Moores Gesetzlose





Eugene Kaspersky, CEO des russischen Antiviren-Unternehmens Kaspersky Lab, gibt zu, dass ihm letztes Jahr in den Sinn gekommen ist, dass er bei einem Flugzeugabsturz sterben könnte, der durch einen Cyberangriff verursacht wurde. Kaspersky ist ein Mann mit vielseitigem Geschmack und jungenhaftem Humor; Als wir uns in seinem Büro am Stadtrand von Moskau trafen, kaute er einen Snack mit gesüßten, gefriergetrockneten ganzen Babykrabben aus Japan, und irgendwann zeigte er mir ein Paar Herrenunterwäsche, gekauft in einer Moskauer Straße, die hatte gestempelt Geschützt durch Kaspersky Anti-Virus. Aber er wurde ziemlich ernst, als sich das Thema den Tagen vor dem 1. April 2009 zuwandte.

An diesem Tag sollte ein virulenter Computerwurm namens Conficker ein Update von seinem unbekannten Schöpfer erhalten – aber niemand wusste, zu welchem ​​​​Zweck. Eine Änderung des Codes von Conficker könnte dazu führen, dass die etwa drei Millionen Maschinen in seiner Armee versklavter Computer, die als Botnets bezeichnet werden, die Server eines Unternehmens oder Regierungsnetzwerks angreifen, Milliarden von Spam ausspucken oder einfach den eigenen Wurm verbessern Fähigkeit zur Fortpflanzung. Es ist, als ob Sie eine Armee von einer Million echter Soldaten hätten. Was kannst du tun? fragte Kaspersky rhetorisch. Alles was du willst . Das ließ er einen Moment auf sich wirken. Wir warteten vom 1. April bis auf etwas . Ich habe meinen Reiseplan überprüft, um sicherzustellen, dass ich keinen Flug hatte. Wir hatten keine Ahnung von dieser Funktion. Die Sicherheitsbeamten waren sehr nervös. Schlussendlich? Nichts ist passiert. Wütend! Wütend! Kaspersky schrie auf. Er bekreuzigte sich, verschränkte die Hände in einer gebetsähnlichen Haltung und blickte zur Decke.

Kann AIDS geheilt werden?

Diese Geschichte war Teil unserer Juli-Ausgabe 2010



  • Siehe den Rest der Ausgabe
  • Abonnieren

Die Unbekannten über Conficker im Frühjahr 2009 (die Infektion bleibt weit verbreitet, aber bisher inaktiv) spiegeln größere Unbekannte darüber wider, wie schlecht die Cybersicherheit werden wird ( siehe Briefing ). Die Trends sind nicht vielversprechend: Besuchen Sie die Labore von Kaspersky – oder die eines Computersicherheitsunternehmens oder Forschungsaußenpostens – und Sie werden schnell feststellen, dass Malware schwieriger zu erkennen ist, Spam schneller versendet wird und Angriffe immer häufiger und finanzieller Natur sind ( siehe The Rise in Global Cyber ​​Threats siehe Diashow ). Sicherheitsexperten und Angreifer sind in eine Art Wettrüsten verstrickt. Im Fall von Kaspersky unternehmen seine Ingenieure und Kryptografen alles, von der Suche nach schnelleren automatisierten Methoden zur Virenerkennung bis hin zum Durchsuchen von russischsprachigen Hacker-Blogs nach Hinweisen auf zukünftige Entwicklungen.

Geniale Lösungen vermehren sich, aber die Angriffe vermehren sich noch schneller. Und die diesjährigen Enthüllungen über chinesische Angriffe auf Unternehmens- und politische Ziele, darunter Google und den Dalai Lama, deuten darauf hin, dass auch die ausgeklügelte elektronische Spionage zunimmt. Was wir in den letzten zehn Jahren oder so gesehen haben, ist, dass Moore's Law mehr für die Bösen als für die Guten funktioniert, sagt Stewart Baker, ehemaliger General Counsel der National Security Agency und ehemaliger Policy-Chef der Das US-Heimatschutzministerium beruft sich auf die Vorhersage, dass sich die Transistorkapazität integrierter Schaltkreise etwa alle zwei Jahre verdoppeln wird. Es sind wirklich 'Moore's Outlaws', die diesen Kampf gewinnen. Code ist komplexer und das bedeutet mehr Möglichkeiten, den Code auszunutzen. Mit der Ausnutzung des Codes lässt sich mehr Geld verdienen, und das bedeutet, dass immer mehr erfahrene Leute versuchen, Schwachstellen auszunutzen. Wenn man sich Dinge wie gefundene Malware, Angriffe oder die Größe der Transporte ansieht, ist die Zunahme exponentiell.

Mit der Fortdauer dieser minderwertigen Konflikte steigt auch die Gefahr eines regelrechten Cyberkriegs. Mehr als 100 Nationen haben nach Angaben des FBI Organisationen zur Durchführung von Cyberspionage gegründet, und mindestens fünf Nationen – die Vereinigten Staaten, Russland, China, Israel und Frankreich – entwickeln echte Cyberwaffen, so ein Bericht der Computersicherheitsunternehmen McAfee. (Im Mai bestätigte der US-Senat den Direktor der National Security Agency, General Keith Alexander, als Leiter des neu geschaffenen US-Cyberkommandos.) Diese Arsenale könnten militärische Netzwerke lahmlegen oder Stromnetze lahmlegen. Und der Kampf könnte mit Lichtgeschwindigkeit eskalieren, nicht nur mit ballistischen Interkontinentalraketen. Cyberwaffen können eine große Anzahl von Menschen treffen, ebenso wie Nuklearwaffen. Aber es gibt einen großen Unterschied zwischen ihnen, sagt Vladimir Sherstyuk, Mitglied des russischen Nationalen Sicherheitsrats und Direktor des Instituts für Fragen der Informationssicherheit an der Moskauer Staatlichen Universität. Cyberwaffen sind sehr günstig! Fast kostenlos.



Diese Form des Kampfes ist immer noch weitgehend spekulativ und kann einige spezialisierte Waffen beinhalten, während die Belagerung von Angriffen durch Hacker und Malware für Einzelpersonen und Unternehmen eine tägliche Realität ist. Aber die beiden Konfliktarten teilen das gleiche Medium, und sie könnten einige der gleichen Ansätze teilen. Am bedeutendsten ist vielleicht, dass ersteres in der trüben und chaotischen Umgebung, die durch letzteres geschaffen wird, leichter zu meistern und gefährlicher wird. Die Botnets zu verfolgen, die Unternehmensspionage zu verfolgen, wird die Gefahr eines disruptiven Cyberkriegs nicht beseitigen, sagt Greg Rattray, ein ehemaliger nationaler Sicherheitsbeamter des Weißen Hauses und Autor von S Strategischer Krieg im Cyberspace . Aber ein saubereres Ökosystem würde die Cyberkriegsaktivitäten in ein helleres Licht rücken und es einfacher machen, sie zu erkennen und abzuwehren.

Grinsen und ertragen: Da es keine starken internationalen Vereinbarungen zur Bekämpfung der Cyberkriminalität gibt, wird die Arbeit manchmal durch Ad-hoc-Zusammenarbeit erledigt – zum Beispiel, als Eugene Kaspersky, CEO der Moskauer Sicherheitsfirma Kaspersky Lab, der niederländischen Polizei half, ein Botnet zu schließen. Aber solche Einzelerfolge halten mit der exponentiellen Zunahme der Angriffe nicht Schritt.

Grundsätzlich ist eine fehlerhafte Technologie für das ganze Durcheinander verantwortlich. Viele Komponenten unserer aktuellen Netzwerke sind nicht besonders sicher ( siehe The Internet Is Broken , Dezember 2005/Januar 2006 ). Ein Bericht nach dem anderen von Bundesbehörden, dem National Research Council und Think Tanks wie Rand hat deutlich gemacht, dass die endgültige Wiederherstellung des Cyberspace eine Beschleunigung der Forschung und Entwicklung erfordert, um Hardware, Software und Netzwerktechnologien sicherer zu machen – und diese Technologien dann schnell zu erhalten an Ort und Stelle. Der letzte Aufruf kam in einem Bericht des Heimatschutzministeriums im vergangenen November, der zu dem Schluss kam, dass die einzige langfristige Lösung … darin besteht, sicherzustellen, dass zukünftige Generationen dieser Technologien von Grund auf mit integrierter Sicherheit entwickelt werden.



Aber die Sicherung des Cyberspace kann nicht auf völlig neue Netzwerke warten. In der Zwischenzeit müssen wir uns mit einer Vielzahl anderer systemischer Probleme befassen. Darunter: vernünftige Sicherheitspraktiken werden oft ignoriert, die internationale Zusammenarbeit ist so lückenhaft wie die Technologie porös und Internetanbieter tun nicht genug, um bösartigen Datenverkehr zu blockieren. Das Verschärfen von Zielen – und gute Gesetze und gute Kapazitäten für die Strafverfolgung – sind die wichtigsten Grundlagen, unabhängig davon, welche anderen Aktivitäten wir verfolgen möchten, wie Christopher Painter, Senior Director für Cybersicherheit des Weißen Hauses, kürzlich auf einer Konferenz betonte. Technologieüberprüfung untersuchte drei aktuelle Episoden – eine außergewöhnliche Botnet-Untersuchung in Holland, eine Untersuchung von Spionage in China und anderen Ländern sowie die Internetangriffe von 2007 auf den kleinen baltischen Staat Estland –, um Lehren darüber zu ziehen, wie man die Schwachstellen besser überwachen und absichern kann Cyberspace, den wir haben, und bereiten Sie sich auf den Cyberkrieg vor, von dem wir hoffen, dass er nie kommen wird.

Schatten und Grum

Der Niederländer aus der Stadt Sneek war erst 19 Jahre alt, aber er hatte bereits mehr erreicht, als die meisten von uns behaupten können: Er hatte die unerlaubte Kontrolle über bis zu 150.000 Computer auf der ganzen Welt übernommen. Die ahnungslosen Opfer waren durch clevere Nachrichten, die anscheinend von ihren Kontakten im Windows Live Messenger von Microsoft stammten, zusammengetrieben worden. Diejenigen, die auf einen Link in der Nachricht geklickt haben, haben einen Virus heruntergeladen; jeder Computer wurde dann ein Bot. Im Sommer 2008 beschloss der Mann, Nordin Nasiri, laut einer US-Anklageschrift, die Kontrolle über diese versklavten Maschinen – ein Botnet, das er Shadow nannte – für 25.000 Euro zu verkaufen.

Botnets gehören zu den gravierendsten Bedrohungen im Internet. Sie sind die Motoren hinter Spam und dem Betrug und Identitätsdiebstahl, der durch Spam aufrechterhalten wird (laut einem aktuellen Bericht der Sicherheitsfirma MessageLabs werden täglich fast 130 Milliarden Spam-Nachrichten versendet, und Botnets sind für 92 Prozent davon verantwortlich). Sie sind auch für Bedrohungen wie Denial-of-Service-Angriffe verantwortlich, bei denen Computergruppen einen Firmen- oder Regierungsserver mit so viel Verkehr überfluten, dass er nicht mehr funktioniert. Tausende von großen Botnets umschwärmen den digitalen Äther, darunter einige, die Millionen von Maschinen stark sind. Botnets sind wirklich die eigentliche Ursache und das Vehikel, um einen Großteil des Bösen auszulösen, das vor sich geht und jeden betrifft, sagt Christopher Kruegel, Informatiker und Sicherheitsforscher an der Universität von



Kalifornien, Santa Barbara.

Spionage in der Cloud: Wie in China ansässige Hacker Web 2.0-Dienste ausnutzten, um ein globales Spionagenetzwerk zu betreiben.

Im vergangenen Frühjahr entdeckten Forscher ein Computerspionagenetzwerk, das von China aus von unbekannten Tätern geleitet wurde. In der obigen Karte stellen Kreise die Standorte von 139 Computern dar, von denen bekannt ist, dass sie mit der Spyware infiziert sind; Dazu gehörten solche im Sekretariat des Nationalen Sicherheitsrats von Indien, im Büro des Dalai Lama und in der pakistanischen Botschaft in den Vereinigten Staaten. Die infizierten Computer nutzten beliebte Web 2.0-Dienste (oben als Cloud dargestellt), um sich bei den Sites der Angreifer einzuchecken, und diese Sites schickten den Computern dann die Adressen von Command-and-Control-Servern, mit denen sie sich verbinden und ihre Daten senden würden. In einem von den Forschern dokumentierten Fall wurden 1.500 Briefe des Dalai Lama aus Dharamsala, Indien, an einen Command-and-Control-Server in Chongqing, China, geschickt. Die Forscher vermuten, dass die ursprünglichen Infektionen Wurzeln geschlagen haben, als einige Opfer virenbeladene Word- und PDF-Dokumente öffneten, die ihnen per E-Mail zugesandt wurden. Auch in China wurden infizierte Computer gefunden; einige wurden von den Angreifern verwendet, um ihr System zu testen.

Wie sich die Dinge entwickelten, war der Fall Nasiri ein Modell für eine erfolgreiche transnationale Botnet-Untersuchung. In den USA bekam das FBI einen Hinweis auf den Niederländer und leitete ihn an die Hightech-Einheit der niederländischen Nationalpolizei weiter, die ihn festnahm. Dann suchten die niederländischen Ermittler auf ungewöhnliche Weise die Hilfe von Antivirenfirmen, um Anweisungen zum Löschen der Infektion von den Computern der Opfer zu erstellen und das Befehls- und Kontrollsystem des Botnetzes zu übernehmen, das auf Servern in den Niederlanden operierte. Sie wollten etwas Neues machen – das Botnet ausschalten, erinnert sich Roel Schouwenberg, ein Antiviren-Forscher bei Kaspersky Lab, den die niederländische Polizei kontaktierte, um die Aufgabe auszuführen. Es bestand die Gefahr, dass es von anderen Bösewichten gestohlen wurde.

Das Problem ist, dass die amerikanisch-niederländische Untersuchung eine Ausnahme war. Ungefähr zu der Zeit, als Shadow geschlossen wurde, gewann ein anderes Botnet, bekannt als Grum, an Stärke ( siehe Botnet Snapshot in der Diashow) . Das Kommando- und Kontrollsystem von Grum wurde von einer ukrainischen Firma namens Steephost gehostet. Im November 2009 schrieb Alex Lanstein, ein Forscher bei der US-amerikanischen Computersicherheitsfirma FireEye, eine ernsthafte E-Mail an die Missbrauchsbenachrichtigungsadresse von Steephost. Hi Abuse, begann er, ich dachte, es würde dich interessieren, von einem kriminellen Netzwerk hinter dir zu erfahren. Er legte die Fakten über Grum und andere bösartige Websites dar, die es gehostet hatte, erhielt jedoch keine Antwort. Wenige Tage später bemerkte er jedoch, dass eine Art Feigenblatt des Botnets auftauchte: Die Webadressen der bösartigen Sites führten nun zu gefälschten E-Commerce-Homepages. Im März teilte die Computersicherheitsfirma Symantec mit, dass Grum für 24 Prozent aller Spam im Internet verantwortlich sei, gegenüber 9 Prozent Ende 2009.

Die Besitzer von Steephost, die für einen Kommentar nicht zu erreichen waren, hatten wenig zu befürchten, wenn sie Lansteins Nase vorn hielten. Botnets operieren frei über Landesgrenzen hinweg, und die Strafverfolgung hinkt weit hinterher. Ein Vertrag zur Förderung der Ermittlungszusammenarbeit, das Europäische Übereinkommen über Computerkriminalität, wurde von 46 Ländern unterzeichnet – hauptsächlich in Europa, aber auch in den USA, Kanada, Südafrika und Japan. Aber es wurde nicht von China, Russland oder Brasilien unterzeichnet, die (zusammen mit den Vereinigten Staaten) als die weltweit wichtigsten Gastgeber von Cyberangriffen um die Führung kämpfen. Einige Unterzeichner, wie die Ukraine, sind nicht für ihre enthusiastischen Bemühungen bekannt, Botnets zu stoppen. Und Versuche, eine globale Version zu erstellen, sind ins Stocken geraten ( siehe Globaler Stillstand bei Cyberkriminalität ). Botnets sind eine ernsthafte Bedrohung, aber wir haben kein Glück, bis es internationale Einigung darüber gibt, dass Cyberkriminalität wirklich ziemlich rigorose Gegenmaßnahmen und Strafverfolgung in fast allen internetnutzenden Ländern erfordert, sagt Vern Paxson, Informatiker an der University of Kalifornien, Berkeley, der groß angelegte Internetangriffe untersucht.

Angesichts der schlechten Aussichten auf ein globales Abkommen versuchen die Vereinigten Staaten, bilaterale Abkommen mit einigen der schlimmsten Angriffsquellen, darunter Russland, zu schließen. Russland kooperiert auf Ad-hoc-Basis bei der Verfolgung einheimischer Cyberkrimineller – es half kürzlich bei der Festnahme mehrerer Personen in Russland, die angeblich einen Online-Diebstahl in Höhe von 10 Millionen US-Dollar von der Bank of Scotland begangen hatten –, lässt jedoch keine Strafverfolgung durch andere zu Nationen Zugang zu seinen Netzwerken. Trotzdem sagte mir Sherstyuk, der russische Zar für Informationssicherheit: Wir wollen mithelfen, die Regeln im Informationsbereich festzulegen. Und ich wette, es gibt viele Dinge, die wir zusammen tun können.

Botnet-Snapshot: Ein Botnet namens Grum ist eine der führenden Spam-Quellen im Internet. Hier sind einige seiner wichtigen Statistiken.

Viele Internetdienstanbieter, eine weitere potenzielle Verteidigungsquelle, unternehmen ebenfalls lauwarme Anstrengungen. ISPs können infizierte Computer in ihren Netzwerken identifizieren und unter Quarantäne stellen und somit eine Quelle für Spam und Angriffe eindämmen. Aber in der Praxis ignorieren die meisten ISPs alle außer diesen Maschinen, die so schädlich sind, dass sie andere ISPs auffordern, sich zu rächen, indem sie den Verkehr blockieren. Es ist viel billiger, die zusätzliche Bandbreite bereitzustellen, als das Problem tatsächlich zu lösen, sagt Michel van Eeten, Professor für Technologiepolitik an der niederländischen Technischen Universität Delft, der sich mit Botnets beschäftigt. Er beschreibt den Fall eines australischen ISP, der über eine Technologie nachdachte, um infizierte Computer automatisch abzuschneiden. Der ISP gab den Plan bald auf, als er feststellte, dass sich jeden Monat 40.000 verwirrte und verärgerte Kunden beim Kundensupport einwählten und sich fragten, warum sie abgeschnitten wurden und wie sie ihre Maschinen reinigen sollten. ISPs kümmern sich normalerweise um die Bots, die Gegenmaßnahmen gegen den ISP selbst auslösen, van Eeten

sagt, aber nicht zu viele mehr, wegen der Kostenauswirkungen einer solchen Aufstockung.

Der niederländische Fall zeigte, dass selbst erfolgreiche Ermittlungen schwer zu verfolgen sind. Heute wartet Nasiri in Holland auf einen Prozess wegen niederländischer Anklage. Aber ein ursprünglich zusammen mit ihm angeklagter Brasilianer entging dem Prozess. Die US-Anklageschrift hatte behauptet, der Brasilianer habe den Erhalt von 23.000 Euro von einem Käufer inszeniert und den Erhalt elektronischer Medien von Nasiri mit dem Bot-Code veranlasst. Es schien, als sei er auf frischer Tat ertappt worden. Im vergangenen Jahr ließen die USA die Anklage jedoch fallen, da ein wichtiger Zeuge nicht zur Verfügung stand. Die niederländische Polizei sagt, sie habe ihn zum Amsterdamer Flughafen Schiphol eskortiert und er sei als freier Mann nach Brasilien zurückgeflogen.

Spionage

1959 floh das tibetische spirituelle Oberhaupt, der Dalai Lama, nach Dharamsala, einer malerischen Stadt in den Ausläufern des Himalaja in Nordindien, die immer noch die Heimat der tibetischen Exilregierung ist. Dort dient ein lokales Café namens Common Ground auch als Nichtregierungsorganisation, die versucht, die Kluft zwischen der chinesischen und der tibetischen Kultur zu überbrücken. Doch 2009 entdeckte ein Informatiker beim Besuch des Cafés eine Brücke der anderen Art: eine elektronische Spionagepipeline. Der Forscher Greg Walton bemerkte, dass Computer im Wi-Fi-Mesh-Netzwerk der Stadt, genannt TennorNet, einen Command-and-Control-Server in Chongqing, China, anfunkten.

Die Reichweite der Spionage reichte weit über das Café hinaus. Nach Angaben von Forschern des Ottawa-Cyberforensik-Unternehmens SecDev Group (einschließlich Walton) und der University of Toronto waren unter den Opfern auch Behörden des indischen Staatssicherheitsdienstes; Zu den kompromittierten Daten gehörten persönliche, finanzielle und geschäftliche Informationen von Tibetern, Indern und Menschenrechtsvertretern auf der ganzen Welt ( siehe Spionage in der Cloud in der Diashow ). Die Entdeckung erfolgte, bevor in China ansässige Angriffe auf Google und andere westliche Unternehmen Google dazu veranlassten, sich aus China zurückzuziehen ( siehe Chinas Internet Paradox, Mai/Juni 2010 ). Uns fehlen gute Kennzahlen, um herauszufinden, wie groß das Spionageproblem ist, aber es scheint klar, dass es viel schlimmer wird – und zwar schnell, sagt Paxson. Google China war ein Weckruf, und es gibt noch viel mehr davon.

Ostseeschlacht: Im Jahr 2007 kam es nach einem Streit um Estlands Pläne zur Verlegung eines russischen Denkmals zu Unruhen zwischen Russen und Esten.

China bestreitet, dass seine Regierung entweder hinter den Angriffen von Dalai Lama oder Google steckt, und die Toronto-Gruppe sagt, die Toronto-Gruppe könne dies nicht beweisen. Aber wir können ziemlich spekulieren, dass es einen chinesischen Markt für Informationen über Personen gibt, die in tibetischen Kreisen aktiv sind. Viele Institutionen – Unternehmen, Regierungen, Universitäten – befinden sich in einer ähnlichen Position wie die tibetische Exilregierung, da sie Daten besitzen, die es wert sind, gestohlen zu werden, weil sie für jemanden von Wert sind. Und die kanadische Arbeit beleuchtet globale Spionagetechniken, die allem Anschein nach weitaus weiter verbreitet sind als die Angriffe der in China ansässigen Angreifer auf tibetische Ziele. Mit dem exponentiellen Wachstum der Cyberkriminalität werden private und öffentliche Organisationen Cyber-Durchdringungen finden, sagt John Mallery, Informatiker am Computer Science and Artificial Intelligence Laboratory des MIT. Unternehmen stecken mehr oder weniger in inhärent unsicheren Infrastrukturen und Komponenten fest, die nie auf Sicherheit ausgelegt und bestenfalls mit partiellen Sicherheitsmaßnahmen nachgerüstet wurden. Heute ist der Angreifer auf architektonischer Ebene im Vorteil und innoviert schneller als Verteidiger. Unternehmen können also ihre Schwachstellen verwalten, indem sie wertvolle Informationen isolieren.

Wie Mallery nahelegt, sollten Unternehmen Verluste einplanen und ständig wachsam bleiben, da keine vernetzte IT-Infrastruktur wirklich sicher sein kann. Bedenken Sie, dass die Mitarbeiter des Dalai Lama als Reaktion auf frühere Einbrüche (die auch von den kanadischen Forschern entdeckt wurden) ein Jahr vor Waltons Entdeckung hochmoderne Firewalls installiert hatten. Aber Firewalls müssen im Allgemeinen so programmiert werden, dass sie feindliche Sites blockieren, und die in China ansässigen Spione nutzten eine sich ständig ändernde Reihe von gutartig wirkenden Vermittlern, darunter Google Groups, Twitter und Yahoo Mail. Es wird angenommen, dass die Angreifer ihre Malware in Microsoft Word- und PDF-Dokumente eingebettet haben, die von scheinbar freundlichen E-Mail-Adressen gesendet wurden, die entweder gefälscht oder gehackt wurden. Wenn das Opfer den Anhang mit einer anfälligen Version von Adobe Reader oder Microsoft Office öffnete, hat sich die Spyware verwurzelt.

Glücklicherweise könnten einige neue Technologien auch in diesen Fällen eine Lösung bieten. Bei Cyberspionage werden häufig bösartige Befehle an einen infizierten Computer gesendet, der dann Daten zurücksendet. Die Signatur dieser Befehle zu erkennen – und sie dann zu blockieren – ist das Ziel von Kruegel von Santa Barbara, der eine Technologie entwickelt hat, die die Kommunikation erkennt, selbst wenn die anfängliche Infektion unentdeckt blieb. Auch wenn Angreifer Maschinen kompromittieren könnten, sagt Kruegel, wenn Sie die Befehle schnell genug identifizieren können, können Sie sie anvisieren und abschießen. Er rechnet damit, die Technologie innerhalb eines Jahres auf den Markt zu bringen.

Auch Veränderungen auf politischer Ebene könnten einen Unterschied machen: Derzeit verbietet kein Vertrag, was die in China ansässigen Agenten getan haben. Während UN-Konventionen zum Beispiel starke Aussagen zu den Menschenrechten machen – und solche Konventionen sind es häufig

angerufen, um die Handlungen Chinas und anderer Nationen zu verurteilen – nichts Vergleichbares befasst sich mit der digitalen Plünderung, die Ziele in den Bereichen Politik, Wirtschaft und Menschenrechte schikaniert. Cyberkriminalität verwandelt sich in Cyberspionage, weil es auf globaler Ebene keine Beschränkungen gibt, sagt Ronald Deibert, der als Direktor des Citizen Lab, einem Forschungsaußenposten an der University of Toronto, die Spionageforschung mit geleitet hat. Ein Vertrag würde dazu beitragen, die Regierungen zur Rechenschaft zu ziehen. Sie können sagen: „Hier ist der Vertrag, und China, Sie spielen nicht nach den Regeln – aber Sie haben ihn unterzeichnet.“ ( Siehe Militarisierung des Cyberspace, Notebooks, S. 12. ) In der Zwischenzeit kann man mit Sicherheit das Schlimmste in Bezug auf die Verbreitung von Cyberspionage annehmen. Wir müssen dies als ein kleines Fenster in ein viel umfassenderes Problem betrachten, sagt er. Wir haben unseren Finger hier sozusagen in einen Pool getaucht.

Dann wurde ein Großteil des estnischen Internets durch eine Reihe von Cyberangriffen lahmgelegt. Die Schwierigkeit, diese Angriffe zuzuordnen, unterstreicht die Notwendigkeit neuer Technologien und erweiterter internationaler Abkommen.

Wer war es?

Am Morgen des 27. April 2007 begann die estnische Regierung trotz Protesten aus Russland damit, eine Bronzestatue eines sowjetischen Soldaten zu verlegen, die ursprünglich in der Hauptstadt Tallinn zum Gedenken an die Toten des Zweiten Weltkriegs aufgestellt worden war. Die 300.000 in Estland lebenden ethnischen Russen waren wütend. Nicht lange danach begannen Internetangriffe. Botnets zielten auf estnische Zeitungen, Telekommunikationsunternehmen, Banken und Regierungsseiten ab. Das Netz der Nation war wochenlang belagert. Russland schien der offensichtliche Schuldige zu sein: Seine Regierung hatte gewarnt, dass die Entfernung der Statue katastrophal sein würde.

Wenn Sie während der Angriffe den estnischen Netzwerkverkehr beobachteten, hätten Sie Bot-Armeen aus den USA, Ägypten, Peru und anderen Ländern vorrücken sehen. Eine genauere Untersuchung ergab jedoch, dass viele der Bots Befehle von Computern in Russland entgegennahmen (und Anweisungen, wie man estnische Websites mit nutzlosen Pings überflutet, die in in Russland ansässigen Online-Chatrooms verbreitet werden). Es war jedoch unmöglich festzustellen, ob die russische Regierung selbst die feindlichen Aktivitäten leitete. Russland bestritt die Verantwortung, weigerte sich jedoch, eine forensische Analyse seiner Netzwerke zuzulassen.

Kurz gesagt, es gab keine einfache Möglichkeit, den Angriff zuzuordnen. In einer Welt, die die Aussicht auf einen Cyberkrieg in Kauf nimmt, gehören Situationen wie diese zu den größten Problemen, mit denen Nationen konfrontiert sind, aber sicherlich nicht die einzigen. Wenn eine auf Spionage abzielende Netzwerkverletzung nicht ohne weiteres von einer Angriffsvorbereitung unterschieden werden kann, ist es schwer zu sagen, wann ein Gegenangriff gerechtfertigt ist. Es gibt auch keine Möglichkeit, Inspektionen für Cyberwaffen durchzuführen, deren potenzielle Ausbeute zu messen oder ihre Zerstörung zu bescheinigen. Als der Senat General Alexander, den neuen Chef des U.S. Cyber ​​Command, drängte, zu erklären, wie die Vereinigten Staaten mit diesen Problemen umgehen würden, wurden seine Antworten geheim gehalten. Das gesamte Phänomen des Cyberkriegs ist in eine solche Regierungsgeheimnis gehüllt, dass der Kalte Krieg wie eine Zeit der Offenheit und Transparenz aussieht, schreibt Richard Clarke, der ehemalige Zar der Terrorismusbekämpfung, in seinem neuen Buch Cyber ​​War: The Next Threat to National Security und was Sie dagegen tun können.

Aber die Implikationen des Attributionsproblems sind klar genug. Ein Angriff auf eine NATO-Nation zwinge andere NATO-Mitglieder zum Kampf, betont Michael Schmitt, Dekan und Professor für Völkerrecht am George C. Marshall European Center for Security Studies in Deutschland. Es wäre eine Katastrophe, es falsch zu machen. Dies ist keine Situation, in der Sie können Überlegen die andere Seite habe angegriffen, sagt er. Sie müssen wissen . Wie wir kürzlich erfahren haben, müssen Sie die Beweise richtig machen, wenn Sie in den Krieg ziehen. Und im Falle einer Cyberbedrohung kann eine Regierung leicht die Quelle falsch einschätzen, da Internetadressen verborgen oder gefälscht werden können. Ich habe Angst, dass man einem Staat fälschlicherweise zuschreibt, sagt Schmitt.

Langfristig könnten vorgeschlagene technologische Lösungen dieses Problem beheben. Forschungsgruppen am Georgia Tech, der University of California, San Diego, der University of Washington und anderen Institutionen arbeiten daran, die Herkunft von Daten zu ermitteln. Bei einem von Forschern in San Diego und der University of Washington entwickelten Ansatz würde die Identität des ursprünglichen Computers, der ein Datenpaket ausgegeben hat, in verschlüsselter Form an diese Daten angehängt. Der digitale Schlüssel zu dieser Identität würde von einem vertrauenswürdigen Dritten gehalten werden – möglicherweise nur durch Gerichtsbeschluss zugänglich. Alle Instrumente der nationalen Macht, von diplomatischer über militärische Gewalt bis hin zu wirtschaftlichem Einfluss, sind ziemlich wertlos, wenn man nicht zuordnen kann, wer angegriffen hat, sagt Stefan Savage, ein Informatiker an der University of California in San Diego, der entwickelt Die Technologie. Aber während die Technologie Ihnen möglicherweise die Identität verraten kann

Technologie kann Ihnen möglicherweise die Identität einer Maschine mitteilen, die einen Angriff durchgeführt (oder ein Verbrechen begangen hat). Dies ist nicht immer hilfreich, wenn die ursprüngliche Quelle ein öffentlicher Computer war. Einer bestimmten Maschine Aktivität zuordnen zu können ist etwas ganz anderes, als zu sagen: „Was war ihre wahre Quelle?“, sagt Vern Paxson von Berkeley. Selbst wenn es bis zum Endsystem des Terminals ging – also dem Ort des wahren Ursprungs eines Angriffs – könnte es sein, dass Sie in Shanghai ein Café haben. Paxson warnt davor, dass Ansätze zur Verfolgung von Identitäten im Cyberspace im Allgemeinen offensichtliche Auswirkungen auf die Privatsphäre haben. Die Technologie, um diese Art von Problemen anzugehen – die Fähigkeit, zu überwachen, wer was tut, und es zurückzuverfolgen – wäre sehr leistungsfähig, sagt er. Aber es wäre auch Polizeistaatstechnologie.

Da Lösungen noch in weiter Ferne liegen, wird die Abwendung eines unnötigen Ausbruchs oder einer Eskalation eines Cyberkriegs auf konventionellere Geheimdiensttechniken angewiesen sein. Die Überwachung von Computernetzwerken kann manchmal die nötigen Hinweise liefern, um einen potenziellen Angreifer zu identifizieren und aufzudecken, sagt Bret Michael, ein Informatiker an der Naval Postgraduate School in Monterey, Kalifornien. Das können auch grundlegende menschliche Intelligenznetzwerke sein. Wenn Geheimdienste die Quelle einer Bedrohung lokalisieren können, können sie einen Übeltäter vor oder kurz danach beleuchten, sagt er. Manchmal reicht es aus, nur identifiziert zu werden, um einen Angriff zu verhindern.

Cyber-Gipfel

An einem klaren Aprilmorgen dieses Jahres trafen mehr als 140 Diplomaten, Politiker und Informatiker in der Bergstadt Garmisch-Partenkirchen ein. Ihr Gastgeber war das russische Innenministerium.

Das Thema der Konferenz, die sie dorthin führte: Wie man die Informationssphäre sichert, wie es die Russen sagen. Aber das bedeutete für Menschen aus verschiedenen Ländern unterschiedliche Dinge. Painter, der Berater des Weißen Hauses, betonte die Bekämpfung der Cyberkriminalität. Russischsprachige – angesichts der Selbstmordattentate, die kürzlich die Moskauer U-Bahn getroffen hatten – sprachen davon, die Ausbildung von Terroristen zu vereiteln und sich online zu organisieren. Ein indischer Forscher sprach über die Netzwerknutzung durch die Terroristen von Mumbai und beschrieb, wie als Reaktion darauf die indischen Gesetze reformiert wurden. Vertreter der für Domainnamen zuständigen Behörde Internet Corporation for Assigned Names and Numbers (ICANN) sprachen von den neuesten Sicherheitsfixes. Eine kleine chinesische Delegation nahm teil, schaute aber schweigend zu.

Am zweiten Tag betrat Michael Barrett, Chief Information Security Officer bei PayPal, das Podium, um die Teilnehmer an ihre Gemeinsamkeit zu erinnern: eine kaputte Reihe von Technologien. Wie andere Ziele, sagte er, wird auch PayPal – das Internetnutzern eine sichere Möglichkeit bietet, Bargeld in 190 Länder und Regionen zu senden – belagert. Uns und tatsächlich jedem, der sich mit Informationssicherheit befasst, wird klar, dass die meisten Kurven – und wir alle können diese Kurven ausgraben, die Anzahl der Viren im Internet, die Anzahl der Einbrüche und bla bla bla – sie alle sehen erschreckend ähnlich aus. Sie alle neigen dazu, im Maßstab logarithmisch auszusehen. Sie gehen alle hoch wie das , sagte er mit einer scharfen Handbewegung zum Himmel.

In Bezug auf frühere Gespräche über die Verbesserung der Zusammenarbeit und das Hinzufügen von Sicherheitspatches fügte er hinzu: Es ist nicht so, dass diese Dinge schlecht sind. Aber an dieser Stelle erinnert es mich ein wenig an die Definition von Wahnsinn, das heißt, immer wieder dasselbe zu tun und ein anderes Ergebnis zu erwarten. Unsere Hypothese ist, dass wir zur Sicherung des Internets über die Sicherheit auf Ökosystemebene nachdenken müssen, und das bedeutet, die Grundlagen des Internets zu überdenken. Gerade als Barrett warm wurde, unterbrachen ihn die russischen Organisatoren. Sie waren im Verzug und es war Zeit für das Mittagessen, aber die Entscheidung war ein Symbol für ein größeres Problem. Im Wesentlichen verfügen wir nicht über die Technologie, um die Bedrohungen zu bekämpfen, die von der von uns eingerichteten Netzwerkinfrastruktur ausgehen, sagt John Mallery, der MIT-Forscher. Mehrere Forschungsprojekte haben Testumgebungen für neue Internetarchitekturen geschaffen oder sicherere Betriebssysteme und Hardwarearchitekturen prototypisiert, wie beispielsweise Chips, die Software in isolierten Bereichen speichern. Der Bericht des Heimatschutzministeriums stellte jedoch immer noch einen dringenden Bedarf an beschleunigter Forschung und Entwicklung zur Sicherung des Cyberspace fest.

Die gemeinsame Diskussion in Garmisch war nützlich, um kurzfristige Bemühungen voranzutreiben. Es wird entscheidend sein, das Verhalten einzelner Computerbenutzer und Unternehmen zu ändern; ebenso die Strafverfolgungsbeziehungen, die Installation der neuesten technologischen Patches und die Ausweitung der Diplomatie. Aber letztlich wird ein Umstieg auf neue Technologien notwendig sein. Und das wird wahrscheinlich nicht passieren, bis wir einen größeren Zusammenbruch oder Angriff erleben. Was wir gesehen haben, ist, dass Wettrüsten oft evolutionär voranschreitet. Aber ab und zu springen , sagt Paxson. Wenn es einen Cyberangriff gibt, der eine Stadt eine Woche lang durcheinander bringt – oder wenn ein großes Unternehmen in die Knie gezwungen wird – wird dies ein entscheidender Faktor sein. Ich habe keine Möglichkeit, das vorherzusagen. Es ist, als würde man hier in der Bay Area sagen: „Wird es in den nächsten drei Jahren ein großes Erdbeben geben?“ Ich weiß es wirklich nicht.

Seine Bemerkungen erinnerten mich an Kasperskys Ängste vor einem Flugzeugabsturz; Insgesamt können wir einfach nicht vorhersagen, wie und wann sich die Dinge ändern könnten. Aber wie Baker es ausdrückte: Die Lehre von 9/11, die Lehre von Hurrikan Katrina ist, dass es früher oder später passieren wird.

David Talbot ist Technologieüberprüfung der Chefkorrespondent.

verbergen