Am 23. Mai 2016 hat Melani einen „APT Case RUAG: Technical Report“ (hier als PDF) veröffentlicht zum RUAG-Hack. Er wirft einige Fragen auf.
- Gemäss Bericht „APT Case RUAG: Technical Report“ (hier als PDF) (e.g. p. 2) handelt es sich bei der verwendeten Malware um Epic Turla /Tavdig. Diese Malware-Familie ist bereits länger bekannt und Teile davon wurden gemäss Berichten vom August 2014 bereits damals gegen viele u.a. staatliche Ziele verwendet, u.a. auch in der Schweiz. Da fragt man sich doch: Weshalb wurde die Malware-Infektion nicht mittels üblicher Scans oder anderer Monitoring-Massnahmen entdeckt? Findet in den Netzen des Bundes und der Ruag kein regelmässiger Scan der Computer (Clients und Server) auf bekannte Malware statt?
- Gemäss Bericht (p. 25) zeigen die Logeinträge auf, dass in überwachbaren Zeit 23 GB komprimierter Daten exfiltriert wurden (ggf. allerdings redundante Informationen). Aufgrund der Logs kann man aber nicht sagen, welche Daten exfiltriert wurden. Um davon eine Idee zu erhalten, auf welche Inhalte gezielt wurde, wurde offenbar eine Beobachtungsphase gemacht (cf. p. 2, p. 25). Da frag ich mich: Wurden die Informationen zum AAD 10 und u.a. der Identität von deren Angehörigen in dieser Beobachtungsphase, also unter den Augen der RUAG oder des VBS, exfiltriert? Wäre es nicht möglich gewesen, zu verhindern, dass solche (und andere uns möglicherweise nicht bekannte) sensible Information exfiltriert wird. Hätte man allenfalls sehr sensible Informationen teilweise ändern können, damit der Angreifer zwar das Gefühl hat, diese Information zu erhalten (und so die Beobachtung weitergehen kann) – aber de facto wären keine allzu sensiblen Informationen abgeflossen? Zu vermuten ist, dass belastbare Aussagen darüber, welche Daten abgeführt wurden, nur für die Beobachtungsphase gemacht werden können – das heisst aber auch, dass der Inhalt des weitaus grösseren Teils der abgeflossenen Daten, die vor der Beobachtungsphase kopiert wurden, für immer unbekannt bleiben wird?
- Bei vielen der vorgeschlagenen Massnahmen (cf. pp 27- 29) handelt es sich um standardmässige Best-Practices (zB. Applocker, Privilegien-Managment, Sperren von Tools für Nichtadmins, Active Directory Risk Assesment Program (AD RAP), Netzwerk-Segmentation, DNS Konfiguration). Man fragt sich schon, wie sich RUAG als Cyber-Defense Kompetenzzentrum etablieren will, wenn man beim eigenen Netzwerk so fahrlässig ist.
- Treffend schliesst der Report (p. 29) mit der Feststellung, dass das Teilen von Informationen (über Angriffsvektoren, verwendete Techniken etc.) essentiell ist, um die Kosten für künftige Angriffe (auf die gleichen oder andere Ziele) zu erhöhen. Ich teile diese Haltung. Allerdings steht sie im Widerspruch zu den Plänen von Bund und Kantone sich (im Rahmen des noch zur Abstimmung kommenden Nachrichtendienstgesetzes aber auch mit dem neuen BÜPF, gegen das im Moment das Referendum läuft) am Kauf von Staatstrojanern zu beteiligen… und damit die meist kriminellen Milieus im Markt von Zero Day Exploits direkt oder indirekt zu unterstützen, statt zu mehr Sicherheit für alle beizutragen.
BILD: CC-BY-NC https://www.flickr.com/photos/cyberhades/16673209002