lieber Bitcoins horten und Erpressern nachgeben, als eine vernünftige Backup-Infrastruktur aufzubauen.

    Interessant: Es wird für die Verbreitung eine Lücke genutzt, die laut Snowden der NSA schon länger bekannt war, aber nicht an Microsoft gemeldet wurde (Ausführung von Code auf SMB-Servern durch manipulierte SMB-Pakete). Es ist also ein mahnendes Beispiel, als Staat nicht mit dem Feuer zu spielen (Nutzung Zero-Day-Exploits für“Staatstrojaner“).

  8. Die Lücke war der NSA bekannt, wurde dann aber gestohlen. Die NSA hat die Lücke also nicht bekannt gemacht. Das sich der Staat das Recht vornimmt, Zero-Day-Exploits zu Nutzen kann ihm kaum vorgeworfen werden. Das Unternehmen mit teils beachtlicher Größe nicht in der Lage sind, grundlegende Sicherheitsmaßnahmen zu ergreifen dagegen schon.

  9. Da zeigt sich die Gefahr homogener Systeme. Wenn ein Rechner angreifbar ist, sind alle Rechner angreifbar. Mit einem Mix aus Windows, Linux und Mac wird die Gefahr deutlcih geringer. Bei einem gefährdeten System würden noch 2/3 weiter laufen,

    Für die Bw würde es bedeuten: 140.000 Arbeitsplätze und Tausende Server platt.

    Für Leute ohne Backup lassen sich die meisten Dateien retten, wenn der Rechner sofort ausgeschaltet wird.

  10. @yeay: Eben da liegt das Problem. Der Staat nutzt Zero-Days, verschweigt diese dem Hersteller und bringt damit die eigenen Bürger in Gefahr, Opfer zu werden. Wie kommt denn ein Staat an Zero-Day-Lücken? Entweder durch aktive Forschung oder durch Kauf. Forschen können auch andere und wenn man es kauft, wissen sowieso schon zuviele davon.

    Oder anders ausgedrückt: Der Staat lässt in diesem Fall lieber die eigenen Bürger ins Messer laufen, um sich durch die ihm bekannte geheimgehaltene Lücke einen Vorteil zu verschaffen. IT-Sicherheit/Defensive für IT-Offensive geopfert. Kann man so machen — in einer vernetzten Welt kann das nur zu einem derben Boomerang werden.

  11. Von der Deutschen Bahn gibt’s jetzt eine knappe Mitteilung.

    13.05.2017 Berlin
    Keine Einschränkungen im Zugverkehr
    Weltweit auftretender Trojaner: Fahrgastinformationssysteme in Bahnhöfen beeinträchtigt • Bahn arbeitet mit Hochdruck an der Beseitigung der technischen Störungen
    Die Deutsche Bahn ist seit gestern Abend und in der Nacht Ziel eines Trojaners geworden, der weltweit zahlreiche Firmen und Institutionen infiziert hat.
    Der Bahnbetrieb ist durch den Trojaner nicht beeinträchtigt. Es gibt keine Einschränkungen im Fern- und Nahverkehr.
    An den Bahnhöfen gibt es derzeit technische Störungen an den digitalen Anzeigetafeln. Die DB arbeitet mit Hochdruck daran, die Störungen zu beheben. An Bahnhöfen mit höherem Reisendenaufkommen werden zusätzliche Mitarbeiter zur Kundeninformation eingesetzt.

  12. Ursula von der Leyen sprach in Montabaur zum Thema SiPo und im Anschluss gab es einen Vortrag „Live Hacking“ mit einer Präsentation wie einfach man Rechner knackt.
    Aktueller kann man ein Thema nicht setzen.

  13. Hat hier vielleicht jemand den Link zum o.g. Patch-update? Ich wäre dankbar.

    Habe es gerade versucht und bin bis hierhin gekommen.
    https://technet.microsoft.com/de-de/library/security/ms17-010.aspx

    Dann den Link passend zu Windows 10 Version/1607/x64 gewählt und bekomme folgende Fehlermeldung.

    http://www.catalog.update.microsoft.com/Error.aspx?id=-1914896368

    Was man jetzt schon aus der Sache lernen könnte ist, dass bei einer derart akuten Bedrohung via Funk und Fernsehen ein Link mit passenden updates genannt wird.

    Gab es nicht einmal ein britisches Atom-U-Boot mit Windows XP auf den Rechnern :-) ?

    Microsoft betreut xp nicht mehr, gibt es dafür überhaupt updates? Falls nein, dann wäre das, dass Nächste was man lernen kann. Sobald ein Betriebssystem nicht mehr mit updates versorgt wird, sollten öffentliche Einrichtungen, sensible Infrastrukturen und Co. umgehen auf die neueren Systeme umspringen.

  14. Für richtig deftige Lagen braucht man analoge Redundanz. Aber schlagen Sie das mal irgendwo vor. Die Doktrin, daß Mitarbeiter als lästiger Kostenfaktor hinter Systemen zu rangieren haben, verbietet es Szenarien anzuerkennen in denen das eingespielte Können von Menschen unverzichtbar ist. Praktisch jeder, der in den letzten zwei Jahrzehnten irgendwo was geworden ist, hat sich diesem Radikalismus unterworfen.

    Auch dies ist Ökonomisierung.

  15. @ Zimdarsen

    „Live-Hacking“ wird auf jedem popeligen IT-Security-Awareness-Tag gemacht… außer für kurzweilige Betroffenheit ist daraus noch nie etwas erwachsen…

  16. @DeltaR95

    So ist es mit allem, es kommt auf den Focus und das Timing an.

    Das Besondere war nicht der Vortrag, sondern der Kontext und Veranstaltungsrahmen.

    Was gibt es denn was wir noch nicht wissen?

    Es geht also eher um das Bewußtsein, die Ableitung und Handlungsempfehlung.

  17. @samy: Wer sensible Infrastrukturen über ungepatchte und/oder veraltete Desktopbetriebssysteme an das Internet klemmt, hat schon initial etwas falsch gemacht.

    Und die Abkündigungen der Versionen kommen nicht überraschend, sondern mit Ansage/Roadmap. Stattdessen wird teilweise für viel Geld an antiken Versionen festgehalten, anstatt das Geld in Modernisierung zu stecken.

    Ich bin jedenfalls froh, dass der Bund mich nicht als ITler erkennt. Ich würde in einer IT-Verwendung wahrscheinlich jeden Tag nur schreien.

  18. In vielen Fällen hängt am Infrastruktur-Update leider auch eine Portierung der verwendeten Arbeits-Software (inkl. Daten-Migration, etc …). Damit ist in vielen Fällen leider das Festhalten an antiken Strukturen „billiger“, als eine neue Infrastruktur mit portierter Software anzuschaffen…

    Seitdem Patch sind 6 Wochen vergangen… selbst gute Firmen mit Patch/Update-Konzept haben gerne mal „Durchlaufzeiten“ von 4-6 Wochen bis ein Patch eingespielt werden kann (Regressionsteste o.ä. und Deployment). Patche beheben Fehler in der Entwicklung einer Software, aber bekämpfen nicht die Ursache – nämlich das in der Entwicklung viel zu wenig Zeit und Geld in IT-Security und Secure Coding investiert wird („Die Software reift beim Kunden…“). Solange sich das nicht ändert, wird der Schwarzmarkt für Zero-Day-Exploits weiterhin blühen… im Schnitt hält sich ein guter Zero-Day dort 5-6 Jahre, bevor er nicht mehr funktioniert. In den meisten Fällen passiert die Fehlerbehebung eher zufällig durch Code-Refactor in der angegriffenen Software…

    Lange Rede, kurzer Sinn: So lange mehr auf „Wirtschaftlichkeit“ und „Effizienzsteigerung“ als auf Sicherheit geachtet wird, bleibt das nicht der letzte Angriff…

  19. @ T.Wiegold | 13. Mai 2017 – 13:37
    (Noch vergangenes Jahr habe ich doch auf der Brücke eines deutschen Kriegsschiffs einen Rechner mit Windows XP gesehen…)

    Mache ich auch, fuer Nav-Aufgaben, Tidenberechnung, WinLink, Wetterfax usw laeuft XP prima (besser als 7,8 und 10), so lange Sie damit nicht online gehen! Und das muss man nicht bei XP….

  20. Ja mir schwant da ja dass es da bald gehörig Cybert im politischen Berlin. Jetzt werden bestimmt wieder einige Säue (Vorhaben) durchs Dorf getrieben die aber in keinster Weise irgendwem helfen.

    Ich hoffe dass diese Episode vielen die Augen öffnet und die endlich diesen ganzen Cyberzirkus sein lassen und sich endlich darauf konzentrieren dass wir es mit IT Sicherheit zu tun haben die so nicht wirklich viel anders ist als vor 15 Jahren. Das ganze Cybergesabbel ist nur unnütze Ablenkung.

    Und was wirkliche Sicherheit angeht, hat @nur 2 Cent dankbarerweise schon das wesentliche gesagt. Was jetzt gerade passiert zeigt in eklatanter Weise auf wo das Problem ist mit Sicherheitsbehörden und Streitkräften die durch ihre Zielvorgabe aktiv zu agieren (i.e gegen cybern) implizit die IT Sicherheit der eigenen Bevölkerung untergraben. Wenn es wirklich um Sicherheit geht macht man gefundene Lücken zu und hortet diese nicht.

    Im übrigen, und als follow-up auf den Hausherren, ein blogpost des ‚accidental hero’s‘ für die die es interessiert:

    https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

  21. @tt.kreischwurst

    Es geht eben nicht nur um Sicherheit im Sinn von Schutz, sondern auch ggf um die Fähigkeit zum Angriff.

    Der Cyberraum Schlachtfeld der Zukunft?

    BG Dr Färber und Dr Tim H. Stuchtey im Gespräch in Montabaur.

  22. Skurrile Einzelheit. WannaCry hat ja von den Schaffern eine Notbremse verpasst bekommen (Kill-Switch). Das Programm besucht regelmässig eine Domäne und sieht nach, ob es sich selbst stoppen soll. Auch die bösen Buben wollten zur Not den Stecker ziehen können. So wie ich das verstehe hat man das zufällig entdeckt und man nutzt das aus.

    Nur wäre (wird?) diese Domäne von einigen Anti-Viren-Software geblockt worden, weil sie zu recht als gefährlich eingestuft wird. Das Programm hätte dann weiter sein Unwesen getrieben und die Schöpfer hätten es nicht stoppen können. Die Anti-Viren-Softwares hätten den Weg zur Notbremse versperrt. Und niemand hätte das verstanden, wenn unser „Hero by Accident“ den Mechanismus nicht gefunden hätte. Der Teufel steckt im Detail.

    Was geschieht denn nun eigentlich in den nächsten 5- 6 Tagen mit den bereits infizierten Rechnen. Die Zeit läuft ja ab. Zahlen oder nicht zahlen? Die echten Systemausfälle müssten dann ja Donnerstag eintreten.

  23. Welche Fähigkeit denn zum Angriff? Per Spear-Phishing Ostblock-StOffze angraben? Oder krass gegnerische Panzer „hacken“? IT-_Sicherheit_ ist eine passive Angelegenheit, wenn man sich nicht mit Verbrechern gemein machen möchte. Aber wenn die Führungsebene vom „finalen digitalen Rettungsschuss“ schwadroniert, dann weiß man schon, wessen Geistes Kind da agiert. Nur mal so: auch Metaphern und Analogien haben ihre Grenzen. Aber sollen sie ruhig den DDOS back-hacken…

  24. @ Nur 2 Cent

    Klar können Sie auch einen gegnerischen Panzer „hacken“ – da läuft oft auch ein Windows XP SP Stichwort SoC/SCC oder Embedded…

    IT-Sicherheit ist keine passive Angelegenheit, sonst würde der Markt der Cyber Threat Reconnaissance nicht zu boomen. Diese Firmen sind Dienstleister, die aktiv ihre Fühler ausstrecken um geplante Angriffe auf ihre Kunden im Vorfeld zu erkennen und Vorbereitungen zu treffen.

    Der Markt der Zero-Day-Exploits blüht und diese sind wohl definitiv als „offensive Fähigkeit“ anzusehen. Was spricht denn dagegen, den Botmaster des DDoS der mich grade als Ziel gewählt hat mittels eines Zero-Day-Exploits zu übernehmen? Alles denkbare Szenarien…
    Damit der passive Anteil der IT-Sicherheit funktioniert – nämlich die Härtung und der Schutz der eigenen Systeme – müssen Sie selber aktiv nach ausnutzbaren Lücken suchen, dass wird kein Hersteller einer Software/Hardware-Komponente alleine können.
    IT-Sicherheit ist mehr als das Betriebssystem und die Software auf Stand zu halten und ein paar IDS/IPS nebst vernünftiger Firewall zu betreiben. Das schießt zwar eine Menge Script-Kiddies aus der Bedrohungslinie, die richtigen „Cracker“/Hacker, mit „dem richtig guten Zeug“ (den wirklich unveröffentlichten Zero-Days) und dem cleveren Social-Aspect werden Sie so definitiv nicht los. Wir reden hier ja nicht von ungerichteten Attacken, wo ein potentieller Angreifer direkt aufgibt, nur weil das Finger-Printing des Ziels nicht geklappt hat…

  25. @ Hejmdal | 13. Mai 2017 – 11:04

    „Für richtig deftige Lagen braucht man analoge Redundanz.“

    Absolut! In der Marine und Schiffahrt nennen wir das ‚Umschalten auf Hand‘ Nur machen Sie das mal den download/net-Glaeubigen klar…..(Erinnere an die millenium-hype, wir waren nicht betroffen.)

  26. @ MikeMolto

    Absolute Zustimmung, nur leider ist das auch in der Schifffahrt ein „Auslaufmodell“ … die alte Bedienebene „Hand vor Ort“ z. B. mit Bowden-Zug auf den Regler des Motors wird bei modernen Anlagen auch weggespart bzw. ist in Zeiten elektronischer Regler nicht mehr machbar. Dann sind wir wieder beim Local Operation Panel als letzte Redundanzebene … einem Embedded-Computer mit Netzwerkanbindung.

  27. @samy:

    Naja kill switch schon irgendwie, aber auch nicht wirklich. In der Analyse die ich oben verlinkt hab erklärt der researcher der die Domain registriert hatte dass es sich wohl um schlechte anti-analyse haltet. Im Prinzip führt der code eine DNS Abfrage durch für eine url die es nicht gibt und die nonsensical ist. Da er da natürlich keine ip zurück bekommt macht der code einfach weiter. In vielen Sandbox Umgebungen die zur Analyse von Schadcode benutzt werden kommt dann eine Standard ip für alle Abfragen zurück. Die Idee ist das bei der nonsensical url nie eine ip zurückkommt und so bald etwas zurückkommt muss der code innerhalb einer sandbox ausgeführt worden sein. Um die Analyse innerhalb der Sandbox zu verhindern schaltet sich es dann selbst ab (Inspiration von VW bzw. Bosch?). Der Autor hat wahrscheinlich übersehen dass man auch einfach die nonsensical url registriert der code aller befallenen Systeme glaubt gerade in einer Sandbox zu sein.

    Diese Technik ist grundsätzlich nicht unüblich, aber normalerweise hat man einen Algorithmus der zwischen verschiednen DNS Abfragen wechselt, bzw. man macht mehrere Anfragen gleichzeitig. Der researcher hat die url registriert weil sich damit ablesen lässt wie weit und schnell sich der Code verbreitet, da man natürlich die ganzen DNS Abfragen von überall auf der Welt herkommt. Er hatte zunächst nicht erfasst dass er damit auch den Befall effektiv stoppt.

    @Zimdarsen:

    Das ist ja genau der Punkt. Diese Denke ist ein Trugschluss. Wer wirklich Sicherheit für die Bürgerinnen und Bürger will der macht Sicherheitslücken zu. Das Angriffs- und Verteidungsdenken von konventionellen (im Sinne von physischen Waffen) militärischen Auseinandersetzungen lässt sich halt nicht auf die digitale Welt übertragen. Wenn ich eine 0 day hab, hab ich eine potentielle Waffe. Die kann aber auch ein Gegner haben. Wenn ich die 0 day zumache wird sie überall zugemacht. Damit ist meine Waffe weg, aber sie ist auch für den Gegner nicht verfügbar. Es ist leider so einfach das mehr Sicherheit nicht durch mehr Lücken kommt. Es ist eine passive Tätigkeit wie schon richtig geschrieben wurde. Man kann wie ein Angreifer denken um neue 0days zu finden. Dann muss man sie allerdings zu machen wenn man wirklich an Sicherheit interessiert ist.

    @DeltaR95:

    Sie müssen zwischen Sicherheit als abstraktes Konzept auf eine Gemeinschaft (Staat, Staatengemeinschaft) und anderen Anwendungen unterscheiden. Sie haben schon recht dass es nicht strikt passiv ist, sondern man hält die Augen offen. Man verhält sich auch wie ein Angreifer gegenüber den eigenen Systemen (oder Systemen generell) um Lücken zu finden. Wenn es jetzt aber wirklich um Sicherheit geht macht man diese zu. Denn anders als bei konventionellen Waffen oder MAD haben wir hier keinen Wettlauf. Wenn Lücken zugemacht werden dann nimmt man sich und jeder anderen Partei die Möglichkeit diese offensiv zu nutzen. Gleichzeitig wird aber überall die passive Sicherheit erhöht.

    Man muss in der digitalen Wellt auch noch viel mehr zwischen staatlichen Parteien und nicht-staatlichen unterscheiden. Staatliche Parteien können 0days horten wie sie wollen. Das heißt nicht dass sie plötzlich die entsprechenden Abteilungen bei den großen IT Konzernen finden und zumachen. Oder, wie im jetzigen Beispiel, dass sie durch nicht-staatliche (und vermutlich kriminellen) Elementen ausgenutzt werden. Welche Sicherheit wurde denn durch staatliche Akteuere für die Bevölkerung erreicht wenn man die 0days nicht meldet aber nachher großer Schaden (potentiell an Leben im Bereich von Krankenhäusern) durch Kriminelle entsteht.
    Wenn endlich mal kapiert wird dass der Sicherheitsbegriff im digitalen Bereich anders behaftet ist mit anderen Implikationen als im ‚konventionellen‘ militärischen Bereich, dann kommen sie vielleicht auch endlich mal darauf sich auf das härten von Systemen zu konzentrieren.

  28. @tt.kreischwurst

    Natürlich muss man, wenn man Sicherheit für die Bürgerinnen und Bürger will Sicherheitslücken schließen.

    Aber im Konflikt geht es um mehr (Finanzwelt, Medien, Infra, Versorgung uvm)

    Sind sie der Meinung, dass wir keine Fähigkeit vorhalten sollten welche in einem militärischen Konflikt uns evtl in die Lage versetzt den Gegner zu stören?

  29. @ tt.kreischwurst

    Ich verstehe ihren persönlichen Angang gerade nicht?

    Zitat:
    „Wenn endlich mal kapiert wird dass der Sicherheitsbegriff im digitalen Bereich anders behaftet ist mit anderen Implikationen als im ‚konventionellen‘ militärischen Bereich, dann kommen sie vielleicht auch endlich mal darauf sich auf das härten von Systemen zu konzentrieren.“

    Das heißt IT-Sicherheit bedeutet für Sie, „einfach eine Mauer zu ziehen“ (= Systeme härten)? Dann haben Sie den Unterschied und die Dynamik im IT-Sicherheitsbereich nicht verstanden. Sie reagieren auf diese Weise rein REAKTIV und zwar auf der Kenntnis der Lücken, die Sie KENNEN! Das Problem sind doch die Lücken und Angriffsvektoren, von denen Sie nichts wissen. Deshalb müssen Sie proaktiv „offensiv“ handeln (und sei es nur im Labor).

    „Denn anders als bei konventionellen Waffen oder MAD haben wir hier keinen Wettlauf.“

    Wir haben keinen Wettlauf? Den haben wir ständig! Denn im Gegensatz zu ihrem Beispiel und im Gegensatz zu MAD werden Zero-Day-Lücken auch aktiv ausgenutzt – wie man gerade sehr schön sieht.

    Woher glauben Sie bekommt der Staat seine Zero-Days? Da wird größtenteils genauso im Darknet eingekauft, wie das jeder normale Hacker auch macht. Die Frage ist, was tun sie mit dem Zero-Day? In die Hinterhand packen, um ihn später zu benutzen oder geben sie ihn an den Hersteller des betroffenen Produkts und hoffen, dass er sie schließt? Nur der kleinste Teil staatlicher Zero-Days wird von Staaten selbst entwickelt (und deren Fokus ist meist sehr viel spezieller).

  30. Sehr interessante Einblicke, die von den letzten Kommentatoren eingestellt wurden !

    Danke

    Der Staat als Käufer von Hehlergut um eigene Angriffe starten zu können, die laut Gesetz verboten sind, oder darf der Staat jederzeit private Netzwerke infiiltrieren ?

    Gemeint ist jetzt ausdrücklich nicht der Trojaner, den event. der Zoll am Flughafen auch einen privaten Laptop aufspielt bei dessen Kontrolle, sondern der externe Angriff auf private IT-Netze mit Sicherheitslücken in den Betriebssystemen.

    Was würde eigentlich in Punkto IT-Sicherheit passieren, wenn ein Großteil der weltweiten Nutzer auf das Open Source Betriebssystem Linux umstellen würde ?

    Vermutlich würde jeder Staat der Sicherheitslücken bei kommerziellen Systemen durch Meldung an den Hersteller schließen wollte, von dem Kreis der priveligierten Nutznießer von IT-Sicherheitslücken von anderen Diensten und Organisationen ausgeschlossen werden.

    Also sind die Zero-Day Exploits wie Rauschmittel (Zigaretten, Alkohol). Der Staat bekämpft sie offiziell und verdient an deren Konsum und dessen Verbreitung.

  31. @Georg
    „Was würde eigentlich in Punkto IT-Sicherheit passieren, wenn ein Großteil der weltweiten Nutzer auf das Open Source Betriebssystem Linux umstellen würde ?“

    Es würde sich der Fokus der Angreifer verschieben. Win->Unix

    Interessant mal wieder der übliche Angriffsvektor: 1.) Mensch, Email-Anhänge.
    Die Ausnutzung der Lücke hat die Ausbreitung natürlich massiv beschleunigt.

    Hier hätte ein Staat die Möglichkeit z.B. durch verpflichtende E2E-Verschlüsselung und Signatur für Unternehmen zumindest teilweise zuzunageln bzw. zu erschweren. Will aber anscheinend keiner, selbst DE-Mail ist ja inhärent unsicher gebaut. Der (geheimdienstliche) Nutzen Mails mitlesen zu können übersteigt offenbar die Kosten des volkswirtschaftlichen Schadens solcher Groß-Angriffe auf die IT-Infrastruktur. Zumindest derzeit noch.

  32. @DeltaR95: C&C-Server per Exploit übernehmen, um einen gegenwärtigen DDOS-Angriff abzuwehren? Kann man machen – wenn man ein altes Botnetz vor sich hat. Aber auch Botnetze entwickeln sich weiter. Verteilte C&C-Server, vielleicht auf gekaperten Webservern anstatt über IRC, oder gleich reine P2P-Bots… da wird’s schon schwieriger mit dem „Hack back“.

    Zum Thema IT-Sicherheitsmarkt: Bezeichnend, dass man als Urheber der Mirai-Malware den Ingaber einer DDOS-Mitigation-Firma vermutet. So kann man auch Märkte schaffen…

  33. @achtmalklug

    Die meisten Systeme setzen doch auf Unix und Linux auf. Darunter zählen vor allem 32bit Embedded Systeme, Android Smartphones und Server. Die paar Desktopsysteme fallen fast nicht mehr ins Gewicht. Selbst Microsoft verdient mittlerweile mehr Geld mit Linux als mit Windows!

  34. Natürlich wird das ganze in einem dezentalen Botnetz evtl. auch noch mit verschlüsselten Verbindungen schwieriger bis unmöglich. Dennoch kann man auch dort im Rahmen eines Hack-Back z.B. falsche Commands einschleusen, wenn man die Kommunikation durchschaut hat. Aber ich denke diese Diskussionsebene ist für das Blog out of scope…

    Zum Thema Linux… wer sich die Frage, ob Linux uneingeschränkt sicherer ist, selbst beantworten möchte, der möge sich einfach nur mal die bekannten CVE aus diesem Jahr ansehen… Open Source ist kein Allheilmittel, siehe Heartbleed…

    Btw, im Serverbereich sind sogar mehr als 70 % der OS Unixoide oder Linux-Derivate… sogar

  35. In anderen Beiträgen wird sich gelegentlich über den AKüFiBw (Abkürzungsfimmel d. Bundeswehr) ausgelassen. Dem steht dieser Tread in nichts nach ;-)…

  36. Brad Smith, Chief Legal Officer von Microsoft, bekräftigt in Lessons from last week’s cyberattack auch Microsofts Forderung nach einer „digitalen Genfer Konvention“:

    […]
    The governments of the world should treat this attack as a wake-up call. They need to take a different approach and adhere in cyberspace to the same rules applied to weapons in the physical world. We need governments to consider the damage to civilians that comes from hoarding these vulnerabilities and the use of these exploits. This is one reason we called in February for a new “Digital Geneva Convention” to govern these issues, including a new requirement for governments to report vulnerabilities to vendors, rather than stockpile, sell, or exploit them.

    .
    Dazu siehe auch seinen Beitrag vom Februar: The need for a Digital Geneva Convention

    Governments obviously play all sorts of critical roles, but the reality is that the targets in this new battle – from submarine cables to datacenters, servers, laptops and smartphones – in fact are private property owned by civilians.

Kommentare sind geschlossen.