0-Artikel
+43 1 31440-0 info@digisociety.ngo
Menu

WannaCry: Zum Heulen – Cybersecurity ist unsere Achillesferse

von | 14. Mai 2017 | IT Sicherheit, Infrastruktur, Internet, Software & Cloud | 3 Kommentare

Freitag Abend kamen erste Meldungen über verschlüsselte Computer in Krankenhäusern in UK herein. Die Personal Computer der Krankenhäuser waren verschlüsselt und die Nutzer wurden aufgefordert eine variierende Summe in Bitcoin zu bezahlen, damit ihr Gerät wieder nutzbar wird. Zusätzlich wurde den Nutzern eine Deadline angegeben, ab dem Zeitpunkt die Daten der Geräte gelöscht werden. Wenig später wurde klar, dass nicht nur das National Health Service (HNS) in UK betroffen war, sondern Ziele in 99 weiteren Ländern, darunter namhafte Konzerne wie FedEx, Schenker, Deutsche Bahn, Telefonica, Renault, Nissan, die Wirtschaftsprüfungsagentur KPMG und auch das Russische Innenministerium. In den Medien geistern Fotos von Schnellbahnanzeigen auf Bahnsteigen herum, auf denen die Erpressungsaufforderung zu sehen ist.

Verbreitung

Verbreitet hatte sich die Malware zu Beginn vor allem über E-Mail Anhänge. Diese überwinden meist die Firewalls von Unternehmen, weil der Schadcode noch gar nicht bekannt ist. Unbedarfte Benutzer klicken einen Anhang dann an (beliebt sind hier vor allem Bewerbungsschreiben), und schon hat man sich den Trojaner auf dem eigenen Rechner eingefangen. Von dort aus versucht er dann möglichst viele Rechner im Firmennetzwerk ebenfalls zu infizieren. Das geschieht meistens über Schwachstellen im Betriebssystem oder der installierten Software.

Schwachstelle in Windows

Möglich gemacht hatte diesen Angriff eine Schwachstelle in Microsoft Windows, die der NSA seit Jahren bekannt war (und vermutlich von dieser auch ausgenutzt wurde). Die NSA hat Microsoft über Jahre nicht auf das Sicherheitsloch aufmerksam gemacht.

2016 bot die Hackergruppe Shadow Brokers ein Archiv mit Einbruchtools der NSA zum Kauf an. Die Gruppe hatte offensichtlich ein Archiv mit unterschiedlichen Schwachstellen, die die NSA für ihre Zwecke ausnutzt gestohlen. Woher die Daten genau stammen ist unbekannt, es gibt aber Spekulationen, dass sie einem früheren NSA Angestellten, der mittlerweile in Haft sitzt entwendet wurden. Möglich ist auch, dass die Gruppe einen Command and Control Server der NSA entdeckt hatte, auf dem zu viele Daten zu lange gelagert wurden. Die Auktion scheiterte, weil offensichtlich Zweifel an der Echtheit bestanden und niemand bereit war, die geforderte Summe zu zahlen. Geboten wurden für das Archiv nur 10 Bitcoins statt der geforderten 10.000.

Daraufhin stellten Shadow Brokers, nun ein Jahr später die Tools ins Netz. In dem Paket enthalten sind nicht nur die erwähnte Windows Schwachstelle, sondern auch andere Schwachstellen (z.B. des Oracle Betriebssystems Solaris) und weitere Tools der NSA Hacker Taskforce “Equation Group” enthalten. Veröffentlicht wurden diese Daten als eine Art Protest gegen die Präsidentschaft von Donald Trump.

Blamage für die NSA

Zum Einen ist die Veröffentlichung der Tools eine Blamage für die NSA – denn egal ob es operative Schlamperei war, oder ein Mitarbeiter die Daten weitergegeben hatte, zeugt es davon – dass es keine 100%ige Sicherheit dafür gibt, dass Daten nicht geleaked werden, vor allem bei so großen Organisationen wie der NSA.

Notstopp

Ein 22 jähriger Hacker, der unbekannt bleiben will, hat im Schadcode eine Art Hinweis auf einen Notstopp Knopf gefunden. Er registrierte eine Domain und leitete den Traffic der Malware ins Nichts um. Daraufhin hörte die Verbreitung des Codes auf. Die Rechner sind zwar weiterhin infiziert, aber der Code verbreitet sich nicht weiter. Verschlüsselte Rechner bleiben jedoch leider natürlich weiterhin verschlüsselt.

Problem daran ist auch, dass der Code nur leicht verändert werden müsste um wieder in die freie Wildbahn gesetzt zu werden und Schaden anzurichten. Es ist daher derzeit nur eine kleine Atempause.

Der genaue Ablauf ist hier beschrieben.

Learnings

Man kann aus der Geschichte einige Lehren ziehen:

  1. Monokulturen vermeiden
    Je mehr Rechner unter dem gleichen Betriebssystem laufen, desto größer ist der Schaden von solchen Angriffen. Unterschiedliche Betriebssysteme erhöhen den Administrationsaufwand, aber reduzieren das Risiko der Auswirkungen solcher Angriffe.
  2. Staatstrojaner sind gefährlich!
    In Österreich wollen wir gerade die gesetzlichen Voraussetzungen für Staatstrojaner schaffen. Diese Software dient dem Staat dazu die Computer von “bösen Buben” ausspionieren zu können. Wie man an o.g. Beispiel sieht, kann eine solche Schadsoftware nur Schwachstellen in Betriebssystemen nutzen. Daher ist die Behörde bemüht, dass diese Schwachstellen vom Hersteller unbemerkt bleiben. Denn wenn der Hersteller einen Patch herausgibt, und die unbekannte Hintertüre schließt, dann ist auch der Staatstrojaner nutzlos.
  3. Patchen ist wichtig!
    Microsoft hatte bereits einen Patch für die Sicherheitslücke herausgegeben und auch bereits über Windows Update verteilt. Alle die sich automatisch von Microsoft mit Patches versorgen lassen, waren bereits geschützt. Es gibt aber viele Privatanwender die skeptisch gegenüber automatischen Patches sind, oder Firmen – die strikte Testprozeduren haben, bevor die Patches ausgerollt werden, oder einfach solche die schlampig im Umgang damit sind. Diese waren noch nicht geschützt und so konnte sich die Malware rasend schnell verbreiten. Wenn Ihr Windows also noch nicht die neuesten Patches eingespielt haben, sollten Sie das schnellstens tun. Microsoft hat sogar für Windows XP einen Patch veröffentlich, obwohl das System seit Jahren keine Patches mehr bekommt.
  4. Anhänge nicht öffnen
    Es wird Benutzern ohnehin eingebläut, aber man kann es gar nicht oft genug sagen: Anhänge mit denen man nicht rechnet – und von Personen, die man nicht kennt – einfach nicht öffnen, bzw. wenn notwendig sich beim Absender rückversichern. Beliebt sind hier Bewerbungsschreiben, Rechnungen, Paketbestätigungen, etc.
  5. Sicherheit ist enorm unterschätzt
    In unserer Digitalen Welt wird Sicherheit immer wichtiger. Dinge wie wir sie hier erleben sind noch ein Kindergeburtstag. Wir müssen alle gemeinsam versuchen das Problem zu lösen. Die Hersteller indem sie Sichere Software per Design herstellen und nicht als lästiges Anhängsel betrachten (Secure by Design) – Indem die Grundeinstellungen von Software per Voreinstellung sicher ist (Secure by default), Indem die Software ständig und automatisch gewartet wird (Windows Update ist hier ein Vorreiter, viele andere – vor allem IoT Geräte werden überhaupt nicht upgedatet), Zentrale Firewalls sind in der heutigen mobilen Welt fast nutzlos. Geräte sind mobil und immer und überall mit dem Netz verbunden. Benutzer wechseln von Internet Hotspots nahtlos ins Firmennetzwerk. Daher kann auch niemand mehr damit rechnen, dass man Firmennetzwerke per se “im Griff” hat. Jeder Nutzer muss daher auch einen Teil der Verantwortlichkeit übernehmen und dazu braucht es auch Wissen um die Gefahren und entsprechende Mitwirkung. Man kann sich auch nicht darauf verlassen, dass der Autohersteller schon dafür sorgen wird, dass das Auto in dem man fährt nicht gegen eine Wand rast.

Die Digital Society muss hier daran arbeiten, was wir in Österreich dazu beitragen können die Situation zu verbessern. Wir müssen davon ausgehen, dass im Zuge der Digitalisierung immer mehr solche Vorfälle (und noch viel schlimmere) auftreten werden. Diese Veränderungen lassen sich nicht aufhalten, und wir wollen das auch gar nicht. Aber es muss eine Lösung gefunden werden, wie Technologie sicher eingesetzt werden kann, und die Sicherheit als oberstes Gut betrachtet wird. Wir haben ein Sicherheitsproblem in Österreich – aber das bezieht sich nicht auf “normale” Kriminalität, sondern auf den digitalen Raum. Dorthin muss unser Augenmerk gerichtet werden. Mögliche Ansatzpunkte wären

  • Die Zusammenarbeit mit Österreichischen Softwareherstellern
  • globalen Herstellern von Standardsoftware,
  • die Information und Weiterbildung von Anwendern zu dem Thema,
  • die Einflussnahme auf die Gesetzgebung,
  • die mitarbeit bei der Normung
  • u.v.a.m.

Wir rufen daher alle Interessenten auf, unsere Arbeit zu unterstützen und selbst Know How und Arbeitskraft einzubringen, damit wir gemeinsam die wirklich großen Probleme unserer Zeit lösen können. Security ist eines davon.

Ansprechpartner in der Digital Society zum Thema Security ist Dr. Manfred Wöhrl ( manfred.woehrl @ DigiSociety. ngo)

Hinweis: Bei unserem Digitalk am Mittwoch geht es auch um das Thema Staatstrojaner:

17.05.2017
18:00 – 22:00		 Digitalk: Sicherheit und Überwachung (epicenter.works)
Digital Society, Wien

3 Kommentare

  1. Erich Pekar
    Erich Pekar am 14. Mai 2017 um 13:03


    Wir müssen davon ausgehen, dass im Zuge der Digitalisierung immer mehr solche Vorfälle (und noch viel schlimmere) auftreten werden. Diese Veränderungen lassen sich nicht aufhalten, und wir wollen das auch gar nicht.

    Wenn es allerdings nicht gelingen sollte, die Sicherheitsprobleme in Zusammenhnag mit “diesen Veränderungen” zufriedenstellend zu lösen , dann sind wir – auch im Sinne der Verantwortung für unserer Nachkommen – verpflichtet, unter Umständen auch unser “Wollen” zu überdenken und vielleicht sogar gegen “diese Veränderungen” aufzutreten. Noch haben wir Entscheidungsmöglichkeiten.

  2. Werner Illsinger
    Werner Illsinger am 14. Mai 2017 um 15:55

    Es wollten auch viele das Automobil aufhalten, wegen der imminenten Sicherheitsprobleme gegenüber den Pferdekutschen. Gebracht hat das nicht. Es hat sich aber daraus die Straßenverkehrsordnung entwickelt, die das Chaos in den Griff bekommen hat, und die Gefährlichkeit auf ein annehmbares Niveau gesenkt hat. Fortschritt lässt sich nicht aufhalten.

  3. Erich Pekar
    Erich Pekar am 14. Mai 2017 um 18:06

    Immerhin hat uns dieser Fortschritt Automobil im vorigen Jahr in ganz Europa 25.700 zusätzliche Todesfälle eingbracht !
    Ich muss allerdings zugeben , dass mir die (damals) durch Kutschen ausgelösten Unfälle nicht zu Verfügung stehen. Es ist aber die Annahme nicht unbegründet , dass dies – allein schon wegen der geringeren Geschwindigkeit von Pferdekutschen – deutlich geingere Zahlen gewesen sein dürften.
    Wenn in Zusammenhang mit irgendwelchen Epidemien heutzutage auch nur halb so viel Tote weltweit zu verzeichnen sind oder irgendwo ein Flugzeug abstürzt wird – zurecht – in praktisch allen Medien von einer “Katastrophe” geschrieben. Die 25.700 Toten ( nur in Europa !) werden nur manchmal als statistische Randnotiz erwähnt und sonst – wenn überhaupt – nur achselzuckend zu Kenntnis genommen.
    Von Schäden an der Umwelt oder direkten bzw, indirekten Krankheitsfolgen mit viel zu jung Verstorbenen spreche ich hier ohnehin nicht, diese lassen sich ursächlich oft nur schwer den Folgen des Straßenverkehrs zuordnen. Gleichzeitig scheint sich mittlerweile spät – aber doch – als allgemeiner Wissensstand duchzusetzen, dass wir unsere mittels Verbrennugsmotoren gelebte individuelle Mobilität in dieser Weise nicht mehr weiter betreiben können und wir spätestens 2050 – wenn nicht schon früher – diese Technologie (weltweit) aufgeben sollten.
    Mit welcher “Verzweiflung” an den “Errungenschaften” der induividuellen motorosierten Fortbewegung festgehalten wird , ist an den nahezu täglichen “Erfolgsmeldugen” über noch sensationellere Batterien und Ladefverfahren für Elekromobilität abzulesen , die sich nahezu jede gleich selbst disqualifizeren, wenn man die derzeitigen Möglichkeiten unserer Produktions.- und Speicher-Verfahren für elektrische Energie in einfache Rechnungen einsetzt.

    Hinsichtlich der allgemeine Argumentationslinie glaube ich hier die Steinzeit-Keule durchzuhören, die auch schon vor 40Jahren gegen die damaligen Gegner von Atomkraftwerken geschwungen wurde, indem man ihnen Vorwarf, ein Leben als Affen auf Bäumen unserem modernen Fortschritt- der damals in Atomkraftwerken gesehen wurde – vorzuziehen.
    Und welche der Befüchtungen der damaligen Atomkraftgegner sind nicht eingetreten ?
    Wieviel Atomreaktoren müssen noch explodieren ?

    Ich hoffe ( bzw. glaube) aber nicht, dass als mögliche negative Folge der Digitalisierung uns unsere Industrienlagen “um die Ohren fliegen” werden. Aber auch diew durch Überwachung und Datenmissbrauch mitverusachte Bedrohung unserer Demokratie und z.B. der Zwang ( eigentlich unnötige ) persönliche Daten Dritten überlassen zu müssen, nur um öffentliche Verkehrsmittel ( oder sonstige unvermeidbare Dienstleistungen des täglichen Bedarfes ) nutzen zu können , sollte doch wohl schon “explosiv” genug sein, um das nicht mehr wollen und sich deutlich dagegen aussprechen zu dürfen, ohne darum gleich als “Fortschrittsverweigerer” gelten zu müssen ?