Was ist mit der digitalen Resilienz passiert?
-
Ursache der digitalen Katastrophe
- Der digitale Zusammenbruch, der am Freitag Flughäfen, Krankenhäuser und Fernsehsender beeinträchtigte, wurde durch einen Bug in einem Software-Update verursacht
- Es handelte sich nicht um einen Angriff feindlicher Akteure, sondern um einen Vorfall, der die Verwundbarkeit der USA offengelegt hat
-
Warum die Wiederherstellung schwierig ist
- Die Biden-Regierung hat Angriffsszenarien von russischen und chinesischen Hackern simuliert
- Dieser Vorfall wurde jedoch durch einen einfachen menschlichen Fehler verursacht
- In komplexen Netzwerksystemen kann ein kleiner Fehler große Probleme auslösen
-
Reaktion der Cyberkrieger
- Erleichterung darüber, dass es sich nicht um einen Angriff auf staatlicher Ebene handelte
- Schadsoftware wie Chinas Volt Typhoon ist schwer zu finden und noch schwerer zu entfernen
- Dieser Vorfall hat erneut die Grenzen der Cyber-Resilienz offengelegt
-
Zusammenarbeit zwischen Staat und Privatwirtschaft
- In den vergangenen Jahren haben die USA begonnen, Cybersicherheitsprobleme ernsthaft anzugehen
- Regierungsbehörden wie FBI, NSA und CISA arbeiten mit privaten Unternehmen zusammen, um Schwachstellen zu teilen und vor Hackern zu warnen
- Präsident Biden hat ein Cyber Safety Review Board eingerichtet, das größere Vorfälle untersucht
Zusammenfassung von GN⁺
- Dieser Vorfall war ein digitaler Zusammenbruch, der durch einen einfachen Fehler in einem Software-Update verursacht wurde
- Er offenbart die Verwundbarkeit komplexer Netzwerksysteme und zeigt die Grenzen der Cyber-Resilienz
- Die Zusammenarbeit zwischen Staat und Privatwirtschaft ist wichtig, und es braucht ein System zur Überprüfung größerer Vorfälle
- Ähnliche Produkte oder Projekte mit vergleichbaren Funktionen sind Cybersicherheitssoftware wie CrowdStrike
1 Kommentare
Hacker-News-Kommentare
Interessant ist, dass in den Erklärungen der Medien kaum vorkommt, dass man ein Betriebssystem, das häufige Sicherheits-Patches braucht, von vornherein nicht für Infrastruktur einsetzen sollte
Ich habe auch ein Foto gesehen, auf dem auf dem Flugplan-Anzeigebildschirm eines Flughafens ein Bluescreen zu sehen war, und frage mich, warum man so etwas nicht auf Linux oder OpenBSD baut
Sicherheit ist keine Funktion, die man später aufsetzt, sondern muss von Anfang an eingebaut sein; inzwischen gibt es zwar eine ganze Branche, die versucht, Sicherheit auf Windows aufzupfropfen, aber richtig funktionieren tut das immer noch nicht
Tatsächlich hat vieles noch unter DOS oder OS/2 angefangen und ist dann zu NT4 gewechselt; Geschichte, Trägheit, Vertrautheit, Kosten und einfacher Support spielen alle eine Rolle
Sicherheit ist kein Produkt, sondern ein Prozess, und auch Distributionen brauchen häufig Updates, aber man kann den Umfang der installierten Software reduzieren
Ein Flughafen-Anzeigesystem wird wohl keine Codecs wie MPEG2 oder VP1 brauchen
In solchen Spezialsystemen steckt oft auch Garagen-Software; selbst wenn man SAML/OIDC möchte, wird nur LDAP im Klartext oder bestenfalls Active Directory unterstützt, und selbst wenn man aktuelles Apache Tomcat will, „unterstützt“ der Vendor nur eine drei Jahre alte verwundbare Version, weil er Probleme mit neueren Versionen nicht lösen kann
Wenn die Hypothese stimmt, dass ein Null-Pointer den CrowdStrike-Bluescreen verursacht hat, hätte man eine speichersichere Sprache verwenden sollen; in diesem Fall lässt sich die Verantwortung aus meiner Sicht leicht CrowdStrike zuschieben
Microsoft hat die Schrotflinte geliefert, aber dafür zu sorgen, dass der Lauf nicht auf einen selbst zeigt, ist Sache des Vendors
https://news.ycombinator.com/item?id=41018029
Es bedeutet, dass Probleme erkannt und Risiken gemindert werden
Sicherheit ist kein Kontrollkästchen, sondern eher ein endloser Prozess, weil sich das Umfeld ständig verändert; ein OS, das keine Updates bekommt oder nicht regelmäßig aktualisiert wird, ist nicht besser
Was man will, sind Updates, die das OS nicht instabil machen; dahinter stehen außerdem die gewaltigen Schichten an Entscheidungen, die jede Organisation beim Betrieb dieser Geräte über Jahre aufgebaut hat
Sicherheit sollte mehrschichtig entworfen und eingebaut werden
Eher als dass es „nicht funktioniert“, hat es lange funktioniert, weil es still war, und Menschen nehmen vor allem Vorfälle wahr, bei denen etwas scheitert
Die meisten können mit Windows-Rechnern umgehen, Desktop-IT-Support ist an die Verwaltung von Windows gewöhnt, und auch das Gebäudetechnik-Team kann oft in gewissem Maß helfen
Microsoft macht es einfach, Gruppen von Rechnern zu verwalten, und bietet eigene Schulungen und Zertifizierungen sowie zahllose Trainings von Drittanbietern an
Windows ist de facto die Standardmaschine für den Arbeitsalltag, und die meisten Signage-Firmen setzen ebenfalls Windows ein
Leute zu finden, die sich mit BSD auskennen, ist nicht leicht
Big Brands sind gute Ziele, Open-Source-Projekte wie OpenBSD hingegen nicht
Selbst wenn Schäden in Millionenhöhe entstehen, ist es unwahrscheinlich, dass ein CTO entlassen wird, nur weil er statt Linux/BSD auf Windows+CrowdStrike gesetzt hat
Das Sprichwort „Nobody ever got fired for buying IBM“ gilt zumindest in der Unternehmenswelt weiterhin
Ich weiß nicht, ob es jemals so etwas wie „digitale Resilienz“ gab, und falls ja, wann das gewesen sein soll.
Dieses Chaos wurde zwar nicht von einem Gegner verursacht, hat einem Gegner aber gewissermaßen in einem entscheidenden Moment eine Landkarte der amerikanischen Verwundbarkeiten geliefert.
Es ist gut möglich, dass Staaten und Akteure, die den USA nicht freundlich gesinnt sind, solche Verwundbarkeitskarten bereits erstellen und auf Vorrat halten.
Es ist einerseits erstaunlich, andererseits offensichtlich, dass die USA und andere Länder dieser Bedrohung so locker begegnen und ihre Widerstandsfähigkeit gegen Schwachstellen nicht stärker ausbauen.
Kosten sind ein Faktor, aber der größere Faktor ist meiner Ansicht nach Bequemlichkeit.
Wenn man Systeme gegen Schwachstellen härtet, werden sie weniger bequem und weniger einfach zu benutzen, und die Menschen wehren sich sofort dagegen.
Als Microsoft Windows, insbesondere Windows 95, herausbrachte, wollte das Unternehmen nichttechnische Nutzer gewinnen, indem alles per Klick möglichst einfach gemacht wurde, und Sicherheit spielte dabei keine ausreichende Rolle.
Als Viren, Schwachstellen und Kompromittierungen außer Kontrolle gerieten, wurden Einschränkungen eingeführt, und die Nutzer konnten die Freiheiten, an die sie sich gewöhnt hatten, nicht mehr im gleichen Maß genießen.
Microsoft hat die Welt an einen lockeren Betriebsstil gewöhnt, und Versuche, das wieder zurückzudrehen, stießen seitdem immer wieder auf Widerstand der Nutzer.
Wir stecken heute in einem großen Problem fest, das schon vor der Veröffentlichung von Windows 95 leicht vorhersehbar war, und es wird extrem schwer zu beheben sein.
Unternehmen werden nicht dafür belohnt, sichere, redundante und verlässliche Computersysteme zu betreiben, sondern dafür, dass die Zahl unter dem Strich die Erwartungen übertrifft, die ein Analyst in Lower Manhattan vor 90 Tagen festgelegt hat.
Da in den USA Unternehmen den Großteil der gesellschaftlichen Aufgaben abwickeln, werden auch kritische Systeme auf diese Weise entworfen.
Diese Angelegenheit könnte vor Gericht landen, und CrowdStrike müsste womöglich übernommen werden, um die Schäden zu begleichen, die Kunden seit dem 19. Juli entstanden sind, aber das wird Jahre dauern, und die Kläger könnten am Ende nur symbolischen Schadensersatz oder gar nichts bekommen.
Bis dahin wird der Markt sich abgesichert, Regulierungsbehörden vereinnahmt, Verluste abgestoßen haben, und dann geht man einfach weiter.
Vermögenswerte werden von Leuten billig aufgekauft werden, die das als „schöpferische Zerstörung“ betrachten und denen egal ist, dass Menschenleben dadurch gefährdet wurden.
Und der Zyklus setzt sich fort.
Fast die gesamte kritische Infrastruktur war über Jahre Cyberangriffen ausgesetzt, Systeme gingen herunter und es kam zu Ausfällen, aber man hat sich angepasst.
Manchmal kehrte man zu Low-Tech-Lösungen zurück, manchmal baute man neue, robuste Systeme und entfernte die alten.
Wenn das Problem konkret und unmittelbar ist, lässt es sich politisch auch viel leichter rechtfertigen.
Soweit ich mich erinnere, war eine der ersten Maßnahmen der USA, als die Spannungen zu eskalieren begannen, ein Team von NSA-Cybersicherheitsspezialisten zu entsenden, um beim Lockdown und bei der Beseitigung von Eindringlingen zu helfen.
Denn damit lässt sich leicht punkten und es sieht so aus, als würde man etwas tun.
Verteidigung dagegen ist die langweilige Arbeit, zahllose veraltete Endpunkte zu schützen oder hochprofitable Großunternehmen davon zu überzeugen, weniger verwundbare, aber weniger profitable Dinge zu tun.
Als Softwareinstallationen in privaten Netzen lagen, Maschinen und Topologien grundlegend unterschiedlich aufgebaut waren und trotz geringerer Qualität vielfältige Software eingesetzt wurde, war das deutlich robuster als heute.
Heute kann schon der Ausfall eines einzelnen Dienstes wie AWS viele Unternehmen lahmlegen, und ein schlechtes Update wie dieses wirkt sich sofort auf alle aus und löst Dominoeffekte aus.
Früher war so etwas nicht üblich.
Wir haben unsere kollektive Architektur auf einige wenige Best-Practice-Tools konzentriert, und das schafft Single Points of Failure nicht nur für digitale Angriffe, sondern auch für Fehlkonfigurationen, Managementversagen, Unternehmenszusammenbrüche, erschöpfte schlecht bezahlte Ingenieure oder Optimierungszwänge.
Ich stimme nicht zu, dass das Härten von Systemen sie zwangsläufig unbequemer macht.
In den letzten zehn Jahren hat sich die Sicherheitsbranche eher in die entgegengesetzte Richtung bewegt und erkannt, dass zu strenge Sicherheit Nutzer zu einfachen, vorhersehbaren Umgehungslösungen treibt und dadurch die gesamte Sicherheitslage verschlechtert.
Man muss sich nur die Änderungen in den NIST-Empfehlungen zu Passwörtern ansehen.
Wenn Passwörter alle 90 Tage geändert werden müssen, sich von den letzten zehn unterscheiden und zusätzlich Komplexitätsanforderungen erfüllen sollen, verwenden Nutzer am Ende vorhersehbare Muster bei der Mindestlänge und erhöhen nur die Zahl am Ende.
Alte Passwort-Hashes, die gespeichert werden, um Wiederverwendung zu prüfen, werden bei einer Kompromittierung zur Belastung, weil sie Angreifern die Muster jedes Nutzers offenbaren.
Heute werden viel häufiger benutzbare Sicherheit-Lösungen ausgerollt, die für Endnutzer fast oder vollständig transparent sind.
CAPTCHA auf älteren Websites war verbreitet, miserabel und leicht zu umgehen, aber die CAPTCHA-Lösungen von Cloudflare und Google sind ziemlich transparent und zugleich deutlich wirksamer.
Es stimmt, dass Microsofts allgemeine und anhaltende Nachlässigkeit zu schlechten Sicherheitspraktiken beigetragen hat, aber dieses Ökosystem hatte auch wegen einer von Natur aus instabilen Umgebung seine seltsamen Seiten und war, abgesehen von einem kurzen Höhepunkt, fast nie das Kernfundament der Internet-Infrastruktur.
In der Unternehmensinfrastruktur war es leider zentral, und dort scheint der Hinweis auf benutzbare oder transparente Sicherheit nie angekommen zu sein.
Hoffentlich wird jetzt wenigstens hinter den Kulissen daran gearbeitet.
Auf verdrehte Weise hat CrowdStrike der westlichen Zivilisation sozusagen einen erzwungenen Test für Disaster Recovery und Resilienz verpasst
Ein echter Angriff würde nicht innerhalb einer Stunde zurückgerollt werden
CrowdStrike ist nicht das einzige Unternehmen mit so weitreichendem Zugriff auf so viele Firmen, Behörden und Ressourcen
Wenn ein einzelner interner Mitarbeiter einen Disk-Wiper ausrollen würde, der nicht nur Windows-, sondern auch Linux- und macOS-Rechner zerstört, könnten die betroffenen Systeme womöglich überhaupt nicht wiederhergestellt werden
In so einem Fall könnte es Monate dauern, bis kritische Systeme wieder online sind, und die Weltwirtschaft könnte noch stärker zum Stillstand kommen als während COVID
Die Kernfrage ist zwar auch „Warum hat CrowdStrike es nicht besser gemacht?“, aber noch grundsätzlicher ist die Frage, warum die Technik kritischer Systeme nicht robuster gegen Fehler oder Hacks eines einzelnen Anbieters ist
Wenn zum Beispiel nicht ein Boot-Loop, sondern ein Disk-Wiper alle Boot-Laufwerke gelöscht hätte, fragt man sich, ob es irgendeinen Grund gibt, warum für Server, Geldautomaten, Kioske, POS usw. nicht vorab per PXE bootbare Recovery-Images oder Backup-Images eingerichtet werden konnten
Selbst wenn UEFI und BIOS mit gelöscht würden, scheint es technisch nicht unmöglich zu sein, automatische Recovery-Mechanismen zu implementieren
Wenn man nie Root-Cause-Analysen für IT- und Sicherheitsvorfälle gemacht hat, ist es nachvollziehbar, dass man nicht tiefer darüber nachdenkt, aber obwohl Ransomware, Disk-Wiper und Supply-Chain-Risiken seit über zehn Jahren allgegenwärtig sind, ist genau diese Art von Root-Cause-Analyse ausgeblieben
Es ist leicht, jemanden zu beschuldigen und wütend zu werden, aber das löst die Ursachen nicht
Schwierige technische Entscheidungen zu treffen, eine gute Krise nicht zu verschwenden und Investitionen in resiliente Technik voranzutreiben, das behebt tatsächlich die Ursachen dieses Problems und ähnlicher wiederkehrender Probleme
Ab einem gewissen Punkt kann man solche Dinge irreparabel machen, aber das ist nicht das eigentliche Full Problem
Einen Schritt weiter gedacht wird die Diskussion über Resilienz dem Fokus auf Sicherheit geopfert
Besonders finanziell ist Resilienz sehr viel wichtiger als Sicherheit
Das ist seit Jahrzehnten ein offenes Geheimnis
Es gibt nur wenige große OS- und Browser-Anbieter, sie liefern ständig Patches aus, und bei der meisten Software ist die Supply Chain so riesig, dass es praktisch unmöglich ist, alles zu auditieren oder wirklich als sicher zu zertifizieren
„Sicherheits“-Software vergrößert nur die Angriffsfläche
Die Leute in der Branche wussten das alle, deshalb ist es interessant, dass die NYT jetzt erst aufholt
Wenn ich ein Unternehmen außerhalb der USA wäre, würde ich die Nutzung dieses CrowdStrike-Dienstes für Wahnsinn halten
Das FBI kann CrowdStrike per geheimem Beschluss dazu zwingen, DLLs in die Infrastruktur einzuschleusen
https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court
Soweit ich es verstanden habe, kann die US-Regierung ein Unternehmen zwar zur Herausgabe von Daten verpflichten, aber nicht dazu, tatsächlich Arbeit für sie zu leisten
Genau darum ging es auch im Kern des Streits zwischen der Regierung und Apple nach den Schüssen in San Bernardino, und Apple hatte das gesetzliche Recht, die Unterstützung zu verweigern
https://en.wikipedia.org/wiki/Apple%E2%80%93FBI_encryption_dispute
Dass NSA und CIA sogar so weit gegangen sind, Laptop- und Handy-Lieferungen abzufangen und selbst Hand anzulegen, um Backdoors einzubauen, deutet ebenfalls darauf hin, dass sich solches Verhalten nicht erzwingen lässt
Ich habe gestern meiner Familie gesagt, dass im Fall eines echten Krieges innerhalb von acht Stunden alles aufhören würde zu funktionieren
Wir würden zu Bargeld und Papierprozessen zurückkehren, aber es wäre schmerzhaft und langsam
https://cbr.ru/eng/press/event/?id=18776
https://bank.gov.ua/en/news/all/drugiy-rik-povnomasshtabnoyi-viyni-obsyagi-bezgotivkovih-rozrahunkiv-zrostayut
Ausfälle blieben größtenteils auf physische Infrastruktur beschränkt, die von Raketenangriffen getroffen wurde, und Russland ist nun wirklich nicht schwach in der digitalen Kriegsführung
Es mangelt dort ebenfalls nicht an feindlichen Hackern
Was gebraucht wird, ist „Diversität“, natürlich nicht im Sinne marginalisierter Gruppen
Wenn mehr kritische Geräte unterschiedliche OS eingesetzt hätten, wäre der Schaden begrenzt gewesen
Über die Risiken von „Monokulturen“ spricht man normalerweise bei Pflanzen, aber dasselbe Risiko gilt auch für Computing-Infrastruktur
Dass die Zivilisation nicht zusammengebrochen ist, ist an sich schon ein Beleg dafür, dass es sehr viel Infrastruktur gibt, die weder Windows noch CrowdStrike nutzt
Etwas zugespitzt würde ich sagen, dass die von CrowdStrike betroffenen Unternehmen eine Mitschuld an dem tragen, was gestern passiert ist
CrowdStrike ist in diesem Bereich nicht einmal der Marktführer, und Netzwerkeffekte haben zu so etwas geführt
Die Zahl der Plattformen, die man für dieses Maß an Sicherheit bräuchte, wäre unrealistisch hoch
Weltweit kam es bei Unternehmen, die CrowdStrike auf Windows-Geräten einsetzen, zu massiven Computerausfällen.
CrowdStrike wird zwar als Anti-Hacking-Software verkauft, ist in der Praxis aber auch eine beliebte Software, mit der Führungskräfte auf C-Level-Ebene das Verhalten von Mitarbeitern überwachen.
Sie wird mit sehr hohen Rechten installiert und ist so konzipiert, dass sie sich nur schwer reparieren oder entfernen lässt.
Ich frage mich, ob dieses Ereignis tatsächlich irgendjemandem irgendetwas lehren wird.
Microsoft hat bekannt gegeben, dass 8,5 Millionen Geräte betroffen waren. Das ist schwer zu glauben, aber selbst wenn man den Aufwand betrachtet, der in einer Organisation mittlerer Größe wie unserer in die Reaktion geflossen ist, tauchen sehr einfache Fragen auf wie: „Die Hälfte der Belegschaft arbeitet remote, aber wie kommen wir überhaupt an diese Geräte heran?“
Bei der Reaktion ging es immer um die Frage: „Was kostet es, das zu tun?“ Jetzt gibt es aber auch die Zahl auf der anderen Seite, also: „Was kostet es, es nicht zu tun?“
Screenshots wären hilfreich.
Ich stimme nicht mit dem Teil überein, in dem Googles Kent Walker sagt, es gebe „immerhin Hoffnung“ und KI könne bedeutende Fortschritte bei der Identifizierung von Schwachstellen, dem Schließen von Lücken und der Verbesserung der Codequalität ermöglichen.
Wenn die einzige Hoffnung nur ein vages KI-Versprechen ist, dann gibt es in Wirklichkeit keine Hoffnung.
Das ist ähnlich, als würde man sagen, der beste Weg, Schulschießereien zu verhindern, sei, Lehrern Waffen zu geben.
Ich glaube nicht, dass KI das CrowdStrike-Management besser davon überzeugt hätte, dass sich eine Strategie mit schrittweisem Rollout lohnt.
Solche Probleme werden nicht durch Technik verursacht, sondern durch Menschen, also lassen sie sich auch nicht lösen, indem man noch mehr Technik hinzufügt.