Dieser Beitrag bezieht sich auf einen Artikel von Sascha Lobo, welcher unter:

http://www.spiegel.de/netzwelt/web/0,1518,783458,00.html zu finden ist.

Mit guten Manieren könnte man sicherlich die Welt retten. Das hat allerdings schon vor Jahrhunderten nicht funktioniert und wieso sollte es ausgerechnet jetzt klappen? Weil Sascha Lobo auf seinem Ross daher kommt?

Wir leben im Zeitalter des Kapitalismus. Schon einmal versucht, einem gierigen Banker Manieren beizubringen? Unmöglich! Was da hilft? Strafe, Strafe, Strafe und zur Not Inkasso (Die mit Akzent…)!

Und wieso funktionieren Manieren halbwegs außerhalb vom Netzleben? Für sein schlechtes Benehmen wird man mitunter von der Gesellschaft geächtet. Fast jeder Mensch möchte Bindung zu anderen und sucht nach Anerkennung. Die erreicht man aber eben nicht durch schlechtes Benehmen. Wer Anonymität will und dann Manieren einfordert, lebt anscheinend bei Alice im Wunderland und vergisst dabei wohl einiges.
Im Netz kann jeder Mist verbreiten, jeder kann wen mobben – auch ohne jemals in irgendeiner Art und Weise dafür von der Gesellschaft geächtet zu werden. Aber träumen darf ja mal erlaubt sein.

In den letzten 10 Jahren habe ich einige “Nerds” kennen gelernt. Menschen, die mich nicht näher kennen, würden mich aufgrund meines Berufes als Profi Hacker ebenfalls in diese Schublade packen.

Dabei empfinde ich das Wort “Nerd” als Beleidigung. Für mich stellt es eine Krankheit dar.  Oft treffe ich bei Vorträgen oder Podiumsdiskussionen auf so genannte “Nerds”, die ihre Interessen vertreten wollen. Fachlich sind sie meist Kompetent, jedoch ist ihre Art, ihre Meinung zu kommunizieren, meistens zweifelhaft.

In diese Diskussionsrunden sitzen Manager, die eine nicht so hohe IT Kompetenz aufweisen. “Nerds” setzen viel zu oft voraus, dass Manager die “nerdische Sprache” verstehen. Sie benutzen Fachausdrücke, die sonst niemand versteht. Manche “Nerds” tun dies jedoch auch absichtlich. Sie wollen beweisen, wie kompetent sie sind und drücken sich daher zu hochgestochen aus.  Dabei könnte man ohne Probleme mit Hilfe von Analogien arbeiten um komplizierte Sachverhalte zu vereinfachen und dem Laien zu erklären.

Dabei gilt: Wenn ich jemanden erreichen möchte, muss ich ihm das Gefühl geben, dass ich mit ihm auf einer Augenhöhe diskutiere, dass ich die selbe Sprache spreche. Das ist wichtig, denn andernfalls versteht der Empfänger nichts, sieht mich als Fachidiot und tut mich als Sonderling ab.  Man muss  die richtigen Förmchen mitbringen wenn man in einem fremden Sandkasten spielen will.

Dazu ist es in “Nerd”- Kreisen üblich, Dresscode bashing zu betreiben. In meinen Augen ist das ist arrogant. Mehr nicht.  Nicht jeder, der ein Anzug trägt, ist ein gieriger, machtgeiler Verbrecher. Selbst im Bankenwesen nicht. Das Zauberwort lautet hier: Differenzierte Betrachtung.

Es ist ein Irrglaube, dass man mit Jeans und T-Shirt seine politische Meinung voranbringt. Entscheidungsträger tragen keine Jeans und T-Shirts. Wenn man etwas von einem Establishment will muss man gewisse Regeln befolgen. Es reicht nicht nur, etwas besser zu wissen. Es ist genauso, wenn nicht sogar wichtiger,  dies auch zu präsentieren.

Viele “Nerds” sagen auch gerne: “Die wollen doch etwas von mir, also kann ich kommen wie ich will.” Es ist aber genau umgekehrt. Der “Nerd” will etwas verkaufen. Also hat er sich dem anzupassen, dem er etwas verkaufen möchte.

Die richtige Wahl der Kleidung hat auch etwas mit Respekt gegenüber dem Gesprächspartner zu tun. Besonders im asiatischen und orientalischen Raum gehört es sich, sich korrekt zu kleiden. Es geht nicht um egoistische Selbstverwirklichung (Ich zeig denen wer hier rockt…) sondern um Anstand und Respekt gegenüber einer anderen Kultur.

Also liebe “Nerds”: Lernt “sozialer” zu werden. Die anderen werden euch dafür danken. Man kann nicht immer erwarten, dass andere komplexe Sachverhalte sofort verstehen. Nicht jeder ist ein Computer Experte.  Wie würde sich denn ein “Nerd” vorkommen, wenn ihm ein Arzt alles auf  Latein erklärt?  Sicherlich genau so hilflos wie der Manager, der in einem Vortrag sitzt.

Wenn die Nerds nicht so nerdig Gralhüterei betreiben und ihren Elfenbeinturm so vehement verteidigen würden, würde die Regierung z.B. eher in der Lage sein eine “realistische” Politik bezüglich des Webs zu machen. Aber das wollen sie ja nicht. Sie wollen Gandalf der Graue bleiben und im gegebenen Falle zur Rettung eilen um als Helden gefeiert werden. Sie verstehen aber auch nicht, dass der schnieke Aragorn Liv Tyler fickt, und Gandalf von Luft statt Liebe lebt.

Google Streetview ist in aller Munde und voll im Trend. In ganz Europa? Nein!
Ein einziges Land wehrt sich vehement gegen Google Streetview; Deutschland, das Land, welches Überwachung jahrelang mit Bravour praktizierte.
Die Bürger der Bundesrepublik schreien auf und fühlen sich überwacht, von der Öffentlichkeit verfolgt und in ihrer Privatsphäre angegriffen. Unverständnis, aber auch Medienpropaganda führten dazu, dass die Deutschen beinahe eine „Streetview-Panik“ entwickelten.

Da ich mich aufgrund meiner Arbeit als Hacker und Sicherheitsspezialist zwingend mit der Thematik Datenschutz beschäftigte, bin ich in der Lage qualitativere Hintergrundinformationen zu benennen, als die oberflächlichen Aussagen der Presse, welche bei dem Empfänger ungefiltert meinungsbildend fungieren. In Deutschland haben ca. 244.000 Haushalte Widerspruch gegen Streetview eingelegt. Sie möchten nicht, dass in dem Programm ihr Haus, ihr Garten oder ihr Dach erkenntlich gemacht wird.

Die Gründe sind auf den ersten Blick nachvollziehbar und verständlich. Die besagten Personen fühlen sich primär in ihrer Privatsphäre angegriffen und verletzt. Sekundär gaben sie schlicht Angst vor Überwachung, wie auch vor Überfällen von Einbrechern, als Gründe für einen Widerspruch an. Auf die Frage, ob sie genau wissen, wie und für was genau Streetview funktioniere, verneinten 40% der Personen.

Kann im Falle Google Streetview überhaupt von totaler Überwachung gesprochen werden?
- Nein! Menschen müssen nur verstehen, was Streetview bedeutet und welche Möglichkeiten es bieten kann, anstatt, sich vor lauter Angst, genau diesen zu verschließen.

Die Argumente der Streetview Befürworter, zu denen ich mich selbst auch zähle, sind logisch und nach einer Auseinandersetzung damit auch überzeugend.

1. Google fotografiert zwar Gebäude im öffentlichen Raum und ermöglicht durch Filmaufnahmen einen klaren Überblick von Landschaften und Wohngebieten, jedoch kann man hierbei keinesfalls von professioneller Spionage sprechen. CCTV London beispielsweise, welcher mit Hilfe von in der Innenstadt positionierten Kameras 24 Stunden Aufnahmen ermöglicht, betreibt diese Art von Spionage.
Der CCTV ermöglicht, Personen über Bezirke hinweg zu überwachen um dadurch Bewegungsprofile von ihnen zu erstellen. CCTV besitzt dabei mehrere Softwarelösungen wie zum Beispiel für die Gesichtserkennung einer verdächtigen Person- nicht gerade Privatsphäre und Datenschutz par exellence.

2. Google hingegen verwendet statisches Bildmaterial, keine Filmaufnahmen, welche sich von selbst aktualisieren und kann deshalb derartige Funktionen gar nicht leisten. Spionage mittels Fotoaufnahmen, wie man sie auch aus Kriminalfilmen kennt, funktioniert mit Streetview auch nicht. Es können keinerlei Profile angefertigt werden. Profile von Einzelpersonen können nur erstellt werden, wenn auf den Fotos zu den Personen entsprechende Informationen angezeigt werden (Anschrift, Merkmale, Polizeizeugnis), dies ist weder in Planung noch im Gespräch. Google hat sich zusätzlich dazu verpflichtet, die Gesichter unkenntlich zu machen, so dass Menschen nicht erkannt werden können.

3. Da die Bilder aufgrund von Fotografien und einmaligen Filmaufnahmen zusammengesetzt wurden, ist die Gefahr, dass Enbrecher damit angelockt werden können, recht gering. Natürlich ist erkenntlich, ob ein Haus besonders groß oder prunkvoll ist, jedoch sieht man in keiner Weise Aktualisierungen im Stundentakt, bei dem Einbrecher durchaus sehen könnten, ob jemand zuhause ist oder nicht.

Auch dieses Argument also: ein reines Produkt der Unwissenheit.

Was passiert eigentlich wenn einer der Bewohner der 244.000 Haushalte nach Ibiza in den Urlaub will, würden diese Menschen nicht vorher per Google Streetview das Hotel und die Umgebung “ausspionieren”?

Als ich vor 10-15 Jahren anfing Computer zu hacken hatten wir alle grundsätzlich nur das eine Ziel: Uns mit unseren Gegnern messen. Es war ein Katz- und Mausspiel, es ging dabei zu demonstrieren wer die neuesten Techniken hatte Rechner zu kapern und wer seine Spuren am bestens verwischen kann. Einige der damaligen Hackergruppen taten es aus Spaß und das schlimmste was man sich vorstellen konnte war die Veränderung der Startseite eines Webservers mit Inhalten wie: u are 0wn3d. Das war es dann auch, ein Spielchen, ein kleiner netter Zeitvertreib.

Doch inzwischen sind wir alle erwachsen geworden, ein Teil der damaligen Hackerszene sind Familienväter geworden, gehen anderen Berufen nach oder aber sind der IT Sicherheitsbranche treu geblieben und verkaufen ihr Know-How, wie auch ich an die “Guten”, aber vor allem treiben wir sicherlich keine Spielchen mehr wie  zu unserer Jugendzeit.

Damals ein Spielchen, heute ein echtes Geschäftsmodell. Ging es damals nur darum zu zeigen wer der bessere ist, geht es heute um wahrhafte Spionage und Sabotage, um Datendiebstahl in Millionenhöhe oder Sabotage in sehr großem Stil.

Einige Computerschwachstellen erzielen auf entsprechenden Börsen im Internet hohe sechs stellige Beträge. Nun fragen sich sicherlich einige, wieso? Ganz einfach: Diese 0day Schwachstellen sind nur sehr wenigen Menschen bekannt, bis zu einem Gewissen Zeitpunkt wissen nicht einmal die betroffenen Software Hersteller von den Schwachstellen in ihren eigenen Produkten. Diese Zeit zwischen Besitz eines 0days und Behebung einer dieser Schwachstellen durch den Herstellern, können Tage aber auch mal Jahre vergehen. In dieser Zeit haben Angreifer sozusagen freie Fahrt und kapern Rechner für ihre Zwecke. Diese Rechner werden dann an Spam-Versender “vermietet”, eine art “Software as a Service”, man bezahlt also per “Pay per use” Modus, z.B. kann jemand aus Nigeria sagen: ich möchte 4000 Rechner für 2 Tage kaufen und möchte darüber Spam Emails versenden. Kein Problem, die neuen Dienstleister ermöglichen solche Service Leistungen ohne Probleme für ihre Kunden. Ein blühendes Geschäft.

Ich selber arbeite in einem eher sensiblen Bereich und habe in meiner Laufbahn schon etliche dieser neuartigen Schwachstellen ausfindig gemacht, jedoch verbietet es mir meine Ethik und mein Arbeitsvertrag solche zu verkaufen, die negativen Konsequenzen wären unabsehbar und sicherlich nicht sonderlich hilfreich für meine weitere Laufbahn. Finde ich solche Schwachstellen werden diese den Herstellern gemeldet und entsprechend Druck aufgebaut um diese zu beheben.

Eine erste Analyse soll helfen dieses komplexe Thema verständlich aufzuarbeiten, sodass auch Nicht-Techniker verstehen worin die Gefahr in dieser Thematik besteht.

Ziel von Stuxnet ist es nicht irgendwelche Systeme anzugreifen und diese dann gegebenenfalls zu sabotieren, sondern gezielt nach sehr speziellen Systemen Ausschau zu halten. Und in diesem speziellen Fall reden wir auch von Sabotage und nicht von Spionage, da Sabotage eine offenkundige und bemerkbare Reaktion hervorruft, wobei Spionage versucht verdeckt zu agieren. Hier haben wir eine Art Hybrid, einerseits soll der Angriff unbemerkt bleiben, aber mit dem Ziel Sabotage-Angriffe zu tätigen. Gezielt wurden dabei sogenannte “Internal Control System” angegriffen, welche dann wiederum schadhafte Instruktionen auf “programmable logic controllers” (PLCs) hochladen und im schlimmsten Fall dafür zu sorgen, dass Brennstäbe aus dem Kühlbecken hoch und runter gefahren werden. Diese “Internal Control System”-Einheiten basieren oftmals auf WindowsCC, haben aber auf Grundlage strikter Sicherheitspolicies keinerlei Verbindung ins Internet. Daher wird vermutet, dass der Angriff über einen USB-Stick durchgeführt wurde, den wohl ein Mitarbeiter rangesteckt hat. Der mir vorliegende Stuxnet-Virus macht sich auch einen Mechanismus von USB und ähnlichen Geräten zu Nutze und kommt sofort zur Ausführung, wenn dieser an den Rechner angeschlossen wird.

Um dies alles zu ermöglichen, machten es sich die Angreifer zum Ziel so genannte 0days-Schwachstellen auszunutzen. Diese stellen in der IT-Branche den Heiligen Gral dar, da nur eine kleine Anzahl von Menschen diese Schwachstelle kennt. Dieses kann über Jahre so geschehen, ohne dass ein Hersteller der betroffenen Software etwas davon mitbekommt. Solche 0day-Schwachstellen werden auf internationalen Börsen in Höhe von über 100.000 Euro verkauft, da diese einen enormen “Wettbewerbvorteil” darstellen. Bei dem Angriff wurden viele komplexe Techniken benutzt, um sich zu verbergen und somit ungehindert arbeiten zu können. Einige der ausgenutzten Schwachstellen sind 2 Jahre alt.

Jedoch ist es nicht sehr einfach PLCs zu programmieren, da man sehr viel Insider-Knowhow über den Aufbau solcher Systeme benötigt und diese PLCs nicht ohne weiteres erhältlich sind. Wie schon erwähnt sind solche Systeme nicht ans Internet angeschlossen, daher muss wohl ein Mitarbeiter aus dem Iran oder ein Zulieferer einen verseuchten USB-Stick eingeschleppt haben.

Bevor Stuxnet seine Arbeit aufnimmt, überprüft es im ersten Schritt ob ein 32- oder ein 64-Bit-Computer im Einsatz ist. Sollte es ein 64 Bit System sein, wird die Installation sofort abgebrochen. Daher läuft der Virus auf 32-Bit-Systemen, unter anderem auf:

• Windows 2000
• Windows XP
• Windows 2003
• Windows Server 2008

…

Nach der Installation kontaktiert der Virus zwei Systeme über Port 80, mypremierfutbol.com und todaysfutbol.com. Diese liegen in Dänemark und Malaysia und dienen dazu den Virus aus der Ferne zu steuern und ggf. upzudaten, aber dies konnte noch nicht beobachtet werden. Lustigerweise überprüft der Virus, ob überhaupt eine Netzwerk-Konnektivität vorhanden ist und kontaktiert www.windowsupdate.com und www.msn.com

Mehr dazu im nächsten Artikel, da ich derzeit dabei bin, den Virus zu analysieren.

Der Bündnisfall innerhalb der NATO wurde bekanntlich zum ersten Mal 2001 ausgerufen und dieser Einsatz dauert bis heute an. Nun wurde bekannt, laut Papieren die der Süddeutschen Zeitung vorliegen, dass neben der schon heute bekannten Ebenen – Luft, Wasser, Land und Weltall – nun auch der Cyberspace in den NATO-Vertrag aufgenommen werden soll. Der entsprechende Artikel 5 beschreibt daher folgendes:

Die Parteien vereinbaren, dass ein bewaffneter Angriff gegen eine oder mehrere von ihnen in Europa oder Nordamerika als ein Angriff gegen sie alle angesehen wird; sie vereinbaren daher, dass im Falle eines solchen bewaffneten Angriffs jede von ihnen in Ausübung des in Artikel 51 der Satzung der Vereinten Nationen anerkannten Rechts der individuellen oder kollektiven Selbstverteidigung der Partei oder den Parteien, die angegriffen werden, Beistand leistet, indem jede von ihnen unverzüglich für sich und im Zusammenwirken mit den anderen Parteien die Maßnahmen, einschließlich der Anwendung von Waffengewalt, trifft, die sie für erforderlich erachtet, um die Sicherheit des nordatlantischen Gebiets wiederherzustellen und zu erhalten.

Von jedem bewaffneten Angriff und allen daraufhin getroffenen Gegen-Maßnahmen ist unverzüglich dem Sicherheitsrat Mitteilung zu machen. Die Maßnahmen sind einzustellen, sobald der Sicherheitsrat diejenigen Schritte unternommen hat, die notwendig sind, um den internationalen Frieden und die internationale Sicherheit wiederherzustellen und zu erhalten.

Ein Angriff der mittels konventioneller Methoden durchgeführt wird, lässt sich relativ leicht zurückverfolgen und kann bei einem entsprechenden Gegenschlag durchaus als berechtigt angesehen werden. Dies ist innerhalb des Cyberspaces jedoch nicht möglich. Das Internet kennt keinerlei Ländergrenzen und ist somit durchaus als “staatenlos” zu bezeichnen. So kann es dazu kommen, dass Angreifer aus China Computer-Systeme aus dem Iran übernehmen und die USA angreifen. Die USA sehen dies im schlimmsten Fall als einen Angriff aus dem Iran an, was technisch zwar richtig wäre, jedoch inhaltlich nicht ganz stimmen kann, da wie schon erwähnt das Internet staatliche Grenzen nicht kennt. Die USA könnten dann den Bündnisfall ausrufen und es könnte wohl schlimme Folgen für die gesamte Welt haben.
Dabei gilt überhaupt zu klären: Was ist ein Angriff und ab wann wird ein Angriff als so schlimm bewertet, dass er den Fortbestand eines Staates gefährdet? Erst dann dürfte der Bündnisfall ausgerufen werden. Sollte lediglich versucht werden, ein x-beliebiges Unternehmen zu hacken, ist dies wohl nicht systemrelevant. Diese Art von Angriffen auf Unternehmen aber auch auf Staaten passiert heute schon.

Bleibt noch zu bemerken: Alle Parteien eines digitalen Konflikts haben dieselben Werkzeuge zur Verfügung, jedoch entscheidet das KnowHow welche Waffen daraus geschmiedet werden.

Cyberwar wird von vielen Fachleuten, hier von Richard A. Clarke aus seinem Buch “Cyber War” welches 2010 erschienen ist, wie folgt definiert: actions by a nation-state to penetrate another nation’s computers or networks for the purposes of causing damage or disruption.

Stellt sich in diesem besonderen Fall, bei einem angeblichen Angriff auf iranische Atomkraftanlagen, die Frage, ob dieser Angriff überhaupt von einer fremden und verfeindeten Nation durchgeführt wurde. Aber vor allem stellt sich die Frage, ob es sich um einen “network”-Angriff, sprich einem Angriff über das uns bekannte Internet handelt. Von einem Angriff über das Internet kann in keinster Weise gesprochen werden, da nach Expertenmeinung der Angriff über einen infizierten USB-Stick durchgeführt wurde und somit kein klassischer Angriff über das Internet statt gefunden hat.

Die erste Frage, ob der Angriff von einer befeindeten Nation durchgeführt worden ist, kann nicht derzeit nicht vollständig beantwortet werden. Fakt ist allerdings: Es müssen massive Ressourcen aufgefahren werden, um einen solch komplexen Angriff durchzuführen. Da auch kein Business Case erkennbar ist, kann davon ausgegangen werden, dass keine kriminellen Vereinigungen dahinter stecken, es sei denn, staatliche Institutionen haben eben jene beauftragt. Aber ein wesentlicher Aspekt kommt hinzu: Es ist Insider Knowhow notwendig. Das bedeutet in diesem Fall: Siemens Insider, da die Anlage von Siemens stammt und von atomstroyexport aus Russland betrieben wird. De facto ist es leider normal das AKWs einen anderen Sicherheitsstandard aufweisen als solch ein Betreiber oder Zulieferer. Die These, dass Siemens dahinter steckt wird von Graham Clule von der Firma Sophos behauptet ( http://edition.presstv.ir/detail/144770.html )

Mehr zu diesem spannenden Thema kommt demnächst.