ZUM HEULENDIE RANSOMWARE „WANNACRY“,UNGEPATCHTE SYSTEME UND DIE

GEHEIMDIENSTE / Stefan Schlott @_skyr

http://stefan.ploing.de/?pk_campaign=slides&pk_kwd=cccshttp://twitter.com/_skyr

ABOUT.TXT

Stefan Schlott, BeOne Stuttgart GmbHJava-Entwickler, Scala-Enthusiast, Linux-Jünger

Seit jeher begeistert für Security und Privacy

Aktiv beim CCC Stuttgart

SOMETHING COMPLETELYDIFFERENT…

23.03.2017,

Fahrverbot als Nebenstrafe

Die Möglichkeit, Fahrverbote auch wegen Straftaten zuverhängen, die nichts mit dem Führen eines Fahrzeugs zu tunhaben, ist bei einer öffentlichen Anhörung desRechtsausschusses überwiegend auf Zustimmung gestoßen.Gegenstand des Hearings war ein Gesetzentwurf derBundesregierung zur Änderung des Strafgesetzbuchs, desJugendgerichtsgesetzes, der Strafprozessordnung undweiterer Gesetze (18/11272), der diese neue Nebenstrafevorsieht.

Deutscher Bundestag

https://www.bundestag.de/presse/hib/2017_03/-/499646

DAS KLEINGEDRUCKTEKurz vor der Abstimmung: Bundesregierung gibt

für Gesetz einFormulierungshilfe

Diese Enthält Aufnahme Einsatz Staatstrojaner in die reguläreStrafprozessordnung:

Quellen-TKÜ für alle Fälle, in denen eine reguläre TKÜ zum Einsatzkommen kann

Online-Durchsuchung für „besonders schwere Straftaten“ oder denVersuch, sie zu begehen

→ beides technisch nur mit einem „Staatstrojaner“ realisierbar

https://netzpolitik.org/2017/wir-veroeffentlichen-den-gesetzentwurf-der-grossen-koalition-zum-massenhaften-einsatz-von-staatstrojanern/#Formulierungshilfe

HEISE NEWSTICKER22.06.2017,

Bundestag gibt Staatstrojaner für die alltäglicheStrafverfolgung frei

Die Polizei darf künftig offiziell Internet-Telefonate undMessenger-Kommunikation bei Verdacht auf eine Vielzahlvon Delikten überwachen sowie heimliche Online-Durchsuchungen durchführen. (…) Zudem erhält die Polizeidie Befugnis, beim Verdacht auf "besonders schwereStraftaten" heimlich komplette IT-Systeme wie Computeroder Smartphones auszuspähen. Dafür ist es nötig, dieGeräte der Betroffenen mit Schadsoftware in Formsogenannter Staatstrojaner zu infizieren.

Heise Newsticker

https://www.heise.de/newsticker/meldung/Bundestag-gibt-Staatstrojaner-fuer-die-alltaegliche-Strafverfolgung-frei-3753530.html

NOCH MEHRVORGESCHICHTE:

DIE SHADOWBROKERS

HEISE NEWSTICKER16.08.2016,

Angebliche Hacker-Waffen der NSA zum Verkauf

Eine Gruppe namens Shadow Brokers brüstet sich damit,Tools von der Hacker-Gruppe Equation Group abgezogen zuhaben. Diese wird immer wieder in Verbindung mit dem US-Geheimdienst NSA gebracht.

Heise Newsticker

https://www.heise.de/security/meldung/Angebliche-Hacker-Waffen-der-NSA-zum-Verkauf-3295353.html

DIE SHADOWBROKER-AUKTION„Amerikanische Versteigerung“ von Tools der Equation Group

Equation Group: Gruppierung, die häufig mit der NSA assoziiertwurde

Veröffentlichung eines Samples (eqgrp-free-file.tar.xz.gpg) undeiner verschlüsselten Datei (eqgrp_auction_file.tar.xz.asc)

Ex-NSA-Mitarbeiter bezeichnen Sample als authentisch

https://www.heise.de/security/meldung/Veroeffentlichte-NSA-Hackersoftware-ist-offenbar-echt-3298140.html

WEITERE WORTMELDUNGEN…in pseudorussischem Dialekt? „TheShadowBrokers is trying

auction. Peoples no like.“

31.10.16: , die offenbar von der Equation Groupbenutzt wurden

Liste von Servern

01.11.16: Verzeichnisstruktur mit Namen und Screenshots derangebotenen Exploits/Tools

https://www.heise.de/security/meldung/Liste-mit-vermeintlich-von-der-NSA-gehackten-Servern-veroeffentlicht-3453656.html

DERSTANDARD.AT15.04.2017,

Neuer Leak: Die "Mutter aller NSA-Exploits"veröffentlicht

Wieder sorgt die ominöse Hackergruppe "Shadow Brokers"für Schlagzeilen. Die Gruppe, die in den vergangenenMonaten bereits NSA-interne Programme und Informationenveröffentlichte, legte am Freitag neue Enthüllungen nach.Und Diese haben es in sich: US-Medien sprechen sogar vom"schlimmsten Leak seit Snowden".

derStandard.at

https://derstandard.at/2000056012684/Neuer-Leak-Die-Mutter-aller-NSA-Exploits-veroeffentlicht

DON'T FORGET YOUR BASESehr merkwürdig formulierte Nachricht, Trump solle seine

Wählerbasis nicht vergessen und sich an Versprechungen halten

Veröffentlichung des Passworts der Auktion

Enthält viele (teils noch unbekannte) Exploits gegen Linux, Windows,Cisco-Router

Entspannte Reaktion von Microsoft: Haben wir am (vorgezogenen)Patchday am 14.03.17 bereits gepatcht

Was wurde bei Microsoft gepatcht? „EternalBlue“:

MICROSOFT SECURITYBULLETIN

14.03.17,

Security Update for Microsoft Windows SMB Server

This security update resolves vulnerabilities in MicrosoftWindows. The most severe of the vulnerabilities could allowremote code execution if an attacker sends specially craftedmessages to a Microsoft Server Message Block 1.0 (SMBv1)server.

This security update is rated Critical for all supported releasesof Microsoft Windows.

Microsoft Security Bulletin MS17-010

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

WER SIND DIE SHADOW BROKERS?Stand heute: Unbekannt

Eine Vermutung: NSA Insider

Weitere Vermutung: Russisches Involvment

: „Circumstantial evidence and conventionalwisdom indicates Russian responsibility.“

Snowden vermutet

https://twitter.com/Snowden/status/765514891813945344

DIE WANNACRY-CHRONOLGIE

HEISE NEWSTICKER12.05.2017, 17:59 h,

WannaCry: Angriff mit Ransomware legt weltweitZehntausende Rechner lahm

In ganz England hat ein Kryptotrojaner am Freitag zahlreicheKrankenhäuser lahmgelegt. Und das ist offenbar nur dieSpitze des Eisbergs einer globalen Welle von Infektionen mitWana Decrypt0r 2.0 oder einfach WannaCry.

Heise Newsticker

https://www.heise.de/newsticker/meldung/WannaCry-Angriff-mit-Ransomware-legt-weltweit-Zehntausende-Rechner-lahm-3713235.html

(Quelle: TheHackerNews)

https://thehackernews.com/2017/05/wannacry-ransomware-windows.html

(Quelle: Twitter)

https://twitter.com/threekrouts/status/863752933569175553

NICHT MEHR GANZ SO ERNST…

(Quelle: Twitter)

https://twitter.com/oleganza/status/864239565023854592

(Quelle: Twitter)

https://twitter.com/Twylo/status/864655680514342912

(Quelle: Twitter)

https://twitter.com/glennzw/status/864861720409513984

(Quelle: Twitter)

In Soviet Russia, the Matrix does not have you WannaCry has the Matrix

https://twitter.com/campuscodi/status/864516496260771841

BETROFFENE WELTWEIT…NHS Großbritannien

Deutsche Bahn

S-Bahn-Betriebe

Telefonica Spanien

FedEx USA

…und viele mehr…

…SEHR MEDIENPRÄSENTManche Leute mussten spontan ihre Werbung ändern ;-)

(Quelle: , )Twitter Heise Newsticker

https://twitter.com/maldr0id/status/863838938477338625

MALWARE TECH BLOG13.05.2017,

How to Accidentally Stop a Global Cyber Attacks

(…) Upon running the sample in my analysis environment Iinstantly noticed it queried an unregistered domain, which ipromptly registered.

(…) WannaCry propagation payload contains previouslyunregistered domain, execution fails now that domain hasbeen sinkholed.

MalwareTech Blog

Das passierte noch am Freitag abend!

https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

DNS-ANFRAGEN AUF DER KARTEJede WannaCry-Installation fragt DNS an

Anhand IP: Grobe Geo-Lokalisation

(Quelle: )MalwareTech youtube channel

https://www.youtube.com/watch?v=LyErffRX0HM

AUSBREITUNG WEITESTGEHENDGESTOPPT

Microsoft nachliefert Patches für Windows XP und Windows 2003

Durch DNS „Killswitch“: Keine weitere Aktivität

…außer in (Firmen)netzen, die keine direkte Kommunikation nachaußen erlauben

Keine DNS-Auflösung, kein Kill switch

https://www.heise.de/newsticker/meldung/WannaCry-Microsoft-liefert-Sicherheits-Patches-fuer-veraltete-Windows-Versionen-3713417.html

NACHZÜGLER…

GOLEM.DE21.06.2017,

Honda stoppt Produktion wegen Wanna Cry

Die Wanna-Cry-Krise ist noch nicht vollständig vorbei: Derjapanische Autobauer Honda musste die Produktion in einemseiner japanischer Werke einstellen, weil die eigenenNetzwerke infiziert waren.

golem.de News

https://www.golem.de/news/ransomware-honda-stoppt-produktion-wegen-wanna-cry-1706-128491.html

GOLEM.DE26.06.2017,

Australische Polizei nimmt Strafen gegen Raser zurück

Weil die Radarfallen des australischen Staates Victoria miteinem Virus befallen waren, hat die örtliche Polizei bis zu8.000 Strafen wegen zu schnellen Fahrens, Fahren über Rotoder bei anderen Verkehrsdelikten zurückgenommen. (…) DieGeräte waren Berichten zufolge mit der Wanna-Cry-Ransomware infiziert worden. Kurios: Die Kameras sindselbst nicht mit dem Internet verbunden, das Virus soll übereinen Auftragnehmer versehentlich eingespielt worden sein.

golem.de News

https://www.golem.de/news/wegen-wanna-cry-australische-polizei-nimmt-strafen-gegen-raser-zurueck-1706-128576.html

SCHADENSBERICHT!Ca. 400.000 infizierte Rechner ( )Quelle: MalwareTech

> 90% der infizierten Rechner: Windows 7 ( )Quelle: Kaspersky

Verbreitungsgebiet ( ) Quelle: NY Times

Fazit vieler Experten: Glück gehabt!

https://twitter.com/MalwareTechBlog/status/865761555190775808https://blog.barkly.com/wannacry-ransomware-statistics-2017https://www.nytimes.com/interactive/2017/05/12/world/europe/wannacry-ransomware-map.html

ONE MORE THING…

HEISE NEWSTICKER04.08.2017,

FBI nimmt Sicherheitsexperten fest, der dieAusbreitung des WannaCry-Trojaners eindämmte

Im Mai erlangte der Beschuldigte weltweit Ruhm, da er dierasche Ausbreitung des VerschlüsselungstrojanersWannaCry stoppte. Nun wurde er in den USA festgenommen,weil er den Banking-Trojaner "Kronos" entwickelt haben soll.

Heise Newsticker

https://www.heise.de/newsticker/meldung/FBI-nimmt-Sicherheits-Experten-fest-der-die-Ausbreitung-des-WannaCry-Trojaners-eindaemmte-3792860.html

WIE FUNKTIONIERTRANSOMWARE?

Bitcoin

HelpdeskPayment

Command &Control

InfectionEncryptionAV EvasionCommunication

INFEKTIONBei WannaCry: Spezieller Exploit

Sonst typisch: Initialversand per Spam

Weiterverbreitung per Mail: Personalisierte Mails auf Basis desAdressbuchs

Häufig: Kontrolle der Ausbreitung durch C&C-Server

„Einem Freund empfehlen“: Rabatt, wenn man selbst jemandanderes infiziert

Kein Witz, gab's schon!

VERSCHLÜSSELUNGStereotypischer Ablauf:

1. Erzeuge Bitcoin-Wallet2. Erzeuge RSA-Schlüsselpaar3. Sende geheime Anteile an C&C-Server (und lösche sie lokal)4. Verschlüssele Dateien mit RSA Public Key

→ keine Informationen über Entschlüsselung mehr auf dem lokalenRechner!

BEZAHLUNGFrüher: Bezahlung über Gutscheinkarten o.ä., heute Bitcoin der

Quasi-Standard

C&C-Server überwacht Zahlungseingang auf individueller Bitcoin-Wallet

Bei Geldeingang: Übertragen des geheimen Teils des RSA-Schlüssels, Entschlüsselung der Dateien

HELPDESK

(Quelle: )Twitter

https://twitter.com/fztalks/status/864852163230609408

DER INFEKTIONSWEG(oder: Was war an WannaCry so besonders?)

DER STANDARDNeulich, in der Mailbox…

Come on, make money fast!

Clicky, clicky!

From:

To:

Subject:

Someone Trustworthy

You!

Please open asap!

BEI WANNACRYVerwendung von „EternalBlue“ aus dem NSA-Leak

Scannen des Netzes nach offnen SMB-Ports

Infektion anfälliger Rechner - also quasi alle Windows-Systeme

Keine Nutzerinteraktion nötig

https://blog.malwarebytes.com/cybercrime/2017/05/how-did-wannacry-ransomworm-spread/

STEREOTYPISCHE COMPANY-SECURITY

(Bildquelle: )Wikipedia

https://en.wikipedia.org/wiki/File:RothenburgWallAWMJR.JPG

…hat auch in der Vergangenheit nur bedingt geholfen:

(Bildquelle: )Wikipedia

https://commons.wikimedia.org/wiki/File:Chevalier_Roze_%C3%A0_la_Tourette_-_1720.PNG

WAS IST MIT DEM GELD?

WANNACRY-IMPLEMENTIERUNGAlle Zahlungen flossen auf 3 Bitcoin-Adressen

→ Prima beobachtbar: @actual_ransom

(Quelle: )Atlas

Infektionen vs. Zahlungseingänge: 0,07 % der Opfer zahlten

https://twitter.com/actual_ransomhttps://www.theatlas.com/charts/ByQI0W9lW

ANLASS ZUR MUTMASSUNGProgrammierfehler?

War Geld gar nicht das Ziel? Wer sind die Macher?

THE GUARDIAN16.06.2017,

WannaCry ransomware attack 'linked to North Korea'

UK’s National Cyber Security Centre has linked recent attacksto the North Korean-affiliated hacking team Lazarus Group,according to reports.

(…GCHQ and) GCHQ’s US counterpart, the National SecurityAgency, has also linked the WannaCry bug to North Korea.

The Guardian

Mit Vorsicht zu genießen - Attribution ist sehr kniffligFurther reading: (Indizien Textübersetzungen)bei Heise

https://www.theguardian.com/technology/2017/jun/16/wannacry-ransomware-attack-linked-north-korea-lazarus-grouphttps://www.heise.de/security/meldung/WannaCry-Sony-Pictures-Hacker-aus-Nordkorea-unter-Verdacht-3714806.html

HEISE NEWSTICKER03.08.2017,

WannaCry-Erpresser ziehen 120.000 Euro Erpressergeldaus Bitcoin-Wallets ab

(…) Wohin die Bitcoins fließen, lässt sich nicht ohne weiteresfeststellen. Alles sieht danach aus, als hätten die Erpresserdas virtuelle Geld über sogenannte Tumbler- oder Mixer-Dienste geschleust. Diese dienen dazu, Eingangs- undAusgangsadressen einer Reihe von Bitcoin-Transaktionen zuverschleiern.

Heise Newsticker

https://www.heise.de/newsticker/meldung/WannaCry-Erpresser-ziehen-120-000-Euro-Erpressergeld-aus-Bitcoin-Wallets-ab-3792367.html

VORLÄUFIGES ENDE…Irgendjemand scheint doch Interesse am Geld zu haben

Aber: International Staaten und Konzerne ernsthaft angepisst

Mächtige Feinde - „Follow the Money“

Der Wandel in Realgeld wird sicher ein kitzliger Moment

RETTUNG OHNE BEZAHLEN?

HOFFEN AUF EINEN FEHLER…Fehler von Ransomware in der Vergangenheit:

Selbstgebaute Algorithmen

Fehlerhafte Anwendung der Verschlüsselung

Fehlerhafte Implementierung der Verschlüsselung

Verwendete Zufallszahlen vorhersagbar

→ Fehlanzeige :-(

WANNAKEY UND WANNAWIKI zwei Tools: WannaKey und WannaWikiHeise meldet

Voraussetzung: Rechner wurde nicht neu gestartet

Prozesse von WannaCry wurden nicht manuell beendet

Extraktion des geheimen RSA-Schlüsselteils aus dem RAM

Funktioniert bei einigen Varianten bis (max.) Windows 7

https://www.heise.de/newsticker/meldung/Krypto-Trojaner-WannaCry-Entschluesselungs-Tool-WannaKey-macht-Trojaner-Opfern-Hoffnung-3718185.html

WAS SOLLTE DER KILLSWITCH?

RÄTSEL UM DIE DOMAINWas sollte

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com?Kill-Switch-Theorie wenig plausibel:

Könnte über C&C-Server gesteuert werden

Domain kann von jedem registriert werden

SANDBOX ERKENNUNGHäufige Strategie von Malware: Sandbox-Erkennung

Tarnen vor Malware-Analysten

Erkennen von Honeypots oder Versuchsumgebungen

Dort: Entweder kein Netz oder Dummy-Antworten

→ Idee: Domain via DNS anfragen. „Gibt es nicht“ bedeutet: Netz erreichbar, aber plausible Antwort

(kein Dummy)

WAS NACH WANNACRYGESCHAH

Nach der Ransomware ist vor der Ransomware

ETERNAL ROCKS22.05.17: Ein neuer Wurm wird gesichtet

Verknüpft 6 Exploits der Shadowbrokers

Verbreitet sich ohne Payload (sollte wohl später nachgeladenwerden)

http://winfuture.de/news,97754.html

NOT PEYTASeit 26.06.17: Ein neuer Erpressungstrojaner ist unterwegs

Ähnelt Peyta, nähere Untersuchungen zeigen doch vieleUnterschiede - daher „NotPeyta“

Wie WannaCry mit NSA-Exploits ausgestattet, ausgeklügelterInfektionsweg

Kurios: Infektionsweg über das Autoupdate einer in der Ukraineverbreiteten Steuersoftware

https://www.heise.de/security/meldung/Alles-was-wir-bisher-ueber-den-Petya-NotPetya-Ausbruch-wissen-3757607.html?artikelseite=allhttps://www.heise.de/security/meldung/Cyber-Attacke-Petya-NotPetya-Neue-Einblicke-in-die-perfide-Verbreitungsmasche-3763750.html?artikelseite=all

(Quelle: )Kaspersky

Kurios: Verkrüppelte Bezahlfunktion (nur eine Bitcoin-Adresse,Bezahlungshandling via E-Mail)

https://www.kaspersky.de/blog/neue-ransomware-angriffswelle-notpedya/13773/

HEFTIGER FALLOUT: Zentralbank, internationaler Flughafen Kiew, U-Bahn der

HauptstadtUkraine

: Bohrinseln, ContainerschiffeReederei Maersk

TNT Express

Nivea

http://www.faz.net/aktuell/wirtschaft/ransomware-attacke-legt-viele-unternehmen-lahm-15079944.htmlhttps://www.heise.de/security/meldung/Cyber-Attacke-NotPetya-Unternehmen-haben-immer-noch-viel-Arbeit-mit-dem-Fallout-des-Angriffs-3782794.html

Manche Witze schreiben sich von alleine… ;-)

(Quelle: )futurezone

https://www.futurezone.de/b2b/article211154141/NoPetya-laesst-Auslieferung-von-Durex-Kondomen-platzen.html

MASTERKEY FÜR PEYTA, MISCHA,GOLDENEYE

„James-Bond-Ransomware“ grassierte 2016

09.07.17: Die Entwickler von Peyta publizieren Masterschlüssel zurEntschlüsselung

Sicherheitsforscher bauen daraus ein Entschlüsselungstool

https://www.heise.de/security/meldung/Master-Schluessel-der-Erpressungstrojaner-GoldenEye-Mischa-und-Petya-veroeffentlicht-3767637.htmlhttps://blog.malwarebytes.com/malwarebytes-news/2017/07/bye-bye-petya-decryptor-old-versions-released/

WATSCHE 1: DIE BETREIBER

PATCHEN, PATCHEN, PATCHEN!Zeit von Patch-Veröffentlichung bis Extraktion eines Exploits:

Ca. 24h

Wenn Microsoft einen Patch der Stufe „critical“ herausgibt, sollte esnur eine Reaktion geben: Patchen!

Spätestens nach WannaCry sollte jedes System gepatcht seinBündeln von Patches („Sammeln und Testen“) vergrößert die

Hürden erfahrungsgemäß…

WATSCHE 2: DIE HERSTELLER

(auch Microsoft)

NICHT PATCHBARE SYSTEME (1)Diverse Systeme (Medizingeräte, Messgeräte, u.ä.) werden „als

Ganzes“ zertifiziert

Änderung der Software führt zum Verlust der Betriebszulassung

Bezieht sich auch auf Sicherheitsupdates des OS!

→ Zulassungsprozesse realitätsfern… oder Hersteller hat falschesOS als Basis gewählt!

NICHT PATCHBARE SYSTEME (2)Spezielle Hardware (Messgeräte, Industrieanlagen, CNC-Fräsen,

etc.), wo die Software nur „Beiwerk“ ist: Ansteuerung überentsprechende Treiber

Keine Updates der Treiber, fehlende Portierung auf neue OS-Versionen

→ Lock-In auf veraltete Windows-VersionenZusätzlich häufig gehört: Patzige Antwort, man könne ja das neue

Modell kaufen…

MICROSOFTSMB1 gehört schon lange entfernt (oder zumindest per Default

abgeschaltet)

Der verzögerte Patch für XP ist zwar großzügig - Verzögerungetwas derart Kritischen ist aber fahrlässig

WATSCHE 3: DIE POLITIK

SCHIZOPHRENES VERHALTENAktionismus einerseits: Forderung nach strengeren IT-

Sicherheitsgesetzen

Andererseits: Tunneln und Durchwinken des Staatstrojaners imbreiten Einsatz

https://www.heise.de/newsticker/meldung/Nach-WannaCry-Attacke-Dobrindt-fuer-schaerferes-IT-Sicherheitsgesetz-3713755.html

WIE KOMMT DER STAATSTROJANERAUFS GERÄT?

Zugriff auf Hardware (Infiltration der Wohnung, Zugriff auf Laptop am Zoll)

Mithilfe der Zielperson:

Come on, make money fast!

Clicky, clicky!

From:

To:

Subject:

Someone Trustworthy

You!

Please open asap!

…oder durch entsprechende Exploits

VERSCHÄRFTE SITUATION:SMARTPHONES

Smartphones: Besseres Sicherheitskonzept als Desktop-Betriebssysteme

Kapselung der Apps: Jede App darf nur ihre Daten lesen

→ Installation einer Trojaner-App allein genügt nicht!Es bedarf eines System-Exploits oder einer System-Backdoor

Verschärfte Situation insbes. bei günstigen Android-Handys:Patches vom Hersteller nur kurze Zeit

STAATSTROJANER UND CYBERWAR-BS BEFEUERN EXPLOIT-MARKT

Zuverlässige Art des Zugriffs: Über Exploits

…hilft nur, wenn noch nicht bekannt!

→ Horten von Exploits→ gefundene Exploits haben so einen höheren Verkaufswert→ Preiswettbewerb: Bug Bounties, organisierte Kriminalität,

Geheimdienste

FEIGENBLATT VULNERABILITESEQUITIES PROCESS

PR-Feigenblatt: Prozess zum Abwägen: Risiko für die Öffentlichkeitvs. geheimdienstlicher Nutzen

Aber: Je größer das Risiko, desto höher gleichzeitig der Nutzen

WannaCry und NotPeyta sind Paradebeispiele für diese Abwägung! Die NSA saß offenbar Jahre auf dem Wissen!

Offenbar kurz vor knapp Nachricht an Microsoft (Timing desPatches)

DIE STIMME DER NSA:Ein NSA-Deputy hierzu

Proponents argue that this would allowpatches to be developed, which in turn wouldhelp ensure that networks are secure. On its

face, this argument might seem to make sense-- but it is a gross oversimplification of the

problem, one that not only would not have thedesired effect but that also would be

dangerous.

https://www.schneier.com/blog/archives/2017/08/more_on_the_vul_1.html

Software vendors need to continue working tobuild better software and to provide patching

support for software deployed in criticalinfrastructure.

Es darf nicht nur um „kritische Infrastruktur“ gehen, sondern um alleGeräte unseres täglichen Lebens!

Customers need to budget and plan forupgrades as part of the going-in cost of IT, orfor compensatory measures when upgrades

are impossible.D'accord.

Those who discover vulnerabilities need toresponsibly disclose them or, if they areretained for national security purposes,

adequately safeguard them.Kein Maulkorb für Sicherheitsforscher!

And the partnership of intelligence, lawenforcement and industry needs to work

together to identify and disrupt actors who usethese vulnerabilities for their criminal and

destructive ends.Der Gangster im einen Land ist ein Held des Staates im anderen!

Die Kooperation sollte besser gemeinsam Sicherheitslückenschließen und für zeitnahe Updates sorgen!

RESPONSIBLE DISCLOSURE!Benachrichtigen des Herstellers

Definieren einer Zeitspanne bis zur Veröffentlichung

Hersteller entwickelt Patch und rollt ihn aus

Veröffentlichung mit Credits des Finders

→ Erhöht Druck auf Hersteller zu sicherer Software, ohne dieNutzer zu gefährden

Paradebeispiel: Googles Project Zero

Die Frage: Wieso betreibt das BSI kein Project Zero?

BLEIBT FESTZUHALTEN…Immer zeitnah patchen!

Backups auf Offline-Speichermedien

Augen auf bei der Produktkauf: Lock-In auf veraltete Versionen meiden

Worauf wir drängen müssen:

Keine „Staats-Backdoors“ in Software

Garantien für Security-Updates (IoT!)

Ächtung: Update-Mechanismen dürfen nicht zum Ausbringen vonStaatstrojanern missbraucht werden

Keine Befeuerung des Malware-Handels