Leseempfehlung – Sprungpunkte Henning Brune

Leseempfehlung: ‚Countdown to Zeroday‘ von Kim Zetter

18. Juni 202218. Juni 2022 ihbrune

Es ist schon etwas Zeit vergangen seit der letzten Leseempfehlung hier, aber meine gerade beendete Urlaubslektüre hat sich für mich sehr gelohnt. Es ist Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon (ISBN 0-77043-617-X) von Kim Zetter. Zwar ist das Buch schon aus dem Jahr 2014 und angesichts der schnellen Entwicklungen im IT Bereich daher nicht mehr ganz up to date.

Aber es ist trotzdem lesenswert, denn die Stuxnet Schadsoftware ist bis heute (2022) ein einzigartiges Beispiel für eine digitale Waffe, die auch zum Einsatz kam bzw. deren Einsatz entdeckt wurde.

Die Autorin nimmt auf den 500 Seiten alle Aspekte in Augenschein, vielleicht manchmal schon zu umfassend, darunter diese:

Die Sicht der Sicherheitsforscher

Die Personen, die mit der Analyse der ungewöhnlich komplexen Schadsoftware befasst waren, insbesondere bei Symantec und dem deutschen Unternehmen Langner, erfahren eine umfassende Porträtierung. Und die für sie neuen Fragestellungen:

Ist es insbesondere für ein US Unternehmen wie Symantec eigentlich opportun eine von der US Regierung beauftragte Operation zu (zer)stören?
Wie ist es mit den möglichen persönlichen Risiken, denen man sich dabei im Gegensatz zur Analyse irgendeiner beliebigen Virussoftware aussetzt?
Ist man in irgendeiner Weise mitschuldig, wenn der digitale Angriff aufgedeckt wird und die Geheimdienste ihre Strategie dann offenbar auf Mordanschläge umstellen?

Die Funktion der Waffe

Es gibt ein umfangreiche Beschreibung der ‘Nutzlast’ der Schadsoftware, sozusagen des digitalen Sprengkopfs. Dieser bestand aus auf die spezielle Steuerungssoftware von Siemens, die attackiert wurde, zugeschnittenen Elementen, die so ganz anders funktionieren als der Code, den Sicherheitsforscher im Umfeld gängiger Betriebssysteme wie Windows oder Linux gewohnt sind, was die Analyse sehr erschwerte.

Das Ziel der Waffe

Die Schadsoftware richtete sich – das kann heute wohl als sicher gelten – gegen das iranische Nuklearprogramm bzw. den Teil, in dem die Urananreicherung mit tausenden von Zentrifugen erfolgt.

Und war damit ein Teil eines über Jahrzehnte – bis heute – andauernden Konflikts zwischen dem Iran, der USA, Israel, aber auch weiteren Staaten. Hier rollt das Buch die verschiedenen Parteien auf, wobei es naturgemäß schwierig ist die eigentlich Verantwortlichen zum Reden zu bringen oder auch nur zu benennen.

Ein wesentlicher Teil des Buches befasst sich auch mit der Frage ob so eine Schadsoftware ein kriegerischer Akt ist. Das ist keine unwichtige Frage, denn die Alternativen aus Sicht der USA und Israels wären eindeutige kriegerische Akte wie Luftangriffe.

Und würden die USA – wenn sie in ähnlicher Weise angegriffen würden – so eine Attacke genauso einschätzen, wie sie es damals als Angreifer getan haben?

Was braucht es sonst noch um so eine Waffe zu entwickeln

Was in der Berichterstattung über Stuxnet oft zu kurz kam ist die Frage wie es überhaupt technisch möglich war eine Software zu entwickeln, die in offenbar sehr subtiler Weise komplexe Hardware – die Zentrifugen der Urananreicherung – beschädigen und in ihrer Leistung einschränken kann.

Hier wird klar, dass solche Angriffe kaum ohne einen umfangreichen Maschinenpark und langen Vorlauf realisierbar sind.

War Stuxnet erfolgreich

Die Antwort auf diese Frage ist überraschend kompliziert und vielfältig. Da niemand der Personen, die es am besten wissen könnten, ein Interesse hat die tatsächlichen Fakten offenzulegen gibt es nur umfangreiche Indizien, die die befragten Expert*innen aber auch wieder ganz unterschiedlich auslegen.

Interessant ist auch die Frage ob die Autor*innen der Schadsoftware hätten aggressiver vorgehen sollen. Es wäre vermutlich ‘leicht’ gewesen tausende von Zentrifugen zu zerstören, aber damit hätte man die Iraner auch direkt darauf gestoßen, dass irgendetwas grundsätzlich nicht stimmt.

Der Umgang staatlicher Stellen mit Zero Day Lücken

Stuxnet nutzte eine – zumindest für damalige Verhältnisse – ungewöhnliche große Anzahl von Zero Day Lücken – also vor ihrer Entdeckung in Schadsoftware zumindest bei den jeweiligen Softwareanbietern wie Microsoft unbekannte Lücken – aus. Insgesamt waren es 4.

Hier wird der Konflikt diskutiert den staatliche Stellen haben, die auf der einen Seite die Sicherheit ihrer Bürger und der Infrastruktur sichern sollen, aber auf der anderen Seite solche Lücken für Geheimoperationen in Reserve halten möchten. Teilweise sogar die gleichen staatlichen Stellen.

Seit damals hat sich einiges getan was Bug Bounty Programme angeht, aber der Markt für solche Lücken in wichtigen Systemen ist eigentlich nur noch größer geworden und die Preise viel höher, die Unternehmen wie Apple, Google oder Microsoft bieten müssen, damit sie halbwegs sicher sein können das Fehler in ihren global eingesetzten Produkten bei ihnen gemeldet werden, und nicht bei einer der vielen Plattformen, die sie an den Meistbietenden verkaufen.

Die Büchse der Pandora – geöffnet, aber nicht genutzt?

Das Ende des Buches wird die Metapher der Büchse der Pandora verwendet: Haben die Personen, die Stuxnet auf den Iran und letztlich auf die Welt losgelassen haben damit einen Präzedenzfall geschaffen, der sich nicht mehr ungeschehen macht? Ähnlich den Detonationen der ersten Atombomben?

Dieser Argumentation kann man sich kaum verschließen, aber es ist heute – 8 Jahre nach dem Erscheinen des Buches – festzustellen, dass vergleichbare Ereignisse seitdem nicht wieder bekannt geworden sind. Auch im aktuellen Angriffskrieg Russlands gegen die Ukraine scheinen solche Mittel eher nachrangig – wenn überhaupt – zum Einsatz zu kommen.

Tatsächlich kommen heute große Infrastrukturausfälle durch digitale Angriffe vor, siehe z. B. den Angriff auf die Colonial Pipeline, der zu massiven Störungen der Energieversorgung in den USA führte. Aber diese Angriffe werden von Kriminellen ausgeführt, denen es um Geld geht, nicht von Staaten oder Geheimdiensten. Und die viel simplere Sicherheitslücken ausnutzen und auf diese Weise teilweise überraschend tief in hochwichtige Systeme eindringen.

Das liegt vielleicht daran, dass sich eine digitale Waffe oft nur einmal einsetzen lässt, danach ist ihr Wirkmechanismus bekannt und kann abgestellt werden. Und der Angegriffene bekommt mit der Schadsoftware auch eine Blaupause dafür, wie diese Waffe funktioniert, und kann sie nachbauen. Das macht den Einsatz riskant und trotz der ‘Vorteile’ – hauptsächlich wie schwer es ggf. ist nachzuweisen, wer für einen Angriff verantwortlich war – nur für wenige Szenarien attraktiv.

Empfehlung

Wer sich für IT Sicherheit interessiert, aber dabei nicht rein für die Bits und Bytes, der findet hier interessanten Lesestoff in einer Tiefe, die sich mir damals, als das Thema ganz aktuell war, so nicht erschlossen hat.

Und 8 Jahre später die Prognosen zur Ausbreitung und zum Einsatz von digitalen Waffen mit der Realität vergleichen zu können ist ebenfalls spannend.

Triangulation Podcast mit Cathy O’Neil

6. Dezember 20161. März 2024 ihbrune

Im letzten Triangulation Podcast (Nr. 275) ist Cathy O’Neil zu Gast, die vor kurzem das Buch Weapons of Math Destruction veröffentlicht hat. Das hatte ich zwar schon auf meiner Leseliste, aber bisher noch nicht angefangen. Der Podcast ist ein ausführlicher Teaser, der die Kernthesen darstellt:

Durch die stetig wachsenden Datenhalden, die im Netz über alles und jeden aufgebaut werden, und die sich schnell weitenentwickelnden mathematischen und technischen Verfahren (‚Big Data‘) sind inzwischen gezielte Beeinflussungen in großem Maßstab möglich
Ein Beispiel ist vielleicht bereits der gerade gelaufene Präsidentschaftswahlkampf in den USA, bei dem potentielle Wähler auf Facebook genau auf sie zugeschnittene Wahlversprechungen oder Beeinflussungen erhalten haben, die für andere Wähler / Fact Checker unsichtbar und nicht überprüfbar sind
Gleichzeitig gibt es eine große Gläubigkeit in ‚die Mathematik‘ oder ‚den Algorithmus‘, der z. B. die für das Schulsystem des Distrikts Washington Verantwortlichen dazu gebracht hat sich ein Scoringsystem für ihre LehrerInnen anzuschaffen, welches diese auf Basis eines niemandem bekannten Verfahrens einstuft und ggf. zu ihrer Entlassung führt. Ohne das irgendeine Überprüfung erfolgt, ob das Verfahren zu einer Verbesserung führt, und zumindest Einzelfälle die Vermutung nahelegen, dass hier gerade die in armen Gegenden liegenden, diesem Scoring unterliegenden Schulen dadurch ihre guten LehrerInnen verlieren

Die Autorin, die unter https://mathbabe.org/ bloggt, ist offenbar ehrlich betroffen (im Sinne von beschämt) von den Einsatzfeldern, auf die die von ihr geliebte Mathematik hier geführt wird.

Auch für uns InformatikerInnen ist dieses Thema relevant um das eigene Gewissen dafür zu schärfen was die Dinge, die man mal als ‚80% Lösung‘ für den ersten Aufschlag gebaut hat, vielleicht anrichten können, wenn sie so auf die Welt losgelassen werden.

Hier ist die Homepage des Buches: https://weaponsofmathdestructionbook.com/

Leseempfehlung: ‚SPAM NATION‘ von Brian Krebs

6. Januar 201618. Juni 2022 ihbrune

Vor wenigen Tagen musste ich jemandem, der nicht viel jünger ist als ich, erklären was eigentlich Spam(mail) ist. Vielleicht ist das meine und Google’s Schuld: Ich hatte die Person schon vor langer Zeit mit einem GMail Account ausgestattet und Google’s Filter haben offenbar in all der Zeit den Posteingang frei von Spam gehalten.

Ist es wirklich schon so weit gekommen? Das nur noch wir ‚Älteren‘ uns an die Zeit erinnern, in der Spam eine echte Plage war und man beim morgendlichen Öffnen des Postfaches 90% gleich löschen konnte, weil es SPAM war? Oder ist mit dem Siegeszug der Messenger auf den Smartphones die E-Mail einfach unwichtiger geworden?

Egal. Meine letzte Weihnachtslektüre war für mich trotzdem sehr spannend, auch wenn die Ereignisse, die dort behandelt werden, nun schon einige Jahr her sind: Brian Krebs beschreibt hier mit sehr tiefgehenden Kenntnissen die Geschichte der Pharmawars, einer Auseinandersetzung zwischen zwei großen russischen Internetanbietern von (legalen und illegalen) Medikamenten, die insbesondere mit massiven Spamwellen beworben wurden.

Krebs beleuchtet dabei alle Teile des Spam/Pharma-Geschäfts. Das sind neben den Plattformbetreibern, den Spammern mit ihren riesigen Botnetzen und diversen anderen Akteuren dieser kriminellen Verbünde:

Die Käufer: Warum kaufen Leute eigentlich Medikamente bei Quellen, deren Zuverlässigkeit sie nicht kontrollieren können und wie zufrieden sind sie mit dem Service? Spoiler: Das Servicelevel dieser Dienste war offenbar ausgesprochen gut. Und die Leute, die auf die Links in Spam klicken, haben teilweise gute Gründe dazu, und sind nicht einfach ‚dumme Nutzer‘, zu denen sie die Nerds gerne erklären.
Die geschädigten Pharmakonzerne: Jeder kennt vermutlich Spam für Viagra / Cialis etc. Was machen eigentlich die betroffenen Konzerne, denen dadurch doch Gewinne entgehen müssten? Spoiler: Offenbar erstaunlich wenig. Denn was wäre, wenn sich herausstellt, dass die Plagiate der illegalen Shops viel billiger sind, aber chemisch nicht von den teuren Originalprodukten unterschieden werden können?
Die ‚Antis‘: Welche Kräfte gibt es, die sich – oft eher inoffiziell und im Schatten – der Spamflut entgegen stellen und in welchen Fällen wurden sie von den Spammern bezwungen. Spoiler: Microsoft hat in dieser Geschichte viel bewegt mit seiner hartnäckigen Verfolgung von Raubkopien, jedenfalls mehr, als die Pharmakonzerne.
Das russische ‚Rechtssystem‘: Interessant ist bei der detailgenauen Portraitierung der russischen Spammer und Plattformbetreiber das Umfeld, in dem sie sich bewegen (müssen). Ist das für Einflussnahmen anfällige russischen System zunächst eine Hilfe beim Aufbau der kriminellen Aktivitäten, werden diese ‚kleinen‘ Diebe später auch mal von den viel größeren Dieben im russischen Staat ausgenommen.

Brian Krebs hat dabei offenbar ungeheure Mühen bei der Auswertung von geleakten Chatlogs der Konfliktparteien aufgewendet und einen teilweise sehr persönlichen (zu persönlichen?) Kontakt zu einigen der Schlüsselfiguren aufgebaut. Auch ist er ob seiner Herkunft als Journalist – im Gegensatz zu vielen IT Leuten, die in diesen Bereich Texte produzieren – in der Lage echte Spannungsbögen zu produzieren und den roten Faden in diesem komplexen Thema nicht zu verlieren.

Und auch, wenn das Spamproblem heute reduziert scheint: Die gleichen Leute, die Botnetze für das Spamming aufgebaut haben, sind immer noch da und suchen neue Tätigkeitsfelder um die mit Pharmaverkäufen heute nicht mehr erzielbaren Einnahmen zu kompensieren.

Von mir daher 5 Sterne!