Fehler in der Cybersicherheit bei Nakatomi

Wir untersuchen den ersten Teil der Stirb Langsam-Reihe unter dem Gesichtspunkt der Cybersicherheit.

Viele Familien verbringen die Feiertage damit, gemeinsam Lieblingsfilme anzuschauen. In vielen Fällen sind es Jahr für Jahr die gleichen Filme, die zu Weihnachten und Silvester zur Tradition werden. Manche Menschen lieben Weihnachtskomödien, andere bevorzugen Melodramen. Was mich betrifft, so ist mein liebster Weihnachtsfilm Stirb Langsam. Schließlich finden 60 Prozent der Begegnungen von John McClane mit Terroristen an Heiligabend statt, und ich bin bei weitem nicht der einzige, der den Action-Klassiker mit dem Fest verbindet.

Sicher, in „Live Free or Die Hard“ (auch bekannt als „Stirb Langsam 4.0“) konzentriert sich die Handlung auf die Cybersicherheit kritischer Infrastrukturen – dazu kommen wir zu gegebener Zeit – aber wenn Sie genau hinsehen, werden Sie auch im ersten Film viele Beispiele für gut gemachte und erschreckend blauäugige Cybersicherheit finden.

Schließlich verwendet die Nakatomi Corporation die modernsten Technologien der Zeit: einen Großrechner, der sich mit Servern in Tokio synchronisiert, ein computergesteuertes Schloss für den Tresorraum und sogar ein Touchscreen-Informationsterminal in der Lobby (nicht vergessen, wir sprechen hier von 1988).

Physische Sicherheit im Nakatomi Plaza

Die Sicherheitsprobleme springen gleich zu Beginn ins Auge. John McClane, unser Protagonist, betritt das Gebäude und spricht den Wachmann an, wobei er nur den Namen seiner Frau nennt, die er besuchen möchte. Seinen eigenen Namen sagt er nicht und zeigt auch keinen Ausweis vor. Selbst die Angabe des Namens seiner Frau sollte ihm keinen Zutritt verschaffen. Die Ehe der beiden ist zerrüttet, und sie ist dazu übergegangen, bei der Arbeit ihren Mädchennamen zu verwenden.

Anstatt den Eindringling hinaus zu befördern, weist der unvorsichtige Wachmann ihm freundliche den Weg zum Informationsterminal und dann zu den Aufzügen. Im Grunde kann also jeder das Gebäude betreten. Darüber hinaus sehen wir im Verlauf der Handlung immer wieder nicht passwortgeschützte Computer im Gebäude, die alle offen für Angriffe der Bösewichte (Stichwort Evil-Amid-Attack) sind.

Zugriff auf Engineering-Systeme

Es dauert nicht lange, bis Kriminelle in das Gebäude eindringen, die Wachen töten (nur zwei sind am Weihnachtsabend auf dem Posten), und die Kontrolle über das Gebäude übernehmen. Natürlich werden alle technischen Systeme im Nakatomi Plaza von einem Computer aus gesteuert, der sich im Sicherheitsraum, direkt neben dem Eingang, befindet.

Der einzige Hacker unter den Terroristen, Theo, tippt ein paar Tasten an und bam, die Aufzüge und Rolltreppen funktionieren nicht mehr und die Garage ist abgesperrt. Der Computer ist bereits eingeschaltet (obwohl der Raum leer ist) und hat keinen Schutz vor unbefugtem Zugriff – der Bildschirm ist nicht einmal gesperrt! Für einen Firmenmitarbeiter (in der Sicherheitsabteilung) ist es einfach unverzeihlich, den Bildschirm nicht zu sperren.

Netzwerksicherheit

Das erste, was die Terroristen vom Präsidenten von Nakatomi Trading verlangen, ist das Passwort für den Großrechner der Firma. Takagi, der denkt, dass die Schurken hinter Informationen her sind, lässt einen interessanten Leckerbissen über die Sicherheitspraktiken des Unternehmens fallen: Am nächsten Morgen in Tokio, sagt er, werden alle Daten, auf die die Angreifer Zugriff haben, geändert, um Erpressungsversuche zu vereiteln. Daraus können wir zwei Schlüsse ziehen:

  1. Die Informationssysteme von Nakatomi in Tokio verfolgen, wer wann Zugriff auf was erhält. Das ist ein ziemlich gut implementiertes Sicherheitssystem. (Natürlich ist es möglich, dass Mr. Takagi blufft.)
  2. Außerdem scheint Takagi absolut keine Ahnung von Zeitzonen zu haben. In Los Angeles ist gerade die Nacht hereingebrochen (die Eindringlinge betreten das Gebäude in der Abenddämmerung, und während des fraglichen Gesprächs können wir durch das Fenster sehen, dass es draußen dunkel ist). Daher muss es in Tokio am nächsten Morgen mindestens 10:30 Uhr sein.

Sicherheit der Nakatomis Workstation

Die Bandenmitglieder erklären, dass sie nicht wirklich Terroristen und nur an dem Zugang zum Tresorraum interessiert sind, nicht an Informationen. Takagi weigert sich, den Code herauszugeben, schlägt vor, dass die Schurken nach Tokio fliegen, um dort ihr Glück zu versuchen, und stirbt für seine Bemühungen.

Abgesehen vom Mord liegt der spannende Teil woanders. Eine Nahaufnahme von Takagis Workstation zeigt, dass sein Betriebssystem, Nakatomi Socrates BSD 9.2 (offensichtlich ein fiktiver Nachkomme der Berkeley Software Distribution), zwei Passwörter erfordert: Ultra-Gate Key und Daily Cypher.

Wie die Namen vermuten lassen, ist das eine statisch und das andere ändert sich täglich. Und genau hier ist ein Paradebeispiel für Zwei-Faktor-Authentifizierung, zumindest nach den Standards von 1988.

Zugang zum Tresorraum

Der Tresorraum wird durch sieben Schlösser geschützt. Das erste ist computergesteuert, fünf sind mechanisch und das letzte ist elektromagnetisch. Falls man dem Hacker Theo glaubt, braucht er eine halbe Stunde, um den Code des ersten Schlosses zu knacken, dann zwei bis zweieinhalb Stunden, um die mechanischen zu durchbohren. Das siebte wird dann automatisch aktiviert, und seine Schaltkreise können nicht vor Ort durchtrennt werden.

Lassen wir diese höchst fragwürdige Vorstellung beiseite (meine Physik mag eingerostet sein, aber Elektrizität wird normalerweise über Drähte zugeführt, die immer durchtrennt werden können), gehen wir zum nächsten eklatanten Fehler über: Falls das Sicherheitssystem des Tresors ein Signal senden kann, um ein Schloss zu aktivieren, warum kann es dann nicht die Polizei über einen unbefugten Einbruchsversuch benachrichtigen? Oder zumindest einen Alarm auslösen? Klar, die Telefonleitungen werden gekappt, aber der Feueralarm schafft es, ein Signal an den Notruf zu senden.

Davon abgesehen ist es recht interessant zu beobachten, wie Theo den Code knackt. Unerklärlicherweise erhält er auf dem ersten Computer, den er ausprobiert, Zugriff auf die Personalakte des (ungenannten) Vorsitzenden der Investmentgruppe, einschließlich Informationen über seinen Militärdienst. Denken Sie daran, dass es 1988 das Internet, wie wir es kennen, noch nicht gab, sodass die Informationen wahrscheinlich im internen Netzwerk von Nakatomi in einem freigegebenen Ordner gespeichert sind.

Nach den Informationen in der Datei diente dieser ungenannte Militär 1940 auf der Akagi (einem echten japanischen Flugzeugträger) und nahm an mehreren Militäroperationen teil, darunter auch am Angriff auf Pearl Harbor. Warum sollten solche Informationen öffentlich im Firmennetzwerk gespeichert sein? Seltsam – vor allem, weil der Flugzeugträger auch als Hinweis auf das Passwort für den Tresor dient!

Derselbe Computer übersetzt Akagi ins Englische als Red Castle, und siehe da, das ist das Passwort. Vielleicht hat Theo eine Menge Hausaufgaben gemacht und Glück gehabt, aber selbst in der Theorie ging der Prozess furchtbar schnell. Es ist nicht klar, woher er im Voraus wusste, dass er es in einer halben Stunde schaffen würde.

Hier haben die Drehbuchautoren wohl den Daily Cypher vergessen, das regelmäßig geänderte und damit interessantere zweite Passwort. Das Schloss öffnet sich auch ohne es.

Social Engineering

Die Kriminellen setzen gelegentlich Social-Engineering-Techniken bei Wachpersonal, Feuerwehr und Polizei ein. Aus Sicht der Cybersicherheit verdient der Notruf besondere Aufmerksamkeit. McClane löst den Feueralarm aus, aber die Eindringlinge rufen präventiv den Rettungsdienst an, stellen sich als Wachleute vor und löschen den Alarm.

Wenig später erscheinen auf einem Computerbildschirm des Notrufs Informationen über das Nakatomi Plaza – insbesondere Telefonnummern und ein Code, mit dem vermutlich der Feueralarm gelöscht werden kann. Falls die Angreifer in der Lage waren, die Löschmannschaft zurückzurufen, haben sie diesen Code irgendwoher bekommen. Und die Wachen waren bereits tot, also muss der Code aufgeschrieben und irgendwo in der Nähe aufbewahrt worden sein (nach der Schnelligkeit des Rückrufs zu urteilen). Das ist keine empfohlene Vorgehensweise.

Praktische Tipps und Tricks

  • Lassen Sie keine Fremden herein, auch nicht an Heiligabend, und vor allem nicht, falls das Gebäude voller Computer mit wertvollen Informationen ist.
  • Erinnern Sie die Mitarbeiter regelmäßig daran, ihre Computer zu sperren. Besser noch: Stellen Sie Systeme so ein, dass sie sich nach kurzer Zeit automatisch sperren. Auch die Teilnahme an eine Cybersecurity-Awareness-Kurs ist eine gute Idee.
  • Geben Sie weder Dokumente mit Passwort-Hinweisen weiter, noch speichern Sie sie an öffentlichen Orten.
  • Verwenden Sie zufällig generierte, schwer zu erratende Passwörter für den Zugriff auf sehr wertvolle Daten.
  • Bewahren Sie Passwörter (und Auhebungscodes für Alarme) sicher auf. Nie auf einem Notizzettel.

Nachtrag

Ursprünglich wollten wir uns die beiden Weihnachtsfilme der Reihe ansehen, aber nachdem wir Stirb Langsam 2 noch einmal angeschaut haben, kamen wir zu dem Schluss, dass es in Wirklichkeit um ein grundlegendes Versagen in der Architektur der Informationsinfrastruktur des Flughafens geht. Die Terroristen graben die Rohrleitungen aus, die unter einer nahe gelegenen Kirche verlaufen, und übernehmen die Kontrolle über alle Flughafensysteme, einschließlich des Kontrollturms. Damals, 1990, wären einige dieser Systeme noch gar nicht computerisiert gewesen. Leider ist es nicht möglich, dem Ganzen ohne eine detaillierte filminterne Erklärung auf den Grund zu gehen, aber alle sind zu sehr mit dem Sterben beschäftigt (auf die harte Tour), um eine zu liefern.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.