Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
Dies ist eine Kurzfassung des DNIP-Artikels „Wer ist «Jia Tan»? Eine Spurensuche zur xz-Backdoor„.
Über Ostern ist «Jia Tan» aufgeflogen, gerade als er(?) dabei war, seine über Jahren sorgfältig vorbereitete Sicherheitslücke in Abermillionen Rechner weltweit zu verteilen. Wenn sie nicht rechtzeitig entdeckt worden wäre, hätte das möglicherweise zur grössten bekannten IT-Sicherheitskatastrophe führen können. Auch nach bald zwei Monaten ist noch sehr wenig über die Person(en) oder Organisation hinter dem Angriff bekannt. Unter anderem, weil das oder die Opfer nicht bekannt wurden (eben, weil die Vorbereitung rechtzeitig entdeckt wurde).
Welche Informationen haben wir?
Wir haben Informationen zu
- Namen,
- Arbeitszeiten,
- genutzten IP-Adressen und
- einem Teil des Zeitplans der Operation.
- Es gibt Mutmassungen darüber, ob es ein Einzeltäter oder eine Gruppe war.
- Zusätzlich haben wir aus früheren Cyberangriffen und Verteidigungsszenarien Informationen über mögliche Ziele und deren Werte (Kosten/Nutzen).
Im DNIP-Artikel schauen wir uns diese zuerst einzeln an und versuchen sie nachher zusammenzufügen. Das Ziel ist es vor allem, einen Überblick über das zu geben, was an Informationen da ist und was man daraus schliessen kann (und wo man nur Hinweise hat).
Ein weiteres—extrem informatives—Puzzlestück fehlt, nämlich, was das konkrete Ziel gewesen wäre. Ich bin aber froh, dass wir das nicht herausfinden mussten.
Trotzdem geben diese Informationen Einblick in mögliche Ziele und was wir (Einzelne, Firmen, Politik) ändern müssen.
Interessen, Ziele und deren Wert
Der Überblick über die potenziellen Interessen von typischen Organisationen hilft uns, die Ziele und ihr Wert besser zu verstehen.
Einige der Ziele hätten möglicherweise einen Wert von mehreren Milliarden(!) gehabt. Hacken kann also durchaus lukrativ sein. (Auch wenn ich so fähige Leute lieber auf dieser Seite des Gesetzes wissen würde.)
Was lernen wir daraus?
- „Für mich/uns interessiert sich ja eh keiner“: Ich glaube, die wichtigste Erkenntnis ist, dass wir alle, als Individuum oder als Teil einer Firma/Organisation, eine wichtige Rolle in einem Cyberangriff spielen könnten. Und wir uns und unsere Organisation entsprechend schützen müssen.
- Bedrohungslage erkennen. Wer glaubt, dass Computer unter deren Verantwortung oder Informationen darauf missbraucht werden könnten, um Chaos zu stiften (oder dieses Chaos zu verstärken), sollte diese Rechner und Daten besonders gut schützen. (Der nächste militärische oder wirtschaftliche Konflikt wird eine grosse Cyberkomponente beinhalten.)
- Wir alle sollten uns besser schützen. Diese Checklisten mit Hintergrundinformationen bieten einen guten Start für Einzelne und kleine Firmen. (Auch für grössere Firmen sind sie nicht falsch, dort braucht es aber jemanden mit spezifischer Kenntnis über die IT-Prozesse vor Ort.)
- Früherkennung von Anomalien. Falls irgendwas sich unerklärlicherweise anders verhält als erwartet: Unbedingt mit einem Experten sprechen. Jemand Unbefugtes könnte gerade dabei sein, es sich in Ihrer IT-Infrastruktur gemütlich zu machen.
Wir haben gesehen, dass einzelne unsichere Computer Angreifer ünterstützen können, einfacher ganze Firmen oder Länder lahmzulegen. Es sollte also jede:r, egal für wie klein und unwichtig er/sie sich hält, seine Computer schützen. Vieles davon ist auch gar nicht schwer. Und hilft euch auch!
Weiterführende Literatur
- Simpliccisimus: Putins Bären — Die gefährlichsten Hacker der Welt, ARD/SWR, 2024-02-26.
Dokumentarfilm mit Einblick in die Aktivitäten von staatlichen Akteuren und den Hackerangriff 2015 auf den deutschen Bundestag. (Begleittext dazu beim WDR.) - Jürgen Winzer: „Hölle brach los“: ARD-Doku zeigt, wie Putins Hacker die Trägheit unserer Bürokratie ausnutzen, SWYRL, 2024-02-21.
Filmkritik an «Putins Bären» sowie Kurzzusammenfassung. - Kai Biermann und Linus Neumann: Hirne hacken: Hackback Edition 🎥, 37C3, 2023-12-28. (Bericht darüber bei Golem für Textbevorzuger)
Erfahrungen und Überlegungen zur Verhandlung mit Ransomware-Erpressern. - Marcel Waldvogel: Was uns Ransomware zu Datenschutz und Datensicherheit lehrt, 2022-12-05.
Einige Tipps für Individuen und KMUs, die auch gegen Cyberangriffe helfen. Sie taugen nur bedingt für Grossfirmen und exponierte Personen/Organisationen; diese brauchen spezifisches, erfahrenes Personal und auf sie zugeschnittene Lösungen. - Uwe Johnson: Mutmassungen über Jakob, 1959, Wikipedia-Eintrag dazu.
Nur der Namensgeber dieses Artikels.
Aktuelles zu IT-Sicherheit
- Was Prozessoren und die Frequenzwand mit der Cloud zu tun haben
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt. - Facebook: Moderation für Geschäftsinteressenmaximierung, nicht für das Soziale im Netz
Hatte mich nach wahrscheinlich mehr als einem Jahr mal wieder bei Facebook eingeloggt. Das erste, was mir entgegenkam: Offensichtlicher Spam, der mittels falscher Botschaften auf Klicks abzielte. Aber beim Versuch, einen wahrheitsgemässen Bericht über ein EuGH-Urteil gegen Facebook zu posten, wurde dieser unter dem Vorwand, ich würde Spam verbreiten, gelöscht. Was ist passiert? - Was verraten KI-Chatbots?
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz viele Leute ganz wenig Ahnung haben, wie die Datenflüsse bei KI-Chatbots wie ChatGPT etc. eigentlich ablaufen. Deshalb habe ich für… Was verraten KI-Chatbots? weiterlesen - Sicherheit versteckt sich gerne
Wieso sieht man einer Firma nicht von aussen an, wie gut ihre IT-Sicherheit ist? Einige Überlegungen aus Erfahrung. - Chatkontrolle: Schöner als Fiktion
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist. - Chatkontrolle, die Schweiz und unsere Freiheit
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz? - Cloudspeicher sind nicht (immer) für die Ewigkeit
Wieder streicht ein Cloudspeicher seine Segel. Was wir daraus lernen sollten. - IT sind nicht nur Kosten
Oft wird die ganze IT-Abteilung aus Sicht der Geschäftsführung nur als Kostenfaktor angesehen. Wer das so sieht, macht es sich zu einfach. - CrowdStrike, die Dritte
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit ihrer KI ja auch schon frech versuchte. Andererseits haben die Diskussionen zum Vorfall viele Hinweise darauf gegeben, wie IT-Verantwortliche ihre… CrowdStrike, die Dritte weiterlesen - Unnützes Wissen zu CrowdStrike
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für die Kaffeepause. - Marcel pendelt zwischem Spam und Scam
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen. - Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch auch wehrt, liebe User“ eingestellt sind und sich nicht ändern lassen. Da fühlt man sich gleich so richtig ernst genommen.… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
Schreibe einen Kommentar