Transkript

Sondersendung: Exchange

Der Exploit „ProxyLogon“

Man geht von hunderttausenden Nutzer:innen und Firmen aus, die von einer massiven Sicherheitslücke in Microsofts Exchange Server betroffen sind. Was ist genau passiert und wer steckt hinter einem der größten Exploits der letzten Jahre? Darüber sprechen Lisa und Christoph in dieser Sondersendung.

Zurück zur Episode

Transkript

Lisa:

Hallo und herzlich willkommen zum INNOQ Security Podcast! Heute mit einer kleinen Sondersendung zum Thema ‚Exchange‘. Mein Gast heute ist Christoph Iserlohn. Ich bin Lisa und, ja, dann legen wir mal los. Hallo Christoph!

Christoph:

Hallo Lisa!

Lisa:

Ich habe da so am Rande etwas mitbekommen, dass irgendwas Großes mit ‚Exchange‘ passiert ist und ich würde gerne von dir wissen, was da überhaupt passiert ist?

Christoph:

Ja, also es gab ein weltweit großes Sicherheitsereignis in Sachen ‚Exchange‘ und die Zahlen werden immer mehr, die Betroffenen. Also erst hieß es, es sind 30.000 Betroffene bevor der Patch da war, dann hat man was von hunderttausenden gehört. Genau wird man das vielleicht gar nicht so rauskriegen, wie viele das so wirklich sind. Was jedenfalls noch irgendwie so ein paar Tage, nachdem die Patches veröffentlicht waren, und das auch durch die normalen Mainstreammedien alle so durchgerasselt ist, passiert ist oder – was heißt – festgestellt wurde, dass noch weit über hunderttausend Server, wir verlinken da mal noch so eine Pressemitteilung zu, beziehungsweise einen Pressebericht, noch ungeschützt im Netz standen, also ohne Patch. Weil das kann man relativ leicht feststellen, ob man anfällig für diese Lücke war oder auch ist. Also so ein Internetscan für alle IP4-Adressen, das kriegt man in ganz kurzer Zeit hin. Dafür gibt es spezielle Tools, wie man denn so einen Scan machen kann und dann kann man halt auch weltweit so die Server identifizieren, die noch alle ungeschützt sind. Und wie gesagt, das waren bis… ich weiß nicht, wann genau die Pressemeldung rauskam, aber schon ein paar Tage nach den Patches noch eine ganze Menge.

Lisa:

Was mich gerade noch interessieren würde: Ist das alles jetzt erst im März passiert oder im Februar? Oder läuft das Ganze schon länger? Kannst du mir da mal so einen zeitlichen Überblick geben?

Christoph:

Ja, also das ist nicht erst jetzt im März passiert, sondern diese Lücke, die wird übrigens ‚ProxyLogon‘ genannt und das Einzige, was dafür da sein muss, ist sozusagen, dass der Sever auf dem richtigen Port horcht. Die Details über ProxyLogon können wir vielleicht dann auch nochmal verlinken, wie man das… also wie dieser Exploit dann eigentlich aussieht. Und eigentlich ist es nicht nur eine, sondern es sind eigentlich vier Lücken, die man sozusagen in Kombination ausnutzt, aber das sind alles jetzt sehr schwerliegende Lücken. Und genau rekonstruieren kann man das alles nicht, aber so eine… es gibt mehrere Timelines, die das so zusammenfassen, wann was passiert ist, aber sicher ist auf jeden Fall, dass Aktivitäten… dass diese Exploits schon weit vor dem März ausgenutzt wurden. Also die Sicherheitsfirmen, die das zum ersten Mal so beobachtet haben, weiß ich zum Beispiel, dass schon am 3. Januar einer Sicherheitsfirma aufgefallen ist, dass ‚Exchange‘ Server angegriffen werden mit einer bis dahin unbekannten Sicherheitslücke. Und am 6. Januar hat Microsoft schon sozusagen den Leuten, die das gemeldet haben an Microsoft, das bestätigt, dass es die Lücke gibt. Wenn man noch weiter zurückgeht, ist… die ersten Daten, ab da wird es so ein bisschen ungenau, dass die ersten Exploits wahrscheinlich schon im November, Anfang November letzten Jahres stattgefunden haben. Und da schon Server übernommen wurden. Da wahrscheinlich noch nicht im großen Stil, weil… Soweit wir das ja wissen, ist das jetzt nicht gerade ein Scriptkiddy, das das gemacht hat, sondern das ist von staatlicher Seite. China steht da im Verdacht, genau kann man das natürlich nicht immer zuschreiben. Vielleicht können wir das gleich mal besprechen, wie so eine Zuschreibung eigentlich funktioniert. Aber auf jeden Fall wurde das dann wahrscheinlich sehr gezielt ausgenutzt und erst später haben diese Massenscans angefangen. Das war dann so Ende Februar, als man gemerkt hat: Oh, da finden große Scans statt nach verwundbaren Servern. Und die wurden dann auch ausgenutzt. Also warum man die Strategie da auch geändert hat, ist dann auch nicht bekannt. Vielleicht ist es deswegen, weil die Hacker, die dahinterstehen, vielleicht mitbekommen haben, dass Microsoft davon weiß und vielleicht bald einen Patch auslöst und dass man so dann noch so viel mitnimmt wie möglich. Aber das ist jetzt Spekulation von meiner Seite, die Motive dahinter wird man wahrscheinlich nicht so erfahren. Und wie gesagt, und diese Exploitation, also die Ausnutzung der Sicherheitslücke ist also auch noch weit, nachdem der erste Patch draußen war, passiert. Weil viele Systeme sind noch ungenutzt und gleichzeitig ist was passiert, nachdem das jetzt bekanntgeworden ist, sind auch andere, also nicht nur die ursprünglichen Hacker, die man wie gesagt in China vermutet, auf den Zug aufgesprungen, haben selber Exploits entwickelt, die dann auch eine kurze Zeit öffentlich verfügbar waren und wahrscheinlich auch noch in diversen Untergrundforen noch öffentlich verfügbar sind. Haben eigene Exploits entwickelt, um selber zu übernehmen oder haben schon gekaperte Server auch übernommen. Also man weiß: bei den ersten Acts hat man eine sogenannte Web Shell installiert, also eine Backdoor, die man über das Web erreichen kann und andere Hacker haben dann über diese Web Shell einfach die Server übernommen und haben dann die gehackten Server gehackt dabei. Und wieder andere, das kam dann auch nach den Patches, haben das dann nicht nur genutzt um vielleicht Daten zu exfiltrieren oder den als Ausgangspunkt von weiteren Angriffen zu nehmen, noch ist auch gar nicht klar warum man das übernommen hat oder was dann sozusagen der Scharm daraus ist, sondern haben dann angefangen die Malware zu installieren. Also Ransomware, die die Mails und die Daten von ‚Exchange‘ verschlüsselt, um dann entsprechend Bitcoins zu erpressen und so. Das ist alles noch danach passiert. Und das wird uns wahrscheinlich noch eine ganze Zeit begleiten.

Lisa:

Ich hätte da einmal zwei Fragen. Ich vermute die zweite kannst du gar nicht genau beantworten, aber du hast den Patch öfter erwähnt: Wann ist der denn rausgekommen? Und ich vermute gerade, dass es ja offensichtlich recht lange gedauert hat, wenn das Thema gerade so aktuell ist: Wieso hat das so lange gedauert?

Christoph:

Ja, also der Patch ist offiziell am 2. März veröffentlicht worden und das war eine Woche früher als eigentlich geplant. Weil normalerweise hat Microsoft halt immer sozusagen im Monat einen… also gibt es ein gewisses Datum einmal im Monat, wo Patches veröffentlicht werden von Microsoft, das ist der Patch-Tuesday. Und die haben das vorgezogen, weil man halt dann erkannt hatte, dass schon massenhaft Angriffe stattgefunden haben. Das ist auch eher ein seltenes Ereignis, dass Microsoft einen Patch vorzieht oder auch andere Firmen, die so eine Patch-Politik haben, wie das man nur zu bestimmten Zeiten Patches veröffentlicht, wenn das vorgezogen ist, dann brennt wirklich die Hütte. So, und das war auch nicht nur ein Patch, sondern es waren ja insgesamt Patches für vier Lücken, die dann da kombiniert wurden an der Stelle. Und jetzt musst du mir nochmal die zweite Frage stellen, die habe ich gerade schon wieder… die ist mir schon wieder entfallen.

Lisa:

Warum denkst du, dass das so lange gedauert hat? Weil wenn die ersten Angriffe schon irgendwie im November waren oder zumindest sehr stark bestätigt im Januar, dann ist März ja doch schon ziemlich lange hin.

Christoph:

Ja, das ist… Also das ist natürlich jetzt auch Spekulation meinerseits dabei. Wenn man so eine Lücke gemeldet kriegt und noch gar nicht so sieht, dass die groß ausgenutzt wird, ich hatte das ja vorhin erwähnt, dass die am Anfang wahrscheinlich ganz gezielt genutzt wurde, dann hält man das wahrscheinlich für nicht so kritisch. Man weiß auch, dass Microsoft so gegen Ende Februar einem, der die Lücke gemeldet hat, das waren verschiedene Firmen, die das halt beobachtet haben diese Angriffe und das gemeldet haben, dass die für den Patch-Tuesday einen Patch vorbereitet haben oder das entwickelt haben und der dann dementsprechend veröffentlicht wurde. Und ich denke mal, dann ist irgendwann die Panik gekommen, dass halt die ganzen massenhaften Scans nach verwundbaren Servern aufgetreten sind und die jede Menge Server übernommen haben und dass Microsoft dann einfach handeln musste an der Stelle und das einfach vorziehen muss mit ihrem Patch. Von daher, umgekehrt, wie gesagt, legt das so ein bisschen die Vermutung nahe, dass diejenigen, die diesen Patch… die diesen Exploit vorher ausgenutzt haben, das irgendwie auch mitbekommen haben, dass da bald ein Patch kommt und dann einfach auch angefangen haben massenhaft zu scannen. Also das sich das gegenseitig bedingt. Aber wie gesagt, das ist natürlich ein bisschen Spekulation, Microsoft lässt sich da natürlich nicht in die Karten schauen, warum das so ist. Vielleicht wird das irgendwann rauskommen, weil das hat natürlich weite Kreise gezogen. Auch viele Regierungsorganisationen nutzen das, auch in den USA und die werden Microsoft natürlich auch mal irgendwie zu so einer Art Untersuchungsausschuss oder ähnlichem zitieren. Also es gibt schon, ich weiß nicht was das Äquivalent in den Vereinigten Staaten ist für so einen Untersuchungsausschuss, aber das gibt es schon, dass die sich da auch irgendwo rechtfertigen müssen, das ist schon klar. Und vielleicht wird man da ein bisschen erfahren, was da die Politik ist. Aber die werden natürlich auch versuchen da Schadensbegrenzung zu machen, von daher genau werden wir das wahrscheinlich nie erfahren. Aber gut ist das gesamte so Verfahren natürlich nicht, so mit diesen Patches umzugehen, wenn man das schon Monate lang weiß.

Lisa:

Von der Größe des Hacks mal nur mal kurz gesprochen, denkst du das ist einer der größten Hacks in diesem E-Mail-Umfeld? Oder ist das vielleicht sogar der größte Hack?

Christoph:

Also das ist auf jeden Fall der größte Hack, von dem ich weiß, wenn man das so in Sachen E-Mail sieht. Und wahrscheinlich auch einer der größten Cyber-Hacks oder Cyber-Angriffe, wie man das auch so nennen mag, überhaupt. Also mir fällt da vergleichbares ein NotPetya oder WannaCry oder dieser SolarWinds Hack, der ja noch gar nicht so lange her ist, der vielleicht ähnliche Ausmaße gehabt hat. Aber das gehört definitiv zu den größten Hacks dazu. Und besonders muss man dabei sehen, dass wahrscheinlich auch sehr sensible Daten da verloren gegangen sind. Also du kennst das ja bestimmt auch selbst: Wenn man E-Mails nutzt, auch wenn man selber verschlüsselte E-Mails, wenn möglich, verschickt und empfängt, machen das ja nicht alle. Und das heißt, die schicken dir erst gar keine verschlüsselten E-Mails oder man kann ihnen keine verschlüsselten E-Mails schicken, weil sie kein S/MIME-Zertifikat haben oder keinen PGP Key und dann werden halt auch oft Informationen verschickt, die sehr vertraulich sind. Also wie viele Excels ich schon bekommen habe mit irgendwelchen firmeninternen Informationen, die halt nicht für dritte bestimmt sind oder wie oft auch Passwörter über E-Mails verschickt werden, wo man nicht weiß, ob die danach mal geändert werden, das kann große Auswirkungen haben. Also damit kann man Leute halt auch sozusagen auf der persönlichen Ebene sehr leicht kompromittieren und wenn es dann in Sachen Regierungsorganisation geht oder wenn das gezielt eingesetzt wurde, um Informationen zu erlangen, dann ist das natürlich höchstproblematisch. Auch in Sachen Industriespionage, wie viele Informationen da verloren… potenziell verloren gegangen sind. Und das weiß man halt nicht und das wird man auch in vielen Fällen nie rekonstruieren können, ob die Daten exploitiert wurden und in welchen Händen die jetzt sind. Woran ich mich erinnere, ist halt dieser Sony-Hack vor Jahren, der ja maßgeblich wahrscheinlich von, was heißt maßgeblich, der Nordkorea zugeschrieben wird, weil Sony eine Komödie über den großen Führer Kim Jong-il gemacht hat, und das passte denen natürlich nicht so gut. Und der das dann halt hat hacken lassen, so jedenfalls erzählt man es sich, weiß man auch nicht. Aber wo dann auch die ganzen E-Mails von Sony dann auf einmal aufgetaucht sind und da natürlich dann auch jede Menge brisante Informationen mit drin waren, die vielen Menschen großen Schaden zugefügt haben. Und wenn… Das war nur eine Firma und jetzt wissen wir von… wie gesagt, genau kann man es nicht sagen, aber mindestens 30.000 in den USA, hunderttausenden weltweit, der potenzielle Schaden ist immens.

Lisa:

Jetzt hatte ich ja als ‚Exchange‘-Nutzer eigentlich gar keine Chance irgendetwas zu tun. Weil diese Sicherheitslücke wurde bekannt und ich musste quasi drauf hoffen, dass Microsoft die patcht. Wäre mir das mit Open Source besser gegangen an der Stelle?

Christoph:

Die Antwort darauf: Es kommt darauf an. Also was man jetzt natürlich viel hört ist, dass mit Open Source ist ja viel besser und man kann jetzt auch Microsoft-Bashing schön betreiben und sagen: Bei Open Source hätte man den Patch sofort gekriegt. Und noch weiter argumentiert wäre: Bei Open Source wäre das gar nicht aufgetreten der Fehler, weil ist ja Open Source und der Fehler wäre vorher erkannt worden. Aber das stimmt ja so einfach nicht und die Welt ist ja nicht schwarz/weiß. Open Source ist nicht gleich Open Source, sondern Open Source wird ja auch zum größten Teil heutzutage nicht mehr als Hobbyprojekt entwickelt, sondern professionell. Also wir kaufen unser Linux-System vielleicht von Red Hat oder von SUSE und der Kernel wird auch entwickelt von… zu 80% von bezahlten Entwicklern. Also das ist halt nicht mehr so wie früher, dass man das so mal so auf Zuruf irgendwas machen kann und Patch schließt und so weiter. Und wenn wir jetzt so davon ausgehen, sagen wir mal, wir hätten so ein Red Hat Linux, dann wissen wir auch nicht unbedingt, wann da so ein Patch für uns kommt. Weil Red Hat könnte sich auch entschließen, den nicht sofort zu veröffentlichen und das passiert auch andauernd, wenn man zum Beispiel, gerade im Open Source Umfeld… Sagen wir mal, da haben wir einen Fehler in einem Mail Server. Also vergleichbar mit ‚Exchange‘ ist ein Fehler aufgetreten und dieser Mail Server wird ja nicht nur von Red Hat vertrieben in ihrer Red Hat Distribution, sondern vielleicht auch von SUSE und auch in Arch Linux und in ganz vielen Linux Distributionen, und dann versuchen die sich auch oft zu koordinieren und sagen: Wir bringe unsere Patches für Distribution gleichzeitig raus. Weil wenn Red Hat das jetzt veröffentlicht hätte und die anderen Distributionen sind noch nicht so weit, dann haben die natürlich ein Problem. Und dann gibt es so ein sogenanntes coordinated disclosure, wo man sich halt sagt: An dem und dem Tag machen wir das und dann sind alle mit den Patches am Start bevor wir das veröffentlichen. Also ganz so einfach ist das nicht dabei, dass das so geht. Man kann natürlich Glück haben, wenn man sozusagen immer den Source Code überwacht und dann den Patch in dem Upstream-Projekt sehen würde. Also da, wo es eigentlich passiert ist der Fehler, dann könnte man das vielleicht vorzeitig erkennen und müsste nicht warten auf jemanden. Aber das ist auch nicht immer so, weil manchmal entdeckt den vielleicht auch Red Hat und koordiniert das auch mit dem Upstream, dass selbst die das nicht machen oder gibt den noch gar nicht an Upstream, sondern erstmal mit den anderen Linux Distributionen. Das heißt, also Open und Closed Source kann man in dem Sinn da… sind da vergleichbar, dass dieselben Sachen da passieren, weil Open Source ja auch hochprofessionell erstellt wird von bezahlten Entwicklern. Von daher kann man wahrscheinlich nicht sagen, dass Open Source da genuin jetzt einen Vorteil durch hätte, also in Sachen Security. Es gibt andere Vorteile, also dass da mehr Augen drauf gucken und so, das stimmt natürlich bei großen Projekten und dass da vielleicht Sicherheitslücken eher gefunden werden. Und wenn ich den Source Code habe, die auch leichter gefunden werden können, als wenn ich das jetzt vielleicht von außen machen kann. Also da gibt es ganz viele Unterschiede in Sachen Security, aber dass das direkt besser gewesen wäre, das glaube ich persönlich nicht.

Lisa:

Jetzt nochmal in eine andere Richtung gedacht: Also du sagst bei Open Source hätte man wahrscheinlich jetzt keinen Vorteil gehabt. Jetzt kann man ja Open Source und Closed Source Dinge sowohl self-hosted als auch managed betreiben, beziehungsweise betreiben lassen. Denkst du, dass da die eine Variante gegenüber der anderen in diesem ‚Exchange‘-Falle einen größeren Vorteil gebracht hätte?

Christoph:

Da ist die Welt auch nicht schwarz/weiß. Self-hosted ist natürlich insofern besser, dass ich das selbst im Griff habe und sozusagen, sobald der Patch draußen war, das hätte machen können. Das Problem bei managed ist, da habe ich das vielleicht nicht immer im Griff. Da habe ich vielleicht eine Zusage: Sicherheitspatches werden innerhalb einer Woche eingespielt. Das wäre mir bei so einem Ereignis… nützte mir das halt nicht so viel. Und jetzt gibt es ja auch ganz viele Anbieter, die das als managed System sowas anbieten, so ein ‚Exchange‘ zum Beispiel oder auch andere E-Mail-Software und mache davon sind halt gut und manche davon sind halt schlecht. Manche haben sofort reagiert und wenn ich so einen Anbieter habe, auf den ich mich verlassen kann, der bei sowas sofort reagiert ist das natürlich ganz gut. Dann brauche ich halt kein Admin-Team, das so 24/7 verfügbar ist, sondern dann kann ich das auslagern und mich vielleicht darauf verlassen. Aber dann brauche ich halt einen guten Dienstleister. Andere Dienstleister machen das halt dann Tage später und sind dann vielleicht immer noch in ihrer, sagen wir mal sieben Tage Frist, die dann vertraglich vereinbart ist. Dann hat man halt Pech, dann kann man das vielleicht nicht beschleunigen. Also da muss man das halt sehen. Man muss das auch leisten können so ein self-hosted, also wie gesagt für solche Sachen müsste ich ja ein Admin-Team haben, was 24/7 bereit ist. Das heißt, ich brauche schon mal auf jeden Fall mehrere, weil irgendwann möchte der arme Admin, der alleine ist, natürlich auch Urlaub haben und er kann auch nicht 24 Stunden am Tag arbeiten. Also brauche ich mehrere Admins, die das machen. Und wenn das jetzt so ein ‚Exchange‘ wäre, dann könnte ich das vielleicht leisten, dass ich da, ich weiß nicht 3–4 Personen für hätte, die das übernehmen, aber die müssen ja auch mehr Software irgendwie betreuen typischerweise. Also desto mehr Software ich mir einkaufe, die betreut werden muss, desto schwieriger wird das für die und dann muss man halt entscheiden: Habe ich so ein Team? Kann ich mir das leisten? Will ich mir das leisten? Oder ist eine managed Lösung nicht oft auch besser? Also von daher ist da die Welt wie gesagt auch nicht schwarz/weiß. Was man vielleicht nochmal so ein bisschen betonen sollte, ist, wenn ich das direkt bei Microsoft gemacht hätte, die bieten ja auch so einen Online-Service an, dann habe ich wahrscheinlich Glück gehabt, weil die wussten davon ja schon lange und soweit ich das weiß und mir wäre jetzt nichts gegenteiliges bekannt, auch nicht aus der Presse oder so, waren die natürlich nicht betroffen, weil die ihren Patch natürlich rechtzeitig eingespielt hatten dafür. Aber da begibt man sich natürlich komplett in die Abhängigkeit von Microsoft und naja, da können wir vielleicht gleich nochmal drüber reden, wie das so ist mit Monopolstellung in so einem Software-Ökosystem.

Lisa:

Genau, worüber ich auch gerne nochmal mit dir sprechen möchte, du hattest vorhin schon gesagt, dass Microsoft so einen Patch-Tuesday hat, wo sie einmal im Monat irgendwelche Patches rausbringen. Ist das denn so eine gängige Variation mit Patches umzugehen? Oder gibt es da vielleicht noch mehr Varianten? Genau.

Christoph:

Ja, also diesen Patch-Tuesday und so eine Politik, dass ich Patches nur zu einem bestimmten Zeitpunkt rausbringe, das ist relativ gängig für kommerzielle Software. Das hat jetzt auch nicht nur Nachteile. In dem Fall hat das natürlich einen Nachteil gehabt, diesen Notfall-Patch, den sie sowieso nicht an den Patch-Tuesday rausbringen konnten und auch sonst sind halt Sicherheitslücken, dann vielleicht diesen Monat halt immer noch offen. Und man verlässt sich darauf, dass die nicht ausgenutzt werden. Aber ob das immer auffällt, weiß man nicht. Man hat ja jetzt auch hier bei dem ‚Exchange‘ gesehen, dass das eine ganze Zeit nicht aufgefallen ist und das ein Zeitraum ist, wo wir das alles gar nicht wissen. Also deshalb wäre es ja eigentlich klug zu sagen: Sobald sowas da ist, machen wir das. Andererseits ist das jetzt für die Planbarkeit natürlich viel leichter. Also wenn wir nochmal auf unsere Admin zurückgehen, die können natürlich dann wissen: An diesem Patch-Tuesday sind vielleicht Patches zu erwarten, die wir einspielen müssen. Wir haben vielleicht eine Downtime von unserem System, also wir können dann keine E-Mails empfangen oder schicken. Oder auch von anderen Systemen, das betrifft jetzt nicht nur ‚Exchange‘, sondern auch von was weiß ich, unserer online Office Installation oder von unserer Oracle Datenbank. Oracle bringt Patches typischerweise auch nur an bestimmten Zeitpunkten raus, die machen das also ähnlich wie Microsoft. Und so eine Planbarkeit ist vielleicht auch gar nicht so schlecht. Also dann weiß ich, dann muss jemanden haben, der parat steht, der die Patches bewerten kann, sind die für uns jetzt wichtig? Also so ein Patch hat ja eine verschiede Kritikalität, manche sind nicht ausnutzbar oder nur unter bestimmten Bedingungen, die könnte ich dann vielleicht ausschließen. Das heißt, ich müsste den dann nicht sofort einspielen und kann so eine Downtime zum Beispiel auf Wochenende legen oder eine Zeit wo dann dieses System halt nicht so gebraucht wird. Oder ein kritischer Patch, wo ich sage: Okay, alles stehen und liegen lassen, der muss jetzt rein! Und so eine Planbarkeit ist da natürlich gar nicht so schlecht. Andererseits, wie gesagt, das bringt noch eine ganze Reihe von Problemen mit. Ich persönlich finde das eigentlich besser, wenn Patches immer zeitnah zu Verfügung stehen. Also dieser Zeitraum der Unsicherheit und Unbekanntheit, das ist mir persönlich nicht so lieb, dann lieber was ich müsste vielleicht auch trotzdem ein Admin-Team bereit haben, das das immer machen kann. So die Patches sozusagen fast zu jeder Zeit einspielen kann. Und man muss ja auch sehen, ein Patch alleine ist ja noch nicht die Sicherheitslücke. Also die Sicherheitslücke zu veröffentlichen ist ja nochmal was anderes. Also aus dem Patch kann ich vielleicht die Sicherheitslücke irgendwie reverse-engineeren, das wird auch irgendwann gemacht, aber da gibt es halt noch einen Zeitraum, es ist erst der Patch bekannt und die Sicherheitslücke wird erst vielleicht danach veröffentlicht. Das ist so ein typisches Vorgehen in Sachen Disclosure. Von daher, wie gesagt, meine Meinung ist: Besser schnell als so einmal im Monat.

Lisa:

Wie kann man denn mit solchen Sicherheitslücken noch umgehen? Also du hast jetzt über die Patches gesprochen und du hast gerade schon angemerkt, manchmal ist ein Patch da und man reverse-engineered daraus dann die Sicherheitslücke. Wenn ich als Unternehmen jetzt eine Sicherheitslücke offenbart bekomme, was habe ich für Möglichkeiten mit dieser Lücke umzugehen?

Christoph:

Also es gibt eigentlich zwei bekannte und etwas gegensätzliche Möglichkeiten. Das ist… Also man fasst das unter der Disclosure-Politik oder Disclosure-Policy zusammen. Das heißt ich kriege als Hersteller eines Produktes gemeldet bei mir ist eine Sicherheitslücke drinnen und wie gehe ich jetzt damit um. Ein Verfahren ist full Disclosure, da wird das einfach öffentlich gemacht. Sobald die Lücke entdeckt ist, wird das öffentlich gemacht, manchmal sogar gar nicht mit dem Hersteller kontaktiert. Und eigentlich full disclosure kommt auch von einer Mailing-Liste, die so hieß, wo einfach solche Sicherheitslücken einfach gepostet wurden. Und das ist für den Hersteller natürlich schlecht, weil dann müsste der vielleicht erstmal einen Patch entwickeln und in der Zeit ist diese Lücke nicht gedeckt. Das sind so… Da hat man die Einstellung dahinter: Maximale Informationsfreiheit. Das ist schwierig, gerade auch so im kommerziellen Umfeld, ob man das machen will oder nicht. Die Unternehmen möchten meistens gerne eine sogenannte responsible disclosure Politik machen oder Policy betreiben. Das heißt, wenn sie eine Sicherheitslücke gemeldet bekommen, dann vereinbart man einen gewissen Zeitraum, bis die veröffentlicht werden kann und in diesem Zeitraum ist es dann möglich, für das Unternehmen Patches zu entwickeln und vielleicht auch schon zu veröffentlichen, obwohl dann noch nicht klar ist, wo die Sicherheitslücke ist. Das ist meistens damit verbunden, dass derjenige der das meldet, auch irgendwie finanziell entlohnt wird. ‚Hier, du kriegst jetzt so und so viel Euro oder Dollar für die Sicherheitslücke. Vielen Dank. Aber das Geld gibt es natürlich nur, wenn du dann auch das unter der Decke hältst, bis unsere Schweigefrist hier abgelaufen ist dazu.‘ Weil einmal wollen die Sicherheitsforscher natürlich das Geld haben und damit auch Geld verdienen, also so Bug-Hunter, andererseits will man aber auch immer den Ruhm einheimsen dafür. Von daher ist das typischerweise so, sobald das vorbei ist, wird das irgendwie veröffentlicht in irgendeiner Form. Heutzutage immer schön mit Webseite, das ist ja seit Heartbleed so, dass jeder größere Bug oder größere Sicherheitslücke dann auch seine eigene Website kriegt. Und das wird gemacht und das kann ein sehr langer Zeitraum sein. Wenn wir jetzt mal vom ‚Exchange‘-Kurs weggehen und die ganzen Lücken, die bei Intel aufgetaucht sind, so Spectre, Meltdown und Co. Da waren von der Entdeckung bis die veröffentlicht wurden, ist da zum Teil über ein Jahr vergangen. Und das liegt natürlich daran, weil das Hardware-Probleme waren und für Hardware kann man nicht einfach mal einen Patch ausrollen so leicht. Also es gibt dann Sachen, so, wie es Intel gemacht hat, wo man den Microcode auf so einen Prozessor vielleicht noch patchen kann, aber das ist natürlich viel schwieriger. Man hat dann gesehen, dass hat dann zu sehr großen Performance-Einbußen geführt und da musste man… Also da ein Patch zu entwickeln ist viel schwieriger und eigentlich muss man da eine neue Hardware-Revision machen und so. Und da kann das sehr lange dauern bis sowas dann gemacht wird. Aber wir sind jetzt noch im Software-Umfeld, da sind das vielleicht so 90 Tage. Und es gibt noch die Variante, wie das so das Google Project Zero macht, die Sicherheitsabteilung von Google, die alles Mögliche zerforscht, auch die Konkurrenzprodukte. Aber gar nicht darum, dass sie das Geld machen wollen, sondern Google ist da so altruistisch, beziehungsweise tut ein bisschen altruistisch. Die versuchen halt nicht sozusagen dafür das Geld zu bekommen, sondern mehr für den Ruhm und das alles viel sicherer wird. So die offizielle Begründung. Und die finden dann auch Lücken und sagen dann einfach: Wir veröffentlichen das in 90 Tagen, egal was du machst. Und wenn der Patch nicht da ist, dann hast du Pech. Und das ist schon öfter passiert, dass die Zero-Day-Lücken veröffentlicht haben, ohne, dass Patches da waren. Man kann da nochmal mit denen reden und sagen: Ich brauche noch eine Verlängerung. Wir haben hier einen Patch in Entwicklung, wir sind noch nicht so weit. Da kriegt man manchmal auch noch eine Verlängerung, aber manchmal auch nicht. Also da ist es schon öfter passiert, dass Patches nicht verfügbar waren, nachdem dann das Project Zero einfach gesagt hat: Das veröffentlichen wir jetzt mal. Also von daher gibt es ganz unterschiedlichen Umgang dafür. Ich persönlich bin auch für ein responsible disclosure, aber mit möglichst kurzen Schweigefristen. Also ein bisschen Zeit zum Patch entwickeln sollte man natürlich einräumen, aber 90 Tage sind oft auch sehr lang. Es kommt halt drauf an wie komplex das Software-Produkt ist, das muss ja auch alles getestet werden und so, aber ich bin eigentlich da für sehr kurze Zeiträume, damit halt die Lücke nicht so lange offenliegt. Weil, wenn die jemand entdeckt hat, kann die auch jemand anders entdecken. Und von daher besser kürzere Zeiträume. Aber das einfach so rauszugeben wie beim full disclosure, ohne irgendwas, ist jetzt wahrscheinlich auch nicht das Wahre. Das gefährdet halt ganz viele Leute, die vielleicht Software betreiben, die diese Lücke hat.

Lisa:

Also bei Microsoft war es dann auch ein responsible disclosure, was vorging?

Christoph:

Das ist die offizielle Politik, aber ob das jetzt responsible ist, das weiß ich nicht. Weil die wussten ja schon viel länger davon. Also von daher ist das Verhalten von Microsoft da vielleicht auch zu kritisieren. Also ich würde das kritisieren. Also das ist… Man muss dann vielleicht auch solche Fristen einfach deutlich verkürzen, wenn man das weiß und man weiß auch schon: das wird ausgenutzt. Also die Meldung an Microsoft ging ja schon… in den Angriffe beobachtet wurden, wo man sagte: Hier ist eine unbekannte Lücke. Und diese Lücke wurde ja, wie gesagt, schon sehr früh bestätigt. Von daher, das läuft zwar unter dem Titel responsible, aber responsible war es eigentlich nicht. Also es war nicht verantwortungsbewusst damit. Das ist jedenfalls meine Meinung dazu.

Lisa:

Genau. Was jetzt auf jeden Fall als Thema noch offen ist, du sagtest: Auf Monopole kommen wir einfach später nochmal zu sprechen. Genau, also ich habe auch das Gefühl, dass ‚Exchange‘ schon sehr, sehr weit verbreitet ist. Mir fällt keine Alternative ein, aber vielleicht bin ich auch nicht bewandert genug auf dem Gebiet. Warum ist das so kritisch, dass es diese Softwaremonopole gibt?

Christoph:

Naja, wir reden ja auch öfter mal von dem Begriff ‚Software-Ökosystem‘ und in normalen Ökosystemen wissen wir, dass Monokulturen eigentlich nicht so gut sind. Weil: die sind sehr anfällig. Also wenn man Schädlinge hat auf einer Monokultur, dann ist das halt viel schlechter, als wenn wir irgendwie etwas… irgendwie eine größere Biodiversität auf irgendeiner Fläche hätten. Weil dann halt zu viel von demselben Schädling vielleicht befallen wird, weil der sich vielleicht nur bestimmte Pflanzen aussucht. Mal so ganz vereinfacht gesagt, ich bin jetzt kein Biologe. Aber das ist glaube ich so auch Allgemeinwissen, dass Monokulturen in der Umwelt halt nicht so gut sind. Und genauso ist es halt auch im Software-Ökosystem. Microsoft hat bei ‚Exchange‘ einen sehr großen Marktanteil in Sachen Groupware, wie man das so nennt, oder sagen wir mal E-Mail-Kalender-Software und Microsoft hat leider auch noch andere große… also ich würde sagen Monopolstellungen in Sachen Office zum Beispiel oder Windows als Desktop-Betriebssystem, sind die wahrscheinlich Monopol oder monopolartig. Früher hatten sie das mit dem Internet Explorer, das ist jetzt nicht mehr so. Da bemüht sich der Chrome von Google halt bald das Monopol zu übernehmen. Und wenn wir das jetzt sehen, wenn dann sowas passiert, wie hier so ein Massenhack und so ein Exploit, da ist… dann sehen wir, es wird halt auch alles befallen, was möglich ist. Wenn wir da ein bisschen mehr Diversität hätten, dann wäre der Schaden insgesamt nicht so groß. Das nutzt mir als Person, die jetzt ‚Exchange‘ benutzt natürlich wenig, aber insgesamt wäre der Schaden deutlich geringer ausgefallen. Deshalb ist es vielleicht ganz gut, dass man sich mehr so auf die Protokolle konzentriert. Weil ‚Exchange‘ so als E-Mail- und Kalender-Lösung, also ich bin jetzt auch kein ‚Exchange‘ Experte ehrlich gesagt, ich weiß nicht, was das noch alles für nette Features hat, die ich noch nie gebraucht habe, aber E-Mail und Kalender kann man ja auch durch Protokolle erstmal abbilden. Also E-Mail-Protokolle sind ja schon ewig bekannt und auch für Kalender mit CalDAV und CardDAV und sonst wie, gibt es ja standardisierte Protokolle. Und wenn wir da mehr Auswahl haben, dann ist so der Gesamtschaden bei sowas natürlich nicht so hoch. Das Software-Ökosystem ist dann insgesamt halt wesentlich resilienter gegen solche Massenangriffe, weil es sie dann nicht mehr so geben kann. Ich würde nochmal gerne zurückgreifen auf das Thema Open Source. Das wird ja auch oft gesagt, dass wir dadurch mehr Diversität haben in unseren Software-Ökosystem. Aber das ist auch sehr schwarz/weiß gedacht, weil meistens auch im Open Source Bereich es da Software-Produkte gibt, die halt führen. Also im E-Mail-Bereich wäre zum Beispiel der Postfix wahrscheinlich der verbreitetste im Open Source Umfeld, der benutzt wird für E-Mail. Also als E-Mail-Server und da gibt es halt noch mehr, also man braucht… Postfix reicht ja nicht, man braucht noch einen IMAP-Server und so weiter und so. Das sind aber auch immer wieder dieselben Produkte. Also rein durch Open Source alleine kriegen wir nicht unbedingt auch mehr Diversität in das Software-Ökosystem rein. Also das ist noch so ein Argument, was sehr oft gebracht wird von Open Source Proponenten, was aber auch nur… meines Erachtens nur halb stimmt. Aber trotzdem ist es gut, dass es natürlich auch Open Source Alternativen gibt dazu, dass wir nicht nur ‚Exchange‘ haben, sondern auch andere. Aber so in dem kommerziellen Bereich ist ‚Exchange‘ natürlich schon doch verbreitet. Das zeigen auch die Zahlen, wie viele Hacks es da gegeben hat und von daher, da sollten wir alle dran schrauben, dass es wenig Monopole gibt im Software-Ökosystem. Das betrifft das Betriebssystem, das betrifft die… hier so Büro-Software, wie Office, das betrifft sowas wie E-Mail-Systeme mit ‚Exchange‘, das betrifft aber auch den Browser, da wollen wir auch verschiedene Browser haben oder das betrifft aber auch die Hardware. Also dass es jetzt mit Apple jemanden gibt, der jetzt auch ARM-Chips benutzt auf Desktop-Computern ist vielleicht zu begrüßen. Das es nicht nur noch auf einmal Intel gibt, beziehungsweise Intel-kompatible. Das hilft gegen solche Angriffe, das hilft aber auch, dass sich Sachen schneller entwickeln. Also wenn ich eine Monopolstellung habe, brauche ich natürlich… kann ich mich gut ausruhen und muss mein Produkt nicht so schnell weiterentwickeln. Aber das ist nur ein Nebenthema, das hat jetzt mit der Security eigentlich nicht zu tun, aber vielleicht auch wichtig.

Lisa:

Ich glaube, eine letzte Frage habe ich noch. Und zwar hast du ganz vorhin gesagt, dass der Hack wahrscheinlich von den Chinesen ausging und mir fällt gerade das genaue Wort, was du gesagt hast, leider nicht mehr ein. Aber du meintest, dass du später nochmal sagen kannst, wieso man das denn denken könnte.

Christoph:

Ja, ich sagte Zuschreibung. Man nennt das auch attribution dann dabei, wenn man so die… typischerweise nimmt man ja englische Begriffe in der IT. Ja, das ist halt immer sehr schwierig so eine Zuschreibung. Da gibt es ganz viele Möglichkeiten das zu machen, meistens kommt das ja auch von staatlicher Seite, dass die Zuschreibung kommt. Dann sagt die NSA: Das waren die Chinesen, da haben wir jetzt Beweise für. Aber die Beweise zeigen wir euch natürlich alle nicht, weil die sind ja ganz geheim und die sollen ja auch nicht rauskriegen, wie sie sich vielleicht vor unseren Erkennungsmethoden verstecken können. Und es gibt halt ganz viele Methoden. Es hat angefangen, wenn man so eine Malware analysiert, dass zum Beispiel früher die Compiler da einfach was reingeschrieben haben. Zum Beispiel dem Pfad wo der Compiler aufgerufen wurde. Und wenn da jetzt kyrillische Schriftzeichen drin sind, dann waren es die Russen und wenn das chinesische Schriftzeichen sind, dann waren es die Chinesen. Oder Metadaten, wann wurde das kompiliert? Dann kann man sagen: Okay, die Geschäftszeiten in China sind von 9–18 Uhr in der Zeitzone XY, die da in China ist oder in der Zeitzone von Moskau. Dann könnte man auch sagen, wenn das typischerweise Sachen sind, die zu den Geschäftszeiten dort passieren und nicht in den USA, dann waren es halt nicht die USA, sondern dann waren es die Chinesen und die Russen. Das ist jetzt aber wahrscheinlich eine sehr naive Vorstellung, dass man das so rauskriegt, weil das wissen die ja auch und… Vielleicht geht da die Vorstellung des deutschen Beamten von einem Hacker so, dass der um 17 Uhr nach Hause geht, aber ich sage mal so eine wirkliche Hackertruppe im Auftrag eines staatlichen Geheimdienstes vielleicht auch die Arbeitszeiten anders gestaltet. Aber es gibt dann halt auch andere Möglichkeiten, wenn man so zum Beispiel guckt, wenn jetzt im ‚Exchange‘-Fall Angriffe auffallen und man sieht halt, woher kommen die? Also man kann das im Netzwerk verfolgen, dann wird man wahrscheinlich nicht direkt nach China gehen oder nach Russland, aber dann kann man vielleicht andere Relationen herstellen. Zum Beispiel, dass das Server sind, von denen der Angriff ausgeht, die schon in anderen Hacks benutzt wurden, die man vielleicht irgendeiner Partei zuschreiben konnte oder so. Oder die command und control Server, wenn wir jetzt Malware haben, kriegt die ja von irgendwoher wieder Befehle. Das sind die sogenannten command and control Server, mit denen die sich verbinden. Und wenn man diese Server dann vielleicht auch jemandem versucht zuzuschreiben über drei Ecken oder auch über vorige Erfahrung, dann kann man das machen. Man kann auch Codevergleiche machen, also so eine Malware und Exploits, die werden nicht alle von Null auf entwickelt, sondern die Hacker haben auch alle ihre Toolkits und dann kann man zum Beispiel zeigen, dass Codefragmente halt aus anderen, schon vorhandenen Malwares übernommen sind. Und damit kann man dann halt sehen… oder wenn man das dann schon mal jemand zuschreiben könnte aus anderen Gründen, dann kann man sehen oder dann hat man Indizien, dass das auch von denen ist. Und solche Techniken gibt es dann halt. Also typischerweise irgendwelche Verhaltensbeobachtungen oder Artefakte oder Netzwerk-Traffic, den man irgendwie korreliert mit einer Partei, die da beteiligt sein könnte. Aber genau kann man das natürlich nicht so wissen. Also das Problem ist, das, was ich jetzt erzählt habe, wissen die ja auch alle und das kann man dann natürlich auch verschleiern, indem man dann, wie gesagt, das einfachste macht, indem man dann… Die Chinesen dann mit dem Computer, der eine russische Spracheinstellung hat, das sozusagen den Russen in die Schuhe schieben würde oder zur russischen Bürozeit arbeitet. Das ist jetzt nur ganz einfach, aber das gleiche gilt für die: Von welchen Servern geht das denn aus? Und welche sonstigen Anomalien hat man? Die beobachten sich natürlich alle gegenseitig die großen Geheimdienste und der Aktivität im Cyberspace und dann kann man das natürlich auch versuchen nachzuahmen. Und das ist halt sehr schwierig und kompliziert und wissen tut man es dann eher selten. Und die Staaten geben das ja auch nicht zu. Also das ist ja Geheimdienstarbeit, die sagen ja nicht: Ja, klar. Das waren wir. Und mit welcher Sicherheit die Geheimdienste dann Beweise haben, das erfahren wir dann leider nicht. Wobei natürlich das manchmal auch plausibel ist, so in Sachen Wirtschaftsspionage oder ähnlichen, dass das dann vielleicht China ist. Oder auch Russland oder auch sonst wer. Aber man darf sich auch nicht täuschen, umgekehrt, die NSA ist jetzt auch nicht dafür bekannt ein Kind von Traurigkeit zu sein, die machen das natürlich auch mit ihren Operationen, die hier vielleicht gar nicht so bekannt werden. Also von daher… Also bekannt wurde es ganz schön viel, als der Snowden ausgepackt hat vor ein paar Jahren, was die alles können und was die alles machen. Und auch die Briten mit dem GCHQ sind da auch kein Kind von Traurigkeit. Von daher, da empfehle ich halt einfach nur Popcorn rausholen und sich das schön ansehen, was da so passiert.

Lisa:

Auf jeden Fall schönes Schlusswort, wie ich finde. Ein sehr spannendes Thema! Genau, ich danke dir vielmals, dass du mich aufgeklärt hast, was da eigentlich passiert ist und auch so ein bisschen drum rum erzählt hast. Danke an alle Zuhörerinnen und Zuhörer, dass ihr zugehört habt! Ich mache dann schon mal Werbung für die nächste Folge, und zwar geht es da um ‚Passwörter‘. Also ich wünsche euch allen noch einen schönen Tag!

Christoph:

Danke Lisa! Bis bald!