Archiv für die Kategorie „Cyberwar“

Neues von Stuxnet

Dienstag, 28. September 2010

Der erste Wurm, der nicht nur Computer, sondern auch Steuerungsanlagen für Industriemaschinen (sog. SCADA-Systeme) befällt, bekommt in der letzten Zeit immer mehr öffentliche Aufmerksamkeit. Sogar die FAZ widmet ihm einen großen Artikel. Inzwischen soll er 14 Industrieanlagen in den USA, Südkorea, dem Vereinigten Königreich sowie dem Iran befallen haben.

Neueren Analysen zufolge verschafft das Programm seinen Erstellern einen Fernzugriff auf das System. Diese können dann Steuerfunktionen online austauschen. Sogar eine Rootkit-Funktionalität, die verhindern soll, dass die SCADA-Betreiber die Manipulationen bemerken, ist implementiert. 70 neue oder veränderte Funktionen soll Stuxnet mitbringen, wobei aber nicht ganz klar ist, welche Funktionen der Code enthält. Symantec berichtet über einen historischen Fall, bei dem eine Ventilsteuerung durch einen Trojaner so manipuliert wurde, dass der Druck in einer Pipeline bis zum Bersten erhöht wird.

Wer hinter Stuxnet steckt und welche Zwecke damit verfolgt werden ist nach wie vor offen. Zum Teil wird vermutet, Stuxnet sei eigentlich auf den Iran ausgerichtet gewesen, da dort eine signifikant höhere Infektionsrate bei SCADA-Systemen zu verzeichnen sei. Ob das wirklich der Fall ist, wird sich nicht ohne weiteres klären lassen. Bestätigt worden ist inzwischen jedenfalls, dass tatsächlich Anlagen in Iran, darunter auch des Atomkraftwerks Buschehr, betroffen sind. Bedenkenswert scheinen in diesem Zusammenhang Hinweise zu sein, nach denen das Programm nicht wahllos alle Siemens Steueranlagen angreift, sondern lediglich bestimmte Konfigurationen. Die ohnehin schon geringe Anzahl potentieller Opfer wird dadurch nochmals eingeschränkt, was die Vermutung nahelegt, dass dies eher nicht das “Von-der-Stange” Werk eines 08/15-Programmierers war, sondern sehr spezialisierte Kenntnisse und Zielwünsche dahinter standen. Ein staatlicher Auftraggeber oder sogar Ersteller ist damit zumindest nicht fernliegend.

Die schiere Existenz eines solchen Programms zeigt in jedem Fall, dass die Gefahr für cyberterroristische Angriffe und Auswirkungen reiner Cyberkriege nicht auf die virtuelle Welt beschränkt sind, sondern mit einem Mausklick auf die “echte” Welt übergreifen können.

EDIT:  Bei Wired ist inzwischen ein interessanter Artikel mit vielen weiteren Hintergrundinformationen, auch zum Aufbau des Codes, der Verbreitung des Wurms und weiteren Spekulationen zu den Urhebern erschienen.

Ein Wort mit “x”?

Montag, 27. September 2010

“Das war wohl nix” möchte man laut ausrufen. Die “Cyber Security Challenge” soll in Großbritannien neue Talente für den Cyberkrieg rekrutieren helfen. Durch einige spielerischen Herausforderungen sollen die Fähigkeiten der Bewerber überprüft werden, um auf diese Weise geeignete Kandidaten zu finden. Da sieht es natürlich gar nicht schön aus, wenn die Veranstalter selber in den abgefragten Disziplinen patzen.

Per E-Mail sollten alle Bewerber die neue Aufgabe zum Thema IT-Forensik erhalten. Viele Teilnehmer müssen verwundert gewesen sein, als sie im Kopie-Feld der Mail die Adressen der fast 400 anderen Bewerber sehen konnten. Dass dies gegen die für den Wettbewerb festgelegten Datenschutzvorschriften verstieß, ist angesichts des Image-Schadens dann schon beinahe unwichtig.

Der Grund für das Debakel konnte immerhin schnell aufgeklärt werden: menschliches Versagen. Ein Mitarbeiter hatte wohl schlicht die Felder “cc” (Kopie) und “bcc” (Blindkopie) im Mailclient verwechselt.

Auch die Armee ist verwundbar

Dienstag, 14. September 2010

Über die Bedeutung von Cyberkriegen wird viel diskutiert. Insbesondere zwei Problemkomplexe tauchen dabei immer wieder auf, die sich auch in einem aktuellen Beitrag auf Heise Online wiederfinden.

Zum einen geht es um die Frage der Verwundbarkeit und welche Ziele ein Angreifer (sei es ein anderer Staats oder auch eine Gruppe von Terroristen) elektronisch attackieren könnte. Zumindest der erste Punkt ist jetzt um einen Erfahrungsbericht aus der Schweiz reicher. Das “Eidgenössische Departement des Äußeren” (EDA) sei “mit Erfolg” aus dem Internet angegriffen worden. Den unbekannten Tätern sei es dabei gelungen, Daten aus dem internen Kommunikationsnetzwerken zu stehen. Der Schweizer Armeechef André Blattmann wird in diesem Zusammenhang mit den Worten zitiert

Wir würden an unserem Lebensnerv getroffen, wenn die Codes zur Auslösung unserer Waffensysteme in die falschen Hände geraten würden.

Dem mag man noch entgegenhalten, dass es vielleicht keine gute Idee ist, Zugriffcodes für Waffensysteme in einem an das Internet angeschlossenen Systeme zu speichern. Gerade für sensible Systeme gilt nach wie vor der Grundsatz, dass nur ein “Airgapping”, d.h. das Unterlassen physischer Verbindungen zwischen einem internen und einem externen Netzwerk, sicherstellen kann, dass es zu keinen erfolgreichen Angriffen aus dem Internet kommen kann.

Der zweite Aspekt, der gerade die militärischen Überlegungen immer wieder antreibt ist die Frage, wie man sich gegen einen Cyberangriff wehren kann. Es geht dabei weniger um die Frage, ob ein Land in der Lage ist, ebenfalls erfolgreich Cyber-Vergeltungsschläge auszuführen oder das System, von dem der Angriff ausgeht, elektronisch abzuschalten. Vielmehr ist die entscheidende Frage, ob dieses System tatsächlich der Angreifer ist, oder ob der eigentliche Täter nur geschickt seine Spuren so gelegt hat, dass sich zwei Nationen gegenseitig beschießen. Der Fall von Estland hat recht eindrucksvoll gezeigt, wie leicht man so etwas provozieren könnte.

Im gleichen Heise-Artikel wird auch ein im US-Verteidigungsministerium diskutiertes Konzept angesprochen, was unter dem Stichwort Active Defense diskutiert wird und schlicht die Beweislast versucht umzukehren. Kann ein Cyber-Angriff auf ein bestimmtes Land zurückgeführt werden, so “muss dieses Land innerhalb einer festgelegten Zeit entweder beweisen, dass es nur zur Weiterleitung missbraucht wurde oder, falls Cyber-Kriminelle aus dem Land agiert haben, muss es die Angreifer ausliefern.” Sofern das Land hierzu nicht in der Lage ist, so wird “seine Unfähigkeit als feindlicher Akt” interpretiert. Ein Angriff soll dann zulässig sein. Gerade im Fall von Estland war jedoch deutlich erkennbar, dass Russland sich schlicht nicht herablassen wollte, von seinem kleinen Nachbarn unter Druck setzen zu lassen.  Ein solches Vorgehen ließe sich dann durch einen geschickt handelnden Täter ausnutzen, um weitere staatliche Spannungen zu interpretieren. Es verwundert daher kaum, dass die Antwort auf die Frage des US-Senats an Keith Alexander, den Oberkommandeur des US-Cybercommand, wie er mit derartigen Fällen umzugehen gedenke, als geheim eingestuft wurde.

Die Tiefebene in Cyberland

Mittwoch, 4. August 2010

Nach Luft, Wasser, Boden und Weltall verdient der Cyberspace als weiteres mögliches Kriegsgebiet verstärkte Aufmerksamkeit, so General Michael Hayden, ehemaliger Direktor von CIA und NSA auf der diesjährigen Black Hat in Las Vegas. In seinem Vortrag führte Hayden aus, das Internet sei flach wie die norddeutsche Tiefebene angelegt und daher besonders verwundbar. Es benötige – so die Analogie weiter – Flüsse, Berge und geografische Grenzen, die bei der Verteidigung helfen könnten. Rechtlich sei daher eine Ächtung z.B. von DDoS-Attacken und anderen kriegerischen Aktionen notwendig.

Der jüngst durch General Keith Alexander angedeutete mögliche Kurswechsel sei hierfür ein guter Schritt in die richtige Richtung. Allerdings seien G8 oder G20 ein besseres Forum als die Vereinten Nationen. Damit bringt Hayden zwei weitere mögliche Foren ins Rennen. Bislang war vor allem diskutiert worden, ob der Europarat mit seiner Cybercrime Konvention oder die Vereinten Nationen mit ihrer großen Anzahl von weltweit verteilten Mitgliedern das richtige Forum für ein internationales Instrument im Kampf gegen derartige Maßnahmen sei.

Festkodierte Passwörter

Sonntag, 1. August 2010

Dass Malware inzwischen versucht, auf alle möglichen Informationen zuzugreifen ist kein Geheimnis. Dass sie gezielt auf so genannte SCADA-Systeme ausgerichtet ist, ist hingegen vergleichsweise neu. SCADA, die Abkürzung steht für Supervisory Control and Data Acquisition System, sind Systeme, die für die Steuerung von Industrieanlagen genutzt werden, z.B. Kraftwerke oder Versorgungseinrichtungen aus dem Bereich der kritischen Infrastruktur. Aufgrund der angeschlossenen Anlagen haben SCADA-Systeme besondere Bedeutung für die Risikoabschätzung im Bereich des Cyberterrorismus’ sowie für Cyberkriege. Vor kurzem ist nun bekannt geworden, dass eine neu entdeckte Malware gezielt derartige Systeme angreift. Besonders leicht wird dieses Vorgehen gemacht durch ein fest in die Kontroll-Software einkodiertes Passwort. Es handelt sich dabei um das von Siemens genutzte Simatic WinCC SCADA System.

Das Passwort soll bereits seit dem Jahr 2008 bekannt sein, als es kurzzeitig in einem Produkt-Forum auftauchte. Dort wurde es angeblich kurz nachdem der Eintrag entstand wieder gelöscht. In einem weiteren Produktforum soll es jedoch über mehrere Jahre hinweg online verfügbar gewesen sein. Siemens wollte sich hierzu nicht näher äußern. Nach Berichten von Anwendern soll es fast unmöglich sein, das fest vorgegebene Passwort überhaupt zu ändern, da daraufhin andere Systeme nicht mehr wie gewünscht arbeiteten.

Nach Aussage von Joe Weiss, dem Autor von “Protecting Industrial Control Systems from Electronic Threats” soll es sich bei dem fest kodierten Passwort nicht um einen bedauerlichen Einzelfall, sondern eher um eine regelmäßige Erscheinung handeln. “Über 50 Prozent” der Anbieter derartiger Systeme sollen seiner Ansicht nach solche Passwörter in Firmware oder Software einsetzen.

Gefahren von und für Drohnen

Freitag, 18. Juni 2010

Unbemannte Drohnen sind seit geraumer Zeit aus gefährlichen Einsätzen nicht mehr wegzudenken. Die riesigen Predator- und Reaper-Drohnen liefern beinahe kontinuierlich wichtiges Bildmaterial für militärische Einsätze, z.B. in Afghanistan und Irak. Gleichzeitig wird deutlich, welche Gefahren damit auch verbunden sein können. So wurde vor geraumer Zeit bekannt, dass z.B. das Bildmaterial, das die Drohnen un- oder nur leidlich verschlüsselt übertragen, in einigen Fällen abgehört wurden. Der Überraschungseffekt, z.B. bei einem anschließenden Raketenangriff auf eine mit Hilfe einer Drohne entdeckte Stellung, wird in diesem Fall merklich eingeschränkt.

Dramatischer könnten die Fälle werden, in denen die Steuerung für die Drohne übernommen werden kann und das Gerät z.B. als passives Geschoss auf eine Einrichtung zurückgelenkt wird. Bislang ist es offenbar noch nicht zu derartigen Fällen gekommen. Selbst wenn die Steuerung zu kompliziert für eine Übernahme sein sollte, bleibt die Gefahr von DoS-Angriffen, die zum Verlust der Funkverbindung führen könnten. Bei Stückkosten von ca. 10 bis 12 Millionen USD wäre auch der “einfache” Absturz einer Drohne nicht unbedeutend.

Dass der Steuerungsverlust auch ohne fremde Einwirkung zum Problem werden kann, musste jetzt die U.S. Navy feststellen. Bei einem Manöver kamen gleich vier der 13 eingesetzten Unterwasserdrohnen abhanden.  Die Bevölkerung musste aufgerufen werden, hilflos herumtreibende Drohnen bitte zu melden, damit sie geborgen werden können.

Die linke Hand und die rechte Hand

Freitag, 26. März 2010

Drei Dinge sind seit langem bekannt. Erstens, dass Terroristen und solche, die es gerne einmal werden möchten, sich im Internet in mehr oder weniger gut abgeschotteten Foren treffen, um über Pläne und Ansichten zu diskutieren. Zweitens, dass einige Nachrichtendienste selber solche Kommunikationsplattformen im Internet anbieten, um besser verfolgen zu können, welche Themen momentan in der Szene diskutiert werden. Drittens, dass – zumindest in einigen Ländern – die Doktrin verfolgt wird, dass unerwünschte Webseiten gewaltsam geschlossen werden – selbst für den Fall, dass diese sich in einem anderen Land befinden. Eher selten wird jedoch bekannt, dass sich diese drei Entwicklungen auch in die Quere kommen können.

Die Washington Post berichtete vor kurzem über einen Fall, der sich bereits im Jahr 2008 zugetragen hatte, offenbar aber erst jetzt an die Öffentlichkeit gedrungen ist. Der Saudische Nachrichtendienst hatte offenbar zusammen mit der amerikanischen CIA ein Webforum als Honeypot aufgesetzt, um Informationen zu sammeln und ggf. Anschläge rechtzeitig aufdecken und vereiteln zu können. Um welche Seite es sich dabei gehandelt haben könnte, wird inzwischen an anderer Stelle diskutiert. Das U.S. Militär war allerdings zwischenzeitlich offenbar zu der Ansicht gelangt, dass Extremisten das Forum für Anschläge gegen amerikanische Truppen im Irak nutzten. Militärspezialisten schalteten daher mit einem Cyberangriff das Forum gegen den Widerspruch der CIA ab. Die saudischen Verbünden sollen hierüber nicht gerade erfreut gewesen sein…

In diesem Zusammenhang stellt sich vor allem die Frage, wie zwischen nachrichtendienstlichen Ermittlungen einerseits und (militärischen) Verteidigungsaktivitäten andererseits zu unterscheiden ist, um derartige Konflikte vermeiden zu können. In den U.S.A. gibt es jedenfalls nach der Darstellung der Washington Post bislang noch keine klaren Richtlinien für derartige Einsätze. Ein namentlich nicht näher benannter Mitarbeiter einer amerikanischen Anti-Terrorismusbehörde bringt die Auswirkungen, der Aktion jedenfalls schon einmal klar auf den Punkt:

Die CIA war der Auffassung, dass nachrichtendienstliche Informationen verlorengehen würden, was sie dann auch taten; dass die Beziehungen zu kooperierenden anderen Diensten beschädigt werden würden, was dann auch der Fall war; und dass die Terroristen zu anderen Webforen weiterziehen würden, was auch geschah.

Neben diesen Schäden wird als ein zentrales Argument gegen die Zerstörung von Internetangeboten mit Hilfe von Cyberangriffen (insbesondere auf fremden Territorium) häufig vorgebracht, dass die über das eigentliche Ziel hinausgehenden Auswirkungen kaum abzuschätzen sind. Die Estland-Angriffe von 2007, bei denen zunächst von einem staatlich gelenkten Angriff russischen Ursprungs ausgegangen wurde, die sich später als haltlos erwiesen, sind hierfür ein gutes Beispiel. Auch der Angriff auf das Forum blieb nicht ohne Folgen: mehr als 300 Server in Saudi-Arabien, Deutschland und Texas sollen durch den Angriff betroffen worden sein. Es stellt sich daher die Frage, ob derartige Angriffe zukünftig noch Sinn machen und tatsächlich in einem nationalen Alleingang durchgeführt werden können, statt in einer abgestimmten internationalen Aktion.

USA gibt Cybersicherheitsplan (teilweise) frei

Donnerstag, 4. März 2010

Unter Präsident Bush war im Jahr 2008 ein Plan für die Cybersicherheit der USA auf den Weg gebracht worden. In 12 Abschnitten sollte der Plan Vorgehensweisen und Kriterien für die Sicherheit amerikanischer Einrichtungen festlegen, z.B. militärischer, ziviler oder staatlicher Netzwerke, kritischer Infrastrukturen, aber auch für offensive Cyberwar-Strategien. Der Plan unterlag allerdings der Geheimhaltung.

Nach einem Statement des Cybersecurity Coordinators Howard A. Schmidt auf der RSA Konferenz in San Francisco, über das  Wired berichtet sind jetzt zumindest Teile des Plans freigegeben worden. Dies betrifft etwa die Einführung von Einstein II und III, Intrusion Detection Systemen für die staatlichen Netzwerke. Weiterhin unter Verschluss bleiben hingegen die Direktiven des Plans, die sich mit Cyberwar befassen.

USA verlieren Cyberkrieg

Sonntag, 28. Februar 2010

Nach Ansicht des ehemaligen Vize-Admirals und führeren Leiters der National Intelligence Michael McConnell würden die USA einen möglichen Cyberkrieg gegen feindliche Mächte verlieren. Dies liege jedoch nicht an fehlender oder schlechter Technik, sondern daran, dass die USA das am besten vernetzte Land sei und man daher am meisten zu verlieren habe. James Lewis vom CSIS stimmt dieser Einschätzung zu. Länder wie China und Russland würden bereits Möglichkeiten recherchieren, etwa das amerikanische Stromnetz abzuschalten. 

Lewis ist weiterhin der Auffassung, terroristische Angriffe auf Energienetze seien gegenwärtig nicht zu befürchten. Wären Terroristen tatsächlich in der Lage hierzu, so hätten sie dies bereits getan. Heise Online zitiert Lewis, die Annahme Terroristen seien zwar in der Lage, hätten sich aber aus bestimmten Gründen bislang zurückgehalten sei “lächerlich”.

Die große Abhängigkeit von vernetzten Informationsnetzen und Steuerungssystemen musste bereits Estland im Jahr 2007 schmerzlich erfahren. In den USA soll nun der “Cybersecurity Enhancement Act” aus dem Jahr 2009 für Verbesserung der IT-Sicherheit sorgen.