AMA
27. Juni 2016. Der Morgen begann, wie wir es uns vorgestellt hatten: ein angeregter Chat hinter den Kulissen und dann machten wir uns für den ersten Abstecher von Kaspersky Lab bereit, um in die Welt des Ask Me Anything (AMA) von Reddit einzutauchen – mit dabei: Costin Raiu, Vicente Diaz, Vitaly Kamluk, Ryan Naraine, Brian Bartholomew, Juan Andres Guerrero-Saade aus dem Expertenteam GReAT (Global Research and Analytics team) von Kaspersky Lab.
Wir erstellten die Links, stellten sicher, dass jeder online war, und drückten dann den Button, mit dem der Chat startete, ohne zu wissen, wer welche Fragen stellen würde. Letztendlich handelte es sich um ein AMA. Der Plan war es, ab 9:00 Uhr morgens Bostoner Zeit für ca. 1,5 Stunden auf Fragen zu antworten. Ich ahnte nicht, dass es viel länger dauern und viel fesselnder sein würde, als zuvor angenommen (auf die letzte Frage wurde um 13:26 Uhr (EDT) geantwortet).
Während der Unterhaltung sahen wir über 855 Kommentare zum Thread (einschließlich unserer Kommentare) mit Themen, die von TV-Shows bis zur Frage, warum die Zuordnung von ATP für Sicherheitsforscher schwierig ist, reichten. Es gab Fans, Trolle, Reporter und solche, die versuchten, ins Thema zu kommen, indem sie dem Team von GReAT Fragen stellten. Während der mehr als vier Stunden Fragen gaben die Experten einige aufschlussreiche und ehrliche Antworten auf wirklich alle Fragen…
We did say ask us anything: If you could be stuck on an island w #Jesus or @POTUS which 1 would it be? https://t.co/86GMv68yBF
— Kaspersky Lab (@kaspersky) July 27, 2016
Ich bin mir sicher, dass wenn Sie den sechs Teilnehmern ihre Lieblingsfrage gestellt hätten, hätten sie Ihnen alle etwas Unterschiedliches geantwortet und hätten wahrscheinlich Probleme damit gehabt, ihnen nur eine Antwort zu geben. Leider kann ich da nicht mithalten, und daher musste ich mich auf fünf Fragen reduzieren (in zufälliger Reihenfolge). Im Anschluss finden Sie meine Lieblingsfragen und ein paar Gedanken dazu, warum sie mir wichtig erschienen.
Zuschreibung
Lassen Sie uns dieses Thema als erstes behandeln. Es wird viel darüber geschrieben, warum es in vielen Berichten von Sicherheitsforschern keine Zuscheibung gibt, wenn es zur Frage kommt, wer für einen Angriff verantwortlich ist. Es dauerte nicht lange, bis dieses Thema auch im AMA auftauchte und – eigentlich zweimal – beantwortet wurde; und somit konnte das Thema auch hoffentlich ein für alle Mal zu den Akten gelegt werden.
Können Sie uns Nicht-Technikern erklären, wie Metadaten und andere Daten verwendet werden können, um Hacking-Angriffe, wie den DNC-Angriff und Stuxnet zuzuordnen? Was kann geändert werden, damit solche Firmen wie Kaspersky akkurate Zuschreibungen machen können?
Brian und Juan hierzu: Das ist eine tolle Frage, die selten im Detail beantwortet wurde, teilweise, weil die Informationen von Gegenspielern genutzt werden könnten, um diese Daten zu manipulieren. Es gibt sehr wenig, was gefälscht oder manipuliert werden könnte, und darum diskutiert die Industrie oft angeregt über eine Zuschreibung.
Am wichtigsten scheint bei Zuschreibungsangriffen normalerweise die Sprache zu sein, die im Code verwendet wird, der Zeitpunkt, zu dem die Malware erstellt wurde, der Beweggrund, der hinter den Angriffen steht, die Art der Ziele, die IP-Adressen, die während des Angriffs genutzt werden, wohin die Daten danach gesandt werden, etc. All dies wird in einer Art „Matrix“ verwendet, um die potentiellen Akteure festzulegen, wenn die Zuschreibung diskutiert wird. Im Fall von DNC-Angriffen z. B. sind sich viele Experten darin einig, dass Malware, die bei Angriffen verwendet wird, sowie die verwendete Infrastruktur nur zwei „Gruppen“ angehören.
Hallo Kaspersky Lab-Team,
ich weiß, dass Sie Zuschreibung als Strategie vermeiden, aber es scheint recht offensichtlich, dass die meisten Angriffe auf Staatsebene durch so genannte größere Cybermächte (USA, Großbritannien, Russland, China, Iran, usw.) ausgeführt werden. Lassen Sie uns der Kürze halber davon ausgehen, dass Zuschreibungsindikatoren die Realität wiedergeben. Warum sehen wir nicht mehr Hacking-Aktivität auf Staatsebene, die von Entwicklungsländern ausgeführt werden? Es schein fast so, als wenn die Cyberspionage komplett demokratisch wäre, mit einem günstigen und kostenlosen Remote-Zugriff und Post-Exploitation-Tools.
Danke!
Vicente Diaz, leitender Sicherheitsforscher, Global Research and Analysis Team
Vicente hierzu: Ihrer Annahme zufolge würde es Sinn machen, wenn Länder mit mehr Ressourcen für solche Operationen aktiver sein würden, was die erwähnte Liste widerspiegeln würde. Das heißt nicht, dass Entwicklungsländer nicht an solchen Operationen teilnehmen würden, jedoch nutzen sie oft externe Ressourcen, da es günstiger ist, als bessere „Cyberfähigkeiten“ zu entwickeln. Das macht u.a. eine Zuschreibung schwieriger (es ist nicht das Gleiche, eine fortschrittliche und einzigartige Waffe zu entwickeln und eine gewöhnliche Waffe zu verwenden).
Sie sollten auch den Faktor der „Medienausschöpfung“ berücksichtigen, der leider die verbreiteten Informationen für einige Kampagnen einschränken könnte. Wenn jemand eine Kampagne eines kleinen Lands entdeckt, die sein kleines Nachbarland im Visier hat, werden Sie wahrscheinlich in keiner großen Veröffentlichung darüber lesen.
Reddit AMA: Die 6 besten Fragen an unser GReAT-Expertenteam
Tweet
Sicherheitslücken… Kann die Regierung helfen?
Jeder Leser von Kaspersky Daily weiß, dass wir durchgängig Hacking-Angriffe und Sicherheitslücken behandeln. Die Frage ‚Was kann ich für meine Sicherheit tun?‘ kommt oft in unseren sozialen Feeds von Usern auf, die unsere Berichte lesen. In AMA kam dies einmal zur Sprache:
Sicherheitslücken werden nirgendswo hinführen, da die USA nun ein Schema zum Schweregrad von Cybervorfällen besitzt. Meine Frage wäre, was Sie dazu meinen, wie die Regierung dieses Problem angehen könnte, oder ob die Regierung nicht am zivilen Sektor beteiligt sein sollte?
Juan hierzu: Sehr schwierige Frage. Die Regierung hat mit Sicherheit eine bedeutende Rolle bei der Lösung dieses Problems. Vor allem muss es die Regierung sein, die hier aktiv wird. So würde ich z. B. die Diskussion zum Thema „Back-Hacking“ nicht auf die Macht des öffentlichen Sektors ausdehnen (wie Sie es vielleicht nennen würden: eine Erweiterung des ‚Monopolys der Regierung zur legitimen Gewaltanwendung‘). Zu einem Zeitpunkt, an dem Zuschreibung handwerklich ist, und zuverlässige Zuordnung beinahe unmöglich ist. Ich würde es vielmehr Behörden überlassen, die Ressource zum „Back-Hacking“ zu organisieren.
Nun, bezüglich dem, was die Regierung unternehmen kann, kommen mir zwei Gedanken in den Sinn:
1. Privatwirtschaftliche Zusammenarbeit mit Strafverfolgung ist wesentlich, wenn es darum geht, bestimmte Arten von problematischer Malware – wie Ransomware – zu bekämpfen. Wenn die Verschlüsselung korrekt implementiert ist, ist eine Zusammenarbeit mit der Strafverfolgung am besten, um CC-Server sicherzustellen, damit wir Entschlüsselungssoftware und einen Dienst für die Opfer entwickeln können. Wir können die Server nicht selbst beschlagnahmen, also ist eine ermächtigte Zusammenarbeit wichtig.
2. Initiativen zum Teilen von Informationen sind toll und es gibt für Schlüsselsektoren wie den Finanzsektor, das Gesundheitssystem, und selbst bestimmte spezialisierte Techniksektoren nicht genug davon. Diese Sektoren benötigen Fachwissen, jedoch gehen sie oft davon aus, dass sie die Informationen nicht teilen können oder sollten, aus Angst vor einem Hacking-Angriff oder mögliche rechtliche Auswirkungen. Es ist toll, wenn die Regierung eingreift und einen sicheren Boden für Unternehmen anbietet, um Kontakt aufzunehmen, Informationen und Sorgen zu teilen, und die benötigte Hilfe zu erhalten.
Wer wusste, dass Costin Mr. Robot mag?
Meine Kollegen aus dem Social-Media-Team und in unserem NA-Büro sprechen oft über Mr. Robot. Aufgrund des Programminhalts sollte mich das nicht wundern. Ich muss noch immer eine Folge sehen, aber keine Sorge, der furchtlose Leiter von GReAT, sowie Juan hatten Antworten für das AMA-Publikum.
Wenn Sie Mr.Robot schauen, wie würden Sie auf einer Skala von 1 bis 10 bewerten, wie die Sendung die Realität von IT-Sicherheit und Hacking trifft?
Costin hierzu: Mr Robot ist für mich eine starke 9,5. Die meisten Szenen sind hochkarätig, und die Verwendung von Tools, Betriebssystemen und anderen kleinen Details, von Social Engineering zu Opsec, sind sehr gut. Ich genoss besonders einige recht realistische Szenen, wie die des armen Entwicklers, der nicht dabei helfen kann, die beschädigte Bitcoin-Bank und die USB-Schlüsselattacke auf den Parkplatz zu lösen.
Juan hierzu: Ich muss zugeben, dass ich nur die erste Staffel gesehen habe, aber die Beschreibung von Hacking-Attacken sind überraschend gut. Ich habe besonders die Beschreibung genossen, wie schnell mit der richtigen Vorbereitung eine Hintertür in ein Telefon eingebaut werden kann.
Vier gute Fragen
Der User, der diese Frage stellte, war einer der aufregendsten Nutzer des #ASKGReAT –Threads auf Twitter. Als ich ihr heute Morgen ein Like gab, war sie noch immer aufgeregt und bemerkte, dass sie eine gute Frage gestellt hatte. Eigentlich waren es 4 gute Fragen.
1) Wenn das System gefährdet ist, kann ein E-Mail-Dienst zur Entschlüsselung einen auch nicht retten, nicht wahr?
2) Wie können wir Android-Geräte sicher nutzen und unsere Privatsphäre bewahren, wenn wir sie mit einem Google-Account verbinden müssen? (und Google sammelt Daten).
3) Gibt es eine Messaging-App für Android, die Sie verwenden, und von der Sie wissen, dass sie keine Daten sammelt?
4) IT-Sicherheit fasziniert mich, aber ich bin kein Experte. Wie können wir, normale User, einen Beitrag zu sicherem und freierem Internet leisten?
Juan hierzu: Wow! Nun gut, mal sehen.
1. Ich finde Ihre erste Frage wirklich großartig, da sie noch einmal bestätigt, warum ich denke, dass wir an dem wichtigsten Teil des ‚Infosec-Problems‘ arbeiten. Kurze Antwort: Nein, wenn Ihr Endpunkt gefährdet ist, wird Sie die Verwendung eines E-Mail-Diensts zur Entschlüsselung an sich nicht retten. Die differenziertere Antwort ist, dass wir Ihr Gerät nicht vor einem Kriminellen retten können, der Malware verwendet, um darauf Zugriff zu bekommen, und es würde die Tatsache nicht beeinflussen, dass Sie durch verschlüsselte E-Mails (z. B. PGP) nicht vermeiden können, dass Ihre E-Mails unterwegs oder durch eine Lücke in Ihrem Posteingang, oder dem des Empfängers, gelesen werden können. Ich behaupte, dass wir an einem wichtigen Teil von Infosec arbeiten, da Sicherheitslösungen dazu neigen, unter der Annahme eines ungefährdeten Endpunkts erstellt zu werden, also ist die Entwicklung und Unterstützung von Software zur Sicherung Ihrer Geräte keine banale Angelegenheit.
#KSN #Report: #Mobile ransomware in 2014-2016 https://t.co/zmvSlscN0X #klreport pic.twitter.com/mxDUxrnIJe
— Securelist (@Securelist) June 29, 2016
1. Kommen wir zu Ihrer anderen Frage, denn es gibt viel dazu zu sagen: Android ist eine Plattform, die schwierig zu sichern ist. Falls Sie sich um Ihren Datenschutz Sorgen machen: Oft kommen Probleme von übermäßigen Erlaubnissen von Drittanwendungen und „Spielen“, die sich die Freiheit nehmen, alle Informationen, die passen könnten, zu verwenden. Diese bereiten mir (persönlich) mehr Sorgen als die Gmail-Integration an sich.
2. Bezüglich Messenger: Wir neigen dazu, mit unterschiedlichen „sicheren“ Messangern herumzuspielen. Ich bin nicht in der Position, die Verschlüsselung oder Implementierung hiervon zu überprüfen, aber einige von uns testen bereits unser Wire. SilentText, Signal, Threema und Wickr waren alte Favoriten. Ich weiß nicht, ob ich Ihnen versprechen kann, dass sie keine Daten sammeln; da müssen Sie sie fragen.
3. Bitte sichern Sie Ihre Accounts!!! Verwenden Sie einen Passwort-Manager und 2factor-Authentifizierung. Kriminelle können mit den Accounts, die sie knacken, viel anstellen.
Pokémon – Go oder NO-Go?
Wie Sie wissen, haben wir bereits ein wenig zum aktuellen Hype um Pokémon Go geschrieben. GReAT wurde hierzu während der AMA befragt. Also, ja, da musste noch etwas folgen…
Habt ihr Leute Zeit dazu, Pokémon 😀 oder andere Games zu spielen? Mögt ihr MMO RPGs?
Juan hierzu: Ich bin mir sicher, dass es bei GReAT Teammitglieder gibt, die Pokémon Go spielen, besonders unsere Ingress-Fans. Ich finde nicht viel Zeit zum Spielen, aber ich mag SC2 und Destiny. Brian und ich haben ein wenig Overwatch auf der Xbox gespielt. Und vielleicht bin ich langsam auf dem Weg zu Zelda (eine Verbindung zwischen den Welten) auf 3DS in verschiedenen Flughafen-Lounges…
Brian hierzu: Ich spiele von Zeit zu Zeit mit den Pokémons. Meine Frau hasst es und ehrlich gesagt, bin ich ein Wandschrankspieler. Ich laufe durch den Supermarkt und verstecke mein Handy, während ich einkaufe. Wie bei anderen Spielen – wenn ich Zeit habe – gerade ist es besonders Overwatch. Davor war es durchgängig Fallout 4! Und ja, ich bin ein Konsolen-Typ. Es gibt meiner Meinung nach kein PC Master Race.
https://media.kasperskydaily.com/wp-content/uploads/sites/96/2020/06/30172042/pokemon-go-featured.jpg
Costin hierzu: Ich spiele kein Pokémon Go, aber ich spiele EVE Online. Minmatar FTW. 😀
Vincente hierzu: Fan von Big Street Fighter IV, enttäuscht von SFV, und gelegentlicher SC2-Spieler. Ich warte auf das neue Mass Effect.https://app.appsflyer.com/com.kms.free?pid=smm&c=ww_kdaily
Vitaly hierzu: Mein Job ist mein Videogame. Sehr realistisch, sehr realistische 3D-Open-World mit unerwarteten Wendungen und kniffeligen Problemen zu lösen.
Vitaly Kamluk, Vorstand, Global Research & Analysis Team, APAC
Android-Sicherheit
Die Android-Plattform ist beliebt (Preisgabe: eins meiner Telefone ist ein Droid und hat Kaspersky Internet Security für Android), nicht nur unter Usern, sondern auch Betrügern. Nehmen Sie das nicht auf die leichte Schulter, schauen Sie sich die Zahlen an. Es war gut zu sehen, dass diese Frage als zweifacher Schlag in der gleichen Frage in der AMA aufgekommen ist.
Sollte ich einen Antivirus auf meinem Andoid-Smartphone installieren? Sind Viren und Malware eine wahre Bedrohung für Mobiltelefone?
Costin hierzu: Ich denke, dass Malware mit einem Eisberg verglichen werden kann – es gibt viel, das wir wahrscheinlich noch nicht sehen. Obwohl die Anzahl der schädlichen Programme für Android in den letzten Jahren sprunghaft angestiegen ist, sind die meisten von ihnen Adware und Locker. Nach unserer Analyse von hochwertigen APTs, wie Equation, scheint es, dass viele Kriminelle mobile Implantate entwickelt haben, was heißt, dass sie früher oder später gefunden werden – so wie wir z. B. das mobile Implantat HackingTeam fanden. Das Ausführen einer Sicherheitslösung auf Ihrem Android-Gerät wird sicherlich nicht nur gegen bekannte Bedrohungen helfen, sondern hoffentlich auch gegen die Neuen.
Was sind momentan Ihre Voraussagen bzw. Ihr Gespür?
Von dem, was ich bis jetzt entnehmen konnte, wird Android-Malware hauptsächlich von Drittstores verteilt und Google macht tatsächlich einen guten Job, indem es seinen Play Store sauber und ordentlich hält.
Jedoch sind viele Android-Phones überholt (danke an alle Hersteller für eine hervorragende Arbeit, was unsere Sicherheit angeht): Denken Sie, dass wir eines Tages massive Infizierungen sehen werden, weil sich jemand dazu entscheidet, Stagefright zu missbrauchen und eine MMS an jeden auf diesem Planeten zu schicken?
Costin Raiu, Vorstand, Global Research & Analysis Team
Sie haben auch APT (Equation) erwähnt: repräsentieren sie wirklich eine Bedrohung auf beliebige Android-User oder lediglich VIPs?
Costin hierzu: Was mir am meisten Sorgen bereitet, ist die unkontrollierte Verwendung von Werbebibliotheken in Android-„Freeware“. Sie denken an die Flashlight-App, die Internetverbindung benötigt, richtig? Heutzutage sind zu viele Anwendungen mit standarisierten Werbebibliotheken verlinkt, durch die ein Entwickler ans schnelle Geld kommen kann. Viele der Unternehmen, die diese Bibliotheken entwickeln, werden verkauft, und was ursprünglich eine harmlose Werbebibliothek war, kann plötzlich zu einem Einstieg für einen komplexen Angriff auf Tausende von Telefone werden. Ich denke, dass in Zukunft Kriminelle Unternehmen erwerben werden, um Werbebibliotheken zu erstellen und sie mit schädlichen Code zu infizieren. Das kann für ein gefährdetes Gerät eine günstigere Lösung sein und es benötigt keine komplexen Zero-Day-Angriffe.
Andererseits sind massive Angriffe, die so etwas wie Stagefright missbrauchen, nicht unmöglich; was wir jedoch heutzutage beobachten können, ist, dass die größten Attacken von Nationalstaaten kommen, die gezieltere Vorgehen bevorzugen.
Hier sind also meine Top-6-Momente von der GReAT-AMA. Was meinen Sie? Was hätte hinzugefügt werden können? Was hätte man weglassen können? Lassen Sie es mich auf unseren Facebook oder Twitter-Accounts wissen. Und das Expertenteam GReAT (und jeder hier bei Kaspersky), sagt DANKE dafür, dass Sie uns auf unserer Jungfernfahrt für AMA begleitet haben.
Tipps