Trust - there is none left

TRUSTThere is none left

Montag, 17. Februar 14

5. JUNI 2013NSA LEAKS BEGINNEN

http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.htmlMontag, 17. Februar 14

http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html

http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html

NSA MISSION SHIFThttps://www.eff.org/nsa-spying/timeline


https://www.eff.org/nsa-spying/timeline

https://www.eff.org/nsa-spying/timeline

ANGRIFFSPUNKTEMontag, 17. Februar 14

KEIN VERTRAUEN IN …

• Implementierte Standards

• Unterminierung von Standardisierungsgremien

• Gelieferte Hardware

• Kompromittierung von Hardwarezustellungen (“pre-pwned devices”)

• Ausgehende Verbindungen

• DNS und MITM-Angriffe

• Die eigene Hardware

• Nutzung von offline Wifi, Kameras, ...

• Fremde Software und Dienste

• selbst Spiele...


KEIN VERTRAUEN IN …

• Systeme zerstören

• Beweise fälschen

• “Parallel construction”

• “Zielmarkierung” für Drohnenmorde

• ?

• Kompletter Verlust von Kontrolle und Standards bei Institutionen.

• Systematische Umgehung der verbleibenden Kontrollmechanismen

•Offene Lüge gegenüber Kontrollgremien


WAS SIND DIE FOLGEN?

• Arbeitsteilige Gesellschaft:

• Auslagern von Produktion und Dienstleistungen an Dritte

• Gesellschaftliche Übereinkunft hinsichtlich Wert und Qualität der Arbeit/Dienste

• Grundlage:

• Vertrauen

• Kommunikation

• Standards und deren Prüfung


WAS IST DER NUTZEN?

• Kooperationsgewinne(“Positive-Sum-Game”)

• kooperierende Partner machen gemeinsam mehr Gewinn als die einzelnen Spieler alleine aufsummiert.

•Die NSA hat diese Kooperation gerade aufgekündigt.

•Wozu?

•Wie reagieren?


WOZU?

•Offizielle Begründung:

• Anti-Terror-Blah, aber durch Resultate nicht belegbar.

• “Where is the business case?”-Enthüllung fehlt noch, aber Wirtschaftsspionage zeichnet sich ab.


WIE REAGIEREN?

•Nutzlos:

• Abschottung, Schlandnet


WIE REAGIEREN?

•Nutzlos:

• Schlangenöl-Kryptographie


WIE REAGIEREN?

•Nutzlos:

• Chokepoint Security


MEHR WTF HIER …Montag, 17. Februar 14

POLITISCHE REAKTIONEN

• Technologie-Meter hat bei unserer Politik Nullausschlag

• Entsprechend werden die Snowden-Enthüllungen nicht korrekt kontextualisiert.

•Da werden wir also noch eine Dekade dran knabbern, und dann ist es auch egal.


TECHNISCHE REAKTIONEN

•Die Überwachung und die Vertrauenskrise gehen nie wieder weg.

•Die Technik ist da, und wird sukzessive billiger.


TECHNISCH-ORGANISATORISCHE REAKTIONEN

• Umgang mit Technik im Betrieb grundsätzlich verändern!

•Mehr Transparenz vom Hersteller verlangen.

• Sicherheit und Integrität des ganzen Stacks nachweisen.

• Automatisierung von Allem.

• Aktualisierungen als Bestandteil des normalen Betriebes integrieren.

• Keine Netzwerk-Innenseite.


EIN EINFACHES BEISPIEL:HEIMNETZWERK

• Basis-Setup:

•DSL-Router, Firewall mit Bums, ein bischen Wifi, diverse Clients

•Wie vertrauenswürdig ist das innere Netz?


WTF-IREWALL

• RISC-CPU, 64 MB RAM, Linux-Busybox-C++ Blob

• Autoupdate

• uPnP, WiFi Mesh Network, Bridge

• Push-Services, Phone home, remote command execution auf dem Controller


MEHR BASISRECHNER DAHEIM

320 MHz MIPS,2 MB Ram, 8 MB Flash

MIPS CPU, Port 5548 offen

MIPS CPU, embeddedLinux kernel,

ssh, telnet, web access


FAZIT

• Eine Netzwerk-Innenseite gibt es in dieser Form nicht mehr.

•Mein Netzwerk hat mehr fremd administrierte Systeme als eigene Maschinen.

• Fremder Code wird laufend in mein Netzwerk importiert und ausgeführt.

•Das ist auch nicht zu ändern, wenn ich nicht zurück ins Jahr 1974 will.


FAZITDieselbe Überlegung ist zunehmend auch auf jedes

Firmennetzwerk anwendbar.


ZEITREISE 2003

• Keine neue Erkenntnis:

• Vortrag von der NuBit 2003


ZEITREISE 2003

• Schon damals hat eine Firewall nicht funktioniert.


»ICH BIN 4 IP ADRESSEN.«Montag, 17. Februar 14

WTF-IREWALL

• Geräte an der Firewall vorbeitragen:

• Heute, 10 Jahre später, ist das die Regel

• iOS 7: Multipath TCPGleichzeitig innen und außen connected


FAZIT

• Umgang mit Technik im Betrieb grundsätzlich verändern!

•Mehr Transparenz vom Hersteller verlangen.

• Sicherheit und Integrität des ganzen Stacks nachweisen.

• Automatisierung von Allem.

• Aktualisierungen als Bestandteil des normalen Betriebes integrieren.

• Keine Netzwerk-Innenseite.


MEHR TRANSPARENZ

•Open Source in der Produktion hilft sehr.

•Minimum:

•Offenlegung der Kommunikation und Protokolle.

• SElinux/Sandbox Profile von Anwendungen

• Sicherung aller Kommunikation mit richtiger Krypto

•Das gilt auch für “interne” Verbindungen


INTEGRITÄT NACHWEISEN

• Verifikation/Erzwingung dieser Spezifikation.

• SElinux/Sandbox ein.

• Produktionsmaschinen im Whitelist-Modus.

• Laufende Prüfung des externen Netzwerkprofils und des internen Maschinenzustands

• IDS

• auditd

• automatisiert (Logfresser)


AUTOMATISIERUNG VON ALLEM

• Kickstart, Puppet unter git, SElinux

• git commit in Puppet

• verlinkbar mit Ticket im Jira

• verlinkbar mit Design Dokument im Wiki

• “Wenn Du Dich per ssh einloggst, um etwas nachzusehen, ist Dein Monitoring kaputt.”

• “Wenn Du Dich per ssh einloggst, um etwas zu ändern, ist Deine Automatisierung kaputt.”


UPDATES SIND OPERATIONS

• Automatisierung macht Änderungen leichter

• Automatisierung macht Änderungen reversibel

• Updates und Migrationen werden zu normalen Bestandteilen von Operations statt zu umfangreichen IT-Projekten.


KEINE INNENSEITE

• Keine privilegierten IP-Adressen.

• Keine Access Control Lists.

• Kein VPN.

• “Nicht das Netz bestimmt Zugriffsrechte, sondern was wir über den Client wissen.”

•Was ist notwendig um dieses Ziel zu erreichen?

• Integritätsprüfung

• Authentisierung

• Protokolle


ERGEBNIS

• Verifizierbare Integrität und Sicherheit

• “Durchhärten” statt “harte Schale”

• Sehr viel bessere Metriken.

•Massiver Agilitätsgewinn (sic!)

•Weniger Personal, weniger TCO



Technology

Trust - there is none left