Verantwortung von Hackern und Behörden (WannaCry)

rat

0
Der Krypto-Trojaner WannaCry wird nicht der letzte sein. Aber es ist beschämend, dass Anwender und die Software-Anbieter daraus nicht lernen – und auch die Geheimdienste tragen Verantwortung, meint Michael Link

Kommentar zu WannaCry: Staatliche Dienste mussen Erkenntnisse teilen |
heise Security


Also hier habe ich etwas zu sagen was ich für sehr wichtig halte,Die Schadware WannaCry hat nicht nur das Bahnsystem lahmgelegt sondern auch die Computer von Krankenhäusern.Und hier sehe ich eine erhebliche verantwortung von allen,den Hackern,die Behörden und auch die Firmen,Ärzte und deren Angestellte müssen immer zugrieff auf die Pazientendaten haben,was ist wenn ein Erlärgiker die falsche Spritze bekommt,sowas kann lebensbedrohlich werden.

Ich sehe hier eine eindeutige Gefährdung von Menschenleben und da haben alle dran Schuld meiner ansicht nach,die NSA,Behörden und auch Microsoft so wie die Hacker die die Daten der NSA zugänglich gemacht haben aber auch die jenigen die diese Aktuel für ihre zwecke missbrauchen.

Krankenhäuser dürften niemals ein Ziel sein und eine gewisse Ethik sollte immer bewahrt werden und ich erinnere mich an so alte Hacker Filme in dennen man Hacken mit Kong-Fu verglichen hat oder mit der ehre der Samurai und das hier so fahrlässig gehandelt wird geht über alles hinaus.Das ist so als wen man ein Auto Hackt,was ist wenn ein Unfall dadurch passiert und ein Mensch ums leben kommt,solche dinge dürfen einfach kein Ziel sein.

Krankenhäuser,Autos,Flugzeuge usw müssen gewahrt werden und solten die höchste Sicherheitsstufe haben meiner Meinung nach.
 
Wir _wissen_ das Software unvollkommen ist und setzen sie trotzdem in kritischen Umgebungen ein.
Wir _wissen_ aber auch das Umweltvergiftung problematisch ist und machen es trotzdem.

Ist ja wohl nix neues. Irgendwann hat sich in der IT das Management eingeschlichen, besetzt von Leuten, die keine Ahnung haben und aufgrund ökonomischer Aspekte über IT Infrastruktur entscheiden.
Mittlerweile ist das so festgefahren, dass man eben den Windows Mist braucht, will man im Business bleiben.

Wir haben jedenfalls alle keinen Grund uns zu beklagen, da wir alle auch Teil des Problems sind.

Sieh es positiv und schau halt womit du dabei Geld verdienen kannst ;)
 
Die Schadware WannaCry hat nicht nur das Bahnsystem lahmgelegt sondern auch die Computer von Krankenhäusern.Und hier sehe ich eine erhebliche verantwortung von allen,den Hackern,die Behörden und auch die Firmen,Ärzte und deren Angestellte müssen immer zugrieff auf die Pazientendaten haben,was ist wenn ein Erlärgiker die falsche Spritze bekommt,sowas kann lebensbedrohlich werden.

Ich sehe hier eine eindeutige Gefährdung von Menschenleben und da haben alle dran Schuld meiner ansicht nach,die NSA,Behörden und auch Microsoft so wie die Hacker die die Daten der NSA zugänglich gemacht haben aber auch die jenigen die diese Aktuel für ihre zwecke missbrauchen.

Krankenhäuser dürften niemals ein Ziel sein und eine gewisse Ethik sollte immer bewahrt werden und ich erinnere mich an so alte Hacker Filme in dennen man Hacken mit Kong-Fu verglichen hat oder mit der ehre der Samurai und das hier so fahrlässig gehandelt wird geht über alles hinaus.Das ist so als wen man ein Auto Hackt,was ist wenn ein Unfall dadurch passiert und ein Mensch ums leben kommt,solche dinge dürfen einfach kein Ziel sein.

Krankenhäuser,Autos,Flugzeuge usw müssen gewahrt werden und solten die höchste Sicherheitsstufe haben meiner Meinung nach.
WannaCry hat sich wild verbreitet, und einfach IPs gescannt und die die den SMB Port offen hatten befallen.
Das kann man den Jungs nicht übel nehmen,
Außerdem ist das mit den Spritzen kompletter Bullshit. Welche Medikamente ein Patient braucht, steht nicht in der digitalen Akte, und selbst wenn, Krankenschwestern sind allesamt ausgebildet, dass sie wissen dass der Patient der Bauchweh hatte jetzt kein Zyankali bekommen soll.

Komm mal von dem Hollywood Film runter, Hacker können zwar viel erriechen, aber soviel jetzt auch nicht.
 
ich sehe das ähnlich wie nearfildcommunication, möchte aber hinzufügen dass hacken und cracken für die politik machtorientier länder zu einer waffe geworden ist, die sie benutzen können ohne dass es beweisbar ist dass es ein kriegerischer akt war und welches land dahinter steckt.
man kann sich quasi vorteile und den feinden nachteile verschaffen, ohne ernsthafte konsequenzen zu befürchten und viel geld in teure waffen/forschung usw. investieren zu müssen.
das macht sogenannte "cyberwaffen" so gefährlich vielleicht sogar noch gefährlicher als nuklearwaffen, da von diesen ein gleichgewicht des schreckens ausgehen kann und diese daher (hoffentlich) nie wieder benutzt werden.
es würde mich nicht wundern wenn so manche als kriminelle machenschaft getarnte "cyberattacke" in wahrheit von politikern oder militärs beschlossen worden ist.

und machen wir uns nichts vor: "freie länder" wie die usa bombardieren regelmäßig krankenhäuser, kindergärten usw. mit tonnenschweren hochmodernen raketen, warum sollten sie bei cyberwaffen, bei denen sie ihre urheberschaft sehr leicht verschleiern können, rücksichtsvoller sein?
ich denke eher das gegenteil ist der fall.

der einfluss von hackern und crackern sinkt meiner ansicht nach zunehmend durch die ganzen "cyberkriegseinheiten" und die verlagerung der organisierten kriminalität in den "cyberspace".
eine der wenigen effektiven mittel die "humanitären" hackern noch bleibt, ist es 0days ausschließlich an den herrsteller zu verkaufen oder gleich ganz kostenlos frei verfügbar zu machen.
denn zero day exploits die in die hände von staaten oder kriminellen geraten werden von diesen auch garantiert zum nachteil von uns allen (im endeffekt) eingesetzt.
 
Zuletzt bearbeitet:
ich sehe das ähnlich wie nearfildcommunication, möchte aber hinzufügen dass hacken und cracken für die politik machtorientier länder zu einer waffe geworden ist, die sie benutzen können ohne dass es beweisbar ist dass es ein kriegerischer akt war und welches land dahinter steckt.
man kann sich quasi vorteile und den feinden nachteile verschaffen, ohne ernsthafte konsequenzen zu befürchten und viel geld in teure waffen/forschung usw. investieren zu müssen.
das macht sogenannte "cyberwaffen" so gefährlich vielleicht sogar noch gefährlicher als nuklearwaffen, da von diesen ein gleichgewicht des schreckens ausgehen kann und diese daher (hoffentlich) nie wieder benutzt werden.
es würde mich nicht wundern wenn so manche als kriminelle machenschaft getarnte "cyberattacke" in wahrheit von politikern oder militärs beschlossen worden ist.

Jeder Angreifer hinterlässt typische Signaturen. Genau deswegen ist es durchaus möglich bei Angriffen auch auf staatlich orchestrierte Angriffe Rückschlüsse zu ziehen. So fehlen z.B. kleinen privaten Crews oft die Ressourcen um wirklich komplexe Angriffsszenarien durchzuführen oder an bestimmte Informationen zu gelangen. Auch der Coding-Stil, die genutzten Informationen und vieles mehr lassen Rückschlüsse auf die Angreifer zu.

und machen wir uns nichts vor: "freie länder" wie die usa bombardieren regelmäßig krankenhäuser, kindergärten usw. mit tonnenschweren hochmodernen raketen, warum sollten sie bei cyberwaffen, bei denen sie ihre urheberschaft sehr leicht verschleiern können, rücksichtsvoller sein?
Weil sie es eben nicht so einfach verschleiern können, wie Laien oft denken. Die Forensik für digitale Angriffe ist nicht in den 80ern stehen geblieben.

eine der wenigen effektiven mittel die "humanitären" hackern noch bleibt, ist es 0days ausschließlich an den herrsteller zu verkaufen oder gleich ganz kostenlos frei verfügbar zu machen.
denn zero day exploits die in die hände von staaten oder kriminellen geraten werden von diesen auch garantiert zum nachteil von uns allen (im endeffekt) eingesetzt.

Nur weil Exploits veröffentlicht werden, heisst das noch lange nicht, dass sie in den entsprechenden Geräten auch gefixt werden. Und nur weil sie ausschliesslich an Unternehmen verkauft/übergeben werden, heisst das nicht, dass Gehemdienste durch Industriespionage nicht rankommen. Genau deswegen hatte sich ~el8 damals mit pr0j3kt m4yh3m dafür eingesetzt, gefundene Exploits ausschliesslich mit Leuten zu tauschen, denen man vertraut (oder besser noch gar nicht rauszugeben), und so sämtliche öffentlich verfügbaren Exploits zu unterbinden. Das würde die Security-Industrie zwingen ihre Forschung selbst zu betreiben und nicht einfach von der Hacker-Community zu klauen, wodurch die Kosten entsprechend steigen und viele Bereiche kaum noch lukrativ wären. Das wurde dann später auch von pHC aufgegriffen und formierte die Antisec-Bewegung innerhalb der Szene.

Tatsache ist aber, dass auch das nicht funktioniert hat. Denn bereits nach einigen Jahren fand man Exploits in the Wild, die nachweislich aus den Fingern von pm-Supportern stammten. Auch sorgte es dafür, dass zeitweise ein ziemlich tiefer Riss durch die Szene ging, der bis heute noch seine Auswirkungen zeigt. Zum einen war die Diffamierung der Ethical Hackers/Whitehats schlicht der falsche Weg. Zum Anderen sind die Moralvorstellungen innerhalb der Szene sehr unterschiedlich. Mittlerweile arbeiten weltweit sehr viele gute Hacker für Geheimdienste und andere Staatsorgane. Schau dir einfach die alten Hasen der Szene in Deutschland an, was die heutzutage machen. Sie beraten Unternehmen und Staatsorgane, arbeiten als Forensiker für Staatsanwaltschaft & Co oder betreiben Forschung in staatlich finanzierten Projekten und Universitäten.

Mit anderen Worten: Es funktioniert nicht Exploits von Staatsorganen oder Kriminellen fernzuhalten. Wenn die rankommen wollen, dann finden sie ihre Wege. Gerade große Geheimdienste wie CIA, NSA, GCHQ usw. haben kein Problem damit auch Leute in Unternehmen einzuschleusen, die kritische Infrastruktur produzieren, und dort gezielt Backdoors zu platzieren. Selbst im Linux-Kernel wurde ja vor Jahren bereits mal eine Backdoor aufgespürt, die über viele Jahre hinweg Stück für Stück mit durchaus sinnvollen Patches eingeschleust wurde. Daran sieht man schon, mit welcher Komplexität Geheimdienste vorgehen und was für Knowhow bei denen ansässig ist. Ein anderes gutes Beispiel waren die Angriffe auf die Zentrifugen zur Uranaufbereitung im Iran, wo die eingesetzten Exploits so komplex waren, dass sofort klar war, dass dafür Insider-Informationen aus den Hersteller-Unternehmen verwendet wurden.

Wer denkt, dass sich Exploits geheim halten lassen, der hat einfach keine Vorstellung davon wie komplex Angriffe heutzutage sein können. Da wird nicht einfach mal auf klassische Weise nach Sicherheitslücken gescannt oder Software reverse engineered. Da werden vielmehr Unternehmen/Hersteller unterwandert, Entwickler und Sysadmins bei denen bestochen und ähnliches um Informationen über Schwachstellen zu erhalten oder gar gezielt Backdoors zu platzieren. Und wer mal versucht mit etwas Social Engineering in große Unternehmen einzudringen, der weiss auch, dass das zum Teil ziemlich einfach ist. Dabei gilt sogar: Je größer und globaler das Unternehmen, umso einfacher ist es. Selbst wenn man direkt beim Ziel-Unternehmen keinen Erfolg hat, findet sich bestimmt ein Zulieferer, der ein Einfallstor bietet.
 
Was erwartet ihr eigentlich von einer Technologie, die aus dem Gedanken des Krieges heraus entstanden ist?
 
Was erwartet ihr eigentlich von einer Technologie, die aus dem Gedanken des Krieges heraus entstanden ist?

Natürlich, dass sie den Frieden sichert :rolleyes: und selbstverständlich nicht missbraucht wird! :D

Ehrlich gesagt halte ich nichts für ausgeschlossen. Der Glauben an einen ehrlichen Staat ist gestorben, als dieser gegründet wurde.
 
Zuletzt bearbeitet:
bitmuncher du hast natürlich recht damit dass man diese cyberangriffe mehr oder weniger zurückverfolgen kann und es ist klar dass stuxnet zum beispiel von den usa und israel fabriziert wurde, ich habe mich da wohl falsch ausgedrückt, denn gemeint war damit eigentlich dass es nicht hundertprozentig beweisbar ist (wenn alles glatt lief) dass dieser oder jener staat der autor des cyberangriffs ist und daher die hemmschwelle, im vergleich zu konventionellen waffen sinkt, diese auch einzusetzen.
mussten die usa und israel irgendeine art der verantwortung für den cyberangriff auf iranische atomkraftwerde übernehmen?
musste dies russland tun als russische hacker estland angegriffen haben?
übernimmt china verantwortung für die cyberspionage in deutschen firmen die von chinesischem boden ausgeht?
 
Die Diskussion ist meiner Ansicht nach mehr als scheinheilig und hat weniger etwas mit (gesellschaftlicher) Verantwortung zu tun, als vielmehr mit Arroganz und Selbstdarstellung. Verantwortung würde bedeuten, dass man alles unternehmen müsste, damit man die Ziele, die man sich selbst, oder die von einem Dritten gesetzt wurden, nach bestem Wissen und Gewissen erfüllt und das man einen Misserfolg auch selbst verantworten kann. Um diese Ziele zu erreichen, sollte man sich auch über gesellschaftliche Prozesse, Kommunikation und Zusammenarbeit Gedanken machen und nicht nur über Technik.

~el8 und Co. haben sich dagegen vielmehr ihrem Hass auf ein ihrer Ansicht nach krankes System und der eigenen Profilierung in der eigenen Szene hingegeben. Schlimmer noch, sie haben die schwarzen Schafe der Security Industrie, die ihr Geld mit FUD verdienen anstatt mit wirkungsvollen Maßnahmen, sogar noch gefördert, in dem sie Angst und Schrecken verbreitet haben. Damit haben sie letztes Endes genau das hervorgebracht, was sie immer bekämpft haben.

Auch heute noch lässt sich diese Scheinheiligkeit in der Security Szene erkennen: Krankenhäuser und kritische Infrastruktur anzugreifen, das ist böse und verwerflich. Aber guckt euch die Idioten von Deloitte, Equifax oder Sony an, die haben es nicht anders verdient. Wer böse ist und wer nicht, lässt sich aber nicht an einfachen Regeln festmachen, wenn man bedenkt, dass Krankenhäuser und Betreiber kritischer Infrastrukturen heute oftmals normale Wirtschaftssubjekte sind, die wie Equifax und Co. dem Gewinnstreben unterliegen.

Gesellschaftliche Verantwortung kann aber nicht darin bestehen zu sagen "Wir habens euch doch gesagt". Nur zu mehr sind wir heute noch nicht fähig. Als Untergebene eines am Umsatz orientierten Managements, das anderen Themen nachvollziehbarerweise mehr Beachtung schenkt, ist dies sogar das einzige, was wir in der Praxis machen können. Daher können dürfen wir diese Verantwortung nicht tragen. Der einzige Player in diesem Spiel, der diese Verantwortung überhaupt tragen kann und darf, ist der Staat. Er trägt das Gesamtrisiko, sprich die Kosten für die Aufrechterhaltung der gesundheitlichen Versorgung im Schadensfall, die Verfolgung von Straftaten durch Identitätsdiebstahl oder die Versorgung von Arbeitslosen von Unternehmen, die aufgrund von Hacker-Angriffen pleite gegangen sind. Er muss dafür sorgen, dass Sicherheit ein Management-Thema wird, z.B. durch Gesetze, mit denen die Verantwortung auf die Unternehmensleitung und -lenkung übertragen wird, oder durch eigene Maßnahmen zur Sicherstellung von Informationssicherheit (z.B. BSI).

"Cyberwar" ist nochmal ein anderes Thema, auf das ich hier weniger eingehen möchte. Faktisch schwächt Cyberwar die gesamte Sicherheitswelt und ist damit aus Sicht eines Staates in höchstem Grade verwerflich. Dass in Deutschland hierzu unterschiedliche Stellen aufgebaut werden, zeigt mir persönlich, dass Informationssicherheit in der Welt der Politik noch nicht angekommen ist. Damit komme ich wieder an den Anfang meines Posts: Wir haben es bisher nicht geschafft, Informationssicherheit auf staatlicher Ebene zu positionieren, weil wir uns in vielerlei Hinsicht auf die falschen Dinge, nämlich auf die Technik, konzentrieren. Dank CCC und all den Gruppen, die gesellschaftlich und politisch wirken, müssen wir uns zumindest nicht fragen, ob wir überhaupt gewisse Ziele verfolgen...
 
Zuletzt bearbeitet:
Zurück
Oben