1 00:00:00,080 --> 00:00:03,600 Ich hätte gedacht, 1234. Und das war wahrscheinlich die 2 00:00:03,600 --> 00:00:05,840 Security dahinter, dass sie die 4 weggelassen haben. 3 00:00:06,000 --> 00:00:07,440 Aber da denkst du dir halt schon so. 4 00:00:07,760 --> 00:00:11,120 What? Coating Buddy, Dein Podcast rund 5 00:00:11,120 --> 00:00:14,360 um Softwareentwicklung und aktueller Tech News herzlich 6 00:00:14,360 --> 00:00:28,320 willkommen. Halli Hallo und herzlich 7 00:00:28,320 --> 00:00:31,440 Willkommen zur neuen Folge des Coding Buddies Podcasts. 8 00:00:31,440 --> 00:00:32,960 Schön, dass du wieder eingeschaltet hast. 9 00:00:32,960 --> 00:00:35,520 Liebe Zuhörer, liebe Zuhörer, wir freuen uns da sehr drüber 10 00:00:35,760 --> 00:00:39,520 und deine Gastgeber, wie soll es anders sein, meine Wenigkeit, 11 00:00:39,520 --> 00:00:42,560 der Tino und der fantastische Fabi, der schon wieder grinst 12 00:00:42,560 --> 00:00:44,920 wegen dieser Standardeinleitung, aber sie gehört einfach zum 13 00:00:44,920 --> 00:00:48,160 Podcast dazu. Fabi, Was geht ab? 14 00:00:48,480 --> 00:00:51,200 Ich find's immer geil. Wie soll es auch anders sein. 15 00:00:52,560 --> 00:00:55,000 Ich warte immer noch darauf, dass irgendwann so aus Versehen 16 00:00:55,000 --> 00:00:58,000 irgendwann anders ist. Nein, aus Versehen irgendwann, 17 00:00:58,000 --> 00:01:02,160 so weißt du beide Willigkeit der Tino und Franz, ich weiß, Fabian 18 00:01:03,520 --> 00:01:08,320 verdammt, wie geht es, wie steht es mir, geht es gut, ich ich bin 19 00:01:08,320 --> 00:01:10,080 schon n bisschen Hype auf die Folge jetzt. 20 00:01:10,720 --> 00:01:13,360 Weil da wird auf jeden Fall ne Menge passieren. 21 00:01:15,920 --> 00:01:18,760 Das wird ne Menge passieren. Es wird schon ne Einleitung, 22 00:01:18,760 --> 00:01:22,160 weißt du das wird alle gleich so catchen, weißt du bleibt dran, 23 00:01:22,160 --> 00:01:25,240 heute wird ne Menge passieren, ganz genau, wir sagen doch nicht 24 00:01:25,240 --> 00:01:26,680 was, aber es wird ne Menge passieren. 25 00:01:26,800 --> 00:01:29,320 Aber bevor wir jetzt reinstarten, bevor wir sagen, 26 00:01:29,320 --> 00:01:33,080 was für ne Menge passiert, wollen wir noch mal ganz kurz 27 00:01:33,080 --> 00:01:36,240 dran erinnern. Auf jeden Fall. 28 00:01:36,400 --> 00:01:38,480 Wenn du diesen Podcast hörst, liebe Zuhörer, lieber Zuhörer, 29 00:01:38,480 --> 00:01:41,120 dann auf jeden Fall den Podcast auch abonnieren und das 30 00:01:41,280 --> 00:01:44,160 Glöckchen drücken, weil dann verpasst man nämlich auch keine 31 00:01:44,160 --> 00:01:47,520 Folge mehr. Hatten wir glaub ich letztens 32 00:01:47,520 --> 00:01:49,840 gesagt, hab ich jetzt entdeckt, es gab n Glöckchen haben wir mal 33 00:01:49,840 --> 00:01:53,520 so entdeckt, genau, dass man nicht verpasst, dass ne Menge 34 00:01:53,520 --> 00:01:58,440 passiert quasi ja richtig und noch eine kleine Anmerkung, 35 00:01:58,440 --> 00:02:01,600 bevor wir richtig losstarten ist auf jeden Fall viel Vorgeplänkel 36 00:02:01,600 --> 00:02:03,400 heute Tino Ich weiß nicht ob heute doch noch so viel 37 00:02:03,440 --> 00:02:07,440 passiert. Nee, pass auf, mal raus, wir. 38 00:02:07,520 --> 00:02:11,360 Wollten eigentlich nach der Burnout Folge oder Shutdown im 39 00:02:11,360 --> 00:02:13,560 Kopf hieß die wollten wir eigentlich noch n kleinen 40 00:02:13,560 --> 00:02:15,360 Nachtrag in der nächsten Folge machen, aber wir haben es 41 00:02:15,360 --> 00:02:18,720 nämlich voll verpeilt und ja wollten jetzt aber das auf jeden 42 00:02:18,720 --> 00:02:22,480 Fall noch mal anbringen weil wir das ja nicht komplett vergessen 43 00:02:22,480 --> 00:02:23,760 wollen, auf den Tisch kehren wollen. 44 00:02:23,840 --> 00:02:26,080 Besser später als nie. Genau weil. 45 00:02:26,080 --> 00:02:28,840 Uns hat nämlich Stefan geschrieben und ne kleine 46 00:02:28,840 --> 00:02:31,880 Anmerkung zu der Folge gegeben. Ich möchte mal kurz sagen, worum 47 00:02:31,880 --> 00:02:34,040 es da ging, Tino. Also erstmal vielen Dank für die 48 00:02:34,040 --> 00:02:35,600 Anmerkung. Wir freuen uns immer mega, wenn 49 00:02:35,600 --> 00:02:39,200 ihr uns schreibt und einfach quasi so euren Senf dazu gibt, 50 00:02:39,200 --> 00:02:43,040 das freut uns mega und das war auch n echt wirklich cooler. 51 00:02:43,440 --> 00:02:46,160 Ne Einwand was heißt Einwand? Ne Ergänzung würd ich es nennen 52 00:02:46,240 --> 00:02:51,120 und zwar hatten wir ja so als Vergleich quasi Ärzte 53 00:02:51,120 --> 00:02:56,560 herangezogen, so als kleiner. Ja, wirklich Verweis drauf. 54 00:02:56,560 --> 00:02:59,360 Bei Softwareentwicklern wird man immer oft abgelenkt ne und man 55 00:02:59,360 --> 00:03:01,920 muss immer wird immer ständig aus seiner Konzentrationsphase 56 00:03:01,920 --> 00:03:04,280 rausgerissen und da haben wir beide ja gesagt jetzt stell dir 57 00:03:04,280 --> 00:03:07,840 mal vor das wär bei Ärzten so wenn sie gerade im OP sind, ja 58 00:03:07,840 --> 00:03:10,880 oder die Ärztin muss jetzt einfach aus dem OP Saal raus 59 00:03:10,880 --> 00:03:13,680 weil irgendwas ganz wichtig in der Kaffeeküche gerade ist. 60 00:03:13,920 --> 00:03:17,840 Interessanterweise hat Stefan uns geschrieben und meinte, dass 61 00:03:17,840 --> 00:03:20,680 er von seiner Freundin, die scheinbar denn Ärztin ist, würde 62 00:03:20,680 --> 00:03:23,680 ich mal sagen, gehört hat, dass es bei Ärzten genauso ist und 63 00:03:23,680 --> 00:03:26,080 bei Ärztinnen. Das heißt, man muss sich das so 64 00:03:26,080 --> 00:03:29,040 vorstellen, dass man dann wirklich im OP Saal das Telefon 65 00:03:29,040 --> 00:03:32,320 ständig klingelt, dass andere Entscheidungen getroffen werden 66 00:03:32,320 --> 00:03:34,080 müssen. Ja, also dass du quasi 67 00:03:34,080 --> 00:03:37,040 eigentlich in einem OP gerade bist und dann noch schon über 68 00:03:37,040 --> 00:03:38,480 die nächsten OP nachdenken musst. 69 00:03:38,560 --> 00:03:41,720 Und das sind ja ist ja der perfekte, wie soll ich sagen, 70 00:03:41,720 --> 00:03:43,840 das kann es ja komplett, denn gleich ziehen mit der 71 00:03:43,840 --> 00:03:46,720 Softwareentwicklung, nur dass es da in dem Fall natürlich noch 72 00:03:46,720 --> 00:03:50,320 viel krasser ist, aber diese Ablenkung genauso vorhanden ist. 73 00:03:50,400 --> 00:03:52,960 Und das fand ich halt also beim Lesen der Mail dachte ich mir 74 00:03:52,960 --> 00:03:54,040 so, das kann ja wohl nicht wahr sein. 75 00:03:54,320 --> 00:03:55,680 Ja, ist krass. Vor allen Dingen, dass er dann 76 00:03:55,680 --> 00:03:57,920 auch meinte, so manchmal muss man, dann muss sogar auch der OP 77 00:03:57,920 --> 00:04:00,680 verlassen werden, weil es so wichtig ist, wo man sich dann 78 00:04:00,680 --> 00:04:04,320 auch denkt, so, Boah heftig, also Ende vom Lied, es ist sind 79 00:04:04,320 --> 00:04:07,600 wohl nicht mal in solchen Situationen wie OPS, Ärzte oder 80 00:04:07,600 --> 00:04:10,640 Ärztinnen davor gewahrt, dass irgendwie so n sägezahneffekt 81 00:04:10,800 --> 00:04:13,200 reinhaut, und das ist natürlich krass. 82 00:04:13,880 --> 00:04:16,360 Man könnte jetzt denken, das ist nicht so, aber es ist wohl dann 83 00:04:16,360 --> 00:04:19,920 doch so hoffentlich nicht so häufig wie bei 84 00:04:19,920 --> 00:04:22,160 Softwareentwicklern und Softwareentwicklerinnen, aber. 85 00:04:22,640 --> 00:04:24,240 Na ja, ich glaub jetzt gar nichts mehr. 86 00:04:25,360 --> 00:04:27,920 Ich glaub jetzt gar nichts mehr. Es zeigt auf jeden Fall auch, 87 00:04:27,920 --> 00:04:31,920 warum auch das Stresslevel da oft so hoch ist, weil sowas ist 88 00:04:31,920 --> 00:04:34,200 natürlich einfach nur krass, weil du halt auch so ne riesen 89 00:04:34,200 --> 00:04:37,120 Verantwortung nebenbei trägst. Mal so ganz nebenbei in 90 00:04:37,120 --> 00:04:39,440 Anführungsstrichen ne, also du hast halt diese riesen 91 00:04:39,440 --> 00:04:41,200 Verantwortung, du wirst dann trotzdem immer aus der 92 00:04:41,200 --> 00:04:44,000 Konzentration rausgerissen, ich glaub oft und das ist schon 93 00:04:44,000 --> 00:04:45,440 krass, also das fand ich wirklich krass. 94 00:04:45,440 --> 00:04:48,080 Also Stefan, vielen Dank für die Anmerkung und Du hast uns noch 95 00:04:48,080 --> 00:04:52,160 mal geteilt, passt auf euch auf. Genau und Liebe zuhören, Liebe 96 00:04:52,160 --> 00:04:53,760 zuhören. Falls du dich fragst, worum es 97 00:04:53,760 --> 00:04:56,160 da wirklich ging, wie gesagt, das war die Shutdown im Kopf, 98 00:04:56,160 --> 00:04:59,120 Folge hör sie dir gerne mal an, ist n unglaublich wichtiges 99 00:04:59,120 --> 00:05:02,800 Thema und war uns auch wirklich wichtig da mal drüber zu 100 00:05:02,800 --> 00:05:07,360 sprechen absolut so, das waren glaub ich die Anmerkung vorweg 101 00:05:07,360 --> 00:05:10,760 Fabi und jetzt starten wir mal rein mit der eigentlichen Folge 102 00:05:10,760 --> 00:05:14,320 denn und das ist jetzt der Hammer denn es wird ne Menge 103 00:05:14,320 --> 00:05:16,720 passieren wie du schon meintest wir haben heute. 104 00:05:17,120 --> 00:05:20,160 Mal wieder eine Big Fails der Softwareentwicklung. 105 00:05:20,400 --> 00:05:25,920 Lange Folge her, lange her. Es ist ne Weile her und ich find 106 00:05:25,920 --> 00:05:27,600 es auch n bisschen schade, dass es ne Weile her ist. 107 00:05:27,600 --> 00:05:29,840 Deswegen freue ich mich umso mehr auf die Folge heute, weil 108 00:05:29,840 --> 00:05:33,680 ich diese Reihe richtig feier, sich einfach mal anzugucken, was 109 00:05:33,680 --> 00:05:36,720 für abgefahrener Scheiß so passiert es in der 110 00:05:36,720 --> 00:05:41,360 Softwareentwicklungswelt und wir haben uns da heute auch wieder n 111 00:05:41,360 --> 00:05:44,440 sehr sehr coolen Fall cool im Sinne von beeindruckend 112 00:05:44,440 --> 00:05:49,360 spektakulär rausgesucht und. Und er ist auch wirklich, wie 113 00:05:49,360 --> 00:05:52,480 soll ich sagen, ziemlich brandaktuell. 114 00:05:52,480 --> 00:05:55,360 Eigentlich noch also im Verhältnis zu manch anderen, die 115 00:05:55,360 --> 00:05:56,680 wir besprochen haben. Das stimmt. 116 00:05:56,680 --> 00:05:58,880 Also es ist noch nicht ganz so lange her und es wird heute auf 117 00:05:58,880 --> 00:06:02,320 jeden Fall um. Wie sagt man Sicherheitslücken, 118 00:06:02,320 --> 00:06:06,800 Software, Hacks und n paar Probleme sozusagen wie es dazu 119 00:06:06,800 --> 00:06:09,400 gekommen ist. Überhaupt, das werden wir 120 00:06:09,400 --> 00:06:13,280 besprechen und natürlich wollen wir am Ende gucken, wie wir es 121 00:06:13,280 --> 00:06:15,440 immer mal machen. Bei dieser Reihe. 122 00:06:15,440 --> 00:06:18,480 Was kann man eigentlich daraus lernen, aus so einem Fail? 123 00:06:18,880 --> 00:06:21,280 Wie ist es, warum ist es passiert, was kann man irgendwie 124 00:06:21,280 --> 00:06:24,080 dagegen tun oder was kann man sich selbst vielleicht daraus 125 00:06:24,080 --> 00:06:26,800 mitnehmen? Genau das ist nämlich, dass der 126 00:06:26,800 --> 00:06:28,920 große Punkt bei dieser Reihe, dass man immer versucht, ja ein 127 00:06:28,920 --> 00:06:32,240 Learning daraus zu ziehen, dass man nicht selbst Gefahr läuft, 128 00:06:32,640 --> 00:06:37,840 so zu enden, mal provokativ gesagt und deswegen genau du 129 00:06:37,840 --> 00:06:40,080 hast es ja schon ein bisschen angeteasert, wir möchten heute 130 00:06:40,080 --> 00:06:43,560 mal über einen der größten Hacks der letzten Jahre sprechen und. 131 00:06:44,080 --> 00:06:47,360 Experten sprechen sogar davon, dass es n historisches Ereignis 132 00:06:47,360 --> 00:06:49,440 war. Gerade für die Cyber Security, 133 00:06:50,400 --> 00:06:53,320 weil es halt einfach der einer der größten Hacker Angriffe der 134 00:06:53,320 --> 00:06:55,200 letzten Jahrzehnte für die sogar war. 135 00:06:55,200 --> 00:06:58,080 Und das find ich ist schon krass zu sagen der letzten Jahrzehnte, 136 00:06:58,320 --> 00:07:02,640 aber er hat es auch wirklich in sich und zwar wollen wir heute 137 00:07:02,640 --> 00:07:07,520 über den Solar wins Hack sprechen, was im Prinzip ein 138 00:07:07,520 --> 00:07:12,320 massiver Spionage Coup war, der scheinbar. 139 00:07:12,760 --> 00:07:15,920 Durch ein harmloses Software Update ausgelöst wurde oder 140 00:07:15,920 --> 00:07:18,720 dadurch zustatten kam. Und das finde ich halt ziemlich 141 00:07:18,720 --> 00:07:21,760 krass. Doch sag mal, lass uns mal 142 00:07:21,760 --> 00:07:24,720 anfangen das von vorne aufräumen was ist Solar wins eigentlich? 143 00:07:24,720 --> 00:07:28,760 Genau, also Solar wins ist ein TEXANISCHER it Anbieter und hat 144 00:07:28,760 --> 00:07:33,600 eine Plattform Orion oder Orion, je nachdem wie man sich 145 00:07:33,600 --> 00:07:35,360 aussprechen möchte. Deutsch, Englisch wie man 146 00:07:35,360 --> 00:07:36,640 möchte. Und. 147 00:07:36,880 --> 00:07:38,960 Und dieses Tool dient der Netzwerküberwachung. 148 00:07:38,960 --> 00:07:41,640 Also du kannst es halt nutzen, um irgendwie bei dir 149 00:07:41,640 --> 00:07:44,240 beispielsweise dein Netzwerk zu checken, zu überwachen, dass da 150 00:07:44,240 --> 00:07:50,080 auch alles in sicheren Bahnen läuft, ne es es ist manchmal für 151 00:07:50,080 --> 00:07:54,040 die, es ist manchmal ja auch immer so, dass gerade wenn du 152 00:07:54,040 --> 00:07:58,480 Software hast, die für so eine vielleicht Überwachung da ist, 153 00:07:58,480 --> 00:08:01,600 dann ist es natürlich immer blöd, wenn genau an dieser 154 00:08:01,600 --> 00:08:03,840 Stelle auch irgendwie angegriffen wird. 155 00:08:05,200 --> 00:08:06,800 Oder auch angegriffen werden kann. 156 00:08:07,200 --> 00:08:11,120 Das ist immer noch das eine Ding, und na ja, ich meine, es 157 00:08:11,120 --> 00:08:15,200 ist aber auch irgendwie logisch, weil genau diese Punkte sind 158 00:08:15,200 --> 00:08:18,960 natürlich interessant, dann auch ne genau für diesen Zweck, aber 159 00:08:18,960 --> 00:08:20,960 man muss sich vorstellen, dass dieses Unternehmen auch einfach 160 00:08:20,960 --> 00:08:25,520 über 33000 Kunden hatte und es. Ist schon ne große Nummer, ne. 161 00:08:25,520 --> 00:08:28,480 Genau, erstens das und nicht nur unbedingt das, sondern es da 162 00:08:28,480 --> 00:08:31,440 drunter zählen halt auch zum Beispiel Regierungs. 163 00:08:33,080 --> 00:08:35,360 Institute oder wie man das nennt, also ne wirklich 164 00:08:35,360 --> 00:08:37,679 regierungsinstrumente. Die Kunden waren aber auch zum 165 00:08:37,679 --> 00:08:41,240 Beispiel große Techkonzerne beispielsweise, und das Macht 166 00:08:41,240 --> 00:08:43,760 das Ganze am Ende natürlich dann irgendwie. 167 00:08:43,840 --> 00:08:45,920 Ich nenn es jetzt mal interessant in 168 00:08:45,920 --> 00:08:49,360 Anführungsstrichen ne. Ja, es hat halt einfach ne 169 00:08:49,360 --> 00:08:51,440 ordentliche Brisanz. Dann ne wenn jetzt unter den 170 00:08:51,440 --> 00:08:56,240 Opfern US Ministerien zählen. Ich glaub das Finanzministerium, 171 00:08:56,240 --> 00:08:58,880 Verteidigungsministerium, also da waren einige. 172 00:08:59,400 --> 00:09:02,480 Krasse Dinger bei aber halt auch wirklich große Firmen wie 173 00:09:02,480 --> 00:09:06,560 Microsoft zum Beispiel. Wir werden über Fire Eye 174 00:09:06,560 --> 00:09:09,080 sprechen, die haben eine sage ich mal, eine entscheidende 175 00:09:09,080 --> 00:09:13,040 Rolle dabei, aber ich glaube auch Intel war da betroffen von, 176 00:09:13,360 --> 00:09:16,320 also das ist schon, das ist schon kein kleines Ding, so am 177 00:09:16,320 --> 00:09:21,360 Ende ne und was ist im Prinzip passiert, also im Prinzip durch 178 00:09:21,360 --> 00:09:24,160 ein Update dieser Orion Software, also zur 179 00:09:24,160 --> 00:09:29,440 Netzwerküberwachung. Folgt ein klassischer Supply 180 00:09:29,440 --> 00:09:32,840 Chain Angriff, so also im Prinzip wurde ein Update der 181 00:09:32,840 --> 00:09:37,040 Orion Software manipuliert, das heißt, der Angriff erfolgt jetzt 182 00:09:37,040 --> 00:09:40,000 nicht direkt beim Endkunden, also dass du sagst ich gehe 183 00:09:40,000 --> 00:09:43,200 jetzt zum Beispiel auf dem sagen wir mal Microsoft Server und 184 00:09:43,200 --> 00:09:46,960 Infiltriere die, sondern es ist über den Anbieter der Software, 185 00:09:46,960 --> 00:09:51,200 in dem Fall Solar wins erfolgt und das ist halt ein krasser 186 00:09:51,200 --> 00:09:54,960 Punkt. Das halt im Prinzip wirklich n 187 00:09:54,960 --> 00:09:57,360 Supply Chain Angriff erfolgt wurde, aber da möchte ich später 188 00:09:57,360 --> 00:10:00,720 mit dir noch mal genauer drauf eingehen, was das bedeutet was 189 00:10:00,720 --> 00:10:02,720 dahinter steckt. Hinter einem Supply Chain 190 00:10:02,760 --> 00:10:04,880 Angriff oder was meinst du? Genau, dass wir das einfach 191 00:10:04,880 --> 00:10:07,080 nachher, wenn wir das technisch erklären, noch mal n bisschen 192 00:10:07,080 --> 00:10:11,720 als Exkurs mit einbauen. Das wär cool so und das Resultat 193 00:10:11,720 --> 00:10:15,840 war, dass zwischen März und Dezember, also fast n ganzes 194 00:10:15,840 --> 00:10:21,120 Jahr im Jahre 2020. Manipulierte Orion Updates 195 00:10:21,120 --> 00:10:25,160 ausgerollt wurden beim Kunden im Umlauf kamen und hammerhart 196 00:10:25,440 --> 00:10:29,360 Spionage betrieben haben, also wirklich so rund 18000 Kunden 197 00:10:29,360 --> 00:10:32,880 installierten sich diese Updates, was im Prinzip Trojaner 198 00:10:32,880 --> 00:10:37,040 waren mit klassischen Backdoors. Und es erfolgte halt quasi 199 00:10:37,040 --> 00:10:40,320 Zugriff auf die Daten. Ja, also ne reinste Spionage am 200 00:10:40,320 --> 00:10:43,560 Ende, man erlangte Zugriff auf e Mails aufs Netzwerk, auf die 201 00:10:43,560 --> 00:10:46,480 Daten an sich ja. Du kannst halt eigentlich, das 202 00:10:46,480 --> 00:10:49,600 ist halt krass, ne, du kannst dann am Ende wenn du sowas ich 203 00:10:49,600 --> 00:10:52,880 sag mal geschafft hast, hast du halt einfach die Möglichkeit 204 00:10:52,880 --> 00:10:56,680 Daten aus den entsprechenden Firmen herauszuziehen, weil du 205 00:10:56,680 --> 00:10:59,040 halt irgendwie Zugriff auf irgendeine Art und Weise, halt 206 00:10:59,040 --> 00:11:01,720 eben wie genau das jetzt also passiert, das besprechen wir 207 00:11:01,720 --> 00:11:04,280 später noch. Oder oder was das dann 208 00:11:04,280 --> 00:11:06,880 sozusagen, wie das wieder dieser Effekt zustande kam. 209 00:11:06,880 --> 00:11:09,760 Aber du kannst halt einfach Daten rausziehen ohne Ende und 210 00:11:09,760 --> 00:11:12,800 ich denk mir halt immer so, wenn du eine Sicherheitslücke hast, 211 00:11:12,800 --> 00:11:18,000 ne die so sagen wir mal mehrere Stunden da ist ne so, dann 212 00:11:18,000 --> 00:11:22,720 kannst du irgendwie Daten abzapfen, je nachdem wie schnell 213 00:11:22,720 --> 00:11:25,040 dein Netzwerk ist. Hast du kannst du irgendwie 214 00:11:25,040 --> 00:11:27,360 berechnen wieviel kriegst du irgendwie raus ne? 215 00:11:28,040 --> 00:11:30,320 So aber wenn es jetzt länger anhält, irgendwie keine Ahnung. 216 00:11:30,320 --> 00:11:33,360 Eine Woche wieviel Daten kann man kopieren, beispielsweise nur 217 00:11:33,360 --> 00:11:36,680 mal um sich das mal einfach mal einfach vorzustellen innerhalb 218 00:11:36,680 --> 00:11:40,480 einer Woche und wieviel Daten kannst du irgendwie erlangen und 219 00:11:40,480 --> 00:11:44,400 auch separiert erlangen, wenn es halt einfach mal dreiviertel 220 00:11:44,400 --> 00:11:48,800 Jahr offen ist. Diese diese, diese Schwachstelle 221 00:11:48,800 --> 00:11:52,800 oder dieser dieser Angriff funktioniert, das ist schon 222 00:11:52,800 --> 00:11:55,440 heftig. Genau. 223 00:11:55,520 --> 00:11:58,680 Und wie im Prinzip jetzt der Ablauf war, warum das überhaupt 224 00:11:58,680 --> 00:12:01,880 so lange offen war oder angreifbar war, weil wie du 225 00:12:01,880 --> 00:12:04,080 schon meintest, das ist ne lange Zeit, warum wurde das nicht 226 00:12:04,080 --> 00:12:06,560 entdeckt? Das würde ich mit dir heute mal 227 00:12:06,560 --> 00:12:08,720 aufrollen, weil ich das war nämlich auch so in der 228 00:12:08,720 --> 00:12:11,800 Recherche, mein erster Gedanke, wie kann es sein, dass du jetzt 229 00:12:11,800 --> 00:12:17,120 von März bis Dezember so lange diese Schadsoftware installiert 230 00:12:17,120 --> 00:12:19,920 hattest, sozusagen ne, also über diese Updates und weiterhin 231 00:12:19,920 --> 00:12:22,800 ausrollen konntest. Und das ist halt wirklich krass 232 00:12:23,040 --> 00:12:25,840 und ich möchte mit dir klären, wer mutmaßlich dahinter steckte, 233 00:12:25,840 --> 00:12:28,920 weil das fand ich auch super spannend und genau das möchte 234 00:12:28,920 --> 00:12:31,840 ich heute alles mit dir in dieser Folge besprechen, was ich 235 00:12:31,840 --> 00:12:35,080 halt auch richtig geil finde dabei, weil das macht so n 236 00:12:35,080 --> 00:12:36,520 bisschen mysteriös. Es ist halt auch nicht 237 00:12:36,520 --> 00:12:39,280 vollständig aufgeklärt, ne, da ist so n bisschen gemauschel 238 00:12:39,280 --> 00:12:43,040 drin, es hat halt wie gesagt durch die mutmaßlichen Angreifer 239 00:12:43,040 --> 00:12:46,960 ordentlich Brisanz und deswegen würde ich sagen starte ich mal 240 00:12:46,960 --> 00:12:49,760 damit. Die Story mal so n bisschen 241 00:12:49,760 --> 00:12:51,360 aufzurollen. Wie war der Ablauf? 242 00:12:51,840 --> 00:12:53,120 Ist das in Ordnung für dich, Fabi? 243 00:12:53,440 --> 00:12:56,160 Hau raus, o. K Let's go. 244 00:12:56,160 --> 00:13:00,320 Also wir gehen mal ans Ende erstmal. 245 00:13:00,320 --> 00:13:02,280 Jetzt hör ich, du willst es doch von vorne aufrollen. 246 00:13:02,280 --> 00:13:05,120 Nein, wir fangen mal ganz hinten an am 9. 247 00:13:05,120 --> 00:13:08,720 Dezember 2020 und ich sagte ja schon, dass Fire Eye das 248 00:13:08,720 --> 00:13:11,600 Unternehmen ne große Rolle spielt, meldet nämlich genau 249 00:13:11,600 --> 00:13:13,520 dieses Unternehmen kompromittierung. 250 00:13:14,560 --> 00:13:20,440 Dass im Prinzip Daten von ihnen gestohlen wurden, ja, also die 251 00:13:20,440 --> 00:13:23,360 haben es mitgekriegt, dass irgendwas nicht stimmt in ihrem 252 00:13:23,360 --> 00:13:27,320 Traffic, ihrem Netzwerk, dass Daten abfließen, und das haben 253 00:13:27,320 --> 00:13:32,320 Sie gemeldet und komischerweise, als das so ein bisschen in 254 00:13:32,320 --> 00:13:35,520 Umlauf kam beziehungsweise ja okay es ist eine Kettenreaktion, 255 00:13:35,520 --> 00:13:39,120 haben auch US Behörden angefangen zu melden, dass sie 256 00:13:39,120 --> 00:13:43,160 gehackt wurden, so. So, und dann kam nämlich 1 zu 1 257 00:13:43,160 --> 00:13:47,320 zusammen und du denkst dir so okay ihr seid alles Kunden von 258 00:13:47,320 --> 00:13:50,640 Solar wins und habt dieses Orion System im Einsatz. 259 00:13:51,040 --> 00:13:55,160 Vielleicht ist das ja so der gemeinsame Nenner und im Prinzip 260 00:13:55,160 --> 00:13:58,480 haben genau das dann Ermittlungen gezeigt, dass es 261 00:13:58,480 --> 00:14:01,760 ein kompromittiertes Orion Update war mit dem sogenannten 262 00:14:01,760 --> 00:14:07,040 Sunburst Trojaner und dieser Trojaner wurde aber über ein 263 00:14:07,040 --> 00:14:13,120 signiertes Update quasi völlig. Vollständig legitim ausgerollt, 264 00:14:13,280 --> 00:14:18,000 signiert, das ist n Ding und ich denke das ist wieder ne Zeit für 265 00:14:18,000 --> 00:14:21,600 ne geile Analogie fabi und ich guck dich an und ich seh einfach 266 00:14:21,600 --> 00:14:25,520 du hast bestimmt ne Analogie dabei um mal zu erklären was es 267 00:14:25,520 --> 00:14:29,440 eigentlich bedeutet n signiertes Update zu haben und warum das 268 00:14:29,440 --> 00:14:31,200 dadurch auch möglich war am Ende. 269 00:14:31,680 --> 00:14:35,840 Ja, also wenn du, wenn du das jetzt mal so ins Mittelalter 270 00:14:35,840 --> 00:14:39,360 schiftest das ganze ne dieses ganze Szenario beispielsweise. 271 00:14:40,080 --> 00:14:42,680 Dann wäre jetzt nicht Microsoft aus dem Mittelalter. 272 00:14:42,720 --> 00:14:45,440 Ach ja, klar so, dann schickt dann schickt Microsoft, schickt 273 00:14:45,440 --> 00:14:49,840 so n boten los ne und da ist sozusagen dann das Königssiegel 274 00:14:49,840 --> 00:14:54,720 das königliche Microsoft Siegel drauf, keine Ahnung auf diesen 275 00:14:54,720 --> 00:14:57,200 Brief und überbringt das dann halt keine Ahnung einem anderen 276 00:14:57,200 --> 00:15:00,240 König oder was auch immer ne oder einer anderen Königin so 277 00:15:00,240 --> 00:15:04,680 und dann wird halt dieser Brief dahin gebracht und ich sag mal 278 00:15:04,680 --> 00:15:08,600 der entsprechende. Empfänger dieses Briefes guckt 279 00:15:08,600 --> 00:15:10,800 sich das diesen Brief an und denkt sich ja, OK, guck mal 280 00:15:10,800 --> 00:15:13,320 hier, das ist genau dieses Siegel, das kenn ich, das ist 281 00:15:13,320 --> 00:15:17,120 definitiv verifiziert, da steht drin alles, klar, wir sollen 282 00:15:17,120 --> 00:15:22,000 heute Nacht das Stadttor offen lassen, weil eine keine Ahnung 283 00:15:22,000 --> 00:15:24,680 wichtige Person. In in einer Nacht und 284 00:15:24,680 --> 00:15:28,880 Nebelaktion in sozusagen das Dorf reingelassen oder in das 285 00:15:28,880 --> 00:15:30,240 Schloss reingelassen werden muss. 286 00:15:30,240 --> 00:15:33,320 Ne und dann denkt man sich so, na ja OK, alles klar, das ist ja 287 00:15:33,320 --> 00:15:36,760 dieses Siegel, das was man kennt, ich hab schon tausendmal 288 00:15:36,760 --> 00:15:39,160 Briefe mit dieser Person geschrieben, das ist auf jeden 289 00:15:39,160 --> 00:15:42,720 Fall definitiv safe diese Information also mach ich das 290 00:15:43,360 --> 00:15:49,360 und im Endeffekt wenn du aber sozusagen dieses Siegel sagen 291 00:15:49,360 --> 00:15:54,040 wir mal zwar das Siegel, ist das Siegel zwar, aber was da drin 292 00:15:54,040 --> 00:15:56,080 steht ist halt was anderes, da steht dann zum Beispiel also 293 00:15:56,480 --> 00:15:59,480 die, die das reingeschrieben haben, das haben andere 294 00:15:59,480 --> 00:16:02,240 reingeschrieben so rum, und dann kommst du an den Punkt, dass zum 295 00:16:02,240 --> 00:16:05,120 Beispiel eigentlich ein Angreifer und eine Armee zum 296 00:16:05,120 --> 00:16:08,000 Beispiel jetzt die Möglichkeit hat, über diese falschen 297 00:16:08,000 --> 00:16:11,160 Informationen, die aber verifiziert als richtig sind, 298 00:16:11,160 --> 00:16:16,640 sozusagen in der Lage sind, das Tor zu öffnen und einzubrechen, 299 00:16:16,640 --> 00:16:19,240 obwohl ja eigentlich die. Die Nachricht gar nicht von 300 00:16:19,240 --> 00:16:21,680 einem Angreifer kam, sondern von einer vertrauenswürdigen Person. 301 00:16:22,000 --> 00:16:25,680 Ne bedeutet im Endeffekt, wenn jetzt zum Beispiel der Brief 302 00:16:25,680 --> 00:16:29,040 losgeschickt wird, mit einem Siegel auf dem Weg zum Beispiel, 303 00:16:29,040 --> 00:16:32,560 sagen wir mal, der Postbote wird überfallen als Beispiel da, der 304 00:16:32,560 --> 00:16:36,080 Brief wird zum Beispiel irgendwie aufgemacht, ohne dass 305 00:16:36,080 --> 00:16:38,240 das Siegel beschädigt wird und wieder zugemacht, die 306 00:16:38,240 --> 00:16:43,680 Informationen wurden aber verändert da drin und dann wird 307 00:16:43,680 --> 00:16:46,480 quasi dieser Brief weitergegeben und eigentlich sollte da drin 308 00:16:46,480 --> 00:16:50,280 stehen sowas wie. Ne als Beispiel sowas wie ja OK, 309 00:16:50,280 --> 00:16:54,720 wir werden beim Morgengrauen ankommen und es wurde aber 310 00:16:54,720 --> 00:16:58,560 verändert zu lass mal bitte das Tor in der Nacht auf als 311 00:16:58,960 --> 00:17:02,880 Gedankenspiel ne so und dann hast du wie gesagt als Empfänger 312 00:17:03,440 --> 00:17:05,960 siehst du OK das ist vertrauenswürdig alles cool also 313 00:17:05,960 --> 00:17:09,280 mach ich das was da drin steht aber eigentlich war das dann 314 00:17:09,280 --> 00:17:12,359 doch nicht vertrauenswürdig. Und das ist genau das richtige 315 00:17:12,359 --> 00:17:14,800 Stichwort. Vertrauen am Ende. 316 00:17:15,839 --> 00:17:18,240 Um dein deine Analogie aufzugreifen, so n. 317 00:17:18,240 --> 00:17:22,400 Siegel schafft ja im Prinzip das Vertrauen zu sagen, Wir haben 318 00:17:22,400 --> 00:17:26,000 jetzt zum Beispiel die 2. Ja, du hast jetzt einmal Solar 319 00:17:26,000 --> 00:17:30,080 Wins das Königreich ja mit mit ihrem Siegel und das Microsoft 320 00:17:30,080 --> 00:17:33,280 Königreich Überlieferungen haben ergeben, dass da glaub ich n 321 00:17:33,280 --> 00:17:34,880 Fenster drauf ist auf dem Siegel. 322 00:17:36,960 --> 00:17:40,080 Und wenn die beiden jetzt kommunizieren, ja, und da kommt 323 00:17:40,080 --> 00:17:42,880 halt wie gesagt so n Bote mit einem Brief und dem offiziellen 324 00:17:42,880 --> 00:17:48,160 Solarwind Siegel, dann denkt sich König Reich, Microsoft, oh 325 00:17:48,160 --> 00:17:52,560 ja, das ist vertrauenswürdig, ne, weil wir sind ja verbündet 326 00:17:52,560 --> 00:17:55,240 mit denen und da ist das offizielle Siegel drauf, das 327 00:17:55,240 --> 00:17:58,400 heißt, das muss vom obersten Chef aus dem Königreich 328 00:17:58,400 --> 00:18:02,160 Solarwinds kommen und was da drin steht, während wir machen, 329 00:18:02,160 --> 00:18:06,160 weil wir sind ja Verbündete, so und wie du jetzt schon meintest. 330 00:18:06,480 --> 00:18:10,320 Jetzt ist das aber manipuliert und interessanterweise, und da 331 00:18:10,320 --> 00:18:12,880 kann man gleich mal so n bisschen Supply Chain Attacke 332 00:18:12,880 --> 00:18:14,720 auch n bisschen oder Angriff erklären. 333 00:18:15,280 --> 00:18:20,960 Dieser Brief wurde ja nicht manipuliert auf dem Weg oder 334 00:18:20,960 --> 00:18:24,400 oder oder sag ich mal im Königreich Microsoft ne, dass du 335 00:18:24,400 --> 00:18:26,600 sagst so EY hier ist n offizieller Brief und der stimmt 336 00:18:26,600 --> 00:18:29,280 sogar, aber bevor du den da aufmachst oder nachdem er 337 00:18:29,280 --> 00:18:31,600 geöffnet wurde wird der irgendwie manipuliert und dann 338 00:18:31,600 --> 00:18:34,560 liest es erst der Big Boss von Microsoft das Königsreich 339 00:18:34,560 --> 00:18:37,840 sondern. Sondern das ist nämlich das das 340 00:18:37,840 --> 00:18:41,200 krasse dabei. Dieser Brief in der Herstellung, 341 00:18:41,200 --> 00:18:44,000 wie er geschrieben wurde, wie er verpackt wurde, wie das Siegel 342 00:18:44,000 --> 00:18:47,760 drauf gemacht wurde, da wurde er schon manipuliert, das heißt, er 343 00:18:47,760 --> 00:18:53,360 war ja nie richtig oder oder frei von Gefahr sozusagen finde 344 00:18:53,360 --> 00:18:56,000 ich, ist ne coole Analogie, gerade das mit dem Siegel finde 345 00:18:56,000 --> 00:18:59,680 ich ziemlich witzig, weil das eigentlich doch sehr gut die 346 00:18:59,680 --> 00:19:02,400 Signierung beschreibt, ne digitale Signierung dahinter. 347 00:19:03,040 --> 00:19:05,920 Von damals. Aber was ist denn jetzt so 348 00:19:05,920 --> 00:19:08,920 verrückt und beängstigend dabei bei diesem ganzen Fall, weil es 349 00:19:08,920 --> 00:19:14,040 wurde ja wirklich lange, lange, wie soll ich sagen, offen 350 00:19:14,040 --> 00:19:16,760 gehalten, also das ist ein langer Zeitraum, wir haben ja 351 00:19:16,760 --> 00:19:22,160 gesagt, März bis Dezember 2020, aber was eigentlich beängstigend 352 00:19:22,160 --> 00:19:26,400 dabei soll, was ich krass finde, ist, dass das auch genauso lange 353 00:19:26,400 --> 00:19:28,720 genau. Geplant und geduldig ausgeführt 354 00:19:28,720 --> 00:19:30,160 wurde. Und da möchte ich jetzt mal 355 00:19:30,160 --> 00:19:33,680 darauf eingehen, wie das Ganze gestartet ist, denn das Ganze 356 00:19:33,680 --> 00:19:37,000 ging schon so nach Ermittlung ne das ganze wurde natürlich 357 00:19:37,000 --> 00:19:40,320 aufgerollt, aber man hat Erkenntnisse daraus gezogen und 358 00:19:40,320 --> 00:19:46,080 die gehen zurück in bis zum September 2019 also ein gutes 359 00:19:46,080 --> 00:19:49,840 Jahr davor wo die ersten Kompromittierungen des Solar 360 00:19:49,840 --> 00:19:51,680 Wins Netzwerks stattgefunden haben. 361 00:19:51,720 --> 00:19:54,560 Ist schon krass, ne. Ne, also wo jetzt? 362 00:19:54,640 --> 00:19:59,120 Wir sind jetzt wirklich bei Solar wins direkt in ihrem 363 00:19:59,120 --> 00:20:03,680 Netzwerk und da wurden sie quasi schon attackiert ein Jahr vorher 364 00:20:03,680 --> 00:20:06,960 und im Oktober, also quasi dann einen Monat nach den ersten 365 00:20:07,040 --> 00:20:10,480 Attacken, gab es auch schon die ersten Tests der Code Injection, 366 00:20:10,880 --> 00:20:13,480 dass man gesagt hat, so jetzt gucken wir mal, ob das hier so 367 00:20:13,480 --> 00:20:16,800 funktioniert, wir werden mal so n bisschen schadhaften Code oder 368 00:20:16,800 --> 00:20:20,960 zumindestens erstmal irgendwie Code injizieren in diese ganze 369 00:20:20,960 --> 00:20:22,720 Software und gucken mal ob das läuft. 370 00:20:23,480 --> 00:20:27,280 So also so ganz smooth. Ne, nicht gesagt ey wir wir wir 371 00:20:27,280 --> 00:20:29,680 sind drin. OK, jetzt ausrasten jetzt alle 372 00:20:29,680 --> 00:20:33,040 Daten abgreifen, alles kaputt machen, nein man ist cool 373 00:20:33,040 --> 00:20:36,640 geblieben einen Monat und dann erst versucht so langsam mal da 374 00:20:36,640 --> 00:20:39,200 was reinzupacken, das ist schon krass finde. 375 00:20:39,200 --> 00:20:41,760 Ich na du kannst ja auch erst mal gucken, dass du im Endeffekt 376 00:20:41,760 --> 00:20:45,360 erst mal sagst, also du, du willst ja erst mal gucken. 377 00:20:45,600 --> 00:20:47,680 Bleibt man entdeckt oder nicht ne, also wenn du jetzt zum 378 00:20:47,680 --> 00:20:49,440 Beispiel du, du fängst jetzt erst mal an das zu 379 00:20:49,440 --> 00:20:52,560 kompromittieren, du. Gibst mal n bisschen Code rein, 380 00:20:52,640 --> 00:20:55,600 guckst erst mal wie gesagt ne. Es muss ja nicht mal schädlich 381 00:20:55,600 --> 00:20:57,680 sein am Anfang, aber du willst ja erst mal gucken. 382 00:20:57,680 --> 00:21:01,120 Erstens kommt dein Code auch rein wie gedacht und zweitens 383 00:21:02,240 --> 00:21:05,160 wird er denn jetzt zum Beispiel relativ schnell erkannt, weil 384 00:21:05,160 --> 00:21:08,000 wenn das der Fall wäre und es relativ schnell irgendwie 385 00:21:08,000 --> 00:21:10,960 aufgeflogen wäre, dann hätte man ja auch vielleicht schon vorher 386 00:21:10,960 --> 00:21:13,280 n bisschen abbrechen können oder das Ganze schon mal n bisschen 387 00:21:13,280 --> 00:21:16,400 verschleiern hätte können so ne aber wenn du jetzt erst mal so 388 00:21:16,400 --> 00:21:19,240 diesen Test machst und diesen diesen ersten Code injektest und 389 00:21:19,240 --> 00:21:22,360 du merkst OK. Gar nicht so viel passiert, ganz 390 00:21:22,360 --> 00:21:25,800 entspannt ne, auch über einen gewissen Zeitraum ist nicht viel 391 00:21:25,800 --> 00:21:28,040 passiert und dann kannst du ja sagen, OK, wir können 392 00:21:28,040 --> 00:21:31,040 weitermachen. So weit so gut, Let's go, wir 393 00:21:31,040 --> 00:21:34,400 fahren. Fort also, das muss man sich 394 00:21:34,400 --> 00:21:36,480 halt wirklich mal vorstellen, dass du sagst, OK, ich habe 395 00:21:36,480 --> 00:21:40,160 Zugriff auf die Software, sozusagen wie die gebaut wird. 396 00:21:40,160 --> 00:21:42,440 Also jetzt zum Beispiel so ein Update und. 397 00:21:42,520 --> 00:21:45,800 Und hau jetzt langsam so Code mit rein, der aber eigentlich 398 00:21:45,800 --> 00:21:48,240 noch nichts wirklich macht. Aber ich will einfach sehen, ob 399 00:21:48,240 --> 00:21:50,960 der da mit gebaut wird, sozusagen in das Update und 400 00:21:50,960 --> 00:21:54,320 diese Herangehensweise finde ich ist halt so, so berechnend, so 401 00:21:54,320 --> 00:21:59,600 krass geduldig auch einfach weil man ist ja schon in den Systemen 402 00:22:00,480 --> 00:22:04,800 des des Opfers, sage ich mal ja und das das ist halt, das finde 403 00:22:04,800 --> 00:22:07,600 ich total beeindruckend, aber halt im Sinne von. 404 00:22:08,000 --> 00:22:10,560 Technisch umgesetzt ja. Also nicht dass dass man jetzt 405 00:22:10,560 --> 00:22:13,480 jemand hackt, auf keinen Fall aber dass man das mit so mit so 406 00:22:13,480 --> 00:22:16,480 einer Seelenruhe durchzieht, also das ist so richtig 407 00:22:16,640 --> 00:22:20,480 berechnet, ey, das ist total krass und auf jeden Fall dann im 408 00:22:20,480 --> 00:22:25,200 Februar 2020 also noch mal n paar Monate später wurde erst 409 00:22:25,200 --> 00:22:30,720 dieser Sunbirst, also diese Malware wirklich in Orion 410 00:22:30,720 --> 00:22:34,080 injiziert durch n Update, das heißt also noch mal Monate 411 00:22:34,080 --> 00:22:36,560 vergangen. Bis eigentlich der Angriff 412 00:22:36,560 --> 00:22:43,360 sozusagen gefahren wurde, sodass dann im März 2020 solarwinds 413 00:22:43,360 --> 00:22:46,880 jetzt leider Gottes diese Updates ausgerollt hat an 414 00:22:46,880 --> 00:22:49,440 Kunden. Und diese Updates waren also 415 00:22:49,440 --> 00:22:53,120 infiziert und die Kunden haben diese Updates bekommen und waren 416 00:22:53,120 --> 00:22:56,800 dementsprechend betroffen und. Und das Ganze, wie gesagt, mit 417 00:22:56,800 --> 00:22:59,280 aller Geduld vorbereitet und ausgeführt. 418 00:22:59,360 --> 00:23:01,880 Da muss man sagen, das zeigt schon, da waren auf jeden Fall 419 00:23:01,880 --> 00:23:05,080 Profis am Werk, das war nicht so n Ding wie manche, es gibt ja 420 00:23:05,080 --> 00:23:07,600 auch zig Fälle in der Geschichte, wo Leute irgendwie 421 00:23:07,600 --> 00:23:10,800 Zugang zu irgendwelchen Systemen erreicht haben, aber gefühlt so 422 00:23:10,800 --> 00:23:13,120 nach. Stunden aufgeflogen sind, weil 423 00:23:13,120 --> 00:23:16,320 die halt alles sich angeguckt haben, überall Spuren 424 00:23:16,320 --> 00:23:18,400 hinterlassen haben. Und das ist hier halt nicht 425 00:23:18,400 --> 00:23:20,800 passiert. Das ist über Monate vorbereitet 426 00:23:21,040 --> 00:23:23,400 gewesen, aber das ist ja auch dann noch durchgeführt. 427 00:23:23,400 --> 00:23:25,520 Und das ist ja generell irgendwie mal sehr krass, weil 428 00:23:25,520 --> 00:23:29,560 gerade wenn du n richtig gut, also man hört es öfter mal, wenn 429 00:23:29,560 --> 00:23:32,880 du wirklich gute Angriffe hast, dann ist es ja auch oft so, dass 430 00:23:32,880 --> 00:23:36,480 sie über ne ganze Zeit lang eben erstens nicht erkannt werden und 431 00:23:36,480 --> 00:23:38,720 vor allem deshalb, weil sie lange vorbereitet sind. 432 00:23:39,520 --> 00:23:42,960 Also quasi wirklich sozusagen. Vorbereitung ist die halbe 433 00:23:42,960 --> 00:23:46,560 Miete, oder wie sagt man dazu? Ja, aber das ist halt wirklich 434 00:23:46,560 --> 00:23:49,520 so ne und was ich aber zum Beispiel auch immer so als 435 00:23:49,520 --> 00:23:52,200 kleiner Fun Fact irgendwie ganz lustig finde so das ist mir am 436 00:23:52,200 --> 00:23:54,960 Anfang immer erst sogar nicht so, also manche sehen das 437 00:23:54,960 --> 00:23:57,120 wahrscheinlich sofort, aber für mich ist das manchmal so, dass 438 00:23:57,120 --> 00:24:01,120 ich dann kurz brauche und dann denk ich mir so ah clever, weil 439 00:24:01,520 --> 00:24:03,920 das Unternehmen heißt solarwinds und. 440 00:24:04,880 --> 00:24:07,560 Da hat ja irgendwer ne Malware aufgespielt, die heißt dann halt 441 00:24:07,560 --> 00:24:13,200 zahnbürst. Hahaha, ja weißt du, also Profis 442 00:24:13,200 --> 00:24:15,880 nicht nur darin, dass sie es machen, sondern auch in der 443 00:24:15,880 --> 00:24:21,200 Namensgebung sehr perfekt ist halt die Frage, das weiß ich gar 444 00:24:21,200 --> 00:24:23,840 nicht so genau, ob der Name quasi im Nachhinein beim 445 00:24:23,840 --> 00:24:27,600 Aufrollen vergeben wurde, weil sie halt passend ist oder ob das 446 00:24:27,600 --> 00:24:30,480 wirklich so provokativ noch irgendwo in diesem Update. 447 00:24:30,480 --> 00:24:32,240 Drin war was super witzig, das stimmt. 448 00:24:32,880 --> 00:24:34,640 Das habe ich jetzt auch gerade gar nicht im Kopf. 449 00:24:34,960 --> 00:24:39,280 Aber manchmal hast du halt so auch Fälle schon gehört, dass, 450 00:24:39,920 --> 00:24:42,360 na ich sag mal, dass es irgendwie auch passend ist, ne, 451 00:24:42,360 --> 00:24:45,200 also dass die Leute, die das dann machen oder dann auch diese 452 00:24:45,280 --> 00:24:50,000 Angriffe fahren, eben auch ja weiß ich nicht irgendwie sich da 453 00:24:50,000 --> 00:24:53,320 vielleicht noch einen Spaß draus machen oder so ne, aber was ich 454 00:24:53,320 --> 00:24:54,560 auf jeden. Fall auf jeden Fall passe ich. 455 00:24:55,760 --> 00:24:58,560 Aber was ich auf jeden Fall ganz interessant fand oder ganz 456 00:24:58,560 --> 00:25:02,400 spannend fand, war, dass dieser. Diese Malware oder dieser 457 00:25:02,400 --> 00:25:07,640 Trojaner, dieser Sunburst, um den es ja gerade geht, der war 458 00:25:07,640 --> 00:25:10,160 ja auch nicht so, weil du ja meintest, der wurde eingespielt, 459 00:25:10,160 --> 00:25:16,240 ne um halt eben das System von den Kunden zu infizieren am Ende 460 00:25:16,480 --> 00:25:20,240 oder zu infiltrieren. Und das Interessante ist, weil 461 00:25:20,240 --> 00:25:26,400 du meintest, es gibt Leute die fangen an ne und haben Zugriff 462 00:25:26,400 --> 00:25:30,120 und gehen sofort drauf und. Holen sich alles Mögliche und 463 00:25:30,120 --> 00:25:32,000 hinterlassen die Riesen Spuren und sonst was. 464 00:25:32,000 --> 00:25:36,240 Und dieser sunbirst Trojaner war ja so konzipiert, dass er 465 00:25:36,480 --> 00:25:40,400 nachdem er installiert wurde auch erstmal 2 Wochen inaktiv 466 00:25:40,400 --> 00:25:47,000 war, also quasi extra sozusagen nichts gemacht hat, damit man 467 00:25:47,000 --> 00:25:49,640 vielleicht auch gar nicht erstmal versteht okay, da ist 468 00:25:49,640 --> 00:25:53,040 irgendwas, da ist irgendeine komische Aktivität und wenn und 469 00:25:53,120 --> 00:25:55,680 da musste ich zum Beispiel wieder daran denken, wie ein. 470 00:25:55,800 --> 00:25:58,000 Eigentlich irgendwie clever. Das auch wiederum ist so was 471 00:25:58,000 --> 00:26:00,960 einzubauen, weil wenn du zum Beispiel irgendwie Code 472 00:26:01,760 --> 00:26:04,600 editierst oder irgendwie sagen wir mal, du hast irgendeine 473 00:26:04,600 --> 00:26:07,360 Anwendung, eine Software und du arbeitest mit, also du 474 00:26:07,520 --> 00:26:12,640 entwickelst diese Software und du machst einen neuen Commit, 475 00:26:13,040 --> 00:26:18,640 also veränderst deine Code Basis je länger quasi sagen wir mal 476 00:26:18,640 --> 00:26:22,920 ein Commit kommt der einen Fehler auf. 477 00:26:22,920 --> 00:26:25,640 Aufwirft oder der sozusagen Ursache eines Fehlers in deinem 478 00:26:25,640 --> 00:26:27,760 Code ist. Und je später du es erkennst, 479 00:26:27,760 --> 00:26:30,200 desto schwieriger wird es eigentlich, das zu irgendwie 480 00:26:30,200 --> 00:26:32,240 identifizieren, wo es genau herkommt. 481 00:26:32,320 --> 00:26:34,560 Und da musste ich irgendwie dran denken, das heißt, wenn du 482 00:26:34,560 --> 00:26:36,920 irgendwie n Trojaner installierst und sagst, OK, du 483 00:26:36,920 --> 00:26:38,880 wartest jetzt aber noch mal 2 Wochen, bis da irgendwas 484 00:26:38,880 --> 00:26:42,480 passiert, dann fragst du dich wahrscheinlich, warte mal hä, 485 00:26:42,480 --> 00:26:44,760 das muss ja jetzt am letzten Update gelegen haben, obwohl es 486 00:26:44,760 --> 00:26:46,800 vielleicht gar nicht der Fall war, weil innerhalb von diesen 2 487 00:26:46,800 --> 00:26:49,040 Wochen vielleicht schon wieder mehrere Updates gefahren wurden. 488 00:26:49,480 --> 00:26:52,000 Und du denkst dir so, ja, aber gestern war noch alles OK und 489 00:26:52,000 --> 00:26:54,880 heute nicht und dazwischen lag n Update, also musstest an diesem 490 00:26:54,880 --> 00:26:57,480 Update liegen und dann suchst du halt an diesem Update und nicht 491 00:26:57,480 --> 00:26:59,760 an den an diesem Update vor 2 Wochen beispielsweise. 492 00:27:00,160 --> 00:27:02,000 Genau das ist heute. Hast du vielleicht das noch 493 00:27:02,000 --> 00:27:05,040 zurück so ne, aber da hast du es bist halt immer noch mit 494 00:27:05,200 --> 00:27:09,000 schadhafter Software infiziert und das ist halt n riesen Punkt 495 00:27:09,000 --> 00:27:12,960 der das halt auch so clever umgesetzt macht ne definitiv 496 00:27:12,960 --> 00:27:15,280 aber irgendwie. Irgendwann wollten sie ja denn 497 00:27:15,280 --> 00:27:17,920 doch mal so ein bisschen, mal ein bisschen die fühle 498 00:27:17,920 --> 00:27:20,080 ausstrecken. Das heißt, nach dieser 499 00:27:20,080 --> 00:27:24,720 Inaktivität wurde ja dann eine Verbindung zu einem, sag ich 500 00:27:24,720 --> 00:27:28,800 mal, externen Command and Control Server aufgebaut, über 501 00:27:28,800 --> 00:27:34,000 den dann die Hacker quasi Befehle reinspielen konnten, das 502 00:27:34,000 --> 00:27:38,040 heißt, die. Die Orion Software, also die 503 00:27:38,040 --> 00:27:41,600 Infizierte das infizierte Update, hat dann Kontakt zu 504 00:27:41,600 --> 00:27:44,800 einem externen Server aufgebaut und sozusagen gefragt, was es 505 00:27:44,800 --> 00:27:47,360 machen soll. Und das ist halt krass, weil du 506 00:27:47,360 --> 00:27:49,280 ja jetzt, man muss sich vorstellen, das wurde an 507 00:27:49,280 --> 00:27:54,400 Tausende Kunden ausgerollt und du hast jetzt überall sozusagen 508 00:27:54,640 --> 00:27:58,360 ne Angriffsfläche, wo du sagen kannst, ey, wenn du Kontakt zu 509 00:27:58,360 --> 00:28:00,720 mir aufbaust, dann sag ich dir mal was du machen sollst. 510 00:28:00,880 --> 00:28:04,720 Zu jedem Einzelnen sozusagen. Und das ist halt krass, weil 511 00:28:04,720 --> 00:28:08,560 dadurch konnten sie Befehle abgeben, wie zum Beispiel das 512 00:28:08,560 --> 00:28:11,920 Netzwerk scannen, Daten exfiltrieren, also wirklich 513 00:28:11,920 --> 00:28:16,320 datenabfluss zu erzeugen, weiteren Schadcode nachzuladen. 514 00:28:16,320 --> 00:28:19,040 Das ist nämlich auch das Ding, wir reden hier nämlich wirklich 515 00:28:19,040 --> 00:28:23,240 von von Servern und von von automatisierten Updates, das 516 00:28:23,240 --> 00:28:25,680 heißt, die konnten halt auch einfach weiteren Schadcode 517 00:28:25,680 --> 00:28:31,080 nachladen, völlig krass und das eigentliche, was das Ganze auch 518 00:28:31,080 --> 00:28:35,200 so unfassbar. Gefährlich Macht ist, du hattest 519 00:28:35,200 --> 00:28:40,880 ja gesagt, Orion ist im Prinzip für die Netzwerküberwachung, das 520 00:28:40,880 --> 00:28:44,720 heißt Du nutzt diese Software jetzt zum Beispiel beim Kunden, 521 00:28:44,720 --> 00:28:48,720 um Netzwerküberwachung durchzuführen, also klassisches 522 00:28:48,720 --> 00:28:52,400 Monitoring, zum Beispiel. Das Ding ist, dass damit 523 00:28:52,400 --> 00:28:57,040 einherkommt, dass. Man Admin Zugriff hat in dieser 524 00:28:57,040 --> 00:28:59,680 Software um auf alles zugreifen zu können. 525 00:28:59,840 --> 00:29:03,920 Das heißt die Orion Software so gesehen hatte Admin Zugriff, das 526 00:29:04,120 --> 00:29:08,400 heißt der Angreifer der jetzt genau dieses System infiltriert 527 00:29:08,400 --> 00:29:13,760 hat, hat sozusagen den goldenen Schlüssel im Internetwerk um zu 528 00:29:13,760 --> 00:29:16,560 sagen ich kann hier, ich habe auf alles Zugriff, ich kann hier 529 00:29:16,560 --> 00:29:21,520 überall drauf zugreifen und. Und das auf diesen weit 530 00:29:21,520 --> 00:29:23,240 gestreuten System. Ne. 531 00:29:23,240 --> 00:29:27,280 Also es wurde jetzt, ich glaube 18000 mal wirklich Kunden, also 532 00:29:27,280 --> 00:29:29,760 18000 Kunden waren betroffen, das heißt, so oft wurde das 533 00:29:29,760 --> 00:29:34,640 ausgerollt und ich kann jetzt gezielt über diese Anfragen an 534 00:29:34,640 --> 00:29:37,520 meinen. Schadserver sage ich mal, hier 535 00:29:37,520 --> 00:29:40,800 wie immer hinten rechts in der Ecke, der Server ist Schuld, der 536 00:29:40,800 --> 00:29:44,680 Server Running GAG, da ist der böse Server 5 wieder und der 537 00:29:44,680 --> 00:29:48,800 wird gefragt, genau Server 5 und der wird gefragt, was soll ich 538 00:29:48,800 --> 00:29:52,160 machen na weißt du, ich werde dich jetzt mal gezielt 539 00:29:52,160 --> 00:29:55,280 aktivieren auf dem Ziel, da habe ich nämlich Lust, dass du mal 540 00:29:55,280 --> 00:29:58,720 das Netzwerk Scannst beim anderen, du wirst jetzt mal mir 541 00:29:58,720 --> 00:30:03,280 gewisse Daten geben und so weiter und das ist halt völlig 542 00:30:03,280 --> 00:30:06,120 krass am Ende. Ja, vor allem das Interessante 543 00:30:06,120 --> 00:30:09,480 ist ja zum Beispiel also der die höchste Form eines Hacks ist ja 544 00:30:09,480 --> 00:30:14,960 wirklich sozusagen, dass du Code executen kannst am Ende, das ist 545 00:30:14,960 --> 00:30:19,360 ja eigentlich immer das, ich sag mal, wenn man jetzt, wenn jetzt 546 00:30:19,360 --> 00:30:22,880 Hacker irgendwie was erreichen wollen, dann ist das ja 547 00:30:22,880 --> 00:30:25,600 eigentlich immer so, dass das ist ja der heilige Gral, am Ende 548 00:30:25,600 --> 00:30:28,880 ne so Daten abrufen, das ist eine ne, also einfach nur zu 549 00:30:28,880 --> 00:30:32,920 lesen, aber wirklich. Code auszuführen, also sozusagen 550 00:30:32,920 --> 00:30:36,320 die komplette Kontrolle über das infiltrierte System zu haben, 551 00:30:36,320 --> 00:30:39,040 das ist natürlich das das Allerbeste, was du sozusagen 552 00:30:39,040 --> 00:30:41,280 jetzt, also in Anführungsstrichen, aus Hacker 553 00:30:41,280 --> 00:30:45,280 Sicht haben kannst, ne, und weil dann ist alles möglich, genau, 554 00:30:45,280 --> 00:30:49,920 und das ist ja also ne, weil du ja meintest, Schadcode 555 00:30:49,920 --> 00:30:52,440 nachzuladen, Schadcode auszuführen, um das überhaupt 556 00:30:52,440 --> 00:30:55,120 machen zu können, brauchst du ja meistens halt eben auch sowas 557 00:30:55,120 --> 00:30:59,600 wie Zug, also Zug oder oder Rechte für die Execution von 558 00:31:00,000 --> 00:31:02,160 Dateien und. Und das hast du ja unter 559 00:31:02,160 --> 00:31:07,000 Umständen als aus einem gewissen Userprofil heraus dann nicht. 560 00:31:07,000 --> 00:31:11,040 Und deswegen ist es halt so interessant gewesen, dass diese 561 00:31:11,120 --> 00:31:14,880 diese diese Orion Software halt eben auch Admin Zugriff hat. 562 00:31:14,880 --> 00:31:18,240 Ne, weil Admin hat im Normalfall eben die ganzen Rechte, wie zum 563 00:31:18,240 --> 00:31:21,680 Beispiel auch die Ausführung von bestimmten Files, das ist halt 564 00:31:21,680 --> 00:31:24,000 das Spannende dann an der ganzen Geschichte. 565 00:31:26,840 --> 00:31:30,320 Jetzt kann man sich natürlich fragen, OK, das ist alles krass, 566 00:31:30,320 --> 00:31:34,040 aber wie, wie ist das überhaupt möglich zu dem Punkt zu kommen, 567 00:31:34,040 --> 00:31:37,600 ne, dass jetzt die Angreifer solche Angriffe auch fahren 568 00:31:37,600 --> 00:31:40,320 konnten, deswegen möchte ich das ganze mal ein bisschen technisch 569 00:31:40,320 --> 00:31:44,880 aufrollen mit dir und zwar wie hat man das jetzt eigentlich 570 00:31:44,880 --> 00:31:48,000 geschafft und die Antwort liegt darin, dass wie gesagt der 571 00:31:48,000 --> 00:31:53,040 Bildprozess für diese Updates. Der Orion Plattform infiltriert 572 00:31:53,040 --> 00:31:55,520 wurde. Also wie gesagt, es handelt sich 573 00:31:55,520 --> 00:31:58,480 quasi um einen Supply Chain Angriff und ich denke das ist 574 00:31:58,480 --> 00:32:01,440 jetzt n guter Zeitpunkt um noch mal n kleinen Exkurs zu machen 575 00:32:01,440 --> 00:32:04,880 was eigentlich dahinter steckt. Also im Prinzip sagt das aus, 576 00:32:05,120 --> 00:32:10,600 dass das Ziel deines Angriffes. Nicht der Endkunde ist, von dem 577 00:32:10,600 --> 00:32:12,720 Du eigentlich zum Beispiel Daten haben möchtest. 578 00:32:12,720 --> 00:32:16,880 Ja, also Ziel war jetzt nicht direkt NUS Ministerium 579 00:32:16,880 --> 00:32:20,080 anzugreifen oder Microsoft oder Intel oder was wir alles gesagt 580 00:32:20,080 --> 00:32:25,280 haben, sondern Ziel war eine vorgelagerte Komponente in 581 00:32:25,280 --> 00:32:30,440 dieser Softwarelieferkette anzugreifen, um dann am Ende die 582 00:32:30,440 --> 00:32:33,520 Daten von beispielsweise Microsoft zu bekommen. 583 00:32:33,960 --> 00:32:38,360 Das heißt, das Angriffsziel ist dann oft eher sowas wie ne CICD 584 00:32:38,360 --> 00:32:42,480 Pipeline, also Bildsysteme oder Update Server oder vielleicht 585 00:32:42,480 --> 00:32:44,320 auch so Open Source. Lips hatten wir ja auch schon 586 00:32:44,320 --> 00:32:49,600 besprochen, ich sag nur log for Shell, das ist halt im Prinzip 587 00:32:49,600 --> 00:32:53,240 das gefährliche dabei, dass es kein direkter Angriff ist, 588 00:32:53,360 --> 00:32:57,600 sondern so indirekt zum Kontakt mit dem Opfer kommen. 589 00:32:57,600 --> 00:33:00,320 Ja, wenn du dir das zum Beispiel vorstellst, bei sagen wir mal, 590 00:33:00,320 --> 00:33:03,840 du hast irgendwie. Welche Bauarbeiter zu Hause ne, 591 00:33:04,080 --> 00:33:07,280 die weiß ich nicht irgendwas renovieren bei dir ne und dann 592 00:33:07,280 --> 00:33:10,880 beauftragst du zum Beispiel ne Firma, ne Baufirma wo du genau 593 00:33:10,880 --> 00:33:14,360 weißt der kann ich vertrauen so und diese Baufirma macht 594 00:33:14,360 --> 00:33:17,520 irgendwas und dann also macht zum Beispiel irgendwie keine 595 00:33:17,520 --> 00:33:20,640 Ahnung verleg deinen Boden, malert dir die Wände und macht 596 00:33:20,640 --> 00:33:22,960 noch n bisschen was mit der Elektrik so ne aber diese 597 00:33:22,960 --> 00:33:26,680 Baufirma organisiert das alles ne und du weißt aber OK diese 598 00:33:26,680 --> 00:33:29,600 Baufirma weiß nicht da. Viele haben da schon 599 00:33:29,600 --> 00:33:31,280 mitgearbeitet. Ich kenn die auch schon n 600 00:33:31,280 --> 00:33:36,240 bisschen, ich kenn da vielleicht sogar den Jochen, keine Ahnung 601 00:33:36,240 --> 00:33:38,360 der da arbeitet. Ne Mensch, das ist auf jeden. 602 00:33:38,360 --> 00:33:40,480 Fall n Haus. Das ist auf jeden Fall ne tolle 603 00:33:40,480 --> 00:33:42,880 Firma. Ist alles gut, ne und dann ist 604 00:33:42,880 --> 00:33:46,400 es aber um das jetzt so diesen kleinen Vergleich zu bringen. 605 00:33:46,960 --> 00:33:49,880 Die Baufirma beauftragt wiederum zum Beispiel irgendwie n 606 00:33:49,880 --> 00:33:53,360 Elektriker ne der dann die Elektrik machen soll und du 607 00:33:53,360 --> 00:33:56,720 kennst als. Privatperson diese Elektrofirma 608 00:33:56,720 --> 00:33:59,040 gar nicht. Du hast gar keinen Plan davon ne 609 00:33:59,920 --> 00:34:02,720 und vertraust. Aber dieser Firma, der Baufirma, 610 00:34:02,720 --> 00:34:05,920 weil die ist ja gut so, also wird die ja wohl auch dann 611 00:34:05,920 --> 00:34:08,800 sozusagen in ihrer, ich nenn es jetzt mal extra Lieferkette eben 612 00:34:08,800 --> 00:34:10,880 halt auch die richtigen Leute ranholen. 613 00:34:11,440 --> 00:34:13,360 Und jetzt? Ist aber zum Beispiel diese 614 00:34:13,360 --> 00:34:16,880 Elektrofirma, die im Endeffekt ja kein Angriff ne auf mich 615 00:34:16,880 --> 00:34:19,600 selber fährt, also auf mich persönlich, sondern auf diese 616 00:34:19,600 --> 00:34:23,239 Baufirma und sagt, EY, Wir sind Elektriker, auf jeden Fall, aber 617 00:34:23,239 --> 00:34:25,520 wir haben böse Absichten, aber das sagen wir denen nicht, und 618 00:34:25,520 --> 00:34:27,880 dann kommen die zum Beispiel installieren irgendwie die 619 00:34:27,880 --> 00:34:30,239 Elektroleitungen, machen aber zusätzlich installieren 620 00:34:30,239 --> 00:34:33,440 irgendwie keine Ahnung, ne kleine Kamera irgendwo in dein 621 00:34:33,440 --> 00:34:36,159 Haus und irgendwie n weiß ich nicht. 622 00:34:36,360 --> 00:34:39,440 Eine Anlage, die wo du irgendwie, also irgendwas womit 623 00:34:39,440 --> 00:34:41,360 du die Alarmanlage ausschalten kannst oder was auch immer, 624 00:34:41,360 --> 00:34:43,840 damit du dann zum Beispiel sehen kannst, okay ist jemand im Haus 625 00:34:43,840 --> 00:34:46,239 und vielleicht kann ich sogar noch die Alarmanlage ausschalten 626 00:34:46,239 --> 00:34:50,320 und dann kann ich einbrechen. So heißt im Endeffekt du als 627 00:34:50,320 --> 00:34:52,560 Person Beauftragst eine Firma, der du vertraust. 628 00:34:52,639 --> 00:34:56,080 Irgendwo in dieser Lieferkette gibt es einen Elektriker, der 629 00:34:56,080 --> 00:34:59,440 sich ausgibt als ja wir sind. N gutartiger Elektriker 630 00:34:59,440 --> 00:35:02,320 sozusagen. Und das Ende vom Lied ist aber, 631 00:35:02,320 --> 00:35:05,760 dass du sozusagen ausgeraubt wird wirst, obwohl du aktiv gar 632 00:35:05,760 --> 00:35:08,560 nicht angegriffen wirst. Unbedingt, sondern der Angriff 633 00:35:08,560 --> 00:35:11,760 geht ja von der Elektrofirma auf die Baufirma, aber das Opfer 634 00:35:11,760 --> 00:35:14,960 bist im Endeffekt du, ne, so ungefähr kann man sich das dann. 635 00:35:15,440 --> 00:35:18,560 Vorstellen also, das Alarmanlagenbeispiel ist halt 636 00:35:18,560 --> 00:35:21,920 eigentlich ganz cool, weil im Prinzip gibst du den Auftrag. 637 00:35:21,920 --> 00:35:25,040 Ja, ich möchte sowas installieren in meinem Haus, die 638 00:35:25,040 --> 00:35:29,680 Baufirma sagt ja, wir haben hier Alarmanlage von Firma XY bauen 639 00:35:29,680 --> 00:35:31,840 wir die ein, so und wenn jetzt aber denn die dritte Firma wie 640 00:35:31,840 --> 00:35:33,840 du meintest anfängt da irgendwelche Backdoors 641 00:35:33,840 --> 00:35:37,480 einzubauen ohne das Wissen von deiner Baufirma, dann denkt die 642 00:35:37,480 --> 00:35:39,840 sich natürlich weiter hey hier hast du mein System und du 643 00:35:39,840 --> 00:35:42,160 denkst dir wow ja Mann ihr seid doch. 644 00:35:42,440 --> 00:35:43,920 Ich weiß nicht, vertraue ich schon seit 10 Jahren. 645 00:35:43,920 --> 00:35:47,280 Das System wird super sein und am Ende weiß aber keiner, dass 646 00:35:47,280 --> 00:35:49,680 über diese Baufirma diese Schadsoftware in dein Haus 647 00:35:49,680 --> 00:35:52,880 gekommen ist und dann im Prinzip du ausspioniert werden kannst 648 00:35:52,880 --> 00:35:55,600 beispielsweise oder im Zweifelsfall, dass die 649 00:35:55,600 --> 00:35:58,040 Alarmanlage abgeschaltet wird. Halt ne, also wenn es halt hart 650 00:35:58,040 --> 00:36:00,000 auf hart kommt. So und das ist halt das 651 00:36:00,000 --> 00:36:02,960 gefährliche dabei, es ist schwer nachzuvollziehen, es ist schwer 652 00:36:02,960 --> 00:36:07,360 zu entdecken und du hast halt immer dieses Vertrauensproblem 653 00:36:07,360 --> 00:36:10,240 am Ende was also Vertrauen ist ne gute Sache, aber. 654 00:36:11,040 --> 00:36:13,840 Ich sag mal so blindes Vertrauen eben halt nicht. 655 00:36:13,840 --> 00:36:15,920 Ja und jetzt wie haben Sie das gemacht? 656 00:36:15,920 --> 00:36:18,960 Sie sind im Prinzip um jetzt wieder auf solarwinds zu kommen, 657 00:36:18,960 --> 00:36:21,600 genau da an der Stelle wurde angesetzt und zwar in diesem 658 00:36:21,600 --> 00:36:25,600 Herstellungsprozess, also der Bildprozess wurde infiltriert 659 00:36:26,720 --> 00:36:31,280 und beim Erstellen der Updates wurde quasi dann automatisch 660 00:36:31,280 --> 00:36:34,080 Malware integriert. Wir hatten ja gesagt, sie hatten 661 00:36:34,080 --> 00:36:36,880 anfangs erst mal angefangen so. Lass mal n bisschen Code 662 00:36:36,880 --> 00:36:38,880 hinzufügen, gucken ob das Ganze läuft. 663 00:36:39,120 --> 00:36:42,800 Nicht auffällig, immer ganz immer peur Peso ja und im 664 00:36:42,800 --> 00:36:48,080 Prinzip lief es dann so, dass Malware. 665 00:36:48,680 --> 00:36:52,120 Im Hintergrund auf den Bildservern lief, das heißt, die 666 00:36:52,120 --> 00:36:55,680 Waren auf den Bildservern haben den infiziert und haben 667 00:36:55,680 --> 00:36:58,000 angefangen fehlerhafte Updates zu bauen. 668 00:36:58,000 --> 00:37:01,840 Ne beispielsweise wurden Dateien zur Kompilierzeit ausgetauscht, 669 00:37:01,840 --> 00:37:05,320 auch Superkrass, das heißt du du kompilierst gerade deine 670 00:37:05,320 --> 00:37:07,800 Software und denkst eigentlich wenn das jetzt zum Beispiel auf 671 00:37:07,800 --> 00:37:10,600 dem Bild System läuft so ja na ja, wir wissen ja wie unsere 672 00:37:10,600 --> 00:37:12,960 Software aussieht und die Dateien werden jetzt gebaut, 673 00:37:12,960 --> 00:37:15,680 dieser Source Code wird gebaut und dann haben wir am Ende 674 00:37:15,680 --> 00:37:19,680 dementsprechend unsere Software. Als Artefakt, was wir ausliefern 675 00:37:19,680 --> 00:37:23,200 können als Update zum Beispiel ja, was aber nicht bemerkt 676 00:37:23,200 --> 00:37:25,520 wurde, ist, dass jetzt aber Daten nah ausgetauscht wurden, 677 00:37:25,520 --> 00:37:27,720 Source Code wurde ausgetauscht und es wurde eigentlich n 678 00:37:27,720 --> 00:37:30,680 bisschen was anderes kompiliert, immer so n bisschen weißt du und 679 00:37:30,680 --> 00:37:33,920 am Ende kam ja trotzdem ein Artefakt zum Beispiel n Update 680 00:37:33,920 --> 00:37:39,120 raus, was im Prinzip erfolgreich war, also der Build war 681 00:37:39,120 --> 00:37:42,480 erfolgreich und du gehst davon aus, dass auch das gebaut wird 682 00:37:42,480 --> 00:37:45,640 was du annimmst. Was gebaut wird war aber nicht 683 00:37:45,640 --> 00:37:48,480 der Fall. Das heißt, keine Fehler im Bild, 684 00:37:48,640 --> 00:37:52,080 keine Verdachtsmomente, ganz einfach so zu dem Zeitpunkt. 685 00:37:52,080 --> 00:37:56,000 Ja, du hast dir gedacht, ja Pipeline ist grün, alles gut, 686 00:37:56,240 --> 00:37:59,040 Siegel drauf wie du so schön meintest, das heißt das Update 687 00:37:59,040 --> 00:38:03,440 wurde signiert und kam sozusagen für alle Kunden von offizieller 688 00:38:03,440 --> 00:38:06,000 Quelle. Und das macht es halt unfassbar 689 00:38:06,000 --> 00:38:08,800 gefährlich, da man ja wie gesagt Vertrauen in dieses Update 690 00:38:08,800 --> 00:38:11,440 hatte, weil es ein offizielles Solar Wins Update war. 691 00:38:11,440 --> 00:38:14,240 Ich meine, du musst es ja immer so vorstellen, wenn du irgendwie 692 00:38:14,240 --> 00:38:16,720 eine Anwendung entwickelst. Und du hast vielleicht irgendwie 693 00:38:16,720 --> 00:38:19,280 eine CD Pipeline aufgesetzt, die dafür sorgt, dass halt eben 694 00:38:19,280 --> 00:38:23,600 deine Anwendung die Ploid wird oder ein Update quasi 695 00:38:23,600 --> 00:38:26,480 eingespielt wird oder zur Verfügung gestellt wird. 696 00:38:26,480 --> 00:38:30,320 Wie auch immer, dann gehst du im Normalfall nicht davon aus, dass 697 00:38:30,320 --> 00:38:33,000 wenn deine also. Ich. 698 00:38:33,000 --> 00:38:36,480 Ich rede jetzt mal von mir, aber wenn du jetzt eine Pipeline hast 699 00:38:36,640 --> 00:38:40,320 und die ist grün, dann hinterfrage ich im Normalfall 700 00:38:40,320 --> 00:38:43,680 nicht noch mal. Hat das jetzt wirklich geklappt, 701 00:38:43,680 --> 00:38:46,480 weil du hast ja deine Pipeline selbst gebaut, die halt am Ende 702 00:38:46,480 --> 00:38:48,520 grün ist. Ne, es ist gut gelaufen, ist 703 00:38:48,520 --> 00:38:50,920 grün gelaufen, so wenn irgendwas nicht geklappt hätte, wäre sie 704 00:38:50,920 --> 00:38:55,080 ja wohl rot gelaufen ne und da kann man jeder ja mal für sich 705 00:38:55,080 --> 00:38:59,600 selber überlegen, gerade im Def Ops Bereich wie stark man seiner 706 00:38:59,600 --> 00:39:01,320 Pipeline eigentlich vertraut und. 707 00:39:01,320 --> 00:39:05,520 Und wenn du jetzt zum Beispiel nicht weißt, dass deine Pipeline 708 00:39:05,520 --> 00:39:08,000 infiltriert, hast du durchaus ein krasses Problem. 709 00:39:08,320 --> 00:39:11,200 Für mich heißt es aber auch gleichzeitig wieder, dass im 710 00:39:11,200 --> 00:39:14,000 Endeffekt, wenn du dir wirklich mal überlegst, wo eigentlich die 711 00:39:14,160 --> 00:39:18,480 Schwachstelle oder das Problem lag, die lag ja eigentlich gar 712 00:39:18,480 --> 00:39:23,120 nicht an Orion selber so, sondern die lag ja eigentlich in 713 00:39:23,120 --> 00:39:27,360 der Pipeline, in in dem ganzen Bildserver in der Bildumgebung. 714 00:39:27,960 --> 00:39:29,920 Und dann finde ich es auch wieder irgendwie ein 715 00:39:30,000 --> 00:39:32,720 interessantes Gedankenexperiment zu sagen, ja, pass auf. 716 00:39:33,520 --> 00:39:36,360 Natürlich ist es wichtig, dass deine Software so wie sie ist, 717 00:39:37,120 --> 00:39:40,920 jetzt vielleicht nicht unbedingt angriffsvektoren bietet, wo du 718 00:39:40,920 --> 00:39:44,400 irgendwie als Angreifer sozusagen Fläche bietest, um 719 00:39:44,560 --> 00:39:48,000 angegriffen zu werden, weil das ist ja deine Software, aber 720 00:39:48,000 --> 00:39:52,440 genauso würde ich sagen, ist. Die cicd Pipeline auch irgendwo 721 00:39:52,440 --> 00:39:54,840 eine Art Software. Ich nenne es jetzt mal 722 00:39:54,840 --> 00:40:00,360 übertriebene Art Anwendung in Anführungsstrichen, die du 723 00:40:00,360 --> 00:40:03,880 benutzt um deine eigentliche Anwendung sozusagen zu bauen und 724 00:40:03,880 --> 00:40:08,160 zu Deployen und das absolut teilweise sogar noch viel viel 725 00:40:08,160 --> 00:40:11,960 krasser, weil im Normalfall hast du im. 726 00:40:12,000 --> 00:40:14,000 Im Optimalfall auch verschlüsselt oder so. 727 00:40:14,080 --> 00:40:16,720 Aber du hast ja um deine Pipeline um alles Mögliche zu 728 00:40:16,720 --> 00:40:18,960 machen, zum Beispiel du, du willst irgendwie, wenn du deinen 729 00:40:18,960 --> 00:40:21,000 Source Code bauen willst, musst du ihn auschecken, das heißt du 730 00:40:21,000 --> 00:40:24,400 brauchst irgendwo einen Secret um mit diesem um irgendwie an 731 00:40:24,400 --> 00:40:27,680 deinen Code ranzukommen. Du willst zum Beispiel irgendwie 732 00:40:27,680 --> 00:40:30,160 was signieren, also brauchst du wieder irgendeinen Schlüssel um 733 00:40:30,240 --> 00:40:32,960 deine Anwendung zu signieren, du brauchst immer irgendwie diese 734 00:40:32,960 --> 00:40:37,160 ganzen Credentials, diese ganzen Secrets in deiner Pipeline in 735 00:40:37,160 --> 00:40:39,920 deiner Bildumgebung. Demzufolge bedeutet das ja 736 00:40:39,920 --> 00:40:42,960 eigentlich, dass deine Bildumgebung an sich schon 737 00:40:43,760 --> 00:40:46,880 eigentlich die absolute Schwachstelle ist, oder das? 738 00:40:47,280 --> 00:40:50,480 Sagen wir mal die Region of Interest für Hacker, wenn man es 739 00:40:50,480 --> 00:40:53,920 mal so sieht, ne und gar nicht unbedingt die Anwendung selber. 740 00:40:54,720 --> 00:40:57,440 Ja, das ist ja auch der Grund, warum so Death of Security halt 741 00:40:57,440 --> 00:41:00,800 auch immer wichtiger wird, ne und immer n größeres Thema wird, 742 00:41:00,800 --> 00:41:04,240 weil es halt wirklich so n großer Teil. 743 00:41:04,920 --> 00:41:07,600 Des Softwareprojekts ist ja jetzt wahrscheinlich nicht die 744 00:41:07,600 --> 00:41:09,560 Software, die du baust. Logischerweise wie du gerade 745 00:41:09,560 --> 00:41:12,480 meintest, aber halt an sich so ein großer Teil des 746 00:41:12,480 --> 00:41:15,880 Gesamtprojekts ist der Halt einfach auch angreifbar ist. 747 00:41:15,880 --> 00:41:21,520 Wie wir jetzt in dem Fall sehen und da ist halt die Frage, was 748 00:41:21,520 --> 00:41:24,560 kann man da so machen, da kommen würde ich würde ich sagen am 749 00:41:24,560 --> 00:41:28,000 Ende mal drauf ne also es gibt ja natürlich Punkte Learnings 750 00:41:28,000 --> 00:41:30,480 wie du anfangs meintest die man daraus ziehen sollte ich. 751 00:41:31,400 --> 00:41:34,000 Ich würde gerne aber noch auf einen Punkt vorher eingehen. 752 00:41:34,000 --> 00:41:37,600 Und zwar kann man sich ja jetzt denken, OK, es ist das Kind ist 753 00:41:37,600 --> 00:41:40,480 in Brunnen gefallen, wie man so schön sagt, die Software ist 754 00:41:40,720 --> 00:41:45,600 infiziert und wird ausgerollt, weil wie gesagt der Bildprozess 755 00:41:46,400 --> 00:41:51,360 quasi Schadsoftware beinhaltete. Warum haben die Kunden das aber 756 00:41:51,360 --> 00:41:53,840 so lange nicht gemerkt? Das ist jetzt die nächste Frage, 757 00:41:53,840 --> 00:41:55,520 ne. Du kannst sagen, OK, es ist 758 00:41:55,520 --> 00:41:59,120 passiert, aber warum auf Kundenseite, wo das Update 759 00:41:59,120 --> 00:42:01,880 ausgerollt wurde, warum wurde es da nicht bemerkt und das finde 760 00:42:01,880 --> 00:42:04,600 ich ist dann nämlich auch noch n spannender Punkt paar Sachen 761 00:42:04,600 --> 00:42:07,600 hast du noch die eigene? Also sag ich jetzt mal so. 762 00:42:07,720 --> 00:42:11,120 Also paar Sachen sind ja liegen, ja würd ich würd ich sagen jetzt 763 00:42:11,120 --> 00:42:12,680 schon mal auf der Hand. Also zum einen hast du halt 764 00:42:12,680 --> 00:42:15,920 diese vertrauenswürdige Seite, dass du davon ausgehst. 765 00:42:15,920 --> 00:42:19,120 OK das das das kennen wir. Ne, das ist das kommt von 766 00:42:19,120 --> 00:42:22,000 vertrauenswürdiger Seite und dann hatten wir noch das 767 00:42:22,400 --> 00:42:25,600 sozusagen das Tool oder diese diese Trojaner eigentlich erst 768 00:42:25,680 --> 00:42:28,320 verzögert angefangen hat zu arbeiten beispielsweise. 769 00:42:28,640 --> 00:42:32,000 Das sind ja zumindest schon mal Dinge, die ja irgendwie damit 770 00:42:32,000 --> 00:42:35,440 definitiv reinspielen, dass das zum Beispiel spät bemerkt wurde. 771 00:42:36,960 --> 00:42:39,280 Genau, also du hast halt digitale Signatur. 772 00:42:39,280 --> 00:42:41,480 Ist diese scheinbare Sicherheit, die wir besprochen haben. 773 00:42:41,480 --> 00:42:45,600 Das stimmt. Dadurch, dass es signiert war, 774 00:42:45,600 --> 00:42:48,760 hast du natürlich auch zum Beispiel keine Anschläge im 775 00:42:48,760 --> 00:42:51,920 Virenscanner oder in Firewalls, ne, weil es war ja offiziell 776 00:42:51,920 --> 00:42:54,440 zugelassen. Das spielt natürlich dem Hack 777 00:42:54,440 --> 00:42:56,480 ordentlich in die Karten und natürlich auch der Admin 778 00:42:56,480 --> 00:42:59,200 Zugriff, den wir schon besprochen hatten, weil du halt 779 00:42:59,200 --> 00:43:03,720 einfach per Design Admin Zugriff hattest und dadurch waren zum 780 00:43:03,720 --> 00:43:06,560 Beispiel auch keine weiteren Exploits nötig oder irgendwie, 781 00:43:06,560 --> 00:43:09,360 du hattest ja einfach schon direkten Zugriff durch die 782 00:43:09,360 --> 00:43:11,440 Privilegien, die du als Admin hast. 783 00:43:12,200 --> 00:43:14,920 Aber es gibt noch so andere Punkte, die einfach zeigen, dass 784 00:43:14,920 --> 00:43:16,560 da auch wirklich Profis am Werk waren. 785 00:43:16,640 --> 00:43:19,640 Und zwar hatte Sunbirst als Malware auch n paar 786 00:43:19,640 --> 00:43:24,040 Eigenschaften, die ich sehr spannend fand erstmal. 787 00:43:24,040 --> 00:43:27,200 Es war natürlich wieder so typische Windows Tarnung Windows 788 00:43:27,200 --> 00:43:29,800 Dienste, es war n Windows Dienst ne, damit hast du ja schon mal 789 00:43:29,800 --> 00:43:32,240 so n bisschen so offizielle Tarnung sag ich mal. 790 00:43:32,800 --> 00:43:36,920 Dann finde ich es auch spannend, dass die Malware. 791 00:43:37,080 --> 00:43:42,080 Scheinbar verzögert startete um so ersten Analyse Tools aus dem 792 00:43:42,080 --> 00:43:45,200 Weg zu gehen. Ne also zum Beispiel du startest 793 00:43:45,200 --> 00:43:48,200 was es laufen n paar Checks, aber die Malware ist noch nicht 794 00:43:48,200 --> 00:43:50,600 am Start, das wird noch abgewartet, das ist ja das 795 00:43:50,600 --> 00:43:53,160 siehst du, dass das halt richtig geplant war und man wusste wie 796 00:43:53,160 --> 00:43:56,360 das System auch funktioniert ne um sowas überhaupt umgehen zu 797 00:43:56,360 --> 00:44:01,600 können, es wurde die. Die Umgebung geprüft worauf 798 00:44:01,600 --> 00:44:04,920 laufe ich gerade eigentlich? Ja, bin ich in der Sandbox, bin 799 00:44:04,920 --> 00:44:08,000 ich in einem Testsystem, laufe ich produktiv, das finde ich es 800 00:44:08,000 --> 00:44:11,800 halt auch superkrass, dass im Prinzip eine Inaktivität 801 00:44:11,800 --> 00:44:14,880 stattgefunden hatte, wenn man wusste, ey, ich bin hier gerade 802 00:44:14,880 --> 00:44:18,480 auf in Analysen unterwegs, ja, also auf n Testsystem 803 00:44:18,480 --> 00:44:21,840 beispielsweise oder so, wo wirklich mehr Tests laufen, dann 804 00:44:21,840 --> 00:44:23,440 wurde das Ding gar nicht aktiviert. 805 00:44:23,880 --> 00:44:27,360 Das ist halt superkrass am Ende ne und was natürlich auch n 806 00:44:27,360 --> 00:44:30,640 Klassiker ist. Der Schadcode lief halt im RAM 807 00:44:30,880 --> 00:44:33,680 und nicht sozusagen auf der Festplatte oder aus den Dateien 808 00:44:33,680 --> 00:44:36,720 heraus, was das Ganze auch noch schwerer nachweisbar machte. 809 00:44:37,040 --> 00:44:38,800 Das heißt man kann wirklich sagen, es war wirklich 810 00:44:38,800 --> 00:44:40,560 hochprofessionelle Malware am Ende. 811 00:44:40,960 --> 00:44:43,200 Mit guter Vorbereitung und guter Durchführung. 812 00:44:43,600 --> 00:44:46,080 Ja, aber es ist ja trotzdem aufgeflogen. 813 00:44:46,080 --> 00:44:49,840 Magst du mal sagen, wie wie es denn am Ende trotzdem Gott sei 814 00:44:49,840 --> 00:44:52,720 Dank ja erkannt wurde? Also ich hab auf jeden Fall 815 00:44:53,200 --> 00:44:56,880 auch. Gelesen, dass als erstes mal 816 00:44:57,200 --> 00:45:01,200 oder so die der, der erst das erste Anzeichen wurde. 817 00:45:01,200 --> 00:45:05,280 Ja, hatten wir ja vorhin schon mal gesagt, von von Fire Eye 818 00:45:06,320 --> 00:45:11,240 sogar du hattest von 9.12. Glaube ich erwähnt, ich glaube 819 00:45:11,240 --> 00:45:13,240 am 8. Dezember, wenn das jetzt so von 820 00:45:13,240 --> 00:45:17,320 den von den Überlieferungen sozusagen richtig ist, wurde von 821 00:45:17,320 --> 00:45:19,240 dieser Sicherheitsfirma irgendwie festgestellt und das 822 00:45:19,240 --> 00:45:23,080 fand ich ganz interessant, dass irgendwie n unauthentifiziertes 823 00:45:23,080 --> 00:45:27,200 oder n neues 2 Faktor gerät sozusagen von einem Mitarbeiter 824 00:45:27,360 --> 00:45:33,280 irgendwie registriert wurde und dann hat halt einer in bei Fire 825 00:45:33,280 --> 00:45:36,120 Eye hat sich gedacht und das war so der ursprüngliche Aufhänger, 826 00:45:36,120 --> 00:45:38,960 so hab ich das zumindest verstanden, hat sich der von 827 00:45:38,960 --> 00:45:42,600 Fire Eye gedacht Moment warum, warum ist das so? 828 00:45:42,600 --> 00:45:44,360 Dann hat er den irgendwie gefragt und meinte so wie sieht 829 00:45:44,360 --> 00:45:46,240 es eigentlich aus also? Hast du das gemacht? 830 00:45:46,240 --> 00:45:48,720 Und ja, so, NÖ, eigentlich nicht und dann war es irgendwie so OK, 831 00:45:48,720 --> 00:45:52,800 irgendwas ist komisch, ne und da wurde dann im Endeffekt auch so 832 00:45:52,800 --> 00:45:56,560 n bisschen dann das ganze n bisschen näher verfolgt und oder 833 00:45:56,640 --> 00:46:00,080 weiter recherchiert und dann kam sozusagen auch n Tag später zum 834 00:46:00,080 --> 00:46:01,440 9. Dezember was du vorhin ja schon 835 00:46:01,440 --> 00:46:05,360 angesprochen hattest, ne? Und das ist halt das Spannende. 836 00:46:05,360 --> 00:46:08,000 Ne, es waren keine automatischen Scans oder irgendwelche 837 00:46:08,000 --> 00:46:12,280 Überwachungsfunktionen, sondern wirklich dieser Zufall, dass 838 00:46:12,280 --> 00:46:16,320 sich n Mitarbeiter dachte. Irgendwie traue ich dem ganzen 839 00:46:16,320 --> 00:46:19,680 hier nicht. Ja, manuelle Arbeit am Ende hat 840 00:46:19,680 --> 00:46:23,120 das aufgedeckt, also auch so n Glücksfall, dass genau das 841 00:46:23,120 --> 00:46:24,960 passiert ist. Um das überhaupt zu erkennen, ja 842 00:46:24,960 --> 00:46:27,760 ja, das ist halt sowieso finde ich oft auch irgendwie krass, 843 00:46:27,760 --> 00:46:32,400 dass gerade wenn solche Angriffe gut gefahren werden, dann werden 844 00:46:32,400 --> 00:46:35,360 sie ja auch im Endeffekt auch mit dieser Vorbereitung darauf 845 00:46:35,360 --> 00:46:38,200 ausgelegt, dass sie halt möglichst unentdeckt bleiben und 846 00:46:38,200 --> 00:46:40,560 das dann am Ende zu entdecken ist halt. 847 00:46:41,440 --> 00:46:43,520 Hat halt genau dann nichts mehr mit irgendwelchen 848 00:46:43,520 --> 00:46:46,240 Automatisierungen zu tun, weil sonst wäre es halt einfach zu 849 00:46:46,240 --> 00:46:48,520 einfach. Weißt du genau, aus diesen 850 00:46:48,520 --> 00:46:53,760 Gründen hast du dann leider eigentlich und in dem Fall Glück 851 00:46:53,760 --> 00:46:57,600 gehabt, dass es überhaupt jemand irgendwie erkannt hat, weil wenn 852 00:46:57,600 --> 00:46:59,880 man das Ganze sicher, also manchmal muss man sich auch mal 853 00:46:59,880 --> 00:47:04,800 fragen, da ist jetzt zum Beispiel ein neues Gerät, so wie 854 00:47:04,800 --> 00:47:08,720 oft fragt man sich dann am Ende wirklich ne? 855 00:47:09,360 --> 00:47:11,520 OK ist das war das jetzt irgendwie was Interessantes. 856 00:47:11,520 --> 00:47:14,160 Ist das jetzt ne Anomalie in Anführungsstrichen oder nicht? 857 00:47:14,720 --> 00:47:17,240 Weil man könnte sich auch relativ schnell hinstellen und 858 00:47:17,240 --> 00:47:20,080 sagen ja OK hat er wahrscheinlich gemacht, passt 859 00:47:20,080 --> 00:47:21,960 schon ne vielleicht nicht unbedingt. 860 00:47:21,960 --> 00:47:23,520 Bei einem größeren Unternehmen halten. 861 00:47:23,520 --> 00:47:25,000 Genau, also vielleicht nicht unbedingt bei einer 862 00:47:25,000 --> 00:47:28,080 Sicherheitsfirma, ne, wo man vielleicht noch n bisschen 863 00:47:28,720 --> 00:47:31,400 sollte man zumindest mein geschulter darauf ist, dass man 864 00:47:31,400 --> 00:47:33,400 sagt, OK, irgendwie könnte das komisch sein, ich frag mal 865 00:47:33,400 --> 00:47:36,480 lieber nach, aber. Aber so insgesamt finde ich das 866 00:47:36,480 --> 00:47:39,200 manchmal schon interessant, welche Zufälle dann dann doch 867 00:47:39,200 --> 00:47:41,760 auftreten und passieren, dass das erkannt wird. 868 00:47:41,760 --> 00:47:46,840 Ne, also diese manuellen Identifikationen nenne ich das 869 00:47:46,840 --> 00:47:52,240 jetzt mal. Ja, und jetzt ist die Frage, was 870 00:47:52,240 --> 00:47:54,960 für Auswirkungen Dimensionen hatte das um einfach mal 871 00:47:54,960 --> 00:47:59,400 wirklich verständlich zu machen, wie krass die. 872 00:47:59,480 --> 00:48:02,720 Dieser Hack war also ja, man hat es jetzt gefunden, es wurde 873 00:48:02,720 --> 00:48:06,160 aufgearbeitet, man hat versucht, das ganze Halt zu bereinigen, 874 00:48:06,160 --> 00:48:08,760 logischerweise, man denkt sich ja nicht so, ja ja gut, dann ist 875 00:48:08,880 --> 00:48:12,000 es halt so jetzt ne, also man konnte halt jetzt aktiv dagegen 876 00:48:12,000 --> 00:48:15,760 vorgehen, aber monatelang war halt wie gesagt die Tür offen 877 00:48:15,760 --> 00:48:21,360 für die Hacker und Auswirkungen kann man sagen mindestens 9 US 878 00:48:21,360 --> 00:48:25,280 Bundesbehörden waren betroffen und circa über 100 große Firmen 879 00:48:25,760 --> 00:48:30,160 nach Recherchen und. Im Prinzip ne weltweite 880 00:48:30,160 --> 00:48:33,680 Verbreitung. Ja, also man muss halt sagen, 881 00:48:33,760 --> 00:48:36,440 dass auch Europa und auch wahrscheinlich Deutschland 882 00:48:36,440 --> 00:48:38,120 betroffen war. Also wir reden hier nicht nur 883 00:48:38,120 --> 00:48:40,880 von der USA. Und über Monate sind halt 884 00:48:40,880 --> 00:48:42,560 wirklich Daten abgeflossen. E. 885 00:48:42,560 --> 00:48:45,040 Mails, Dokumente, strategische Infos, ne. 886 00:48:45,040 --> 00:48:48,560 Also gerade bei den US Behörden ist das Halt n riesen Supergau 887 00:48:48,560 --> 00:48:50,800 am Ende. Auch Microsoft bestätigte zum 888 00:48:50,800 --> 00:48:53,280 Beispiel, dass Teile des eigenen Quellcodes, dass darauf 889 00:48:53,280 --> 00:48:55,520 zugegriffen wurde. Ja, ist schon krass, ne. 890 00:48:55,520 --> 00:48:58,720 Und die Frage ist natürlich, wer war das ganze und das finde ich 891 00:48:58,720 --> 00:49:03,200 halt auch super spannend. Es gibt offiziell kein. 892 00:49:03,480 --> 00:49:09,440 Schuldigen nachweislich aber aus Quellen des US Geheimdienstes 893 00:49:09,440 --> 00:49:14,600 wurden im Prinzip der russische Geheimdienst beschuldigt, also 894 00:49:14,600 --> 00:49:17,840 auch offiziell beschuldigt. Es gab auch Sanktionen und alles 895 00:49:18,080 --> 00:49:22,400 und dahinter sollte wieder der ein oder andere hat 896 00:49:22,400 --> 00:49:25,600 wahrscheinlich schon mal davon gehört, wieder eine. 897 00:49:26,080 --> 00:49:29,200 Regierungsgestützte Organisation dahinter stecken, und zwar 898 00:49:29,200 --> 00:49:33,760 Cosybär und das macht die Sache halt noch viel brisanter und 899 00:49:33,760 --> 00:49:37,040 heftiger. Wer sich fragt, was ist Cosybär, 900 00:49:37,040 --> 00:49:41,280 da können wir beide, wir haben sie beide gesehen, wärmstens die 901 00:49:41,280 --> 00:49:45,280 ARD Doku Putin sparen empfehlen, also Liebe zuhören, Liebe 902 00:49:45,280 --> 00:49:47,120 zuhören, falls du sie nicht kennst, schau sie dir mal an, 903 00:49:47,120 --> 00:49:49,760 ist ne sehr sehr gut gemachte Doku und da geht es halt im 904 00:49:49,760 --> 00:49:53,920 Prinzip um offizielle Regierungshackerteams. 905 00:49:55,000 --> 00:49:56,960 Aus Russland. Und die wurden halt auch 906 00:49:56,960 --> 00:50:00,720 beschuldigt, was natürlich auch dafür spricht, dass es halt so 907 00:50:00,720 --> 00:50:02,960 hochprofessionell und geduldig ablief. 908 00:50:02,960 --> 00:50:05,840 Ja, also das, wir hatten ja gesagt, das riecht ja schon 909 00:50:05,840 --> 00:50:08,120 danach, dass da ne professionelle Organisation 910 00:50:08,120 --> 00:50:12,880 dahinter ist. Und Fakt ist, dass der Umfang, 911 00:50:12,880 --> 00:50:17,920 die Ressourcen und auch diese Präzision in diesem Hack ja auch 912 00:50:17,920 --> 00:50:20,640 einfach so den das Maß aller Dinge. 913 00:50:21,200 --> 00:50:24,200 Drängen würde, wenn das jetzt so private Akteure gewesen wären. 914 00:50:24,200 --> 00:50:26,480 Das hätte man, so glaub ich, auch gar nicht umsetzen können. 915 00:50:26,480 --> 00:50:29,040 Allein schon dieser Geduldsfaktor ne hatten wir ja 916 00:50:29,040 --> 00:50:32,000 gesagt, es gibt so n paar Hacks in der Geschichte, wo sag ich 917 00:50:32,000 --> 00:50:34,640 mal so Kids das gemacht haben, aber die haben ja völlig die 918 00:50:34,640 --> 00:50:37,040 Nerven verloren dabei und sind dann gleich überall 919 00:50:37,040 --> 00:50:39,880 hingeschoben, die hatten einfach nicht die ruhigen Hände für sein 920 00:50:39,880 --> 00:50:45,520 Manöver, ganz genau. Ja, und ganz klar war ja auch 921 00:50:45,520 --> 00:50:48,560 Datenspionage das Ziel. Es gab keine Geldforderung, es 922 00:50:48,560 --> 00:50:51,600 wurde nichts zerstört, es war einfach nur, wir wollen lange 923 00:50:51,600 --> 00:50:53,920 unbemerkt bleiben und spionieren am Ende. 924 00:50:54,000 --> 00:50:59,840 Ja, also da, also gerade wenn du in sagen wir mal regierungs 925 00:51:00,720 --> 00:51:05,080 Institute irgendwie dich rein hackst oder in große große 926 00:51:05,080 --> 00:51:10,800 Firmen sei mal dahingestellt ne, ob jetzt sozusagen es dann 927 00:51:10,800 --> 00:51:15,120 wirklich die. Diese, dieser, diese cosy Bär, 928 00:51:15,120 --> 00:51:19,680 wie nennt man das? Vereinigung Organisation war 929 00:51:19,680 --> 00:51:23,760 dann am Ende oder irgendjemand anders, man weiß es halt nicht 930 00:51:23,760 --> 00:51:25,880 hundertprozentig genau oder es wird halt vielleicht nicht 931 00:51:25,880 --> 00:51:31,440 hundertprozentig offengelegt, aber am Ende denk ich mir so, 932 00:51:31,440 --> 00:51:34,560 welche Privatperson beispielsweise würde sich denn 933 00:51:34,560 --> 00:51:36,320 zum Beispiel da einhacken wollen? 934 00:51:36,320 --> 00:51:39,040 Also erstens hast du richtig große Probleme, wenn du das 935 00:51:39,040 --> 00:51:42,120 schaffst Punkt 1 und Punkt 2 ist. 936 00:51:42,560 --> 00:51:44,280 Welche Daten interessieren einen denn da? 937 00:51:44,280 --> 00:51:51,320 Also ich sag mal die wie sagt man also dieses Risiko ne, dass 938 00:51:51,320 --> 00:51:53,520 du erkannt wirst und was hinterher ich sag mal mit dir 939 00:51:53,520 --> 00:51:56,000 passieren würde wenn du das schaffst. 940 00:51:56,400 --> 00:51:59,520 Ich weiß nicht ob sich das lohnt da an Daten ranzukommen nur weil 941 00:51:59,520 --> 00:52:03,120 es irgendwie witzig wäre ne deswegen spricht das ja schon 942 00:52:03,120 --> 00:52:08,800 etwas dafür, also da wurde ja teilweise sogar auch ich glaube, 943 00:52:09,440 --> 00:52:13,200 dass. Wie nennt sich das nukleare? 944 00:52:13,520 --> 00:52:17,520 Also ich sag mal ein eine Abteilung für die nukleare 945 00:52:17,520 --> 00:52:21,400 Sicherheit und auch die ganze Nuklearkraft. 946 00:52:21,400 --> 00:52:24,880 Nenn ich das jetzt mal der USA sogar angezapft, wo man sich 947 00:52:24,880 --> 00:52:28,160 dann auch denkt, so OK krasse Scheiße, da ist n Brett. 948 00:52:28,160 --> 00:52:31,360 Ja das ist auf jeden Fall. Ich hab auch ne ich hab auch ne 949 00:52:31,360 --> 00:52:34,800 sehr coole Analogie gelesen um das Ausmaß. 950 00:52:35,800 --> 00:52:38,160 Mal begreiflich zu machen, wenn man sich jetzt einfach 951 00:52:38,160 --> 00:52:42,080 vorstellt, du hast so n weit verbreitetes Medikament, was so 952 00:52:42,080 --> 00:52:45,360 sehr viel in der Bevölkerung genommen wird, ne, dann war 953 00:52:45,360 --> 00:52:50,120 dieser Angriff im Prinzip nicht das Glas Wasser zu vergiften von 954 00:52:50,120 --> 00:52:52,440 demjenigen, der gerade das Medikament einnimmt, sondern 955 00:52:52,440 --> 00:52:55,920 diese ganze Medikamentenfabrik wurde vergiftet, ne und alle 956 00:52:55,920 --> 00:52:58,960 Patienten oder Nutzer dieser Medikamente. 957 00:52:59,240 --> 00:53:02,080 Haben dann halt Schadstoff unbemerkt eingenommen, aber du 958 00:53:02,080 --> 00:53:04,560 kriegst dann halt wie gesagt Deine Tabletten, nimmst die 959 00:53:04,560 --> 00:53:08,400 Wasser hinterher und fertig und das zeigt einfach dieses diesen 960 00:53:08,400 --> 00:53:11,520 krassen Impact auf diese ganze Sache. 961 00:53:11,520 --> 00:53:14,080 Was für Möglichkeiten dadurch entstanden sind fand ich, war 962 00:53:14,080 --> 00:53:16,640 halt auch eine sehr coole Analogie, wollte ich einfach 963 00:53:16,640 --> 00:53:20,760 noch mal anbringen an der Stelle und die Bereinigung wurde halt 964 00:53:20,760 --> 00:53:25,040 auch als äußerst schwierig eingestuft, das heißt die Cyber 965 00:53:25,040 --> 00:53:28,240 Security and Infrastructure Security Agency. 966 00:53:28,960 --> 00:53:33,280 Hat gesagt, eine vollständige Entfernung sei nahezu unmöglich 967 00:53:33,520 --> 00:53:35,920 und das ist krass. Das ist halt einfach krass. 968 00:53:35,920 --> 00:53:37,520 Ja, ich mein es. Irgendwie ist es ja auch 969 00:53:37,520 --> 00:53:40,160 logisch, weil wenn du irgendwie ein System hast. 970 00:53:40,160 --> 00:53:45,400 Also ich hatte irgendwann mal einen bekannten, sag ich jetzt 971 00:53:45,400 --> 00:53:47,920 mal, der hatte wohl auch irgendwie einen Rechner, der 972 00:53:47,920 --> 00:53:52,160 irgendwie indiziert war mit irgendwas ne und ich hab. 973 00:53:52,520 --> 00:53:55,440 Mich dann gefragt okay würde ich selber diesen Rechner 974 00:53:55,440 --> 00:53:58,080 irgendwann, selbst wenn ich ihn zurücksetze noch mal verwenden 975 00:53:58,240 --> 00:54:01,680 und irgendwie war meine Antwort würde ich nicht machen, weil du 976 00:54:01,680 --> 00:54:05,600 irgendwie halt eigentlich gar nicht in der Lage bist so 977 00:54:05,600 --> 00:54:09,440 richtig zu verifizieren ist da jetzt noch irgendwo was drauf 978 00:54:09,440 --> 00:54:11,040 oder nicht? Weil manchmal kannst du gar 979 00:54:11,040 --> 00:54:15,200 nicht so blöd denken, dass vielleicht noch irgendwo wieder 980 00:54:15,200 --> 00:54:19,360 eine Vector eingebaut wurde und. Und das finde ich manchmal schon 981 00:54:19,360 --> 00:54:21,440 echt krass. Das heißt, wenn du sagst, dein 982 00:54:21,440 --> 00:54:23,840 System wurde wirklich infiltriert oder n Rechner ne 983 00:54:23,840 --> 00:54:26,960 Recheneinheit, da läuft irgendwie Schadcode drauf, du 984 00:54:26,960 --> 00:54:30,560 hast irgendwie n Trojaner da drauf, kann es natürlich sein, 985 00:54:30,560 --> 00:54:34,160 dass du es schaffst das komplett einzudämmen und komplett zu 986 00:54:34,160 --> 00:54:36,840 entfernen, aber es kann halt auch einfach sein, dass nicht 987 00:54:36,840 --> 00:54:40,160 und dann ist halt immer wieder die Frage OK, wenn ich das jetzt 988 00:54:40,160 --> 00:54:43,680 eindämme und ich schaffe es mit einer Wahrscheinlichkeit zu. 989 00:54:44,120 --> 00:54:47,120 95%, aber du hast vielleicht irgendwelche nuklearen 990 00:54:47,120 --> 00:54:49,600 Abschusscodes da drauf. Ich übertreib jetzt mal extra 991 00:54:49,600 --> 00:54:52,200 ne, ist es da eigentlich vielleicht sinnvoller sich 992 00:54:52,200 --> 00:54:53,680 irgendwie n neues System zu kaufen? 993 00:54:54,880 --> 00:54:57,480 Aber da ist halt die Frage, wie gut man das eindämmen kann. 994 00:54:57,480 --> 00:55:01,200 Ne, also klar, wenn es jetzt ein sag ich mal ein Desktop PC ist, 995 00:55:01,200 --> 00:55:02,960 dann setzt du den neu auf und fertig. 996 00:55:03,120 --> 00:55:05,760 Aber wenn es schon wirklich in deinem Netzwerk war und alles 997 00:55:05,760 --> 00:55:07,920 dann weißt du ja gar nicht wo noch irgendwo was 998 00:55:07,920 --> 00:55:08,960 zurückgeblieben ist. Aber. 999 00:55:09,200 --> 00:55:10,520 Weißt du, was ich mich gefragt hab? 1000 00:55:11,280 --> 00:55:13,480 Ich hab mir gedacht, OK, pass auf, wenn du dir jetzt diese 1001 00:55:14,000 --> 00:55:18,600 diese Geschichte anhörst und sagst OK pass auf, du hast n 1002 00:55:18,600 --> 00:55:22,200 Software Fail sagst du Big Software Fails, aber was ich 1003 00:55:22,200 --> 00:55:26,800 jetzt gerade gehört hab ist ja eigentlich ne reine Hacker Story 1004 00:55:27,680 --> 00:55:31,160 so ich meine gut wenn du gehackt wirst hast du wahrscheinlich 1005 00:55:31,160 --> 00:55:34,000 immer irgendwie n kleines Problem mit deiner Software mal 1006 00:55:34,000 --> 00:55:37,280 davon ab aber und wir könnten jetzt mal fragen was. 1007 00:55:37,520 --> 00:55:40,320 Warum gibt es denn irgendwo? Also gibt es wirklich irgendwo 1008 00:55:40,320 --> 00:55:44,400 Fails in dieser Story, wo man sagen kann, okay, da sind 1009 00:55:44,400 --> 00:55:47,360 wirklich grobe Patzer passiert, dass es überhaupt so einfach 1010 00:55:47,360 --> 00:55:50,480 war, das Ganze zu hacken, oder ist es vielleicht einfach nur 1011 00:55:50,480 --> 00:55:55,040 so, dass die, die das gemacht haben, super gut waren und man 1012 00:55:55,040 --> 00:55:57,280 es eigentlich hätte gar nicht großartig verhindern können? 1013 00:55:59,120 --> 00:56:02,320 Genau, also lass uns mal zu dem Punkt kommen, was da jetzt genau 1014 00:56:02,320 --> 00:56:04,440 schief gegangen ist. Was wie du meintest der Fail ist 1015 00:56:04,440 --> 00:56:09,040 und was man daraus lernen kann. Dass er so die Take Home Message 1016 00:56:09,040 --> 00:56:13,760 dieser Folge, sag ich mal, im Prinzip lag der Fail in der 1017 00:56:13,760 --> 00:56:18,080 kompletten Sicherheitskultur von solarwinds, das muss man einfach 1018 00:56:18,080 --> 00:56:21,840 so sagen und da sind so im Nachhinein, also ich sag mal bei 1019 00:56:21,840 --> 00:56:24,760 so einem krassen Fall, wenn so US Behörden und so betroffen 1020 00:56:24,760 --> 00:56:28,160 sind, dann wird das natürlich auch richtig aufgerollt, das 1021 00:56:28,160 --> 00:56:30,200 heißt, da ging Solarwind natürlich auch ordentlich an 1022 00:56:30,200 --> 00:56:32,160 Kragen, muss man einfach so sagen und da sind Sachen 1023 00:56:32,160 --> 00:56:34,240 rausgekommen, wo man sich einfach n Kopf fest und sich 1024 00:56:34,240 --> 00:56:38,080 denkt. Was zur Hölle ist bei euch los? 1025 00:56:38,640 --> 00:56:43,280 Bestes Beispiel, es wurde festgestellt, dass es ein 1026 00:56:43,280 --> 00:56:48,760 öffentlich bekanntes Passwort für den Update Server gab und es 1027 00:56:48,760 --> 00:56:52,440 ist wirklich schehhaft das Passwort war Solar wins 103 und. 1028 00:56:52,680 --> 00:56:56,960 20 ich hätte gedacht 1234. Und das war wahrscheinlich die 1029 00:56:56,960 --> 00:56:59,120 Security dahinter, dass sie die 4 weggelassen haben. 1030 00:56:59,280 --> 00:57:01,680 Aber da denkst du dir halt schon so what? 1031 00:57:02,320 --> 00:57:03,840 Als. Also wirklich so der erste 1032 00:57:03,840 --> 00:57:07,360 Moment, wo dir denkst was, aber es wird noch besser. 1033 00:57:08,240 --> 00:57:12,400 Angeblich wurde dieses dieses Passwort von einem Praktikanten 1034 00:57:12,400 --> 00:57:17,120 vergeben, der es öffentlich auf github committed hatte, das ist 1035 00:57:17,120 --> 00:57:20,200 schon der nächste watch Moment. Das kannst du natürlich jetzt 1036 00:57:20,200 --> 00:57:23,600 nicht machen. Das ist, das ist halt so krass. 1037 00:57:23,600 --> 00:57:26,600 Und dann wurde natürlich erst das Ganze durch Druck der 1038 00:57:26,600 --> 00:57:29,600 Ermittler eingeräumt. So ne also solarwinds hat 1039 00:57:29,600 --> 00:57:31,840 versucht das zu vertuschen, weil die haben das natürlich dann 1040 00:57:31,840 --> 00:57:34,840 selbst für sich in. Intern aufgeräumt gehe ich ganz 1041 00:57:34,840 --> 00:57:37,880 stark von Aus, haben das gesehen und haben sich dann noch so 1042 00:57:37,880 --> 00:57:39,200 gedacht. Oh mein Gott, wenn das 1043 00:57:39,200 --> 00:57:41,920 rauskommt, aber durch den Druck der Ermittler, wie gesagt US 1044 00:57:41,920 --> 00:57:46,480 Behörden involviert ist das halt rausgekommen ja und man hat sich 1045 00:57:46,480 --> 00:57:48,520 dann noch versucht zu verteidigen, so was heißt 1046 00:57:48,520 --> 00:57:50,920 verteidigen, aber man hat halt gesagt ja aber gut der Account 1047 00:57:50,920 --> 00:57:54,920 war jetzt nicht maßgeblich involviert oder hatte irgendeine 1048 00:57:54,920 --> 00:57:58,560 direkte Verbindung, aber trotzdem ist das einfach schon n 1049 00:57:58,560 --> 00:58:00,720 massives Sicherheitsversagen gewesen. 1050 00:58:01,960 --> 00:58:06,560 Dass im Prinzip Keys ja also wirklich Passwörter öffentlich 1051 00:58:06,560 --> 00:58:08,800 zugänglich waren, ja, das spricht ja halt dafür, dass du 1052 00:58:08,800 --> 00:58:11,760 auf der einen Seite, wenn du n solarwind 123 Passwort angibst. 1053 00:58:13,360 --> 00:58:16,120 Spricht das ja zum einen dafür, dass es irgendwie gar keine 1054 00:58:16,120 --> 00:58:19,400 Passwort policy gab, weil ich weiß nicht. 1055 00:58:19,400 --> 00:58:21,320 Also selbst wenn du, dass das erlaubt ist. 1056 00:58:21,360 --> 00:58:23,840 Ja, selbst wenn du irgendwo n Passwort angibst ne oder du 1057 00:58:23,840 --> 00:58:26,880 musst doch n Passwort machen und das ist ja meistens so, es ist 1058 00:58:26,880 --> 00:58:29,040 rot. Also schwach mittelstark. 1059 00:58:29,360 --> 00:58:31,600 Und wenn ich das allein schon eingebe, in irgend so einer 1060 00:58:31,600 --> 00:58:35,480 Maske, denke ich mir allein schon, ja komm, also da will ich 1061 00:58:35,480 --> 00:58:38,240 auch ein starkes Passwort haben, so nach dem Motto, Weißt du und 1062 00:58:38,720 --> 00:58:40,880 gerade bei sowas musst du irgendwie eine Passwort policy 1063 00:58:40,880 --> 00:58:44,000 haben, wo du sagst okay das darf nicht einfach funktionieren. 1064 00:58:44,000 --> 00:58:48,080 Ja genauso mussten ja offensichtlich wurden entweder 1065 00:58:48,080 --> 00:58:51,120 schlechte oder keine Code Reviews durchgeführt, weil 1066 00:58:51,120 --> 00:58:53,920 irgendjemand hat ja oder dieser Praktikant hat ja offensichtlich 1067 00:58:53,920 --> 00:58:57,200 einfach dieses Passwort committed öffentlich ins Repo. 1068 00:58:57,640 --> 00:59:01,000 Übrigens hier auch noch mal, das macht man nicht. 1069 00:59:02,720 --> 00:59:05,360 Das. Macht man nicht und ich meine 1070 00:59:05,520 --> 00:59:08,240 entweder es gab kein Code Review, das heißt N Praktikant 1071 00:59:08,240 --> 00:59:14,880 hat einfach sensible Daten in die Cloud gepackt, entweder das 1072 00:59:14,880 --> 00:59:19,360 oder irgendwer anders hat es mit ihm gereviewt und das ist auch 1073 00:59:19,360 --> 00:59:21,560 nicht aufgefallen und das muss dann wiederum n schlechtes Code 1074 00:59:21,560 --> 00:59:24,680 Review gewesen sein. Gute Code Reviews haben übrigens 1075 00:59:24,680 --> 00:59:26,280 mal folgen gemacht, wollte ich nur sagen. 1076 00:59:26,400 --> 00:59:30,880 Genau. Wichtig ein zweiter Punkt ist 1077 00:59:30,880 --> 00:59:33,160 natürlich das fehlende Zero Trust denken. 1078 00:59:33,160 --> 00:59:36,400 Ne, also wir haben ja dieses königssiegel Beispiel gebracht, 1079 00:59:36,400 --> 00:59:38,920 das hat es eigentlich auch gut auf den Punkt gebracht, nur weil 1080 00:59:38,920 --> 00:59:41,160 da ein Siegel drauf ist, muss man ja nicht blind drauf 1081 00:59:41,160 --> 00:59:45,120 vertrauen, was in diesem Brief steht, ne, das heißt digitale 1082 00:59:45,120 --> 00:59:47,920 Signaturen reichen einfach nicht als Sicherheitsgarantie aus. 1083 00:59:47,920 --> 00:59:52,000 Ja es gilt Halt im. Im Prinzip wurde das Vertrauen 1084 00:59:52,000 --> 00:59:54,240 ja ausgenutzt. Das muss man einfach so sagen 1085 00:59:54,320 --> 00:59:58,600 und deswegen ist dieses Never Trust always Verify nötig, ne 1086 00:59:58,600 --> 01:00:02,880 also diese Zero trust Denkweise zu sagen, OK. 1087 01:00:03,640 --> 01:00:06,000 Ich weiß, es kommt von offizieller Quelle, aber ich 1088 01:00:06,000 --> 01:00:07,760 vertraue dir nicht. Ich muss es selbst noch mal 1089 01:00:07,760 --> 01:00:11,360 verifizieren, ob das für mich in Ordnung ist, was da jetzt kommt 1090 01:00:11,840 --> 01:00:16,120 und diese Denkweise ist halt enorm wichtig, gerade bei so 1091 01:00:16,120 --> 01:00:19,440 kritischen Systemen in. Bezüglich Updates definitiv. 1092 01:00:19,520 --> 01:00:21,480 Ich mein du hattest vorhin zum Beispiel auch noch mal als 1093 01:00:21,480 --> 01:00:24,000 dritten Punkt noch mal genannt Monitoring angesprochen. 1094 01:00:24,440 --> 01:00:27,280 Das war auch, würde ich sagen, schwach, jetzt aber nicht auf 1095 01:00:27,280 --> 01:00:31,520 der Seite unbedingt von dem Auslöser solarwind sozusagen, 1096 01:00:31,600 --> 01:00:33,880 sondern halt eben auch von den einzelnen Organisationen. 1097 01:00:33,880 --> 01:00:36,640 Aber es ist ja trotzdem irgendwo ein Learning oder ein etwas 1098 01:00:36,640 --> 01:00:40,400 Wichtiges, was was, was definitiv Fakt ist, ist, man 1099 01:00:40,400 --> 01:00:43,760 braucht halt eben oder man sollte immer gute Logs haben, 1100 01:00:44,720 --> 01:00:47,200 weil im Endeffekt kannst du dadurch halt auch besser 1101 01:00:47,200 --> 01:00:49,520 nachvollziehen, ob beispielsweise irgendwie Daten 1102 01:00:49,520 --> 01:00:53,280 abfließen. Oder ob irgendwas komisches bei 1103 01:00:53,280 --> 01:00:55,840 dir passiert, was eigentlich nicht hätte passieren sollen. 1104 01:00:55,840 --> 01:00:59,160 Also irgendwelche sagen wir mal keine Ahnung, anstieg von 1105 01:00:59,160 --> 01:01:03,320 irgendwelchen Prozessen, CP US oder was auch immer. 1106 01:01:03,320 --> 01:01:05,640 Also du musst halt irgendwie überwachen was passiert in 1107 01:01:05,640 --> 01:01:10,720 deinem System und treten ja Anomalien auf und das war wohl 1108 01:01:10,720 --> 01:01:13,080 dann offensichtlich auch von vielen Unternehmen, 1109 01:01:13,080 --> 01:01:17,240 Organisationen, die halt eben solarwinds verwendet haben, 1110 01:01:17,240 --> 01:01:19,680 wahrscheinlich auch wegen diesem Zero Trust denken. 1111 01:01:20,800 --> 01:01:23,760 Oder dem fehlenden Zero Trust denken halt eben gesagt haben 1112 01:01:23,760 --> 01:01:26,800 OK, passt schon ne. Ja, was hilft halt. 1113 01:01:27,120 --> 01:01:30,720 Und man muss natürlich sagen, einfach mehr die 1114 01:01:30,720 --> 01:01:33,240 Sicherheitskultur leben und auch mehr Verantwortung übernehmen, 1115 01:01:33,240 --> 01:01:38,160 ne, weil es gab halt auch interne Hinweise, die quasi von 1116 01:01:38,160 --> 01:01:41,400 Solar wins ignoriert wurden, weil es wurde auch irgendwie 1117 01:01:41,400 --> 01:01:46,480 festgestellt, dass um 2019, also davor auch schon Forscher 1118 01:01:46,480 --> 01:01:49,200 warnten, dass das Passwort öffentlich ist. 1119 01:01:49,600 --> 01:01:52,160 Ja, also es wurde ja gesehen und dann so. 1120 01:01:52,160 --> 01:01:56,560 Ja, wie heißt aber OK, also kommt ja keiner ran ans Repo so 1121 01:01:56,560 --> 01:02:01,440 ne und das ist halt natürlich überhaupt nicht die richtige 1122 01:02:01,440 --> 01:02:04,720 Denkweise, also lass uns mal zum Abschluss n Fazit ziehen, wir 1123 01:02:04,720 --> 01:02:07,280 sind auch schon wieder ziemlich fortgeschritten in der in der 1124 01:02:07,280 --> 01:02:09,840 Zeit, aber man muss einfach sagen es ist auch n großer Fall 1125 01:02:10,480 --> 01:02:14,560 definitiv also im Prinzip. Gilt Solar wins dieser ganze 1126 01:02:14,560 --> 01:02:17,760 Hack und die ganze Geschichte da drum als absoluter Weckruf in 1127 01:02:17,760 --> 01:02:21,400 der Branche muss man sagen, also wenn man darüber liest, merkt 1128 01:02:21,400 --> 01:02:25,360 man auch schnell, dass das sehr sehr viel angestoßen hat im 1129 01:02:25,360 --> 01:02:29,760 Nachhinein Richtung mehr Security ja gerade im Dev ops 1130 01:02:29,760 --> 01:02:34,080 Bereich, weil es halt einfach gezeigt hat wie verwundbar 1131 01:02:34,080 --> 01:02:37,160 selbstvertrauenswürdige it Systeme sein können es. 1132 01:02:37,840 --> 01:02:40,880 Ist halt einfach auch wichtig, sagen wir mal diese Supply. 1133 01:02:41,400 --> 01:02:45,760 Chain Security ernst zu nehmen und darauf zu gucken, OK, was 1134 01:02:45,840 --> 01:02:49,200 passiert hier eigentlich genau? Woher kommt was ne? 1135 01:02:49,200 --> 01:02:51,280 Also wenn wir jetzt noch mal auf die Analogie mit dem Handwerker 1136 01:02:51,280 --> 01:02:57,360 gehen, ist es natürlich gut zu sagen, OK ne die elektrofirma 1137 01:02:57,360 --> 01:03:00,960 macht ne gute. Macht n guten Eindruck, aber 1138 01:03:00,960 --> 01:03:03,520 vielleicht noch mal wirklich zu verifizieren, zu überprüfen und 1139 01:03:03,520 --> 01:03:06,640 vielleicht mit bestimmten Mechanismen zu gucken, ob es 1140 01:03:06,640 --> 01:03:09,320 denn wirklich eine vertrauenswürdige Firma ist und 1141 01:03:09,320 --> 01:03:11,560 sie nicht einfach nur den Anschein macht, weil es keine 1142 01:03:11,560 --> 01:03:13,760 Ahnung n Unternehmen ist. Also nach dem Motto Weißt du, 1143 01:03:14,720 --> 01:03:19,680 sondern halt wirklich eben genau dieses Supply dieser Supply 1144 01:03:19,680 --> 01:03:23,520 Chain Security ne hohe Priorität zuzuweisen und zu sagen, OK, wir 1145 01:03:23,520 --> 01:03:26,000 müssen uns darauf konzentrieren, das ist wichtig. 1146 01:03:26,360 --> 01:03:29,680 Wir arbeiten hier mit mehreren Sachen zusammen und die müssen, 1147 01:03:29,680 --> 01:03:32,640 wenn wir gerade es kommt, natürlich auch immer n bisschen 1148 01:03:32,640 --> 01:03:35,520 auf den Fokus drauf an. Aber gerade wenn du so ein 1149 01:03:35,520 --> 01:03:39,720 System hast, was als im Admin Modus läuft, was Sachen 1150 01:03:39,720 --> 01:03:43,880 überwacht, was was ne hohe sagen wir mal nen hohen Impact 1151 01:03:43,880 --> 01:03:47,280 generieren kann, dann ist es halt immer wichtig zu sagen OK 1152 01:03:47,280 --> 01:03:50,160 was könnte denn passieren und dann halt eben genau zu gucken 1153 01:03:50,800 --> 01:03:53,280 wie kann man denn sicherstellen, dass alles safe ist? 1154 01:03:54,720 --> 01:03:56,480 Ja. Absolut. 1155 01:03:57,720 --> 01:04:00,520 Man sieht ja an dem Beispiel, dass eine einzige Lücke in der 1156 01:04:00,520 --> 01:04:02,720 Lieferkette reicht, um weltweit Organisationen zu 1157 01:04:02,720 --> 01:04:06,320 kompromittieren, und das ist halt einfach ein Zeichen 1158 01:04:06,320 --> 01:04:08,840 Warnzeichen, wie wichtig das Thema ist. 1159 01:04:08,840 --> 01:04:13,560 Ne, also man muss einfach sagen als Entwickler auch ja gerade 1160 01:04:13,560 --> 01:04:16,040 jetzt so unsere Rollen oder vielleicht auch von dir, liebe 1161 01:04:16,040 --> 01:04:18,600 Zuhörer, liebe Zuhörer, es geht nicht nur darum bei. 1162 01:04:18,680 --> 01:04:23,120 Bugs zu finden und Bugs Fixes durchzuführen, sondern halt 1163 01:04:23,120 --> 01:04:26,280 wirklich Security by Design zu betreiben und auch in die 1164 01:04:26,280 --> 01:04:29,680 Richtung zu denken, dass man sich immer überlegt, wie kann 1165 01:04:29,680 --> 01:04:34,560 ich mein System wirklich sicher gestalten, denn Fakt ist, dieser 1166 01:04:34,560 --> 01:04:37,680 Hack ist so als Cyber Thriller in die Geschichte eingegangen, 1167 01:04:37,680 --> 01:04:41,160 leider ohne Happy End muss man sagen, weil es ist einfach nicht 1168 01:04:41,160 --> 01:04:43,120 klar was wirklich jetzt passiert ist. 1169 01:04:43,120 --> 01:04:46,000 Man weiß nur es wird eine Menge passiert sein und man wird es 1170 01:04:46,000 --> 01:04:48,720 nie richtig aufarbeiten können. Deswegen hat es so diesen 1171 01:04:48,720 --> 01:04:51,600 Thriller Charakter, weil man hat auch keinen Schuldigen irgendwie 1172 01:04:51,600 --> 01:04:54,800 am Ende so wirklich gefunden. Wie gesagt, es gab die 1173 01:04:54,800 --> 01:04:56,800 Anschuldigungen, es gab Sanktionen, man war sich 1174 01:04:56,800 --> 01:05:00,080 sozusagen sicher, aber von offizieller Seite gibt es keinen 1175 01:05:00,080 --> 01:05:04,320 direkten Schuldigen am Ende und damit würde ich sagen, können 1176 01:05:04,320 --> 01:05:08,640 wir das Thema auch beenden, hat mir mega Spaß gemacht, Fabi. 1177 01:05:08,800 --> 01:05:13,120 Ja, auf jeden Fall ist n sehr interessanter Fall und ich 1178 01:05:13,200 --> 01:05:15,440 hoffe, wir konnten alle ein bisschen was daraus lernen 1179 01:05:15,440 --> 01:05:19,560 beziehungsweise? Prophylaktisch auch für unsere 1180 01:05:19,560 --> 01:05:23,080 eigene Software zu gucken, OK, sowas sollte nicht passieren. 1181 01:05:23,080 --> 01:05:27,480 Wir müssen auf jeden Fall Fokus auf Security haben und ich würd 1182 01:05:27,480 --> 01:05:29,680 sagen Liebe zürer lieber zürer, wenn du auch schon mal 1183 01:05:29,680 --> 01:05:34,400 irgendwie, ich sag mal an bestimmte Punkte im Security 1184 01:05:34,400 --> 01:05:38,320 Bereich gekommen bist wo du sagst ja da hab ich auch schon, 1185 01:05:38,480 --> 01:05:40,560 da haben wir vielleicht bestimmte Dinge die wir 1186 01:05:40,560 --> 01:05:45,040 präventiv unternehmen oder? Da hatte ich schon mal einen 1187 01:05:45,040 --> 01:05:46,920 Fall, wo es fast schief gegangen ist. 1188 01:05:47,200 --> 01:05:51,120 Und das ist irgendwie spannend, wo du sagst, dass das das wär 1189 01:05:51,120 --> 01:05:54,720 mal eine Erwähnung wert, dann schreib uns auf jeden Fall gerne 1190 01:05:54,720 --> 01:05:59,760 auf irgendeiner Plattform Instagram, Discord oder auch die 1191 01:05:59,760 --> 01:06:02,960 Podcast Mail findest du alles in den Shownotes und. 1192 01:06:03,720 --> 01:06:06,720 Empfiehl auf jeden Fall den Podcast auch gerne weiter. 2. 1193 01:06:06,720 --> 01:06:09,800 Freunden, Freundinnen, es würde uns mega helfen, lass eine 1194 01:06:09,800 --> 01:06:15,040 Bewertung da und ansonsten also falls jetzt sagst Oh die haben 1195 01:06:15,040 --> 01:06:17,720 wir jetzt eine Stunde meiner Zeit geklaut, aber es war eine 1196 01:06:17,720 --> 01:06:20,560 coole Stunde, den würde ich gerne was Gutes tun, weil das 1197 01:06:20,560 --> 01:06:23,000 war echt eine tolle Sache, dann findest du auch einen kleinen 1198 01:06:23,000 --> 01:06:26,640 Spenden Link in den Shownotes und ansonsten hören wir uns aber 1199 01:06:26,640 --> 01:06:28,640 beim nächsten Mal wieder Vergesst nicht die Glocke an zu 1200 01:06:28,640 --> 01:06:32,400 machen um die nächste Folge nicht zu verpassen und dann ja. 1201 01:06:32,680 --> 01:06:35,760 Macht es gut soweit. Eure Coding war jetzt gemeinsam 1202 01:06:35,800 --> 01:06:36,040 besser.