Fragen? Antworten! Siehe auch: Alternativlos
Woher weiß denn die US-Regierung das? Na weil Blockwarte von der Uni das Lab verpfiffen haben.
Georgia Institute of Technology (GIT), commonly referred to as Georgia Tech, and its contracting entity, Georgia Tech Research Corporation (GTRC), are being investigated following whistleblower reports from insiders Christopher Craig and Kyle Koza about alleged failures to protect controlled unclassified information (CUI).Wer ist denn dieser Whistleblower?The case was originally brought in July 2022 by Craig, who is still affiliated with Georgia Tech as the associate director of cybersecurity, and Koza, a Georgia Tech grad and former principal infosec engineer at GIT.Ah, neidische Konkurrenten, die die Forschungsmittel haben wollen. Sagt das doch gleich!Bleibt noch eine Frage: Hat diese Abteilung unser Mitgefühl verdient? Eher nicht, fürchte ich.
Dr. Emmanouil "Manos" Antonakakis runs a Georgia Tech cybersecurity lab and has attracted millions of dollars in the last few years from the US government for Department of Defense research projects like "Rhamnousia: Attributing Cyber Actors Through Tensor Decomposition and Novel Data Acquisition."Aha. Soso. Cyber-Attribuierung. Millionen von Dollar.m(
Beispiel:
Bei einem Raketeneinschlag in einer Schule im nördlichen Gazastreifen sollen zahlreiche Menschen getötet worden sein. Der Ursprung des Geschosses ist noch unklar.Oh, der Ursprung des Geschosses ist also unklar, ja? Ist doch ganz einfach! Das waren bestimmt die Russen!!1!
Hier ist noch einer:
Auch in der Evakuierungszone im Süden starben Menschen nach Luftangriffen.Das ist ja mysteriös! Wer kann das gewesen sein? Das müssen wir noch klären, ob sich hier nicht Hamas selbst beschossen hat!1!!
Im Zweifel (neuerdings) für den Angeklagten oder was?
Update: Praktisch alle Zuschriften bisher scheinen das als Kritik an der zögerlichen Attribuierung jetzt zu sehen. Das Gegenteil ist der Fall. Das war eine Kritik an der automatisierten Attribuierung im Ukraine-Krieg.
Am Ende ist das Narrativ dann so Mission Impossible, dass niemand mehr fragt, wieso Barracuda-Produkte überhaupt angreifbar waren. Mandiant hat ja auch etabliert, dass man sich gegen "die Chinesen" eh nicht wehren kann.
Mandiant firmiert zwar als Security-Bude, aber man sollte die eher als PR-Bude betrachten. Die beauftragst du, wenn deine Hütte brennt, und du deine Kunden und Investoren von deinem Versagen ablenken willst, für das du eigentlich in den Knast gehören würdest.
Mandiant hat auch den Begriff "APT" oder "Advanced Persistent Threat" erfunden, und arbeitet gerne und häufig für die US-Regierung. Achtet übrigens mal drauf, wie häufig Mandiant schon die amerikanischen Geheimdienste hinter einer weltweiten Verschwörung identifiziert hat. Ich kürze das mal ab: Noch nie.
Die Iraner, Chinesen und Nordkoreaner sind ja auch doof. Die sollten Mandiant ein paar Regierungs-Großaufträge geben! Dann wäre sofort Schluss mit Attribuierung von Cyber-Cyber zu ihnen! Dann käme ab morgen alles aus Vietnam oder so. Nee, warte. Kambodscha!!
Dass das nicht mal irgendeine Regierung einfach abdreht, diesen Abmahn-Geldhahn, das verstehe ich echt nicht. Einfacher kann man gar nicht ganze Bevölkerungsschichten vor unnötigem Schaden schützen.
Das war jetzt gefühlt Dutzende von Malen auf Heise und Golem und die zugrundeliegende Entscheidung hatte ich im Blog. Also bitte. Keine Fonts von Google einbetten. Lieber eine lokale Kopie davon machen.
Update: Ich höre gerade, dass es sogar Betrugsmaschen gibt jetzt dazu. Da kommt dann eine Abmahnung rein, und der Briefkopf sieht aus wie von einer echten Kanzlei, aber die Kontonummer geht zu einem Mule mit ähnlichem Namen. Wenn man also eine Abmahnung kriegt, dann nicht einfach die Telefonnummer aus dem Briefkopf anrufen sondern die Kanzlei googeln und dort die Telefonnummer herholen.
Da stellen sich, finde ich, direkt zwei Fragen.
Erstens: Woher wissen wir das? Mehr als Hörensagen habe ich bisher nicht gehört. Angeblich wurden da Leute mit vorgehaltener Waffe genötigt. Ja wie, und da gibt es keine Fotos von? Haben die keine Wahlbeobachter reingelassen?
Aber wichtiger noch: Heißt das, dass der Westen das anerkannt hätte, wenn die nicht Schein wären? Denn da hatte ich bisher den Eindruck, dass Konsensberichterstattung war, dass das grundsätzlich ein Völkerrechtsbruch sei.
Haben die das damit jetzt über Bande zugegeben, dass das doch kein Völkerrechtsbruch wäre?
Aber auch die Sache mit der Nötigung irritiert mich gerade. Ich dachte das ist aktenkundig, dass in diesen Gebieten mehrheitlich Russen wohnen. Das wäre also an sich anzunehmen, dass die in einem Referendum für einen Anschluss an Russland stimmen würden. Oder sagen wir mal: nicht überraschend. Ich finde daher auch nicht offensichtlich, wieso Putin da überhaupt irgendjemanden nötigen müsste.
Update: Hey aber Fefe, laut ukrainischem Recht muss für eine Abspaltung der Rest des Landes auch zustimmen!1!! Oh, dann sind eurer Meinung nach auch die Unabhängigkeitserklärungen der USA und Indiens ungültig, ja? Ihr seid dann auch Anhänger der saudischen Regelung, dass Frauen nur mit Zustimmung ihres Mannes das Land verlassen dürfen, nehme ich an?
Update: Ja aber Fefe, die Abstimmung war während eines Krieges, die ist per se schon ungültig! Da werden die Amerikaner aber unzufrieden sein, wenn sie das hören, dass man sich während eines Krieges nicht unabhängig erklären darf!
Ja aber Fefe, die Abstimmung wurde von der Besatzungsmacht durchgeführt, daher kann die gar nicht gültig sein! Sagt mal, war Deutschland nicht auch besetzt, als das Grundgesetz beschlossen wurde? Waren alle unsere Wahlen vor der Wiedervereinigung auch automatisch ungültig?
Update: Ja aber Fefe, vor den Wahllokalen standen Männer mit Waffen! Oh, wie in Mexiko oder Florida?
Ja aber Fefe, es gibt Fotos von durchsichtigen Wahlurnen! Das wäre in der Tat ein gutes Kriterium, um die Abstimmungen für ungültig zu erklären. Ich hab solche Fotos bisher nur mit Attribuierung "beim Krim-Referendum" gesehen. Ich sag ja gar nicht, dass ich das nicht zu glauben gewillt bin, aber von den ganzen Presseberichten, die ich gesehen habe, die aktuell diese Referenden (schon vor ihrer Durchführung!) als Scheinreferenden bezeichnet haben, hatte keine einzige solche Fotos.
Der Name, den K. in sozialen Netzwerken benutzt, lasse sich googeln und führe zu einer E-Mail-Adresse, mit der mehrere Websites registriert wurden. Mit diesen wiederum seien verschiedene russische Handynummern verknüpft, von denen eine zu einem Telegram-Account führt, auf dem eine Bitcoin-Adresse veröffentlicht wurde. Bitcoins im Wert von mehr als 400.000 Euro wurden darauf eingezahlt.Whoa!
Ein Slam-Dunk-Fall, um mal den CIA-Direktor Tenet über die Beweislage zum Irakkrieg zu zitieren!
Aber wartet, geht noch weiter. Wir haben nicht nur Handwaving. Wir haben auch Appeal to Authority!
Experten eines Unternehmens, das sich auf Blockchain-Analysen spezialisiert hat, schreiben diese Einzahlungen mit hoher Wahrscheinlichkeit Erpressungen zu.Ja also wenn das SO ist! Ungenannte Experten eines ungenannten Unternehmens sagen das! Na also DANN ist das ja wohl klar wie Kloßbrühe!!
Das, meine Damen und Herren, ist der Stand der Attribuierung von Cyberangriffen. Kaffeesatzlesen. Wir haben mal was gegoogelt.
Cyberattribuierung ist und bleibt eine Fata Morgana. (Danke, Simon)
Aber dasselbe Muster gibt es auch anderswo! Die Cops nehmen auch seit Jahren immer wieder plakativ den größten Warez-Server vom Netz, und jetzt aktuell irgendwelche Ransomware-Gangs, und da wird dann auch immer erklärt, es sei das größte Cybercrime-Ding der Welt gewesen.
Ich würde also gerne mein Muster erweitern. Nur gibt es in beiden Fällen keine offensichtlichen Top-Täter wie bin Laden. Was also tun?
Auf Drogenbusts könnte man das eigentlich auch mal anwenden, und auf Waffenlager.
Nach wem benennen wir das also am besten? Fangen wir aus aktuellen Anlass mit den Ransomware-Busts an. Die heißen ab jetzt: Sie haben die rechte Hand Putins erwischt:
Während in Deutschland eine Stadtverwaltung nach der anderen von Verschlüsselungserpressern lahmgelegt wird, wurde das gefährlichste dieser kriminellen Syndikate von US-Strafverfolgern, Geheimdiensten und europäischen Polizeibehörden zerschlagen.Da könnte man jetzt Einwände haben.
Kommt in der Praxis nicht vor. Es waren IMMER die Russen. Gerade wenn nicht dransteht, dass es die Russen waren, wissen doch alle: Es waren doch die Russen. So haben wir die Bevölkerung jetzt konditioniert, so ist es also ab jetzt.
Da mache ich mir im Moment nicht viel Sorgen, aber selbst wenn. Das hat uns bei bin Laden ja auch nicht gestört.
Finde ich nicht gut. Erstens will ich diesen Attribuierungsscheiß nicht noch validieren, indem ich deren Narrativ übernehme. Zweitens kapiert das außerhalb der Branche niemand.
Stimmt inhaltlich auffallend, aber zu der Transferleistung sind glaube ich da draußen viele nicht fähig und das funktioniert auch nur, wenn du den Namen schonmal gehört hast.
Weitere Vorschläge nehme ich unter der bekannten E-Mail-Anschrift entgegen.
Ihr erinnert euch ja vielleicht dunkel, dass ich hier schon ein paar Mal erklärt habe, dass Cyber-Attribuierung schon als Idee Bullshit ist. Das funktioniert nicht. Es geht nicht. Nicht nur "wir wissen nicht, wie es geht". Es geht nicht. Wir wissen, dass es nicht geht. Jeder, der so tut, als könnte man da was attribuieren, lügt sich in die eigene Tasche, oder hat zufällig DEN EINEN FALL erwischt, wo die Täter so blöde waren, tatsächlich handfeste Spuren zu hinterlassen.
Das ändert aber nichts daran, dass Cyber-Attribuierung im Allgemeinen nicht geht.
Warum spreche ich das an?
Na ratet doch mal, worauf die Zuständigkeitsfindung unserer staatlichen Infrastruktur zur Sicherung kritischer Infrastrukturen basiert! Kommt ihr NIE drauf!
Immerhin wirtschaften die nachhaltig. Inkompetenz und schlechte Ausreden sind die nachwachsenden Ressourcen in der IT.
An Iranian hacking group was itself hacked by a Russian group to spy on multiple countries, UK and US intelligence agencies have revealed.OH ACH SO war das! Und diesmal wissen wir das aber wirklich ganz genau, weil, äh, weil die Geheimdienste es gesagt haben!!1! Leider können sie uns ihre Beweise nicht zeigen. Ein Schelm, wer da vor seinem geistigen Auge Colin Powell vor der Uno sieht.
"This is getting to be a very crowded space," explained Paul Chichester, director of operations for the NCSC, the protective arm of the intelligence agency GCHQ. "protective arm". HAHAHAHA, ja nee, klar!A report of Turla compromising another espionage group was made by the private security company Symantec in June.Und so stapeln sie sich aus Märchen und Legenden einen Turm der Fake-"Erkenntnis" zusammen. So ungefähr muss sich die Alchemie- und Hexenforschung angefühlt haben. Der ehrenwerte Herr Magister Soundso hat herausgefunden, dass Hexen bei Mondlicht besser cybern können, daher greifen wir immer gegen Mittag an, wenn die Sonne hoch im Himmel steht!1!!Update: In der Original-Pressemitteilung des NCSC taucht dann dieser bemerkenswerte Satz auf:
“We want to send a clear message that even when cyber actors seek to mask their identity, our capabilities will ultimately identify them.
Das ist des Pudels Kern. Ignoriert den Rest. das ist alles, was sie hier sagen wollen. Glaubt nicht dem Fefe, sagen sie, wir sind sooooo großartig, uns gelingt auch die Quadratur des Kreises, das Entwickeln sicherer Software, Reisen mit Überlichtgeschwindigkeit und Cyber-Attribuierung!1!!
Ich behaupte selbstredend das Gegenteil. (Danke, Frederik)
Ein Schelm, wer Böses dabei denkt!
Gut, die sonstigen Sponsoren sind bei solchen Veranstaltungen gerne Schlangenölbuden, insofern ist mir da Huawei sogar noch lieber. einer der Gold-Sponsoren hier ist Palo Alto Networks (ihr erinnert euch vielleicht).
Update: Eine der Keynotes ist von einer Abteilungsleiterin Cyberabwehr aus dem Verfassungsschutz, die da erzählen will, dass sie Cyber-Attribuierung machen (und implizit: dass man Cyber-Angriffe attribuieren kann). Das bestreite ich nachdrücklich.
Sehr unterhaltsam auch: Es gibt einen Vortrag von eyeo (die, die Adblock Plus gekauft haben und das an Schutzgeld erinnernde Geschäftsmodell darauf aufgebaut haben), dass "infizierte Online-Werbung" die kritische Infrastruktur bedroht. Da ist ja was dran, aber ... muss man das ausgerechnet die vortragen lassen?
Update: In der Keynote hat Prof. Pohlmann eine Folie mit den drei Lösungen für die Security-Zukunft: Blockchain, KI, Quantencomputer. Das ist genau die Inhaltsangabe meines "ist alles Unfug"-Vortrags. Hoffentlich nimmt das niemand persönlich, was ich da vorzutragen haben werde...
Update: Nebelwerfer-Euphemismus-Update: "cyber-aggressiven Fremdstaaten wehrhaft entgegen treten können".
Update: Oh wow, die Expertin vom Verfassungsschutz hat gerade öffentlich angesagt, dass Angreifer aus dem Ausland dafür ja auch übernommene Rechner in Deutschland benutzen. Wenn sie DAS verstanden haben im Verfassungsschutz, wie können sie dann noch "Zurückhacken" propagieren!? Ein beeindruckendes Ausmaß an kognitiver Dissonanz.
Update: Der nahtlose Übergang von "die Amis hacken im Iran" über "wir beobachten APT28" hin zu Guccifer ist ja schon irgendwie atemberaubend. Jetzt sind wir gerade bei "der Verfassungsschutz bekämpft Fake News", wenn ich das mal geringfügig umformulieren darf. Da braucht man nicht viel Fantasie, um sich auszumalen, gegen wen sich "Zurückhacken" in der Praxis richten wird.
Update: Krass jetzt kam ernsthaft noch der Spruch, defensive Security reiche ja nicht, weil die Leute ja immer nur gegen das verteidigen, was sie für die Fähigkeiten der Angreifer halten, und die Angreifer würden schon darauf achten, dass sie immer mehr können als die andere Seite glaubt. Lasst mich der erste sein, der euch sagt: Das ist Bullshit. Selbstverständlich verteidigt man auch und gerade gegen hypothetische Angriffsvektoren, bevor man weiß, dass sie konkret ausgenutzt werden können. Wer sich selbst informieren will, kann sich z.B. mal die Threat Models von TLS angucken, oder die BSI-Krypto-Empfehlungen.
Sehr erfreulich, dass die Bundeswehr informiertes Personal hat, und wenn es auch nur in der Universität der Bundeswehr herumhängt und nicht in den Führungsetagen.
Die in dem Papier vorgebrachten inhaltlichen Argumente sind jetzt alle nichts, was man noch nicht gehört hätte: Funktioniert nicht, teuer in der Anschaffung, Proliferationsrisiko, die Sicherheitslücken bleiben dann bestehen und können auch von anderen ausgenutzt werden, nur einmal verwendbar pro Exploit, die Exploits gammeln mit der Zeit weg und funktionieren nicht mehr, Attribuierung geht auch gar nicht, und man öffnet damit Tür und Tor für Wildwest-Anarchie und gegenseitiges kaputthacken von ziviler Infrastruktur.
Ich schließe mich diesen Ausführungen vollumfänglich an.
Wie, wer da eigentlich gecybert wurde? Nun, äh, *raschel* *kram* die Bulgaren!!
In Bulgarien haben Hacker offenbar Steuer- und Finanzdaten von mindestens einer Millionen Bürgern kopiert.Wisst ihr, wie man zuverlässig verhindern kann, dass Daten von Millionen von Bürgern wegkommen? Man erhebt sie einfach gar nicht erst. Wieso muss das eigentlich alles digital vorliegen? Wegen irgendwelcher nebulöser Big-Data-Hirngespinste?
Ich muss bei diesen Schlangenöl-Hersteller-Behauptungen über "APT" und Malware-Attribuierung immer an Kreml-Astrologie denken. Die machen Astrologie nicht nur mit Dingen, die sie nicht wissen, sondern auf der Ableitung von etwas, das sie nicht wissen.
Letztlich ist es ja auch egal, welcher Geheimdienst jetzt welche Lücke hatte. Wichtig ist, dass Geheimdienste die Lücken für Angriffe nutzen und nicht dem Hersteller melden und damit die Sicherheit der gesamten IT-Infrastruktur kompromittieren.
Hätte uns doch nur jemand frühzeitig gewarnt!!1!
New hotness: Unsere Trolle werden aus dem Iran ferngesteuert!1!!
Ich finde ja besonders geil, dass sie als Experten ausgerechnet Luca Hammer hinzuziehen. Die "Forschung" und "Erkenntnisse" aus dem Bereich erinnern mich an Genderforschung und Cyberwar-Attribuierung. Lauter "Experten", die sich im Kreis zitieren. Das Gewicht der "Erkenntnisse" speist sich alleinig aus Wiederholung und Anzahl der Zitate aus der Ingroup. Falsifizierbarkeit? Wir hörten davon! Was war das noch gleich?
Ich fand heute auffällig, dass bis auf die Einführungsveranstaltung die ersten drei Vorträge der große Saal 1 praktisch leer war. Die Seitentribünen praktisch komplett frei, und die hintere Hälfte vom Parkett auch. Nur vorne so halb gefüllt. Das habe ich auch schon ganz anders überlegt. Da hat wohl die Congress-Orga ein paar Talks eher nach gefühlter Wichtigkeit als nach tatsächlicher Nachfrage gelegt. Von den Sälen D und E hörte ich, sie seien krass überfüllt gewesen.
Ich blieb wie gesagt in Saal 1 für die ersten drei. Der erste war bei Saal 1, da bin ich ein bisschen traurig, dass ich den TLS-Talk verpasst habe, und die Neutrinos. Gucke ich mir dann als Video an.
Der zweite Talk war für mich Election Security von Alex Halderman. Den fand ich ehrlich gesagt eher enttäuschend. Nicht nur gab es im Wesentlichen nichts Neues zu berichten seit seinem letzten Vortrag vor zwei Jahren, auch seine Probleme und Lösungen fühlten sich alle sehr nach Solutionism an ("dafür machen wir eine App"). Bei den Amis wird nicht am Sonntag gewählt, sondern in der Woche. Wer wählen gehen will, muss einen Tag unbezahlt Urlaub nehmen. Und Wahlbetrug in den USA funktioniert weniger über Wahlcomputer als über Gerrymandering und Caging Lists (Greg Palast publiziert da seit Jahren drüber). Diese Aspekte fehlten in dem Talk aber völlig, und es stellte sich ein bisschen der Eindruck ein, wenn man bloß die Wahlcomputer sicher macht und Paper Trail hat, dann ist wieder alles gut. Das ist halt nicht so. Mich stört auch ein bisschen, dass Alex da ziemlich unkritisch mit der Attribuierung der angeblichen Cyberangriffe auf die fiesen Russen hantierte, und das erst auf Nachfrage aus dem Publikum relativierte. Da hätte man mehr draus machen können.
Der Vortrag "Taming the Chaos" hat mich auch nicht überzeugt. Das war einer aus der Cambridge-Arbeitsgruppe, die da an durchaus interessanten Ideen herumforschen, wobei es viel um Theorem Prover und formale Verifikation geht. In diesem Talk ging es um die Definition einer neuen Hardware-Architektur auf MIPS-Basis, bei dem C-Memory-Probleme gelöst werden sollen, indem Pointer die Basis, die Länge und einen Index (und Read/Write vs Read/Only) speichern. Geschickt komprimiert passt das in 128 Bit sagen sie (aber auf einer 64-bit Plattform, da hab ich ja Zweifel). Dafür haben sie dann eine clang-Toolchain angepasst und damit Webkit übersetzt. Das sind alles großartige Leistungen, die ich hier nicht kleinreden will, aber das Ergebnis ist: Alles wird besser, und wir müssen nur die Software neu kompilieren (und teilweise manuell nachkorrigieren) und wir brauchen neue Hardware. Leute kriegen jetzt schon ihre Software nicht auch nur mit der neuen Compilerversion des selben Herstellers oder mit besseren Security-Flags übersetzt. Und Compartmentalisation von Software wurde hier auch mal eben angenommen, als ob das nicht auch ein Problemfeld wäre. Akademisch interessant, keine Frage, aber hat mich nicht überzeugt.
Und nicht nur das!
Auch von Attacken gegen "Organisationen im Bereich der Chemiewaffenforschung" war die Rede. Laut Sicherheitskreisen könnte das Labor Spiez betroffen gewesen sein, die schweizerische Fachstelle zum Schutz vor ABC-Angriffen.Das waren die mit der Novitschok-Attribuierung.
Ich finde es hochamüsant, wie sehr sich die Beweisführungen gleichen bei Cyber-Attribuierung und unbekannten Substanzen in Salisbury. Das erste Mal ist es im Wesentlichen wilde Behauptungen und sich leicht selbst widersprechende Aussagen von angeblich honorigen Institutionen. Das zweite Mal verweist man einfach auf das erste Mal. Und beim 3. und 4. Mal stellt sich dann die Frage gar nicht mehr, ob das wieder die fiesen Russen waren. WER DENN SONST?!? Die haben wir doch schon so häufig überführt!1!!
Mirzayanov was arrested on 22 October 1992 and sent to Lefortovo prison for divulging state secrets. He was released later because "not one of the formulas or names of poisonous substances in the Moscow News article was new to the Soviet press, nor were locations … of testing sites revealed."Wikipedia hat die chemischen Strukturformeln dazu online. Das ist also keine Ultra-Geheim-Alienraumschiff-Geschichte, sondern das Zeug ist bekannt. Als Nicht-Chemiker kann ich euch jetzt nicht sagen, ob das heißt, dass das auch jeder Chemiestudent selber synchetisieren könnte. Vielleicht weiß das ja einer meiner Leser. Dass eine russische Superchemiewaffe, die "10 Mal so gefährlich wie VX ist", dann ein überlebendes Opfer hinterlässt, das kann ich nicht wirklich glauben. VX ist schon echt fieses Zeug.Wenn man googelt, findet man jedenfalls Beschreibungen der Synthese von diesem Zeug. Meine Interpretation ist, dass das im Wesentlichen jeder Geheimdienst hätte herstellen oder beschaffen können.
Ich glaube, dass diese "das müssen die Russen gewesen sein" zwar plausibel erscheint, weil das Opfer ein Russe ist, aber ansonsten nicht von Fakten gedeckt ist. Falls einer von euch mehr weiß, bitte ich um Einsendungen.
Die Russen reagieren übrigens eher verstimmt auf die ganze Nummer.
Nicht "alles Lüge" verstimmt sondern "ihr habt doch sicher Beweise, oder? Zeigt doch mal!" verstimmt.
Übrigens hatten die Russen den Typen in Haft und haben ihn später bei einem Agentenaustausch rausgerückt. Sie hatten also Gelegenheit, den umzubringen oder verschwinden zu lassen, und haben sie nicht genutzt.
Vielleicht ist das bei Chemiewaffen wie bei Cyber-Cyber. Mit "die Russen waren's" können alle gut leben.
Update: Die Nachdenkseiten glauben die Attribuierung auch nicht.
Update: Ein paar Chemiker schreiben mir, dass die Herstellung von dem Zeug zwar grundsätzlich kein Problem sei, wenn man die Formel sieht, aber dass man sich dabei mit hoher Wahrscheinlichkeit selbst umbringen würde. Das würde die Tätergruppe schon deutlich einschränken, grob auf Militärs und Geheimdienste.
Update: Meine Chemiker-Quellen schreiben mir jetzt, dass man das doch nicht auf "können nur Militärs und Geheimdienste gewesen sein" einschränken sollte. Das könnte zwar kein High-School-Absolvent im Badezimmer aber ein Chemie-Doktorand, der sich mit organischen Phosphorverbindungen auskennt, müsste das produzieren können.
Besonderheit von diesem Stoff soll ja sein, dass a) alle der Vorläufer-Chemikalien problemlos zu bekommen seien und b) man das im Feld aus zwei ungefährlichen Komponenten zusammenmixen kann. Ich stelle mir da sowas wie ein Glühlichtstab vor, den du knickst, und dann mischt sich das, und dann kann man aus der Ampulle sehr vorsichtig das Gift entnehmen. Das müsste also nicht mal ein besonderer Experte sein, der das Zeug im Feld anwendet. Er müsste nur jemanden Kompetenten für die Herstellung angeheuert haben. Auf der anderen Seite meinten die Chemiker auch, dass man an der Strukturformel schon sehen kann, dass das ein Nervengift sein wird. Insofern müsste das ein skrupelloser Chemiker sein, den man da anheuert. Wo wir dann doch wieder bei Geheimdiensten und Militärs wären :-)
Der Angriff auf die IT-Infrastruktur der Olympischen Spiele in Pyeongchang war wohl nur eine Übung darin, anderen einen Cyberangriff in die Schuhe zu schieben. Das jedenfalls legen neue Erkenntnisse von Forschern nahe, die Zugang zu der Malware hatten.NA SOWAS! Hätte uns doch nur jemand gewarnt, dass Malware-Attribuierung Bullshit ist!1!!
Es ist natürlich auffällig, dass die Forscher, die das jetzt herausgefunden haben, selber Russen sind. Kaspersky, ausgerechnet. :-) Das macht aber die Erkenntnis nicht weniger wahr, dass Malware-Attribuierung Bullshit ist.
Alperovitch erklärte das Problem "Attribution" für gelöst – also die eindeutige Identifikation des hinter einer Attacke stehenden Angreifers. Beispiele dafür seien die Beschuldigung der USA, Nordkorea sei für WannaCry verantwortlich oder Russland und Israel für Stuxnet.Oh ACH SO! Die Russen waren Stuxnet! Na DAS war ja einfach!
"Attribution ist leicht", meint Aperovitch, "jetzt brauchen wir Abschreckung." Schützenhilfe bekam er von der ukrainischen Parlamentsabgeordneten Svitlana Zalishchuk. "Putin hat sich in die ukrainischen Wahlen eingemischt, in die US-amerikanischen und die französische – und hatte er dafür irgendwelche Konsequenzen zu tragen?"Da wächst zusammen, was zusammen gehört! Eine große Bullshit-Familie!
Erstens: Attribuierung von Cyber-Angriffen war schon immer Bullshit. Von Anfang an. Und ich habe es hier auch mehrfach angesagt und erklärt. Wenn Wikileaks jetzt den Anschein erweckt, die CIA oder das FBI habe sich als Russen tarnen können bei Cyberangriffen, dann ist das kein Bullshit sondern absolut richtig. Das war auch schon richtig, bevor sich Wikileaks eingemischt hat. Das hat nichts mit Verwirrungspropaganda zu tun. Im Gegenteil. Die Behauptung, man könne sowas zuordnen, DAS war Propaganda. Sascha, da hast du ins Klo gegriffen, da hättest du vorher mal jemanden fragen sollen, der sich mit sowas auskennt.
Ansonsten stimmt es natürlich, dass hier zwei Fronten gegeneinander kämpfen, die beide keine Sympathieträger sind. Ich sehe das nicht als Nachteil, im Gegenteil. Wenn sich zwei Böse streiten, kann es nur Gewinner geben. Wenn wir als Außenstehende außer Popcornkonsum noch etwas lenken wollen, sollte unser Ziel sein, den Kampf so lange wie möglich zu verlängern. Wenn die die Hände voll haben, können sie weniger böse Dinge gegen uns tun.
Im Übrigen finde ich den Vorwurf gegen Wikileaks mehr als grotesk, die würden ja nur West-Kram aufdecken. Wikileaks ist eine Leak-Plattform. Die leaken, was man ihnen reinreicht. Na klar hat Julian Assange persönlich was zu gewinnen, wenn er sich auf Trumps Seite schlägt, denn Trump kann ihn schlicht begnadigen, dann wäre seine Botschaftsodyssee vorbei. Ich bin etwas irritiert, dass Trump das noch nicht getan hat. Der hat doch sonst keine Zurückhaltung gezeigt, wenn es um die Belohnung von Leuten ging, die ihm geholfen haben.
Aber mal ganz konkret. Glaubt ihr ernsthaft, wenn jemand Wikileaks "Vault 8" aus den russischen Geheimdiensten zukommen lässt, dass die das dann nicht auch raushauen würden? Wenn DAS jemand nachweisen kann, dass sie das dann geheim halten würden, dann können wir reden. Bis dahin ist das kein gültiger Kritikpunkt an Wikileaks. Rein statistisch finde ich völlig klar, dass die USA mit ihren 17 (!) Geheimdiensten da prominent vertreten sein werden. Wer so viel Geld für Geheimdienste ausgibt, bei dem fällt halt auch echt viel leakbares Material an. Ich glaube übrigens auch nicht, dass die Russen da grundsärtzlich perfekte Opsec fahren. Aber da müsste man wahrscheinlich auch logistisch mehr bewegen, für so einen Leak, alles nach Englisch übersetzen und so.
Kurzum: Trump und die CIA kloppen sich? Prima! Wikileaks hat sicher nicht alles richtig gemacht, und besonders Julian und sein Twitter-Account ist kein Ruhmesblatt. Aber dass eine Leak-Organisation Daten leakt, kann man ihr nicht vorwerfen, und wenn sie dann Propaganda publiziert, die inhaltlich und stilistisch ein Abziehbild der staatlichen Propaganda gegen sie selbst ist, das finde ich auch in Ordnung. Das geht als Medienkompetenz durch. Mir persönlich wäre es lieber, wenn sie da neutral blieben, das würde ihre Leaks kraftvoller machen. Aber hey, die übernehmen das Risiko, die definieren die Spielregeln. Ich kann hier viel reden, solange der Tag lang ist. Wenn mir jemand CIA-Daten geben würde, würde ich die bestimmt nicht in mein Blog tun. Ich würde gerne noch ein paar Jahre länger leben.
Update: Was ich ja richtig geil fände: Wenn die Russen ihre Exploits alle aus den selben Quellen kaufen wie die NSA, oder noch besser: Ihre Tools von der NSA geklaut haben. Und der Equation Group Leak tatsächlich gar kein NSA-Hack war sondern ein Russen-Hack :-)
Das ist das Problem mit Cyber-Attribuierung. Das weiß man alles nicht.
Update: Nur dass das hier keiner missversteht. Sascha ist einer von den Guten, und er hat auch mit dem überwiegenden Teil seiner Kolume recht, und wir sind auch immer noch Freunde. Und nur weil Cyber-Attribuierung Bullshit ist, heißt das nicht, dass Wikileaks nicht Teil einer Kampagne von Trump gegen die CIA ist. Weitere Ausführungen dazu.
Die von Wikileaks veröffentlichten Unterlagen des NSA-Untersuchungsausschusses stammen nach Erkenntnissen der Sicherheitsbehörden wohl aus dem russischen Cyber-Angriff auf den Bundestag.Ich hatte hier mal erklärt, wie Cyber-Attribuierung in der Praxis funktioniert.
Und so haben wir aus Bullshit-Attribuierung eine Situation herbeikonstruiert, in der bei uns niemand verantwortlich ist. Die Russen waren's! Damit können alle gut leben!
Sorry, aber das ist Tom&Jerry-Niveau. Sowas kann vielleicht die Muppetshow bringen. Hallo McFly? Jemand zuhause?
Ich möchte an der Stelle nochmal wiederholen, dass ich Malware-Attribuierung für Bullshit halte, und die ganze AV-Industrie für Schlangenölverkäufer. Aber wenn man mal unter der Annahme operiert, dass hier ein Staat eine gezielte Malware in den Bundestag eingeschleust hat, weil die wirklich dringend wissen mussten, was deutsche Abgeordnete denken, dann wäre die Ukraine ein plausibler Kandidat. Plausibler jedenfalls als die Russen, finde ich. Aber es ist und bleibt ein Gerücht, wilde Spekulation. Behandelt es auch so.
Die Linksfraktion ist durch die Veröffentlichung ein Sicherheitsrisiko für den Deutschen Bundestag geworden.Welche Veröffentlichung? Die hier,
Mein Kommentar dazu: Wer bei Malware Attribuierung macht, schießt sich damit selbst aus dem Rennen. Dem kann ich auch sonst nichts mehr glauben. Zumal die Attribuierung hier auf eher tönernen Füßen steht, sie basiert im Wesentlichen auf diesem Report von Fireeye. Fireeye ist ein "IT-Security-Dienstleister", dessen Geschäftsmodell es ist, in großen Organisationen Email-Attachments in einer Sandbox auszuführen, und zu gucken, ob die nach Hause zu telefonieren versuchen. Ich persönlich halte den Ansatz für Schlangenöl. Deren Produkt habe ich noch nicht in der Praxis von Nahem im Einsatz gesehen.
Jedenfalls hat Fireeye ein kommerzielles Interesse daran, auf die bösen Chinesen oder Russen zu zeigen, damit mehr Leute Angst kriegen und Kunde werden. Wenn man sich deren Report durchliest, findet man heraus, dass ihre Attribuierung daher kommt, dass internationale Elite-Hacker, die SO GUT sind, dass sie ÜBERALL REINKOMMEN, beim Erstellen ihrer Software mit einer Microsoft-Entwicklungsumgebung vergessen haben, die Metadaten zu bereinigen. Leute, die gut genug sind, um ihren Code mit sinnlosen Instruktionen aufzublähen, damit die Analyse schwerer wird. Solche Leute vergessen dann die Metadaten. Ja nee, klar. Oh und die Metadaten zeigen, dass da teilweise die russische Version eingesetzt wurde, und dass die Erstellungszeiten im Dateiheader auf reguläre Montag-Freitag 9-5 Arbeitszeiten in der Zeitzone von Moskau hinweisen.
Nein, wirklich! Hey, *hexeditier*, ich hab hier eine fiese Malware, wo jemand als Kommentar "ist von Fireeye" zu entfernen vergessen hat!1!!
Also ich für meinen Teil würde auf diese Zuordnungen nicht viel geben. Dass die Linksfraktion in ihrem Netz Malware sucht und analysieren lässt und die Details veröffentlicht ist ihr gutes Recht. Ja sogar ihre Pflicht, wenn man für Fraktionen die selben Regeln anwendet, die unsere Bundesregierung gerade mit dem IT-Sicherheitsgesetz allen Firmen reindrücken will. Es lässt sehr tief blicken, wenn dieser CDU-Spezialexperte sich dermaßen aus dem Fenster lehnt in der Angelegenheit. Da hat wohl jemand Bürotiefschlaf gepflegt, anstatt sich mal durchzulesen, was die eigene Regierung gerade so beschließt, wie?
Zu meiner großen Überraschung haben sie alle abgesagt. Alle. Jeder einzelne auf der Liste hat abgesagt. Das finde ich medientheoretisch ausgesprochen spannend, denn das weist ja darauf hin, dass die es für grundsätzlich etwas anderes halten, wenn sie in meinem Blog was schlechtes über mich sagen, als wenn sie auf Twitter was schlechtes über mich sagen.
Nicht alle von denen haben mir gesagt, wieso sie nicht wollten. Die, die es gemacht haben, und es mit "ich will mich nicht deinem Gruselmob an Lesern aussetzen" begründet haben, habe ich dann angeboten, unter Pseudonym zu schreiben. Allerdings ist ja auch eine Pseudonymauswahl nicht so einfach, daher haben wir uns am Ende so geeinigt, dass deren Kommentar hier erscheint, aber mit "(Name der Redaktion bekannt)" darunter statt einer Attribuierung.
Unabhängig davon, wie man das jetzt einschätzt, zeigt es aber eine Sache deutlich auf: Ihr, liebe Leser, seid ein gruseliger Mob, der anderen Menschen Angst macht.
Ich bitte darum, dieses Faktum einmal zu reflektieren.
Ich für meinen Teil habe mein Leben lang Wert darauf gelegt, dass ich noch nie jemanden geschlagen habe, noch nie jemanden bedroht, ich habe noch nie jemanden verklagt oder abgemahnt (und glaubt mir, Gelegenheiten dazu hätte es gegeben), und mich inkommodiert das massiv, wenn Leute Angst vor meinem Blog haben, weil sie von mit verlinkt zu werden gleichsetzen mit "da taucht in den Kommentaren ein beißwütiger Mob auf".
Damit ist niemandem geholfen. Lasst das also bitte.
Diejenigen unter euch, die gemeint sind, werden schon wissen, dass sie gemeint sind. Und für die anderen gilt: Weitermachen!