Der Russe im Router

Wenn drei hochrangige Institutionen wie das FBI, das Department of Homeland Security (DHS) und das britische National Cyber Security Center (NCSC) wie am 16.4.2018 geschehen eine gemeinsame Warnung mit dem Titel "Russian State-Sponsored Cyber Actors Targeting Network Infrastructure Devices" herausgeben, dann hat das schon Gewicht. Wenn man dann aber beim Lesen der Meldung eine Beschuldigung nach der anderen vorfindet ohne den Hauch einer Begründung, dann wird man schon stutzig. Auch der Technische Alarm TA18-106A des US-CERT gibt zahlreiche Hinweise auf eine Angriffswelle auf Router, Firewalls und andere Netzwerkgeräte. Überzeugende Nachweise über die russische Provenienz der Angriffe sucht man aber auch hier vergebens. Mir kommt der Gedanke, dass wir es hier mit zwei Dingen zu tun haben: 1.) Der konkreten Warnung vor einem aktuellen Angriff und 2.) politisch motivierter Propaganda.

Der technischen Beschreibung des US-CERTs entnimmt man, dass aktuell Angriffe auf Router von Unternehmen und Privatnutzern ausgeführt werden. Dazu werden veraltete Protokolle und Administrations-Tools attackiert. Konkret werden Scans auf den Ports von telnet (port 23), HTTP (port 80), SNMP (ports 161/162) genannt. Auch ein Tool zur einfachen und automatisierten Administration von Cisco-Routern wird angegriffen. Über Angriffe auf den Smart Install (SMI) Client hatte Cisco bereits am 5. April gewarnt. Man kann damit nicht nur den Router konfigurieren. Die dort integrierte TFTP-Unterstützung kann missbraucht werden, um Daten an fremde Rechner zu schicken. Aus einer Grafik geht hervor, dass bereits seit November 2017 erhöhte Aktivität auf dem dazugehörigen Port 4786 des ohne Authorisierung agierenden SMI-Protokolls gemessen wurde. Angriffe auf SMI sind nicht neu und wurden mit dem "Smart Install Exploitation Tool" (SIET), das seit November 2016 kursiert, stark vereinfacht.

Besonders aktuell ist die Warnung also nicht. Und besonders originell ist sie auch nicht. Angriffe auf Geräte, die unverschlüsselte Protokolle verwenden oder bekannte Sicherheitslücken haben, sind an der Tagesordnung. Das hatte ich in einem Gespräch mit der Süddeutschen Zeitung bereits deutlich gemacht. Eine Stellungnahme des BSI vom 17.4. schlägt in die gleiche Kerbe. Die Angriffsmethoden sind - teils seit Jahren - bekannt. "Aus technischer Sicht gibt es in der Erklärung keine neuen Erkenntnisse." Dem BSI sind aktuelle Fälle bekannt, die denen aus der US-UK-Warnung entsprechen. Die betroffenen Institutionen sind informiert und es wurden geeignete Abwehrmaßnahmen eingeleitet. Es besteht also kein Grund zur Panik. 

Jetzt könnte der Gedanke aufkommen, dass diese Angriffe harmlos wären. Das ist leider nicht der Fall. Man sollte diese Warnung nicht auf die leichte Schulter nehmen. Die Router sind das Herz des Netzwerks. Wer sie kontrolliert, kann nicht nur die Netzwerk-Infrastruktur ausspähen und den durchlaufenden (unverschlüsselten) Datenverkehr mitlesen. Es können auch Datenübertragungen umgeleitet, unterbunden oder manipuliert werden. Wer den Router kontrolliert, kontrolliert das Netzwerk. Bei heimischen Routern mag der dadurch drohende volkswirtschaftliche Schaden überschaubar sein. Die Router von Cisco sind allerdings hochgradig optimierte Systeme zur Verarbeitung von Netzwerkdaten, die hauptsächlich in professionellen Umgebungen eingesetzt werden. Hier können Manipulationen schwerwiegende Folgen haben. Wer in diesem Umfeld unverschlüsselte Protokolle unterstützt und auf Tools zur einfachen Administration setzt, die den aktuellen Anforderungen an IT-Sicherheit nicht gerecht werden, sollte die Meldung des US-CERT zum Anlass nehmen die unsicheren Komponenten zu entfernen oder zu ersetzen. Die Lösungsansätze aus der US-CERT-Meldung helfen gegen die aktuellen AttackenAttacken:

• Logfiles und Netflow-Daten nach telnet-Traffic untersuchen (normalerweise auf TCP port 23). Da das Protokoll unverschlüsselt ist, kann man Kommandoabfolgen genau unter die Lupe nehmen und ungewöhnliche Aktionen wie Konfigurationsänderungen, Kopieren von Dateien etc. aufspüren.
• SNMP-Traffic (port 161/162), der nicht von vertrauenswürdigen internen Rechnern kommt, sollte genau untersucht werden. Auf Anzeichen von Spoofing der Quelladresse achten.
• TFTP-Traffic, der auf eingehenden SNMP-Traffic oder Spoofing folgt, sollte einen Alarm auslösen.
• SMI ist wie SNMP ein Management-Protokoll. Demnach sollte auch hier jeglicher Traffic inspiziert werden, der nicht von authorisierten Rechnern ausgeht.
• Feststellen, ob SMI bzw. SIET aktiviert ist und benutzt wird (vgl. Umsetzungsdetails in TA18-106A)
• Generell: Kein unverschlüsselten Protokolle nutzen. SSH, HTTPS, TLS und VPNs sind gute Alternativen für die meisten Anwendungsfälle
• Die Management-Schnittstellen für Netzwerkgeräte nicht aus dem Internet zugänglich machen.
• Die Standard-Passwörter ändern. Starke Passwörter nutzen und für jedes Gerät ein Anderes. 

Wer es systematischer angehen möchte, kann sich am IT-Grundschutz-Kompendium des BSI orientieren.

Geheimdienste spionieren. Das ist ihr Job. Dazu nutzen sie auch die technischen Möglichkeiten des Internet. In welchem Umfang und mit welcher Systematik haben nicht zuletzt die Enthüllungen von Edward Snowden gezeigt. Aus deren Sicht sind Netzwerkgeräte besonders attraktiv. Über Firewalls, Intrusion Detection Systeme und Router fließen große Datenmengen. Es ist also sicher keine Überraschung, dass diese Geräte im Fokus von Geheimdiensten stehen- nicht nur den Russischen. Aber die Beziehungen zwischen Russland und den USA sind in der letzten Zeit ohnehin gespannt. Es häufen sich z.B. Meldungen in denen Russland Einfluss auf die US-Wahlen nachgewiesen wurde oder russische Firmen diskreditiert werden (z.B. Kaspersky). Die aktuelle Warnung reiht sich hier ein. Die Vorwürfe lassen sich aber von außen kaum nachvollziehen, da die Geheimdienste ihre Informationen nicht veröffentlichen. Das erinnert an das Schema, das seinerzeit zu den Irak-Kriegen geführt hat. Und auch die aktuelle Meldung stellt die aktuellen Vorfälle vor den Hintergrund eines Cyber-Kriegs, der von der russischen Regierung ausgeht. Die möglichen Konsequenzen erfolgreicher Angriffe auf Netzwerkgeräte sind noch gravierender, wenn man nicht nur spionieren, sondern auch sabotieren möchte. Einige Beispiele aus der jüngeren Vergangenheit geben einen Eindruck:

• Black Energy 
  Angriffe auf ukrainische Kraftwerke verursachen einen mehrstündigen Stromausfall in weiten Teilen des Landes.
• WannaCry
  Die Verschlüsselungssoftware nutzt zur Verbreitung Schwachstellen, die dem US-Geheimdienst NSA von der Hackergruppe The Shadow Brokers entwendet wurden. Weltweit sind Rechner in großen Unternehmen und Krankenhäusern unbenutzbar. Einige große Firmen müssen ihre Arbeit einstellen.
• Petna (aka NotPetya) 
  Über eine Sicherheitslücke aus den o.g. NSA-Leaks wird ein Verschlüsselungs-Trojaner verbreitet. Der Ausgangspunkt ist eine obligatorische, ukrainische Steuersoftware. Weltweit wurden Rechner von Firmen, die in der Ukraine Geschäfte machen, verschlüsselt und damit unbrauchbar gemacht. Prominentestes Beispiel ist die dänische Logistik-Firma Maersk, die etwa 20% der weltweiten Transporte abwickelt.

Welchen Sinn hat nun die implizierte Unterstellung, dass die russische Regierung Cyber-Angriffe gegen westliche Industrieländer vorbereitet? Eine ernsthafte Warnung vor dem Cyber-Krieg sollte m.E. anders aufgemacht sein. In der aktuellen Form ähnelt das einer Lautsprecherdurchsage am Strand, während die Tsunami-Welle schon anrollt. Da sollte der Heimatschutz eventuell nach effektiveren Kommunikationswegen suchen. 
Werden FBI, DHS und NCSC instrumentalisiert, um ein politisches Feindbild zu bedienen? Das wäre schade. Sie machen ihre gute Arbeit damit unglaubwürdig. Auch das US-CERT, das viele ausgezeichnete Angriffsbeschreibungen veröffentlicht, könnte an Reputation einbüßen. 
Oder wollten sie die Vorwürfe, die gegen die NSA wegen WannaCry und Petna erhoben wurden, kompensieren und es besser machen als beim letzten Mal? Das wäre löblich, aber dazu bedarf es anderer vertrauensbildender Maßnahmen. 
Oder sollen die vielen Betreiber von Netzwerk-Infrastruktur mit der Gefahr eines drohenden Cyber-Kriegs dazu bewegt werden endlich die erforderlichen IT-Sicherheitsmaßnahmen umzusetzen? Ich bezweifle, dass diese Strategie Erfolg hat und halte dieses Mittel zur Erlangung der Aufmerksamkeit für unangebracht. Mit Meldungen, die eine solche Tragweite haben, spielt man nicht.

Eine einfache Lösung ist nicht in Sicht. Offenbar ist nun auch in der technischen Welt der IT-Security der mündige Bürger gefragt. IT-Security-Verantwortliche und Systemadministratoren müssen die Wichtigkeit und Dringlichkeit der Umsetzung von Sicherheitsmaßnahmen selbst einschätzen und die Fakten von den politischen Intentionen trennen. 
Die Lage ist durchaus ernst, denn die Zeiten für Cyber-Angriffe sind aktuell so gut wie nie. Unser wirtschaftliches und privates Leben ist durchsetzt mit vernetzten Rechnern. Der digitale Wandel greift weiträumig und tief in unser Leben ein. Leider spielte die Absicherung der dazugehörigen Infrastruktur bis vor Kurzem nur eine untergeordnete Rolle. Aktuell haben es Cyber-Angreifer nicht sonderlich schwer. Ein gut vorbereiteter Cyber-Angriff könnte verheerende Auswirkungen haben. Es wäre ein guter Anfang, wenn man die Hürden etwas höher legt. Geräte, die nur über unverschlüsselte Protokolle wie telnet zugänglich sind, sollte man entsorgen und auch die Verwendung von Tools zur einfachen Administration von Geräten sollte man auf ihr Missbrauchspotential prüfen und ggf auf deren Einsatz verzichten. Wenn die Russen schon kommen, dann sollen sie es nicht so leicht haben. 
Die gute Nachricht ist, dass sich dieser Umbruch gerade stattfindet. Immer mehr Firmen (und Privatpersonen) setzen sich intensiv mit der Absicherung ihrer IT und ihrer Prozesse auseinander und investieren viel KnowHow und Geld in deren Absicherung. Leider ist das nicht so einfach, weil jede Firma eigene Gegebenheiten hat, an die auch die Sicherheitsmaßnahmen angepasst sein müssen. Seit über 30 Jahren arbeiten wir daran, dass die Freude, die man mit Rechnern haben kann, nicht durch Sicherheitsvorfälle getrübt wird. Falls noch jemand Nachholbedarf hat, wir helfen gerne.