2016, Blog

Heute cybern wir zurück

Endlich! Nach dem Angriff auf die fast 1 Million Router der Telekom müssen wir reagieren. Das Innenministerium plant die Aufstellung eines Spezialistenteams, das, wenn Deutschland im Cyberraum mit Cyberwaffen angecybert wird, zurückcybern muss. Koste es was es wolle! Wir dürfen das nicht mehr durchgehen lassen. Am besten wir nutzen noch die offensiven Cyberkrieger der Cyberwehr bei der Bundeswehr, denn richtig hart cybern will gelernt sein.

So! Lassen wir mal den ganzen Bullshit. Die Beruhigungspillen für die Öffentlichkeit sind ja manchmal ganz nett. Aber, wenn einfach zu viel gecybert wird, dann kann man sich vor lachen auch mal daran verschlucken.

Die genannte Meldung, hier bei heise.de, ist der übliche Reaktionismuskäse, wenn man nicht weiß, wie man die Leute beruhigen kann bzw. um sich einfach mal wieder in den Mittelpunkt stellen zu können. Sollte das Innenministerium eine Spezialeinheit zur Cyberabwehr aufstellen, dann wird diese Cybereinheit folgendes Szenario immer wieder durchspielen, ohne auch nur jemals einen Erfolg zu haben:

  1. Betreiber kritischer Infrastruktur meldet Angriff.
  2. Cyberteam telefoniert.
  3. Betreiber kritischer Infrastruktur trennt angegriffenes System oder trennt gehacktes System mit Zugriff zur kritischen Infrastruktur vom Internet.
  4. Cyberteam informiert sich was passiert ist.
  5. Betreiber kritischer Infrastruktur säubert Systeme, spielt BackUps ein.
  6. Cyberteam telefoniert mit Innenministerium.
  7. Betreiber kritischer Infrastruktur fährt Systeme wieder hoch.
  8. Innenministerium gibt Pressekonferenz und lobt die Arbeit des Cyberteams.
  9. Betreiber kritischer Infrastruktur lässt alles beim Alten, weil einfach niemand, der kritische Infrastruktur mit dem Internet verbindet, jemals bestraft wird in einem korrupten System.
  10. Kowa fühlt sich amüsiert von den Pressemeldungen.

So ein Cyberteam könnte im Höchstfall reagieren, wenn es direkt beim Betreiber kritischer Infrastruktur sitzen würde. Im Zuge eines Angriffes werden die jedoch nicht mal Remotezugriff erhalten. Und wenn sie reagieren könnten, würde sie nur genau das tun können, was ich in den Punkten 1 – 10 beschrieben habe.

Wenn ein Botnetz einen Angriff auf, sagen wir ein Atomkraftwerk durchführt oder eine Ausspähaktion stattfindet, weil bspw. ein Mitarbeiter gezielt per Social-Engineering angegriffen wurde und ihm eine Malware auf einem USB-Stick untergeschoben werden konnte, er diesen besifften USB-Stick in seinen Bürorechner gesteckt hat, damit seinen Rechner infizierte über den nun das Verwaltungsnetzwerk ausgespäht wird, er anschließend den Stick in einen Computer des ICS – Industrial Control Systems im geschützten SCADA-Netzwerk steckte, um ein Update zu installieren und damit auch dieses Netzwerk infizierte, das, oh mein Gott, dann doch irgendwo eine ungeschützte Verbindung ins Verwaltungsnetz oder sogar Internet besessen hat, weil die DMZ (Demilitarisierte Zone) Scheiße konfiguriert wurde oder ein anderer Mitarbeiter einfach mal ein Kabel umsteckte, weil er doch so dringend seine privaten E-Mails abrufen musste, ja dann haben wir einen interessanten Fall. Der Angreifer findet jetzt einen Weg ins Netz für eine gezielte Manipulation oder aber hat alle nötigen Eingänge ausgespäht oder sogar Eigene für einfachere Angriffe geöffnet.

Dieser Angriff wird jetzt irgendwie registriert. Entweder, weil das ICS sich verschluckt und das System zusammenbricht, oder weil doch irgendwie Firewalls registrieren, dass da voll die geile Geschichte abläuft.

Die Admins des Betreibers der kritischen Infrastruktur realisieren jetzt, dass vielleicht ein DDoS-Angriff stattfindet. Über eine Million IP-Adressen beschießen das System und bringen es zum Kollabieren. Oder das ICS dreht am Sender und keiner weiß warum!

Die Admins trennen es jetzt vom Internet in dem sie die Firewallports schließen, um das Abrauchen der Systeme oder einen Informationsabfluss zu verhindern oder aber die Übernahme der Anlage von außerhalb. Dann öffnen sich die Ports wieder und sie stellen fest, dass jemand bereits Kontrolle über die Firewalls hat. Der Angriff geht weiter. Die Admins können sich jetzt ausrechnen, dass die Systeme kompromittiert wurden.

Also vollständige Internetblockade, vollständige Rekonfiguration aller Systeme. Juchu. Die armen Admins.

Was macht jetzt das Cyberteam des Innenministeriums? Gehen wir von einem DDoS-Angriff durch ein Botnetz aus, dass nicht nur Verwaltungsnetzwerk, sondern auch Industrienetzwerk in die Knie zwingen soll. Während des Angriffes haben die Admins einige Logdateien mitschreiben können. Sie wissen also zumindest einige IP-Adressen die IoT-Geräte wie Glühbirnen oder WebCams, Smartphones und DesktopPCs nutzten, die am Angriff beteiligt waren. Da die meisten dieser Geräte im Ausland liegen und selbst wenn nicht, es Wochen dauern wird herauszufinden wo deren Standort in Deutschland ist und man natürlich auch physischen Zugriff auf die Systeme benötigt, bleibt dem Cyberteam erstmal nur die Analyse der Malware. Wenn die Admins der kritischen Infrastruktur sei es mit Hilfe oder ohne Hilfe des Cyberteams die Malware oder mindestens ein infiziertes System haben zur Ermittlung sichern können, dann können die Jungs vom Cyberteam das Kommunikationsverhalten mal Monitoren, oder gezielt die Schadsoftware suchen und vielleicht finden.

Anhand der Malware wiederum könnte man bei einem professionellen Angriff höchstens feststellen über welches System im Ausland der Angriff durchgeführt wurde, ohne, dass man sicher sein kann, dass dieses System nicht auch gehackt wurde. Dafür benötigt man die Hilfe des ausländischen Cyberteams. 🙂

Nach zwei Wochen könnte das Cyberteam jetzt eine infizierte moderne Glühbirne in seine Hände bekommen und dort die Infektion feststellen und die Malware analysieren. Dauert dann nochmal eine Weile. Dann kennen sie die Command & Control – Server des Botnetzes. Auch diese stehen im Ausland. Ermittlungen wer diese infiziert hat und missbraucht, kann ähnlich wie beim Botnetz Avalanche auch mal eben 7 Jahre dauern.

Tja, so ein pauschaler Angriff gegen Billigrouter der Telekom ist das Eine! Ein gezielter Angriff auf kritische Infrastruktur kann schon ein dickerer Brummer werden!

Aber egal, ob jetzt ein pauschaler Angriff oder ein Gezielter, mit organisatorischen Maßnahmen können Betreiber kritischer Infrastruktur ihre Systeme absichern. Ein Offlinebetrieb ist da erstmal die sicherste Methode. Um zu verhindern, dass infizierte Datenträger in das ICS gelangen und ähnlich wie beim Stuxnet-Angriff auf die Atomanlagen im Iran Zentrifugen durch falsche Steuerungsbefehle zerstörten, muss es auch hier Regeln und Maßnahmen zum Umgang mit Datenträgern geben, die die Sicherheit erhöhen.

Kann ein Cyberteam jetzt aber zurückschlagen? Das war die eigentlich Frage!

Nun, der Großteil der Arbeit in einem solchen Fall ist die Analyse. Malware kann zum Urheber führen. Das kann aber Jahre dauern und bedarf der Zusammenarbeit vieler Dienststellen auch im Ausland. Das funktioniert bereits auch ohne weiteres Cyberteam. Auch die Verteidigung gegen DDoS-Angriffe ist nicht leicht. Um einen solchen Angriff zu blockieren, ist die Hilfe der Provider notwendig. Dort kann blockiert, aber nicht abgeschaltet werden. Wenn 1 Million Geräte auf ein System schießen, dann müsste das Cyberteam ein noch größeres Angriffsnetzwerk besitzen oder kontrollieren, um wirklich zurückzuschießen. Und sie müssten auf Router, Glühbirnen, Cams, Drucker, Smartphones und was noch alles an infizierten Systemen ballern, weil sie erstmal gar nicht die Command & Control – Server kennen. VÖLLIG AUSGESCHLOSSEN! Nicht nur rechtlich fragwürdig, sondern auch in der realen technischen Umsetzung nicht dauerhaft möglich, wenn man nicht selbst dauerhaft kriminell arbeiten will. Dass Leute freiwillig dem Staat ihr System zur Verfügung stellen, ist wohl eher ausgeschlossen.

Und es ist risikobehaftet. Wenn bspw. ein kritisches System in Russland oder der USA durch Hacker übernommen wurde und unser Cyberteam ballert es ab. Dann werden die Freunde/Feinde nicht amüsiert sein. Oder was ist, wenn Krankenhaustechnik missbraucht wird, die trotzdem noch Leben rettet? Die Systeme wegschießen? Nein! Wir benötigen andere Lösungen!

 

PS: Für 180 Euro die Stunde bin ich aber bereit irgendwo nen RasPi fürs Cyberteam hinzustellen, ehrlich! Alles eine Frage der Motivation. 🙂 Dass das Ding am Ende keine Hintertür hat, dafür ist dann aber das Cyberteam verantwortlich. Wäre doch schlimm, wenn das missbraucht werden könnte.

Tagged , , , , , ,