An ihren Taten sollt ihr sie erkennen … ein paar Gedanken zum Jahreswechsel

Es war ein interessantes Jahr 2017 - auch aus der Perspektive eines 59-Jährigen, der die Entwicklung unserer Parteienlandschaft mit zunehmender Besorgnis verfolgt. Liebe Freunde, sicher werdet ihr euch fragen, warum ich darüber in einem IT-lastigen Blog schreibe. Aber vor kurzem wurde ich von einem IT-affinen Freund nicht ohne Hintergedanken gefragt, was denn meine größte Freude im vergangenen Jahr gewesen sei und was meine größte Enttäuschung.

Der erste Teil der Antwort war einfach und ziemlich IT-frei:

Eine große Freude war eine syrische Flüchtlingsfamilie, die meine Frau und ich ein wenig betreuen. Beide junge Eltern haben im Herbst die B1-Prüfung bestanden - obwohl sie im März trotz vorangegangenen staatlich finanzierten Sprachunterrichts so gut wie kein Deutsch konnten. Danach wird und will einer der beiden trotz 15-jähriger Praxis als Elektriker in Syrien einen formellen Ausbildungsgang in dieser Berufssparte antreten. Integration ist möglich - aber sie bedarf des Engagements und der Geduld deutscher Bürger, die mit unseren neuen Mitbürgern regelmäßig sprechen, sie anspornen und motivieren. Man wird dafür mit neuen Freundschaften und vielfältigen Einblicken in andere Kulturen reichlich belohnt. Und vielleicht erhält unser Land dadurch in einiger Zeit einen Nachschub an den viel beschworenen Fachkräften, an denen es angeblich schon jetzt so mangelt.

Bzgl. der größten Enttäuschung würden einige meiner Bekannten nun vielleicht auf den Abschied der Stadt München von Linux tippen. Falsch. Das war aus meiner Sicht zu erwarten - u.a. wegen grundlegender fachlicher/technischer Defizite bei der Schwerpunktsetzung für den Linux-Einsatz. Im Übrigen bin ich der Meinung, dass die Entscheidung viel mehr über den stetigen Verfall der SPD (nicht nur in München) aussagt als über Linux. Womit wir fast schon bei der eigentlichen Enttäuschung wären - nämlich dem Verhalten der SPD bei der Behandlung der Gesetze zur Quellen-TKÜ und zur Möglichkeit der Online-Durchsuchung von IT-Systemen aller Art durch Sicherheitsbehörden.

Zwischen den Ansprüchen an den Staat, die Sicherheit der Staatsbürger zu gewährleisten und auf der anderen Seite die Privatsphäre und informationelle Selbstbestimmung des Einzelnen als Grundpfeiler einer freiheitlichen Demokratie zu schützen, besteht immer ein Spannungsverhältnis. In der Praxis wird es dabei auch zu Widersprüchen kommen, die der Gesetzgeber (mühsam) und unter sorgfältiger Abwägung aller absehbaren Folgen auflösen muss. Dass dem Aspekt der Sicherheit dabei ein großes Gewicht zuzumessen ist, ist klar. Sicher kann man es dabei auch nicht allen recht machen.

Aber: Gesetze, die Eingriffe in fundamentale Freiheit des einzelnen Bürgers auf Dauer regeln sollen, erfordern in einer Demokratie eben auch und unbedingt einen vorhergehenden öffentlichen Diskurs. Dabei müssen möglich Folgen aufgezeigt werden, die Wirksamkeit und Verhältnismäßigkeit der Gesetze ist zu hinterfragen, der Wille der Bevölkerung ist zu erkunden, die Verträglichkeit mit Verfassungsprinzipien sind zwingend auszuloten - auch unter Berücksichtigung der Möglichkeit, dass einmal Un-Demokraten Macht erhalten könnten. Für meine Generation ist diese Feststellung eine Selbstverständlichkeit. Wir möchten nämlich nicht, dass Willy Brandts Leitsatz "Wir wollen mehr Demokratie wagen" ohne hinreichende Information und Beteiligung der Bürger durch den Satz "Wir wollen mehr staatliche Überwachung praktizieren" ersetzt wird - selbst, wenn die Motive für ausgedehnte Überwachungsmöglichkeiten gut und richtig sein mögen.

In einer repräsentativen Demokratie erwarte ich von einer staatstragenden Parteien wie der SPD, dass sie einen solchen öffentlichen Diskurs intensiv führt und mit hinreichenden Informationen für den Bürger versieht. Dabei ist der Rat von Fachleuten einzuholen, wenn es um Technologiefolgenabschätzungen geht. Dass die Folgen von Staatstrojanern auf ganz verschiedenen Ebenen betrachtet werden müssen, liegt wohl auf der Hand. Die Gesetze betreffen schließlich auf Dauer Rechte und Freiheiten eines jeden Bürgers in einer digitalen Informationsgesellschaft. Gerade Politiker erleben doch, wie sehr sich unser aller Privatleben in digitalen Abdrücken im Internet, in sozialen Medien und kaum geschützten Cloud-Systemen manifestiert - zum Guten wie zum Schlechten.

Genau hier aber hat die SPD 2017 völlig versagt: Kurz vor der Sommerpause wurden die TKÜ-Gesetzentwürfe ohne größere Debatte im Parlament von der SPD mitbeschlossen. Über das Verhalten der SPD in dieser Angelegenheit und über die Folgen der neuen Gesetze ist in Zeitungen und Internetforen bereits viel Kluges geschrieben worden. Ich möchte das nicht wiederholen.

Persönlich erhielt ich folgende Antwort des SPD-Vorstandes auf eine Mail, in der ich mich beim damaligen Kanzlerkandidaten darüber beklagte, dass die SPD das Thema trotz massiver potentieller Folgen (Wannacry hatten wir zu dem Zeitpunkt gerade hinter uns) nicht hinreichend in einen öffentlichen Diskurs eingebracht habe; ich zitiere den SPD-Vorstand:

"Mit den beschlossenen Gesetzen soll der Tatsache Rechnung getragen werden, dass Verbrecher zunehmend über verschlüsselte Messenger-Dienste miteinander
kommunizieren. Für die Zulassung sollen ebenso strenge Voraussetzungen gelten wie für die schon jetzt unter Richtervorbehalt erlaubte akustische
Wohnraumüberwachung. Die weite Verbreitung informationstechnischer Systeme führt dazu, dass sie auch eine wichtige Rolle spielen, wenn es um die
Verhinderung und um die Aufklärung von Straftaten geht. Bei der Gefahrenabwehr wird den Polizeibehörden schon seit längerer Zeit ausdrücklich die Möglichkeit eingeräumt, schwere Gefahren durch den Einsatz von Überwachungstechniken abzuwehren. Im Bereich der Strafverfolgung ist umstritten, inwieweit die Überwachung insbesondere verschlüsselter Kommunikation über das Internet zulässig ist. Die Möglichkeit eines verdeckten Eingriffs in informationstechnische Systeme zum Zweck ihrer Durchsuchung besteht bislang für die Strafverfolgungsbehörden nicht. Der SPD-Obmann im Bundestags-Rechtsausschuss Johannes Fechner sagte, wenn Straftäter die Möglichkeiten der Digitalisierung nutzten, sollten auch die Polizeibehörden diese neuen technischen Wege gehen können, um Verbrechen aufzuklären."

Dieser Text sagt leider Einiges darüber aus, wie einfach das digitale Weltbild der SPD inzwischen geworden ist. Der Text offenbart zunächst eine gewisse Hilflosigkeit gegenüber technischen Entwicklungen. Dann wird der Anspruch formuliert, auch IT-Systeme zur Verhinderung von Straftaten unter Richtervorbehalt einsetzen zu dürfen. Geschenkt ...

Bei einer staatlichen Endgeräteüberwachung geht es aber um die potentielle Breite und Tiefe des technischen Eingriffs gegenüber der Bevölkerung, es geht ferner um die fachliche und technische Kontrolle des Eingriffs gegenüber jeder betroffenen Einzelperson; es geht um das Prinzip der Unschuldsvermutung sowie auch die nachweisbare Revision und Beendigung einer Überwachungsmaßnahme bei Ausbleiben von Hinweisen auf ein Verbrechen. Es geht darum, dass durch einen Endgerätezugriff nicht nur auf Kommunikationsdaten zugegriffen werden kann: Wie wird eigentlich praktisch verhindert, dass einmal erworbenes Wissen zur Privatsphäre einer Person auch nach Beweis ihrer Unschuld nicht in anderen Zusammenhängen gegen diese Person verwendet wird? Wie sind Unternehmen zu behandeln? Was geschieht, wenn man über die Überwachung von Einzelpersonen auf sensible Firmendaten stößt, die ggf. mit dem eigentlichen Grund der Überwachung gar nichts zu tun haben? Es geht ferner um ganz praktische technische Fragen einer Überwachung des Eingriffs der Sicherheitsbehörden durch Fachkräfte der Justiz und auch die Verifizierung der Beendigung eines Eingriffs durch die Justiz. Es geht um die Löschung von aufgezeichneten Informationen, die für den Fahndungserfolg unerheblich sind.

Es geht aber auch um virale Fortpflanzung des invasiven Codes für den Fall, dass der mutmaßliche Verbrecher vor einer Entschlüsselung eine Kopie empfangener kryptierter Informationen auf Endgeräte ohne Internetkontakt vornimmt. Es geht um die technische Kontrolle einer solchen Fortpflanzung. Es geht ferner um die Frage, ob ein staatlicher Eingriff durch IT-Kundige nicht umschifft werden kann - also um die Frage, ob die Maßnahme gegenüber fachkundigen Verbrechern überhaupt wirksam wäre. Es geht um die Verhinderung eines massenhaften Einsatzes oder die Verhinderung des Missbrauchs durch Unbefugte - WannaCray lässt grüßen und, liebe SPD, von den Hintergründen zu WannaCry, nämlich des Einsatzes von invasiven Techniken US-amerikanischer Behörden, die über Lecks nach außen drangen, wusstet ihr ... Es geht um die Frage, ob ein Staat, der hackt, erkannte Schwachstellen in Betriebssystemen oder Anwendungs-Software nicht eher für sich behalten wird. Es geht um die Glaubwürdigkeit der öffentlichen Information zu Schwachstellen in IT-Systemen u.a. durch das BSI. Etc., etc., etc...

Gerne hätte ich zu wenigstens einem dieser Punkte die fachkundige und abgewogene Meinung der SPD erfahren ... Leider Fehlanzeige.

Das Thema, dass eine Dekryptierung von Nachrichten, die ein Bürger verschlüsselt hat, durch den Staat grundsätzlich fragwürdig ist, wird in der Antwort des SPD-Vorstands zwar erwähnt, aber erstaunlicherweise nicht ausgeführt. Denn weil der SPD-Obmann im Rechtsausschuss die Meinung vertritt, dass Polizeibehörden auch "diese neuen technischen Wege" gehen sollten, ist bestimmt alles gut. Es geht ja nur um "verdeckte Eingriffe in informationstechnische Systeme zum Zwecke der Durchsuchung" - also um den Staat als Hacker. Passt schon ... und bestimmt ist euer Obmann auch ein IT-Fachmann ...

Liebe Genossen, ich war über dieses Niveau im Umgang mit einem potentiellen Wähler wirklich erschüttert.

Auf eine weitere Mail, in der ich dann im Detail fachliche und technische Aspekte diskutiert habe und die SPD bat, mir zugehörige Sachfragen zu beantworten, erhielt ich - wenig überraschend - keine Antwort mehr. Obwohl dabei der aus meiner Sicht nicht unerhebliche Punkt angesprochen wurde, dass und wie gerade IT-kundige Verbrecher sich gegen die staatlichen Eingriffe wehren könnten - nicht aber der einfache Bürger.

SPD, quo vadis? Ich sag' mal:

Die SPD hat in den Grokos vergangener Jahre nicht nur ihr Profil verloren, sondern offenbar auch ihr Niveau bei der Behandlung von Themen, die die heutige und die künftige Freiheit des Einzelnen in unserer Informationsgesellschaft betreffen.

Liebe SPD - leider ward ihr meine Enttäuschung des Jahres 2017:

Grundlegende Eingriffe in bürgerliche Freiheiten gehören in eine breite öffentliche Debatte, bevor man entsprechende Gesetze beschließt. Das betrifft nicht nur eure Glaubwürdigkeit - ohne öffentlichen Diskurs zerbricht der Konsens in einer freiheitlichen Gesellschaft. Gerade ihr solltet wissen, dass das wichtiger ist als Koalitionsdisziplin.

Und glaubt mir: Viele Bürger wissen nicht mal, dass es ein Gesetz zur Quellen-TKÜ gibt und dass der Staat künftig unter definierten Bedingungen Endgeräte überwachen darf. Das bestätigt sich immer wieder in Diskussionen mit Nachbarn, mit Freunden - aber auch mit Geschäftspartnern.

Jetzt und heute werden die Grundlagen für die Behandlung bürgerlicher Freiheiten in einer Welt festgelegt, in der digitale Informationssysteme jeden Lebensbereich erfassen und prägen werden. Das ist keine Thematik, die sich allein in Parlamentsausschüssen und Koalitionsverhandlungen klären ließe. Es ist auch keine Thematik für politisch interessierte Zirkel von selbsternannten IT-Eliten. Diese Thematik geht uns alle als Bürger, aber auch als Unternehmer und Unternehmerinnen in einer liberalen Gesellschaft unmittelbar und dauerhaft an. Alle staatstragenden Parteien sind hier zum öffentlichen Diskurs verpflichtet - eine historisch der Freiheit verbundene Partei aber in besonderem Maße ...

P.S.: Enttäuscht wird man in der Regel durch Menschen oder Organisationen, für die man eine gewisse Sympathie empfindet oder empfunden hat.

Eternal Blue – und die vermeintliche Sicherheit nach MS Windows Updates

Wannacry und EternalBlue sind gerade in aller Munde. Zu Recht; der bereits eingetretene (wirtschaftliche) Schaden ist immens. Auf der Linux-Seite braucht man sich hier übrigens nicht auf ein hohes Ross zu setzen: Heart Bleed, Shell-Shock, massive Probleme mit SSH und TLS und KEX-Algorithmen seien nur als Beispiele dafür genannt, welche Schwachstellen auch Linux-Systeme lange Zeit unerkannt aufwiesen. Niemand weiß, wie lange die vor ihrer Behebung von wem ausgenutzt wurden ... Ich finde, in einem solchen Fall ist klammheimliche Schadenfreude völlig unangebracht. Zumal auch viele Admins in einer heterogenen Welt leben müssen - und mit Samba Brücken zu Windows-Servern oder PCs hergestellt haben. [Es stellt sich nebenbei die Frage, ob eigentlich Samba schwachstellenfrei ist ....]

Was ist eigentlich mit Angriffen ohne Ransomware?

Diskussionswürdig erscheint mir ferner ein Punkt, der mir im Moment in der hektischen Berichterstattung etwas unterzugehen scheint; viele der in deutschen Tageszeitungen erschienen Artikel zu Wannacry hoben vor allem auf Angriffsvektoren ab, die bösartige E-Mail-Anhänge voraussetzen. Die SMB-Schwachpunkte betroffener Windows-Systeme wurden von vielen "fachkundigen" Journalisten lediglich als Hebel für die schnelle Verbreitung der Malware begriffen. Die Aufregung in den Zeitungsartikeln konzentrierte sich deshalb vor allem auf das Thema "Erpressung" und natürlich den Funktionsausfall der betroffenen Systeme.

Dabei hatten Experten und u.a. auch die Fa. Cisco frühzeitig und völlig zu Recht auf folgenden Punkt aufmerksam gemacht:

Eternal Blue ist ein Exploit, den Angreifer gezielt und direkt gegen Systeme, die die SMB-Schwächen aufweisen und verwundbar sind, in einem LAN oder auch aus dem Internet heraus einsetzen können. Voraussetzung ist nur, dass auf den Zielsystemen bestimmte SMB-Ports zugänglich sind. Und natürlich kann im Rahmen des Angriffs auch eine ganz andere und weniger offensichtliche Payload (Schadware) als eine Ransomware zum Einsatz kommen.

Eigene Experimente mit Kali

Ich bewahre nicht ganz zufällig ältere Sicherungsimages von Win7/8/10-Images für VMware auf. Eine solche Kopie konnte ich gestern benutzen, um ein paar Experimente mit EternalBlue und dem Angriffs-Framework "Fuzzbunch" von einem Kali-System aus durchzuführen. Natürlich abgeschirmt von der Umwelt. Ergebnis war die praktische Bestätigung dreier plausibler Vermutungen:

  • Der Einsatz der im April publizierten Angriffswerkzeuge Fuzzbunch (Python-basiert; läuft auf Linux-Systemen unter Wine) und Eternal Blue ist bei ein wenig Erfahrung relativ einfach. Ein aktueller Umlauf von Modifikationen und neuen Angriffsvarianten ist deshalb als wahrscheinlich anzusehen.
  • Ein Angriff gegenüber Windows-Systemen, die die für Eternal Blue notwendigen Schachstellen im SMB-Protokoll aufweisen und von außen über SMB-Ports zugänglich sind, kann direkt und ohne Umwege (über Fake-Webseiten oder bösartige E-Mail-Anhänge) über das Internet geführt werden. Scan-Verfahren zur Identifizierung angreifbarer Systeme lassen sich von bösen Zeitgenossen jederzeit anfertigen. (Nachtrag 27.05.: Für Netzwerk-Admins steht nun z.B. ein NSE-Script für NMAP bereit).
  • Welche Payload (Schadware, Backdoor etc.) ein Angreifer nach Kompromittierung in das Windows-System einschleust, ist relativ beliebig. In Frage kommen u.a. Meterpreter Reverse Shells.

Nachtrag 27.05.2017:
Da ich inzwischen per Mail zwei Anfragen bekommen habe, ob ich die durchgeführten Experimente nicht im Detail beschreiben möchte, Folgendes: Nein, ich möchte nicht ins Detail gehen. Grund: Die deutsche Gesetzgebung (Hacker-Paragraph). Außerdem sind im Internet bereits genügend präzise Beiträge und Filme zum konkreten Einsatz von EternalBlue erschienen.

Reicht ein Update?

Das Problem hat aufgrund der beträchtlichen Zeitspanne, die seit der Veröffentlichung der Eternal-Tools vergangenen ist, eine weitaus größere Dimension, als so mancher Windows-Nutzer und Konsument von einschlägigen Zeitungsartikeln zur aktuellen Ransomeware-Welle meinen möchte. Bereits im April wurde der Einsatz des Exploits im Detail diskutiert; Hacker hatten also frühzeitig die Möglichkeit, sich tiefer einzuarbeiten.

Dass es viele direkt aus dem Internet angreifbare Windows-Systeme gab und gibt, muss nach den Ereignissen der letzten Tage nicht mehr großartig bewiesen werden. Ich selbst kenne einige kleinere Firmen, die Windows einsetzen und die über das Internet Filesharing per SMB nutzen. Worüber nun alle Verantwortlichen, die bislang anfällige Windows-Systeme betreuen, intensiv nachdenken sollten, ist also das Folgende:

EternalBlue ermöglicht einem Angreifer vor allem den Zugang zu einem kompromittierbaren Windows-System. Der Angriff muss aber keineswegs mit der Implementierung von Ransomware verbunden sein - auch wenn sich die Presse hierauf kapriziert.

Gerade geschickte (und wirklich böse) Angreifer, die perfidere Ziele als eine begrenzte Gelderpressung im Sinne haben, werden nach einem erfolgreichen EternalBlue-Angriff auf den gehackten Systemen problematischer Tools als eine offen nach außen sichtbare Ransomware implantieren. Gerade die wirklich ernst zu nehmenden Angreifer werden sich auf dem kompromittierten System still verhalten, Spuren verwischen, im Hintergrund ihre Privilegien erhöhen, Daten abziehen und sich - wiederum mit Hilfe von Eternal Blue auf andere Systeme im (Firmen-) LAN ausbreiten. Alles ohne, dass man das nach außen hin im Alltagsbetrieb merken müsste. Das war ja gerade das, was die NSA vermutlich mit Eternal Blue und dem Exploit Kit "Fuzzbunch" bezweckte.

Es genügt deshalb keinesfalls, jetzt auf den Systemen, die die SMB-Schwachstellen aufweisen, mal schnell die bislang versäumten Updates einzuspielen und wegen nicht zu Tage getretener Ransomware zu meinen, dass die Welt dann wieder in bester Ordnung sei. Ist sie mitnichten .... denn die wirklich gefährlichen Angreifer haben sich ggf. bereits unerkannt eingenistet.

Diejenigen Windows-Nutzer und Admins, bei denen die Ransomware den Angriff offensichtlich machte, sind in gewisser Weise besser dran als diejenigen, die auch Systeme mit den SMB-Schwachstellen hatten, exponiert waren und mittels Eternal Blue von intelligenten Hackern oder Organisationen angegriffen wurden - die aber davon bislang gar nichts merkten, merken oder merken werden. Man könnte ja auf Virenscanner hoffen - aber das Thema einer Maskierung von Schad-SW gegenüber Scannern ist ja nun wirklich kein Neues; das ist und bleibt ein ewiges Katz und Maus-Spiel ....

Im Bereich der Wirtschaft steht deshalb mal wieder die Bewertung der Auswirkungen unerkannter Wirtschaftsspionage im Vergleich zu den Kosten einer umfassenden Bereinigung potentiell betroffener Systeme an. Als verantwortlicher Admin würde ich jedenfalls kritische Windows-Systeme, die die SMB-Schwachstellen aufwiesen, nach den Vorgängen der letzten Tage neu aufsetzen oder aber zumindest ihren ausgehenden Datenverkehrs feinmaschig überwachen - auch und gerade dann, wenn keine Ransomware erscheint.

Denjenigen Administratoren, die die Gefahr besser ausloten wollen, lege ich zudem einige kürzlich erschienene Veröffentlichungen im Internet zum konkreten Einsatz von EternalBlue, Fuzzbunch etc. ans Herz. Damit sind bereits ein paar Schlagworte für die Suche genannt; weitere Stichworte wären Kali, Wine, msfconsole und Empire.

Nachtrag 26.05.2017:
Meine lieben Linux-Kollegen, die sich bislang ggf. sicher wähnten und Samba im Einsatz haben, seien auf folgende Artikel zu SambaCry hingewiesen:
http://thehackernews.com/2017/05/samba-rce-exploit.html
https://www.heise.de/security/meldung/Jetzt-patchen-Gefaehrliche-Luecke-in-Samba-3725672.html
https://www.heise.de/security/meldung/SambaCry-Gefaehrliche-Sicherheitsluecke-in-Samba-finden-und-patchen-3726053.html

Interessant zu lesen sind auch die zugehörigen Diskussionen im zugehörigen Heise-Forum - u.a. wegen eines in diesem Falle überflüssigen Lagerkampfes zwischen Linux- und Windows-Anhängern.

Schön, dass Microsoft für Forschungszwecke Linux nutzt – weiter so …

Heute früh hatte ich das Vergnügen, einen Artikel zu aktuellen Durchbrüchen von Microsoft in der Spracherkennung auf Basis trainierter neuronaler LSTM-Netzwerke zu lesen:
W. Xiong, J. Droppo, X. Huang, F. Seide, M. Seltzer, A. Stolcke, D. Yu and G. Zweig: "Achieving Human Parity In Conversational Speech Recognition", Microsoft Research.
Technical Report MSR-TR-2016-71, 2016
Siehe: https://arxiv.org/pdf/1610.05256v1.pdf

Dabei fiel mir neben den interessanten wissenschaftlichen und technischen Erläuterungen eine kleine Passage auf, die meine übliche Morgenmuffel-Stimmung beträchtlich aufhellte. Zitat:

"All neural networks in the final system were trained with the Microsoft Cognitive Toolkit, or CNTK [63, 64], on a Linux-based multi-GPU server farm. CNTK allows for flexible model definition, while at the same time scaling very efficiently across multiple GPUs and multiple servers. The resulting fast experimental turnaround using the full 2000h corpus was critical for our work."

Sowas liest man doch gerne ....