Suche innerhalb des Archivs / Search the Archive All words Any words
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[infowar.de] Cyber-Buergerkrieg

Infowar.de - http://userpage.fu-berlin.de/~bendrath/liste.html

--------------------------- ListBot Sponsor --------------------------
Start Your Own FREE Email List at http://www.listbot.com/links/joinlb
----------------------------------------------------------------------

-------- Original Message --------
Betreff: Cyber-Buergerkrieg
Datum: Sun, 17 Jun 2001 22:37:22 +0200 (CEST)
Von: Reinhard Wobst <R -
 Wobst -!
- ifw-dresden -
 de>
An: bendrath -!
- zedat -
 fu-berlin -
 de

Hallo Herr Bendrath,

am Freitag erhielt ich zwei Informationen, die in Ihre Liste passen.
Beide stammen aus Bruce Schneiers Online-Zeitschrift "Cryptogram",
Ausgabe 6/01, die man sich unter www.counterpane.com herunterladen
kann. Ich sehe den "Cyberwar" nicht so national, obwohl Politiker
und Militaers immer national denken werden. Mein sicheres Gefuehl
ist vielmehr, dass alles voellig anders kommen wird, als wir es
erwarten :-)

Zum ersten zur Bedrohung im Netz allgemein. Es gibt sogenannte "Honig-
toepfe"; das sind Server, die fuer Hacker interessant aussehen sollen,
in Wirklichkeit aber all ihre Aktivitaeten aufzeichnen. Nur dadurch
erhaelt man einen Einblick davon, was im Netz wirklich los ist. Ich
zitiere einmal Bruce Schneier:

<begin Zitat>
The Honeynet Project was initiated to shine a light into this 
darkness.  This team of researchers has built an entire computer network 
and completely wired it with sensors.  Then it put the network up on the 
Internet, giving it a suitably enticing name and content, and recorded what 
happened.  (The actual IP address is not published, and changes 
regularly.)  Hackers' actions are recorded as they happen: how they try to 
break in, when they are successful, what they do when they succeed.

The results are fascinating.  A random computer on the Internet is scanned 
dozens of times a day.  The life expectancy of a default installation of 
Red Hat 6.2 server, or the time before someone successfully hacks it, is 
less than 72 hours.  A common home user setup, with Windows 98 and file 
sharing enabled, was hacked five times in four days.  Systems are subjected 
to NetBIOS scans an average of 17 times a day.  And the fastest time for a 
server being hacked: 15 minutes after plugging it into the network.

The moral of all of this is that there are a staggering number of people 
out there trying to break into *your* computer network, every day of the 
year, and that they succeed surprisingly often.  It's a hostile jungle out 
there, and network administrators that don't take drastic measures to 
protect themselves are toast.
<ende Zitat>

Diese Angaben decken sich mit denen, die ich frueher schon hoerte - beispiels-
weise von Bankspezialisten in Diskussionen. Also: Es wird sehr viel "gespielt".
Scannen heisst noch nicht "behacken", d.h., solche Angriffe bleiben voellig
unsichtbar fuer den normalen Nutzer. Sie finden aber statt. Sehr beunruhigend,
nicht wahr? Red Hat 6.2 ist das populaere Linux in den USA und nicht so einfach
anzugreifen wie Windows ...

Zweite Geschichte - die von Steve Gibson, der mit DDoS-Angriffen lahmgelegt
wurde (in der Mailingsliste als Message 1594 von Telepolis zitiert). Dort
geht es um die "Unschuld" der Skript-Kiddies. Schneier sieht das anders, ich
uebrigens auch. Aber lassen wir erst einmal den Experten zu Wort kommen:

<begin Zitat>
          DDOS Attacks Against grc.com

Steve Gibson has written a fascinating and entertaining essay about his 
experiences with a distributed denial-of-service attack against his Web 
server.  It had good analysis, conversations with teenage hackers, and 
general predictions for the future.  I strongly urge everyone to read it.

<http://grc.com/dos/grcdos.htm>

Go on...I'll wait.

Okay.  Now read his "Open Letter to the Internet's Hackers":

<http://grc.com/dos/openletter.htm>

Ignore the details of the attack, and his arguments that Windows XP will make
the situation much worse. Concentrate on the big picture. I think this story
has an enormous lesson for all.

Here's a guy who is reasonably knowledgeable in computer security. He's a
computer consultant, with a Web site that is integral to his livelihood. He
has had this Web site attacked, repeatedly, simply because he was *rumored* to
have said something mildly disparaging about hackers *in general*. He spent a
lot of effort defending himself, even to the point of trying to engage his
attackers. Yet in the end, he realized that there was no defense, and he
surrendered unconditionally.

To a 13-year-old!

Imagine if that happened in the real world. Imagine that you were prevented
from entering your home - that some random teenagers piled junked cars at the
end of your block - because they incorrectly believed that you used a phrase
like "typical irresponsible teenagers." Furthermore, imagine that your
attempts at removing the cars and returning home were constantly thwarted
(more cars were being deposited every minute), that the police could do
nothing, and that these random interruptions continued to occur. In the end,
imagine that you had to surrender your ability to access your own home to
these random attackers.

The ordinary citizens of the digital world are in thrall to teenage
terrorists, and nobody seems to be paying attention. How long will it take
before some of these guys figure out they can extort money or other valuable
goods with their ambushes? This situation is not going to magically get
better. There is no technology waiting in the wings that is going to solve
this problem. And as Steve Gibson said in his essay: "We can not have a stable
Internet economy while 13-year-old children are free to deny arbitrary
Internet services with impunity."

I'm not suprised that Gibson could not defend himself. DDOS attacks are a
network problem, not a computer problem. Most so-called "network security
problems" are nothing of the sort; they're host security problems, with the
network as the conduit. DDOS is a network security problem; it's the network's
resources that are being abused. Gibson couldn't prevent the attacks because
the problem wasn't in anything under his control. It's up to the ISPs to
figure out how to stop such things.
<ende Zitat>

Der letzte Abschnitt ist nur als technische Ergaenzung gedacht.

Zurueck zum Kern der Sache: Wo keine Kontrolle und keine Strafe existiert,
wird sich Vandalismus breitmachen, der sich zum erheblichen wirtschaftlichen
Stoerfaktor entwickeln kann. Wenn eine mir gut bekannte Firma durch einen
"zum Spielen und Aergern" entwickelten Virus drei Tage lang lahmgelegt wird,
ist das kein Spass mehr. So etwas ist kriminell, nur dass man den Verursacher
nicht dingfest machen kann. Die *Wirkung* ist kriminell, und nach ihr muss man
gehen: Wer Wurfanker auf Oberleitungen haengt und dadurch Menschen toetet,
ist ein Moerder, denn das hat mit Fahrlaessigkeit nichts mehr zu tun. Auch
wenn er nach seiner Meinung noch so redliche Ziele verfolgt.

So muss auch jeder Virusprogrammierer damit rechnen, dass er grossen Schaden
anrichten kann. Wozu programmiert man eigentlich Viren?

Die Sache hat nichts mehr mit Ethik zu tun. Es gibt eine Hackerethik, aber
wo man andere gravierend damit beeintraechtigt (gewollt oder ungewollt),
muss der Hacker eine Strafe akzeptieren. Das ist die Kehrseite der Medaillie,
die zu oft vergessen wird.

Wenn die Entwicklung so weitergeht wie im Moment (mit der Uebermacht von
Microsoft und einem voellig unterentwickelten Sicherheitsbewusstsein der
meisten Computernutzer), dann wird es keinen Cyperkrieg zwischen USA und China
oder sonstwem geben, sondern eher einen *Cyber-Buergerkrieg* mit ziemlich
anarchischen Zustaenden. Ich glaube, der erste Schritt muss sein, diese Gefahr
abzuwenden, denn sonst geht der "nationale" Krieg im Rauschen einfach unter.

Ausserdem denke ich, dass es eine grosse Masse wirklich sicherheitsrelevanter
Systeme gibt, bei denen unsere heutigen Hacker wenig Chancen haetten. Deren
Technik ist wenig bekannt, denn ihr Verstaendnis setzt hohes Spezialwissen
voraus und ist oft nur ueber ziemlich teure Zeitschriften und Buecher zu-
gaenglich. Gewiss beschaeftigen sich Strategen mit moeglichen Angriffen auf
solche Systeme. Derartige Angriffe sind ueberfluessig, wenn man viel "billiger"
ein heilloses Chaos anrichten kann, z.B. mit DDoS-Angriffen auf schlecht
gesicherte und schlecht gewartete Systeme. Ich habe mich mit DDoS-Angriffen
einmal naeher beschaeftigt (Lanline 5+6/2000, "Digitales Sperrfeuer") und
war ziemlich entsetzt ueber die Boesartigkeit dieser Programme: Sie sind
rein destruktiv, die meiste Intelligenz steckt in der Verschleierung des
Urhebers. Das hat nichts mehr mit Hackerethik zu tun, die Schwaechen des
Netzes aufzeigen will - oder zumindest braucht man dann so ein Werkzeug
nicht mehr in Umlauf zu geben. Das wird aber bewusst getan.

Also, ich fuerchte mich viel mehr vor einem Chaos im Netz als vor zielge-
richteten Angriffen feindlich gesinnter Staaten.

Bei dieser Gelegenheit moechte ich noch auf die 3., stark erweiterte und
aktualisierte Auflage meines Buches "Abenteuer Kryptologie" (Addison-Wesley)
hinweisen, das jetzt im Juni erscheinen wird. Dort geht es neben einer
populaeren Einfuehrung in die Verschluesselung (inklusive Enigma und
anderer historischer Anekdoten) und einem Streifzug durch die moderne
Kryptologie auch um Echelon, Datenerfassung, den zu erwartenden Schwund
der Privatsphaere, Krypotgesetze u.a.m. (diese Anmerkung im eigenen Interesse
ist aber wirklich nicht der Anlass des Postings).

Viele Gruesse

Reinhard Wobst


______________________________________________________________________
To unsubscribe, write to infowar -
 de-unsubscribe -!
- listbot -
 com