{"id":18656,"date":"2019-03-05T12:06:34","date_gmt":"2019-03-05T10:06:34","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=18656"},"modified":"2019-11-22T12:09:54","modified_gmt":"2019-11-22T10:09:54","slug":"middle-earth-cybersecurity","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/middle-earth-cybersecurity\/18656\/","title":{"rendered":"Cybersicherheitsreport aus Mittelerde"},"content":{"rendered":"<p>Einige lesen J. R. R. Tolkiens Meisterwerke zur pers\u00f6nlichen Unterhaltung, w\u00e4hrend andere sie als tiefgr\u00fcndige, christliche Philosophie oder sogar als Propaganda bezeichnen. Ich pers\u00f6nlich sehe in seinen Werken Parabeln zur Cybersicherheit; und das liegt \u00fcbrigens nicht ausschlie\u00dflich daran, dass diese mich in den letzten Jahren auf Schritt und Tritt begleiten.<\/p>\n<p>Wussten Sie eigentlich, dass Tolkien kurz vor Ausbruch des Zweiten Weltkriegs an der <em>British Government Code and Cypher School<\/em> zum Kryptoanalytiker ausgebildet wurde? Bei der GC&amp;CS handelt es sich \u00fcbrigens um den Sicherheitsdienst, der die Codes der <em>Enigma<\/em> \u2013 die deutsche Standard-Maschine f\u00fcr Verschl\u00fcsselungen im Zweiten Weltkrieg \u2013 erfolgreich knacken konnte. Sp\u00e4ter taufte man die britische Regierungsbeh\u00f6rde auf den Namen <em>Government Communications Headquarters<\/em>; ihre Zust\u00e4ndigkeit gilt der Signalaufkl\u00e4rung und Informationssicherung der britischen Regierung und Streitkr\u00e4fte. Tolkien vereinte also die F\u00e4higkeiten eines studierten Sprachwissenschaftlers und, mehr oder weniger, ausgebildeten Kryptoanalytikers; zwei Eigenschaften, die erforderlich waren, um feindliche Chiffren entschl\u00fcsseln zu k\u00f6nnen. Hier ist also definitiv von Informationssicherheit die Rede; demnach ist Tolkien also gewisserma\u00dfen ein gesch\u00e4tzter Kollege von uns.<\/p>\n<h2>Die Ringe der Macht<\/h2>\n<p>Der Roman \u201eDer Herr der Ringe\u201c handelt haupts\u00e4chlich von der Vernichtung des <em>Einen Ring<\/em>es, der von Sauron erschaffen wurde, um die Weltherrschaft gewaltsam an sich zu rei\u00dfen; dieser allm\u00e4chtige Ring \u00fcberwacht und beherrscht weitere 19 Ringe: die drei Ringe der Elben, die sieben Ringe der Zwerge und die neun Ringe der Menschen. Die Protagonisten des Romans bef\u00fcrchten, dass Sauron mithilfe des <em>Einen Ringes<\/em> die Weltmacht erlangt und der gesamten Bev\u00f6lkerung seinen Willen aufzwingt. Klingt auf den ersten Blick nach reiner Fantasie; doch wenn man etwas genauer hinsieht, wird einem klar, dass es sich hierbei um echte Science-Fiction handelt.<\/p>\n<h3>Drei Ringe den Elbenk\u00f6nigen hoch im Licht<\/h3>\n<p>Damals als Kind erschien mir die Geschichte der Elben-Ringe am unverst\u00e4ndlichsten. Angeblich von den Elben selbst geschmiedet, blieben die Ringe zwar von Saurons Hand unber\u00fchrt, waren dem <em>Einen Ring<\/em>\u00a0aber dennoch untertan. Aus diesem Grund hielten die Elben ihre Ringe immer sicher versteckt.<\/p>\n<p>Betrachtet man die Situation aus einer modernen Perspektive und bringt sie mit der Informationssicherheit in Verbindung, kommt Folgendes dabei heraus:<\/p>\n<ul>\n<li>Die Elben stellen firmenintern drei Ger\u00e4te her;<\/li>\n<li>Die Firmware dieser Ger\u00e4te wird mit einem von Sauron entwickelten SDK erstellt;<\/li>\n<li>Die Adresse des C&amp;C-Centers des <em>Einen Ringes <\/em>ist auf den Ringen hardkodiert;<\/li>\n<li>Die Elben wissen dies und gehen besonders vorsichtig mit der Verwendung ihrer Ger\u00e4te um, w\u00e4hrend Sauron den C&amp;C-Server kontrolliert.<\/li>\n<\/ul>\n<p>Mit anderen Worten, handelt es sich hierbei um einen klassischen <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/supply-chain\/?utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=termin-explanation\" target=\"_blank\" rel=\"noopener\">Supply-Chain-Angriff<\/a>. Nur in diesem Fall konnten die Elben die Bedrohung rechtzeitig erkennen, um die gef\u00e4hrdeten Ger\u00e4te vorsorglich au\u00dfer Betrieb zu setzen.<\/p>\n<h3>Sieben den Zwergenherrschern in ihren Hallen aus Stein<\/h3>\n<p>Die Sieben Ringe wurden den Zwergenherrschern von Sauron pers\u00f6nlich \u00fcbergeben. Die Zwerge hatten diese angeblich genutzt, um nach und nach Wohlstand anzuh\u00e4ufen. Dem Roman zufolge sind die Tr\u00e4ger der Ringe Saurons Kontrolle zwar nicht direkt erlegen, wurden durch seinen Einfluss aber zunehmend habs\u00fcchtiger. Indem er ihre Gier und ihren Zorn beeinflusste, gelang es Sauron, die sieben Zwergenf\u00fcrsten zu st\u00fcrzen.<\/p>\n<p>Leider gingen die Sieben Ringe lange vor den in \u201eDer Herr der Ringe\u201c beschriebenen Ereignissen verloren, sodass eine forensische Analyse dieser Ger\u00e4te nicht m\u00f6glich ist. Aber das \u201eAusnutzen von Habgier\u201c ist eine typische Phishing-Technik. Cyberkriminelle manipulieren die Art und Weise, wie Ger\u00e4teinhaber Informationen wahrnehmen, was letztendlich zu Ihrem Untergang f\u00fchrt. Wenn das kein Phishing-Angriff ist, was dann?<\/p>\n<h3>Den Sterblichen, ewig dem Tode verfallen, neun<\/h3>\n<p>Hier gibt es nicht viel zu erkl\u00e4ren. Sauron \u00fcbergab die <em>Neun Ringe<\/em> an Normalsterbliche. Die Tr\u00e4ger wurden zu gro\u00dfen K\u00f6nigen, m\u00e4chtigen Zauberern und unbesiegbaren Kriegern, verloren aber letztlich ihren eigenen Willen und verwandelten sich in Saurons Marionetten. Mit anderen Worten: ein Botnetz.<\/p>\n<p>Interessanterweise scheint das Nazg\u00fbl-Botnetz \u00fcber ein Backup-Kontrollprotokoll zu verf\u00fcgen, denn selbst nachdem er den C&amp;C-Server verloren hatte, konnte Sauron seinen Ringgeistern Befehle erteilen.<\/p>\n<h3>Einer dem Dunklen Herrscher auf Dunklem Thron<\/h3>\n<p>In unserer Enzyklop\u00e4die wird ein C&amp;C-Server als Server bezeichnet, \u00fcber den Cyberkriminelle Botnetze steuern, b\u00f6swillige Befehle senden und Spyware verwalten k\u00f6nnen. Ist es bei dem <em>Einen Ring<\/em> anders?<\/p>\n<p>Wird der <em>Eine Ring<\/em> zerst\u00f6rt, verlieren alle untergeordneten Ringe ihre Macht. M\u00f6glicherweise wurde in die Firmware eine periodische C&amp;C-Verf\u00fcgbarkeitspr\u00fcfung und ein Selbstzerst\u00f6rungsmechanismus integriert, der bei Verlust der Kommunikation aktiviert wird. Ein solches Verhalten ist unseren Cyberbedrohungs-Analysten durchaus bekannt, denn Cyberkriminelle verwenden h\u00e4ufig Selbstzerst\u00f6rungsmechanismen, um der Forensik Steine in den Weg zu legen.<\/p>\n<h3>Ein Ring sie zu knechten, sie alle zu finden, ins Dunkle zu treiben und ewig zu binden.<\/h3>\n<p>Diese Schlusslinien sind nicht umsonst auf der Innenseite des Rings eingraviert. Wissen Sie noch, warum der <em>Eine Ring<\/em> auch als <em>Isildurs Fluch<\/em> bezeichnet wird? Der Ring rutschte Isildur vom Finger, als er versuchte, den Fluss zu \u00fcberqueren. Auch Gollum hat seinen \u201eSchatz\u201c verloren. Und das alles, weil es sich bei der Inschrift auf dem Ring um eine Anweisung handelt. Eine, die scheinbar falsch \u00fcbersetzt oder vollkommen ignoriert wurde.<\/p>\n<p>Die urspr\u00fcngliche Ringgravur lautet wie folgt:<\/p>\n<p><em>Ash nazg durbatul\u00fbk, ash nazg gimbatul,<br>\nAsh nazg thrakatul\u00fbk agh burzum-ishi krimpatul.<\/em><\/p>\n<p>Das letzte Wort, <em>krimpatul<\/em>, wird f\u00fcr gew\u00f6hnlich mit \u201ebinden\u201c \u00fcbersetzt. Aber das Binden von Ringen ist eine ziemlich sinnlose Aufgabe, nicht wahr? Was ist, wenn es sich dabei nicht um Schwarze Sprache handelt, sondern um eine grobe Umschreibung eines \u201eCrimp-Tools\u201c, das allen IT-Spezialisten sehr bekannt ist?<\/p>\n<p>Wenn dem so ist, meint die Inschrift eigentlich, dass der Ring <em>gecrimpt<\/em> werden muss; deshalb ist er auch von Isildurs Finger gerutscht. Die Moral von der Geschichte ist also, dass die gesamte Dokumentation mit Gollum-\u00e4hnlicher Hingabe gelesen und \u00fcbersetzt werden muss; ganz egal wie kurz und einfach sie auch sein mag.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wir analysieren Saurons Hackings-Tools, die in den als \u201cRinge der Macht\u201d bekannten Ger\u00e4ten implementiert sind.<\/p>\n","protected":false},"author":700,"featured_media":18657,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3108],"tags":[420,3225,53,2967,404],"class_list":{"0":"post-18656","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-botnetz","10":"tag-cc","11":"tag-phishing","12":"tag-supply-chain","13":"tag-wahrheit"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/middle-earth-cybersecurity\/18656\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/middle-earth-cybersecurity\/15349\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/middle-earth-cybersecurity\/12913\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/middle-earth-cybersecurity\/17287\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/middle-earth-cybersecurity\/15442\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/middle-earth-cybersecurity\/14143\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/middle-earth-cybersecurity\/17950\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/middle-earth-cybersecurity\/16981\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/middle-earth-cybersecurity\/22469\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/middle-earth-cybersecurity\/5742\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/middle-earth-cybersecurity\/25846\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/middle-earth-cybersecurity\/22698\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/middle-earth-cybersecurity\/23888\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/middle-earth-cybersecurity\/18166\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/middle-earth-cybersecurity\/22222\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/middle-earth-cybersecurity\/22155\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/wahrheit\/","name":"Wahrheit"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18656","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=18656"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18656\/revisions"}],"predecessor-version":[{"id":20896,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18656\/revisions\/20896"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/18657"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=18656"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=18656"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=18656"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}