Bundestags-Hack

Berlin. Erneut zeigen sich die Defizite im DISPOSITIVEN der Gesellschaft: Blender bringens eben nicht (und Hacker anzustellen auch nicht).
Bei diesem Beitrag handelt es sich um ein Blog aus der Freitag-Community

Vielleicht checkt die Legislative wenigstens jetzt, was Komponentenprüfung &- zertifizierung mit Marktüberwachung, Ring-NULL-Kontrolle und Traffic-Analyse für die Sicherheit so bedeuten, statt OpenSource-Gerede, private Verschlüsselung und andere "Zieht-eure-Zäune-hoch!"-Parolen der it-politischen Kleingärtner von den Piraten, CCClern usw. zu übernehmen.

----------------------------------------------------
update 12.06.2015 21:55 Uhr

@HEINZ & @all:

Ja tut mir leid, das war in der Kürze leider nicht anders zu machen, - unter den Büschen, auf die ich klopfen wollte, ragt für mich eben die Legislative besonders heraus.

Das schließt aber nicht aus, daß auch die Verw. des BT und das BSI sowie weitere Player einer differenzierten Betrachtung zu unterziehen wären. Dies besonders, wenn dazu weitere Infos vorlägen, wonach sich Dein Kommentar für mich leicht anhört.

Und sicher müssen wir da bei ganz einfachen Fragen anfangen:

Waren/sind Netzknoten, z. B. Benutzer-PCs, offen für aktive Datenträger wie z. B. USB-Sticks und sind die Autostart-Funktionen der Betriebssysteme für passive Datenträger (falls überhaupt Geräte dafür noch eingebaut sind) sicher abgeschaltet?
Haben Mobiles/Notebooks Zugang zur internen Interaktion, die auch außerhalb, im Ausland, in Hotels u. a. Stellen ins Internet gehen?
Es gibt kaum eine bessere "man-in-the-middle"-Position als der (W)LAN-Service eines Hotels, der die Kundschaft nach draußen verbindet ...
Wie oft werden solche Mobiles eben nicht in der Sklavenmanier der Unternehmensberater "wie ein eigenes Körperteil" am Leib getragen (vergl. die etwas 'klemmige' appearance von A. Jain, wenn er nicht gerade für etwas länger Platz genommen hat) , sondern unbeaufsichtigt in Zimmern gelassen usw., haben aber danach üblichen, d. h. fungiblen Zugang zum BT-Netz/-System, ohne z. B. heftige, zeitauwendige Prüfungen abwarten zu müssen usw.

Da ergeben sich bis in die technischen Details, (z. B. BSI-gestützter(?) Ring-Null-Kontrolle der Prozessoren) halt so 1000 bis 2000 Fragen, deren Beantwortung von ein paar Sätzen bis zu ca. 10 Seiten reichen kann, macht overall etwa 5- 10.000 Seiten, - WO SIND DIE?

Und da sind noch gar nicht die Fragen nach den ÜBERGREIFENDEN BSI-Funktionen, wie Komponentenprüfung u. - zertifizierung drin, - die vermutlich auch der BT-Verwaltung faktisch sehr fehlen dürften.
Die ca. 12 aktuellen Zertifizierungen (+ Archiv) des BSI werden's wohl nicht ganz reissen ...
Taucht man mal in einen Prüfbericht ab und dröselt den Ariadne-Faden bis zu den einschlägigen Normen auf, landet man über der Suche nach den Unterlagen zu DIN/ISO/IEC 15408-1 (bis 3) hier:

http://standards.iso.org/ittf/PubliclyAvailableStandards

Ein PDF-Friedhof, der offenbar nicht mal von google indiziert wird.
Und was da im Einzelnen zu sehen ist, stimmt auch nicht gerade zuversichtlich. Vom Problem der nichtöffentlichen Standards mal ganz abgesehen.

So sind bestimmte IBM/Dell-Linux(RedHat-Suse = Sponsor)-Kombis BSI-zertifiziert unter expizitem Verzicht auf "high level"-Penetrationsversuche (und einer Menge anderer, m. E. notwendiger Tests OHNE Erwähnung), weil die high-level-Ebene ja schon per "community" und "OpenSource" hinreichend abgedeckt sei. Da macht der "evaluator" lieber ein paar low-level-tests über die er aber auch wenig konkretes verlauten läßt, und wendet sich eher der Kontrolle der Source-Codes zu, - das müssten ca. 1-2 Mio. Codezeilen sein -, wobei er offenbar nicht überprüft, ob die gelieferten Binaries überhaupt zu 100% aus diesem Code stammen bzw. ob die Compiler- u. Linker-Binaries, die die Linux-Sourcen evtl erst vor Ort zu einer Installation übersetzen und binden, überhaupt sauber sind usw. usw.
(-> https://www.bsi.bund.de/SharedDocs/Zertifikate/CC/Betriebssysteme/0848.html)

Kernelmäßig erfahren wir, daß Hardwareanforderungen vom Kern direkt an die Hardware weitergegeben, und nicht nochmals über Ring-2 o. ä. geschickt werden. Das ist sicher gut und richtig, - aber DAS war's dann hinsichtlich Kernel-/Ring-Null-Kontrolle?!!! (Sowas ist notfalls auch ohne sich den privilegierten Zugang verschafft zu haben, "evaluierbar".)

Man sieht: BSI & die Legislative glauben, mit solch partikularen Auslagerungen irgendetwas erreichen zu können, ohne diese Kapazitäten in ein übergreifendes Konzept sich ergänzender und redundanter Sicherheiten, wozu auch Gesetze und die Kontrolle ihrer Einhaltung für ISP u. ä. gehören, einstellen zu müssen.

Das würde für Exemplare aller relevanten Systeme so um die 10-20 Mrden Euro kosten, - vergl. die Entwicklungskosten (commercial) bzw. E.-Aufwendungen (open-/free-/community-stuff) für CPUs u. a. Chips & Komponenten bis hin zu den Treibern, Betriebssystemen und den Anwendungen.

Für ein (Sch)Land wie dieses, daß sich 6-8 Mrden für einen inoperablen(?), zumindest nicht einsatzfähigen Flughafen, 2,1 Mrden (Plan, faktisch sicher mehr) für einen Bahnhof usw. leistet, wäre das angesichts der kommerziellen u. politischen Chancen, die damit verbunden wären, eine echte Zukunftsschance.

Für das BT-Netz gilt ziemlich sicher, daß es sich nicht nur um einen einzigen Schädling, sondern um eine Vielzahl solcher handelt, wie das für XP-Rechner ja bekannt ist, sonst hätte man da analytisch schon mehr Durchblick gewonnen.
Bis auf weiteres mißtraue ich da solchen Meldungen, man hätte "den Ursprung" in zwei Mails o. ä. gefunden.
Wäre das so, bliebe es unerklärt, wieso man dann den Scheiß nicht eradizieren konnte und kann.
Da wäre eben zunächst zu fragen, ob man wirklich Ring-Null-Kontrolle (o. ä., siehe http://de.wikipedia.org/wiki/Ring_%28CPU%29 ) bzw. eine klare SOLLvorstellung davon hat, was/wer sich wie dort tummeln sollte, die man mit dem IST-Zustand vergleichen könnte.
XP-Rechner, - die angeblich ja die userseitige Systemsoft- ware ganz überwiegend dort darstellen -, sind aber nicht nur besonders anfällig für multiple Verpilzungen, sondern zugleich eben auch besonders gut vor sowas zu schützen, weil
a) das äußerst niedrige Niveau der inhärenten Standard-Immunisierung Raum für SPEZIFISCHE Immun.-Maßnah- men läßt, die eben den Schadstoffproduzenten so NICHT bekannt sind, so daß sie sich nicht vorab dagegen wappnen können, und weil

b) für/bei XP u. einige/n andere/ Win-Systeme/n ausgezeichnete Developer-Tools und geeignete, stringente Architekturen und Sourcen der System-Bibliotheken vorliegen/vorlagen,

WENN man den Programmier-Aufwand und die MS-Tool-Kosten (ca. 1000 bis 12.000 Euro je Single-Use-Lizenz je nach Austattung, mindestens aber mit HW-Treiber Option!) dafür nicht scheut. (Zumindest früher konnte sich das gegenüber Linux-Einsatz u. ä. lohnen bzw. sogar zwingend sein, insoweit für MS-Systeme eine 10 bis 100-fach größere Hard-, Soft-Ware- u. Personal-Palette verfügbar ist/war, bzw. zwingend einzusetzende Anwendungen nur für Win verfügbar waren/sind).

Neben den bisher angesprochenen, möglichen besonderen Hindernissen einer Eradizierung der Schädlinge kommen auch diverse flüchtige (von Hardware) u. nichtflüchtige (von Software auf Datenträgern), aber oftmals schwer erreichbare/'unbekannte' (flüchtige), mal bewußt versteckte (z. B. IBM-Datenträger für Systemsoftware) Nebenspeicher als Residuen Frage, von denen aus sich Schädlinge wie aus einer Larve immer wieder neu entfalten können.
Gerade die meisten IBM-Geräte z. B. mussten (müssen?), um ALLE flüchtigen Speicher wirklich zu löschen/zu invalidieren, tatsächlich den Stecker gezogen bekommen, um tabula-rasa zu erreichen, - einfaches Ausschalten reicht da nicht! (-> Fehler-Speicher nach keyboard-error z. B.)
In Verbindung mit Blendern nützt da eben GAR NICHTS: Bei Bedarf kann ich da Beispiele, wie sie tagtäglich in der Arbeit mit/für Unternehmensberatungen wie Accenture, McKinsey, aber auch den Piraten oder bei Großkonzerenen usw. mehrfach anfällt, nochmal schildern. Da fluppen 20-30.000 Euro mal eben in 24 h durch den Kamin, weil die Blendungen die Annahme der Erfahrung oder des neuesten Know-Hows anderer schlicht verhindern.

Noch ein Wort zur Traffic-Kontrolle:
Damit ist KEINE inhaltliche Deep-Inspection, sondern der Abgleich diverser quantitativer Parameter gemeint, der zu 99 % irreguläre Spionage-Aktionen aufdeckt: Schon der erste große, bekanntgewordene(!) Fall einer NATO-Netz-Intrusion, zu Beginn der 80ger Jahre o. so, wurde vom Admin entdeckt, weil 16 Gebühren-Cent (vom Dollar) niemandem zuzuordnen waren ...
Zwar spielen Passwörter, keys u. ä. natürlich mengenmäßig keine Rolle, aber wer spionieren will, MUSS eben irgendwann MENGEN nach draussen schleusen und dabei zwingend über (Netze- oder Datenträger-) Schnittstellen gehen. Da setzt Traffic-Kontrolle zunächst an, und macht die Schnittstelle z. B. erstmal zu, wenn schemafremde Mengen fliessen sollen. (Schützt natürlich nicht vor interner Sabotage: statt zu spionieren, schreibt man nur ein kleines bißchen Müll in Software oder Daten z. B. eines M400-Transporters ...)
Hinreichende enge, aber dennoch alltäglich fungible Schemata (und einiges mehr!) lassen sich mit den modernen Applogs, wie sie schon unter NT bzw. XP mitgeliefert wurden, gut gewinnen ...

http://www.tagesschau.de/inland/bundestag-it-101.html
https://www.freitag.de/autoren/the-guardian/paradies-fuer-hacker

23:52 10.06.2015
Dieser Beitrag gibt die Meinung des Autors wieder, nicht notwendigerweise die der Redaktion des Freitag.
Geschrieben von

dos

blender-studies since early 70ies. Im Zweifel links von der Sozialdemokratie.
Avatar

Kommentare 4

Avatar
Ehemaliger Nutzer | Community