Vorwort (1/2)

Diesen Vortrag habe ich im Herbst 2019 vor Mitgliedern des Voice e.V. gehalten, dem Bundesverband der IT-Anwender.

Mir war im Vorfeld gesagt worden, ich solle mich auch zu Hackback äußern, d.h. der Frage, ob der Staat „zurückhacken“ soll.

(Die verwendeten Schriftarten sind Alegreya und Alegreya Sans)

Navigation über die Pfeiltasten auf der Tastatur.

Vorwort (2/2)

Ich hatte für diesen Vortrag nur 10 Minuten eingeplant, und musste ihn dann in 5 halten. Daher ist er kurz und pointiert.

Wenn ich den Folien für die Online-Ausgabe gesprochenes Wort hinzuzufügen habe, werde ich das in dieser Grünfarbe machen, damit man es als Online-Extra erkennen kann.

Ich bitte um Handzeichen!

„Die Security in meiner Firma, da geht noch was“

„Ich könnte eine konkrete Sache nennen, die wir sofort besser machen könnten!“

Was für ein billiger Trick :-)

Wie erwartet gingen bei beiden Fragen praktisch alle Arme hoch.

Daraufhin ich: „Es liegt also offensichtlich nicht an der Awareness und nicht daran, dass wir nicht wissen, was zu tun wäre.“

„Meine Firma spielt Patches innerhalb 24h ein!“

„Wir haben deshalb auch ein bisschen ein schlechtes Gewissen!“

Überraschendes (?) Ergebnis

Niemand patcht innerhalb von 24h. Kein einziger Arm ging hoch.

Zwei hatten deshalb ein schlechtes Gewissen.

Ich hatte angenommen, dass niemand patcht und alle ein schlechtes Gewissen haben. Dann hätte ich gesagt: „Sehen Sie, das Security-Problem ist gelöst. Daher rede ich jetzt über Hackback.“

Rückblickend klappt das so aber auch gut.

For the record

Spielen Sie alle Patches sofort ein. Alle. Sofort. Keine Ausnahmen.

Hersteller testen ihre Patches unter der Annahme, dass alle anderen Patches eingespielt wurden. Wenn Sie nur die Hälfte einspielen, dürfen Sie sich auch nicht wundern, wenn ihnen Patches um die Ohren fliegen.

Außerdem schreiben Hersteller im Allgemeinen in die Patch Notes nur die eh öffentlich bekannten Bugs rein. Ich habe in meiner Karriere über tausend Bugs bei Herstellern gefunden. In Patch Notes werden ich und meine Bugs praktisch nie erwähnt. Googeln sie selbst.

Hackback — tolle Idee?

Felix von Leitner
Hacker

Hackback — tolle Idee
oder die beste Idee?

Felix von Leitner
Hacker

Großartige Idee, Genosse!

Es gibt da nur ein-zwei winzige Detailproblemchen

(Nordkorea-Vibe wegen Euphemismen wie „aktive Cyber-Abwehr“)

Mein Auftritt im Bundestag

Ich war 2006 als Experte für den CCC in den Bundestags-Ausschuss geladen, der sich mit dem drohenden Verbot für Hacker-Tools beschäftigte.

Wir Experten wurden mit den Worten begrüßt: „Schön, dass Sie wieder da sind, nachdem wir Ihre Expertise schon die letzten Male ignoriert haben!“

Und dann haben sie unsere Expertise ignoriert und Hacker-Tools verboten. Das trage ich ihnen bis heute nach.

Verschleiernde Euphemismen wie „aktive Cyber-Abwehr“ halte ich im Übrigen für antidemokratische Nebelwerferei.

Annahmen von Hackback

  1. Wir werden angegriffen
  2. Wir merken es zeitnah
  3. Wir können den Angreifer identifizieren
  4. Wir können zurückschlagen
  5. Das verhindert weitere Angriffe

Gucken wir doch mal!

„Wir werden angegriffen“

Was zählt als Angriff?

Die Mail mit dem bösen Attachment?!

Denken Sie sich hier ein Foto einer Wannacry-befallenen Bahn-Anzeigetafel hin

Ransomware ist kein Angriff

Ransomware ist schlechtes Wetter, für das sie unpassend gekleidet waren.

Denken Sie sich hier ein Foto von frierenden Party-Teilnehmern im kurzen Rock und High Heels im Neuschnee hin

Ich hatte vor einer Weile mal ein Erlebnis, nachdem eine Behörde gehackt worden war, und die Presse von APT sprach. Ich hatte Gelegenheit, mich mit einem der IT-Zuständigen dort zu unterhalten.

Der erzählte dann, das sei so Niveau Backorifice gewesen, also frühe 2000er Jahre. Aber mit APT „können alle gut leben“, weil da sei dann ja keiner Schuld.

So sehe ich das Gejammer über Ransomware-Befall. Das ist kein Angriff, dem man halt schutzlos ausgesetzt ist, sondern da hat jemand über Jahre seine Infrastruktur herunterkommen lassen.

Wenn ich mehr Zeit gehabt hätte, hätte ich hier die eingestürzte Autobahnbrücke in Genua eingeblendet.

Annahmen von Hackback

  1. Wir werden angegriffen
  2. Wir merken es zeitnah
  3. Wir können den Angreifer identifizieren
  4. Wir können zurückschlagen
  5. Das verhindert weitere Angriffe

„Wir merken es zeitnah“

Aller Erfahrung nach: Nein, tun wir nicht.

Typischer Zeitraum vor Entdeckung von blinden Passagieren:

Ein halbes bis fünf Jahre.

Fragen Sie das BSI!
Die rufen gehackte Firmen an!

Annahmen von Hackback

  1. Wir werden angegriffen
  2. Wir merken es zeitnah
  3. Wir können den Angreifer identifizieren
  4. Wir können zurückschlagen
  5. Das verhindert weitere Angriffe

„Wir können den Angreifer identifizieren“

Aller Erfahrung nach: Nein, können wir nicht.

Es gab einen Fall mit akzeptabler Beweislage:

Der holländische Geheimdienst beobachtet die Russen live über ihre Webcams beim Hacken der Amis.

Cyber Attribution is hard

Normalfall: Sie finden eine IP im Log auf dem gehackten Rechner.

Digitale „Beweise“ von einem kompromittierten System sind wertlos!

Aber tun wir mal so, als sei das kein Problem.

Realitätsabstand:
“Der Markt wird das schon richten!“

Cyber Attribution is hard

Die IP ist ein gehackter Rechner (kann man als Botnet mieten)

Irgendeine private DSL-Leitung in Ohio. Und nun?

Aber tun wir mal so, als käme der Fall nicht vor.

(Die Nato diskutiert übrigens bereits, ob ein Cyberangriff als Bündnisfall gewertet werden soll)

Realitätsabstand jetzt:
“Berlin braucht mehr Flughäfen!“

Cyber Attribution is hard

Die IP ist ein Cloudserver in Hongkong.

Und jetzt? China hacken? Völkerrechtsverstoß!
Was, wenn die zurück-nuken?

Aber tun wir mal so, als käme der Fall nicht vor.

Realitätsabstand jetzt:
“Die Telcos kümmern sich um Breitband auf dem Lande!“

Cyber Attribution is hard

Die IP ist ein Server in Frankreich.

Rechnungsanschrift war der Kreml, Kreditkarte war geklaut.
Sackgasse.

Aber tun wir mal so, als käme der Fall nicht vor.

Realitätsabstand jetzt:
“Wird schon nicht so schlimm mit dem Brexit!“

Cyber Attribution is hard

Seit Snowden wissen wir von NSA Quantum Insert.

Rechner zwischen Fred und Ihnen, redet mit der IP von Fred.
Ihr Rechner glaubt der NSA, weil die schneller antwortet.

Offensichtliche Methode. Das werden andere Kriminelle auch machen.

Die IP ist wertlos als Zuordnungsmerkmal!

Annahmen von Hackback

  1. Wir werden angegriffen
  2. Wir merken es zeitnah
  3. Wir können den Angreifer identifizieren
  4. Wir können zurückschlagen
  5. Das verhindert weitere Angriffe

„Wir können zurückschlagen“

Ja, äh, womit denn?

Sie haben erst Hacken kriminalisiert, dann Hacker-Tools, dann haben Sie verhindert, dass wir überall offenes WLAN haben.

Die, deren Hilfe sie jetzt brauchen, wollen Ihnen nicht mehr helfen.

Zielgruppe verfehlt

Die Folie richtete sich offensichtlich an Politiker und „Bedarfsträger“ im Raum. Da waren einige angekündigt, aber am Ende waren da fürchte ich keine bei.

Schade. Ein Told You So hätten die echt mal verdient gehabt.

Exploit-Markt

Sie brauchen das Produkt, haben keine andere Quelle, und der Verkäufer weiß es. Schlechte Kombination!

Exklusivität von Exploits

Geheimdienste wollen Exploits exklusiv, aber können das nicht prüfen.

Die Verkäufer sind Kriminelle, denn Sie haben Exploits kriminalisiert.

Natürlich werden die Sie über den Tisch ziehen!

Mein Punkt hier

Ich habe dem Publikum dann erklärt, dass sich die Million für den Exploit darauf bezieht, was der Broker dem Hacker auszahlt.

Die Preise in die andere Richtung sind nicht bekannt. Aber der Broker wird da kräftig Marge draufschlagen.

Und weil der Käufer nicht prüfen kann, ob der den Exploit wirklich nur an ihn verkauft hat, sind Exklusivitätszusagen der Broker nichts wert.

Lebensdauer von Exploits

Der erste, der einen Exploit einsetzt, verbrennt ihn damit für alle.
Danach ist das Sicherheitsloch bekannt und wird geschlossen.

Sie werden also ständig am Exploit-Nachkaufen sein!

Exploits haben eine Halbwertzeit

Google Project Zero und Leute wie ich finden Bugs, die dann gefixt werden.

Dann ist Ihr teurer Exploit wertlos.

Neue Windows-Releases und Software-Updates machen auch oft Exploits kaputt.

Exploits

Aber nehmen wir mal an, das betrifft Sie alles nicht.

Sie sind immerhin die Regierung. Sie bauen eine Abteilung auf!!

Exploits

An gelernte Fachkräfte zahlt der Bund E 12 (brutto 42k im Jahr).

Sagen wir mal, der Hacker schafft in fünf Jahren einen Exploit.
Dann macht er immer noch einen Verlust von 80%, wenn er sich anstellen lässt.

Sie kriegen also nur die Hochstapler und Pfuscher.

Realitätsabstand jetzt:
“Der Nahostkonflikt löst sich bald von selbst!“

Die 42k für E 12 habe ich von hier.

Ich kenne mich mit dem Entgeltsystem im öffentlichen Dienst nicht aus, hier käme als Maximalwert knapp 70k raus. Dann ändert sich das Verhältnis, aber nicht dass es ein Verlust wäre.

Es ist natürlich auch unfair, für alle Exploits eine Million anzusetzen, viele Exploits sind weniger wert. Aber mit denen kommen Sie dann halt auch nicht so weit.

Dass E 12 anzusetzen ist, habe ich von hier. Die Stufen darüber setzen einen Master-Abschluss voraus.

Insofern: Ich habe plakativ übertrieben. Aber noch in vertretbarem Maßstab :-)

Annahmen von Hackback

  1. Wir werden angegriffen
  2. Wir merken es zeitnah
  3. Wir können den Angreifer identifizieren
  4. Wir können zurückschlagen
  5. Das verhindert weitere Angriffe

„Das verhindert weitere Angriffe“

Worauf beruht diese Hoffnung?

Wenn Sie als Geheimdienst das iranische Atomprogramm hacken wollen, und die hacken zurück, würden sie das von weiteren Angriffen abhalten?

Hoffentlich nicht!

Randnotiz: Wen hacken wir da eigentlich?

  1. Elbonien hackt unsere Banken
  2. Wir wollen jetzt deren Banken zurückhacken

Oh, die haben gar keine eigenen Banken!
Deren größte Bank gehört der Deutschen Bank!
Und was ist mit den Filialen unserer Banken bei denen?

Jetzt der hoffnungsvolle Abschnitt

Der albanische Geheimdienst

Stellen Sie sich vor, Sie sind der albanische Geheimdienst.

Sie wollen mitcybern, aber Sie haben kein Geld für Exploits.

Exploits sind Bits, die kann man aufzeichnen und kopieren.

(Fragen Sie nur mal die Musikindustrie!)

(Stellen Sie sich hier ein Bild eines Demonstranten mit Gasmaske vor, der eine Tränengasgranate zurückwirft)

Der albanische Geheimdienst

Sie suchen sich also einfach ein Land, das Hackback macht.

Das Land „greifen Sie an“, und zeichnen deren Exploits auf.

Dann haben Sie die Exploits!! Für lau!!!

Wenn Sie jetzt noch nicht überzeugt sind

Dann kann ich Ihnen ein tolles Cryptocurrency-Investmentpaket anbieten!

Mit Anschubfinanzierung von einem nigerianischen Prinzen!