SIGINT 2009: Sandro Gaycken über Cyberwarfare - mrtopf.demrtopf.de

SIGINT 2009: Sandro Gaycken über Cyberwarfare

This is a talk from the SIGINT conference in Cologne by Sandro Gaycken who talked about Cyber-Warfare and the future of war.

Sandro Gaycken

Sandro Gacken sprach über die Zukunft des Krieges, nämlich Cyber-Warfare.

Es gab schon einige Angriffe bislang, wie z.B.:

  • Moonlight Maze 1998/99 (Russen gegen Amerikaner)
  • Great Northeastern Blackout 2003 (angeblich ein Operator Error aber wahrscheinlicher ein Angriff)
  • Titan Rain 2004
  • Georgien, Estland
  • Ghostnet Aktuell
  • FBI 2007 Statistik: gezielte Angriffe aus 108 Ländern

Kapazitäten

Es gibt vermehrt Ausrüstung in dem Bereich und Aufbau von Kapazitäten:

  1. USA (6-30 Mrd. USD)
  2. Israel
  3. China (55 Mio USD, 10.000+ Forces). Nach Können aber wohl eher auf Platz 1. Sie unterstützen auch eher kleinere Hackergruppen im Land. Man weiss im Ausland, dass die Angriffe von solchen Hackergruppen vom Staat toleriert werden, denn das Netz dort ist ja sehr kontrolliert und man würde nicht so einfach sonst durchkommen.
  4. Russland (127 Mio. USD, 7.300 Forces)
  5. Iran (76 Mio. USD, 2.400 Forces)
  6. Nordkorea (56 Mio USD, 17.000 Forces)

2008: 140 Länder mit Cyberwarfare-Programmen (2006: 23)
Viele machen mit, weil alle es machen und man nicht hintenanstehen will. So auch Deutschland und Frankreich.

Übersicht

Viele Politiker können sich gar nicht vorstellen, was man da eigentlich machen kann, da diese sich mehr die E-Mails von der Sekretärin ausdrucken lassen und wenig Vorstellung davon haben.

Was kann angegriffen werden? Die 3 Is: Infrastrukturen, Informationen und Identitäten

Infrastrukturen

Infrastruktur = unterliegende, ermöglichende Struktur. Es geht aber nicht nur um Technik, sondern man muss auch die Menschen dahinter mit einberechnen.

Es gibt verschiedene Größen:

  • Globale & nationale Infrastrukturen (Energie, Wasser, Kommunikation, Informationen, Finanzen). Das ist ein Kernbereich mit dem man sich im Moment beschäftigt, z.B. das KRITIS Projekt des BSI.
  • Lokale Infrastruktur (beliebige funktionale Netzwerke)
  • Intra- und interinfrastrukturelle Verbindungen (ein Netzwerk von Infrastrukturen, z.B. bei Energie. Wenn Strom ausfällt, funktioniert auch Information usw. nicht mehr. Nahrungsmittelversorgung ist ein anderen Beispiel)

Was passiert, wenn diese Infrastrukturen angegriffen werden?

Globale und nationale Infrastrukturen:

  • Monetäre, strukturelle & physische Schäden (man kann dauerhafte Schäden verursachen, z.B. bei einem Kraftwerk, wo
    Angreifer bestimmte Pumpen und Ventile kontrollieren könnten mit dem
    Aufspielen eines Unfallszenarios im Kontrollraum, was zur Schaltung von
    anderen Systemen geführt hat und das zusammen kann zur Katastrophe
    führen)
  • kurzfristig: erhebliche Bindung von Kräften
  • langfristig: katastrophal
  • keine Redundanzsysteme (z.B. Finanzinfrastruktur oder Abaschaltung aller Kraftwerke. So braucht evtl. ein Kraftwerk ein anderes, um wieder anfahren zu können.)

Lokale Infrastrukturen

  • Einschränkung operativer und taktischer Systeme
  • „Fernsteuerung“ eigener Systeme (Drohnen, Satelliten. Alles schon passiert). Gerade Hightech-Armeen wie die USA sind für solche Angriffe sehr anfällig und es gibt schon fertige Systeme dafür.

Komplexität

Infrastrkturen: Eng gekoppelt, komplex, begrenzte Toleranz, keine Redundanzsysteme. Gutes Beispiel Finanzkrise. Man weiss nicht so genau, was nachher rauskommt und was es für Einflüsse hat.

2. I: Informationen

  • Man kann Medieninformationen, Experisen, Baupläne usw. angreifen.
  • Dies ist kritisch, da sie die Produktionsgrundlage der Wirtschaft, Politik usw. sind.
  • Gestaltungsgrundlage technischer & organisatorischer Steuerungs- & Entwicklungsprozesse
  • Entscheidungsgrundlage Politik, Militär, Öffentlichkeit
  • Spionage: „Informationelle Verluste“ ökonomischer und strategischer R&D-Vorteile. Z.B. falsche Ausbildung von iranischen Wissenschaftlern, dass sie keine Atombomben bauen können.
  • Sabotage, Zerstörung, FUD
  • Eingriff: Entscheidungsgrundlagen (strategisch, politisch, medial, situativ, taktisch, operativ)
  • Eingriff: Gestaltungsgrundlagen (Vorprogrammierung systemischen Versagens, Vorprogrammierung situativen Versagens). Beispiel. Materialänderungen bei Flugzeugen, die in bestimmter Höhe auseinanderfallen usw.

3. I: Identitäten

Noch nicht soviel diskutiert. Sind aber strategisch nutzbare Informationen und Zugangsregulierungen gehen darüber.

Data Double mit Profilen usw.

  • Identity Theft, Identity Fake
  • Strategische Identifizierungen (man erkennt Wissenschaftler anhand von Publikationsthemen und kann eingrenzen, wer interessant für einen wären. Man erkennt, mit wem er korrespondiert und wo er sich befindet)
  • Raster & Profile
  • Personen & Netzwerke
  • Lokalisierungen
  • RMA/PGM

Operationstypen

Es gibt keine genuinen Cyberstrategien. Man würde einen Krieg nie nur auf Cyber-Ebene führen. Meist in Kombination mit anderen Operationstypen.

Auf allen Ebenen: Taktisch, operativ, strategisch, Grand Strategy, „erweiterte Grand Strategy“ (eine Strategie, die z.B. die Informationsgesellschaft voll anerkennt. wird aber noch nicht besonders betrachtet)

  • Shock & Awe-Ops (mit massiver milit. Kraft einmarschieren. Z.b. ne Woche vorher Strom abschalten)
  • Recon (Aufklärung)
  • Info-Ops (informatonsbasis des Feindes, mediale Systeme)
  • Psy-Ops (psychologisch)
  • EleWf-Ops (Electronic Warfare, ist so ein bisschen gemischt, EMP usw.)
  • RMA/PGW (Revolution and military affairs. z.B. Handy tracken und dann Rakete draufschicken. Funktioniert aber nicht so)
  • Unterstützend in weiteren klassischen Ops
  • (Intel-Ops). Für Geheimdienste natürlich besonders interessant

Operationsphase und spez. Probleme

  • Angriffdetektion
  • Angriffsattribution (Wer greift einen an)
  • Verteidigung
  • Angriffe (selbst durchführen)
  • Abschreckung
  • (Cyberterror)

Angriffdetektion

  • IDS (Intrusion Detection Systems. geben aber noch viele false positives und negatives usw. sehr unzuverlässig)
  • Ausbau Sensorensystem (aber wo platziert man sie? Nahe an verteidigten Systemen oder nah am Angreifer)

Angriffsattribution

  • Humanitäres Völkerrecht: Klare Trennung zwischen Kombattanten und Nichtkombattanten
  • Erfordert dringend eindeutige Identifikation der Angreifer (Akteurstyp (milit.? cyberkriminelle? Script-Kiddies) und Land/Gruppierung)
  • Was ist ein Cyberangriff ein Angriff (kriegsrechtlich muss man einen Grund für einen Krieg haben)
  • UN-Charter 2(4) und Art. 51
  • 2(4): „use of force“: Höhe des Schadens, militärische bewaffnete Angriffe, Graduelle Mischformen
  • Was sind Cyberschäden? (es ist ja erstmal niemand physisch geschädigt)
  • Erfordert aber klare Identifikation

Probleme Traceback:

  • UDP/TCP-Spoofing
  • Reflektor-Host
  • Low TTL-Wert bei gefälschter Source
  • Laundering Hosts (Stepping Zone, Zombie)
  • Angriffsverzögerungen
  • Routing über Ausland
  • Nie 100%ig

Militärische Probleme:

  • Identität der Angreifer latent unsicher (Akteursebene ist nicht klar festzustellen. Einzelperson, kriminell, militärisch, Gruppe/Land). Gezielte Agitation durch dritte Parteien immer möglich
  • Schnelle Reaktionen sind unmöglich
  • Aufklärung braucht internationale Kooperation (mit rechtlichem Rahmen)
  • Klassische Aufklärung muss ergänzen

Konzepte:

  • Router sollen loggen und markieren
  • Veränderung von System beobachten, z.B. Pattern Recognition, fraktale Umgebungsanalysen
  • Hosts nach State-Changes befragen (Query-Funktion über Hack-Backs einbringen)
  • Streams vergleichen (Header, Content, Timing)
  • Honeypots/Honeynets
  • Unterstützend: Filtering

Verteidigung

  • Präventive Defense nicht 100% möglich. Man ist immer angreifbar
  • Prinzip des Angreifbarkeit: passive Computer Network Defense kann nie perfekt sein
  • Doktrin: „As with conventional warfare, a good offense is often the strongest defense“
  • Wg. Attributionsprobleme trotzdem versuchen

Gerade viel diskutiert: Defense In Depth. Etwas durch viele verschiedene Verteidigungswälle schützen, z.B. viele Firewalls, Detection-Systeme usw. Funktioniert aber auch nicht 100%.

Post Hoc:

  • Patchen
  • Bandbreite runterschrauben
  • Angreifer disconnecten
  • Honeypot/Decoy
  • Zwischensysteme härten, rekonfigurieren
  • Rechtliche Reaktionen

Frage: Warum disconnected man nicht einfach Infrastrukturen, wie z.B. Kraftwerke? Im Moment nicht so die Option, da schon alles sehr verbunden.

Backdoors

  • Größeres Problem für Verteidigung
  • Systematische Einkäufe von Hardwarekomponenten z.B. China, Israel (z.B. für Telefone)
  • COTS-Problem
  • 2005: 74.000 gefälschte Cisco-Komponenten mit Backdoor
  • Erster Irak-Krieg: gefälschte Computer an Saddam (gescheitert)

Verteidigungsbreite

Unterscheidung zwischen mil. relevanten und irrelevanten System schwierig
3Is als neue Assets, Daten als öknomischer Faktor
Normative Frage: Habe ich als Einzelperson ein Recht auf den Schutz meiner Daten vor Angriffen?
Technisch schwer zu trennen, Verbreitung schwer zu containen

Strukturproblem:

Man muss es gesellschaftlich organisieren, alle Computer sollten geschützt sein.

Aber: Konflikt mit staatlichen Überwachungsinteressen. Will man entweder eine sichere Infrastruktur oder aber einen Überwachungsstaat.

Angriffstypen

Angriffstypen nach Threat Code:

High: Fehlfunktion, Viren, Insider, Trojaner, Logic Bomb, gefälschte Hardware, …
Middle: …
Low: … EMP (Deutschland sehr anfällig)

Präzise Schläge

  • kriegsrechtlich festgelegt
  • Technisch schwierig wegen hoher Kopplung ziviler und militärischer ICT-Strukturen
  • Identifikation der Relevanz von angegriffenen System schwierig (Kaffeemaschine oder Zentralrechner?)
  • Unkontrollierte Verbreitung möglich (wo kommt der Wurm raus?)
  • Alles vorher nicht def. festzustellen

Daher Verzicht der USA auf Abschreckungsrelease eines Wurms.

Kosten

  • Z.B. Backdoor-Geschichte sehr teuer für Angreifer in Zeit und Kosten
  • Grossflächige Angriffe können fast nur von Staaten durchgeführt werden.
  • Cyberterror-Geschichten sind eher ziemlicher Quatsch
  • Methoden und weitere Ziele können deduziert werden (wo kommen die Angreifer her, was werden sie wahrscheinlich noch angreifen?)
  • Angriffe sind One-Use (danach ist der Patch da). So wissen z.B. die Taliban usw. dass sie keine Handys benutzen dürfen.

Abschreckung

  • Auch kostspielig
  • können viel preisgeben
  • Rückschläge können katastrophale Folgen haben
  • Conficker könnte militärisch sein als Abschreckungsmethode
  • Kapazitative Demonstrationen von Investitionen können Rüstungswettläufe provizieren. Sieht man jetzt schon. Alle wollen den USA nachziehen.

Cyber-Terror

  • Wegen Kosten sehr unwahrscheinlich
  • Indizien nur gering. Keine Verbindung zur Cyberkriminalität. Man ging davon aus, dass Terroristen sich für Know-How sich zunächst an Cyberkriminielle wenden müssten, aber das passiert nicht.
  • Tatsächliche Nutzung anderes: Identity Theft und Online-Kreditkartenbetrug (stark abnehmend), Handys zur Koordination (stark abnehmend), Propaganda, Unterrichtsmaterial, Rekrutierung (4.500 Terrorwebsites)

Technorati Tags: , , , , ,

Kommentare sind geschlossen.