Thema: Das Web als Waffe ...

[SiLæncer]

Sicherheitspezialisten diskutieren derzeit, ob der Stuxnet-Wurm wirklich so ein Meisterstück der Schädlingsprogrammierkunst sei, wie es dargestellt werde. Der Wurm vereine zwar eine Menge Wissen verschiedener Gebiete und Disziplinen in sich, bei der Umsetzung sei jedoch geschludert worden. Die Sicherheitsseite Threatpost zitiert etwa den Sicherheitspezialisten Tom Parker. Parker halte die Fernsteuer-Funktion des Wurm für schlecht implementiert, weil etwa der Datenverkehr unverschlüsselt ablaufe. Zudem habe sich der Wurm über das Internet verbreitet, was dazu geführt habe, dass sich der Wurm unkontrolliert auch andere Systeme als das eigentliche Ziel befiel.

Parker geht davon aus, dass unterschiedliche Gruppen an dem Wurm gearbeitet haben, wobei eine nach seiner Meinung talentierte Gruppe die Exploits und den Code zur Manipulation der Steuersysteme programmiert habe. Eine weniger talentierte Gruppe habe dann quasi das Vehikel um die Funktionen herum gestrickt, mit dem die Schadroutinen ans Ziel gebracht werden sollten. Die Codequalität des Wurms sei eher miserabel; Stuxnet verfüge über so gut wie keine modernen Funktionen, um sich auf infizierten System zu tarnen und die Analyse durch Virenspezialisten von Antiviren-Firmen zu erschweren.

Ins gleiche Horn bläst auch der Sicherheitsspezialiste Nate Lawson. Zwar bringe Stuxnet einige Techniken zur Verschleierung mit und installiere auch ein Rootkit. Damit unterscheide sich der Wurm aber nicht von den anderen kursierenden Würmern. Lawson äußert sogar die Hoffnung, dass die USA nicht an dem Wurm mitgearbeitet hätten, wie kürzlich die New York Times berichtete. Er hoffe, dass die Entwickler digitaler Waffen mehr auf der Pfannen hätten, als die Tricks, die bulgarische Teenager schon in den 90er Jahren zur tarnung ihrer Viren eingesetzt hätten.

Parker und Lawson kommen aber beide zu dem Schluss, dass vermutlich nicht genügend Zeit zur Verfügung stand, um den Code und die Tarnung des Wurms zu verbessern. In einer Diskussion zu Lawsons Blog-Eintrag gibt es allerdings auch Meinungen, dass es solch aufwändiger Tarnung gar nicht bedurft hätte. Es habe sich ja gezeigt, dass auch ohne diese Maßnahmen die Antiviren-Spezialisten, Siemens und SCADA-Experten Monate gebraucht hätten, um Stuxnet zu entdecken und seine Arbeitsweise zu verstehen.

Quelle : www.heise.de

[SiLæncer]

Die russische Regierung gab am gestrigen Mittwoch eine Aufsehen erregende Stellungnahme zum Computerschädling Stuxnet ab. Der russische Botschafter Dmitry Rogozin empfahl der NATO, den Angriff und seine Folgen genauer zu untersuchen. Er warnte, Stuxnet könnte "ein neues Tschernobyl" auslösen.

Stuxnet dient der gezielten Sabotage von Industrie-Anlagen. Aufgrund der kostspieligen und aufwändigen Natur des Trojaners sowie der Tatsache, dass die Programmierer offenbar über Detailkenntnisse über Industrie-Anlagen verfügten, schließen viele IT-Sicherheitsexperten auf eine staatliche Beteiligung. Im Verdacht stehen insbesondere die USA und Israel, womöglich auch in Kooperation.

An der iranischen Atomanlage Busher richtete Stuxnet ernste Schäden an. Zahlreiche Zentrifugen wurden westlichen Medienberichten zufolge durch fehlerhafte Steuersignale zerstört. Der Iran bestritt allerdings, dass Stuxnet ernsthafte Schäden angerichtet habe. Von den dortigen Offiziellen hieß es, Stuxnet habe lediglich die Computer der Angestellten betroffen.

Rogozin hält Stuxnet aufgrund seiner Wirkung auf derartige Anlagen für äußerst gefährlich. "Dieser Virus, der sehr toxisch, sehr gefährlich ist, könnte sehr ernste Folgen haben," sagte er gestern. Er verglich Stuxnet mit "explosiven Minen" und warnte, der Schädling könnte "zu einem neuen Tschernobyl führen". In dem ukrainischen Atomkraftwerk war es 1986 zu einem folgenschweren Unfall gekommen.

Rogozin empfahl der NATO dringend eine gründliche Untersuchung der Vorgänge rund um Stuxnet. Diese seien "keine Privatangelegenheit", so der Diplomat.

Quelle : www.gulli.com

[SiLæncer]

Estland, Georgien, Nahost, Iran, China – die bisherigen Hinweise auf einen "Cyberwar", also auf die Störung der informationstechnischen Infrastruktur mit Beteiligung von staatlichen Akteuren, sind noch überschaubar. Umfangreicher sind die Szenarien möglicher Angriffe. Auf der 47. Münchner Sicherheitskonferenz ist die "Cyber Security", also die Sicherheit der digitalen Infrastruktur, einer der Schwerpunkte. Die Bedrohungen für Frieden und Sicherheit aus dem Internet seien längst mehr als nur Science-Fiction-Szenarien, sagt Konferenzleiter Wolfgang Ischinger – auch wenn, wie die OECD kürzlich festhielt, ein nur über das Internet geführter Cyberwar zwischen Staaten sehr unwahrscheinlich sei.

"Nachricht Nr. 1 an die Truppen. Betreff: Den Feind im Info-War angreifen" – Mit diesem über Twitter verbreiteten Aufruf hat die Bewegung mit der Bezeichnung Anonymous Anfang Dezember 2010 zu Attacken auf Unternehmen aufgerufen, die Geschäftsbeziehungen zur Enthüllungsplattform Wikileaks abgebrochen haben.

Den Aktivisten gelang es, die Webserver ihrer Angriffsziele mit DDoS-Attacken lahmzulegen. Viel mehr als Nadelstiche können solche Blockadeaktionen aber kaum bewirken. Der Wikileaks-Aufstand im Netz wird von Experten aber weniger als Cyber-Krieg betrachtet, sondern eher als eine Art Guerillakrieg aus dem digitalen Untergrund.

"Es ist nicht korrekt, alles gleich als 'Krieg' oder 'Angriff' zu bezeichnen, was im Internet an schlechten Dingen passiert", betont James A. Lewis vom Zentrum für Strategische und Internationale Studien (CSIS) in Washington in einem im Oktober 2010 veröffentlichten Aufsatz (PDF-Datei). Ein kriegerischer Akt sei immer mit dem Einsatz von politisch motivierter Gewalt seitens eines Staates oder gegen einen Staat verbunden.

Verglichen mit anderen Waffen seien die Folgen eines Cyber-Angriffs nicht sehr zerstörerisch, erklärt Lewis. Sie könnten aber auch Angriffe mit klassischen militärischen Waffen begleiten. So soll die israelische "Operation Orchard" im September 2007 – damals wurde eine mutmaßliche Atomanlage in Syrien aus der Luft angegriffen – nach unbestätigten Berichten von einer digitalen Manipulation des Radarsystems begleitet gewesen sein, sodass auf dem Bildschirm nur ein leerer und friedlicher Luftraum zu sehen war.

Die Angriffe auf Websites in Estland im April 2007 waren für sich genommen vergleichsweise harmlos, hatten aber weitreichende Konsequenzen. Die Attacken, unter anderem DDoS-Angriffe, gingen Experten zufolge von Russland aus – inwieweit staatliche Stellen dabei mitgewirkt haben, ist nicht nachweisbar. Dennoch führten die Ereignisse dazu, dass sich die NATO verstärkt mit dem Cyberwar beschäftigte.

Ein Jahr danach, im Herbst 2008, richtete das westliche Militärbündnis in der estnischen Hauptstadt Tallinn ein Cyber-Abwehrzentrum (CCDCOE) ein. Damals gab es mit Angriffen auf georgische Websites während des Kriegs mit Russland bereits einen weiteren Cyberwar-Ernstfall.

Beim Angriff chinesischer Hacker im Januar 2010, der vermutlich ebenfalls im staatlichen Auftrag ausgeführt wurde, waren Google und 33 andere US-Unternehmen Opfer einer besonders raffinierten Attacke. Dabei hatten die "Cyberkrieger" unter anderem den Programmcode der Google-Software im Visier, nachdem sich der Internetriese zuvor über die Online-Zensur in China beklagt hatte.

Eine neue Dimension kam im vergangenen Jahr mit Stuxnet ins Spiel. Dieser Computerwurm "richtete sich ganz gezielt gegen zwei spezielle Controller von Industrieanlagen im Iran", erklärt der Karlsruher Sicherheitsexperte Christoph Fischer. "Stuxnet hatte über 30 Sicherheitsmechanismen, damit es nicht den falschen erwischt." Jetzt gebe es das Risiko einer Abwandlung von Stuxnet, die dann auch andere bedrohen könne.

"Es verlassen sich viel zu viele auf die Hochverfügbarkeit des Internets", so Fischer. "Die ist definitiv nicht gegeben." Es müsse klare internationale Regelungen geben, um das Netz vor Sabotage zu schützen. "Die Sicherheitskonferenz in München ist das richtige Forum dafür."

Quelle : www.heise.de

[SiLæncer]

Der israelische Vize-Premierminister Dan Meridor sieht in der Cyberkriegsführung eine Alternative zum konventionellen Krieg, wohl auch mit Hinblick auf die ständige Bedrohung aus Richtung Iran. Währenddessen gibt es auf der Münchner Sicherheitskonferenz am Freitag zum ersten Mal einen Vorschlag für Konventionen für den Cyberwar.

"Krieg ist hässlich, furchtbar hässlich." Diesen Worten von Dan Meridor, dem stellvertretenden Premierminister des Staates Israel, kann wohl ohne Einspruch zugestimmt werden. Interessant sind aber vor allem die Schlüsse, die er aus dieser universalen Erkenntnis zieht. Meridor scheint nämlich in der digitalen Kriegsführung, dem sogenannten Cyberwar, eine ernsthafte Alternative zum traditionellen Krieg zu sehen. Man würde sich nach anderen Wegen umsehen, und "einer dieser anderen Wege ist, dass die Geheimdienstgemeinschaft der gesamten Welt versucht Dinge zu tun, die nicht hässlich aussehen, die keine Menschen töten." "Und die gesamte Welt, die nicht auf dem Schirm ist, die Cyber Welt... wird im Konflikt zwischen Nationen immer wichtiger. Es ist ein neues Schlachtfeld, wenn Sie so wollen, nicht mit Schusswaffen aber mit etwas anderem", so Meridor weiter.

Zwar hat Israel eine Beteiligung am Stuxnet-Wurm bisher immer bestritten, dennoch hat man von offizieller Seite her in den letzten zwei Jahren Stück für Stück ein ganzes Arsenal an "Cyberwaffen" enthüllt, die eine tragende Säule der Verteidigungsstrategie darstellen sollen. Gerade auch mit Blick auf die militärische Lage Israels ist eine solche Entwicklung verständlich. Zwar steht Israel immer noch im Verdacht, als einziges Land in der Region Atomwaffen zu besitzen, die konventionellen Streitkräfte sind jedoch zahlenmäßig zu schwach, um eine ernste Bedrohung für beispielsweise den Iran und sein Atomprogramm darzustellen. Gerade die islamische Republik und ihr Atomprogramm stellt eine große Gefahr und damit auch ein Ziel für mögliche Cyberangriffe dar.

Dazu passend möchte das EastWest Institute auf der Münchner Sicherheitskonferenz einen Vorschlag über Spielregeln bei Cyberkonflikten einbringen. Es gehe darum, die Genfer und Den Haager Konventionen in den Cyberspace zu übersetzen. Man müsste zum Beispiel solche Bereiche, die eine Auswirkung auf etwa Krankenhäuser und Schulen haben, von den digitalen Kriegsschauplätzen ausnehmen. Außerdem bräuchte es neue Definitionen des Begriffs Nationalstaat, außerdem würden im Cyberspace neue Akteure wie NGOs oder normale Bürger hinzukommen, zudem sei in der digitalen Welt der Unterschied zwischen Kriegs- und Friedenszustand weit weniger trennscharf. Die am Freitag beginnende Konferenz hat in diesem Jahr zum ersten Mal das Thema Cybersicherheit auf der Agenda.

Quelle : www.gulli.com

[SiLæncer]

Die Bundesregierung will noch im Februar über eine neue Strategie zur Cyber-Sicherheit beraten. Die entsprechenden Vorschläge seien zurzeit in der Ressortabstimmung, sagte am Freitag ein Sprecher des Bundesinnenministeriums. Teil der Strategie ist die Bildung eines "nationalen Cyber-Abwehrzentrums". Dieses soll voraussichtlich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) angesiedelt werden.

BSI-Präsident Michael Hange sagte der dpa, im vergangenen Jahr habe der auf Industrieanlagen ausgerichtete Trojaner Stuxnet sichtbar gemacht, was bisher nur in theoretischen Modellen skizziert worden sei. Diese Schadsoftware richtete sich gezielt gegen Atomanlagen im Iran. In Deutschland gebe es bereits einen nationalen Plan für IT-Sicherheit, sagte Hange. "Derzeit werden weitere Initiativen diskutiert, um die Cybersicherheitsstrategie weiter zu entwickeln. Wir werden da unsere Kompetenz einbringen, wo sie gefragt ist", sagte Hange.

Die neuartigen IT-Bedrohungen unter dem Schlagwort "Cyberwar" beschäftigen auch die am Freitag begonnene 47. Münchner Sicherheitskonferenz. "Es besteht dringender Handlungsbedarf", sagte der Sicherheitsexperte Arne Schönbohm am Rande der Konferenz. "Wenn wir den Cyberwar haben, tritt der Verteidigungsfall ein." Die Zuständigkeiten für den dann nötigen Schutz der sicherheitskritischen Infrastruktur wie Stromnetz oder Flughäfen seien bislang aber nicht hinreichend geklärt. "Wir warten immer nur, bis etwas passiert." Erforderlich sei eine übergeordnete Stelle für die enge Abstimmung zwischen Verteidigungsministerium, Innenministerium und den für die Polizei zuständigen Ländern. Bislang gebe es dafür noch keinen institutionellen Rahmen.

Die vom Bundesinnenministerium angekündigte Einrichtung eines nationalen Cyber-Abwehrzentrums sei ein wichtiger erster Schritt, sagte Schönbohm. Dabei müsse auch Kompetenz aus dem Verteidigungsministerium einbezogen werden.

Quelle : www.heise.de

[SiLæncer]

Bundesinnenminister Thomas de Maizière (CDU) hat vor Cyber-Angriffen im Internet gewarnt. Ungefähr alle zwei bis drei Sekunden gebe es einen Angriff auf das deutsche Internet – von Privaten, von Staaten, vom wem auch immer, sagte de Maizière im Gespräch mit der Zeitung "Die Welt". Das deutsche Regierungsnetz werde etwa vier- bis fünfmal am Tag angegriffen. "Dabei gehen wir, ohne es sicher beweisen zu können, von der Beteiligung von Nachrichtendiensten anderer Länder aus", sagte der Minister. Er will am Samstag erstmals ausführlich über das Thema Cyberwar auf der Sicherheitskonferenz in München sprechen.

De Maizière schloss nicht aus, dass ganz Deutschland durch einen Angriff aus dem Internet lahmgelegt werden könnte. Dies war in Estland der Fall, wo Banken, Ministerien und Sicherheitsbehörden tagelang nicht arbeitsfähig waren. "Völlig ausschließen lässt sich so etwas nie", sagte der Minister.

Die Bundesregierung will noch im Februar über eine neue Strategie zur sogenannten Cyber-Sicherheit beraten. Der Innenminister plant zum Schutz vor solchen Angriffen ein nationales Cyber-Abwehrzentrum. Dort sollen unter der Federführung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) der Verfassungsschutz, das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie weitere Behörden tätig werden.

Dazu kommen Vertreter von Schlüsselbereichen, beispielsweise die Zuständigen für die Sicherheit des Zahlungsverkehrs. Auch eine Schnittstelle zur Wirtschaft für den Informationsaustausch über Cyber-Angriffe sollte es geben, so de Maizière.

Quelle : www.heise.de

[SiLæncer]

Grafische Darstellung der Netzwerk-Verbindungen in einem Teil des Internets

Ist es möglich, durch einen gezielten Hacker-Angriff das gesamte Internet außer Gefecht zu setzen? Ein Forscherteam der University of Minnesota in Minneapolis würde diese Frage mit 'ja' beantworten, nachdem es sich genauer mit der Thematik befasst hat. Ihre Strategie: Angriffe direkt auf das dem Internet zugrunde liegende Routing-Protokoll.

Das Team um den Informatik-Professor Max Schuchard konzentrierte sich bei seiner Konzeption einer "Super-Cyberwaffe", wie es einige Beobachter leicht reißerisch nennen, direkt auf das Routing-Protokoll "Border Gateway Protocol" (BGP). Routing-Protokolle dienen dazu, mit Hilfe bestimmter Algorithmen die Wege festzulegen, mit denen Datenpakete ihren Zielort erreichen. Die Netze einzelnger Internet-Provider (im Fach-Jargon "Autonome Systeme" genannt) sind durch Router verbunden, die die Kommunikation zwischen verschiedenen dieser Netze ermöglichen. Moderne Routing-Protokolle wie BGP können auf Änderungen und Ausfälle in der Infrastruktur zeitnah reagieren und neue Routen vorgeben. Informationen über die Netzwerk-Topologie werden dabei von einem Router an die umliegenden in Form sogenanter Routing-Updates weitergereicht und verbreiten sich so immer weiter.

Bei aller Effizienz ist BGP jedoch nicht unangreifbar. Schon seit längerem ist ein Angriff namens "ZMW" - benannt nach den drei Erfindern Zhang, Mao und Wang - bekannt. Dieser basiert darauf, Routern zu suggerieren, eine bestimmte Verbindung sei offline. Dadurch wird kommuniziert, andere Pfade zu benutzen, und die entsprechende Route wird tatsächlich nicht mehr verwendet. Schuchard und seine Kollegen entwickelten nun eine Möglichkeit, diese Art des Angriffs in großem Umfang zu realisieren. In Simulationen testeten sie auch den Effekt dieses Vorgehens.

Der von den Wissenschaftlern vorgeschlagene Angriff erfordert ein großes Botnet. Schuchard schätzt, das zum Ausschalten des kompletten Internets ein Botnet von rund 250.000 infizierten Rechnern - sogenannten "Zombies" nötig wäre. Für entschlossene Cyberkriminelle wäre dies keine unrealistische Größe.

Die Zombies untersuchen in Schuchards Szenario zunächst die sie umgebende Netzwerk-Infrastruktur. Anschließend wird eine Netzwerk-Verbindung identifiziert, die möglichst stark frequentiert wird, und per ZMW-Angriff ausgeschaltet. Die benachbarten Router verschicken daraufhin per BGP die Information, dass ein anderer Pfad benutzt werden muss. Nach einer Weile verbinden sich die beiden zuvor getrennten Router erneut und teilen auch dies per BGP mit. Die Angreifer starten daraufhin eine weitere ZMW-Attacke, um die Verbindung erneut zu trennen. Dieser Zyklus wird anschließend immer wieder wiederholt. Die Wissenschaftler sind der Ansicht, das dies zu extremen Mengen an BGP-Updates führen würde, die von sämtlichen Routern im Internet bearbeitet werden müssten. In 20 Minuten Angriff könnten laut den beteiligten Forschern so Updates erzeugt werden, deren Abarbeitung rund 100 Minuten dauert.

Die Router wären daraufhin überlastet. "Router, die extreme Mengen an Berechnungen ausführen müssen, tendieren dazu, merkwürdige Dinge zu tun," berichtet Schuchard. Zudem würden in der Menge der Updates tatsächliche Änderungen der Topologie untergehen, so dass es früher oder später zu "Löchern" in der Kommunikation käme. Schuchard glaubt, dass derartige Probleme Tage zur Behebung bräuchten und nur durch das manuelle Eingreifen von Administratoren behoben werden könnten.

Mit einer kurzfristigen Umsetzung seiner Theorien in die Tat rechnet Schuchard allerdings nicht. Die notwendigen Untersuchungen der Netzwerk-Topologie erfordern erhebliche Fachkenntnisse und sind daher nur einem kleinen Teil der Cyberkriminellen zuzutrauen. Zudem lässt sich mit einem solchen Angriff kein unmittelbarer Profit erzielen. In einem Cyberwar-Szenario allerdings könnte ein Land sein eigenes Netz vom Internet abkoppeln und anschließend per BGP-Angriff das restliche Netz lahmlegen.

Gegenmaßnahmen gegen das beschriebene Angriffsszenario gibt es wenige. Die eingebauten Sicherheitsmaßnahmen von BGP sind auf einen derartigen Angriff nicht ausgelegt. Bisher angedachte mögliche Änderungen des Routings wären aufwändig und teuer und brächten teilweise auch andere Nachteile mit sich.

Der tatsächliche Schaden des Angriffs ist zudem umstritten. Sicher ist, dass man auf diesem Wege erhebliche Störungen des Netzes herbeiführen könnte. Während Schuchard jedoch überzeugt ist, dass man so das gesamte Internet lahmlegen könnte, ist beispielsweise Netzwerk-Experte Mark Handley vom University College London anderer Ansicht. "Die Simulationen in dem Paper beinhalten eine Menge Annahmen, die den Schaden verstärken, was nötig ist, um in diesem Maßstab zu simulieren. Ich bezweifle, dass das Internet sich so verhalten würde wie beschrieben," erklärt er.

Es bleibt also umstritten, welcher Schaden sich mit dieser Art des Angriffs auf BGP tatsächlich anrichten lässt. Signifikant genug, um weitere Aufmerksamkeit für das Thema zu rechtfertigen, dürfte er jedoch durchaus sein. Die Untersuchung möglicher Angriffe auf BGP steht noch relativ am Anfang. Das nun vorgestellte Paper ist ein Schritt hin zu einem besseren Verständnis. In wie weit Schuchard und sein Team jedoch mit ihrer äußerst pessimistischen Schadenserwartung richtig liegen, ist bislang unklar und müsste durch weitere Tests geklärt werden. Ebenso werden sich Experten vermutlich bald mit möglichen Sicherheitsmaßnahmen, die vor derartigen Angriffen schützen könnten, befassen.

Quelle : www.gulli.com

[SiLæncer]

Das US-Softwareunternehmen Symantec hat weitere Details über Stuxnet bekanntgegeben: Danach zielte die Schadsoftware auf fünf Internetadressen und infizierte darüber 12.000 Systeme. Teile des Quellcodes sind inzwischen im Internet aufgetaucht.

Der US-Sicherheitssoftwarehersteller Symantec hat neue Erkenntnisse über die Schadsoftware Stuxnet veröffentlicht. Es handelt sich dabei um eine Aktualisierung der Analyse, die Symantec im Herbst vergangenen Jahres veröffentlicht hat.

Fünf Ziele

Stuxnet zielte, so Symantec, auf fünf verschiedene Internetdomains, die zu Industrieanlagen im Iran gehörten. Deren Namen hat das Unternehmen nicht bekanntgegeben. Die Angriffe seien im Sommer 2009 sowie im Frühjahr 2010 durchgeführt worden. Dabei wurden alle Anlagen mindestens ein Mal angegriffen, eine zusätzlich ein weiteres Mal und eine drei Mal.

Die Entwickler hätten, so die Erkenntnis der Sicherheitsexperten, drei Varianten von Stuxnet in Umlauf gebracht - die erste im Juni 2009, die beiden Nachfolger im März und April 2010. Möglicherweise gebe es noch eine vierte, die aber nicht zum Einsatz kam. Über diese fünf Ziele seien rund 12.000 Systeme mit der Malware infiziert worden, konnten die Spezialisten ausmachen. Allerdings gehen sie davon aus, dass die Zahl noch höher ist. Die Verhaltensweise der Malware ließ sich so gut nachvollziehen, weil diese den Standort und den Typus jedes infizierten Computers aufzeichnete.

Quellcode gefunden

Unterdessen hat die Gruppe Anonymous bekanntgegeben, dass sie den Quellcode des Wurms hat. Dieser stammt aus E-Mails des US-Sicherheitsunternehmens HBGary, die Anonymous kürzlich erbeutet hat, als es Mitgliedern der Gruppe gelang, in die Systeme von HBGary einzudringen.

HBGary-Chef Aaron Barr habe die Schadsoftware von dem Antivirensoftwarehersteller McAfee bekommen, berichtet die Website Crowdleaks. Crowdleaks hat nach eigenen Angaben Teile der Software dekompiliert und im Internet veröffentlicht.

Anonymous hat inzwischen die Website Anonleaks eingerichtet, auf der die Gruppe die Daten von HBGary, darunter E-Mails von Barr und anderen Mitarbeitern, veröffentlicht hat. Diese Site ist derzeit laut Anonymous jedoch nicht erreichbar. Die Nutzer sollten deshalb auf einen Spiegelserver ausweichen.

Quelle : www.golem.de

[SiLæncer]

Eine weitere Expertenanalyse des Quellcodes liefert neue Erkentnisse: Der Code wurde scheinbar sehr gezielt gegen das iranische Atomprogramm entwickelt und optimiert. Die ersten bereits Anfang 2009 angegriffenen Ziele (größtenteils im Iran) stehen scheinbar alle im Zusammenhang mit dem Projekt.

Nachdem Symantec letzte Woche einen weiteren Report über die Verbreitung von Stuxnet veröffentlichte, in dem unter anderem beschrieben wird, dass fünf verschiedene Organisationen im Iran bereits 2009 mehrfach von verschiedenen Stuxnet-Varianten angegriffen wurden, äußerte sich nun auch der Deutsche IT-Sicherheitsspezialist und Blogger Raph Langer gegenüber cnet zum Thema. Er sagte: "Meine Wette ist, dass eine der infizierten Einrichtungen Kalaye Electric ist. [...] Wir haben immer noch keine Beweise, aber genau so würden wir wohl einen Angriff starten, indem wir eine Hand voll Schlüsselkontakte zum Atomzentrum Natanz infizieren".

Nahe der Stadt Natanz  (etwa 225 km südsüdöstlich von Teheran) befindet sich Irans unterirdische Atomanlage zur Anreicherung von Uran. Laut IAEO (Internationale Atomenergie-Organisation) ist die Anlage auf bis zu 54.000 Zentrifugen ausgelegt. Nach IAEO-Angaben waren 2007 rund 300 Zentrifugen aktiv (was nicht reicht, um Uran im industriellen Maßstab anzureichern). Nach Angaben des Iran wird die Anlage jedoch nur benutzt, um Kraftwerksuran herzustellen, welches auf ca 3,5% angereichert werden muss. Waffenfähiges Uran hat typischerweise einen Anreicherungsgrad von 85%. Bis zum November 2009 hat Iran nach eigenen Angaben ca 1.800Kg auf 3,5% angereichertes Uran hergestellt. Jedoch nahm die Produktion im Jahre 2009 stark ab. So waren im November nur noch ca 3000 der 8000 vorhandenen Zentrifugen in Betrieb (wahrscheinlich eine Stuxnet-Folge). Seit 2010 versucht der Iran, auch auf 20% angereichertes Uran für den Forschungsreaktor in Teheran herzustellen. Dieser benötigt laut Angaben des Leiters der iranischen Atombehörde, Ali Akbar Salehi, 1,5 kg des Materials pro Monat."Die Gaszentrifugen werden üblicherweise zu Kaskaden mit mehreren hundert Einzelzentrifugen verbunden, da jede Zentrifuge nur einen begrenzten Durchsatz und eine begrenzte Anreicherung erreichen kann. Parallelschaltung der Zentrifugen sorgt dabei für die Erhöhung des Durchsatzes, während die Anreicherung durch Serienschaltung erhöht wird. Die Effektivität der Zentrifugen kann... insbesondere durch Vergrößerung der Umlaufgeschwindigkeit gesteigert werden" . Genau an diesem Punkt setzt Stuxnet an, indem die Drehzahl der einzelnen Zentrifugen schlagartig gesenkt und dann wieder hochgefahren wird. Durch dieses Vorgehen steigt der Verschleiß der Zentrifugen und die Qualität des angereicherten Urans nimmt rapide ab. Symantec bezeichnet dies als einen Sabotageakt.

Symantec geht zur Zeit von 3280 einzigartigen Stuxnet-Versionen, die für insgesamt 12.000 der über 100.000 Infektionen verantwortlich sind, aus. Sicherlich ist dies nur ein kleiner Anteil der Stuxnet-Infektionen, aber er gibt mehr Auskunft über die Ziele und Verbreitung des Wurms. In einem Blog-Post  von Symantec heißt es: "Auch wenn das nur ein kleiner Anteil der bekannten Infketionen ist, so waren wir doch in der Lage, interessante Informationen über die Verbreitung und die Ziele von Stuxnet zu sammeln."

Auch wenn 60% der Infektionen im iran stattfanden, geht langer mittlerweile davon aus, das möglicherweise nicht alle Stuxnet-Ziele im Iran waren. "Meine Theorie ist, dass womöglich nicht alle davon im Iran sind, da wahrscheinlich wenigstens ein wichtiger Vertragspartner eine ausländische Organisation ist (das ist etwas, das wir gerade untersuchen). Leider hat Symantec nichts über die geografische Lage der Ziele veröffentlicht." in Frage kommen demnach alle Firmen, die mit dem iranischen Atomprogramm in Verbindung stehen.

Eine Untersuchung, durchgeführt von Langer und anderen Symantec-Partnern, habe ergeben, dass Stuxnet genau auf die Zentrifugen-Kaskaden in Natanz abgestimmt sei. "Diese Analyse zeigt, dass Stuxnet zu 100 Prozent klar für einen Angriff auf Natanz geschrieben wurde - und zwar nur Natanz."  Weitere Untersuchungen haben gezeigt, dass Stuxnet optimiert wurde, um Zentrifugen zu beschädigen und die Ausbeute von Uran durch Drehzahländerungen zu verringern (bei unregelmäßigem Betrieb fällt die Ausbeute signifikant geringer aus). Stuxnet war also auf Langzeitwirkung ausgelegt und sollte demnach wohl über lange Zeit im system aktiv bleiben. Ob der letztendliche Erfolg die hohen Entwicklungskosten von Stuxnet rechtfertigt, ist wohl Ansichtssache. Der Wurm dürfte schließlich Unsummen verschlungen haben. Benutzt wurden unter anderem mehrere Windows-Sicherheitslücken und Zertifikate von Realtek und JMicron. So wurden in späteren Stuxnet-Versionen zwei Treiber mit einem Realtek-Zertifikat versehen, die Schadcode in Systemprozesse injizieren. Die beiden mrxnet.sys und mrxcls.sys genannten Programme dienten dabei in erster Linie dazu, die Entdeckung von Stuxnet zu verhindern, und tragen ein Compilerdatum vom 25. Januar 2010. Später wurde von eset noch ein Treiber entdeckt, der sich jmidebs.sys nennt und ein Zertifikat von JMicron benutzt. Er besitzt ein Compilerdatum vom 14. Juli 2010. Teile des Stuxnet-Codes wurden derweil scheinbar kopiert und im Netz veröffentlicht. Ob und wann es einen (würdigen) Stuxnet-Nachfolger geben wird, bleibt abzuwarten. Jedoch lassen die großen Investitionen einiger Regierungen in den "Cyber-War" auf eine Menge weiterer "hochwertiger" Malware schließen. Möglicherweise ist Stux 2.0 ja bereits an irgendeinem Ort im Einsatz.

Quelle : www.gulli.com

[SiLæncer]

Die Sicherheitsfirma HB Gary arbeitet offenbar an Tools, mit denen die Meinungsmache im Internet erleichtert wird. Einzelne sollen damit viele künstliche, glaubwürdige Personen verkörpern können, um mit ihnen etwa in sozialen Netzwerken andere Menschen zu beeinflussen.

In den kürzlich von der Gruppe Anonymous veröffentlichten Dokumenten und internen E-Mails von HB Gary finden sich auch Pläne für ein neues Softwarewerkzeug, mit denen etwa Regierungen oder Unternehmen mit vergleichsweise wenig Aufwand das Meinungsbild beeinflussen könnten. HB Gary hatte versucht, die Aktivisten von Anonymous zu unterwandern und öffentlichkeitswirksam zu enttarnen - wurde dabei aber selbst, ohne es zu merken, ausspioniert.

Daily-Kos-Blogger "Happy Rockefeller" hat sich den entsprechenden E-Mail-Wechsel zwischen Mitarbeitern der Sicherheitsfirma genauer angesehen. Darin geht es um die Entwicklung von gefälschten Personen, auch Sockenpuppe (Sock Puppet) genannt. Mit Software, VPNs und wechselnden IP-Adressen könnte es einfacher gemacht werden, wenig Personal in viele Rollen (engl. Persona) schlüpfen zu lassen.

So könne auch mit wenig Aufwand eine Armee an unechten Personen durch das Netz ziehen - wobei die Software und eine gute Bedienoberfläche dafür sorgen sollen, dass die paar echten Menschen hinter den vielen gefälschten in den verschiedenen sozialen Netzwerken, Blogs und Foren ihrer Rolle treu bleiben und sich nicht verraten. Unterstützt wird das durch automatisch erstellte Beiträge, passend zur Rolle.

Sorgen macht sich Happy Rockefeller, weil es hier nicht nur darum gehe, im Internet heimlich Öffentlichkeitsarbeit zu betreiben und Daten zu sammeln - sondern im großen Maßstab das öffentliche Meinungsbild zu beeinflussen und die Illusion eines Konsens zu liefern - oder Gegner einzuschüchtern und mundtot zu machen. Als Zulieferer multinationaler Anwaltskanzleien, der US-Regierung, des US-Verteidigungsministeriums, der NSA und der CIA sollte HB Gary nicht unterschätzt werden.

Einen Beweis für das staatliche Interesse an solcher Persona Management Software sieht der Blogger in einer offenen Ausschreibung der US-Airforce vom vergangenen Jahr. Benötigt würden 50 Nutzerlizenzen, pro Nutzer sollten zehn "Personas" verwaltet werden können - Happy Rockefeller vermutet, dass es dabei um den Einsatz im Ausland geht, etwa in Afghanistan und dem Irak. Unter den an der Ausschreibung interessierten Firmen ist auch HB Gary gelistet. Dazu kommen fünf weitere, die offenbar ähnliche Lösungen bieten könnten oder bereits daran arbeiten.

Happy Rockefeller stellt sich nun die Frage, wie effektiv Angriffe mit Hilfe unechter Personen sein können und wie leicht sich andere durch so gestreute Gerüchte und virtuelle Mobs beeinflussen lassen werden.

Quelle : www.golem.de

[SiLæncer]

Die Bundesregierung hat heute ihre Strategie für ein effektiveres Vorgehen gegen Kriminalität und andere Risiken im Internet-Bereich verabschiedet.

Dafür will sie unter anderem ein Nationales Cyber-Abwehrzentrum aufbauen und einen Nationalen Cyber-Sicherheitsrat einrichten. Seitens der Wirtschaft wurde das Vorhaben begrüßt. Als vorbildlich bezeichnete man insbesondere die enge Zusammenarbeit der betroffenen Ministerien und die geplante enge Einbindung der Wirtschaft.


"Rund drei Viertel der kritischen Infrastrukturen sind in privater Hand. Infrastrukturen lassen sich nur in enger Zusammenarbeit zwischen Staat und Wirtschaft wirksam schützen", erklärte Dieter Kempf vom Vorstand des IT-Branchenverbandes BITKOM. Die aktuelle Problematik um den Trojaner Stuxnet habe gezeigt, wie sicherheitskritisch IT-Infrastrukturen für Wirtschaft und Staat sind.

Aufgrund der zunehmenden Vernetzung von Maschinen, zum Teil auch über das Internet, entstünden neue Angriffspunkte. Mit dem neuen Internet-Protokoll IPv6 werden zukünftig noch weitaus mehr Systeme als bisher eine feste IP-Adresse haben. "So wichtig die Vernetzung für den Fortschritt, eine effiziente Produktion und die Umwelt ist, so eröffnet sie in exponenziellem Maße neue Angriffsflächen für Terrorismus, Spionage und herkömmliche Kriminalität", so Kempf.

Ins Zentrum der Cyber-Sicherheitsstrategie gehöre aus BITKOM-Sicht auch die Förderung einer leistungsfähigen IT-Sicherheitsindustrie in Deutschland. Die Anbieter von IT-Sicherheitstechnologien hätten für die künftige Sicherheit Deutschlands eine ebenso hohe Bedeutung wie die Hersteller traditioneller Militärtechnik und Sicherheitssysteme.

Quelle : http://winfuture.de

[SiLæncer]

Der Bund Deutscher Kriminalbeamter (BDK) befürchtet, dass die am Mittwoch beschlossene neue Sicherheitsstrategie der Bundesregierung fürs Internet und weitere digitale Infrastrukturen zu kurz greift. BDK-Chef Klaus Jansen hat das Konzept gegenüber der Neuen Osnabrücker Zeitung als "Mogelpackung" bezeichnet. Es reiche nicht aus, für das geplante nationale Cyber-Abwehrzentrum unter Beteiligung der Bundesämter für Katastrophen- und Verfassungsschutz zehn Behördenmitarbeiter beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammenzuziehen.

Das BSI soll laut den Plänen der Regierung für die Analyse von Schwachstellen und zur Erstellung von Täterbildern das Zoll- und das Bundeskriminalamt, die Bundespolizei, die Bundeswehr, den Bundesnachrichtendienst sowie "Aufsichtsstellen für kritische Infrastrukturen" hinzuziehen können. Das reicht Jansen nicht. Für eine effektive 24-Stunden-Kontrolle des Netzes seien "mindestens 100 Spezialisten erforderlich". Groß angelegte Angriffe von Staaten oder Hackern auf Computersysteme in Deutschland seien eine gewaltige Herausforderung. Deshalb müssten alle Sicherheitsbehörden von Bund und Ländern nach dem Vorbild des Gemeinsamen Terrorismus-Abwehrzentrums vernetzt werden.

Konstantin von Notz, netzpolitischer Sprecher der Grünen im Bundestag, warf der Regierung vor, sich mit dem jetzigen Ansatz "auf verfassungsrechtlich dünnes Eis" zu begeben. Wenn polizeiliche und nachrichtendienstliche Kompetenzen zusammengeführt würden, könne das "rechtsstaatlich wie grundrechtlich überaus wichtige Trennungsgebot" verwässert werden. Der Schutz kritischer Infrastrukturen sei zwar zweifellos wichtig. Die Bundesregierung agiere aber "viel zu hektisch" und analysiere die Bedrohungslage nicht ausreichend besonnen.

Der FDP-Netzpolitiker Manuel Höferlin sagte dem Hamburger Abendblatt, polizeiliche, nachrichtendienstliche und militärische Aufgaben dürften nicht vermischt werden. Jan Korte, Mitglied im Vorstand der Linksfraktion, sah in der Strategie gar den einen "unbändigen staatlichen Wunsch nach immer neuen Eingriffsbefugnissen gepaart mit einem panikartigem Aktionismus" ausgedrückt. Korte forderte die scheinbar von Stuxnet infizierte Bundesregierung auf, "die Militarisierungspläne für das Internet umgehend zu stoppen". Die Zustimmung der Liberalen sei offenbar erkauft worden, indem die Wirtschaft einbezogen worden sei, "die Cyber-Rüstungsspirale" verspreche schließlich gute Geschäfte.

Stefan Mair, Mitglied der Geschäftsführung des Bundesverbands der Deutschen Industrie (BDI), begrüßte das Konzept "ausdrücklich". Es helfe durch die enge Vernetzung öffentlicher und privater Stellen, ein "allgemeines Risikobewusstsein" und Vertrauen in die Informationstechnologie herzustellen. Informationsfluss und Wissensvermittlung zwischen Wirtschaft und Verwaltung würden "institutionell verankert". Dieter Kempf, Präsidiumsmitglied des Hightechverbands Bitkom, lobte das Vorhaben ebenfalls. Da mit dem neuen Internetprotokoll IPv6 bald "jedes Auto und jedes Elektrogerät" eine eigene Netzadresse habe, müsse wirkungsvoll präventiv, detektiv und reaktiv gehandelt werden. Vier von fünf Internetnutzern hierzulande wünschten sich vom Staat mehr Handeln gegen Terrorismus und eine stärkere Strafverfolgung im Internet, erklärte Kempf. "IT-Security made in Germany ein großes Thema". Das habe "nichts mit Deutschtümelei zu tun". Der Industrievertreter wünscht sich zudem, die Cyber-Sicherheitsstrategie international auszurichten.

Bundesinnenminister Thomas de Maizière erklärte, dazu im Kontakt mit der EU zu stehen, dort solle ein vergleichbares Reaktionsnetz aufgebaut werden. Auch könnten weitere Staaten zur Stärkung der Internetsicherheit kooperieren, "die sich besonders vertrauen". Besprechen könne man dies am besten "auf dem G8-Forum" der führenden Industrienationen. Der CDU-Politiker fügte hinzu: "Vielleicht G7, wenn man es genau überlegt." Ob er etwa Russland nicht an Bord haben wolle, ließ de Maizière offen.

Quelle : www.heise.de

[SiLæncer]

Schon länger bekannt ist, dass Deutschland im April das "nationale Cyber-Abwehrzentrum" in Dienst stellen will, das eine bessere Koordination beim Schutz kritischer Infrastrukturen ermöglichen soll. Daneben soll es aber anscheinend noch ein weiteres Gremium geben. Das deutete der Präsident des Bundeskriminalamts (BKA), Jörg Ziercke, in einem Interview mit dem TV-Sender NDR an. Dieses wurde bereits im Januar geführt, wird aber aufgrund mehrerer Verschiebungen erst am heutigen Donnerstag um 22.45 Uhr im Rahmen der Reportage "Angriff aus dem Internet: Wie Online-Täter uns bedrohen" in der ARD gesendet. Die von Ziercke angedeutete neue Einrichtung soll offenbar vor allem eine bessere Koordination von Staat und Privatwirtschaft zum Ziel haben.

Quelle : www.gulli.com

[SiLæncer]

Die Nachrichtenagentur 'Reuters' beruft sich auf einen Artikel der Zeitung "Kayhan" und teilt mit, dass der Iran schwere Vorwürfe gegen das deutsche Unternehmen Siemens im Zusammenhang mit Stuxnet erhebt.

Angeblich sei der deutsche Konzern den Vereinigten Staaten und Israel beim Angriff auf das iranische Atomprogramm behilflich gewesen, schreibt das Blatt. Dieser Auffassung ist jedenfalls der Militärkommandeur Gholamresa Dschalali.

In seinen Augen müsse Siemens zur Rechenschaft gezogen werden, da das Kontrollsystem zur Steuerung von Kraftwerken durch den Schädling Stuxnet befallen wurde.Ferner soll sich der Konzern nun dazu äußern, wie die Angreifer an detaillierte Informationen über die Scada-Software gekommen sind. Siemens hat sich bisher noch nicht zu diesen Anschuldigungen öffentlich geäußert.

Der Sicherheitsdienstleister McAfee teilte erst kürzlich mit, dass auch zahlreiche deutsche Unternehmen von dem Schädling befallen wurden. Durch den Wurm seien die Strom-, Gas- und Wasserversorger aus Deutschland allerdings keiner akuten Gefahr ausgesetzt, heißt es.Den Angaben von Sicherheitsexperten zufolge wurde Stuxnet speziell für die Infektion von Nuklearanlagen im Iran entwickelt. Es wird vermutet, dass eine Gruppe von Spezialisten mit der Entwicklung beschäftigt war.

Quelle : http://winfuture.de

[SiLæncer]

Die Zahl der Stuxnet-Infektionen im Unternehmensbereich ist offenbar höher als bislang angenommen. Im Rahmen einer Studie des Antivirenherstellers McAfee antworteten 59 Prozent der befragten Strom-, Gas- und Wasserversorger aus Deutschland, dass sie den Stuxnet-Wurm in ihren Systemen entdecken konnten. Das berichtet der Spiegel. Bei der Studie wurden insgesamt 200 IT-Verantwortliche von Konzernen in 14 Ländern befragt. Eine größere Verbreitung fand der Schädling nur in Indien, gemeinsam mit Deutschland befindet sich Frankreich auf dem zweiten Platz.

Geringer, aber dennoch besorgniserregend ist der internationale Durchschnitt: 41 Prozent der befragten Energieversorger konnten Stuxnet im Unternehmensnetz ausfindig machen. Nach bisherigem Kenntnisstand hat der Schädling bei den Firmen keinen Schaden angerichtet; Stuxnet hat es vermutlich auf eine iranische Urananreicherungsanlage in Natanz abgesehen und wird nur aktiv, wenn es sein Ziel identifiziert hat. "Hätten seine Schöpfer den Wurm jedoch anders konfiguriert, wäre das Schadenspotential immens gewesen", so McAfee-Manager Hans-Peter Bauer.

Der Spiegel-Bericht lässt offen, ob die befragten Unternehmen überhaupt die betroffenen Prozessleitsysteme von Siemens einsetzen und wie weit Stuxnet in kritische Bereiche der IT-Infrastruktur vorgedrungen ist. Gegenüber heise Security gab McAfee bekannt, dass die Studie erst am Dienstagnachmittag im vollen Umfang veröffentlicht wird.

Quelle : www.heise.de