Z U M H E U L E N - CCC S · WannaCry propagation payload contains previously unregistered domain,...
Transcript of Z U M H E U L E N - CCC S · WannaCry propagation payload contains previously unregistered domain,...
-
ZUM HEULENDIE RANSOMWARE „WANNACRY“,UNGEPATCHTE SYSTEME UND DIE
GEHEIMDIENSTE / Stefan Schlott @_skyr
http://stefan.ploing.de/?pk_campaign=slides&pk_kwd=cccshttp://twitter.com/_skyr
-
ABOUT.TXT
Stefan Schlott, BeOne Stuttgart GmbHJava-Entwickler, Scala-Enthusiast, Linux-Jünger
Seit jeher begeistert für Security und Privacy
Aktiv beim CCC Stuttgart
-
SOMETHING COMPLETELYDIFFERENT…
-
23.03.2017,
Fahrverbot als Nebenstrafe
Die Möglichkeit, Fahrverbote auch wegen Straftaten zuverhängen, die nichts mit dem Führen eines Fahrzeugs zu tunhaben, ist bei einer öffentlichen Anhörung desRechtsausschusses überwiegend auf Zustimmung gestoßen.Gegenstand des Hearings war ein Gesetzentwurf derBundesregierung zur Änderung des Strafgesetzbuchs, desJugendgerichtsgesetzes, der Strafprozessordnung undweiterer Gesetze (18/11272), der diese neue Nebenstrafevorsieht.
Deutscher Bundestag
https://www.bundestag.de/presse/hib/2017_03/-/499646
-
DAS KLEINGEDRUCKTEKurz vor der Abstimmung: Bundesregierung gibt
für Gesetz einFormulierungshilfe
Diese Enthält Aufnahme Einsatz Staatstrojaner in die reguläreStrafprozessordnung:
Quellen-TKÜ für alle Fälle, in denen eine reguläre TKÜ zum Einsatzkommen kann
Online-Durchsuchung für „besonders schwere Straftaten“ oder denVersuch, sie zu begehen
→ beides technisch nur mit einem „Staatstrojaner“ realisierbar
https://netzpolitik.org/2017/wir-veroeffentlichen-den-gesetzentwurf-der-grossen-koalition-zum-massenhaften-einsatz-von-staatstrojanern/#Formulierungshilfe
-
HEISE NEWSTICKER22.06.2017,
Bundestag gibt Staatstrojaner für die alltäglicheStrafverfolgung frei
Die Polizei darf künftig offiziell Internet-Telefonate undMessenger-Kommunikation bei Verdacht auf eine Vielzahlvon Delikten überwachen sowie heimliche Online-Durchsuchungen durchführen. (…) Zudem erhält die Polizeidie Befugnis, beim Verdacht auf "besonders schwereStraftaten" heimlich komplette IT-Systeme wie Computeroder Smartphones auszuspähen. Dafür ist es nötig, dieGeräte der Betroffenen mit Schadsoftware in Formsogenannter Staatstrojaner zu infizieren.
Heise Newsticker
https://www.heise.de/newsticker/meldung/Bundestag-gibt-Staatstrojaner-fuer-die-alltaegliche-Strafverfolgung-frei-3753530.html
-
NOCH MEHRVORGESCHICHTE:
DIE SHADOWBROKERS
-
HEISE NEWSTICKER16.08.2016,
Angebliche Hacker-Waffen der NSA zum Verkauf
Eine Gruppe namens Shadow Brokers brüstet sich damit,Tools von der Hacker-Gruppe Equation Group abgezogen zuhaben. Diese wird immer wieder in Verbindung mit dem US-Geheimdienst NSA gebracht.
Heise Newsticker
https://www.heise.de/security/meldung/Angebliche-Hacker-Waffen-der-NSA-zum-Verkauf-3295353.html
-
DIE SHADOWBROKER-AUKTION„Amerikanische Versteigerung“ von Tools der Equation Group
Equation Group: Gruppierung, die häufig mit der NSA assoziiertwurde
Veröffentlichung eines Samples (eqgrp-free-file.tar.xz.gpg) undeiner verschlüsselten Datei (eqgrp_auction_file.tar.xz.asc)
Ex-NSA-Mitarbeiter bezeichnen Sample als authentisch
https://www.heise.de/security/meldung/Veroeffentlichte-NSA-Hackersoftware-ist-offenbar-echt-3298140.html
-
WEITERE WORTMELDUNGEN…in pseudorussischem Dialekt? „TheShadowBrokers is trying
auction. Peoples no like.“
31.10.16: , die offenbar von der Equation Groupbenutzt wurden
Liste von Servern
01.11.16: Verzeichnisstruktur mit Namen und Screenshots derangebotenen Exploits/Tools
https://www.heise.de/security/meldung/Liste-mit-vermeintlich-von-der-NSA-gehackten-Servern-veroeffentlicht-3453656.html
-
DERSTANDARD.AT15.04.2017,
Neuer Leak: Die "Mutter aller NSA-Exploits"veröffentlicht
Wieder sorgt die ominöse Hackergruppe "Shadow Brokers"für Schlagzeilen. Die Gruppe, die in den vergangenenMonaten bereits NSA-interne Programme und Informationenveröffentlichte, legte am Freitag neue Enthüllungen nach.Und Diese haben es in sich: US-Medien sprechen sogar vom"schlimmsten Leak seit Snowden".
derStandard.at
https://derstandard.at/2000056012684/Neuer-Leak-Die-Mutter-aller-NSA-Exploits-veroeffentlicht
-
DON'T FORGET YOUR BASESehr merkwürdig formulierte Nachricht, Trump solle seine
Wählerbasis nicht vergessen und sich an Versprechungen halten
Veröffentlichung des Passworts der Auktion
Enthält viele (teils noch unbekannte) Exploits gegen Linux, Windows,Cisco-Router
Entspannte Reaktion von Microsoft: Haben wir am (vorgezogenen)Patchday am 14.03.17 bereits gepatcht
-
Was wurde bei Microsoft gepatcht? „EternalBlue“:
MICROSOFT SECURITYBULLETIN
14.03.17,
Security Update for Microsoft Windows SMB Server
This security update resolves vulnerabilities in MicrosoftWindows. The most severe of the vulnerabilities could allowremote code execution if an attacker sends specially craftedmessages to a Microsoft Server Message Block 1.0 (SMBv1)server.
This security update is rated Critical for all supported releasesof Microsoft Windows.
Microsoft Security Bulletin MS17-010
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
-
WER SIND DIE SHADOW BROKERS?Stand heute: Unbekannt
Eine Vermutung: NSA Insider
Weitere Vermutung: Russisches Involvment
: „Circumstantial evidence and conventionalwisdom indicates Russian responsibility.“
Snowden vermutet
https://twitter.com/Snowden/status/765514891813945344
-
DIE WANNACRY-CHRONOLGIE
-
HEISE NEWSTICKER12.05.2017, 17:59 h,
WannaCry: Angriff mit Ransomware legt weltweitZehntausende Rechner lahm
In ganz England hat ein Kryptotrojaner am Freitag zahlreicheKrankenhäuser lahmgelegt. Und das ist offenbar nur dieSpitze des Eisbergs einer globalen Welle von Infektionen mitWana Decrypt0r 2.0 oder einfach WannaCry.
Heise Newsticker
https://www.heise.de/newsticker/meldung/WannaCry-Angriff-mit-Ransomware-legt-weltweit-Zehntausende-Rechner-lahm-3713235.html
-
(Quelle: TheHackerNews)
https://thehackernews.com/2017/05/wannacry-ransomware-windows.html
-
(Quelle: Twitter)
https://twitter.com/threekrouts/status/863752933569175553
-
NICHT MEHR GANZ SO ERNST…
(Quelle: Twitter)
https://twitter.com/oleganza/status/864239565023854592
-
(Quelle: Twitter)
https://twitter.com/Twylo/status/864655680514342912
-
(Quelle: Twitter)
https://twitter.com/glennzw/status/864861720409513984
-
(Quelle: Twitter)
In Soviet Russia, the Matrix does not have you WannaCry has the Matrix
https://twitter.com/campuscodi/status/864516496260771841
-
BETROFFENE WELTWEIT…NHS Großbritannien
Deutsche Bahn
S-Bahn-Betriebe
Telefonica Spanien
FedEx USA
…und viele mehr…
-
…SEHR MEDIENPRÄSENTManche Leute mussten spontan ihre Werbung ändern ;-)
(Quelle: , )Twitter Heise Newsticker
https://twitter.com/maldr0id/status/863838938477338625
-
MALWARE TECH BLOG13.05.2017,
How to Accidentally Stop a Global Cyber Attacks
(…) Upon running the sample in my analysis environment Iinstantly noticed it queried an unregistered domain, which ipromptly registered.
(…) WannaCry propagation payload contains previouslyunregistered domain, execution fails now that domain hasbeen sinkholed.
MalwareTech Blog
Das passierte noch am Freitag abend!
https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html
-
DNS-ANFRAGEN AUF DER KARTEJede WannaCry-Installation fragt DNS an
Anhand IP: Grobe Geo-Lokalisation
(Quelle: )MalwareTech youtube channel
https://www.youtube.com/watch?v=LyErffRX0HM
-
AUSBREITUNG WEITESTGEHENDGESTOPPT
Microsoft nachliefert Patches für Windows XP und Windows 2003
Durch DNS „Killswitch“: Keine weitere Aktivität
…außer in (Firmen)netzen, die keine direkte Kommunikation nachaußen erlauben
Keine DNS-Auflösung, kein Kill switch
https://www.heise.de/newsticker/meldung/WannaCry-Microsoft-liefert-Sicherheits-Patches-fuer-veraltete-Windows-Versionen-3713417.html
-
NACHZÜGLER…
GOLEM.DE21.06.2017,
Honda stoppt Produktion wegen Wanna Cry
Die Wanna-Cry-Krise ist noch nicht vollständig vorbei: Derjapanische Autobauer Honda musste die Produktion in einemseiner japanischer Werke einstellen, weil die eigenenNetzwerke infiziert waren.
golem.de News
https://www.golem.de/news/ransomware-honda-stoppt-produktion-wegen-wanna-cry-1706-128491.html
-
GOLEM.DE26.06.2017,
Australische Polizei nimmt Strafen gegen Raser zurück
Weil die Radarfallen des australischen Staates Victoria miteinem Virus befallen waren, hat die örtliche Polizei bis zu8.000 Strafen wegen zu schnellen Fahrens, Fahren über Rotoder bei anderen Verkehrsdelikten zurückgenommen. (…) DieGeräte waren Berichten zufolge mit der Wanna-Cry-Ransomware infiziert worden. Kurios: Die Kameras sindselbst nicht mit dem Internet verbunden, das Virus soll übereinen Auftragnehmer versehentlich eingespielt worden sein.
golem.de News
https://www.golem.de/news/wegen-wanna-cry-australische-polizei-nimmt-strafen-gegen-raser-zurueck-1706-128576.html
-
SCHADENSBERICHT!Ca. 400.000 infizierte Rechner ( )Quelle: MalwareTech
> 90% der infizierten Rechner: Windows 7 ( )Quelle: Kaspersky
Verbreitungsgebiet ( ) Quelle: NY Times
Fazit vieler Experten: Glück gehabt!
https://twitter.com/MalwareTechBlog/status/865761555190775808https://blog.barkly.com/wannacry-ransomware-statistics-2017https://www.nytimes.com/interactive/2017/05/12/world/europe/wannacry-ransomware-map.html
-
ONE MORE THING…
HEISE NEWSTICKER04.08.2017,
FBI nimmt Sicherheitsexperten fest, der dieAusbreitung des WannaCry-Trojaners eindämmte
Im Mai erlangte der Beschuldigte weltweit Ruhm, da er dierasche Ausbreitung des VerschlüsselungstrojanersWannaCry stoppte. Nun wurde er in den USA festgenommen,weil er den Banking-Trojaner "Kronos" entwickelt haben soll.
Heise Newsticker
https://www.heise.de/newsticker/meldung/FBI-nimmt-Sicherheits-Experten-fest-der-die-Ausbreitung-des-WannaCry-Trojaners-eindaemmte-3792860.html
-
WIE FUNKTIONIERTRANSOMWARE?
-
Bitcoin
HelpdeskPayment
Command &Control
InfectionEncryptionAV EvasionCommunication
-
INFEKTIONBei WannaCry: Spezieller Exploit
Sonst typisch: Initialversand per Spam
Weiterverbreitung per Mail: Personalisierte Mails auf Basis desAdressbuchs
Häufig: Kontrolle der Ausbreitung durch C&C-Server
„Einem Freund empfehlen“: Rabatt, wenn man selbst jemandanderes infiziert
Kein Witz, gab's schon!
-
VERSCHLÜSSELUNGStereotypischer Ablauf:
1. Erzeuge Bitcoin-Wallet2. Erzeuge RSA-Schlüsselpaar3. Sende geheime Anteile an C&C-Server (und lösche sie lokal)4. Verschlüssele Dateien mit RSA Public Key
→ keine Informationen über Entschlüsselung mehr auf dem lokalenRechner!
-
BEZAHLUNGFrüher: Bezahlung über Gutscheinkarten o.ä., heute Bitcoin der
Quasi-Standard
C&C-Server überwacht Zahlungseingang auf individueller Bitcoin-Wallet
Bei Geldeingang: Übertragen des geheimen Teils des RSA-Schlüssels, Entschlüsselung der Dateien
-
HELPDESK
(Quelle: )Twitter
https://twitter.com/fztalks/status/864852163230609408
-
DER INFEKTIONSWEG(oder: Was war an WannaCry so besonders?)
-
DER STANDARDNeulich, in der Mailbox…
Come on, make money fast!
Clicky, clicky!
From:
To:
Subject:
Someone Trustworthy
You!
Please open asap!
-
BEI WANNACRYVerwendung von „EternalBlue“ aus dem NSA-Leak
Scannen des Netzes nach offnen SMB-Ports
Infektion anfälliger Rechner - also quasi alle Windows-Systeme
Keine Nutzerinteraktion nötig
https://blog.malwarebytes.com/cybercrime/2017/05/how-did-wannacry-ransomworm-spread/
-
STEREOTYPISCHE COMPANY-SECURITY
(Bildquelle: )Wikipedia
https://en.wikipedia.org/wiki/File:RothenburgWallAWMJR.JPG
-
…hat auch in der Vergangenheit nur bedingt geholfen:
(Bildquelle: )Wikipedia
https://commons.wikimedia.org/wiki/File:Chevalier_Roze_%C3%A0_la_Tourette_-_1720.PNG
-
WAS IST MIT DEM GELD?
-
WANNACRY-IMPLEMENTIERUNGAlle Zahlungen flossen auf 3 Bitcoin-Adressen
→ Prima beobachtbar: @actual_ransom
(Quelle: )Atlas
Infektionen vs. Zahlungseingänge: 0,07 % der Opfer zahlten
https://twitter.com/actual_ransomhttps://www.theatlas.com/charts/ByQI0W9lW
-
ANLASS ZUR MUTMASSUNGProgrammierfehler?
War Geld gar nicht das Ziel? Wer sind die Macher?
-
THE GUARDIAN16.06.2017,
WannaCry ransomware attack 'linked to North Korea'
UK’s National Cyber Security Centre has linked recent attacksto the North Korean-affiliated hacking team Lazarus Group,according to reports.
(…GCHQ and) GCHQ’s US counterpart, the National SecurityAgency, has also linked the WannaCry bug to North Korea.
The Guardian
Mit Vorsicht zu genießen - Attribution ist sehr kniffligFurther reading: (Indizien Textübersetzungen)bei Heise
https://www.theguardian.com/technology/2017/jun/16/wannacry-ransomware-attack-linked-north-korea-lazarus-grouphttps://www.heise.de/security/meldung/WannaCry-Sony-Pictures-Hacker-aus-Nordkorea-unter-Verdacht-3714806.html
-
HEISE NEWSTICKER03.08.2017,
WannaCry-Erpresser ziehen 120.000 Euro Erpressergeldaus Bitcoin-Wallets ab
(…) Wohin die Bitcoins fließen, lässt sich nicht ohne weiteresfeststellen. Alles sieht danach aus, als hätten die Erpresserdas virtuelle Geld über sogenannte Tumbler- oder Mixer-Dienste geschleust. Diese dienen dazu, Eingangs- undAusgangsadressen einer Reihe von Bitcoin-Transaktionen zuverschleiern.
Heise Newsticker
https://www.heise.de/newsticker/meldung/WannaCry-Erpresser-ziehen-120-000-Euro-Erpressergeld-aus-Bitcoin-Wallets-ab-3792367.html
-
VORLÄUFIGES ENDE…Irgendjemand scheint doch Interesse am Geld zu haben
Aber: International Staaten und Konzerne ernsthaft angepisst
Mächtige Feinde - „Follow the Money“
Der Wandel in Realgeld wird sicher ein kitzliger Moment
-
RETTUNG OHNE BEZAHLEN?
-
HOFFEN AUF EINEN FEHLER…Fehler von Ransomware in der Vergangenheit:
Selbstgebaute Algorithmen
Fehlerhafte Anwendung der Verschlüsselung
Fehlerhafte Implementierung der Verschlüsselung
Verwendete Zufallszahlen vorhersagbar
→ Fehlanzeige :-(
-
WANNAKEY UND WANNAWIKI zwei Tools: WannaKey und WannaWikiHeise meldet
Voraussetzung: Rechner wurde nicht neu gestartet
Prozesse von WannaCry wurden nicht manuell beendet
Extraktion des geheimen RSA-Schlüsselteils aus dem RAM
Funktioniert bei einigen Varianten bis (max.) Windows 7
https://www.heise.de/newsticker/meldung/Krypto-Trojaner-WannaCry-Entschluesselungs-Tool-WannaKey-macht-Trojaner-Opfern-Hoffnung-3718185.html
-
WAS SOLLTE DER KILLSWITCH?
-
RÄTSEL UM DIE DOMAINWas sollte
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com?Kill-Switch-Theorie wenig plausibel:
Könnte über C&C-Server gesteuert werden
Domain kann von jedem registriert werden
-
SANDBOX ERKENNUNGHäufige Strategie von Malware: Sandbox-Erkennung
Tarnen vor Malware-Analysten
Erkennen von Honeypots oder Versuchsumgebungen
Dort: Entweder kein Netz oder Dummy-Antworten
→ Idee: Domain via DNS anfragen. „Gibt es nicht“ bedeutet: Netz erreichbar, aber plausible Antwort
(kein Dummy)
-
WAS NACH WANNACRYGESCHAH
Nach der Ransomware ist vor der Ransomware
-
ETERNAL ROCKS22.05.17: Ein neuer Wurm wird gesichtet
Verknüpft 6 Exploits der Shadowbrokers
Verbreitet sich ohne Payload (sollte wohl später nachgeladenwerden)
http://winfuture.de/news,97754.html
-
NOT PEYTASeit 26.06.17: Ein neuer Erpressungstrojaner ist unterwegs
Ähnelt Peyta, nähere Untersuchungen zeigen doch vieleUnterschiede - daher „NotPeyta“
Wie WannaCry mit NSA-Exploits ausgestattet, ausgeklügelterInfektionsweg
Kurios: Infektionsweg über das Autoupdate einer in der Ukraineverbreiteten Steuersoftware
https://www.heise.de/security/meldung/Alles-was-wir-bisher-ueber-den-Petya-NotPetya-Ausbruch-wissen-3757607.html?artikelseite=allhttps://www.heise.de/security/meldung/Cyber-Attacke-Petya-NotPetya-Neue-Einblicke-in-die-perfide-Verbreitungsmasche-3763750.html?artikelseite=all
-
(Quelle: )Kaspersky
Kurios: Verkrüppelte Bezahlfunktion (nur eine Bitcoin-Adresse,Bezahlungshandling via E-Mail)
https://www.kaspersky.de/blog/neue-ransomware-angriffswelle-notpedya/13773/
-
HEFTIGER FALLOUT: Zentralbank, internationaler Flughafen Kiew, U-Bahn der
HauptstadtUkraine
: Bohrinseln, ContainerschiffeReederei Maersk
TNT Express
Nivea
http://www.faz.net/aktuell/wirtschaft/ransomware-attacke-legt-viele-unternehmen-lahm-15079944.htmlhttps://www.heise.de/security/meldung/Cyber-Attacke-NotPetya-Unternehmen-haben-immer-noch-viel-Arbeit-mit-dem-Fallout-des-Angriffs-3782794.html
-
Manche Witze schreiben sich von alleine… ;-)
(Quelle: )futurezone
https://www.futurezone.de/b2b/article211154141/NoPetya-laesst-Auslieferung-von-Durex-Kondomen-platzen.html
-
MASTERKEY FÜR PEYTA, MISCHA,GOLDENEYE
„James-Bond-Ransomware“ grassierte 2016
09.07.17: Die Entwickler von Peyta publizieren Masterschlüssel zurEntschlüsselung
Sicherheitsforscher bauen daraus ein Entschlüsselungstool
https://www.heise.de/security/meldung/Master-Schluessel-der-Erpressungstrojaner-GoldenEye-Mischa-und-Petya-veroeffentlicht-3767637.htmlhttps://blog.malwarebytes.com/malwarebytes-news/2017/07/bye-bye-petya-decryptor-old-versions-released/
-
WATSCHE 1: DIE BETREIBER
-
PATCHEN, PATCHEN, PATCHEN!Zeit von Patch-Veröffentlichung bis Extraktion eines Exploits:
Ca. 24h
Wenn Microsoft einen Patch der Stufe „critical“ herausgibt, sollte esnur eine Reaktion geben: Patchen!
Spätestens nach WannaCry sollte jedes System gepatcht seinBündeln von Patches („Sammeln und Testen“) vergrößert die
Hürden erfahrungsgemäß…
-
WATSCHE 2: DIE HERSTELLER
(auch Microsoft)
-
NICHT PATCHBARE SYSTEME (1)Diverse Systeme (Medizingeräte, Messgeräte, u.ä.) werden „als
Ganzes“ zertifiziert
Änderung der Software führt zum Verlust der Betriebszulassung
Bezieht sich auch auf Sicherheitsupdates des OS!
→ Zulassungsprozesse realitätsfern… oder Hersteller hat falschesOS als Basis gewählt!
-
NICHT PATCHBARE SYSTEME (2)Spezielle Hardware (Messgeräte, Industrieanlagen, CNC-Fräsen,
etc.), wo die Software nur „Beiwerk“ ist: Ansteuerung überentsprechende Treiber
Keine Updates der Treiber, fehlende Portierung auf neue OS-Versionen
→ Lock-In auf veraltete Windows-VersionenZusätzlich häufig gehört: Patzige Antwort, man könne ja das neue
Modell kaufen…
-
MICROSOFTSMB1 gehört schon lange entfernt (oder zumindest per Default
abgeschaltet)
Der verzögerte Patch für XP ist zwar großzügig - Verzögerungetwas derart Kritischen ist aber fahrlässig
-
WATSCHE 3: DIE POLITIK
-
SCHIZOPHRENES VERHALTENAktionismus einerseits: Forderung nach strengeren IT-
Sicherheitsgesetzen
Andererseits: Tunneln und Durchwinken des Staatstrojaners imbreiten Einsatz
https://www.heise.de/newsticker/meldung/Nach-WannaCry-Attacke-Dobrindt-fuer-schaerferes-IT-Sicherheitsgesetz-3713755.html
-
WIE KOMMT DER STAATSTROJANERAUFS GERÄT?
Zugriff auf Hardware (Infiltration der Wohnung, Zugriff auf Laptop am Zoll)
Mithilfe der Zielperson:
Come on, make money fast!
Clicky, clicky!
From:
To:
Subject:
Someone Trustworthy
You!
Please open asap!
…oder durch entsprechende Exploits
-
VERSCHÄRFTE SITUATION:SMARTPHONES
Smartphones: Besseres Sicherheitskonzept als Desktop-Betriebssysteme
Kapselung der Apps: Jede App darf nur ihre Daten lesen
→ Installation einer Trojaner-App allein genügt nicht!Es bedarf eines System-Exploits oder einer System-Backdoor
Verschärfte Situation insbes. bei günstigen Android-Handys:Patches vom Hersteller nur kurze Zeit
-
STAATSTROJANER UND CYBERWAR-BS BEFEUERN EXPLOIT-MARKT
Zuverlässige Art des Zugriffs: Über Exploits
…hilft nur, wenn noch nicht bekannt!
→ Horten von Exploits→ gefundene Exploits haben so einen höheren Verkaufswert→ Preiswettbewerb: Bug Bounties, organisierte Kriminalität,
Geheimdienste
-
FEIGENBLATT VULNERABILITESEQUITIES PROCESS
PR-Feigenblatt: Prozess zum Abwägen: Risiko für die Öffentlichkeitvs. geheimdienstlicher Nutzen
Aber: Je größer das Risiko, desto höher gleichzeitig der Nutzen
WannaCry und NotPeyta sind Paradebeispiele für diese Abwägung! Die NSA saß offenbar Jahre auf dem Wissen!
Offenbar kurz vor knapp Nachricht an Microsoft (Timing desPatches)
-
DIE STIMME DER NSA:Ein NSA-Deputy hierzu
Proponents argue that this would allowpatches to be developed, which in turn wouldhelp ensure that networks are secure. On its
face, this argument might seem to make sense-- but it is a gross oversimplification of the
problem, one that not only would not have thedesired effect but that also would be
dangerous.
https://www.schneier.com/blog/archives/2017/08/more_on_the_vul_1.html
-
Software vendors need to continue working tobuild better software and to provide patching
support for software deployed in criticalinfrastructure.
Es darf nicht nur um „kritische Infrastruktur“ gehen, sondern um alleGeräte unseres täglichen Lebens!
-
Customers need to budget and plan forupgrades as part of the going-in cost of IT, orfor compensatory measures when upgrades
are impossible.D'accord.
-
Those who discover vulnerabilities need toresponsibly disclose them or, if they areretained for national security purposes,
adequately safeguard them.Kein Maulkorb für Sicherheitsforscher!
-
And the partnership of intelligence, lawenforcement and industry needs to work
together to identify and disrupt actors who usethese vulnerabilities for their criminal and
destructive ends.Der Gangster im einen Land ist ein Held des Staates im anderen!
Die Kooperation sollte besser gemeinsam Sicherheitslückenschließen und für zeitnahe Updates sorgen!
-
RESPONSIBLE DISCLOSURE!Benachrichtigen des Herstellers
Definieren einer Zeitspanne bis zur Veröffentlichung
Hersteller entwickelt Patch und rollt ihn aus
Veröffentlichung mit Credits des Finders
→ Erhöht Druck auf Hersteller zu sicherer Software, ohne dieNutzer zu gefährden
Paradebeispiel: Googles Project Zero
Die Frage: Wieso betreibt das BSI kein Project Zero?
-
BLEIBT FESTZUHALTEN…Immer zeitnah patchen!
Backups auf Offline-Speichermedien
Augen auf bei der Produktkauf: Lock-In auf veraltete Versionen meiden
Worauf wir drängen müssen:
Keine „Staats-Backdoors“ in Software
Garantien für Security-Updates (IoT!)
Ächtung: Update-Mechanismen dürfen nicht zum Ausbringen vonStaatstrojanern missbraucht werden
Keine Befeuerung des Malware-Handels