Security Deutschland spielt Cyberwar

[rat]

Was passieren würde, wenn Trojaner große Teile der IT-Infrastruktur in Deutschland lahmlegen, wird ab heute geprobt. BSI, Bundesamt für Katastrophenschutz und die Geheimdienste spielen mit.

Am 30. November 2011 begann in Deutschland die IT-Notstandsübung Lükex 2011. In dem Szenario haben massiv auftretende Varianten eines hochentwickelten Trojaners Flughäfen, den Telekommunikationssektor, das Bankenwesen und die öffentlichen Verwaltungen bei Bund und Ländern lahmgelegt.

Lükex 2011: Deutschland spielt Cyberwar - Golem.de

Ich sag mal nix dazu oder,es fällt mir echt schwer nix zu sagen :-D

Wen man nicht gerade XMAPP am laufen hat wird eine Malware wohl kaum Flughäfen,Telekommunikationssektor, das Bankenwesen und die öffentlichen Verwaltungen bei Bund und Ländern lahmlegen können.

Oder meint ihr es währe wirklich Möglich ?
Ich halte es für ziemlich weit dahergeholt.

 

[LaNdRiX]

Hä, hast du etwa noch nie Stirb langsam 4.0 gesehen rat? Natürlich ist das möglich *scnr*

 

[bad_alloc]

Wen man nicht gerade XMAPP am laufen hat wird eine Malware wohl kaum Flughäfen,Telekommunikationssektor, das Bankenwesen und die öffentlichen Verwaltungen bei Bund und Ländern lahmlegen können.

Warum sollten die keine Standardsoftware nutzen, die ungepatcht läuft? Bisher glänzen wenige Einrichtungen durch Kompetenz im IT-Bereich. Wenn sie zudem externe Firmen den Kram machen lassen, können diese wie beim mutmaßlichen Bundestrojaner nach Lust und Laune schlampen, da es eh keiner, mangels Kompetenz, kontrolliert.

 

[bitmuncher]

Ich denke auch, dass gerade im öffentlichen Sektor die technische Kompetenz der Kontrollorgane fehlt, weswegen solche Szenarien durchaus denkbar sind. Hinzu kommt, dass grossflächig MS-Windows eingesetzt wird, so dass ein Trojaner lediglich eine ungepatchte Lücke im System nutzen muss um sich massiv auszubreiten.

 

[xrayn]

Das dürfte genauso unmöglich sein wie Zentrifugen zur Urananreicherung zu manipulieren.

 

[bitmuncher]

Das dürfte genauso unmöglich sein wie Zentrifugen zur Urananreicherung zu manipulieren.

Stuxnet-Wurm: Iran bestätigt Hackerangriff auf Industrieanlagen - Nachrichten Wirtschaft - Webwelt & Technik - WELT ONLINE
FBI untersucht mögliche Cyberattacke auf US-Wasserwerk | tagesschau.de

So unmöglich?

 

[sogra]

Was mich besonders massiv mittlerweile bei den Diskussionen rum um den "Cyberwar" stört ist , dass ständig die Bedrohung soweit aufgebläht wird, als wäre sie erst in den letzten Jahren enstanden.

Alle Welt schwärmt von Technik und IT, womit ich keinesfalls den Einsatz dessen schlecht machen möchte - es erleichter einem die Arbeit wirklich aber zu welchem Preis.

Es sollte doch jeder Regierung selbstverständlich bewusst sein, dass sie zu jedem Zeitpunkt ein Angriffziel darstellt(e), sei es zum erproben neuer Malware welche zum Ziel hat die Infrakstruktur zu beeinträchtigen oder an gewisse "spezielle" Informationen heranzukommen. Da in mittlerweile jedem öffentlichem Sektor IT zu Einsatz kommt bietet es sich dich doch regelrecht an dies als Ziel sich wahrzunehmen.

Estland ist 2007 bereits einem Angriff zum Opfer gefallen, welcher die Nationale Infrastruktur lahm legte um mal ein Beispiel zu nennen welches reale Auswirkungen hatte.

Angreifer werden sich immer dass zum Angriffziel nehmen was den größten Schaden bzw. geringen Aufwand verursacht.

Was der Lükex nun bezwecken sollte ist mir teils schleierhaft, außer eine Sicherheit die sich im Schein der Naivität erlaubt zu erheben und Zweck hat dem nicht technisch versierten Menschen etwas vorzugaukeln was nicht vorhanden ist - Sicherheit.
Man wird die Infrastruktur Deutschlands und anderer Nationen nie zu 100% unter die Kontrolle bekommen um eine gleichwertige Sicherheit herzustellen, was man aber machen könnte ist sich mit einer geringeren Sicherheit zu frieden zu geben diese dann aber auch Gewährleisten kann.


@Bitmuncher
Nicht nur der Einsatz von MS Betriebssystemen beherbergt Risiken, auch andere Systeme haben so ihre Macken.
Es ist die fehlende Kompetenz und die Fähigkeit Verantwortung zu tragen, wenn etwas schief läuft.

 

[bitmuncher]

@Bitmuncher
Nicht nur der Einsatz von MS Betriebssystemen beherbergt Risiken, auch andere Systeme haben so ihre Macken.
Es ist die fehlende Kompetenz und die Fähigkeit Verantwortung zu tragen, wenn etwas schief läuft.

Das ist mir bewusst, aber Windows ist nunmal im öffentlichen Bereich am häufigsten eingesetzt.

 

[rat]

Also an der Inkompetenz der IT habe ich mittlerweile keinen zweifel mehr.

Da kann man ja schon ne richtige Hall of Fame aufmachen,aber ich finde diese Aussage recht Interessant.

BBK-Chef Christoph Unger hatte im Vorfeld erklärt, dass die IT-Infrastruktur von Krankenhäusern, Energieversorgern oder Flughäfen nicht ausreichend gegen Angriffe geschützt sei. "Das technische Know-how krimineller Hacker wächst schneller als wir darauf reagieren können", sagte er. Es sei ein "Hase-und-Igel-Spiel".

Ich denke es liegt wohl eher daran das sich ein Hacker viel mehr für seinen bereich Interessiert. Die meisten Admins die ich kenne arbeiten nach dem Prinzip. Die Kiste läuft und Rest ist mir Egal.

Aber ein Musterbeispiel dafür ist mal wider der Hack von TeamPoison die Tausende von United Nations Development Program (UNDP) Daten Public machten.

Die PWs wurden weder Verschlüsselt gespeichert noch sind sie besonders schwer,einigen haben nicht mal ein Pw was.

[ Knowledge is power . . . . . . . ]
[ 1000+ UN Emails, Usernames & Passwords leaked ]

A Senate for Global Corruption, the United Nations sits to facilitate the introduction of a New
World Order and a One World Government as outlined by Brock Chisolm the former Director of UNWHO
when he said:
'To achieve a One World Government, it is necessary to remove from the minds of men their
individualism, their loyalty to family traditions and national identification'

The overseer of many atrocities from Rwanda to Darfour to the inaction in Yugoslavia to the creation
of the State of Israel and the disposition of the Palestinian people, the UN has become a beast that
must be stopped or tamed!

How far you have come from the first address by Thomas Jefferson where 'peace, commerce and honest
friendship' were the Modis Operandi to one today where talk of 'eliminating 350,000 people a day'
as outlined by Jacques Cousteau is a academic consideration.

The UN is a fraud! The bureaucratic head of NATO used to legitimise the Barbarism of Capitalist elite!

Conor Cruise said 'you can safely appeal to the UN in the comfortable certainty that it will let
you down' - never has a truer sentence been spoken......

United Nations, why didnt you expect us?
Enjoy:

So geile Pws sind darunter aaaaaaaa,12345,1985 oder Login und Pw gleich,000,Peter.

Ein Pw ist darunter was wirklich lang ist und aus Zahlen und Buchstaben besteht aber das bringt natürlich nix wen alles im Plaintext gespeichert wird.

 

[sogra]

Ich denke es liegt wohl eher daran das sich ein Hacker viel mehr für seinen bereich Interessiert.

Oder einfach Schüler oder Student ist .... und von den Eltern ernährt wird und somit weitaus mehr Zeit hat.

Die meisten Admins die ich kenne arbeiten nach dem Prinzip. Die Kiste läuft und Rest ist mir Egal.

Kommt ganz darauf an ob der Arbeitgeber dem Admin einen gewissen "Spielraum" gewährt, seine Kompetenz schätzt und die Bezahlung stimmt.

 

[xrayn]

Stuxnet-Wurm: Iran bestätigt Hackerangriff auf Industrieanlagen - Nachrichten Wirtschaft - Webwelt & Technik - WELT ONLINE
FBI untersucht mögliche Cyberattacke auf US-Wasserwerk | tagesschau.de

So unmöglich?

So möglich!, wäre die richtige Antwort gewesen. Die Gefahr geht weniger von 0815-Malware, die zum Aufbau von Botnetzen oder einzelnen Hacks (Sony oder UN) aus, da hier die Ziele meist nach Verwundbarkeit ausgewählt werden. Gefährlich sind gezielte Attacken wie eben Stuxnet. Ich glaube nicht, dass mit dieser einen Übung sämtliche Probleme aus der Welt geschafft werden, aber dass dies durchaus ein richtiger Schritt ist, um Wahrnehmung in Sachen IT-Sicherheit zu schärfen.

@rat: Hacker/Cracker/Researcher sind nicht besser. Man erinnere sich an die Plaindb von rk.com oder diverse Sicherheitslücken mit denen Botnetze übernommen/abgeschaltet wurden.

 

[end4win]

Was der Lükex nun bezwecken sollte ist mir teils schleierhaft

Also wenn ich das richtig verstehe geht es bei dem Test weniger um den Schutz
der Systeme, sondern wie die Behörden und relevante Sicherungs- und Rettungsdienste
ohne diese Systeme ihre Aufgaben erledigen, kommunizieren und sich koordinieren können.
Eventuell auch noch wie schnell ein Notsystem aufgebaut werden kann und wie
lang es dauert die Systeme wieder ans laufen zu kriegen.
Es wird schliesslich von einem erfolgreichen Angriff ausgegangen.

Gruss

 

[rat]

Das stimmt beides sogra und xrayn,aber als Admin kann ich mir das Wissen ja auch selber aneignen wie es jeder von uns erfolgreich gemacht hat.

Das ist ja das tolle am IT bereich,das ich bei meinem wissen im Grunde auf niemanden angewiesen bin. Was dann natürlich stimmt ist das viele Admins nicht genug Spielraum haben,aber ich wollte auch darauf hinaus das sie nicht das erforderliche Wissen haben.

Nicht alle,aber mal als Beispiel,der Hack von Sony war einer der sehr viel Wissen erforderte und somit der Admin und auch das Team hoch Qualifiziert sind. Der Einbruch in den Server von Zoll von der N0N4m3-Cr3w bei dem XMAPP auf dem Server lag. Das war ja mal mehr als Schlampig gearbeitet und Unqualifiziert.

Ein Weiteres Bespiel in Sachen Geheimdienst und Qualifikation ist war es das FBI das den Backdoor im OpenBSD über Jahre versteckt hatte zeigt von Hoher Qualifikation da im Code nicht steht void backdoor(ich bin hier)..... .Unqualifiziert die Firma Digitask mit ihrem Staatstrojaner.

Da hatte das FBI ein Hoch Qualifiziertes Team.

Was natürlich auch eine Schlamperei ist vom UNDP die PWs im Plain Speichern,keine bestimmte Zeichenlänge erfordern usw.Das ist mal wider sehr Unqualifiziert.

Es gibt solche und solche und bei manchen denke ich einfach nur die Interessiert nur das Geld und alles andere ist ihnen egal.

Es gibt immer solche und solche,bei den Black Hats wie natürlich auch bei den White Hats.

 

[AcoQ]

Ich verstehe nicht ganz warum das so groß angekündigt wird. Wenn ich mir anschaue wie Pentests i.d.R. ablaufen und wie wichtig es ist dass Diskretion bewahrt wird, warum geht das Ganze durch die Medien?
Es besteht doch immer die Möglichkeit, dass externe Angreifer die gefundenen und möglicherweise noch nicht gefixten Lücken ausnutzen und das BSI die Drecksarbeit machen lassen.
Oder bin ich da zu Paranoid?

 

[enkore]

Stuxnet-Wurm: Iran bestätigt Hackerangriff auf Industrieanlagen - Nachrichten Wirtschaft - Webwelt & Technik - WELT ONLINE
FBI untersucht mögliche Cyberattacke auf US-Wasserwerk | tagesschau.de

So unmöglich?

Ich befürchte beinahe, dass es sich um eine ironische Äußerung gehandelt haben könnte. :wink:

 

[rat]

@AcoQ da stimmt ich dir mal voll und ganz zu.