DoS – DDoS – PDos – und jetzt SoS
Und auch heute wieder eine bahnbrechende Neuigkeit aus dem Muppets-Sicherheits-Labor von Dr. Honigtau Bunsenbrenner, wo die Zukunft schon heute gemacht wird.
Heute: Was kommt nach Denial-of-Service, Distributed-Denial-of-Service und Permanent-Denial-of-Service Attacken?
Die nächste Steigerung: Suicide-of-Service.
Wie der Heise Newsticker berichtet, gab es wieder mal einen der berüchtigten IT-Sicherheitsgipfel.
Und da hat die – meinen Lesern schon seit Jahren als die Inkarnation der Frauenquote im IT-Sicherheitsumfeld bekannte – Professorin Claudia Eckert vorgeschlagen:
Claudia Eckert vom Fraunhofer AISEC ergänzte: “Wir müssen die Software so gestalten, dass sich die Systeme selbst abschalten können, wenn sie durch eine Attacke kompromittiert werden.”
Auf den ersten Blick ziemlich dämlich. Denn inzwischen gehören Denial-of-Service-Attacken zu den Attacken, die den größten Schaden anrichten und am stärksten kriminell ausgenutzt werden. Also baut Eckert da jetzt gleich noch einen Schadensverstärker ein. Positive Rückkopplung. Warum nicht gleich noch eine Selbstvernichtung? Wär doch mal was, wenn sich im Flugzeug der Steuerungscomputer abschaltet weil irgendein Passagier das Handy nicht ausgeschaltet hat. Oder wenn sich die Buchungs- und Verwaltungssoftware am Flughafen schlafen legt, weil irgendwer beim Online-Ticket geschummelt hat, und dann tausende Passagiere auf Feldbetten schlafen müssen.
Auch Infusionspumpen, Herzschrittmacher usw. sollten sich möglichst schnell ausschalten, wenn irgendwas seltsam ist.
Und überhaupt: Wir wollten doch sowieso Europas Internet vom Rest der Welt abhängen, um Kinderpornos usw. auszusperren. Einfach selbstabschaltende Router dran, irgendwer greift andauernd an.
So weit, so blöd auf den ersten Blick.
Aber auch auf den zweiten, vertieft wissenschaftlichen Blick ist es dämlich. Denn eine solche Abschaltfunktion setzt ja voraus, dass das System noch korrekt und spezifikationsgemäß arbeitet, um eben diese Funktion erbringen zu können. Dann, wenn das System kompromittiert ist, soll es also eine Funktion ausführen, für die die Integrität des Systems notwendig ist. Oh je, oh je. Kommt wohl von der Frauenquote, Geschlecht statt Qualifikation. (Siehe auch meine früheren Beobachtungen zu Eckert.)
Gehen wir noch einen Schritt zurück: Woher sollte ein System denn erkennen können, ob es selbst kompromittiert ist? Wenn man vorher weiß, wonach man da suchen muss, dann kann man es auch gleich verhindern. Grundwissen in IT-Sicherheit ist, dass sich kompromittierte Systeme nicht selbst untersuchen können, dass man beispielsweise einen PC zur Untersuchung von einem integren Medium booten muss. Denn wenn ein System kompromittiert sein könnte und die Erkennungsfunktion Teil des Systems ist, dann könnte die Erkennungsfunktion selbst genauso kompromittiert sein.
Hat aber ein System die Möglichkeit, sich selbst abzuschalten, dann könnte die Abschaltung ja genau das Ziel des Angreifers sein. Bekanntlich hat ja die aktive Intrusion Prevention charakteristische Probleme.
Und auf den dritten Blick müsste man durchaus die Frage aufwerfen, wann ein System, von dem man unterstellt, dass es kompromittiert werden kann, und von dem man weiterhin unterstellt, dass es im Kompromittierungsfall besser abgeschaltet würde, überhaupt eingeschaltet werden sollte. Denn solche Randbedingungen stellen die Frage nach dem Verhältnis von Nutzen und Risiko.
Zwar kann man das durchaus auch sinnvoll auslegen, etwa indem man einen Webserver überprüft, ob er „defaced” wurde, also irgendwer irgendwelchen Schrott hochgeladen hat, und ihn dann lieber abschaltet. Was zunächst voraussetzt, dass er von außen überprüft und abgeschaltet wird, also nicht sich selbst. Das kann man dann auch nicht als „ein System” definieren, weil die Kompromittierung dann auf den Server und nicht auf die Überwachungseinheit beschränkt sein muss. Also klappt das auch da nicht mit der Selbstabschaltung, und man muss schon sehr genau nachweisen, was dann besser ist. Dazu muss man aber den möglichen Schaden durch einen Angriff aufrechnen können. Und wenn man das kann, dann liegt der Fehler vielleicht schon darin, das mit einem System gebaut zu haben, also einen Single Point of Failure erzeugt zu haben. Die Forderung ist unlogisch. Wie man es dreht und wendet, es läuft darauf hinaus, dass ein System von einem anderen überwacht und ggf. abgeschaltet werden muss und dass diese bezüglich der Kompromittierung entkoppelt sein müssen („Brandschutzzonen”), also eben gerade nicht „ein System” sein können, das „sich selbst abschaltet”.
Richtig wäre also das Gegenteil von dem, was Eckert fordert: Nicht Systeme, die sich selbst abschalten, sondern solche, die von anderen Systemen überwacht und ggf. abgeschaltet werden. Aber dass ich mich Eckerts Äußerungen (die ich außerdem wieder einmal für bemerkenswert und charakteristisch flach und kompetenzlos halte) nicht anschließe, ist ja auch nichts Neues.
Wer die Muppets-Show kennt, möge sich jetzt vorstellen, dass zunächst der Dänische Koch mit dem Hackebeil hinter einem Huhn her durchs Bild rennt und wir dann zu „Schweine im Weltall” umschwenken.
(Danke für den Link!)
14 Kommentare (RSS-Feed)
Diese Art von Ideen habe ich auch schon von Männern gehört, scheint also nicht geschlechtsspezifisch zu sein. Ich erkläre dann jeweils anhand des Halteproblems wieso das keine so gute Idee ist.
@Patrix: Stimmt, das Halteproblem stellt sich da auch noch. Guter Punkt!
Ich empfehle die Selbstabschaltung von homo politicus und home eckert und Konsorten. Sobald Schrott aus dem der Höhlung vorgelagerten Öffnung namens Mund kommt, sofort in den Suicid-/Selbstabschaltungsmodus umschalten. Schlagartig dürften alle Probleme dieser Erde gelöst sein…
Tja, wenn man Verfügbarkeit und Fehlersicherheit so schön durcheinanderwürfelt…
Ich würde mir Politiker wünschen, die sich selbst abschalten, wenn sie dummes Zeug erzählt haben. Verfügbar brauchen die ja nicht zu sein, denn der Laden läuft ohne sie weiter und es gibt auch genug.
Schön, vielleicht braucht man demnächst nur noch Scheinangriffe, das spart Ressourcen.
Carsten
—
“Der gesunde Menschenverstand lehrt, dass man nicht allzusehr mit ihm rechnen sollte.”
Michael Klonovsky
“Denn eine solche Abschaltfunktion setzt ja voraus, dass das System noch korrekt und spezifikationsgemäß arbeitet, um eben diese Funktion erbringen zu können.”
Anderenfalls hätte sie der TÜV doch nie zugelassen. Ausserdem sorgt die Ausschreibubg dafür, dass nur spezifikationsgemäße Software ins Haus kommt!
Das erinnert mich an einem Besuch der Physik/Chemie-Klasse im Gaswerk. Die Frage des Physiklehrers nach der Messgenauigkeit wurde mit “ganz genau” beantwortet, die leicht irritierte Nachfrage nach “Messfehlern” führte zu einem bösen Blick und der Antwort “Bei uns nicht!”. Johlendes Gelächter.
ich empfehle dazu ‘dark star’. john carpenters debüt bzw. abschlussarbeit von 74, die nachträglich mit szenen ergänzt und auf spielfilmlänge geschnitten wurde. mein absoluter lieblingsfilm!
die intelligente bombe 20 hängt nach einem technischen defekt im bombenschacht fest, kann nicht ausgeklinkt werden um aufs ziel zu fallen, weigert sich aber beharrlich den countdown abzuschalten und will nach ablaufen der zeit explodieren.
hier ein kleiner vorgeschmack. der film ist mit ein wenig suche auch dort zu finden. auf englisch und deutsch.
@Patrix: Erklärste mal kurz? Irgendwie kriege ich den Zusammenhang nicht ganz klar. Heißt die Anwendung des Halteproblems an dieser Stelle, dass die Frage “System ist kompromittiert” ebenfalls nicht algorithmisch entscheidbar ist?
Oder es handelt sich hier um Wortklauberei. Auch schon öfters mitbekommen. Jemand sagt zum Beispiel “System” und meint damit eine Anordnung (=System) von mehreren getrennten (Sub-)Systemen. Und dann kommt jemand her und meint alles sei ganz anders, nicht in dem er in erster Linie inhaltlich widerspricht, sondern in dem er auf Begriffen rumreitet, die er (begründet oder unbegründet) anders definiert, um den Vorschlag missverstehen zu können. Nur so als Beispiel.
Schon häufig erlebt. Ob das in diesem Fall so ist kann ich nicht beurteilen. Da es in diesem Beitrag nicht in erster Linie um die Sache, sondern die Person geht und jemandem Dämlichkeit nachzuweisen, legt dies aber nahe.
Könnte ich mit meiner Interpretation, wie die Professorin es gemeint sein könnte, nicht recht haben?
Hier der Full-Movie von dark star: https://www.youtube.com/watch?v=5FvCrfAuvEo
Immer wieder sehenswert. Ich war als Kind/Jugendlicher immer vom “Lufballon” begeistert. 🙂
Mein allererster Gedanke bei “suicide of service”:
https://bugs.php.net/bug.php?id=61461
Ich finde das Konzept bei Überlast abzuschalten und dann später wieder ein gar nicht so abwegig. Nennt man in manchen Bereichen Sicherung. Man muß natürlich da weitere Infrastruktur dranhängen, damit das funktionieren kann.
Ansonsten läuft es wie bei den Metalldieben, die nach dem Auslösen der Sicherung in aller Ruhe ihrem Geschäft nachgehen. OK, der Vergleich humpelt ganz schwer. Einbeinig und das ist angeschossen.
Nun noch eine nette Anekdote: Es gibt da eine Bank, wo man sich per Kontonummer zum Online-Banking einloggen kann. Natürlich gibt es da eine Passwortabfrage. Die ist natürlich auf ein paar Fehlversuche beschränkt und dann wird kostenpflichtig ein neues Passwort an den Kontenbesitzer versendet.
Was ist daran falsch ?
Was ihr gerne hättet wäre suicide as a service, aber den gefallen tun die euch nicht. Das wäre auch zu schön um wahr zu sein.
@Steffen: Meines Erachtens ja (ohne jetzt direkt den mathematischen Beweis dazu antreten zu können). Du kannst natürlich (wie beim Halteproblem auch) heuristisch oder durch Verhaltensanalyse mit mehr oder weniger grosser Wahrscheinlichkeit auf “kompromittiert” schliessen, aber eine 100%ige Sicherheit gibt es nicht.
Das denkt sich Herr Baumgart von Secunet auch: In Zukunft wird es Cyber-Angriffe geben, die physisch Systeme zerstören und den “digitalen Herzschlag” gefährlich stören könnten