1 Punkte von GN⁺ 2024-07-22 | 1 Kommentare | Auf WhatsApp teilen

Was ist mit der digitalen Resilienz passiert?

  • Ursache der digitalen Katastrophe

    • Der digitale Zusammenbruch, der am Freitag Flughäfen, Krankenhäuser und Fernsehsender beeinträchtigte, wurde durch einen Bug in einem Software-Update verursacht
    • Es handelte sich nicht um einen Angriff feindlicher Akteure, sondern um einen Vorfall, der die Verwundbarkeit der USA offengelegt hat
  • Warum die Wiederherstellung schwierig ist

    • Die Biden-Regierung hat Angriffsszenarien von russischen und chinesischen Hackern simuliert
    • Dieser Vorfall wurde jedoch durch einen einfachen menschlichen Fehler verursacht
    • In komplexen Netzwerksystemen kann ein kleiner Fehler große Probleme auslösen
  • Reaktion der Cyberkrieger

    • Erleichterung darüber, dass es sich nicht um einen Angriff auf staatlicher Ebene handelte
    • Schadsoftware wie Chinas Volt Typhoon ist schwer zu finden und noch schwerer zu entfernen
    • Dieser Vorfall hat erneut die Grenzen der Cyber-Resilienz offengelegt
  • Zusammenarbeit zwischen Staat und Privatwirtschaft

    • In den vergangenen Jahren haben die USA begonnen, Cybersicherheitsprobleme ernsthaft anzugehen
    • Regierungsbehörden wie FBI, NSA und CISA arbeiten mit privaten Unternehmen zusammen, um Schwachstellen zu teilen und vor Hackern zu warnen
    • Präsident Biden hat ein Cyber Safety Review Board eingerichtet, das größere Vorfälle untersucht

Zusammenfassung von GN⁺

  • Dieser Vorfall war ein digitaler Zusammenbruch, der durch einen einfachen Fehler in einem Software-Update verursacht wurde
  • Er offenbart die Verwundbarkeit komplexer Netzwerksysteme und zeigt die Grenzen der Cyber-Resilienz
  • Die Zusammenarbeit zwischen Staat und Privatwirtschaft ist wichtig, und es braucht ein System zur Überprüfung größerer Vorfälle
  • Ähnliche Produkte oder Projekte mit vergleichbaren Funktionen sind Cybersicherheitssoftware wie CrowdStrike

1 Kommentare

 
GN⁺ 2024-07-22
Hacker-News-Kommentare
  • Interessant ist, dass in den Erklärungen der Medien kaum vorkommt, dass man ein Betriebssystem, das häufige Sicherheits-Patches braucht, von vornherein nicht für Infrastruktur einsetzen sollte
    Ich habe auch ein Foto gesehen, auf dem auf dem Flugplan-Anzeigebildschirm eines Flughafens ein Bluescreen zu sehen war, und frage mich, warum man so etwas nicht auf Linux oder OpenBSD baut
    Sicherheit ist keine Funktion, die man später aufsetzt, sondern muss von Anfang an eingebaut sein; inzwischen gibt es zwar eine ganze Branche, die versucht, Sicherheit auf Windows aufzupfropfen, aber richtig funktionieren tut das immer noch nicht

    • Wahrscheinlich vor allem deshalb, weil der Vendor diese Software schon immer nur für Windows gebaut hat
      Tatsächlich hat vieles noch unter DOS oder OS/2 angefangen und ist dann zu NT4 gewechselt; Geschichte, Trägheit, Vertrautheit, Kosten und einfacher Support spielen alle eine Rolle
      Sicherheit ist kein Produkt, sondern ein Prozess, und auch Distributionen brauchen häufig Updates, aber man kann den Umfang der installierten Software reduzieren
      Ein Flughafen-Anzeigesystem wird wohl keine Codecs wie MPEG2 oder VP1 brauchen
      In solchen Spezialsystemen steckt oft auch Garagen-Software; selbst wenn man SAML/OIDC möchte, wird nur LDAP im Klartext oder bestenfalls Active Directory unterstützt, und selbst wenn man aktuelles Apache Tomcat will, „unterstützt“ der Vendor nur eine drei Jahre alte verwundbare Version, weil er Probleme mit neueren Versionen nicht lösen kann
      Wenn die Hypothese stimmt, dass ein Null-Pointer den CrowdStrike-Bluescreen verursacht hat, hätte man eine speichersichere Sprache verwenden sollen; in diesem Fall lässt sich die Verantwortung aus meiner Sicht leicht CrowdStrike zuschieben
      Microsoft hat die Schrotflinte geliefert, aber dafür zu sorgen, dass der Lauf nicht auf einen selbst zeigt, ist Sache des Vendors
    • Schon jetzt steht auf der Startseite ein Beitrag darüber, dass CrowdStrike vor einigen Monaten Debian und Rocky Linux kaputtgemacht hat, ohne dass es jemand bemerkt hat
      https://news.ycombinator.com/item?id=41018029
    • Ein „Betriebssystem, das häufige Sicherheits-Updates erhält“, ist eher ein gutes Zeichen
      Es bedeutet, dass Probleme erkannt und Risiken gemindert werden
      Sicherheit ist kein Kontrollkästchen, sondern eher ein endloser Prozess, weil sich das Umfeld ständig verändert; ein OS, das keine Updates bekommt oder nicht regelmäßig aktualisiert wird, ist nicht besser
      Was man will, sind Updates, die das OS nicht instabil machen; dahinter stehen außerdem die gewaltigen Schichten an Entscheidungen, die jede Organisation beim Betrieb dieser Geräte über Jahre aufgebaut hat
      Sicherheit sollte mehrschichtig entworfen und eingebaut werden
      Eher als dass es „nicht funktioniert“, hat es lange funktioniert, weil es still war, und Menschen nehmen vor allem Vorfälle wahr, bei denen etwas scheitert
    • Das Flughafenpersonal muss damit umgehen können; es darf nicht nur für HN-Leute bedienbar sein
      Die meisten können mit Windows-Rechnern umgehen, Desktop-IT-Support ist an die Verwaltung von Windows gewöhnt, und auch das Gebäudetechnik-Team kann oft in gewissem Maß helfen
      Microsoft macht es einfach, Gruppen von Rechnern zu verwalten, und bietet eigene Schulungen und Zertifizierungen sowie zahllose Trainings von Drittanbietern an
      Windows ist de facto die Standardmaschine für den Arbeitsalltag, und die meisten Signage-Firmen setzen ebenfalls Windows ein
      Leute zu finden, die sich mit BSD auskennen, ist nicht leicht
    • Für viele CTOs/CISOs ist ein gutes Ziel zum Abschieben von Verantwortung wichtiger als ein stabiles und sicheres System, wenn etwas schiefgeht
      Big Brands sind gute Ziele, Open-Source-Projekte wie OpenBSD hingegen nicht
      Selbst wenn Schäden in Millionenhöhe entstehen, ist es unwahrscheinlich, dass ein CTO entlassen wird, nur weil er statt Linux/BSD auf Windows+CrowdStrike gesetzt hat
      Das Sprichwort „Nobody ever got fired for buying IBM“ gilt zumindest in der Unternehmenswelt weiterhin
  • Ich weiß nicht, ob es jemals so etwas wie „digitale Resilienz“ gab, und falls ja, wann das gewesen sein soll.
    Dieses Chaos wurde zwar nicht von einem Gegner verursacht, hat einem Gegner aber gewissermaßen in einem entscheidenden Moment eine Landkarte der amerikanischen Verwundbarkeiten geliefert.
    Es ist gut möglich, dass Staaten und Akteure, die den USA nicht freundlich gesinnt sind, solche Verwundbarkeitskarten bereits erstellen und auf Vorrat halten.
    Es ist einerseits erstaunlich, andererseits offensichtlich, dass die USA und andere Länder dieser Bedrohung so locker begegnen und ihre Widerstandsfähigkeit gegen Schwachstellen nicht stärker ausbauen.
    Kosten sind ein Faktor, aber der größere Faktor ist meiner Ansicht nach Bequemlichkeit.
    Wenn man Systeme gegen Schwachstellen härtet, werden sie weniger bequem und weniger einfach zu benutzen, und die Menschen wehren sich sofort dagegen.
    Als Microsoft Windows, insbesondere Windows 95, herausbrachte, wollte das Unternehmen nichttechnische Nutzer gewinnen, indem alles per Klick möglichst einfach gemacht wurde, und Sicherheit spielte dabei keine ausreichende Rolle.
    Als Viren, Schwachstellen und Kompromittierungen außer Kontrolle gerieten, wurden Einschränkungen eingeführt, und die Nutzer konnten die Freiheiten, an die sie sich gewöhnt hatten, nicht mehr im gleichen Maß genießen.
    Microsoft hat die Welt an einen lockeren Betriebsstil gewöhnt, und Versuche, das wieder zurückzudrehen, stießen seitdem immer wieder auf Widerstand der Nutzer.
    Wir stecken heute in einem großen Problem fest, das schon vor der Veröffentlichung von Windows 95 leicht vorhersehbar war, und es wird extrem schwer zu beheben sein.

    • Charlie Mungers Satz „Show me the incentive and I will show you the outcome“ stimmt.
      Unternehmen werden nicht dafür belohnt, sichere, redundante und verlässliche Computersysteme zu betreiben, sondern dafür, dass die Zahl unter dem Strich die Erwartungen übertrifft, die ein Analyst in Lower Manhattan vor 90 Tagen festgelegt hat.
      Da in den USA Unternehmen den Großteil der gesellschaftlichen Aufgaben abwickeln, werden auch kritische Systeme auf diese Weise entworfen.
      Diese Angelegenheit könnte vor Gericht landen, und CrowdStrike müsste womöglich übernommen werden, um die Schäden zu begleichen, die Kunden seit dem 19. Juli entstanden sind, aber das wird Jahre dauern, und die Kläger könnten am Ende nur symbolischen Schadensersatz oder gar nichts bekommen.
      Bis dahin wird der Markt sich abgesichert, Regulierungsbehörden vereinnahmt, Verluste abgestoßen haben, und dann geht man einfach weiter.
      Vermögenswerte werden von Leuten billig aufgekauft werden, die das als „schöpferische Zerstörung“ betrachten und denen egal ist, dass Menschenleben dadurch gefährdet wurden.
      Und der Zyklus setzt sich fort.
    • Die Erfahrungen der Ukraine zu untersuchen, wäre sehr nützlich, und wahrscheinlich war es das bereits.
      Fast die gesamte kritische Infrastruktur war über Jahre Cyberangriffen ausgesetzt, Systeme gingen herunter und es kam zu Ausfällen, aber man hat sich angepasst.
      Manchmal kehrte man zu Low-Tech-Lösungen zurück, manchmal baute man neue, robuste Systeme und entfernte die alten.
      Wenn das Problem konkret und unmittelbar ist, lässt es sich politisch auch viel leichter rechtfertigen.
      Soweit ich mich erinnere, war eine der ersten Maßnahmen der USA, als die Spannungen zu eskalieren begannen, ein Team von NSA-Cybersicherheitsspezialisten zu entsenden, um beim Lockdown und bei der Beseitigung von Eindringlingen zu helfen.
    • „Cyber-Behörden“ konzentrieren sich auf Angriffe.
      Denn damit lässt sich leicht punkten und es sieht so aus, als würde man etwas tun.
      Verteidigung dagegen ist die langweilige Arbeit, zahllose veraltete Endpunkte zu schützen oder hochprofitable Großunternehmen davon zu überzeugen, weniger verwundbare, aber weniger profitable Dinge zu tun.
    • Zumindest in den 90er-Jahren und den frühen 2000ern wäre man im Konferenzraum ausgelacht und sofort gefeuert worden, wenn man etwas Wichtiges mit dem Internet verbunden hätte.
    • Resilienz war lange Zeit das Ziel, und bevor Cloud-SaaS und automatische Updates alles dominierten, war die Lage meiner Ansicht nach tatsächlich resilienter.
      Als Softwareinstallationen in privaten Netzen lagen, Maschinen und Topologien grundlegend unterschiedlich aufgebaut waren und trotz geringerer Qualität vielfältige Software eingesetzt wurde, war das deutlich robuster als heute.
      Heute kann schon der Ausfall eines einzelnen Dienstes wie AWS viele Unternehmen lahmlegen, und ein schlechtes Update wie dieses wirkt sich sofort auf alle aus und löst Dominoeffekte aus.
      Früher war so etwas nicht üblich.
      Wir haben unsere kollektive Architektur auf einige wenige Best-Practice-Tools konzentriert, und das schafft Single Points of Failure nicht nur für digitale Angriffe, sondern auch für Fehlkonfigurationen, Managementversagen, Unternehmenszusammenbrüche, erschöpfte schlecht bezahlte Ingenieure oder Optimierungszwänge.
      Ich stimme nicht zu, dass das Härten von Systemen sie zwangsläufig unbequemer macht.
      In den letzten zehn Jahren hat sich die Sicherheitsbranche eher in die entgegengesetzte Richtung bewegt und erkannt, dass zu strenge Sicherheit Nutzer zu einfachen, vorhersehbaren Umgehungslösungen treibt und dadurch die gesamte Sicherheitslage verschlechtert.
      Man muss sich nur die Änderungen in den NIST-Empfehlungen zu Passwörtern ansehen.
      Wenn Passwörter alle 90 Tage geändert werden müssen, sich von den letzten zehn unterscheiden und zusätzlich Komplexitätsanforderungen erfüllen sollen, verwenden Nutzer am Ende vorhersehbare Muster bei der Mindestlänge und erhöhen nur die Zahl am Ende.
      Alte Passwort-Hashes, die gespeichert werden, um Wiederverwendung zu prüfen, werden bei einer Kompromittierung zur Belastung, weil sie Angreifern die Muster jedes Nutzers offenbaren.
      Heute werden viel häufiger benutzbare Sicherheit-Lösungen ausgerollt, die für Endnutzer fast oder vollständig transparent sind.
      CAPTCHA auf älteren Websites war verbreitet, miserabel und leicht zu umgehen, aber die CAPTCHA-Lösungen von Cloudflare und Google sind ziemlich transparent und zugleich deutlich wirksamer.
      Es stimmt, dass Microsofts allgemeine und anhaltende Nachlässigkeit zu schlechten Sicherheitspraktiken beigetragen hat, aber dieses Ökosystem hatte auch wegen einer von Natur aus instabilen Umgebung seine seltsamen Seiten und war, abgesehen von einem kurzen Höhepunkt, fast nie das Kernfundament der Internet-Infrastruktur.
      In der Unternehmensinfrastruktur war es leider zentral, und dort scheint der Hinweis auf benutzbare oder transparente Sicherheit nie angekommen zu sein.
      Hoffentlich wird jetzt wenigstens hinter den Kulissen daran gearbeitet.
  • Auf verdrehte Weise hat CrowdStrike der westlichen Zivilisation sozusagen einen erzwungenen Test für Disaster Recovery und Resilienz verpasst
    Ein echter Angriff würde nicht innerhalb einer Stunde zurückgerollt werden
    CrowdStrike ist nicht das einzige Unternehmen mit so weitreichendem Zugriff auf so viele Firmen, Behörden und Ressourcen
    Wenn ein einzelner interner Mitarbeiter einen Disk-Wiper ausrollen würde, der nicht nur Windows-, sondern auch Linux- und macOS-Rechner zerstört, könnten die betroffenen Systeme womöglich überhaupt nicht wiederhergestellt werden
    In so einem Fall könnte es Monate dauern, bis kritische Systeme wieder online sind, und die Weltwirtschaft könnte noch stärker zum Stillstand kommen als während COVID
    Die Kernfrage ist zwar auch „Warum hat CrowdStrike es nicht besser gemacht?“, aber noch grundsätzlicher ist die Frage, warum die Technik kritischer Systeme nicht robuster gegen Fehler oder Hacks eines einzelnen Anbieters ist
    Wenn zum Beispiel nicht ein Boot-Loop, sondern ein Disk-Wiper alle Boot-Laufwerke gelöscht hätte, fragt man sich, ob es irgendeinen Grund gibt, warum für Server, Geldautomaten, Kioske, POS usw. nicht vorab per PXE bootbare Recovery-Images oder Backup-Images eingerichtet werden konnten
    Selbst wenn UEFI und BIOS mit gelöscht würden, scheint es technisch nicht unmöglich zu sein, automatische Recovery-Mechanismen zu implementieren
    Wenn man nie Root-Cause-Analysen für IT- und Sicherheitsvorfälle gemacht hat, ist es nachvollziehbar, dass man nicht tiefer darüber nachdenkt, aber obwohl Ransomware, Disk-Wiper und Supply-Chain-Risiken seit über zehn Jahren allgegenwärtig sind, ist genau diese Art von Root-Cause-Analyse ausgeblieben
    Es ist leicht, jemanden zu beschuldigen und wütend zu werden, aber das löst die Ursachen nicht
    Schwierige technische Entscheidungen zu treffen, eine gute Krise nicht zu verschwenden und Investitionen in resiliente Technik voranzutreiben, das behebt tatsächlich die Ursachen dieses Problems und ähnlicher wiederkehrender Probleme

    • Wenn die Firmware vollständig zerstört ist, braucht man Backup-Firmware
      Ab einem gewissen Punkt kann man solche Dinge irreparabel machen, aber das ist nicht das eigentliche Full Problem
      Einen Schritt weiter gedacht wird die Diskussion über Resilienz dem Fokus auf Sicherheit geopfert
      Besonders finanziell ist Resilienz sehr viel wichtiger als Sicherheit
  • Das ist seit Jahrzehnten ein offenes Geheimnis
    Es gibt nur wenige große OS- und Browser-Anbieter, sie liefern ständig Patches aus, und bei der meisten Software ist die Supply Chain so riesig, dass es praktisch unmöglich ist, alles zu auditieren oder wirklich als sicher zu zertifizieren
    „Sicherheits“-Software vergrößert nur die Angriffsfläche
    Die Leute in der Branche wussten das alle, deshalb ist es interessant, dass die NYT jetzt erst aufholt

    • Vielleicht behandelt die NYT das auch nur wegen des großen Vorfalls von gestern und weil sie nun mal ein Nachrichtenunternehmen ist
  • Wenn ich ein Unternehmen außerhalb der USA wäre, würde ich die Nutzung dieses CrowdStrike-Dienstes für Wahnsinn halten
    Das FBI kann CrowdStrike per geheimem Beschluss dazu zwingen, DLLs in die Infrastruktur einzuschleusen
    https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court

    • Ich bin nicht sicher, ob das stimmt
      Soweit ich es verstanden habe, kann die US-Regierung ein Unternehmen zwar zur Herausgabe von Daten verpflichten, aber nicht dazu, tatsächlich Arbeit für sie zu leisten
      Genau darum ging es auch im Kern des Streits zwischen der Regierung und Apple nach den Schüssen in San Bernardino, und Apple hatte das gesetzliche Recht, die Unterstützung zu verweigern
      https://en.wikipedia.org/wiki/Apple%E2%80%93FBI_encryption_dispute
      Dass NSA und CIA sogar so weit gegangen sind, Laptop- und Handy-Lieferungen abzufangen und selbst Hand anzulegen, um Backdoors einzubauen, deutet ebenfalls darauf hin, dass sich solches Verhalten nicht erzwingen lässt
    • In der Praxis ist PCI-DSS-Compliance wichtiger als Paranoia gegenüber dem FBI
    • Ich frage mich, ob du glaubst, dass man Microsoft nicht dazu zwingen kann oder will, auf dieselbe Weise ein „Update“ unterzuschieben
  • Ich habe gestern meiner Familie gesagt, dass im Fall eines echten Krieges innerhalb von acht Stunden alles aufhören würde zu funktionieren
    Wir würden zu Bargeld und Papierprozessen zurückkehren, aber es wäre schmerzhaft und langsam

  • Was gebraucht wird, ist „Diversität“, natürlich nicht im Sinne marginalisierter Gruppen
    Wenn mehr kritische Geräte unterschiedliche OS eingesetzt hätten, wäre der Schaden begrenzt gewesen
    Über die Risiken von „Monokulturen“ spricht man normalerweise bei Pflanzen, aber dasselbe Risiko gilt auch für Computing-Infrastruktur

    • Bis zu einem gewissen Grad ist das bereits so
      Dass die Zivilisation nicht zusammengebrochen ist, ist an sich schon ein Beleg dafür, dass es sehr viel Infrastruktur gibt, die weder Windows noch CrowdStrike nutzt
    • Noch weniger nachvollziehbar ist für mich, dass Verantwortliche in Organisationen mit hochkritischen Systemen die Vorstellung akzeptiert haben, dass ein Drittanbieter von Software jederzeit Patches ausrollen kann
      Etwas zugespitzt würde ich sagen, dass die von CrowdStrike betroffenen Unternehmen eine Mitschuld an dem tragen, was gestern passiert ist
    • Selbst wenn mehr kritische Geräte andere OS genutzt hätten, wäre der Schaden nicht begrenzt gewesen, falls dort trotzdem dasselbe CrowdStrike gelaufen wäre
    • Nicht unbedingt
      CrowdStrike ist in diesem Bereich nicht einmal der Marktführer, und Netzwerkeffekte haben zu so etwas geführt
      Die Zahl der Plattformen, die man für dieses Maß an Sicherheit bräuchte, wäre unrealistisch hoch
  • Weltweit kam es bei Unternehmen, die CrowdStrike auf Windows-Geräten einsetzen, zu massiven Computerausfällen.
    CrowdStrike wird zwar als Anti-Hacking-Software verkauft, ist in der Praxis aber auch eine beliebte Software, mit der Führungskräfte auf C-Level-Ebene das Verhalten von Mitarbeitern überwachen.
    Sie wird mit sehr hohen Rechten installiert und ist so konzipiert, dass sie sich nur schwer reparieren oder entfernen lässt.
    Ich frage mich, ob dieses Ereignis tatsächlich irgendjemandem irgendetwas lehren wird.

    • Ich denke schon.
      Microsoft hat bekannt gegeben, dass 8,5 Millionen Geräte betroffen waren. Das ist schwer zu glauben, aber selbst wenn man den Aufwand betrachtet, der in einer Organisation mittlerer Größe wie unserer in die Reaktion geflossen ist, tauchen sehr einfache Fragen auf wie: „Die Hälfte der Belegschaft arbeitet remote, aber wie kommen wir überhaupt an diese Geräte heran?“
      Bei der Reaktion ging es immer um die Frage: „Was kostet es, das zu tun?“ Jetzt gibt es aber auch die Zahl auf der anderen Seite, also: „Was kostet es, es nicht zu tun?“
    • Ich brauche mehr Informationen zu den Überwachungsfunktionen.
      Screenshots wären hilfreich.
  • Ich stimme nicht mit dem Teil überein, in dem Googles Kent Walker sagt, es gebe „immerhin Hoffnung“ und KI könne bedeutende Fortschritte bei der Identifizierung von Schwachstellen, dem Schließen von Lücken und der Verbesserung der Codequalität ermöglichen.
    Wenn die einzige Hoffnung nur ein vages KI-Versprechen ist, dann gibt es in Wirklichkeit keine Hoffnung.

    • Stimmt.
      Das ist ähnlich, als würde man sagen, der beste Weg, Schulschießereien zu verhindern, sei, Lehrern Waffen zu geben.
      Ich glaube nicht, dass KI das CrowdStrike-Management besser davon überzeugt hätte, dass sich eine Strategie mit schrittweisem Rollout lohnt.
      Solche Probleme werden nicht durch Technik verursacht, sondern durch Menschen, also lassen sie sich auch nicht lösen, indem man noch mehr Technik hinzufügt.