Was genau ist da rausgetragen worden?

[schorsch_76]

Ich hab über einen großen Hackerangriff gelesen [1]. Aber leider versteh ich nicht genau was wurde da rausgetragen? Wo sie sich wohl schon einig sind, dass es Russland gewesen sein soll (wie üblich wenn sowas passiert muss es der Russe gewesen sein). Aber sonstige Details ....

Hängt das mit dem SolarWind [2] Sache zusammen?

[1] https://www.tagesschau.de/ausland/usa-cyberangriff-101.html
[2] https://www.engadget.com/microsoft-...GZLtRzyVGNXR5O9tQe_jvpnGew0jlaLnSvwgsqiO7bogn

 

[KobRheTilla]

Raustragen hin oder her, das ganze dient m.E. nur dazu, die Säbel noch lauter rasseln zu lassen. So einen Angriff kannste dir ebenso gut auch ausdenken - es kann ja keiner überprüfen, man sieht ja nichts.

Nachtrag: und man kann vom Versagen der Innenpolitik ablenken.

Rob

 

[Andy_m4]

Also ich versuche es mal mit möglichst einfachen Worten, auch wenn dabei etwas die Genauigkeit/Korrektheit leiden sollte. Aber um das Prinzip zu verstehen sollte es reichen.

SolarWinds ist so ne halbseidene Security-Company. Deren Produkte werden wohl recht weiträumig eingesetzt (also auch bei großen bekannten Firmen wie Microsoft, AT&T oder McDonald's g).
(Bei FreeBSD vermutlich eher nicht. Die können sich die Premium-Produkte von SolarWinds nicht leisten. :-))
Deshalb zieht es auch solche Kreise, das es das sogar bis in die Tagesschau schafft.

Die Produkte werden (wie andere Software heutzutage auch) regelmäßig mit Updates versorgt. Über den Updatekanal lässt sich natürlich auch Schadsoftware verteilen, wenn man den unter Kontrolle kriegt.
Die unter Kontrolle zu kriegen war nicht schwer. Denn das Passwort dafür war im Netz zu finden. Wie? Nein. Nicht irgendwo gehandelt im Darknet oder so. Sondern auf in einem offiziellen github-Repository von denen (das Passwort war solarwinds123 .... also nicht nur das es frei zugänglich war, es war auch nicht besonders ähm ... sagen wir mal so: Es entspricht nicht gerade gängigen Anforderungen die man üblicherweise an ein Passwort stellt g).

Das ist aber nicht zwangsläufig ein Problem. Software (-Updates) sind heutzutage kryptographisch signiert. Das reicht also nicht dem Updater irgendein Binary unterzujubeln. Das muss auch noch die korrekte Signatur aufweisen, damit es akzeptiert wird.

SolarWinds hat aber auch hier ganze Arbeit geleistet und den Key zum signieren ebenfalls auf dem Update-Server abgelegt (sollte man nicht machen; weil wie gesagt: sonst reichts ja den Update-Server zu hacken.

Erschwerend kommt noch hinzu, das Antivirenkram signierte Binaries nicht scannt. Weil ist ja signiert. Also "sicher". :-)

wie üblich wenn sowas passiert muss es der Russe gewesen sein

Jaja. Das ist natürlich schnell als Ausrede zur Hand.
Aber stell Dir mal vor, Du willst Deine Wohnung gegen Einbrecher schützen. Gleichzeitig legst Du aber Deinen Generalschlüssel an einer prominenten Stelle ab und gibst auch noch Bescheid, zu welchen Zeiten Du nicht zuhause bist (damit der Einbrecher ungestört arbeiten kann).
Klar ist der Einbrecher dann immer noch ein Einbrecher und der Einbruch als solches kriminell.

Dennoch handelt der Wohnungsbesitzer zumindest fahrlässig. Und was bei SolarWinds ja besonders pikant ist:
Das ist ja ein Security-Bude. Die soll ja eigentlich schützen. Das ist sozusagen die Alarmanlage in Deiner Wohnung. Wenn Di dann sicherheitstechnisch so agieren, dann ist das noch mal ne andere Dimension.

 

[Andy_m4]

Raustragen hin oder her, das ganze dient m.E. nur dazu, die Säbel noch lauter rasseln zu lassen.

Ja. Das ist ungefähr so, als wenn Du einen schweren Autounfall hast wo sich der Wagen mehrmals überschlägt und dann danach gefragt wurde, ob dabei was aus dem Kaffeebecher geschwappt ist. :-)

Generell ist es halt so, das wenn Du als Angreifer schaffst da irgendwo Schadsoftware zu platzieren Du ja im Prinzip all das machen kannst, was auch reguläre Software potentiell an Schaden anrichten kannst.

Das Blöde bei digitalen Daten ist, die werden ja nicht gestohlen. Gestohlen ist ein Wort aus der physischen Welt. Wenn etwas gestohlen ist, dann hat es der ursprüngliche Besitzer nicht mehr. Daran das ihm was fehlt merkt er den Verlust.
Digitale Daten werden aber kopiert. Und den siehst Du halt auch nicht an, das sie kopiert wurden. Die nutzen sich ja dadurch nicht ab oder so.

Wenn sich also irgendwer hinstellt und sagt "bei uns wurde nix gestohlen" oder "bei uns wurde nix Relevantes gestohlen" dann ist das natürlich ne Bullshit-Aussage.

 

[schorsch_76]

Also ist damit wohl die "Marke" SolarWinds wohl ziemlich Geschichte. Das ist halt ein echter Totalschaden wenn eine Sicherheitsfirma so handelt und dabei bei vielen Kunden solche Folgen haben kann.

Ist wohl doch was dran an Fefes Spruch: "Schlangenöl vergrößert die Angriffsoberfläche."

 

[KobRheTilla]

Also ist damit wohl die "Marke" SolarWinds wohl ziemlich Geschichte.

Mal ehrlich, haste davon vorher schonmal gehört? Ich nicht.

Rob

 

[Andy_m4]

Also ist damit wohl die "Marke" SolarWinds

Möglicherweise. Aber wetten würde ich nicht drauf.
Dafür gabs mir bei anderen Security-Fauxpas' immer zu viele Überlebende. :-)

"Schlangenöl vergrößert die Angriffsoberfläche."

Das Problem ist halt, das der Markt da relativ umreguliert ist.
Es muss ja niemand nachweisen, das seine Security-Lösung funktioniert. Es reicht, wenn er das behauptet.
Das ist ja in anderen Bereichen anders. Man denke nur mal (aus aktuellen Anlass) an die Medizin. Wenn Du da ein Medikament auf den Markt bringen willst, musst Du nachweisen, das es auch tatsächlich wirkt (und sogar noch nachweisen, das es nicht schädlich ist).

Und als Kunde solcher Sicherheitslösungen ist es auch nicht einfach. Du gehst ja zu einem Spezialisten weil Du denkst: "Die kennen sich ja aus. Die wissen was sie tun."

Das andere Problem ist, das es in unserer Welt gar nicht primär darum geht Probleme zu lösen. Es ist hinreichend, wenn Du nicht zur Verantwortung gezogen wirst wenn denn was passiert.
Das siehst Du ja auch immer schön an den Aussagen, wenn es denn mal zu Security-Problemen kommt. Dann heißt es immer "Uns hats erwischt, obwohl wir was dagegen getan haben". Oder wenns dann mal so ist wie bei SolarWinds kann man sich immer rausreden: "Das setzen doch alle ein".

 

[turrican]

...und das Passwort auf deren Update-Repo war WIRKLICH "solarwinds123" UND war öffentlich zugänglich (wie das Repo auch) UND die Rufe derer, die darum wussten und das als "kann man machen, sollte man aber nicht" gemeldet haben wurden ignoriert?

Un-glaub-lich!!

Sowas könnte man in nem Hollywood-Film gar nicht bringen, das würde als "zu unglaubwürdig" abgetan werden...

 

[Andy_m4]

Sowas könnte man in nem Hollywood-Film gar nicht bringen, das würde als "zu unglaubwürdig" abgetan werden...

Was wird sich Tom Cruise im nachhinein ärgern. Dieses umständliche und riskante abseilen im Hochsicherheits-Computerraum in "Mission Impossible" wäre gar nicht nötig gewesen, um an die Daten zu kommen. :-)
Vermutlich war er deshalb auch so übellaunig am MI7-Set. :-)

 

[turrican]

Mal ehrlich, haste davon vorher schonmal gehört? Ich nicht.

Rob

Früher hatten die doch mal so nen "tragbaren FTP Server" als Software im Angebot, welchen die Windows-Kollegen (und deren Consultants von Extern) gern aufm Laptop rumgetragen haben, wenn "mal schnell eben" ein FTP Server zum Updaten von irgendwas gefragt war ...

Was wird sich Tom Cruise im nachhinein ärgern. Dieses umständliche und riskante abseilen im Hochsicherheits-Computerraum in "Mission Impossible" wäre gar nicht nötig gewesen, um an die Daten zu kommen. :-)

Gut, das durch die Laserstrahlen abseilen oder an der sauglatten Glasfassade hochklettern fällt als Drama-Element weg, aber dafür scrollen halt dann Millionen von Klartext-Zeilen in "Powerline FiraCode" Font im Hintergrund (im Vordergrund das schwitzende Gesicht seines Hacker-Kumpels) durch - wo dann auch der Zuschauer das Passwort im Klartext lesen und die Situation quasi selbst "erleben" kann... eine ganz neue Film-Dynamik

@schorsch_76 - ich frag mich auch immer, wie die so schnell sagen können, ob irgendwas bzw ob nichts rausgetragen wurde, bzw wie sie auch immer drauf kommen, dass Russland, Nord-Korea, das südliche Oberbayern und speziell hier der Landkreis Ebersberg oder wer wo auch immer daran schuld sein sollen; bin da bei sowas auch immer skeptisch.

Zu ersterem kann ich nur vermuten, dass etliche Leute nach der Methode arbeiten, dass wenn halt nichts (brauchbares) zum Thema in irgendwelchen Logs drinsteht, "die Sache" für die dann auch nicht stattgefunden hat - dass es für gewisse Vorgänge gar keine Logs gibt, ist für solche Leute erstmal zweitrangig bzw wird gar nicht in Betracht gezogen.

Zu zweiterem konnte man i.d.V. lesen, dass die Experten aus Metadaten im Kompilat Rückschlüsse auf Sprachräume sowie Zeitzonen ziehen konnten - aber ich muss mich da schon auch fragen: wenn ich schon ne krasse weltweite Aktion anleiere, dann fake ich doch sowas auch noch, oder?

 

[KobRheTilla]

ich frag mich auch immer, wie die so schnell sagen können, ob irgendwas bzw ob nichts rausgetragen wurde, bzw wie sie auch immer drauf kommen, dass Russland, Nord-Korea, das südliche Oberbayern und speziell hier der Landkreis Ebersberg oder wer wo auch immer daran schuld sein sollen

Eben hier liegt doch der offensichtliche Widerspruch: die bekommen angeblich monatelang nichts davon mit, dass sie kompromittiert sind, haben dann aber gleich den Urheber des "Angriffs" parat.
WIe dumm muss man sein, sowas zu glauben?

Rob

 

[Andy_m4]

fällt als Drama-Element weg

Genau darauf kommt es aber beim Film an. Die weitaus meisten Hacks in der Praxis sind erstaunlich unspektakulär. So eher die Kategorie "eMail verschicken der einen Anhang anwaltsschreiben.pdf.exe hat" und so. Schon allein diese typischen bildschirmfüllenden "Access Denied"-Meldungen entbehren ja jeglicher realer Vorlage.
Aber macht natürlich aus filmtechnischer Sicht Sinn das so zu machen.

Ein echten(!) Hackerfilm würde sich niemand anschauen wollen. :-)

WIe dumm muss man sein, sowas zu glauben?

Wie Du schon angedeutet hast. Es geht gar nicht darum echte Aufklärung zu leisten.
Es geht darum, Verantwortung abzuschieben.
Und "der fiese Russe" ist nun mal ein schon über lange Zeit etabliertes Feindbild. Das kaschiert das eigene Versagen auch viel besser wenn Du das einem gut ausgebildeten feindlichen staatlich gestützten Hacker in die Schuhe schiebst, als wenn das irgendein dahergelaufenes "Skriptkiddie" war.

 

[schorsch_76]

Mal ehrlich, haste davon vorher schonmal gehört? Ich nicht.

Rob

Naja, wenn das MS und Co einsetzen und US Ministerien, dann ist das in der USA schon ein Ding. Vielleicht nicht so sehr bei uns aber für die Firma schaut das vermutlich eher schlecht aus. Zumindest meine Einschätzung.

 

[Yamagi]

Das ist ja in anderen Bereichen anders. Man denke nur mal (aus aktuellen Anlass) an die Medizin. Wenn Du da ein Medikament auf den Markt bringen willst, musst Du nachweisen, das es auch tatsächlich wirkt (und sogar noch nachweisen, das es nicht schädlich ist).

Aber auch das musste erst richtig schief gehen, bevor die Daumenschrauben wurden. Die modernen Arzneimittelzulassungsverfahren sind eine direkte Folge des Contergan-Skandals, vorher war auch der Markt weltweit weitgehend unreguliert. Es ist nicht auszuschließend, dass es sich bei IT-Produkten ähnlich entwickelt. Je mehr schief geht und je schmerzhafter es wird, umso größer wird das Bewusstsein werden, dass Regulierung notwendig ist.

 

[pit234a]

Das Problem ist halt, das der Markt da relativ umreguliert ist.

Und als Kunde solcher Sicherheitslösungen ist es auch nicht einfach. Du gehst ja zu einem Spezialisten weil Du denkst: "Die kennen sich ja aus. Die wissen was sie tun."

Und ehrlich gesagt, wenn ich ein Bösewicht wäre und mit fremden Daten Geld verdienen wollte, würde ich mich doch darum bemühen, genau solche Lösungen anzubieten. Oder? ich meine, welche Firma verlangt denn schon den Quellcode einer SW und selbst wenn, welche Firma hätte denn noch die Kompetenz, diesen zu lesen und zu prüfen?
Jedes Unternehmen kauft doch heute Lösungen für VPN und Zertifizierung und Verschlüsselung "irgendwo" ein. Vielleicht gibt es einen IT-Dienstleister, der diese Pakete weiter verkauft und dem man halt vertraut. Ich möchte nicht wissen, wie oft hier einfach der Preis entscheidet und gerade dann, wenn ich ja mein Geld in Wirklichkeit anders verdiene, kann ich ja hier sehr günstig anbieten.

Mir ist in dem Zusammenhang immer sehr unklar, wieso die Russen (es sind immer die Russen oder NordKorea und nur manchmal die Chinesen, niemals die Briten und Inder) immer mit Einbruch-Szenarien in Verbindung gebracht werden. Also aktive, aggressive Hacker. Das ist total abwegig und ganz sicher der Dramatik in der Berichterstattung geschuldet.

 

[Azazyel]

Das siehst Du ja auch immer schön an den Aussagen, wenn es denn mal zu Security-Problemen kommt. Dann heißt es immer "Uns hats erwischt, obwohl wir was dagegen getan haben". Oder wenns dann mal so ist wie bei SolarWinds kann man sich immer rausreden: "Das setzen doch alle ein".

Es wird sogar noch paradoxer: in vielen Fällen wirst du als Unternehmen abgestraft, wenn du nicht eine Lösung von einem Drittanbieter nimmst. Wenn es zu einem Vorfall kommt (oder du sowieso in einer regulierten Branche arbeitest), ersparst du dir viel Ärger mit "wir haben eine Standardlösung von $DRITTANBIETER im Einsatz" im Gegensatz zu "wir haben eine selbstgestrickte Open-Source-Lösung", selbst wenn letztere sicherer wäre.

Mir ist in dem Zusammenhang immer sehr unklar, wieso die Russen (es sind immer die Russen oder NordKorea und nur manchmal die Chinesen, niemals die Briten und Inder) immer mit Einbruch-Szenarien in Verbindung gebracht werden. Also aktive, aggressive Hacker. Das ist total abwegig und ganz sicher der Dramatik in der Berichterstattung geschuldet.

Aus gutem Grunde werden niemals die vermeintlichen Beweise für russische oder chinesische Interventionen veröffentlicht; das würde die Substanzlosigkeit der Vorwürfe offenbaren. Es geht mehr um Macht und Geld denn Dramatik: https://heise.de/-4979217
Nicht umsonst sahen die Planungen des deutschen Bundeshaushalts für 2021 vor COVID-19 drastische Steigerungen für Rüstungsausgaben sowie Kürzungen für Bildung und Gesundheitswesen vor.

Die Anstalt im ZDF hat das Ganze ja mal schön in 6 Minuten auf den Punkt gebracht (und die Entlarvten haben bis vor den Bundesgerichtshof probiert, die Sendung dafür wegzuklagen):

Um diese Inhalte anzuzeigen, benötigen wir die Zustimmung zum Setzen von Drittanbieter-Cookies.
Für weitere Informationen siehe die Seite Verwendung von Cookies.

Drittanbieter-Cookies akzeptieren

Ist jetzt aber schon arg off-topic...

 

[Andy_m4]

vorher war auch der Markt weltweit weitgehend unreguliert

Ja. Solche Regeln sind meist mit Blut geschrieben. Sieht man ja in anderen Bereichen auch (Verkehr, Autosicherheit, Eisenbahnsicherheit etc.).

Es ist nicht auszuschließend, dass es sich bei IT-Produkten ähnlich entwickelt.

Vermutlich.
Wenn das Thema sogar inzwischen bei der Politik angekommen ist und man sich genötigt sind irgendwelche Nationalcybersecurity-Dinger aus den Boden zu stampfen. Gut. Die sind zwar Blödsinn, zeigen aber man nimmt das Problem immerhin ernst.

Und ehrlich gesagt, wenn ich ein Bösewicht wäre und mit fremden Daten Geld verdienen wollte, würde ich mich doch darum bemühen, genau solche Lösungen anzubieten. Oder?

Klar. Und es gibt ja durchaus auch bekannte Fälle, wo Security-Anbieter mit Nachrichtendiensten vertrauensvoll zusammenarbeiten. :-)
Da bewegen wir uns also nicht mehr nur im Bereich der Spekulation.

Ich möchte nicht wissen, wie oft hier einfach der Preis entscheidet und gerade dann, wenn ich ja mein Geld in Wirklichkeit anders verdiene, kann ich ja hier sehr günstig anbieten.

IT-Sicherheit wird generell immer noch zu wenig wertgeschätzt. Wie IT als Ganzes ist es für ne Firma in erster Linie ein Kostenfaktor bei dem aber nein direkt was rumkommt. Wenn ich mein LAN absichere kostet das halt nur Geld aber ich verkaufe davon kein Produkt mehr.
Und der Schadensfall ist für viele sehr abstrakt. Der wird dann gerne mal gezielt ignoriert mit "wird mich schon nicht treffen" und der falschen Vorstellung, das man allein mit einem Produkt die Sicherheit erhöhen kann. Dieses "Sicherheit kauft man ein" ist ja schon eigentlich die falsche Denke. IT-Sicherheit muss ein integrales Konzept sein. Wenn Du ne ranzige IT-Infrastruktur hast nützt es halt wenig, wenn Du da via Gießkanne dein Antitreatmentirgendwas drüberkippst.
Das ist wie beim Auto (jaja; der beliebte Autovergleich! g). Da hast Du ja auch verschiedene Sicherheitsmechanismen und es gibt nicht das eine Ding (Airbag) was Dich schützt.

wieso die Russen (es sind immer die Russen oder NordKorea und nur manchmal die Chinesen, niemals die Briten und Inder)

Gewohnheit. Die waren schon zur Zeit des kalten Krieges die Bösen. Und bewährte Traditionen gibt man doch nicht auf. :-)

 

[Andy_m4]

Es wird sogar noch paradoxer: in vielen Fällen wirst du als Unternehmen abgestraft

Ja. Das stimmt.

im Gegensatz zu "wir haben eine selbstgestrickte Open-Source-Lösung", selbst wenn letztere sicherer wäre.

Wobei man daraus nicht ableiten sollte, das die selbstgestrickte Open-Source-Lösung immer die bessere Wahl ist. Es ist schon eine gewisse Expertise gefragt. Oder zumindest wäre es schon gut sich an gewisse Standardlösungen und best practise zu halten, in die halt schon Erfahrung eingeflossen sind.
Die Hauptschwierigkeit besteht darin dann wirklich zu beurteilen können, ob eine Lösung tatsächlich gut ist oder nicht. Deswegen hast Du ja diesen Herdeneffekt. Man guckt dann nicht selber nach (weil man nicht die Expertise hat), sondern man sagt sich "Die anderen haben das auch und die haben sich ja ganz bestimmt damit auseinandergesetzt. Und wenn die zu dem Ergebnis gekommen sind, dann ist das auch für uns gut."

Klar sind da zwei Annahmen drin, die nicht unbedingt zutreffen müssen. Aber das sieht man erst mal nicht. Und selbst wenn man es sieht, kommt man wieder zur Verantwortlichkeitsgeschichte.
Nimmst Du Deine zusammengefrickelte Open-Source-Lösung und es geht schief, wird Dir jeder vorhalten "Da was konnten Sie denn auch auf so ne Bastellösung setzen!". Wenn Du auf was Bekanntes setzt und es geht schief, dann kannste Dich da viel leichter rausreden.

und die Entlarvten haben bis vor den Bundesgerichtshof probiert, die Sendung dafür wegzuklagen

Das ist ja immer ein gutes Zeichen das Du da einen wunden Punkt gefunden hast, wenn die Dich versuchen wegzuklagen. :-)