Die Schneekönigin: Ein Cybersicherheitsbericht in 7 Geschichten

Hans Christian Andersens Bericht über den Kay-Vorfall und dessen Untersuchung durch die Infosec-Expertin Gerda.

Worum geht es Ihrer Meinung nach im Märchen Die Schneekönigin des dänischen Cybersicherheitsspezialisten Hans Christian Andersen wirklich? Um ein tapferes Mädchen, das versucht, ihren geliebten Freund zu retten? Denken Sie noch einmal genauer darüber nach.

In Wirklichkeit handelt es sich hierbei um einen detaillierten Bericht über die Untersuchung der aufstrebenden Informationssicherheitsexpertin Gerda. In ihrer Analyse berichtet sie davon, wie Kay mit dem Teil einer hochentwickelten Malware infiziert wurde. Dieses sogenannte Märchen ist in Form von sieben Geschichten geschrieben, die eindeutig die einzelnen Phasen der Untersuchung wiederspiegeln.

Geschichte 1: Ein Spiegel zerbricht in tausend Teile

Wenn Sie jemals unseren Expertenblog Securelist.com (oder eine andere gut durchgeführte Infosec-Studie) gelesen haben, wissen Sie wahrscheinlich, dass derartige Untersuchungsberichte häufig mit einer Analyse der Vorgeschichte von Vorfällen beginnen. Andersens ist nicht anders: Seine erste Geschichte befasst sich mit den Ursprüngen des Kay-Falls.

Es war einmal (nach Andersens Angaben) ein Teufel, der einen Zauberspiegel schuf, der die Macht hatte, alles Schöne und Gute verzerrt und hässlich aussehen zu lassen. Doch eines Tages viel dem Teufel der Spiegel aus den Händen und zerbrach dabei in viele tausende Stücke, die die Menschen im Auge oder im Herzen trafen. Trafen die Fragmente einem im Herzen, so wurde es so kalt wie Eis, trafen sie einem im Auge, so sah man alles um sich herum nur noch hässlich und böse.

Aus dem Märchen Schneewittchen wissen wir bereits, dass Geschichtenerzähler Spiegel häufig als Metapher für Bildschirme im weiteren Sinne verwendeten: Fernseher, Computer, Tablets, Telefone – Sie wissen, was wir meinen.

Die Übersetzung von Andersens Worten aus der Sprache der Allegorien in einfache Prosa ergibt also Folgendes: Ein mächtiger Hacker erstellt ein System mit integriertem Browser, der Webseiten verfälschen kann. Anschließend verwenden seine Auszubildenden Teile des Quellcodes, um eine große Anzahl von Windows-Geräten und sogar AR-Brillen zu infizieren.

In der Tat war das Phänomen nicht völlig ungewöhnlich. Der EternalBlue-Exploit-Leak, der zu den Pandemien WannaCry und NotPetya führte, ist das Urbeispiel. Aber wir schweifen vom Thema ab. Zurück zu unserem Märchen.

Geschichte 2: Ein kleiner Junge und ein kleines Mädchen

In der zweiten Geschichte geht Andersen zu einer detaillierteren Beschreibung eines der Opfer und des anfänglichen Infektionsvektors über. Den verfügbaren Daten nach zu urteilen, kommunizierten Kay und Gerda über ihre angrenzenden Dachfenster (Windows-basierte Kommunikation!) miteinander. An einem kalten Wintertag sieht Kay durch sein Fenster eine seltsame, schöne und in weissen Tüll gehüllte Frau – Kays erste Begegnung mit dem Hacker.

Kurze Zeit später spürt Kai ein stechendes Gefühl mitten in seinem Herzen und auch sein Auge beginnt zu schmerzen. Auf diese Weise beschreibt Andersen den Moment der Infektion. Nachdem der Schadcode in sein Herz (OS-Kernel) und sein Auge (Dateneingabegerät) eingedrungen ist, ändert sich Kay’s Reaktion auf externe Reize radikal und er scheint alle eingehenden Informationen vollkommen verzerrt wahrzunehmen.

Einige Zeit später verlässt Kay sein Zuhause und hängt sich an den Schlitten der Schneekönigin. Aus irgendeinem Grund vertraut Kay der bösen Schneekönigin und erzählt ihr, wie gut er im Kopfrechnen ist und dass er die Größe und Bevölkerung jedes Landes kenne. Obwohl diese Details auf den ersten Blick unwichtig erscheinen, sind es genau diese Informationen, an denen der Angreifer interessiert ist.

Geschichte 3: Im Blumengarten

Zur selben Zeit beginnt Gerda ihre eigenen Ermittlungen und trifft zufällig auf eine Frau, die aus irgendeinem Grund ihre Untersuchung behindert. Um auf den Punkt zu kommen: Wir sind besonders an dem Moment interessiert, in dem die Zauberin Gerdas Locken kämmt und sie so jegliche Erinnerungen an Kay vergessen lässt.

Mit anderen Worten, die Hexe hat die Daten der Untersuchung verfälscht. Beachten Sie, dass uns ihre Cyberwaffe, ein Kamm, bereits bekannt ist. Im Bericht der Brüder Grimm über den Vorfall von Schneewittchen verwendete die Stiefmutter ein ähnliches Tools, um ihr Opfer zu blockieren. Zufall? Oder hängen diese Vorfälle vielleicht doch zusammen?

Wie auch bei Schneewittchen ist die kamminduzierte Blockade allerdings auch hier nicht dauerhaft – die Daten können wiederhergestellt und Gerdas Untersuchung fortgesetzt werden.

Am Ende des dritten Teils des Berichts fragt Gerda die Blumen im Hexengarten, ob sie Kay gesehen hätten. Dies ist höchstwahrscheinlich eine Anspielung auf den damaligen ICQ-Messenger, der eine Blume als Logo (und als Benutzerstatusanzeige) hatte. Über die Kommunikation mit den Kontakten der Hexe versucht Gerda, zusätzliche Informationen über den Vorfall in Erfahrung zu bringen.

Geschichte 4: Der Prinz und die Prinzessin

Die 4. Phase der Untersuchung scheint nicht besonders relevant zu sein. Gerda versucht Kay in der Datenbank der Regierung zu finden. Der Zugang zum Gebäude (dem Schloss) gelingt ihr durch die Hilfe einiger Raben.

Obwohl die Suche zu keinem Ergebnis führt, informiert Gerda die Regierung pflichtbewusst über die Schwachstelle (die Raben). Der Prinz und die Prinzessin patchen die Schwachstellen, indem sie den Raben sagen, dass soetwas nicht noch einmal vorkommen darf. Mit anderen Worten: sie haben die Vögel nicht bestraft, sondern sie lediglich darum gebeten, ihr Verhalten zu ändern.

Als Belohnung versorgen der Prinz und die Prinzessin Gerda mit Ressourcen (eine Kutsche, warme Kleidung, etc.). Dies ist ein großartiges Beispiel dafür, wie ein Unternehmen reagieren sollte, wenn Forscher eine Schwachstelle melden. Wir können nur hoffen, dass es sich hierbei nicht um eine einmalige Belohnung handelte, sondern ein ganzes Bug-Bounty-Programm dahinter steht.

Geschichte 5: Das kleine Robotermädchen

In dieser Geschichte fällt Gerda scheinbar Banditen zum Opfer. Andersen verwendet hier eine weitere Allegorie, um zu erklären, dass Gerda, nachdem sie in der vorherigen Phase der Untersuchung eine Sackgasse erreicht hat, gezwungen ist, die Hilfe von Kräften in Anspruch zu nehmen, die, sagen wir, nicht ganz gesetzestreu sind.

Die Cyberkriminellen bringen Gerda mit Informanten, die genau wissen, wer für den Kay-Vorfall verantwortlich ist, und mit einem Rentier in Kontakt, das die Adressen einiger nützlicher Darknet-Kontakte besitzt. Doch ganz billig ist die Hilfe nicht. Denn Gerade muss einen grossen Teil der Ressourcen, die sie in der vorherigen Geschichte gewonnen hatte, wieder abgeben.

Um die Integrität der jungen Forscherin nicht zu untergraben, versucht Andersen, ihren Umgang mit den Kriminellen als unvermeidlich zu beschreiben – sie haben sie zuerst ausgeraubt, sagt er, und ihr erst dann, aus Mitleid, Informationen geliefert. Das klingt nicht wirklich überzeugend. Wahrscheinlich handelte es sich hierbei vielmehr um eine vorteilhafte Vereinbarung zwischen beiden Parteien.

Geschichte 6: Die Lappin und die Finnin

Als nächstes folgt die letzte Phase des Sammelns von Informationen, die für die Untersuchung über die von den Banditen bereitgestellten Darknet-Kontakte benötigt werden. Das Rentier macht Gerda mit einer bestimmten lappländischen Frau bekannt, die ein Empfehlungsschreiben an den nächsten Informanten, eine finnische Frau, schreibt.

Die Finnin wiederum gibt ihr die Adresse der Schneekönigin – in unserem Fall offensichtlich den Namen des Command&Control-Servers. Nachdem sie die Nachricht gelesen hat, vernichtet sie jegliche Spuren, und befolgt somit die Regeln der Sicherheitsoperationen sorgfältig. Ein Zeichen, dass sie ein alter Profi ist.

Geschichte 7: Was im Schloss der Schneekönigin geschah

Die 7. Geschichte erzählt, warum die Schneeköniging Kay überhaupt entführt hat. Als Gerda am Schloss eintrifft, versucht dieser aus Eisplatten das Wort „Ewigkeit“ zu formen. Verrückt? Nein, nicht wirklich. Werfen Sie am besten selbst einen Blick auf diesen Beitrag, in dem wir erklären, dass Kryptominer Informationsblöcke neu anordnen, um nicht nur irgendeinen Hash zu erhalten, sondern den „schönsten“ aller Hashes.

In dieser Phase wird klar, warum sich Andersen in der zweiten Geschichte auf Kay’s Kopfrechenkünste konzentrierte. Denn nach eben dieser Fähigkeit suchte die Schneekönigin, und Kai wurde ausschließlich zu Kryptomining-Zwecken infiziert.

Gerda gelingt es Kay’s vereistes Herz mit ihren Tränen aufzutauen (bzw. sie löscht den Schadcode mit verschiedenen Tools und erlangt die Kontrolle über den Systemkern zurück). Kay bricht daraufhin in Tränen aus, was bedeutet, dass er sein integriertes Antivirus (das zuvor durch das infizierte Modul in seinem Kernel blockiert wurde) aktivieren und auf diese Weise den zweiten Teil des Schadcodes aus seinem Auge entfernen konnte.

Das Ende des Berichts ist nach heutigen Maßstäben ziemlich seltsam. Anstatt Tipps für potenzielle Opfer oder andere nützliche Informationen bereitzustellen, geht Andersen stattdessen auf die Heimreise der Charaktere ein. Vielleicht war das schlichtweg eine Eigenart der Infosec-Berichte aus dem neunzehnten Jahrhundert.

Wie wir bereits am Anfang gesagt haben, sind Märchenautoren tatsächlich die ältesten Sicherheitsexperten der Branche. Der Fall der Schneekönigin bestärkt uns nur noch mehr in unserer Annahme. Wie oben beschrieben, handelt es sich bei der Geschichte um eine detaillierte Darstellung einer Untersuchung eines komplexen Vorfalls. Wer jetzt Lust auf weitere Märchen bekommen hat, kann einen Blick auf folgende Erzählungen werfen:

Tipps