Cyberwar aus Nordkorea: Auseinandernehmen eines Artikels Marc Ruef | 23.11.2009 Journalismus und die damit in einen Rechtsstaat verflochtene Transparenz erachtete ich stets als unumstössliche Grundlage eines solchen. Der Umkehrschluss sieht vor, dass in einem Staat, in dem die Journalisten bedrängt werden, nicht frei sein kann. Leider hat die Qualität moderner Medienschaffender spürbar abgenommen. Dies wird mir besonders dann deutlich, wenn ich einmal mehr einen Artikel zum Thema Computersicherheit lese. Nachfolgend möchte ich den Artikel Hacker attackieren amerikanische und südkoreanische Web-Seiten (http://www.spiegel.de/netzwelt/web/0,1518,635150,00.html) von Spiegel Online, wie er am 08. Juli 2009 erschienen ist, auseinandernehmen und die Unwahrheiten, Abweichungen und Fehlschlüsse aufzeigen. quoteDas Weiße Haus, das Pentagon, die Heimatschutzbehörde: Seit Tagen versuchen Hacker, die Internet-Seiten von US-Behörden durch einen Dauerbeschuss mit Anfragen zu überlasten und lahmzulegen. Auch Server in Südkorea ächzen. Geheimdienste vermuten, dass Nordkorea hinter den Angriffen steckt. (...) Einem Bericht des US-Senders Fox News zufolge steckt hinter den massiven Attacken Nordkorea. Der Sender beruft sich auf einen Beamten des US-Verteidigungsministeriums./quote Die Schlussfolgerung, dass vermutet wird, dass Nordkorea dahintersteckt, ist (voraussichtlich) unbegründet. Die Systeme, welche für eine Distributed Denial of Service-Attacke (DDoS) eingesetzt werden und den Direktkontakt mit den Zielsystemen herstellen, werden Zombie-Systeme genannt. Hierbei handelt es sich um mit einer Hintertür kompromittierte Rechner, der damit für die Attacken zweckentfremdet wird. Es ist zwar anzunehmen, dass in Ländern wie Nordkorea eine verhältnismässig hohe Anzahl an schlecht gewarteten und deshalb kompromittierten Systemen vorhanden ist. Aber nur weil diese für einen Angriff missbraucht werden, heisst es nicht, dass das entsprechende Land dahintersteckt. (Gleiches gilt auch für China (http://www.spiegel.de/politik/deutschland/0,1518,502076,00.html) und Russland (http://www.heise.de/tp/r4/artikel/25/25218/1.html).) Nordkorea wäre sehr unklug, würden sie ein Botnetz im eigenen Land für eine unwichtige DDoS-Attacke hergeben. Ihre Möglichkeiten und die technische Umsetzung wäre unmittelbar preisgegeben. Der Populismus mit einem der momentanen "Lieblingsfeinde der USA" passt jedoch (http://www.youtube.com/user/liberalviewer) jedoch unbestritten zu Fox News. Tage später nach dem Bekanntwerden der Attacken wurde dann auch darüber berichtet (http://www.heise.de/newsticker/DDoS-Angriffe-auf-Suedkorea-und-USA-kamen-aus-Grossbritannien--/meldung/142022), dass die Täterschaft wohl in Grossbritannien beheimatet ist. "In den USA seien unter anderem das Weiße Haus, das Pentagon, das Außenministerium und die New Yorker Börse betroffen gewesen. Jedoch seien die Attacken weitgehend wirkungslos geblieben, hieß es. Den Hackern sei es nicht gelungen, die Sicherheitsvorkehrungen der Seiten zu überwinden." Es ist fragwürdig, ob man im Zusammenhang mit einer DDoS die Phrase "überwinden von Sicherheitsvorkehrungen" nutzen kann, um die fehlende Wirksamkeit der Attacken hervorzuheben. Abgesehen von lückenlosem Whitelisting mittels ACLs auf einer frühzeitigen Ebene gibt es keinen wirksamen Schutz gegen Überlastungsangriffe wie eine DDoS. Zudem widerspricht sich der Artikel hier, da im ersten Absatz die Rede davon ist, dass "es den Hackern teilweise gelingt, die Seiten vorübergehend lahmzulegen." Dies ist das Ziel der DDoS und damit die Wirksamkeit (vorübergehend) gewährleistet. "Im Mai hatten südkoreanische Medien unter Berufung auf Geheimdienstkreise berichtet, das Militär in Nordkorea beschäftige etwa hundert Hacker, die es besonders auf die Computernetze der Streitkräfte Südkoreas und der USA abgesehen hätten." Es gibt nichts Auffälligeres weder eine Denial of Service-Attacke. Diese mit mehreren Quellsystemen als DDoS, über einen längeren Zeitraum von mehreren Tagen und auf hochgradig exponierte Ziele wie Regierungsseiten umzusetzen erhöht die Auffälligkeit des Angriffs nur noch mehr. Ein solches Vorgehen verfolgt in der Regel kurzfristige Ziele, die jeweiligen Systeme durch die eingeschränkten Zugriffsmöglichkeiten zu schädigen. Einen direkten produktiven Nutzen haben DoS-Attacken in den meisten Fällen nicht (sie werden nur selten als Überdeckungsangriffe im Rahmen konstruktiver Attacken eingesetzt). Es bleibt äusserst zweifelhaft, ob "staatliche Hacker" ihre Ressourcen in derartig plumper und infantiler Weise verschwenden würden. "Nach Angaben des US-Heimatschutzministeriums drangen Hacker im vergangenen Jahr rund 5500-mal in Regierungscomputer ein, im Jahr davor wurden nur knapp 4000 solcher Zwischenfälle gezählt." Wir sagen unseren Kunden immer, dass eine Kompromittierung stets eine zuviel ist. Wird sie nämlich geschickt umgesetzt (und weitere Attacken unter Ausnutzung von Vertrauensbeziehungen automatisiert), kann innerhalb weniger Sekunden ein Maximum an Schaden entstehen. Entweder muss man aufgrund der Aussage des Department of Homeland Security unmittelbar das Vertrauen in die Informationssicherheit amerikanischer Behörden verlieren, oder man will mit dieser vermeintlichen Zunahme von Einbrüchen die Verhandlungen für die kommende Budgetrunde einleiten. "Aus Ermittlerkreisen verlautete jetzt, die Tatsache, dass die Internet-Seiten nach dem aktuellen Angriff noch nach drei Tagen betroffen seien, deute auf eine ungewöhnlich raffinierte Attacke." Diese Aussage kann ich technisch nicht nachvollziehen. Eine DDoS ist plump und direkt, wodurch sie alles andere als raffiniert ist. Hierzu eingesetzt wurde Mydoom, ein altbekannter Schädling, der erstmals 26. Januar 2004 (vor fast sechs Jahren!) gesichtet wurde. Die scheinbar lange Zeitdauer des Angriffs ist wohl auf zwei Gründe zurückzuführen: Einerseits wird eine sehr breite Basis an Zombies eingesetzt, andererseits sind die jeweiligen Provider/Administratoren nicht in der Lage, zeitnah auf die unliebsamen Anfragen zu reagieren (z.B. mit ACL/Firewalling). Wie an verschiedenen Stellen (http://www.heise.de/newsticker/Dritte-Welle-der-DDoS-Angriffe-auf-suedkoreanische-und-US-Websites--/meldung/141799) zu lesen ist, verhalten sich die Zombies zudem nicht besonders geschickt ("Auffällig sei, dass die DDoS-Angriffe keine Programme benutzen, die eine Entdeckung durch Sicherheitsprogramme erschweren."). Ich gehe sehr stark davon aus, dass hier eine Einzelperson oder eine kleine Gruppe ein eigens zusammengetragenes, gemietetes oder partiell übernommenes Botnet für ihre politischen Aktivitäten nutzen. Selbstverständlich wird auch Nordkorea begriffen haben, dass im Informationszeitalter grundlegende Prozesse für einen Cyberkrieg eingeleitet werden müssen. Diesen aber auf einer solch plumpen Ebene zelebrieren zu wollen, das traue ich weder Kim Jong-Il noch Muammar al-Gaddafi zu.