News Sicherheitsexperten warnen vor Wettrüsten im „Cyberwar“

[r00ter]

um zu verdeutlichen was ich oben schrieb, passt die frische news von heise ganz gut:

Mit einem frei zugänglichen Tool lassen sich die Klartext-Passwörter von Siemens-Industriesteuerungen herausfinden.

quelle heise.de 24.01.2013 13:03: http://www.heise.de/security/meldung/ICS-CERT-warnt-vor-SCADA-Passwortknacker-1790583.html

bei so anfälligen strukturen brauchen wir uns über nichts wundern.

 

[Cool Master]

Klar wenn es auf lange sicht (für mich min. 15 Jahre) günstiger ist als selber Entwicklen ganz klar --> kaufen. Aber das ist es halt idR nicht vorallem ist etwas elbst programmiertes immer besser da man genau sagen kann die und die Person haben dran gearbeitet und wissen wie der Code aufgebaut ist.

Edit:

Ironie

https://www.computerbase.de/2013-01/laut-bundesanwaltschaft-keine-grundlage-fuer-quellen-tkue/

 

[Kasmopaya]

könnte oder wollte man, die systeme patchen, wäre es im verhältnis auch nicht so derart einfach diese systeme anzugreifen.

So einfach ist das nicht, bei den digitalen Atombomben also zb. Stuxnet werden 0Day Exploits benutzt, dagegen gibt es keinen Schutz, da die Sicherheitslücke noch nicht mal bekannt ist die benutzt wird. Darum sind die Dinger auch so besonders und teuer, gewöhnlich ist an solchen Digitalen Bomben gar nix. Egal was für eine Hardware drin steckt, egal welche Software, das Ding kommt 100%ig durch. Voraussetzung ist Jahrelange Vorbereitung...

 

[r00ter]

@Kasmopaya

überleg doch mal wo sich stux eingenistet hat, das waren zentrifugen und die steuer-sw war von simens, welche eben nicht patchbar war, wegen zertifizirungszwang. so wurde da auch nicht nach lücken gesucht, von seiten des anbieters o. des betreibers. dies führt dazu, das eine lücke nicht umbedingt schwer zu finden sein muss. einen 0day in einem regelmäßig gepatchten system zu finden und ihn dann auch zeitnah ausnutzen zu können, ist weitaus schwieriger, als einen in einem veralteten system zu finden und dort auszunutzen. der aufwand steht in keinem verhältnis.

nimmt man zb. google chrome und stellt ihm k-meleon gegenüber, so haben beide sicher unentdeckte lücken, wobei die ausnutzung und findung bei k wesentlich einfacher ist, da er uralt ist und kaum gepflegt wird. bei chrome ist der aufwand erheblich höher.

also, es war natürlich eine "nicht bekannte lücke" aber willst du im ernst sagen, das das nicht patchen und überarbeiten der systeme sinnvoll ist, weil man gegen 0days eh nix machen kann?

 

[GrooveXT]

Ach Cyberwar. Das geht doch ganz einfach, schnell nochmal den Gesetzesentwurf gegen Kinderpornographie rausgekrammt...Moment...Ah da ist er ja....ein bisschen abstauben... so da haben wir es ja: Im Fall eines Angriffs biegen wir einfach die DNS Server um. Dann sind die Viren total verwirrt weil sie nicht mehr nachhause telefonieren können und unser Problem löst sich von ganz alleine. Tada.

So oder so ähnlich stelle ich mir die deutsche Lösung für dieses Problem vor.

 

[Yinj]

Cyberwar . Für mich ist das eher ein 'Kalter Cyberwar'. Aufrüsten was geht und auf das schlimmste gefasst sein. Aber Flächendeckende Angriffe, Ausfälle von wichtigen Systemen und Infrastruktur. Davon hab ich noch nichts gelesen.

 

[GrooveXT]

Jetzt aber mal ehrlich ich arbeite selber in einem Unternehmen das für Energieversorger kritische Software erstellt. Natürlich gibt es Sicherheitsanforderungen und Zertifizierungen. Aber es gibt auch einen Kosten- und Termindruck und wenn es halt ein paar Tage länger dauert einen Vorgang mit verschlüsselten User-Credential umzusetzen, da wird halt im Klartext verschickt. Und die Pfeifen von externen Firmen die hier vorbei kommen und die Software gegen "Angriffe" testen haben ihr Wissen teils auch nur aus Wikipedia.
Das Problem ist auch das viel Opensource genutzt wird. Auf der einen Seite fixt da eine riesen Community an Bugs, andersrum kann aber auch jeder öffentlich die Schwachstellen von den eingesetzen Modulen sehen.
Drei Bedingungen braucht man für sichere Software: Zeit, Geld und vor allem Know-How. Aber der richtig gute Hacker sitzt nicht bei den Security Spezialisten sondern bei der CIA im Geheimlabor oder in Russland und knackt in der Freizeit iPhones und Playstations. Und genau da liegt das Problem, solche Leute müssen her, die Spaß dran haben Lücken zu finden und vor allem müssen sie zugänglich sein. Alles andere kannste knicken.

Dazu kommt dann noch die eigentlichte IT-Infrastrukur. Ich habe mittlerweile viele Admins von unseren Kunden kennengelernt, die sperren sich eher selber aus ihrem Netzwerk aus, als das sie einer echten "Cyberattacke" was entgegenzusetzen hätten! Auch kommen dann teils die Anforderungen von Kunden alles im Klartext zu verschicken, damit sie in den Datenstrom gucken können - könnte ja sein das wir bösen Programmierer eine Backdoor eingebaut haben. Wenn dann mal wieder so nen Epic Fail von Administrator die Proxy Ports nicht sperrt oder aus "Versehen" eine falsche Route einträgt, dann ist der klartext Service auf einmal im Internet...

 

[SheepShaver]

Ein sehr gutes Beispiel sind studierte die nicht in der Lage sind einfaches % rechnen in Excel zu machen...

Würde mir jetzt im Stehgreif auch niemand im Bekanntenkreis einfallen, der das sofort könnte (alles Akademiker mit technischem Hintergrund). Warum auch? Kann man innerhalb von einer Minute im Internet nachschlagen wenn man es denn mal braucht.

 

[Testfall]

Er kann offenbar eine einfache Prozentrechnung lösen, hat dafür aber Schwierigkeiten mit der Sprache. Merkst'e was, jeder kann irgendwas.

 

[deus x machina]

O_o Ganz ehrlich, Akademiker mit technischem Hintergrund die keine Prozentrechnung in Exel hinkriegen... das is schon "etwas" armselig. Das sollte jeder hinkriegen ohne zu googlen, das wird heutzutage an jeder Hauptschule unterrichtet.

 

[tarrabas]

schallend lacht.

der verfassungsbrecher hans friedrich uhl, der einen bundestrojaner verfassungswidrig einsetzt warnt vor etwas?

ein verbrecher warnt davor, wie man im cyberwar überleben könnte?

bin ich der einzige, der so eine äusserung skeptisch sieht?

greez

 

[Cool Master]

@Testfall

Ja ich habe Probleme mit Deutsch hatte ich schon immer und werde ich auch immer haben passiert halt wenn man als Deutscher in den USA aufwächst und nur 2 Stunden Deutsch pro Woche hat dafür ist mein Englisch perfekt...

Wie deus x machina schon sagte sollte man in der Lage sein Prozent rechnen in Excel hinzubekommen - vorallem als Akademiker und wenn man die Software tag täglich nutzt.

 

[SheepShaver]

O_o Ganz ehrlich, Akademiker mit technischem Hintergrund die keine Prozentrechnung in Exel hinkriegen... das is schon "etwas" armselig. Das sollte jeder hinkriegen ohne zu googlen, das wird heutzutage an jeder Hauptschule unterrichtet.

In der Hauptschule vielleicht, an der Uni ist das ganz bestimmt nicht Teil des Lernstoffs. Dazu ist das ein bisschen zu trivial.

 

[Kasmopaya]

also, es war natürlich eine "nicht bekannte lücke" aber willst du im ernst sagen, das das nicht patchen und überarbeiten der systeme sinnvoll ist, weil man gegen 0days eh nix machen kann?

Es ist sinnvoll gegen 0815 Hacker von Nebenan also von der Konkurrenz oder der gleichen. Aber gegen digitale Atombomben(kosten Milliarden) kannst du patchen und machen und Auto updaten was du willst, das Ding kommt immer durch.

Mal ein Beispiel, du bist gut und findest vorher 2 x 0 Day Expoits und schließt sie erfolgreich und fühlst dich nun sicher. Von wegen, die digitalen Atombomben haben Backups, da sind hald dann noch 3 weitere 0 Day Exploits vorhanden und eine davon kommt letztendlich immer durch. Ergo egal was du machst, gegen so viel Geld und Know How wie da aufgefahren wird bist du machtlos.

Daher mein Vergleich, wie bei echten Atombomben, versuch mal eine Geschwader Atombomben die von Russland aus starten rechtzeitig abzufangen. Stichwort Abwehrschirm den sich nur die USA leisten kann.

 

[Nizakh]

@Smockil
Aber ein Umgang mit Waffen und Taktik ist leichter zu erlernen als fähige Programmierer.

Naja... Ego-Shooter ungleich Realität.

 

[Cool Master]

@AMD!NOW!

Wie gesagt ich habe 5 Jahre in den USA gewohnt inkl. einer 22er Smith & Wesson, 22er Kleinkaliber Gewehr, 357er S&W, 270er Gewehr, 7mm Magnum Gewehr, AR-15 und AK 47.

Also... Jedes Kind kann eine AK 47 benutzen aber nicht jedes Kind kann Programmieren...

 

[Creeed]

Abdrücken kann jeder Jojo, das Problem ist das treffen und dass sich die Leute mit der Kanone nicht selbst verletzen, geschweige denn Unbeteiligte. Wir hatten beim Bund bei jedem Mal ziehen 2-5 solche Vollpfeifen dabei die meinten cool mit der Pistole schießen zu müssen wie sie es in amerikanischen Filmen gesehen haben. Ende vom Lied, sie landeten alle beim Sani weil sie sich den linken Daumen durch den Schlitten aufgeschnitten hatten. Dazu kam jedes Mal mindestens einer der sich die Schulter verletzt hat weil er das G3 nicht richtig angelegt hat. Den Vogel hat einer abgeschossen als er meinte eine Gewehrgranate gezielt abschießen zu müssen. Also Kolben an der Schulter und zielen über den Diopter. Der wurde mit einer gebrochenen Schulter beim San abgeliefert. Von Handgranatenwerfen, Panzerfaust, MG und Handflam wollen wir erst gar nicht reden. Da hat es das ein oder andere Fahrzeug/Nutztier/Gebäude gekostet.

Taktisches Schießen lernt man nicht in Counter Strike. Einsatztaktik schon gar nicht. Ich war S3 und S6 im Stab. Da gehört einiges an Schulung dazu. Da reicht kein Sim City oder Starcraft.

 

[Cool Master]

Ja, es gehört viel Übung dazu aber am ende ist es immer noch Kimme und Korn bzw. bei modernen Systemen nur noch der "Red-Dot" im Visier und abdrücken.

Aber egal, lassen wir das Diskutieren hat eh nichts mit dem Thema zu tun