1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Threat-Actor-Expertin: Militärisch…

und wie soll das gehen?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. und wie soll das gehen?

    Autor: ubuntu_user 05.08.20 - 12:54

    "trust me I am a woman"?
    (das ist ein Witz und nicht ernst gemeint)

    > Die Hauptaufgabe der Cybersecurity-Expertin ist aber sicherzustellen, dass die Attributions zuverlässig sind. Das fängt für Joyce bei der Morgenlektüre an. Jede Nacht scannt ein Team von 300 Analysten Cybersecurity-Artikel und unterzieht sie einer Glaubwürdigkeitsprüfung.

    wie? was? einmal am Tag Golem lesen?

    > sie ist Lieutenant Colonel in der Reserve

    aah. also im Prinzip erweiterter Arm des Propagandaministeriums?

    > nächstes Jahr kommt ein Abschluss in Business Administration vom Massachusetts Institute of Technology (MIT) hinzu

    also studiert sie? und nebenbei hat sie einen Vollzeitjob als Vice President?

    > Eine Malware-Attacke auf die Sicherheitssysteme eines Kraftwerks im Jahr 2017 in Saudi-Arabien konnte einer regierungsnahen technischen Forschungseinrichtung in Moskau zugeschrieben werden

    und WIE???
    trust me?

    der ganze Artikel ist totaler Blödsinn. Das hätte auch nen Blogeintrag/Werbung von Sandra Joyces sein können.
    Kein Wort darüber dass Cyberadressierung Schlangenöl ist.
    Der ganze Sektor um Authentifizierung und Verschlüsselung ist ja komplett nutzlos, weil die Firma kann das ja alles einfach so.
    Keine kritische Frage.
    Kein einziger Punkt wie das funktionieren soll, was per Definition nicht gehen kann.

  2. Re: und wie soll das gehen?

    Autor: gaym0r 05.08.20 - 13:45

    ubuntu_user schrieb:
    --------------------------------------------------------------------------------
    > > Eine Malware-Attacke auf die Sicherheitssysteme eines Kraftwerks im Jahr
    > 2017 in Saudi-Arabien konnte einer regierungsnahen technischen
    > Forschungseinrichtung in Moskau zugeschrieben werden
    >
    > und WIE???
    > trust me?

    Ganz einfach: Der Angreifer hatte eine IP aus Russland. Da war der Chinese wohl clever genug einen VPN-Provider zu nutzen. :)

  3. Re: und wie soll das gehen?

    Autor: ubuntu_user 05.08.20 - 13:48

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > Ganz einfach: Der Angreifer hatte eine IP aus Russland. Da war der Chinese
    > wohl clever genug einen VPN-Provider zu nutzen. :)

    och da brauchst ja nicht mal VPN. Die USA haben da ne Botschaft.
    Das wissen wir ja seit Snowden, was man alles in der Botschaft machen kann.



    1 mal bearbeitet, zuletzt am 05.08.20 13:48 durch ubuntu_user.

  4. Re: und wie soll das gehen?

    Autor: SoulTransfer 05.08.20 - 14:04

    Es gibt diverse Wege Attacken einem bestimmten Angreifer zu attributieren. Die IP ist da meistens nicht wirklich entscheidend.
    - Analyse des Quellcodes
    - Variablen Namen
    - Code-Schreibstil
    - Verwendete Libraries
    - Analyse der Änderungszeiten zur Bestimmung der Region
    - Analyse der Angriffsvektoren

  5. Gute Fragen

    Autor: Bouncy 05.08.20 - 14:08

    Ja der Artikel ist seltsam, 3 lange Seiten und im Grunde nur Selbstbeweihräucherung irgendeiner Chefin, die offenbar ein Problem damit hat Aufgaben zu delegieren. Wie sie diese genau ausführt und was die technischen Hintergründe ihrer Arbeit sind wird nicht hinterfragt. Dass hier irgendwo IT-Security das Thema ist scheint völlig irrelevant und wird nicht näher beleuchtet, im Grunde scheint es nur darum gegangen zu sein irgendeine x-beliebige Frau zu interviewen, die in einer der klassischen Männerdomänen wirtschaftlichen Erfolg hat. Sexistischer und langweiliger Artikel...

  6. Re: und wie soll das gehen?

    Autor: narfomat 05.08.20 - 14:12

    >Es gibt diverse Wege Attacken einem bestimmten Angreifer zu attributieren.

    genau. und darum, nachdem mandian oder fireeye oder "der geheimdienst (TM)" mit der auswertung fertig ist:

    TRUST ME!!
    aka "wir erzählen euch irgendwas, und ihr glaubt es, oder nicht". und da diese companies u.a. von CIA/NSA oder fronts von denen bzw. dem staat USA finanziert werden (zumindest fireeye) sind die so glaubwürdig wie... ähhh... tja, wie eben jeder geheimdienst, der die (vermeintlichen) interessen des eigenen landes verfolgt.



    1 mal bearbeitet, zuletzt am 05.08.20 14:13 durch narfomat.

  7. Re: und wie soll das gehen?

    Autor: Trockenobst 05.08.20 - 14:21

    narfomat schrieb:
    --------------------------------------------------------------------------------
    > TRUST ME!!
    > aka "wir erzählen euch irgendwas, und ihr glaubt es, oder nicht"

    In der Praxis konnte ich nach fünf Jahren in einem Projekt mit 200 Leuten sehen, wer welchen Code geändert hat, wann und was seine Denkweise war.

    Ich weiß nicht warum man so tut, als wenn jeder kleine Hacker eigentlich ein totaler ausgebildeter Super James Bond ist, der nach einer Liste seiner Chefs erst mal eine andere Programmiersprache, Stil, Uhrzeiten etc. kopiert, damit man eine anderes Land/Gruppe simuliert.

    Natürlich haben die Chinesen auch nichts dagegen, wenn Russen oder Iraner per SuperVPN in ihren eigenen Systemen einen Tunnel legen, damit man für iranische Hacker als False Flag dient.
    Nord Korea hat dafür sogar einen Webshop: Ein VPS Server nur 1,5 Millionen pro Tag!

    Wie kommt man Spyware und Bothackern immer mehr auf die Spur? Weil die meisten Teams so einen Aufwand nicht treiben. Es ist immer der selbe Code, der selbe Stil, die selbe Architektur.
    Was interessiert es dem Hacker, das man ihn identifizieren kann? Der glaubt er wäre sicher, so warum den Aufwand das zu verbergen. Das bringt kein Geld.

    Wenn KI Systeme in China dich wegen 100 kleiner Metadaten schon an deinem Schritt(!) nach drei, vier Schritten erkennen können, sind Wahrscheinlichkeiten bei Millionen von Metadaten, über Jahre gesammelt, schon sehr hoch.

    Wer hier auf ein 100% Geständnis wartet, sollte nachlesen wie Politik funktioniert.

  8. Re: und wie soll das gehen?

    Autor: ubuntu_user 05.08.20 - 14:25

    SoulTransfer schrieb:
    --------------------------------------------------------------------------------
    > Es gibt diverse Wege Attacken einem bestimmten Angreifer zu attributieren.

    Attributierung ist nutzlos. Du brauchst eine Authentifizierung.

    > Die IP ist da meistens nicht wirklich entscheidend.
    > - Analyse des Quellcodes

    und das stellt sicher, dass sich nicht ein Amerikaner als Russe ausgibt?

    > - Variablen Namen

    lol?
    int iLovePutin = ...
    wie geschrieben, das Authentifizierungsproblem bleibt auch da
    > - Code-Schreibstil
    Authentifizierung
    > - Verwendete Libraries
    bei Viren?
    > - Analyse der Änderungszeiten zur Bestimmung der Region
    kennst du das kommando touch?
    > - Analyse der Angriffsvektoren
    das bedeutet?

  9. Re: Gute Fragen

    Autor: ubuntu_user 05.08.20 - 14:30

    Bouncy schrieb:
    --------------------------------------------------------------------------------
    > Dass
    > hier irgendwo IT-Security das Thema ist scheint völlig irrelevant und wird
    > nicht näher beleuchtet,

    ja wie gesagt, ich finde die Adressierung an sich schon fast unmöglich und dann wird darauf ja nicht mal eingegangen wie man das machen soll.
    Ich kann ja auch nicht sagen, ich habe ne unendliche Engeriequelle. Was mach ich täglich? Nachrichten lesen und sachen verbessern

  10. Re: Gute Fragen

    Autor: Trockenobst 05.08.20 - 14:33

    ubuntu_user schrieb:
    --------------------------------------------------------------------------------
    > ja wie gesagt, ich finde die Adressierung an sich schon fast unmöglich und
    > dann wird darauf ja nicht mal eingegangen wie man das machen soll.

    Internetleitungen sind nicht im Äther. Eine Leitung geht von A nach B.
    Wenn A in einem anderen Land ist, musst man die Frage stellen wie C es geschafft hat, sich bei A ein zu nisten damit B denkt es war A.

    Wenn A genauso gut wie B und C ist, bedeutet das im Umkehrschluss entweder das A mit C zusammenarbeitet oder A gar nicht so gut ist, weil C beliebige Maschinen, Netzwerke und Leitungen übernehmen kann.

  11. Re: Gute Fragen

    Autor: ubuntu_user 05.08.20 - 14:40

    Trockenobst schrieb:
    --------------------------------------------------------------------------------
    > Internetleitungen sind nicht im Äther. Eine Leitung geht von A nach B.
    > Wenn A in einem anderen Land ist, musst man die Frage stellen wie C es
    > geschafft hat, sich bei A ein zu nisten damit B denkt es war A.

    und wie willst du wissen wer C ist?

  12. Re: Gute Fragen

    Autor: Trockenobst 05.08.20 - 15:32

    ubuntu_user schrieb:
    --------------------------------------------------------------------------------
    > und wie willst du wissen wer C ist?

    Es war nie C. C ist irrelevant. Es war schon immer A.
    Physikalische Leitungen entstehen nicht per Gedankenkraft, Strom, Code, alles muss von Menschen gemacht werden. A wird C,D,E nicht erlauben in ihren Gebiet zu agieren.

    Anders gesagt: warum denkt man bei einem Hack in Saudi Arabien nicht sofort an Deutschland, Kanada oder Japan? Würden wir erlauben das andere Leute unsere Systeme nutzen um uns als False Flag zu nutzen?

    Natürlich ist das schwierig und ein Problem. Aber eine Gehirnoperation ist auch schwierig und das eine Rakete wieder landet hat auch viel Zeit und Hirnschmalz gekostet. Alles unter 100% Garantie mit Geständnissen als "kann auch Bayern oder Belgien" sein abzuhaken, ist nicht sehr Wissenschaftlich.

    https://www.wired.com/2016/12/hacker-lexicon-attribution-problem/

  13. Re: Gute Fragen

    Autor: gaym0r 05.08.20 - 15:37

    Trockenobst schrieb:
    --------------------------------------------------------------------------------
    > ubuntu_user schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ja wie gesagt, ich finde die Adressierung an sich schon fast unmöglich
    > und
    > > dann wird darauf ja nicht mal eingegangen wie man das machen soll.
    >
    > Internetleitungen sind nicht im Äther. Eine Leitung geht von A nach B.
    > Wenn A in einem anderen Land ist, musst man die Frage stellen wie C es
    > geschafft hat, sich bei A ein zu nisten damit B denkt es war A.

    User C mietet sich nen Server bei Land B und ist somit eingenistet.

  14. Re: Gute Fragen

    Autor: ubuntu_user 05.08.20 - 16:24

    Trockenobst schrieb:
    --------------------------------------------------------------------------------
    > Es war nie C. C ist irrelevant. Es war schon immer A.
    > Physikalische Leitungen entstehen nicht per Gedankenkraft, Strom, Code,
    > alles muss von Menschen gemacht werden. A wird C,D,E nicht erlauben in
    > ihren Gebiet zu agieren.

    A kennt C doch gar nicht

  15. nochmal zum Link

    Autor: ubuntu_user 05.08.20 - 16:36

    Trockenobst schrieb:
    --------------------------------------------------------------------------------
    > www.wired.com

    > In a broad sense, the attribution problem applies to any type of investigation, not just a digital one.

    lächerlich, denn bei ner Untersuchung im eigenem Land ist der Staat die oberste Instanz. digital ist das der lokale root.

    > Absent perfect information, a justice system will certainly make inaccurate determinations at times, but if the overall rate of success is satisfactory the framework can function.

    es gibt aber kein weltweites Justizsystem. Aber gearde das US Juistizsystem zeigt ja wunderbar beim Vietnamkrieg, wie das versagt hat.

    > Digital forensics as a profession is exactly there to solve that problem and it can be solved. Sometimes it can’t, but often it can."

    l.o.l.

  16. Re: und wie soll das gehen?

    Autor: Mailerdeamon 05.08.20 - 19:38

    SoulTransfer schrieb:
    --------------------------------------------------------------------------------
    > Es gibt diverse Wege Attacken einem bestimmten Angreifer zu attributieren.
    > Die IP ist da meistens nicht wirklich entscheidend.
    > - Analyse des Quellcodes
    > - Variablen Namen
    > - Code-Schreibstil
    > - Verwendete Libraries
    > - Analyse der Änderungszeiten zur Bestimmung der Region
    > - Analyse der Angriffsvektoren


    - Analyse des Quellcodes - in der Regel wird man den nicht haben, sondern nur eine decompilierte Version des Binaries
    - Variablennamen sind in der Regel Englisch und in kompiliertem Code ohne Symbole (ich nehme mal an die werden nicht mitgeliefert von nem Angreifer) gar nicht vorhanden - korrigiere mich wenn ich falsch liegen sollte
    - Code-Schreibstil - ich bezweifle das ein Chinese, ein Russe oder ein U.S.-Amerikaner wirklich anders programmieren, es mag da Unterschiede geben von Person zu Person und durch wen man ausgebildet wurde, aber kaum zwischen Ländern. Zumal auch hier der Compiler durch Optimierung vermutlich das meiste zu Mus verarbeitet
    - Verwendete Libraries? Höchstens wenn diese spezifisch für den Malware ist und man sie schon mal jemandem zuordnen konnte.
    - "Änderungszeiten"? Dazu muss man wohl das Versionsverwaltungssystem der Malware haben, dann habe ich auch gleich den Quellcode und vermutlich den Server wo es gehostet ist und dann bin ich tatsächlich sehr, sehr nah dran festzustellen wer es ist
    - Was sagt der Weg wie eingebrochen wird über das Land aus? U.S.-Amerikaner kommen durch die Hintertür und Russen durch den Keller oder wie? Wenn ich die Nutzung einer Schwachstelle kenne und sie jemandem zuordnen konnte in der Vergangenheit, dann kann ich mind. davon ausgehen das meine eigenen Geheimdienste sie inzwischen auch kennen und vermutlich noch ein paar mehr

    Ich glaube es ist ein ziemlich Pussel-Spiel rauszubekommen wer hinter einer Maware steckt.
    Ein Weg ist herauszufinden wohin die Daten gehen die sie überträgt, da das aber mit Sicherheit über eine Menge Zwischenstationen passiert muss man erstmal in die Zwischenstationen einbrechen/sich des Datenverkehrs bemächtigen.

  17. Re: Gute Fragen

    Autor: Trockenobst 05.08.20 - 20:37

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > User C mietet sich nen Server bei Land B und ist somit eingenistet

    Ja, der Geheimdienst B bekommt dann vom anderen Geheimdienst F einen Tipp, und der Geheimdienst B denkt sich: ach weißt du, die Leute die da in dem Raum sitzen, die sind keine Spione die Jahrezehntelang im tiefsten Loch landen, die lassen wir einfach offen False Flag fahren.

    Deswegen sitzen ja auch Iran, Türkei, China Hacker direkt gegenüber vom Weißen Haus in Washington und die 100ten von Three Lettern in den USA lassen sie gewähren.

    Denkt ihr euch diese "Positionen" einfach so beim Bier aus oder habt ihr die wo abgeschrieben?

  18. Re: Gute Fragen

    Autor: Trockenobst 05.08.20 - 20:46

    ubuntu_user schrieb:
    --------------------------------------------------------------------------------
    > A kennt C doch gar nicht

    B denkt das es A ist. Andere sagen es könnten, C, U, X sein, das weiß man nicht.
    A sagt sie sind es nicht, obwohl die Metadaten, die Leitungen, der Style, alles auf A deutet.

    Nach Occams Razor wird A sein.
    https://tvtropes.org/pmwiki/pmwiki.php/Main/StupidityIsTheOnlyOption

    Man kann nicht der Superhacker auf der einen Seite sein, und dann passend zum Plot, sich von jemanden anderen konstant verarschen lassen. Es gibt gut geplante False Flags die James Bond Plots sind, aber nicht für triviale Hackattacken.

  19. Re: und wie soll das gehen?

    Autor: frostbitten king 05.08.20 - 22:31

    ubuntu_user schrieb:
    --------------------------------------------------------------------------------
    > Kein Wort darüber dass Cyberadressierung Schlangenöl ist.
    > Der ganze Sektor um Authentifizierung und Verschlüsselung ist ja komplett
    > nutzlos, weil die Firma kann das ja alles einfach so.
    > Keine kritische Frage.
    > Kein einziger Punkt wie das funktionieren soll, was per Definition nicht
    > gehen kann.
    Ist es das?
    Also mal Kontext aus meiner Perspektive.
    Software Entwickler. Also vermutlich technisch halbwegs fit könnte man sagen.
    Mein jiu jitsu Sensei ist journalist. Recht lange...
    Hab mit ihm über sowas öfters geredet. Ja technisch ist er da nicht ganz bewandert und trotzdem in dem Bereich muß ich sagen hat er mehr Ahnung als ich....
    Das rennt ganz anders ab. Da werden x verschiedene Indizien korreliert und ausgewertet.
    Simpelste ist, die Zeit zu der Angriffe stattfinden.
    EG Angriff auf den Bundestag. Nimm x verschiedene Indizien plus.. Zeiten wo die Angriffe stattgefunden haben -> ca Moskau Bürozeiten. Zack hast deine Attributierung dass es wahrscheinlich Russland war.
    Ich denk bei sowas auch technisch. Ja aber VPN und gescripted und überhaupt. Nein. Es is wie mit der Forensik verschiedene Infos zusammen ergeben ein Bild.
    Und Zeiten zu denen Angriffe stattfinden ist ein Teil.
    Natürlich alles keine exakte Wissenschaft aber wenn du diverse Dinge kombinierst ergibt sich ein Bild.
    Ich find schade dass man als Normalo kaum über sowas erfährt. Ich wäre nie auf die Idee gekommen da selber nachlesen wie Attributierung funktioniert weil ich es selber geglaubt habe zu wissen, aus technischer Sicht und da sagen würde, nope kannst ned reliably technisch feststellen weil des und des und des und überhaupt.

  20. Re: und wie soll das gehen?

    Autor: ubuntu_user 06.08.20 - 07:16

    frostbitten king schrieb:
    --------------------------------------------------------------------------------
    > ubuntu_user schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Kein Wort darüber dass Cyberadressierung Schlangenöl ist.
    > > Der ganze Sektor um Authentifizierung und Verschlüsselung ist ja
    > komplett
    > > nutzlos, weil die Firma kann das ja alles einfach so.
    > > Keine kritische Frage.
    > > Kein einziger Punkt wie das funktionieren soll, was per Definition nicht
    > > gehen kann.
    > Ist es das?
    > Also mal Kontext aus meiner Perspektive.
    > Software Entwickler. Also vermutlich technisch halbwegs fit könnte man
    > sagen.
    > Mein jiu jitsu Sensei ist journalist. Recht lange...
    > Hab mit ihm über sowas öfters geredet. Ja technisch ist er da nicht ganz
    > bewandert und trotzdem in dem Bereich muß ich sagen hat er mehr Ahnung als
    > ich....
    > Das rennt ganz anders ab. Da werden x verschiedene Indizien korreliert und
    > ausgewertet.
    > Simpelste ist, die Zeit zu der Angriffe stattfinden.
    > EG Angriff auf den Bundestag. Nimm x verschiedene Indizien plus.. Zeiten wo
    > die Angriffe stattgefunden haben -> ca Moskau Bürozeiten. Zack hast deine
    > Attributierung dass es wahrscheinlich Russland war.
    > Ich denk bei sowas auch technisch. Ja aber VPN und gescripted und
    > überhaupt. Nein. Es is wie mit der Forensik verschiedene Infos zusammen
    > ergeben ein Bild.
    > Und Zeiten zu denen Angriffe stattfinden ist ein Teil.
    > Natürlich alles keine exakte Wissenschaft aber wenn du diverse Dinge
    > kombinierst ergibt sich ein Bild.
    > Ich find schade dass man als Normalo kaum über sowas erfährt. Ich wäre nie
    > auf die Idee gekommen da selber nachlesen wie Attributierung funktioniert
    > weil ich es selber geglaubt habe zu wissen, aus technischer Sicht und da
    > sagen würde, nope kannst ned reliably technisch feststellen weil des und
    > des und des und überhaupt.

    deine ganze attributierung basiert auf bürozeiten?
    na hoffentlich finden die amis nicht mal die moskauer bürozeiten raus und legen ne nachtschicht ein. oder hey russland hat ja auch nur eine zeitzone

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ista International GmbH, Essen
  2. Vodafone GmbH, Düsseldorf
  3. Vodafone GmbH, Kaiserslautern
  4. ITC ENGINEERING GMBH & CO. KG, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobilfunk: UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet
Mobilfunk
UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet

Sie haben Deutschland zum Mobilfunk-Entwicklungsland gemacht und wurden heute mit dem Nobelpreis ausgezeichnet: die Auktionstheorien von Paul R. Milgrom und Robert B. Wilson.
Ein IMHO von Frank Wunderlich-Pfeiffer

  1. Coronakrise Deutsche Urlaubsregionen verzeichnen starke Mobilfunknutzung
  2. LTE Telekom benennt weitere Gewinner von "Wir jagen Funklöcher"
  3. Mobilfunk Rufnummernportierung darf maximal 7 Euro kosten

Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
Shifoo
Golem.de startet Betatest seiner Karriere-Coaching-Plattform

Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Stellenanzeige Golem.de sucht CvD (m/w/d)
  3. In eigener Sache Die 24-kernige Golem Workstation ist da

Star Trek Discovery: Harte Landung im 32. Jahrhundert
Star Trek Discovery
Harte Landung im 32. Jahrhundert

Die dritte Staffel von Star Trek: Discovery nutzt das offene Ende der Vorgängerstaffel. Sie verspricht Spannung - etwas weniger Pathos dürfte es aber sein.
Eine Rezension von Tobias Költzsch

  1. Star Trek Prodigy Captain Janeway spielt in Star-Trek-Cartoonserie mit
  2. Paramount Zukunft für Star-Trek-Filme ist ungewiss
  3. Streaming Star Trek Discovery kommt am 15. Oktober zurück