Mitternachtshacking

„Sie haben nicht das Recht, ein Buch laut vorzulesen“, erklärt der Chef der US-Autorenvereinigung Authors Guild, Paul Aiken, gegenüber dem Wall Street Journal. Dafür ist nach Ansicht der Autoren der Erwerb gesonderter Verwertungsrechte nötig.

(via Heise)

Letzte Woche in der Firewall-Schulung beim Testen des Regelsatzes gehört:

„Geben Sie mir ein Ping. Nur ein Ping, bitte!“

😉

In den letzten Tagen sind über 6000 bisher geheime Dokumente des Congressional Research Service bei Wikileaks aufgetaucht. Der Congressional Research Service ist die Forschungs- und Informationsgruppe des US Congress mit einem Budget von etwas über 100 Millionen USD pro Jahr. In Deutschland gibt es so etwas ähnliches, da nennt sich das „Wissenschaftliche Dienste des Bundestags„. Ein Ärgernis des CRS ist vor allem, dass die dort erstellten Berichte und Empfehlungen zwar qualitativ sehr hochwertig sind, der Öffentlichkeit jedoch nicht zur Verfügung stehen. Einzelne Berichte sind zwar bei OpenCRS aufgetaucht, nicht jedoch komplette Jahresarchive. Wikileaks hat das jetzt ein wenig geändert. Ein paar der Reports sind auch für IT-Security-Leute interessant, den einen oder anderen möchte ich deshalb hier kurz erwähnen.

CRS Report RL31787: Information Operations, Electronic Warfare, and Cyberwar: Capabilities and Related Policy Issues

Der Bericht RL31787 vom 5. Juni 2007 beschäftigt sich mit den Möglichkeiten des US Department of Defense zur elektronischen Kriegsführung. Sehr interessant finde ich bereits die Begrifflichkeiten, die das DoD verwendet:

• DoD Information Operations Core Capabilities
  • Psychological Operations (PSYOP)
  • Military Deception (MILDEC)
  • Operational Security (OPSEC)
  • Computer Network Operations (CNO)
    • Computer Network Defense (CND)
    • Computer Network Exploitation (CNE)
    • Computer Network Attack (CNA)
  • Electronic Warfare (EW)
    • Domination of the Electromagnetic Spectrum
    • Electromagnetic Non-Kinetic Weapons

Das DoD verwendet dafür generell den Überbegriff „Information Operations (IO)“, der Fokus von IO liegt darin, den Entscheidungsprozess des Gegners zu stören bzw. zu beeinflussen. Explizit genannt wird die Beeinflussung von Computersystemen durch Schadprogramme, die Zerstörung von Computersystemen durch Hochenergie-Impulse (vermutlich EMPs) sowie die Störung von Sensoren und Radar.

Die Unterscheidung zwischen Computer Network Exploitation (CNE) und Computer Network Attack (CNA) liegt hauptsächlich darin, dass für die Exploitation die Hackingtools so modifiziert werden müssen, dass die Systeme selbst nicht zerstört werden, gleichwohl aber sensible Daten von diesen Systemen gesammelt werden können (Intelligence Collection). Allerdings scheint es dazu noch keine abschließenden Strategien zu geben (wörtlich: „CNE is an area of IO that is not yet clearly defined within DOD“). Unter CNA dagegen versteht das DoD die Zerstörung der Systeme durch einen geeigneten Datenstrom (vermutlich sind Viren, Trojaner oder andere Exploits gemeint). Die Zerstörung oder Beschädigung durch einen Hochenergie-Impuls wird im Gegensatz dazu als Electronic Warfare (EW) bezeichnet. Electromagnetic Non-Kinetic Weapons sind beispielsweise (meist nicht-lethale) hochenergetische Microwellenemitter, die Schmerzen und Verbrennungen einige Millimeter unter der Hautschicht erzeugen können.

Mein persönlicher Eindruck ist, dass das US-Verteidigungsministerium (noch) zu viel Wert auf technologischen Vorsprung legt. Dazu gehört die Dominanz in wichtigen elektromagnetischen Frequenzbereichen, Mikrowellenwaffen, Elektromagnetische Impulse und in Flugzeugen montierte Laserwaffen (Airborn Laser Weapons). Das klassische Hacking, d.h. Einbrechen in Computersysteme mittels Exploits hat sich noch nicht so recht bis zum Militär durchgesprochen. Vermutlich liegt das auch in der Philosophie des US-Militärs begründet, Gefechte primär mit dem Säbel und weniger mit dem Florett auszufechten.

Zumindest Stand dieses Reports mache ich mir persönlich mehr Sorgen um die hervorragend organisierten staatlichen chinesischen Hacker und weniger um amerikanische Hacker. Aber wie ich schon schrieb: die USA geben solche Aufgaben gerne auch mal in private Hände ab … irgendwo findet sich garantiert ein Schwarzwasserhacker.

Genau so war der Fön im letzten Hotel vor Diebstahl gesichert:

Ich habe eine Weile überlegt, ob ich den benutzen soll!

Soso, die Bundeswehr gründet eine Cyberwar-Einheit, die „Abteilung Informations- und Computernetzwerkoperationen“ schreibt der Spiegel. 76 Mann stark und abgeschottet in einer Kaserne. Das kann nicht funktionieren. Gerade Hacking lebt stark vom Austausch mit anderen, die neue Verfahren entwickeln, Sicherheitslücken analysieren und Ideen ausprobieren. Und eine „geheime“ Bundeswehrtruppe ist ungefähr genau das Gegenteil davon.

Andererseits tut sich mir da eine prima Geschäftsidee auf. Genau wie es in konventionellen Konflikten private Söldnertruppen gibt, beispielsweise die berüchtigte Blackwater, deren Leute neulich erst aus dem Irak rausgeflogen sind, könnte man sich das im Cybewar doch auch vorstellen.

Wenn also dieses Blog hier demnächst unter der URL www.schwarzwasserhacking.de erscheint … 😉

Nachtrag:

Fefe lästert auch schon fleißig 🙂

Die Webseite des Snake Oil- Virenscanner-Herstellers Kaspersky in den USA wurde offensichtlich ein klein wenig gehackt. Genau genommen mittels SQL-Injection komplett übernommen. Inklusive Kundendaten, Vertragsinformationen, License-Keys, etc. Kaspersky hat sich noch nicht dazu geäußert.

Naja, Pech. Das kommt vor. Bei einem IT-Security-Anbieter ist das natürlich doppelt peinlich. Aber trotzdem, das kommt vor. Im Grunde zeigt das nur meine alte Leier, dass Webseiten und Webapplikationen viel zu oft von Schnarchnasen erstellt werden, die HTML für eine Programmiersprache halten.

Es zeigt aber auch noch etwas anderes … Kaspersky war auf so einen Vorfall in keinster Weise vorbereitet. Das zeugt entweder von einiger Überheblichkeit („uns passiert so etwas nicht“) oder schlichter Ignoranz („wir kümmern uns, wenn es soweit ist“). Und das macht mir mehr Sorge denn es zeigt, wie wenig Risikomanagement bei Kaspersky ausgeprägt ist. Risikomanagement besteht nämlich nicht nur daraus, zu bewertet wie gefährlich z.B. der Betrieb einer Webapplikation ist sondern auch daraus, Vorkehrungen für den Fall der Fälle zu treffen, um die Schadensauswirkungen zu minimieren.

Man könnte beispielsweise Kundendaten auf verschiedene Datenbanken verteilen, ein Zugriff auf eine Datenbank gibt dann noch nicht direkt alle Informationen heraus. Typische Aufteilung ist eine Datenbank zur Nutzerauthentisierung und eine zweite Datenbank mit den eigentlichen Kundendaten. Man könnte auch eine interne Sprachregelung vorbereiten um aktiv mit Informationen an die Medien zu gehen, bevor sich so ein Ereignis verselbständigt und offizielle Medien sowie Blogger wild über Ursachen und Folgen spekulieren. Bei Marketingfritzen nennt man das wohl die Informationshoheit zu behalten. Jedenfalls dürfte Kaspersky einiges zu tun haben, um dieses Ereignis intern vernünftig aufzuarbeiten.

(via Fefe, Heise)

Dieses Urteil ist anscheinend an mir vorbeigegangen, daher hier der Nachtrag:

Störerhaftung des WLAN-Netzbetreibers – Der Betreiber eines WLAN-Netzes haftet erst ab Kenntnis konkreter Missbrauchsfälle und nicht bereits wegen der abstrakten Gefahr einer rechtswidrigen Nutzung durch beliebige Dritte. Sicherung des WLAN-Netzes nur im verhältnismäßigen Umfang erforderlich.
OLG Frankfurt a.M, Urteil vom 01.07.2008 – Az. 11 U 52/07

mehr bei Medien, Internet und Recht.

Die Portalwut der Bundesregierung, insbesondere im Rahmen des Bürgerportalgesetzes beschränkt sich nicht nur auf E-Mail, diverse andere lustige Sachen wie Online-Datenspeicher sollen auch fleißig reguliert werden. Die Bundesregierung nennt das dann De-Safe.

Ich bin ja mal gespannt, was so ein De-Safe dann kosten soll. Vermutlich wird den niemand verwenden wollen weil ein sicherer Truecrypt-Container bei Amazon S3 ist billiger, schneller und besser als alles, was uns der Staat da unterjubeln kann. Egal.

Falls sich doch jemand für Details interessieren sollte, gibt es eine nette FAQ dazu, die ich neulich entdeckt habe. Die von den Bürgern in der Mitmachphase abgegebenen Kommentare hat man anscheinend vorsichtshalber aus dem Netz entfernt, im Gesetzestext wurden die eh nicht berücksichtigt. Dazu gibt es aber bei Gelegenheit noch einen anderen Beitrag.

Ein paar allgemeine erhaltene Beiträge will ich hier jedenfalls dokumentieren, bevor sie auch verschwinden:

• Die „zuständige Behörde“ (BSI) ist nicht vertrauenswürdig, siehe § 3 Abs. 6 BSIG. Da kann ich meine gesamte Kommunikation sowie alle sozialen Kontakte und privaten Dokumente auch gleich selbst dem Verfassungsschutz zuleiten. Das beauftragte Unternehmen (Telekom) ist ebenfalls nicht vertrauenswürdig, denen würde ich noch nicht einmal die Uhrzeit glauben.

• Ich vertraue doch dem Staat meine Dokumente nicht an. […] In Zeiten von Bundestrojaner, Vorratsdatenspeicherung, Steueridentifikationsnummer & Co. ist es wichtiger denn je, seine Daten zusammenzuhalten und nicht auf einem Silbertablett zu liefern.

• Alleine die Idee mit der Speicherung von Daten für über 30 Jahre an einer zentralen Stelle ist für mich keine Sicherheit, sondern ein Alptraum.

• Steckt hinter dem ePort vielleicht die Absicht, die DE-Mail zur Pflichtadresse zu machen?

• Ich halte das Projekt einzig und allein für eine Methode, T-Systems & Co. möglichst unauffällig Steuergelder zukommen zu lassen.

• Ich finde es wirklich dreist, das ganze „Bürgerportal“ zu nennen! Es ist nicht für den Bürger, sondern für den Staat, damit dieser besseren Überblick der Bürger hat.

• Mir ist die Koppelung von „Sicherheit“ und Aushorchung des Bürgers zu unheimlich.

Hihi, gerade den letzten Satz finde sich lustig. Dabei liegt es doch auch im Interesse von uns Bürgern, dass uns der Staat nicht nur zufällig sondern endlich auch mal sicher und zertifiziert ausspähen kann. Oder?

Manchmal will man ja gar nicht glauben, was man bei Fefe so lesen kann. Aber die ebenso unseriösen Nachrichtenportale bestätigen das.

In Grand Forks, North Dakota haben bisher unbekannte an falsch geparkten Autos Parktickets angebracht, die den Fahrer auf eine Webseite mit Malware gelockt hat.

PARKING VIOLATION This vehicle is in violation of standard parking regulations. To view pictures with information about your parking preferences, go to [website-redacted].

Ich finde das sehr lustig. Ich sollte das auch mal probieren. Beispielsweise in München am Rosenkavalierplatz. Da darf man höchstens eine Stunde mit Parkuhr stehen und die Zetteltanten gehen mindestens fünfmal am Tag da vorbei.

Weitere Details und Fotos hat das Sans Institute zusammengestellt.

Ich muss mir hier mal wieder einen Link merken (und ich brauche eine BinNavi Lizenz). Die Juniper Firewalls will ich mir eh schon länger mal anschauen. Wie die Admin-Hashes bei ScreenOS gebildet werden weiß anscheinend auch noch niemand so genau.