DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Bedarf der Zuordung eines Angriffs

Attri­bution

Und über dieses Panel können Sie zuordnen, welcher Threat Actor hinter welcher Malware steckt. Hier, unsere AI ent­deckt Zusam­men­hänge, wo andere keine sehen. Wenn ich mal zeigen darf…”.Der nette Ver­triebsmann, der uns sein Produkt vor­stellt, redet unbeirrt weiter und ich bin froh, in einer stumm geschal­teten Video­session zu sein, weil meine Gedanken völlig vom Thema abschweifen.

Der Bedarf zur Zuordnung eines Angriffs nach geo­gra­phi­schen oder poli­ti­schen Gesichts­punkten, genannt Attri­bution, kommt immer wieder mal an die Ober­fläche. Für manche ist da auch sicher wichtig. Ein Spe­zialist der Bun­deswehr hatte bei einer Round-table-Dis­­kussion ein­ge­worfen, dass es seinen Arbeit­geber sehr wohl inter­es­siere, wer sie da grade angreift. Das ist auch nach­voll­ziehbar, wenn (und für mich ist das ein wirklich großes “wenn”) es denn über­haupt gelingt, einen Angreifer zwei­felsfrei zu identifizieren.

Alleine die IP-Adresse zu nehmen und dann zu sehen, in welchem Land diese behei­matet ist, genügt bei Weitem nicht. Um diese Aussage zu unter­mauern biete ich fol­gende Gedan­ken­ex­pe­ri­mente an:

- Große​, globale Firmen haben häufig einen IP-Adres­s­­be­­reich, der im Hauptsitz der Firma behei­matet ist; z.B. den USA. Verkehr von dieser Firma scheint aus dem Hei­matland zu kommen, auch wenn der jeweilige Client sonstwo sitzt.

- Proxies und VPNs trüben das Bild auch sofort. Proxies müssen nicht im gleichen Land behei­matet sein, wie der Client, der sie nutzt. Ein dedi­ziertes Ziel von VPNs ist heut­zutage, das Ursprungsland des Clients zu ver­schleiern, um lokale Restrik­tionen zu umgehen. Zum Bei­spiel, wenn YouTube ein Video nicht spielt, weil es “in Deinem Land nicht ver­fügbar” ist.

Natürlich, wenn alle mit­ar­beiten, kann man auch solche Wege anhand von Logs und gespei­cherten Daten nach­voll­ziehen. Der Pro­xy­be­treiber könnte in Theorie eine Zuordnung des frag­lichen Ver­kehrs zu der anfra­genden IP-Adresse machen, und diese könnte man zum nächsten Hop wei­ter­ver­folgen, wo das Spiel von vorne losgeht. Das funk­tio­niert aber nicht gut, denn ent­weder handelt es sich um einen seriösen Hop, der aus Daten­schutz­gründen die Logs viel­leicht nicht mehr hat oder nicht einfach raus­geben kann, oder um einen kri­mi­nellen Hop, der kei­nerlei Interesse hat, mit einer Staats­an­walt­schaft zusam­men­zu­ar­beiten (oder einem Ange­stellten einer IT).

Natürlich ist aber die IP-Adresse ja nicht das einzige Merkmal. Zumindest bei Malware — hier kann man Grup­pie­rungen anhand anderer Dinge erkennen. Zeiten, in denen Code kom­pi­liert wurde. Biblio­theken, die benutzt wurden. Code­schnippsel, die ein­deutig zuor­denbar sind, und so weiter.

Abge­sehen davon, dass auch hier Fehler oder vor­sätz­liche Täu­schung im Spiel sein könnten, weiß man dann aber immer noch nicht mit Sicherheit, wer hinter der Malware steckt. Russland? China? Liechtenstein?

Geschickt agie­rende Gruppen greifen häufig erst die Server von tech­nisch weniger ver­sierten Kri­mi­nellen an und nisten sich dort ein. Für ihre Angriffe benutzen sie dann diesen Hop. Gelingt es den Men­schen hinter den ange­grif­fenen Firmen, den Angriff bis dorthin zurück­zu­ver­folgen, finden sie eine kri­mi­nelle Gruppe, even­tuell mit mög­lichem Motiv für den Angriff. Die Suche geht danach meist nicht weiter.

Da sehen sie, die Software für den Malware-Client hat nur einen Merk­mals­über­ein­stim­mungs­ko­ef­fi­zi­enten von 21 mit dem Malware-Server, aber unsere Software hat hier trotzdem den Zusam­menhang her­ge­stellt.”. Der Ver­triebs­mensch blendet sich wieder in meine Wahr­nehmung ein. “Und damit ist klar — das ist die Gruppe Schnie­fender Tanz­teufel aus der Mon­golei!”, schließt er seine Vor­stellung tri­umphal ab. Ich bedanke mich, und nach ein paar wei­teren Floskeln beenden wir das Gespräch.

Ich denke an den Herrn von der Bun­deswehr, und dass dessen Arbeit­geber einer der wenigen wirk­lichen Nutz­nießer einer solchen Plattform sein könnten (ange­nommen, diese funk­tio­niert wie beschrieben).

Mir per­sönlich will sich leider nicht erschließen, warum mich das inter­es­sieren sollte. Ja, die meisten APTs (Advanced Per­sistent Threats) oder NSAs (Nation State Actors) haben eine gewisse Vor­ge­hens­weise. Wenn Schritt X erledigt ist, kommt Schritt Y; und natürlich, wenn ich deren Kam­pagne erkennen und ver­hindern kann, bevor sie abge­schlossen ist, bravo. Gelingt den Wenigsten.

Wenn jemand auf mich schießt, würde ich zuerst mal ver­suchen, in Deckung zu gehen, und die Bedrohung abzu­wehren; woher der Schütze kommt und was er gerne zu Mittag isst, steht in dem Moment im Hintergrund.

2 Kommentare zu Attribution

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Stefan Hager, DATEV eG

Beschäftigt sich seit den späten 80ern mit Themen rund um Cyber-Security. Beruflich erfolgte die Fokus­sierung auf die Absi­cherung von Netz­werken sowie Bedro­hungen aus dem Internet in 1999, mit Arbeits­plätzen in Schottland und Deutschland. Seit 2010 tätig für die DATEV in The­men­ge­bieten rund um Netz­werk­si­cherheit und Internet-Security.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.