Das erste Opfer im Cyberkrieg ist DEINE Sicherheit im Netz

Jetzt wo Anonymous diverse russische Websites defaced und in einem Video angekündigt hat, auch Industrieanlagen anzugreifen, ist es Zeit, hier im Blog auf eine grundlegende Tatsache hinzuweisen:

Das erste Opfer im Cyberkrieg ist DEINE Sicherheit im Netz.

Wie geht Cyberkrieg?

Wie funktioniert überhaupt dieser “Cyberkrieg”? Da wird ja nicht mit physischen Waffen geschossen.

Nun, das erste Ziel eines jeden Cyberangriffs ist es, in ein bestimmtes Computersystem (unbemerkt!) einzudringen, um dann dort irgendwelche Dinge zu tun (ebenfalls unbemerkt, mindestens bis zum Abschluss der Operation). Sei es um zu spionieren, Daten zu manipulieren, physischen Schaden zu verursachen wie bei Stuxnet, oder anderes.

Mit diesem ersten Teil des Eindringens in fremde Computersysteme beschäftigt sich dieser Beitrag näher. Vorausgesetzt wird natürlich, dass das gegen den Willen der Betreiberinnen der betroffenen Computersysteme geschieht.

Dafür gibt es im Wesentlichen 2 Möglichkeiten:

  • entweder das System ist unsicher konfiguriert; dann handelt es sich nur um ein Problem dieses einen konkreten Systems und muss uns für die Argumentation nicht weiter interessieren
  • oder die Angreiferinnen nutzen eine oder mehrere Sicherheitslücken in verwendeter Software aus, und an der Stelle wird der Cyberkrieg zu einem Problem für uns alle.

Die dabei verwendeten “Waffen” nennen sich Exploits, was einfach nur das englische Wort für “ausnutzen” ist. Wirklich “scharfe” Waffen sind dabei nur die so genannten Zero Day-Exploits – die heißen so, weil die Herstellerfirma (oder das Open Source-Gemeinschaftsprojekt) mangels Kenntnis der Lücke noch Null Tage Zeit hatte, die Sicherheitslücke zu schließen, wenn ein solcher Exploit in freier Wildbahn eingesetzt wird. Und selbst wenn herstellerseitig ein Patch bereitsteht um die Lücke zu schließen, müssen die Administratorinnen betroffener Systeme diese natürlich erst noch einspielen (sofern das nicht automatisch passiert, was aber selbst wiederum neue Angriffsflächen schafft).

Im Blog meiner alten PC ab 50-Seite hatte ich dazu schon vor 9 Jahren einen Beitrag geschrieben: Cyberkrieg ist auch Krieg - mit den üblichen Verdächtigen. Einige der dortigen Links baue ich auch in diesen Artikel mit ein.

Wieso gibt es keine Unbeteiligten im Cyberkrieg?

Warum ist das jetzt ein Problem für uns alle? Nun, bevorzugt wird natürlich weit verbreitete Software angegriffen. Es kann also gut sein, dass dein Office-Programm genau diese Sicherheitslücke aufweist, oder ein von dir benutztes Websitesystem wie z.B. Wordpress, oder ein Betriebssystem wie Windows oder Linux. Feindliche Akteure wie Geheimdienste oder Anonymous & Co. behalten solche Sicherheitslücken für sich, anstatt sie den jeweiligen Herstellerinnen zu melden. Dadurch haben diese keine Möglichkeit, die Lücken zu schließen (außer es findet zufällig eine White Hat-Sicherheitsforscherin die gleiche Lücke und meldet sie dann). Genau das macht unser aller Geräte unsicherer, wenn Sicherheitslücken als Waffen benutzt werden.

Deshalb fordert nicht nur die internationale Hackercommunity, sondern sogar Ex-CIA-Direktor Michael Hayden, Cyberkrieg insgesamt zu ächten. Wer hätte das gedacht.

Die fast zweieinhalbstündige Alternativlos-Folge 25 über Cyberkrieg könnte ich mir glatt zum Auffrischen mal wieder anhören. Und der Heise-Artikel über Die Entstehung des “Malware-Industrial Complex” ist ein guter Grundsatzartikel über die sich seit vielen Jahren verschärfende Problematik (aus dem Jahr 2013, seither ist es wahrlich nicht besser geworden).

Wer war’s?

Auf ein Thema will ich noch gesondert eingehen: die Cyber-Attribuierung. Das ist der Versuch, herauszufinden, wer tatsächlich hinter einem Angriff steckt. Fefe hat dazu einen klaren und fundierten Standpunkt: es geht (so gut wie) nicht. In 99,9% der Fälle ist eine behauptete Attribuierung das Ergebnis von digitalem Kaffeesatzlesen.

Wer tiefer in das Thema einsteigen will, kann sich dazu die passende Chaosradio-Folge 268 anhören. Die sind da ein wenig optimistischer als Fefe, aber auch nicht viel.

Das ist vor allem deshalb nahezu unmöglich, weil Hackerinnen aller Art gezielt falsche Spuren hinterlassen, um eben gerade nicht enttarnt zu werden. Das geht munter in alle Richtungen, ein paar Beispiele:

Natürlich lässt man sich bei solchen Angriffen als jemand ganz anderes erscheinen. Der erste Teil der Überschriften ist aus ebendiesem Grund sehr mit Vorsicht zu genießen – ob es tatsächlich “die Russen” waren, die da angegriffen haben, & nicht jemand ganz anderes, der es nur so aussehen lassen wollte, können wir nicht ausschließen.

Ich habe übrigens mal eine Seite mit einer detaillierten Anleitung gesehen, wie du (als versierte Hackerin) deine Spuren so legst, dass es aussieht, als steckte APT28 oder APT29 dahinter. Die habe ich bei meinen Recherchen für diesen Artikel leider nicht mehr gefunden; wenn du sie kennst, kontaktiere mich gerne, dann reiche ich das hier noch nach.

Was tun solche Gruppen konkret dazu? Nun, z.B. führen sie die Angriffe von Computern in dem Land & in der Zeitzone des Akteurs, als der sie sich ausgeben wollen, durch. Dabei arbeiten sie möglichst zu den gängigen Bürozeiten in dieser Zeitzone. Sie stellen die Sprache ihres Rechners auf die passende Sprache, benutzen Tools, von denen sie wissen, dass ihre falsche Identität diese gerne benutzt, usw. usf. Das ist natürlich ein großer Aufwand, aber wenn man das schwarze Budget eines Geheimdienstes zur Verfügung hat, dann macht man das halt einfach, wenn es sein muss.

Und digitale Spuren sind letztlich alles Nullen und Einsen, die sich im Prinzip beliebig manipulieren lassen.

Cyberkrieg ächten!

Deshalb fordere ich mit dem Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V.:

Keine militärischen Operationen im Internet!

Nachtrag vom 11.04.: Na super, jetzt will Innenministerin Nancy Faeser Informationskrieg gegen uns alle führen, in guter alter Seehofer-Tradition des Hackbacks – “Aktive Cyberabwehr”: Innenministerin Faeser hält Hackbacks für unvermeidbar. Anlässlich dessen stelle ich fest, dass ich hier noch gar nicht Fefes Vortragsfolien zum Thema Hackback verlinkt hatte. Mike Kuketz hat ganz frisch darüber einen Artikel geschrieben, Hackback: Zurückhacken ist keine Lösung, sondern riskanter Blödsinn, ebenso im März die AG KRITIS: Wir cybern besser nicht zurück – Warum offensive Cyberoperationen wie Hackback die eigene Bevölkerung bedrohen .

Im Februar 2020 gab es in Berlin eine ganze Konferenz zum Thema, dass defensive IT-Sicherheit der bessere Ansatz ist, die DefensiveCon v02.