Montag, April 22, 2024

Das böse Büro

Uriel Fanellis Blog in deutscher Sprache

Uriel Fanelli

Und hier gehen wir wieder.

Die Experten minimieren, und in gewisser Weise haben sie Recht, aber was gestern mit dem Ransomware-Angriff passiert ist, war nichts, worauf man stolz sein könnte. In der Praxis sind nur geringfügige Infrastrukturen betroffen, mehrere Tausend weltweit, und keine als „kritisch“ definierte Infrastruktur. Also.

Schließlich befinden wir uns im Krieg mit Russland, ob es uns gefällt oder nicht, und da diese Hacker (wie inzwischen fast alle) unter dem Dach von Putin stehen, der ihnen einen Pass und Angriffsfreiheit anbietet, müssen wir etwas Propaganda betreiben . Real.

Aber jetzt müssen wir die Kiste öffnen und herausfinden, was passiert ist. Ich beziehe mich nicht auf die Tatsache, dass dieser Angriff eine Schwachstelle betraf, für die VMware bereits gepatcht hatte. Bekanntlich interessieren sich viele nicht für Best Practices.

Aber das Problem liegt in der allgemeinen Struktur des Netzes.


Falls es noch niemand bemerkt hat, die Welt verändert sich. Von einer globalisierten Welt, in der sich Menschen und Waren problemlos bewegten und jeder jedem vertraute und Europa kein Problem darin sah, von Russland für Gas abhängig zu sein, sind wir in einer anderen Ära gelandet, in der Russland der Feind ist, China der wird Die Inder ziehen sich in einen wilden Nationalismus zurück, und die Giganten, die die Geschichte des Netzes geschrieben haben, werden schwächer.

Aber wenn sich die äußere Situation ändert und die Landkarte der Handelsströme durch das Ende der Globalisierung verzerrt wird, wie sieht es dann im Internet aus?

Anscheinend unverändert. Das Internet funktioniert und wird weiterhin verwaltet, als wäre nichts passiert: Das RIPE in Amsterdam garantiert weiterhin das Funktionieren des russischen Netzwerks, als ob Amsterdam kein mögliches Ziel der ersten Bomben wäre, die hypothetisch abfliegen würden aus Kaliningrad.

Denken Sie darüber nach: Russland ist von internationalen Kreditkartenkreisen ausgeschlossen. Es ist von Bankenschaltungen wie Swift ausgeschlossen. Es hat Ausfuhrbeschränkungen.

Das Internet funktioniert wie gewohnt.

RIPE verbreitet weiterhin gerne Routen für russische ASs und verbindet weiterhin gerne ihre Austauscher.

Und dies trotz der Tatsache, dass wir sehr gut wissen, dass die Russen eine ganze bösartige Regierungsinfrastruktur haben, die darauf ausgerichtet ist, die Infrastruktur anzugreifen.

Erscheint es Ihnen normal?


Was genau macht RIPE Amsterdam? Nehmen wir an, es fügt tatsächlich Teile des russischen Netzwerks in die „Karte der Karten“ des Internets ein, d kennt den zu benutzenden Weg sowohl für die Hin- als auch für die Rückfahrt.

Wenn RIPE den russischen AS von der „Karte der Karten“ entfernen würde, wäre Russland unerreichbar, zumindest für einen europäischen AS, oder wahrscheinlich würden die Daten für AS durchgehen, die sich noch an alte Routen erinnern und nicht von RIPE abhängen.

Darüber hinaus kümmert es sich auch um den Infrastrukturteil, das „Zertifizieren“ (in gewissem Sinne) der Austauscher, dh der großen Verkehrsknoten. Wenn dies scheitern würde, Karte hin oder her, wäre es für die Russen komplizierter, mit der Außenwelt zu kommunizieren.

https://www.ripe.net/

Einige mögen sagen, dass, wenn RIPE Russland von der „Karte der Karten“ oder dem „Radio der Karten“, also BGP-Multicast, entfernt, die Russen immer noch Routen zu anderen ASen wie Asiaten, Südamerikanern usw. verwenden könnten und von dort aus sie könnte westliche Server erreichen.

Das stimmt, aber ich sehe es VIEL problematischer, zum Beispiel ein DDOS zu machen.

Aber das Problem ist nicht praktisch: Wenn wir das Internet segmentieren wollten, gäbe es viele Dinge, die wir tun könnten.

Der Punkt ist, dass die Verwaltung des Internets so abläuft, als wären wir noch in der superglobalisierten Welt von früher, wo die Würze fließen muss und sowohl Waren als auch Menschen dorthin gehen, wo sie wollen, wann sie wollen.


Was ist meiner Meinung nach zu tun? Zunächst müssen wir mit denen von RIPE sprechen, die in Bezug auf das Internet so denken:

Meiner Meinung nach sollte RIPE anfangen zu verstehen, dass wir nicht mehr in den 90ern sind, dass es passieren kann, dass die Würze nicht mehr fließt, oder dass sie richtig kanalisiert werden muss.

Sobald dies erledigt ist, stellen Sie sich vor, dass es vier „Verteidigungsbedingungen“ oder DEFCONs gibt, die mit dem Grad der Gefahr verbunden sind. Sie werden auf nationaler Ebene eingerichtet und sind wie folgt abgebildet:

Zustand der Bereitschaft Bedeutung (Un)verbundene Länder
DEFKON 4 Business as usual, kein besonderes Risiko. Alle Länder der Welt sind erreichbar.
DEFKON 3 Es gibt belästigende Cyberangriffe, aber der Schaden kann mit guten Praktiken eingedämmt werden. Die Beziehungen zu anderen Ländern sind nicht besser oder schlechter denn je. Alle Länder außer den Schurkenstaaten (Nordkorea, Russland, Iran, Afghanistan usw.) und außer den Ländern in speziellen schwarzen Listen (zB: Comacchio) sind erreichbar
DEFKON 2 DDOS- und/oder fähige Cyber-Angriffe auf strategische Strukturen, es gibt Anzeichen für Angriffe von Organisationen, die mit Regierungen verbunden sind. Es gibt Regierungen, die offen feindselig und fähig sind. Es werden nur als befreundet eingestufte Länder (NATO, EU) angeschlossen, bei denen der Grad der Zusammenarbeit mit den Ordnungskräften gewährleistet, dass ein Angreifer „vor Ort“ festgenommen wird.
DEFKON 1 Das Land wird angegriffen, es ist nicht klar, woher der Angriff kommt, der Schaden ist groß oder schwer zu messen, die Verfehlungen sind weit verbreitet. Abgesehen von strategischen Regierungs- und Militärverbindungen vom Rest des Internets getrennt.

Welche Vorteile hätte eine solche Struktur? Kritiker werden sagen, dass es VPNs gibt und dass es so wäre, als würde man die Tür schließen, nachdem das Pferd entkommen ist.

Denn Sie haben nicht verstanden, dass Desinformation im Internet ein echter Cyberangriff ist. Zeitungen wie Russia Today, die in Frankreich und Deutschland bereits geschlossen sind, Verkaufsstellen aller Art usw.

Nehmen wir den aktuellen Zustand, den Krieg zwischen Russland und der Ukraine, der auch von vielen NATO- und EU-Staaten unterstützt wird. Wir wären also in einer Situation, in der wir wissen, dass Russland seit einem Jahr Fancy Bear & Co von DEFCON 2 hat.

Dies wäre kaum eine unüberwindbare Brücke für diejenigen, die Malware verbreiten wollen, aber wir sprechen von Desinformation. In DEFCON 2, das ich mir vorstelle, werden wir auf einige Schwächen stoßen: Um ein „Russland heute“ zu machen, haben Sie zwei Möglichkeiten: Die erste besteht darin, in Russland zu sein, aber vom Ausland aus gesehen, und die zweite besteht darin, lokale Unternehmen zu gründen Distanzen verkürzen.

Das Problem ist, dass in DEFCON 2, das ich mir vorstelle, die Öffentlichkeit nicht mehr in der Lage ist, russische Zeitungen zu lesen, und wenn Russland falsch informieren will, muss es seine Verkaufsstelle innerhalb eines Netzwerks öffnen, das unter der Kontrolle der EU oder der USA/NATO steht.

Wenn wir die nationalen Netzwerke so organisiert hätten, wie ich es beschreibe, wären wir ein Jahr lang in DEFCON 2 gewesen. In diesem Jahr hätten die Polizei und die Geheimdienste die russischen Desinformationsstellen weggefegt: Um zu funktionieren, müssten sie sich auf dem Staatsgebiet oder auf einem politisch sehr freundlichen Gebiet befinden, wo die Institutionen zusammenarbeiten.

Das derzeitige Verteidigungssystem ist also um die Idee herum organisiert, dass Cyberangriffe vom Typ DOS/Penetration sind, die auf die Sabotage von Infrastrukturen und Diensten abzielen, aber sie verstehen nicht, dass die hybride Natur der Netzwerkkriegsführung auch Desinformation beinhaltet.

DEFCON 1 hätte den Vorteil, DDOS zu blockieren, da es in Italien letztendlich zu wenige Geräte gibt, um ein echtes DDOS zu erstellen. Ein solches Rahmenwerk hätte natürlich weitaus größere Auswirkungen, wenn es von allen NATO-Staaten angewandt würde.

In einer Situation wie am vergangenen Sonntag wären die gesamte NATO und die EU nach der französischen Alarmierung in DEFCON 1 gegangen, um die Ausbreitung der Malware zu verlangsamen (oder zumindest hätten sie dies getan, wenn es die entsprechenden Alarmierungskanäle gegeben hätte).


Warum schlägt das niemand vor?

Denn wenn wir von Cybersicherheit sprechen, denken wir an Hacker, die in Systeme eindringen, DOS und DDOS, vielleicht Phishing und andere Angriffe, um auf die eine oder andere Weise in den Computer einzudringen, aber die Propaganda, die sogar Gerasimov in seinem Buch als hybrides Angriffswerkzeug bezeichnet , wird in der Verteidigungslandschaft nicht berücksichtigt.

Tatsächlich ist das System, von dem ich spreche, hauptsächlich gegen Desinformationsangriffe wirksam, es kann DDOS abmildern und es etwas schwieriger machen, groß angelegte Scans durchzuführen oder einen bestimmten Angriff vorzubereiten, aber im Design des Kampfes gegen Computer oder Hybrid Angriffe auf Desinformation als Gefahr werden fast nie erwähnt.

Ich frage mich, wie viele Lektionen gelernt werden müssen, bevor man versteht, dass die Gewürze fließen müssen, aber es wäre besser, wenn die Ströme unter Kontrolle wären.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert