Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Bedarf der Zuordung eines Angriffs
Attribution
“Und über dieses Panel können Sie zuordnen, welcher Threat Actor hinter welcher Malware steckt. Hier, unsere AI entdeckt Zusammenhänge, wo andere keine sehen. Wenn ich mal zeigen darf…”.Der nette Vertriebsmann, der uns sein Produkt vorstellt, redet unbeirrt weiter und ich bin froh, in einer stumm geschalteten Videosession zu sein, weil meine Gedanken völlig vom Thema abschweifen.
Der Bedarf zur Zuordnung eines Angriffs nach geographischen oder politischen Gesichtspunkten, genannt Attribution, kommt immer wieder mal an die Oberfläche. Für manche ist da auch sicher wichtig. Ein Spezialist der Bundeswehr hatte bei einer Round-table-Diskussion eingeworfen, dass es seinen Arbeitgeber sehr wohl interessiere, wer sie da grade angreift. Das ist auch nachvollziehbar, wenn (und für mich ist das ein wirklich großes “wenn”) es denn überhaupt gelingt, einen Angreifer zweifelsfrei zu identifizieren.
Alleine die IP-Adresse zu nehmen und dann zu sehen, in welchem Land diese beheimatet ist, genügt bei Weitem nicht. Um diese Aussage zu untermauern biete ich folgende Gedankenexperimente an:
- Große, globale Firmen haben häufig einen IP-Adressbereich, der im Hauptsitz der Firma beheimatet ist; z.B. den USA. Verkehr von dieser Firma scheint aus dem Heimatland zu kommen, auch wenn der jeweilige Client sonstwo sitzt.
- Proxies und VPNs trüben das Bild auch sofort. Proxies müssen nicht im gleichen Land beheimatet sein, wie der Client, der sie nutzt. Ein dediziertes Ziel von VPNs ist heutzutage, das Ursprungsland des Clients zu verschleiern, um lokale Restriktionen zu umgehen. Zum Beispiel, wenn YouTube ein Video nicht spielt, weil es “in Deinem Land nicht verfügbar” ist.
Natürlich, wenn alle mitarbeiten, kann man auch solche Wege anhand von Logs und gespeicherten Daten nachvollziehen. Der Proxybetreiber könnte in Theorie eine Zuordnung des fraglichen Verkehrs zu der anfragenden IP-Adresse machen, und diese könnte man zum nächsten Hop weiterverfolgen, wo das Spiel von vorne losgeht. Das funktioniert aber nicht gut, denn entweder handelt es sich um einen seriösen Hop, der aus Datenschutzgründen die Logs vielleicht nicht mehr hat oder nicht einfach rausgeben kann, oder um einen kriminellen Hop, der keinerlei Interesse hat, mit einer Staatsanwaltschaft zusammenzuarbeiten (oder einem Angestellten einer IT).
Natürlich ist aber die IP-Adresse ja nicht das einzige Merkmal. Zumindest bei Malware — hier kann man Gruppierungen anhand anderer Dinge erkennen. Zeiten, in denen Code kompiliert wurde. Bibliotheken, die benutzt wurden. Codeschnippsel, die eindeutig zuordenbar sind, und so weiter.
Abgesehen davon, dass auch hier Fehler oder vorsätzliche Täuschung im Spiel sein könnten, weiß man dann aber immer noch nicht mit Sicherheit, wer hinter der Malware steckt. Russland? China? Liechtenstein?
Geschickt agierende Gruppen greifen häufig erst die Server von technisch weniger versierten Kriminellen an und nisten sich dort ein. Für ihre Angriffe benutzen sie dann diesen Hop. Gelingt es den Menschen hinter den angegriffenen Firmen, den Angriff bis dorthin zurückzuverfolgen, finden sie eine kriminelle Gruppe, eventuell mit möglichem Motiv für den Angriff. Die Suche geht danach meist nicht weiter.
“Da sehen sie, die Software für den Malware-Client hat nur einen Merkmalsübereinstimmungskoeffizienten von 21 mit dem Malware-Server, aber unsere Software hat hier trotzdem den Zusammenhang hergestellt.”. Der Vertriebsmensch blendet sich wieder in meine Wahrnehmung ein. “Und damit ist klar — das ist die Gruppe Schniefender Tanzteufel aus der Mongolei!”, schließt er seine Vorstellung triumphal ab. Ich bedanke mich, und nach ein paar weiteren Floskeln beenden wir das Gespräch.
Ich denke an den Herrn von der Bundeswehr, und dass dessen Arbeitgeber einer der wenigen wirklichen Nutznießer einer solchen Plattform sein könnten (angenommen, diese funktioniert wie beschrieben).
Mir persönlich will sich leider nicht erschließen, warum mich das interessieren sollte. Ja, die meisten APTs (Advanced Persistent Threats) oder NSAs (Nation State Actors) haben eine gewisse Vorgehensweise. Wenn Schritt X erledigt ist, kommt Schritt Y; und natürlich, wenn ich deren Kampagne erkennen und verhindern kann, bevor sie abgeschlossen ist, bravo. Gelingt den Wenigsten.
Wenn jemand auf mich schießt, würde ich zuerst mal versuchen, in Deckung zu gehen, und die Bedrohung abzuwehren; woher der Schütze kommt und was er gerne zu Mittag isst, steht in dem Moment im Hintergrund.
4 Kommentare zu Attribution
Schreiben Sie einen Kommentar
Beschäftigt sich seit den späten 80ern mit Themen rund um Cyber-Security. Beruflich erfolgte die Fokussierung auf die Absicherung von Netzwerken sowie Bedrohungen aus dem Internet in 1999, mit Arbeitsplätzen in Schottland und Deutschland. Seit 2010 tätig für die DATEV in Themengebieten rund um Netzwerksicherheit und Internet-Security.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Besten Dank für die Darstellung. Nun verstehe ich einige Zusammenhänge besser
i dachte a jeder muss sich erst mit 3Faktor usw Authentizität anmelden beefor er sie ins Netz geht global comon Data ℹ️LG Arnold.…
Und wenn ich ganz sicher bin, der Angreifer ist Herr Ling aus Changde, oder Lautaro Lopez aus San Luis (zufällig gewählte Beispiele ohne Vorurteile zu bestätigen) was mache ich dann? Anzeige bei den chinesischen oder argentinischen Behörden?
Wie können Sie sich dessen denn ganz sicher sein, wenn Sie nicht bereits mit den jeweiligen Behörden zusammenarbeiten? Aber ja, wenn Sie Anzeige erstatten möchten, ist das der richtige Weg.