Erstellt am: 29. 11. 2012 - 11:00 Uhr
"Sim City" für die Cyberwars der USA
"Teilnehmer, die Level drei durchspielen, erhalten dafür 12 CMU-Credits", so heißt es in der Ausschreibung der "NetWars Tournaments", die ab 12. Dezember in Washington über die Bühne gehen.
Veranstalter ist das SANS Institute, eine seit 1989 bestehende akademische Forschungs- und Ausbildungsinstitution für Netzwerksicherheit.
Im dritten Level muss eine "entmilitarisierte Zone" erfolgreich angegriffen werden, um an die 12 Bonuspunkte zu kommen. Das gilt für Zivilisten, Militärs könnten sich den Abschluss von Level drei zusätzlich auf ihre Ausbildungszertifikate anrechnen lassen, heißt es in den Teilnahmebedingungen.
"Gamification"
Mit "entmilitarisierter Zone" ist denn auch der Bereich zwischen Firewalls und einem internen Netz gemeint, in Level Nummer vier steht "Eindringen in ein Intranet" als Aufgabe an. NetWars ist ein Ausbildungsprogramm, das Mittel der "Gamification" einsetzt, um den angepeilten Lernerfolg zu erreichen.
Trainiert wird digitale Forensik, Früherkennung von Angriffen auf das Netzwerk, Analyse von Schadsoftware und was eben sonst noch zum Handwerk der Netzwerksicherheit gehört.
In Wien startet heute die die internationale Sicherheitskonferenz DeepSec. Dort stehen allein zum Thema Cyberwar fünf Vorträge auf dem Programm.
"Sim City" für Cyberkrieger
Eine Weiterentwicklung dieses "Spiels" zur Verwendung durch die Cybersecurity-Abteilungen der US Airforce wurde am Dienstag vorgestellt. "CyberCity" ist die Simulation eines Städtchens mit 15.000 Einwohnern, samt Stromversorgungsnetzen, Kraftwerk, Verwaltung, Banken, Spitälern, Unternehmen usw.
Die Kommunikation in dieser "Sim City" muss gegen Cyberangriffe aller Art von außen abgesichert werden, dazu kommen Gegenattacken, um die angreifenden Rechner auszuschalten oder zu übernehmen.
Seit mehr als einem Jahrzehnt sei eine solche kostengünstige Möglichkeit Cyber-Security für Fortgeschrittene zu trainieren, für Militärs und Industrie der Heilige Gral gewesen, schreibt Alan Paller, Direktor des SANS Institute. Einen solchen habe man nun zusammen mit der Air Force entwickelt. Und das zu Kosten, die weniger als zehn Prozent der "National Cyber Test Range"-Projekts ausmachten, fügte Paller noch hinzu.
Cyber-Schießplätze
Für dieses ebenfalls neue Militärprojekt sind vorläufig einmal 80 Millionen Dollar budgetiert, die an Lockheed Martin gehen.
Die spitze Bemerkung Pallers in einer "Editorial Note" zum aktuellen SANS-Newsletter ist auf den aktuellen, strikten Sparkurs bei den Militärbudgets gemünzt.
Der erste Prototyp dieser "Test Range" wurde gerade einmal vor 14 Tagen von der Defense Adavanced Research Agency ausgeliefert. Dabei handle es sich um eine "abgesicherte Einrichtung, die komplexe militärische und zivile Netzwerke aller Art ad hoc simulieren könne", heißt es offiziell über das Projekt. Damit werde eine neue Dimension der Cyberdomain eröffnet, denn nun sei es auch möglich, globale Kommunikationsnetzwerke realistisch zu emulieren.
Diese "Cyber-Schießplätze" - der gesamte Begriff leitet sich von "Shooting Range" ab - sind kleinere, isolierte Datenzentren, in denen eine Unzahl von virtuellen Maschinen auf ein- derselben Hardware läuft. Dazu müssen natürlich Komponenten eines Wide-Area-Netzes wie Router, Domain-Name-Server, Proxies, Virtual-Private-Networks, Laufzeiten der Datenpakete usw. simuliert werden.
Was optimiert wird
Mittels einer solchen "Cyber Range" lässt sich die Effizienz etwa von DDoS-Attacken um Potenzen erhöhen, wenn die Angriffe für die jeweilige Konfiguration des Zielnetzes "optimiert" werden. Ebenso lässt sich die Verbreitung einer neuen Art von Schadsoftware in einem größeren Netz simulieren, wenn zum Beispiel ein Angriff auf bestimmte Produktionseinrichtungen eines Staats ansteht.
Hier kann also alles simuliert werden, was man "in freier Wildbahn" aus zwei Gründen nicht testen kann. Bis dahin unbekannte Sicherheitslücken etwa für Infiltrationsangriffe können nur in virtuellen Umgebungen ausgetestet werden. Diese Waffenteile verlieren - fast so schnell wie Sprengköpfe - nach erstmaligem Gebrauch ihren Wert.
"Niemals frühzeitig auffallen" ist also oberste Devise und falls wirklich ein Test in realen Internetumgebungen nötig ist, dann heißt es warten.
Im Windschatten
Warten bis irgendwo auf der Welt ein Ereignis im Netz eintritt, in dessen Windschatten man unentdeckt operieren kann. So wie der staatliche Sektor agiert auch der kriminelle Untergrund, denn dieses Muster ist seit langem sichtbar.
Die vorläufige letzte filmische "Beleidigung des Propheten" im September hatte neben den Demonstrationen in der arabischen Welt auch einen heftigen "Shitstorm" im Netz zur Folge.
Angriff mit 100 Gbit/sec
Es geschah zuerst das Übliche. Doch in die Hacks reichlich beliebig ausgewählter Websites und deren Verunstaltung samt Hinterlassen von bösen Botschaften, schaltete sich plötzlich ein Botnet von enormer "Feuerstärke" ein.
Eine Unzahl gekaperter Rechner rund um die Welt griff die Online-Systeme der Bank of America und anderer US-Großbanken an und fegte sie vom Netz. Die Spitzen 100 Gigabit pro Sekunde - pro Bank - waren denn auch für diese speziell abgesicherten und hochverfügbaren Systeme zuviel Verkehr.
Dabei waren die DDoS-Angriffe nicht einmal besonders raffiniert, so der einhellige Tenor der Securitybranche, sie hätten also noch weit mehr Schaden anrichten können, wären sie auf die jeweiligen Zielrechner der Banken "optimiert" worden.
"Plan X" der DARPA
Damit ist man bereits beim nächsten Projekt der Defense Advanced Research Agency (DARPA), das ebenfalls neu vorgestellt wurde. Ausgerechnet "Plan X" - so der Projektname - ist der Entwurf für ein Command und Controlsystem, das "ein Cyber-Schlachtfeld in Echtzeit kontrollieren kann."
Die DARPA betont zwar in den Unterlagen, dass dezidiert keine mit Cyber-Waffen verwandte Technologien entwickelt werden, wie etwa Analysetools für Schwachstellen oder Command and Control Protokolle.
Projekt und Ausschreibung Foundational Cyberwarfare [Plan X]
Erstere braucht man nicht zu entwickeln, denn davon gibt es von Metasploit angefangen genug. Weil diese Cyberspace-Control-Center auch mit dem Gefechtsfeldcenter - der ehemaligen Feuerleitstelle - sowie dem Generalstab kommunizieren sollen, muss man sich ohnehin an den vorhandenen Protokollen orientieren.
Den bereits in Vorrunden ausgewählten Teilnehmern der "NetWars Tournaments" winkt eine detaillierte "Scorecard", die halt anstelle der verbleibenden Prozent an Lebenskraft anzeigt, dass man in Netzwerkforensik Malwareanalyse noch Defizite hat.