Diesen Vortrag habe ich im Herbst 2019 vor Mitgliedern des Voice e.V. gehalten, dem Bundesverband der IT-Anwender.
Mir war im Vorfeld gesagt worden, ich solle mich auch zu Hackback äußern, d.h. der Frage, ob der Staat „zurückhacken“ soll.
(Die verwendeten Schriftarten sind Alegreya und Alegreya Sans)
Navigation über die Pfeiltasten auf der Tastatur.
Ich hatte für diesen Vortrag nur 10 Minuten eingeplant, und musste ihn dann in 5 halten. Daher ist er kurz und pointiert.
Wenn ich den Folien für die Online-Ausgabe gesprochenes Wort hinzuzufügen habe, werde ich das in dieser Grünfarbe machen, damit man es als Online-Extra erkennen kann.
Wie erwartet gingen bei beiden Fragen praktisch alle Arme hoch.
Daraufhin ich: „Es liegt also offensichtlich nicht an der Awareness und nicht daran, dass wir nicht wissen, was zu tun wäre.“
Niemand patcht innerhalb von 24h. Kein einziger Arm ging hoch.
Zwei hatten deshalb ein schlechtes Gewissen.
Ich hatte angenommen, dass niemand patcht und alle ein schlechtes Gewissen haben. Dann hätte ich gesagt: „Sehen Sie, das Security-Problem ist gelöst. Daher rede ich jetzt über Hackback.“
Rückblickend klappt das so aber auch gut.
Spielen Sie alle Patches sofort ein. Alle. Sofort. Keine Ausnahmen.
Hersteller testen ihre Patches unter der Annahme, dass alle anderen Patches eingespielt wurden. Wenn Sie nur die Hälfte einspielen, dürfen Sie sich auch nicht wundern, wenn ihnen Patches um die Ohren fliegen.
Außerdem schreiben Hersteller im Allgemeinen in die Patch Notes nur die eh öffentlich bekannten Bugs rein. Ich habe in meiner Karriere über tausend Bugs bei Herstellern gefunden. In Patch Notes werden ich und meine Bugs praktisch nie erwähnt. Googeln sie selbst.
Es gibt da nur ein-zwei winzige Detailproblemchen
(Nordkorea-Vibe wegen Euphemismen wie „aktive Cyber-Abwehr“)
Ich war 2006 als Experte für den CCC in den Bundestags-Ausschuss geladen, der sich mit dem drohenden Verbot für Hacker-Tools beschäftigte.
Wir Experten wurden mit den Worten begrüßt: „Schön, dass Sie wieder da sind, nachdem wir Ihre Expertise schon die letzten Male ignoriert haben!“
Und dann haben sie unsere Expertise ignoriert und Hacker-Tools verboten. Das trage ich ihnen bis heute nach.
Verschleiernde Euphemismen wie „aktive Cyber-Abwehr“ halte ich im Übrigen für antidemokratische Nebelwerferei.
Was zählt als Angriff?
Die Mail mit dem bösen Attachment?!
Denken Sie sich hier ein Foto einer Wannacry-befallenen Bahn-Anzeigetafel hin
Ransomware ist schlechtes Wetter, für das sie unpassend gekleidet waren.
Denken Sie sich hier ein Foto von frierenden Party-Teilnehmern im kurzen Rock und High Heels im Neuschnee hin
Ich hatte vor einer Weile mal ein Erlebnis, nachdem eine Behörde gehackt worden war, und die Presse von APT sprach. Ich hatte Gelegenheit, mich mit einem der IT-Zuständigen dort zu unterhalten.
Der erzählte dann, das sei so Niveau Backorifice gewesen, also frühe 2000er Jahre. Aber mit APT „können alle gut leben“, weil da sei dann ja keiner Schuld.
So sehe ich das Gejammer über Ransomware-Befall. Das ist kein Angriff, dem man halt schutzlos ausgesetzt ist, sondern da hat jemand über Jahre seine Infrastruktur herunterkommen lassen.
Wenn ich mehr Zeit gehabt hätte, hätte ich hier die eingestürzte Autobahnbrücke in Genua eingeblendet.
Aller Erfahrung nach: Nein, tun wir nicht.
Typischer Zeitraum vor Entdeckung von blinden Passagieren:
Ein halbes bis fünf Jahre.
Aller Erfahrung nach: Nein, können wir nicht.
Es gab einen Fall mit akzeptabler Beweislage:
Der holländische Geheimdienst beobachtet die Russen live über ihre Webcams beim Hacken der Amis.
Normalfall: Sie finden eine IP im Log auf dem gehackten Rechner.
Digitale „Beweise“ von einem kompromittierten System sind wertlos!
Aber tun wir mal so, als sei das kein Problem.
Die IP ist ein gehackter Rechner (kann man als Botnet mieten)
Irgendeine private DSL-Leitung in Ohio. Und nun?
Aber tun wir mal so, als käme der Fall nicht vor.
(Die Nato diskutiert übrigens bereits, ob ein Cyberangriff als Bündnisfall gewertet werden soll)
Die IP ist ein Cloudserver in Hongkong.
Und jetzt? China hacken? Völkerrechtsverstoß!
Was, wenn die zurück-nuken?
Aber tun wir mal so, als käme der Fall nicht vor.
Die IP ist ein Server in Frankreich.
Rechnungsanschrift war der Kreml, Kreditkarte war
geklaut.
Sackgasse.
Aber tun wir mal so, als käme der Fall nicht vor.
Seit Snowden wissen wir von NSA Quantum Insert.
Rechner zwischen Fred und Ihnen, redet mit der IP von Fred.
Ihr Rechner glaubt der NSA, weil die schneller antwortet.
Offensichtliche Methode. Das werden andere Kriminelle auch machen.
Die IP ist wertlos als Zuordnungsmerkmal!
Ja, äh, womit denn?
Sie haben erst Hacken kriminalisiert, dann Hacker-Tools, dann haben Sie verhindert, dass wir überall offenes WLAN haben.
Die, deren Hilfe sie jetzt brauchen, wollen Ihnen nicht mehr helfen.
Die Folie richtete sich offensichtlich an Politiker und „Bedarfsträger“ im Raum. Da waren einige angekündigt, aber am Ende waren da fürchte ich keine bei.
Schade. Ein Told You So hätten die echt mal verdient gehabt.
Sie brauchen das Produkt, haben keine andere Quelle, und der Verkäufer weiß es. Schlechte Kombination!
Geheimdienste wollen Exploits exklusiv, aber können das nicht prüfen.
Die Verkäufer sind Kriminelle, denn Sie haben Exploits kriminalisiert.
Natürlich werden die Sie über den Tisch ziehen!
Ich habe dem Publikum dann erklärt, dass sich die Million für den Exploit darauf bezieht, was der Broker dem Hacker auszahlt.
Die Preise in die andere Richtung sind nicht bekannt. Aber der Broker wird da kräftig Marge draufschlagen.
Und weil der Käufer nicht prüfen kann, ob der den Exploit wirklich nur an ihn verkauft hat, sind Exklusivitätszusagen der Broker nichts wert.
Der erste, der einen Exploit einsetzt, verbrennt ihn damit für
alle.
Danach ist das Sicherheitsloch bekannt und wird
geschlossen.
Sie werden also ständig am Exploit-Nachkaufen sein!
Google Project Zero und Leute wie ich finden Bugs, die dann gefixt werden.
Dann ist Ihr teurer Exploit wertlos.
Neue Windows-Releases und Software-Updates machen auch oft Exploits kaputt.
Aber nehmen wir mal an, das betrifft Sie alles nicht.
Sie sind immerhin die Regierung. Sie bauen eine Abteilung auf!!
An gelernte Fachkräfte zahlt der Bund E 12 (brutto 42k im Jahr).
Sagen wir mal, der Hacker schafft in fünf Jahren einen Exploit.
Dann macht er immer noch einen Verlust von 80%, wenn er sich
anstellen lässt.
Sie kriegen also nur die Hochstapler und Pfuscher.
Die 42k für E 12 habe ich von hier.
Ich kenne mich mit dem Entgeltsystem im öffentlichen Dienst nicht aus, hier käme als Maximalwert knapp 70k raus. Dann ändert sich das Verhältnis, aber nicht dass es ein Verlust wäre.
Es ist natürlich auch unfair, für alle Exploits eine Million anzusetzen, viele Exploits sind weniger wert. Aber mit denen kommen Sie dann halt auch nicht so weit.
Dass E 12 anzusetzen ist, habe ich von hier. Die Stufen darüber setzen einen Master-Abschluss voraus.
Insofern: Ich habe plakativ übertrieben. Aber noch in vertretbarem Maßstab :-)
Worauf beruht diese Hoffnung?
Wenn Sie als Geheimdienst das iranische Atomprogramm hacken wollen, und die hacken zurück, würde Sie das von weiteren Angriffen abhalten?
Hoffentlich nicht!
Oh, die haben gar keine eigenen Banken!
Deren größte Bank gehört der Deutschen Bank!
Und was ist mit den Filialen unserer Banken bei denen?
Stellen Sie sich vor, Sie sind der albanische Geheimdienst.
Sie wollen mitcybern, aber Sie haben kein Geld für Exploits.
Exploits sind Bits, die kann man aufzeichnen und kopieren.
(Fragen Sie nur mal die Musikindustrie!)
(Stellen Sie sich hier ein Bild eines Demonstranten mit Gasmaske vor, der eine Tränengasgranate zurückwirft)
Sie suchen sich also einfach ein Land, das Hackback macht.
Das Land „greifen Sie an“, und zeichnen deren Exploits auf.
Dann haben Sie die Exploits!! Für lau!!!
Dann kann ich Ihnen ein tolles Cryptocurrency-Investmentpaket anbieten!
Mit Anschubfinanzierung von einem nigerianischen Prinzen!