Ich hätte gedacht, 1234. Und das war wahrscheinlich die Security dahinter, dass sie die 4 weggelassen haben. Aber da denkst du dir halt schon so. What? Coating Buddy, Dein Podcast rund um Softwareentwicklung und aktueller Tech News herzlich willkommen. Halli Hallo und herzlich Willkommen zur neuen Folge des Coding Buddies Podcasts. Schön, dass du wieder eingeschaltet hast.
Liebe Zuhörer, liebe Zuhörer, wir freuen uns da sehr drüber und deine Gastgeber, wie soll es anders sein, meine Wenigkeit, der Tino und der fantastische Fabi, der schon wieder grinst wegen dieser Standardeinleitung, aber sie gehört einfach zum Podcast dazu. Fabi, Was geht ab? Ich find's immer geil. Wie soll es auch anders sein. Ich warte immer noch darauf, dass irgendwann so aus Versehen
irgendwann anders ist. Nein, aus Versehen irgendwann, so weißt du beide Willigkeit der Tino und Franz, ich weiß, Fabian verdammt, wie geht es, wie steht es mir, geht es gut, ich ich bin schon n bisschen Hype auf die Folge jetzt. Weil da wird auf jeden Fall ne Menge passieren.
Das wird ne Menge passieren. Es wird schon ne Einleitung, weißt du das wird alle gleich so catchen, weißt du bleibt dran, heute wird ne Menge passieren, ganz genau, wir sagen doch nicht was, aber es wird ne Menge passieren. Aber bevor wir jetzt reinstarten, bevor wir sagen, was für ne Menge passiert, wollen wir noch mal ganz kurz
dran erinnern. Auf jeden Fall. Wenn du diesen Podcast hörst, liebe Zuhörer, lieber Zuhörer, dann auf jeden Fall den Podcast auch abonnieren und das Glöckchen drücken, weil dann verpasst man nämlich auch keine
Folge mehr. Hatten wir glaub ich letztens gesagt, hab ich jetzt entdeckt, es gab n Glöckchen haben wir mal so entdeckt, genau, dass man nicht verpasst, dass ne Menge passiert quasi ja richtig und noch eine kleine Anmerkung, bevor wir richtig losstarten ist auf jeden Fall viel Vorgeplänkel heute Tino Ich weiß nicht ob heute doch noch so viel passiert. Nee, pass auf, mal raus, wir.
Wollten eigentlich nach der Burnout Folge oder Shutdown im Kopf hieß die wollten wir eigentlich noch n kleinen Nachtrag in der nächsten Folge machen, aber wir haben es nämlich voll verpeilt und ja wollten jetzt aber das auf jeden Fall noch mal anbringen weil wir das ja nicht komplett vergessen wollen, auf den Tisch kehren wollen. Besser später als nie. Genau weil. Uns hat nämlich Stefan geschrieben und ne kleine
Anmerkung zu der Folge gegeben. Ich möchte mal kurz sagen, worum es da ging, Tino. Also erstmal vielen Dank für die Anmerkung. Wir freuen uns immer mega, wenn ihr uns schreibt und einfach quasi so euren Senf dazu gibt, das freut uns mega und das war auch n echt wirklich cooler. Ne Einwand was heißt Einwand? Ne Ergänzung würd ich es nennen und zwar hatten wir ja so als Vergleich quasi Ärzte herangezogen, so als kleiner. Ja, wirklich Verweis drauf.
Bei Softwareentwicklern wird man immer oft abgelenkt ne und man muss immer wird immer ständig aus seiner Konzentrationsphase rausgerissen und da haben wir beide ja gesagt jetzt stell dir mal vor das wär bei Ärzten so wenn sie gerade im OP sind, ja oder die Ärztin muss jetzt einfach aus dem OP Saal raus weil irgendwas ganz wichtig in der Kaffeeküche gerade ist.
Interessanterweise hat Stefan uns geschrieben und meinte, dass er von seiner Freundin, die scheinbar denn Ärztin ist, würde ich mal sagen, gehört hat, dass es bei Ärzten genauso ist und bei Ärztinnen. Das heißt, man muss sich das so vorstellen, dass man dann wirklich im OP Saal das Telefon ständig klingelt, dass andere Entscheidungen getroffen werden müssen. Ja, also dass du quasi eigentlich in einem OP gerade bist und dann noch schon über die nächsten OP nachdenken musst.
Und das sind ja ist ja der perfekte, wie soll ich sagen, das kann es ja komplett, denn gleich ziehen mit der Softwareentwicklung, nur dass es da in dem Fall natürlich noch viel krasser ist, aber diese Ablenkung genauso vorhanden ist. Und das fand ich halt also beim Lesen der Mail dachte ich mir so, das kann ja wohl nicht wahr sein.
Ja, ist krass. Vor allen Dingen, dass er dann auch meinte, so manchmal muss man, dann muss sogar auch der OP verlassen werden, weil es so wichtig ist, wo man sich dann auch denkt, so, Boah heftig, also Ende vom Lied, es ist sind wohl nicht mal in solchen Situationen wie OPS, Ärzte oder Ärztinnen davor gewahrt, dass irgendwie so n sägezahneffekt reinhaut, und das ist natürlich krass.
Man könnte jetzt denken, das ist nicht so, aber es ist wohl dann doch so hoffentlich nicht so häufig wie bei Softwareentwicklern und Softwareentwicklerinnen, aber. Na ja, ich glaub jetzt gar nichts mehr. Ich glaub jetzt gar nichts mehr. Es zeigt auf jeden Fall auch, warum auch das Stresslevel da oft so hoch ist, weil sowas ist natürlich einfach nur krass, weil du halt auch so ne riesen
Verantwortung nebenbei trägst. Mal so ganz nebenbei in Anführungsstrichen ne, also du hast halt diese riesen Verantwortung, du wirst dann trotzdem immer aus der Konzentration rausgerissen, ich glaub oft und das ist schon krass, also das fand ich wirklich krass. Also Stefan, vielen Dank für die Anmerkung und Du hast uns noch mal geteilt, passt auf euch auf. Genau und Liebe zuhören, Liebe
zuhören. Falls du dich fragst, worum es da wirklich ging, wie gesagt, das war die Shutdown im Kopf, Folge hör sie dir gerne mal an, ist n unglaublich wichtiges Thema und war uns auch wirklich wichtig da mal drüber zu sprechen absolut so, das waren glaub ich die Anmerkung vorweg Fabi und jetzt starten wir mal rein mit der eigentlichen Folge denn und das ist jetzt der Hammer denn es wird ne Menge passieren wie du schon meintest wir haben heute.
Mal wieder eine Big Fails der Softwareentwicklung. Lange Folge her, lange her. Es ist ne Weile her und ich find es auch n bisschen schade, dass es ne Weile her ist. Deswegen freue ich mich umso mehr auf die Folge heute, weil ich diese Reihe richtig feier, sich einfach mal anzugucken, was für abgefahrener Scheiß so passiert es in der Softwareentwicklungswelt und wir haben uns da heute auch wieder n sehr sehr coolen Fall cool im Sinne von beeindruckend
spektakulär rausgesucht und. Und er ist auch wirklich, wie soll ich sagen, ziemlich brandaktuell. Eigentlich noch also im Verhältnis zu manch anderen, die wir besprochen haben. Das stimmt. Also es ist noch nicht ganz so lange her und es wird heute auf jeden Fall um. Wie sagt man Sicherheitslücken, Software, Hacks und n paar Probleme sozusagen wie es dazu gekommen ist. Überhaupt, das werden wir besprechen und natürlich wollen wir am Ende gucken, wie wir es
immer mal machen. Bei dieser Reihe. Was kann man eigentlich daraus lernen, aus so einem Fail? Wie ist es, warum ist es passiert, was kann man irgendwie dagegen tun oder was kann man sich selbst vielleicht daraus
mitnehmen? Genau das ist nämlich, dass der große Punkt bei dieser Reihe, dass man immer versucht, ja ein Learning daraus zu ziehen, dass man nicht selbst Gefahr läuft, so zu enden, mal provokativ gesagt und deswegen genau du hast es ja schon ein bisschen angeteasert, wir möchten heute mal über einen der größten Hacks der letzten Jahre sprechen und. Experten sprechen sogar davon, dass es n historisches Ereignis
war. Gerade für die Cyber Security, weil es halt einfach der einer der größten Hacker Angriffe der letzten Jahrzehnte für die sogar war. Und das find ich ist schon krass zu sagen der letzten Jahrzehnte, aber er hat es auch wirklich in sich und zwar wollen wir heute über den Solar wins Hack sprechen, was im Prinzip ein massiver Spionage Coup war, der scheinbar. Durch ein harmloses Software Update ausgelöst wurde oder dadurch zustatten kam. Und das finde ich halt ziemlich
krass. Doch sag mal, lass uns mal anfangen das von vorne aufräumen was ist Solar wins eigentlich? Genau, also Solar wins ist ein TEXANISCHER it Anbieter und hat eine Plattform Orion oder Orion, je nachdem wie man sich aussprechen möchte. Deutsch, Englisch wie man möchte. Und. Und dieses Tool dient der Netzwerküberwachung.
Also du kannst es halt nutzen, um irgendwie bei dir beispielsweise dein Netzwerk zu checken, zu überwachen, dass da auch alles in sicheren Bahnen läuft, ne es es ist manchmal für die, es ist manchmal ja auch immer so, dass gerade wenn du Software hast, die für so eine vielleicht Überwachung da ist, dann ist es natürlich immer blöd, wenn genau an dieser Stelle auch irgendwie angegriffen wird. Oder auch angegriffen werden kann.
Das ist immer noch das eine Ding, und na ja, ich meine, es ist aber auch irgendwie logisch, weil genau diese Punkte sind natürlich interessant, dann auch ne genau für diesen Zweck, aber man muss sich vorstellen, dass dieses Unternehmen auch einfach über 33000 Kunden hatte und es. Ist schon ne große Nummer, ne. Genau, erstens das und nicht nur unbedingt das, sondern es da drunter zählen halt auch zum Beispiel Regierungs. Institute oder wie man das nennt, also ne wirklich
regierungsinstrumente. Die Kunden waren aber auch zum Beispiel große Techkonzerne beispielsweise, und das Macht das Ganze am Ende natürlich dann irgendwie. Ich nenn es jetzt mal interessant in Anführungsstrichen ne. Ja, es hat halt einfach ne ordentliche Brisanz. Dann ne wenn jetzt unter den Opfern US Ministerien zählen. Ich glaub das Finanzministerium, Verteidigungsministerium, also da waren einige.
Krasse Dinger bei aber halt auch wirklich große Firmen wie Microsoft zum Beispiel. Wir werden über Fire Eye sprechen, die haben eine sage ich mal, eine entscheidende Rolle dabei, aber ich glaube auch Intel war da betroffen von, also das ist schon, das ist schon kein kleines Ding, so am Ende ne und was ist im Prinzip passiert, also im Prinzip durch ein Update dieser Orion Software, also zur Netzwerküberwachung. Folgt ein klassischer Supply
Chain Angriff, so also im Prinzip wurde ein Update der Orion Software manipuliert, das heißt, der Angriff erfolgt jetzt nicht direkt beim Endkunden, also dass du sagst ich gehe jetzt zum Beispiel auf dem sagen wir mal Microsoft Server und Infiltriere die, sondern es ist über den Anbieter der Software, in dem Fall Solar wins erfolgt und das ist halt ein krasser Punkt. Das halt im Prinzip wirklich n Supply Chain Angriff erfolgt wurde, aber da möchte ich später
mit dir noch mal genauer drauf eingehen, was das bedeutet was dahinter steckt. Hinter einem Supply Chain Angriff oder was meinst du? Genau, dass wir das einfach nachher, wenn wir das technisch erklären, noch mal n bisschen
als Exkurs mit einbauen. Das wär cool so und das Resultat war, dass zwischen März und Dezember, also fast n ganzes Jahr im Jahre 2020. Manipulierte Orion Updates ausgerollt wurden beim Kunden im Umlauf kamen und hammerhart Spionage betrieben haben, also wirklich so rund 18000 Kunden installierten sich diese Updates, was im Prinzip Trojaner waren mit klassischen Backdoors. Und es erfolgte halt quasi Zugriff auf die Daten. Ja, also ne reinste Spionage am
Ende, man erlangte Zugriff auf e Mails aufs Netzwerk, auf die Daten an sich ja. Du kannst halt eigentlich, das ist halt krass, ne, du kannst dann am Ende wenn du sowas ich sag mal geschafft hast, hast du halt einfach die Möglichkeit Daten aus den entsprechenden Firmen herauszuziehen, weil du halt irgendwie Zugriff auf irgendeine Art und Weise, halt eben wie genau das jetzt also passiert, das besprechen wir
später noch. Oder oder was das dann sozusagen, wie das wieder dieser Effekt zustande kam. Aber du kannst halt einfach Daten rausziehen ohne Ende und ich denk mir halt immer so, wenn du eine Sicherheitslücke hast, ne die so sagen wir mal mehrere Stunden da ist ne so, dann kannst du irgendwie Daten abzapfen, je nachdem wie schnell dein Netzwerk ist. Hast du kannst du irgendwie berechnen wieviel kriegst du irgendwie raus ne? So aber wenn es jetzt länger anhält, irgendwie keine Ahnung.
Eine Woche wieviel Daten kann man kopieren, beispielsweise nur mal um sich das mal einfach mal einfach vorzustellen innerhalb einer Woche und wieviel Daten kannst du irgendwie erlangen und auch separiert erlangen, wenn es halt einfach mal dreiviertel Jahr offen ist. Diese diese, diese Schwachstelle oder dieser dieser Angriff funktioniert, das ist schon heftig. Genau.
Und wie im Prinzip jetzt der Ablauf war, warum das überhaupt so lange offen war oder angreifbar war, weil wie du schon meintest, das ist ne lange Zeit, warum wurde das nicht entdeckt? Das würde ich mit dir heute mal aufrollen, weil ich das war nämlich auch so in der Recherche, mein erster Gedanke, wie kann es sein, dass du jetzt von März bis Dezember so lange diese Schadsoftware installiert hattest, sozusagen ne, also über diese Updates und weiterhin
ausrollen konntest. Und das ist halt wirklich krass und ich möchte mit dir klären, wer mutmaßlich dahinter steckte, weil das fand ich auch super spannend und genau das möchte ich heute alles mit dir in dieser Folge besprechen, was ich halt auch richtig geil finde dabei, weil das macht so n
bisschen mysteriös. Es ist halt auch nicht vollständig aufgeklärt, ne, da ist so n bisschen gemauschel drin, es hat halt wie gesagt durch die mutmaßlichen Angreifer ordentlich Brisanz und deswegen würde ich sagen starte ich mal damit. Die Story mal so n bisschen aufzurollen. Wie war der Ablauf? Ist das in Ordnung für dich, Fabi? Hau raus, o. K Let's go. Also wir gehen mal ans Ende erstmal. Jetzt hör ich, du willst es doch von vorne aufrollen. Nein, wir fangen mal ganz hinten an am 9.
Dezember 2020 und ich sagte ja schon, dass Fire Eye das Unternehmen ne große Rolle spielt, meldet nämlich genau dieses Unternehmen kompromittierung.
Dass im Prinzip Daten von ihnen gestohlen wurden, ja, also die haben es mitgekriegt, dass irgendwas nicht stimmt in ihrem Traffic, ihrem Netzwerk, dass Daten abfließen, und das haben Sie gemeldet und komischerweise, als das so ein bisschen in Umlauf kam beziehungsweise ja okay es ist eine Kettenreaktion, haben auch US Behörden angefangen zu melden, dass sie gehackt wurden, so. So, und dann kam nämlich 1 zu 1 zusammen und du denkst dir so okay ihr seid alles Kunden von
Solar wins und habt dieses Orion System im Einsatz. Vielleicht ist das ja so der gemeinsame Nenner und im Prinzip haben genau das dann Ermittlungen gezeigt, dass es ein kompromittiertes Orion Update war mit dem sogenannten Sunburst Trojaner und dieser Trojaner wurde aber über ein
signiertes Update quasi völlig. Vollständig legitim ausgerollt, signiert, das ist n Ding und ich denke das ist wieder ne Zeit für ne geile Analogie fabi und ich guck dich an und ich seh einfach du hast bestimmt ne Analogie dabei um mal zu erklären was es eigentlich bedeutet n signiertes Update zu haben und warum das dadurch auch möglich war am Ende. Ja, also wenn du, wenn du das jetzt mal so ins Mittelalter schiftest das ganze ne dieses ganze Szenario beispielsweise.
Dann wäre jetzt nicht Microsoft aus dem Mittelalter. Ach ja, klar so, dann schickt dann schickt Microsoft, schickt so n boten los ne und da ist sozusagen dann das Königssiegel das königliche Microsoft Siegel drauf, keine Ahnung auf diesen Brief und überbringt das dann halt keine Ahnung einem anderen König oder was auch immer ne oder einer anderen Königin so und dann wird halt dieser Brief dahin gebracht und ich sag mal
der entsprechende. Empfänger dieses Briefes guckt sich das diesen Brief an und denkt sich ja, OK, guck mal hier, das ist genau dieses Siegel, das kenn ich, das ist definitiv verifiziert, da steht drin alles, klar, wir sollen heute Nacht das Stadttor offen lassen, weil eine keine Ahnung wichtige Person. In in einer Nacht und Nebelaktion in sozusagen das Dorf reingelassen oder in das Schloss reingelassen werden muss.
Ne und dann denkt man sich so, na ja OK, alles klar, das ist ja dieses Siegel, das was man kennt, ich hab schon tausendmal Briefe mit dieser Person geschrieben, das ist auf jeden Fall definitiv safe diese Information also mach ich das und im Endeffekt wenn du aber sozusagen dieses Siegel sagen wir mal zwar das Siegel, ist das Siegel zwar, aber was da drin steht ist halt was anderes, da steht dann zum Beispiel also die, die das reingeschrieben haben, das haben andere
reingeschrieben so rum, und dann kommst du an den Punkt, dass zum Beispiel eigentlich ein Angreifer und eine Armee zum Beispiel jetzt die Möglichkeit hat, über diese falschen Informationen, die aber verifiziert als richtig sind, sozusagen in der Lage sind, das Tor zu öffnen und einzubrechen, obwohl ja eigentlich die. Die Nachricht gar nicht von einem Angreifer kam, sondern von einer vertrauenswürdigen Person.
Ne bedeutet im Endeffekt, wenn jetzt zum Beispiel der Brief losgeschickt wird, mit einem Siegel auf dem Weg zum Beispiel, sagen wir mal, der Postbote wird überfallen als Beispiel da, der Brief wird zum Beispiel irgendwie aufgemacht, ohne dass das Siegel beschädigt wird und wieder zugemacht, die Informationen wurden aber verändert da drin und dann wird quasi dieser Brief weitergegeben und eigentlich sollte da drin
stehen sowas wie. Ne als Beispiel sowas wie ja OK, wir werden beim Morgengrauen ankommen und es wurde aber verändert zu lass mal bitte das Tor in der Nacht auf als Gedankenspiel ne so und dann hast du wie gesagt als Empfänger siehst du OK das ist vertrauenswürdig alles cool also mach ich das was da drin steht aber eigentlich war das dann doch nicht vertrauenswürdig. Und das ist genau das richtige Stichwort. Vertrauen am Ende.
Um dein deine Analogie aufzugreifen, so n. Siegel schafft ja im Prinzip das Vertrauen zu sagen, Wir haben jetzt zum Beispiel die 2. Ja, du hast jetzt einmal Solar Wins das Königreich ja mit mit ihrem Siegel und das Microsoft Königreich Überlieferungen haben ergeben, dass da glaub ich n Fenster drauf ist auf dem Siegel.
Und wenn die beiden jetzt kommunizieren, ja, und da kommt halt wie gesagt so n Bote mit einem Brief und dem offiziellen Solarwind Siegel, dann denkt sich König Reich, Microsoft, oh ja, das ist vertrauenswürdig, ne, weil wir sind ja verbündet mit denen und da ist das offizielle Siegel drauf, das heißt, das muss vom obersten Chef aus dem Königreich Solarwinds kommen und was da drin steht, während wir machen, weil wir sind ja Verbündete, so und wie du jetzt schon meintest.
Jetzt ist das aber manipuliert und interessanterweise, und da kann man gleich mal so n bisschen Supply Chain Attacke auch n bisschen oder Angriff erklären.
Dieser Brief wurde ja nicht manipuliert auf dem Weg oder oder oder sag ich mal im Königreich Microsoft ne, dass du sagst so EY hier ist n offizieller Brief und der stimmt sogar, aber bevor du den da aufmachst oder nachdem er geöffnet wurde wird der irgendwie manipuliert und dann liest es erst der Big Boss von Microsoft das Königsreich sondern. Sondern das ist nämlich das das
krasse dabei. Dieser Brief in der Herstellung, wie er geschrieben wurde, wie er verpackt wurde, wie das Siegel drauf gemacht wurde, da wurde er schon manipuliert, das heißt, er war ja nie richtig oder oder frei von Gefahr sozusagen finde ich, ist ne coole Analogie, gerade das mit dem Siegel finde ich ziemlich witzig, weil das eigentlich doch sehr gut die Signierung beschreibt, ne digitale Signierung dahinter.
Von damals. Aber was ist denn jetzt so verrückt und beängstigend dabei bei diesem ganzen Fall, weil es wurde ja wirklich lange, lange, wie soll ich sagen, offen gehalten, also das ist ein langer Zeitraum, wir haben ja gesagt, März bis Dezember 2020, aber was eigentlich beängstigend dabei soll, was ich krass finde, ist, dass das auch genauso lange genau. Geplant und geduldig ausgeführt
wurde. Und da möchte ich jetzt mal darauf eingehen, wie das Ganze gestartet ist, denn das Ganze ging schon so nach Ermittlung ne das ganze wurde natürlich aufgerollt, aber man hat Erkenntnisse daraus gezogen und die gehen zurück in bis zum September 2019 also ein gutes Jahr davor wo die ersten Kompromittierungen des Solar Wins Netzwerks stattgefunden haben. Ist schon krass, ne. Ne, also wo jetzt?
Wir sind jetzt wirklich bei Solar wins direkt in ihrem Netzwerk und da wurden sie quasi schon attackiert ein Jahr vorher und im Oktober, also quasi dann einen Monat nach den ersten Attacken, gab es auch schon die ersten Tests der Code Injection, dass man gesagt hat, so jetzt gucken wir mal, ob das hier so funktioniert, wir werden mal so n bisschen schadhaften Code oder zumindestens erstmal irgendwie Code injizieren in diese ganze Software und gucken mal ob das läuft.
So also so ganz smooth. Ne, nicht gesagt ey wir wir wir sind drin. OK, jetzt ausrasten jetzt alle Daten abgreifen, alles kaputt machen, nein man ist cool geblieben einen Monat und dann erst versucht so langsam mal da was reinzupacken, das ist schon krass finde. Ich na du kannst ja auch erst mal gucken, dass du im Endeffekt erst mal sagst, also du, du willst ja erst mal gucken.
Bleibt man entdeckt oder nicht ne, also wenn du jetzt zum Beispiel du, du fängst jetzt erst mal an das zu kompromittieren, du. Gibst mal n bisschen Code rein, guckst erst mal wie gesagt ne. Es muss ja nicht mal schädlich sein am Anfang, aber du willst ja erst mal gucken.
Erstens kommt dein Code auch rein wie gedacht und zweitens wird er denn jetzt zum Beispiel relativ schnell erkannt, weil wenn das der Fall wäre und es relativ schnell irgendwie aufgeflogen wäre, dann hätte man ja auch vielleicht schon vorher n bisschen abbrechen können oder das Ganze schon mal n bisschen verschleiern hätte können so ne aber wenn du jetzt erst mal so diesen Test machst und diesen diesen ersten Code injektest und du merkst OK. Gar nicht so viel passiert, ganz
entspannt ne, auch über einen gewissen Zeitraum ist nicht viel passiert und dann kannst du ja sagen, OK, wir können weitermachen. So weit so gut, Let's go, wir fahren. Fort also, das muss man sich halt wirklich mal vorstellen, dass du sagst, OK, ich habe Zugriff auf die Software, sozusagen wie die gebaut wird. Also jetzt zum Beispiel so ein Update und. Und hau jetzt langsam so Code mit rein, der aber eigentlich
noch nichts wirklich macht. Aber ich will einfach sehen, ob der da mit gebaut wird, sozusagen in das Update und diese Herangehensweise finde ich ist halt so, so berechnend, so krass geduldig auch einfach weil man ist ja schon in den Systemen des des Opfers, sage ich mal ja und das das ist halt, das finde ich total beeindruckend, aber halt im Sinne von.
Technisch umgesetzt ja. Also nicht dass dass man jetzt jemand hackt, auf keinen Fall aber dass man das mit so mit so einer Seelenruhe durchzieht, also das ist so richtig berechnet, ey, das ist total krass und auf jeden Fall dann im Februar 2020 also noch mal n paar Monate später wurde erst dieser Sunbirst, also diese Malware wirklich in Orion injiziert durch n Update, das heißt also noch mal Monate
vergangen. Bis eigentlich der Angriff sozusagen gefahren wurde, sodass dann im März 2020 solarwinds jetzt leider Gottes diese Updates ausgerollt hat an Kunden. Und diese Updates waren also infiziert und die Kunden haben diese Updates bekommen und waren dementsprechend betroffen und. Und das Ganze, wie gesagt, mit aller Geduld vorbereitet und ausgeführt.
Da muss man sagen, das zeigt schon, da waren auf jeden Fall Profis am Werk, das war nicht so n Ding wie manche, es gibt ja auch zig Fälle in der Geschichte, wo Leute irgendwie Zugang zu irgendwelchen Systemen erreicht haben, aber gefühlt so nach. Stunden aufgeflogen sind, weil die halt alles sich angeguckt haben, überall Spuren hinterlassen haben. Und das ist hier halt nicht passiert. Das ist über Monate vorbereitet gewesen, aber das ist ja auch dann noch durchgeführt.
Und das ist ja generell irgendwie mal sehr krass, weil gerade wenn du n richtig gut, also man hört es öfter mal, wenn du wirklich gute Angriffe hast, dann ist es ja auch oft so, dass sie über ne ganze Zeit lang eben erstens nicht erkannt werden und vor allem deshalb, weil sie lange vorbereitet sind. Also quasi wirklich sozusagen. Vorbereitung ist die halbe
Miete, oder wie sagt man dazu? Ja, aber das ist halt wirklich so ne und was ich aber zum Beispiel auch immer so als kleiner Fun Fact irgendwie ganz lustig finde so das ist mir am Anfang immer erst sogar nicht so, also manche sehen das wahrscheinlich sofort, aber für mich ist das manchmal so, dass ich dann kurz brauche und dann denk ich mir so ah clever, weil das Unternehmen heißt solarwinds und. Da hat ja irgendwer ne Malware aufgespielt, die heißt dann halt
zahnbürst. Hahaha, ja weißt du, also Profis nicht nur darin, dass sie es machen, sondern auch in der Namensgebung sehr perfekt ist halt die Frage, das weiß ich gar nicht so genau, ob der Name quasi im Nachhinein beim Aufrollen vergeben wurde, weil sie halt passend ist oder ob das wirklich so provokativ noch irgendwo in diesem Update. Drin war was super witzig, das stimmt. Das habe ich jetzt auch gerade gar nicht im Kopf.
Aber manchmal hast du halt so auch Fälle schon gehört, dass, na ich sag mal, dass es irgendwie auch passend ist, ne, also dass die Leute, die das dann machen oder dann auch diese Angriffe fahren, eben auch ja weiß ich nicht irgendwie sich da vielleicht noch einen Spaß draus machen oder so ne, aber was ich auf jeden. Fall auf jeden Fall passe ich. Aber was ich auf jeden Fall ganz interessant fand oder ganz
spannend fand, war, dass dieser. Diese Malware oder dieser Trojaner, dieser Sunburst, um den es ja gerade geht, der war ja auch nicht so, weil du ja meintest, der wurde eingespielt, ne um halt eben das System von den Kunden zu infizieren am Ende oder zu infiltrieren. Und das Interessante ist, weil du meintest, es gibt Leute die fangen an ne und haben Zugriff und gehen sofort drauf und. Holen sich alles Mögliche und hinterlassen die Riesen Spuren und sonst was.
Und dieser sunbirst Trojaner war ja so konzipiert, dass er nachdem er installiert wurde auch erstmal 2 Wochen inaktiv war, also quasi extra sozusagen nichts gemacht hat, damit man vielleicht auch gar nicht erstmal versteht okay, da ist irgendwas, da ist irgendeine komische Aktivität und wenn und da musste ich zum Beispiel wieder daran denken, wie ein.
Eigentlich irgendwie clever. Das auch wiederum ist so was einzubauen, weil wenn du zum Beispiel irgendwie Code editierst oder irgendwie sagen wir mal, du hast irgendeine Anwendung, eine Software und du arbeitest mit, also du entwickelst diese Software und du machst einen neuen Commit, also veränderst deine Code Basis je länger quasi sagen wir mal ein Commit kommt der einen Fehler auf. Aufwirft oder der sozusagen Ursache eines Fehlers in deinem
Code ist. Und je später du es erkennst, desto schwieriger wird es eigentlich, das zu irgendwie identifizieren, wo es genau herkommt.
Und da musste ich irgendwie dran denken, das heißt, wenn du irgendwie n Trojaner installierst und sagst, OK, du wartest jetzt aber noch mal 2 Wochen, bis da irgendwas passiert, dann fragst du dich wahrscheinlich, warte mal hä, das muss ja jetzt am letzten Update gelegen haben, obwohl es vielleicht gar nicht der Fall war, weil innerhalb von diesen 2 Wochen vielleicht schon wieder mehrere Updates gefahren wurden.
Und du denkst dir so, ja, aber gestern war noch alles OK und heute nicht und dazwischen lag n Update, also musstest an diesem Update liegen und dann suchst du halt an diesem Update und nicht an den an diesem Update vor 2 Wochen beispielsweise. Genau das ist heute. Hast du vielleicht das noch zurück so ne, aber da hast du es bist halt immer noch mit schadhafter Software infiziert und das ist halt n riesen Punkt der das halt auch so clever umgesetzt macht ne definitiv
aber irgendwie. Irgendwann wollten sie ja denn doch mal so ein bisschen, mal ein bisschen die fühle ausstrecken. Das heißt, nach dieser Inaktivität wurde ja dann eine Verbindung zu einem, sag ich mal, externen Command and Control Server aufgebaut, über den dann die Hacker quasi Befehle reinspielen konnten, das heißt, die. Die Orion Software, also die Infizierte das infizierte Update, hat dann Kontakt zu einem externen Server aufgebaut und sozusagen gefragt, was es
machen soll. Und das ist halt krass, weil du ja jetzt, man muss sich vorstellen, das wurde an Tausende Kunden ausgerollt und du hast jetzt überall sozusagen ne Angriffsfläche, wo du sagen kannst, ey, wenn du Kontakt zu mir aufbaust, dann sag ich dir mal was du machen sollst.
Zu jedem Einzelnen sozusagen. Und das ist halt krass, weil dadurch konnten sie Befehle abgeben, wie zum Beispiel das Netzwerk scannen, Daten exfiltrieren, also wirklich datenabfluss zu erzeugen, weiteren Schadcode nachzuladen. Das ist nämlich auch das Ding, wir reden hier nämlich wirklich von von Servern und von von automatisierten Updates, das heißt, die konnten halt auch einfach weiteren Schadcode nachladen, völlig krass und das eigentliche, was das Ganze auch
so unfassbar. Gefährlich Macht ist, du hattest ja gesagt, Orion ist im Prinzip für die Netzwerküberwachung, das heißt Du nutzt diese Software jetzt zum Beispiel beim Kunden, um Netzwerküberwachung durchzuführen, also klassisches Monitoring, zum Beispiel. Das Ding ist, dass damit einherkommt, dass. Man Admin Zugriff hat in dieser Software um auf alles zugreifen zu können.
Das heißt die Orion Software so gesehen hatte Admin Zugriff, das heißt der Angreifer der jetzt genau dieses System infiltriert hat, hat sozusagen den goldenen Schlüssel im Internetwerk um zu sagen ich kann hier, ich habe auf alles Zugriff, ich kann hier überall drauf zugreifen und. Und das auf diesen weit gestreuten System. Ne.
Also es wurde jetzt, ich glaube 18000 mal wirklich Kunden, also 18000 Kunden waren betroffen, das heißt, so oft wurde das ausgerollt und ich kann jetzt gezielt über diese Anfragen an
meinen. Schadserver sage ich mal, hier wie immer hinten rechts in der Ecke, der Server ist Schuld, der Server Running GAG, da ist der böse Server 5 wieder und der wird gefragt, genau Server 5 und der wird gefragt, was soll ich machen na weißt du, ich werde dich jetzt mal gezielt aktivieren auf dem Ziel, da habe ich nämlich Lust, dass du mal das Netzwerk Scannst beim anderen, du wirst jetzt mal mir gewisse Daten geben und so weiter und das ist halt völlig
krass am Ende. Ja, vor allem das Interessante ist ja zum Beispiel also der die höchste Form eines Hacks ist ja wirklich sozusagen, dass du Code executen kannst am Ende, das ist ja eigentlich immer das, ich sag mal, wenn man jetzt, wenn jetzt Hacker irgendwie was erreichen wollen, dann ist das ja eigentlich immer so, dass das ist ja der heilige Gral, am Ende ne so Daten abrufen, das ist eine ne, also einfach nur zu
lesen, aber wirklich. Code auszuführen, also sozusagen die komplette Kontrolle über das infiltrierte System zu haben, das ist natürlich das das Allerbeste, was du sozusagen jetzt, also in Anführungsstrichen, aus Hacker Sicht haben kannst, ne, und weil dann ist alles möglich, genau, und das ist ja also ne, weil du ja meintest, Schadcode nachzuladen, Schadcode auszuführen, um das überhaupt machen zu können, brauchst du ja meistens halt eben auch sowas
wie Zug, also Zug oder oder Rechte für die Execution von Dateien und. Und das hast du ja unter Umständen als aus einem gewissen Userprofil heraus dann nicht. Und deswegen ist es halt so interessant gewesen, dass diese diese diese Orion Software halt eben auch Admin Zugriff hat. Ne, weil Admin hat im Normalfall eben die ganzen Rechte, wie zum Beispiel auch die Ausführung von bestimmten Files, das ist halt das Spannende dann an der ganzen Geschichte.
Jetzt kann man sich natürlich fragen, OK, das ist alles krass, aber wie, wie ist das überhaupt möglich zu dem Punkt zu kommen, ne, dass jetzt die Angreifer solche Angriffe auch fahren konnten, deswegen möchte ich das ganze mal ein bisschen technisch aufrollen mit dir und zwar wie hat man das jetzt eigentlich geschafft und die Antwort liegt darin, dass wie gesagt der Bildprozess für diese Updates. Der Orion Plattform infiltriert
wurde. Also wie gesagt, es handelt sich quasi um einen Supply Chain Angriff und ich denke das ist jetzt n guter Zeitpunkt um noch mal n kleinen Exkurs zu machen was eigentlich dahinter steckt. Also im Prinzip sagt das aus, dass das Ziel deines Angriffes. Nicht der Endkunde ist, von dem Du eigentlich zum Beispiel Daten haben möchtest.
Ja, also Ziel war jetzt nicht direkt NUS Ministerium anzugreifen oder Microsoft oder Intel oder was wir alles gesagt haben, sondern Ziel war eine vorgelagerte Komponente in dieser Softwarelieferkette anzugreifen, um dann am Ende die Daten von beispielsweise Microsoft zu bekommen.
Das heißt, das Angriffsziel ist dann oft eher sowas wie ne CICD Pipeline, also Bildsysteme oder Update Server oder vielleicht auch so Open Source. Lips hatten wir ja auch schon besprochen, ich sag nur log for Shell, das ist halt im Prinzip das gefährliche dabei, dass es kein direkter Angriff ist, sondern so indirekt zum Kontakt mit dem Opfer kommen. Ja, wenn du dir das zum Beispiel vorstellst, bei sagen wir mal,
du hast irgendwie. Welche Bauarbeiter zu Hause ne, die weiß ich nicht irgendwas renovieren bei dir ne und dann beauftragst du zum Beispiel ne Firma, ne Baufirma wo du genau weißt der kann ich vertrauen so und diese Baufirma macht irgendwas und dann also macht zum Beispiel irgendwie keine Ahnung verleg deinen Boden, malert dir die Wände und macht noch n bisschen was mit der Elektrik so ne aber diese Baufirma organisiert das alles ne und du weißt aber OK diese
Baufirma weiß nicht da. Viele haben da schon mitgearbeitet. Ich kenn die auch schon n bisschen, ich kenn da vielleicht sogar den Jochen, keine Ahnung der da arbeitet. Ne Mensch, das ist auf jeden. Fall n Haus. Das ist auf jeden Fall ne tolle Firma. Ist alles gut, ne und dann ist es aber um das jetzt so diesen kleinen Vergleich zu bringen. Die Baufirma beauftragt wiederum zum Beispiel irgendwie n Elektriker ne der dann die Elektrik machen soll und du
kennst als. Privatperson diese Elektrofirma gar nicht. Du hast gar keinen Plan davon ne und vertraust. Aber dieser Firma, der Baufirma, weil die ist ja gut so, also wird die ja wohl auch dann sozusagen in ihrer, ich nenn es jetzt mal extra Lieferkette eben halt auch die richtigen Leute ranholen.
Und jetzt? Ist aber zum Beispiel diese Elektrofirma, die im Endeffekt ja kein Angriff ne auf mich selber fährt, also auf mich persönlich, sondern auf diese Baufirma und sagt, EY, Wir sind Elektriker, auf jeden Fall, aber wir haben böse Absichten, aber das sagen wir denen nicht, und dann kommen die zum Beispiel installieren irgendwie die Elektroleitungen, machen aber zusätzlich installieren irgendwie keine Ahnung, ne kleine Kamera irgendwo in dein Haus und irgendwie n weiß ich nicht.
Eine Anlage, die wo du irgendwie, also irgendwas womit du die Alarmanlage ausschalten kannst oder was auch immer, damit du dann zum Beispiel sehen kannst, okay ist jemand im Haus und vielleicht kann ich sogar noch die Alarmanlage ausschalten und dann kann ich einbrechen. So heißt im Endeffekt du als Person Beauftragst eine Firma, der du vertraust. Irgendwo in dieser Lieferkette gibt es einen Elektriker, der sich ausgibt als ja wir sind. N gutartiger Elektriker
sozusagen. Und das Ende vom Lied ist aber, dass du sozusagen ausgeraubt wird wirst, obwohl du aktiv gar nicht angegriffen wirst. Unbedingt, sondern der Angriff geht ja von der Elektrofirma auf die Baufirma, aber das Opfer bist im Endeffekt du, ne, so ungefähr kann man sich das dann. Vorstellen also, das Alarmanlagenbeispiel ist halt eigentlich ganz cool, weil im Prinzip gibst du den Auftrag.
Ja, ich möchte sowas installieren in meinem Haus, die Baufirma sagt ja, wir haben hier Alarmanlage von Firma XY bauen wir die ein, so und wenn jetzt aber denn die dritte Firma wie du meintest anfängt da irgendwelche Backdoors einzubauen ohne das Wissen von deiner Baufirma, dann denkt die sich natürlich weiter hey hier hast du mein System und du denkst dir wow ja Mann ihr seid doch. Ich weiß nicht, vertraue ich schon seit 10 Jahren.
Das System wird super sein und am Ende weiß aber keiner, dass über diese Baufirma diese Schadsoftware in dein Haus gekommen ist und dann im Prinzip du ausspioniert werden kannst beispielsweise oder im Zweifelsfall, dass die Alarmanlage abgeschaltet wird. Halt ne, also wenn es halt hart
auf hart kommt. So und das ist halt das gefährliche dabei, es ist schwer nachzuvollziehen, es ist schwer zu entdecken und du hast halt immer dieses Vertrauensproblem am Ende was also Vertrauen ist ne gute Sache, aber. Ich sag mal so blindes Vertrauen eben halt nicht. Ja und jetzt wie haben Sie das gemacht?
Sie sind im Prinzip um jetzt wieder auf solarwinds zu kommen, genau da an der Stelle wurde angesetzt und zwar in diesem Herstellungsprozess, also der Bildprozess wurde infiltriert und beim Erstellen der Updates wurde quasi dann automatisch Malware integriert. Wir hatten ja gesagt, sie hatten anfangs erst mal angefangen so. Lass mal n bisschen Code hinzufügen, gucken ob das Ganze läuft. Nicht auffällig, immer ganz immer peur Peso ja und im Prinzip lief es dann so, dass Malware.
Im Hintergrund auf den Bildservern lief, das heißt, die Waren auf den Bildservern haben den infiziert und haben angefangen fehlerhafte Updates zu bauen.
Ne beispielsweise wurden Dateien zur Kompilierzeit ausgetauscht, auch Superkrass, das heißt du du kompilierst gerade deine Software und denkst eigentlich wenn das jetzt zum Beispiel auf dem Bild System läuft so ja na ja, wir wissen ja wie unsere Software aussieht und die Dateien werden jetzt gebaut, dieser Source Code wird gebaut und dann haben wir am Ende dementsprechend unsere Software. Als Artefakt, was wir ausliefern können als Update zum Beispiel ja, was aber nicht bemerkt
wurde, ist, dass jetzt aber Daten nah ausgetauscht wurden, Source Code wurde ausgetauscht und es wurde eigentlich n bisschen was anderes kompiliert, immer so n bisschen weißt du und am Ende kam ja trotzdem ein Artefakt zum Beispiel n Update raus, was im Prinzip erfolgreich war, also der Build war erfolgreich und du gehst davon aus, dass auch das gebaut wird
was du annimmst. Was gebaut wird war aber nicht der Fall. Das heißt, keine Fehler im Bild, keine Verdachtsmomente, ganz einfach so zu dem Zeitpunkt. Ja, du hast dir gedacht, ja Pipeline ist grün, alles gut, Siegel drauf wie du so schön meintest, das heißt das Update wurde signiert und kam sozusagen für alle Kunden von offizieller Quelle. Und das macht es halt unfassbar gefährlich, da man ja wie gesagt Vertrauen in dieses Update hatte, weil es ein offizielles Solar Wins Update war.
Ich meine, du musst es ja immer so vorstellen, wenn du irgendwie eine Anwendung entwickelst. Und du hast vielleicht irgendwie eine CD Pipeline aufgesetzt, die dafür sorgt, dass halt eben deine Anwendung die Ploid wird oder ein Update quasi eingespielt wird oder zur Verfügung gestellt wird. Wie auch immer, dann gehst du im Normalfall nicht davon aus, dass
wenn deine also. Ich. Ich rede jetzt mal von mir, aber wenn du jetzt eine Pipeline hast und die ist grün, dann hinterfrage ich im Normalfall nicht noch mal. Hat das jetzt wirklich geklappt, weil du hast ja deine Pipeline selbst gebaut, die halt am Ende
grün ist. Ne, es ist gut gelaufen, ist grün gelaufen, so wenn irgendwas nicht geklappt hätte, wäre sie ja wohl rot gelaufen ne und da kann man jeder ja mal für sich selber überlegen, gerade im Def Ops Bereich wie stark man seiner Pipeline eigentlich vertraut und. Und wenn du jetzt zum Beispiel nicht weißt, dass deine Pipeline infiltriert, hast du durchaus ein krasses Problem.
Für mich heißt es aber auch gleichzeitig wieder, dass im Endeffekt, wenn du dir wirklich mal überlegst, wo eigentlich die Schwachstelle oder das Problem lag, die lag ja eigentlich gar nicht an Orion selber so, sondern die lag ja eigentlich in der Pipeline, in in dem ganzen Bildserver in der Bildumgebung. Und dann finde ich es auch wieder irgendwie ein interessantes Gedankenexperiment zu sagen, ja, pass auf.
Natürlich ist es wichtig, dass deine Software so wie sie ist, jetzt vielleicht nicht unbedingt angriffsvektoren bietet, wo du irgendwie als Angreifer sozusagen Fläche bietest, um angegriffen zu werden, weil das ist ja deine Software, aber
genauso würde ich sagen, ist. Die cicd Pipeline auch irgendwo eine Art Software. Ich nenne es jetzt mal übertriebene Art Anwendung in Anführungsstrichen, die du benutzt um deine eigentliche Anwendung sozusagen zu bauen und zu Deployen und das absolut teilweise sogar noch viel viel krasser, weil im Normalfall hast du im. Im Optimalfall auch verschlüsselt oder so.
Aber du hast ja um deine Pipeline um alles Mögliche zu machen, zum Beispiel du, du willst irgendwie, wenn du deinen Source Code bauen willst, musst du ihn auschecken, das heißt du brauchst irgendwo einen Secret um mit diesem um irgendwie an
deinen Code ranzukommen. Du willst zum Beispiel irgendwie was signieren, also brauchst du wieder irgendeinen Schlüssel um deine Anwendung zu signieren, du brauchst immer irgendwie diese ganzen Credentials, diese ganzen Secrets in deiner Pipeline in deiner Bildumgebung. Demzufolge bedeutet das ja eigentlich, dass deine Bildumgebung an sich schon eigentlich die absolute Schwachstelle ist, oder das?
Sagen wir mal die Region of Interest für Hacker, wenn man es mal so sieht, ne und gar nicht unbedingt die Anwendung selber. Ja, das ist ja auch der Grund, warum so Death of Security halt auch immer wichtiger wird, ne und immer n größeres Thema wird, weil es halt wirklich so n großer Teil. Des Softwareprojekts ist ja jetzt wahrscheinlich nicht die
Software, die du baust. Logischerweise wie du gerade meintest, aber halt an sich so ein großer Teil des Gesamtprojekts ist der Halt einfach auch angreifbar ist. Wie wir jetzt in dem Fall sehen und da ist halt die Frage, was kann man da so machen, da kommen würde ich würde ich sagen am Ende mal drauf ne also es gibt ja natürlich Punkte Learnings wie du anfangs meintest die man daraus ziehen sollte ich. Ich würde gerne aber noch auf einen Punkt vorher eingehen.
Und zwar kann man sich ja jetzt denken, OK, es ist das Kind ist in Brunnen gefallen, wie man so schön sagt, die Software ist infiziert und wird ausgerollt, weil wie gesagt der Bildprozess quasi Schadsoftware beinhaltete. Warum haben die Kunden das aber
so lange nicht gemerkt? Das ist jetzt die nächste Frage, ne. Du kannst sagen, OK, es ist passiert, aber warum auf Kundenseite, wo das Update ausgerollt wurde, warum wurde es da nicht bemerkt und das finde ich ist dann nämlich auch noch n spannender Punkt paar Sachen hast du noch die eigene? Also sag ich jetzt mal so. Also paar Sachen sind ja liegen, ja würd ich würd ich sagen jetzt schon mal auf der Hand. Also zum einen hast du halt diese vertrauenswürdige Seite, dass du davon ausgehst.
OK das das das kennen wir. Ne, das ist das kommt von vertrauenswürdiger Seite und dann hatten wir noch das sozusagen das Tool oder diese diese Trojaner eigentlich erst verzögert angefangen hat zu arbeiten beispielsweise. Das sind ja zumindest schon mal Dinge, die ja irgendwie damit definitiv reinspielen, dass das zum Beispiel spät bemerkt wurde. Genau, also du hast halt digitale Signatur. Ist diese scheinbare Sicherheit, die wir besprochen haben.
Das stimmt. Dadurch, dass es signiert war, hast du natürlich auch zum Beispiel keine Anschläge im Virenscanner oder in Firewalls, ne, weil es war ja offiziell
zugelassen. Das spielt natürlich dem Hack ordentlich in die Karten und natürlich auch der Admin Zugriff, den wir schon besprochen hatten, weil du halt einfach per Design Admin Zugriff hattest und dadurch waren zum Beispiel auch keine weiteren Exploits nötig oder irgendwie, du hattest ja einfach schon direkten Zugriff durch die Privilegien, die du als Admin hast. Aber es gibt noch so andere Punkte, die einfach zeigen, dass da auch wirklich Profis am Werk waren.
Und zwar hatte Sunbirst als Malware auch n paar Eigenschaften, die ich sehr spannend fand erstmal. Es war natürlich wieder so typische Windows Tarnung Windows Dienste, es war n Windows Dienst ne, damit hast du ja schon mal so n bisschen so offizielle Tarnung sag ich mal. Dann finde ich es auch spannend, dass die Malware. Scheinbar verzögert startete um so ersten Analyse Tools aus dem
Weg zu gehen. Ne also zum Beispiel du startest was es laufen n paar Checks, aber die Malware ist noch nicht am Start, das wird noch abgewartet, das ist ja das siehst du, dass das halt richtig geplant war und man wusste wie das System auch funktioniert ne um sowas überhaupt umgehen zu können, es wurde die. Die Umgebung geprüft worauf
laufe ich gerade eigentlich? Ja, bin ich in der Sandbox, bin ich in einem Testsystem, laufe ich produktiv, das finde ich es halt auch superkrass, dass im Prinzip eine Inaktivität stattgefunden hatte, wenn man wusste, ey, ich bin hier gerade auf in Analysen unterwegs, ja, also auf n Testsystem beispielsweise oder so, wo wirklich mehr Tests laufen, dann wurde das Ding gar nicht aktiviert. Das ist halt superkrass am Ende ne und was natürlich auch n
Klassiker ist. Der Schadcode lief halt im RAM und nicht sozusagen auf der Festplatte oder aus den Dateien heraus, was das Ganze auch noch schwerer nachweisbar machte. Das heißt man kann wirklich sagen, es war wirklich hochprofessionelle Malware am Ende. Mit guter Vorbereitung und guter Durchführung. Ja, aber es ist ja trotzdem aufgeflogen. Magst du mal sagen, wie wie es denn am Ende trotzdem Gott sei Dank ja erkannt wurde? Also ich hab auf jeden Fall
auch. Gelesen, dass als erstes mal oder so die der, der erst das erste Anzeichen wurde. Ja, hatten wir ja vorhin schon mal gesagt, von von Fire Eye
sogar du hattest von 9.12. Glaube ich erwähnt, ich glaube am 8. Dezember, wenn das jetzt so von den von den Überlieferungen sozusagen richtig ist, wurde von dieser Sicherheitsfirma irgendwie festgestellt und das fand ich ganz interessant, dass irgendwie n unauthentifiziertes oder n neues 2 Faktor gerät sozusagen von einem Mitarbeiter irgendwie registriert wurde und dann hat halt einer in bei Fire Eye hat sich gedacht und das war so der ursprüngliche Aufhänger,
so hab ich das zumindest verstanden, hat sich der von Fire Eye gedacht Moment warum, warum ist das so? Dann hat er den irgendwie gefragt und meinte so wie sieht es eigentlich aus also? Hast du das gemacht?
Und ja, so, NÖ, eigentlich nicht und dann war es irgendwie so OK, irgendwas ist komisch, ne und da wurde dann im Endeffekt auch so n bisschen dann das ganze n bisschen näher verfolgt und oder weiter recherchiert und dann kam sozusagen auch n Tag später zum 9. Dezember was du vorhin ja schon angesprochen hattest, ne? Und das ist halt das Spannende. Ne, es waren keine automatischen Scans oder irgendwelche Überwachungsfunktionen, sondern wirklich dieser Zufall, dass
sich n Mitarbeiter dachte. Irgendwie traue ich dem ganzen hier nicht. Ja, manuelle Arbeit am Ende hat das aufgedeckt, also auch so n Glücksfall, dass genau das passiert ist. Um das überhaupt zu erkennen, ja ja, das ist halt sowieso finde ich oft auch irgendwie krass, dass gerade wenn solche Angriffe gut gefahren werden, dann werden sie ja auch im Endeffekt auch mit dieser Vorbereitung darauf ausgelegt, dass sie halt möglichst unentdeckt bleiben und das dann am Ende zu entdecken ist halt.
Hat halt genau dann nichts mehr mit irgendwelchen Automatisierungen zu tun, weil sonst wäre es halt einfach zu einfach. Weißt du genau, aus diesen Gründen hast du dann leider eigentlich und in dem Fall Glück gehabt, dass es überhaupt jemand irgendwie erkannt hat, weil wenn man das Ganze sicher, also manchmal muss man sich auch mal fragen, da ist jetzt zum Beispiel ein neues Gerät, so wie oft fragt man sich dann am Ende wirklich ne? OK ist das war das jetzt irgendwie was Interessantes.
Ist das jetzt ne Anomalie in Anführungsstrichen oder nicht? Weil man könnte sich auch relativ schnell hinstellen und sagen ja OK hat er wahrscheinlich gemacht, passt schon ne vielleicht nicht unbedingt. Bei einem größeren Unternehmen halten. Genau, also vielleicht nicht unbedingt bei einer Sicherheitsfirma, ne, wo man vielleicht noch n bisschen sollte man zumindest mein geschulter darauf ist, dass man sagt, OK, irgendwie könnte das komisch sein, ich frag mal
lieber nach, aber. Aber so insgesamt finde ich das manchmal schon interessant, welche Zufälle dann dann doch auftreten und passieren, dass das erkannt wird. Ne, also diese manuellen Identifikationen nenne ich das jetzt mal. Ja, und jetzt ist die Frage, was für Auswirkungen Dimensionen hatte das um einfach mal wirklich verständlich zu machen, wie krass die.
Dieser Hack war also ja, man hat es jetzt gefunden, es wurde aufgearbeitet, man hat versucht, das ganze Halt zu bereinigen, logischerweise, man denkt sich ja nicht so, ja ja gut, dann ist es halt so jetzt ne, also man konnte halt jetzt aktiv dagegen vorgehen, aber monatelang war halt wie gesagt die Tür offen für die Hacker und Auswirkungen kann man sagen mindestens 9 US Bundesbehörden waren betroffen und circa über 100 große Firmen
nach Recherchen und. Im Prinzip ne weltweite Verbreitung. Ja, also man muss halt sagen, dass auch Europa und auch wahrscheinlich Deutschland betroffen war. Also wir reden hier nicht nur von der USA. Und über Monate sind halt wirklich Daten abgeflossen. E. Mails, Dokumente, strategische Infos, ne. Also gerade bei den US Behörden ist das Halt n riesen Supergau am Ende. Auch Microsoft bestätigte zum Beispiel, dass Teile des eigenen Quellcodes, dass darauf
zugegriffen wurde. Ja, ist schon krass, ne. Und die Frage ist natürlich, wer war das ganze und das finde ich halt auch super spannend. Es gibt offiziell kein. Schuldigen nachweislich aber aus Quellen des US Geheimdienstes wurden im Prinzip der russische Geheimdienst beschuldigt, also auch offiziell beschuldigt. Es gab auch Sanktionen und alles und dahinter sollte wieder der ein oder andere hat wahrscheinlich schon mal davon gehört, wieder eine.
Regierungsgestützte Organisation dahinter stecken, und zwar Cosybär und das macht die Sache halt noch viel brisanter und heftiger. Wer sich fragt, was ist Cosybär, da können wir beide, wir haben sie beide gesehen, wärmstens die ARD Doku Putin sparen empfehlen, also Liebe zuhören, Liebe zuhören, falls du sie nicht kennst, schau sie dir mal an, ist ne sehr sehr gut gemachte Doku und da geht es halt im Prinzip um offizielle Regierungshackerteams.
Aus Russland. Und die wurden halt auch beschuldigt, was natürlich auch dafür spricht, dass es halt so hochprofessionell und geduldig ablief. Ja, also das, wir hatten ja gesagt, das riecht ja schon danach, dass da ne professionelle Organisation dahinter ist. Und Fakt ist, dass der Umfang, die Ressourcen und auch diese Präzision in diesem Hack ja auch einfach so den das Maß aller Dinge. Drängen würde, wenn das jetzt so private Akteure gewesen wären.
Das hätte man, so glaub ich, auch gar nicht umsetzen können. Allein schon dieser Geduldsfaktor ne hatten wir ja gesagt, es gibt so n paar Hacks in der Geschichte, wo sag ich mal so Kids das gemacht haben, aber die haben ja völlig die Nerven verloren dabei und sind dann gleich überall hingeschoben, die hatten einfach nicht die ruhigen Hände für sein
Manöver, ganz genau. Ja, und ganz klar war ja auch Datenspionage das Ziel. Es gab keine Geldforderung, es wurde nichts zerstört, es war einfach nur, wir wollen lange unbemerkt bleiben und spionieren am Ende. Ja, also da, also gerade wenn du in sagen wir mal regierungs Institute irgendwie dich rein hackst oder in große große Firmen sei mal dahingestellt ne, ob jetzt sozusagen es dann wirklich die. Diese, dieser, diese cosy Bär,
wie nennt man das? Vereinigung Organisation war dann am Ende oder irgendjemand anders, man weiß es halt nicht hundertprozentig genau oder es wird halt vielleicht nicht hundertprozentig offengelegt, aber am Ende denk ich mir so, welche Privatperson beispielsweise würde sich denn zum Beispiel da einhacken wollen? Also erstens hast du richtig große Probleme, wenn du das schaffst Punkt 1 und Punkt 2 ist. Welche Daten interessieren einen denn da?
Also ich sag mal die wie sagt man also dieses Risiko ne, dass du erkannt wirst und was hinterher ich sag mal mit dir passieren würde wenn du das schaffst. Ich weiß nicht ob sich das lohnt da an Daten ranzukommen nur weil es irgendwie witzig wäre ne deswegen spricht das ja schon etwas dafür, also da wurde ja teilweise sogar auch ich glaube, dass. Wie nennt sich das nukleare? Also ich sag mal ein eine Abteilung für die nukleare Sicherheit und auch die ganze Nuklearkraft.
Nenn ich das jetzt mal der USA sogar angezapft, wo man sich dann auch denkt, so OK krasse Scheiße, da ist n Brett. Ja das ist auf jeden Fall. Ich hab auch ne ich hab auch ne sehr coole Analogie gelesen um das Ausmaß.
Mal begreiflich zu machen, wenn man sich jetzt einfach vorstellt, du hast so n weit verbreitetes Medikament, was so sehr viel in der Bevölkerung genommen wird, ne, dann war dieser Angriff im Prinzip nicht das Glas Wasser zu vergiften von demjenigen, der gerade das Medikament einnimmt, sondern diese ganze Medikamentenfabrik wurde vergiftet, ne und alle Patienten oder Nutzer dieser Medikamente.
Haben dann halt Schadstoff unbemerkt eingenommen, aber du kriegst dann halt wie gesagt Deine Tabletten, nimmst die Wasser hinterher und fertig und das zeigt einfach dieses diesen krassen Impact auf diese ganze Sache.
Was für Möglichkeiten dadurch entstanden sind fand ich, war halt auch eine sehr coole Analogie, wollte ich einfach noch mal anbringen an der Stelle und die Bereinigung wurde halt auch als äußerst schwierig eingestuft, das heißt die Cyber Security and Infrastructure Security Agency. Hat gesagt, eine vollständige Entfernung sei nahezu unmöglich und das ist krass. Das ist halt einfach krass. Ja, ich mein es. Irgendwie ist es ja auch logisch, weil wenn du irgendwie ein System hast.
Also ich hatte irgendwann mal einen bekannten, sag ich jetzt mal, der hatte wohl auch irgendwie einen Rechner, der irgendwie indiziert war mit irgendwas ne und ich hab. Mich dann gefragt okay würde ich selber diesen Rechner irgendwann, selbst wenn ich ihn zurücksetze noch mal verwenden und irgendwie war meine Antwort würde ich nicht machen, weil du irgendwie halt eigentlich gar nicht in der Lage bist so richtig zu verifizieren ist da jetzt noch irgendwo was drauf
oder nicht? Weil manchmal kannst du gar nicht so blöd denken, dass vielleicht noch irgendwo wieder eine Vector eingebaut wurde und. Und das finde ich manchmal schon
echt krass. Das heißt, wenn du sagst, dein System wurde wirklich infiltriert oder n Rechner ne Recheneinheit, da läuft irgendwie Schadcode drauf, du hast irgendwie n Trojaner da drauf, kann es natürlich sein, dass du es schaffst das komplett einzudämmen und komplett zu entfernen, aber es kann halt auch einfach sein, dass nicht und dann ist halt immer wieder die Frage OK, wenn ich das jetzt eindämme und ich schaffe es mit einer Wahrscheinlichkeit zu.
95%, aber du hast vielleicht irgendwelche nuklearen Abschusscodes da drauf. Ich übertreib jetzt mal extra ne, ist es da eigentlich vielleicht sinnvoller sich irgendwie n neues System zu kaufen? Aber da ist halt die Frage, wie gut man das eindämmen kann. Ne, also klar, wenn es jetzt ein sag ich mal ein Desktop PC ist, dann setzt du den neu auf und fertig. Aber wenn es schon wirklich in deinem Netzwerk war und alles dann weißt du ja gar nicht wo noch irgendwo was
zurückgeblieben ist. Aber. Weißt du, was ich mich gefragt hab? Ich hab mir gedacht, OK, pass auf, wenn du dir jetzt diese diese Geschichte anhörst und sagst OK pass auf, du hast n Software Fail sagst du Big Software Fails, aber was ich jetzt gerade gehört hab ist ja eigentlich ne reine Hacker Story so ich meine gut wenn du gehackt wirst hast du wahrscheinlich immer irgendwie n kleines Problem mit deiner Software mal davon ab aber und wir könnten jetzt mal fragen was.
Warum gibt es denn irgendwo? Also gibt es wirklich irgendwo Fails in dieser Story, wo man sagen kann, okay, da sind wirklich grobe Patzer passiert, dass es überhaupt so einfach war, das Ganze zu hacken, oder ist es vielleicht einfach nur so, dass die, die das gemacht haben, super gut waren und man es eigentlich hätte gar nicht großartig verhindern können? Genau, also lass uns mal zu dem Punkt kommen, was da jetzt genau schief gegangen ist. Was wie du meintest der Fail ist
und was man daraus lernen kann. Dass er so die Take Home Message dieser Folge, sag ich mal, im Prinzip lag der Fail in der kompletten Sicherheitskultur von solarwinds, das muss man einfach so sagen und da sind so im Nachhinein, also ich sag mal bei so einem krassen Fall, wenn so US Behörden und so betroffen sind, dann wird das natürlich auch richtig aufgerollt, das heißt, da ging Solarwind natürlich auch ordentlich an Kragen, muss man einfach so sagen und da sind Sachen
rausgekommen, wo man sich einfach n Kopf fest und sich denkt. Was zur Hölle ist bei euch los? Bestes Beispiel, es wurde festgestellt, dass es ein öffentlich bekanntes Passwort für den Update Server gab und es ist wirklich schehhaft das Passwort war Solar wins 103 und. 20 ich hätte gedacht 1234. Und das war wahrscheinlich die Security dahinter, dass sie die 4 weggelassen haben. Aber da denkst du dir halt schon so what?
Als. Also wirklich so der erste Moment, wo dir denkst was, aber es wird noch besser. Angeblich wurde dieses dieses Passwort von einem Praktikanten vergeben, der es öffentlich auf github committed hatte, das ist schon der nächste watch Moment. Das kannst du natürlich jetzt nicht machen. Das ist, das ist halt so krass. Und dann wurde natürlich erst das Ganze durch Druck der
Ermittler eingeräumt. So ne also solarwinds hat versucht das zu vertuschen, weil die haben das natürlich dann selbst für sich in. Intern aufgeräumt gehe ich ganz stark von Aus, haben das gesehen und haben sich dann noch so
gedacht. Oh mein Gott, wenn das rauskommt, aber durch den Druck der Ermittler, wie gesagt US Behörden involviert ist das halt rausgekommen ja und man hat sich dann noch versucht zu verteidigen, so was heißt verteidigen, aber man hat halt gesagt ja aber gut der Account war jetzt nicht maßgeblich involviert oder hatte irgendeine direkte Verbindung, aber trotzdem ist das einfach schon n massives Sicherheitsversagen gewesen.
Dass im Prinzip Keys ja also wirklich Passwörter öffentlich zugänglich waren, ja, das spricht ja halt dafür, dass du auf der einen Seite, wenn du n solarwind 123 Passwort angibst. Spricht das ja zum einen dafür, dass es irgendwie gar keine Passwort policy gab, weil ich weiß nicht. Also selbst wenn du, dass das erlaubt ist. Ja, selbst wenn du irgendwo n Passwort angibst ne oder du musst doch n Passwort machen und das ist ja meistens so, es ist rot. Also schwach mittelstark.
Und wenn ich das allein schon eingebe, in irgend so einer Maske, denke ich mir allein schon, ja komm, also da will ich auch ein starkes Passwort haben, so nach dem Motto, Weißt du und gerade bei sowas musst du irgendwie eine Passwort policy haben, wo du sagst okay das darf nicht einfach funktionieren.
Ja genauso mussten ja offensichtlich wurden entweder schlechte oder keine Code Reviews durchgeführt, weil irgendjemand hat ja oder dieser Praktikant hat ja offensichtlich einfach dieses Passwort committed öffentlich ins Repo. Übrigens hier auch noch mal, das macht man nicht.
Das. Macht man nicht und ich meine entweder es gab kein Code Review, das heißt N Praktikant hat einfach sensible Daten in die Cloud gepackt, entweder das oder irgendwer anders hat es mit ihm gereviewt und das ist auch nicht aufgefallen und das muss dann wiederum n schlechtes Code Review gewesen sein. Gute Code Reviews haben übrigens mal folgen gemacht, wollte ich nur sagen. Genau. Wichtig ein zweiter Punkt ist natürlich das fehlende Zero Trust denken.
Ne, also wir haben ja dieses königssiegel Beispiel gebracht, das hat es eigentlich auch gut auf den Punkt gebracht, nur weil da ein Siegel drauf ist, muss man ja nicht blind drauf vertrauen, was in diesem Brief steht, ne, das heißt digitale Signaturen reichen einfach nicht als Sicherheitsgarantie aus. Ja es gilt Halt im. Im Prinzip wurde das Vertrauen
ja ausgenutzt. Das muss man einfach so sagen und deswegen ist dieses Never Trust always Verify nötig, ne also diese Zero trust Denkweise zu sagen, OK. Ich weiß, es kommt von offizieller Quelle, aber ich vertraue dir nicht. Ich muss es selbst noch mal verifizieren, ob das für mich in Ordnung ist, was da jetzt kommt und diese Denkweise ist halt enorm wichtig, gerade bei so kritischen Systemen in. Bezüglich Updates definitiv.
Ich mein du hattest vorhin zum Beispiel auch noch mal als dritten Punkt noch mal genannt Monitoring angesprochen. Das war auch, würde ich sagen, schwach, jetzt aber nicht auf der Seite unbedingt von dem Auslöser solarwind sozusagen, sondern halt eben auch von den einzelnen Organisationen.
Aber es ist ja trotzdem irgendwo ein Learning oder ein etwas Wichtiges, was was, was definitiv Fakt ist, ist, man braucht halt eben oder man sollte immer gute Logs haben, weil im Endeffekt kannst du dadurch halt auch besser nachvollziehen, ob beispielsweise irgendwie Daten abfließen. Oder ob irgendwas komisches bei dir passiert, was eigentlich nicht hätte passieren sollen. Also irgendwelche sagen wir mal keine Ahnung, anstieg von irgendwelchen Prozessen, CP US oder was auch immer.
Also du musst halt irgendwie überwachen was passiert in deinem System und treten ja Anomalien auf und das war wohl dann offensichtlich auch von vielen Unternehmen, Organisationen, die halt eben solarwinds verwendet haben, wahrscheinlich auch wegen diesem Zero Trust denken. Oder dem fehlenden Zero Trust denken halt eben gesagt haben OK, passt schon ne. Ja, was hilft halt.
Und man muss natürlich sagen, einfach mehr die Sicherheitskultur leben und auch mehr Verantwortung übernehmen, ne, weil es gab halt auch interne Hinweise, die quasi von Solar wins ignoriert wurden, weil es wurde auch irgendwie festgestellt, dass um 2019, also davor auch schon Forscher warnten, dass das Passwort öffentlich ist. Ja, also es wurde ja gesehen und dann so.
Ja, wie heißt aber OK, also kommt ja keiner ran ans Repo so ne und das ist halt natürlich überhaupt nicht die richtige Denkweise, also lass uns mal zum Abschluss n Fazit ziehen, wir sind auch schon wieder ziemlich fortgeschritten in der in der Zeit, aber man muss einfach sagen es ist auch n großer Fall definitiv also im Prinzip. Gilt Solar wins dieser ganze Hack und die ganze Geschichte da drum als absoluter Weckruf in der Branche muss man sagen, also wenn man darüber liest, merkt
man auch schnell, dass das sehr sehr viel angestoßen hat im Nachhinein Richtung mehr Security ja gerade im Dev ops Bereich, weil es halt einfach gezeigt hat wie verwundbar selbstvertrauenswürdige it Systeme sein können es. Ist halt einfach auch wichtig, sagen wir mal diese Supply. Chain Security ernst zu nehmen und darauf zu gucken, OK, was passiert hier eigentlich genau? Woher kommt was ne?
Also wenn wir jetzt noch mal auf die Analogie mit dem Handwerker gehen, ist es natürlich gut zu sagen, OK ne die elektrofirma macht ne gute. Macht n guten Eindruck, aber vielleicht noch mal wirklich zu verifizieren, zu überprüfen und vielleicht mit bestimmten Mechanismen zu gucken, ob es denn wirklich eine vertrauenswürdige Firma ist und sie nicht einfach nur den Anschein macht, weil es keine
Ahnung n Unternehmen ist. Also nach dem Motto Weißt du, sondern halt wirklich eben genau dieses Supply dieser Supply Chain Security ne hohe Priorität zuzuweisen und zu sagen, OK, wir müssen uns darauf konzentrieren, das ist wichtig.
Wir arbeiten hier mit mehreren Sachen zusammen und die müssen, wenn wir gerade es kommt, natürlich auch immer n bisschen auf den Fokus drauf an. Aber gerade wenn du so ein System hast, was als im Admin Modus läuft, was Sachen überwacht, was was ne hohe sagen wir mal nen hohen Impact generieren kann, dann ist es halt immer wichtig zu sagen OK was könnte denn passieren und dann halt eben genau zu gucken wie kann man denn sicherstellen, dass alles safe ist? Ja. Absolut.
Man sieht ja an dem Beispiel, dass eine einzige Lücke in der Lieferkette reicht, um weltweit Organisationen zu kompromittieren, und das ist halt einfach ein Zeichen Warnzeichen, wie wichtig das Thema ist. Ne, also man muss einfach sagen als Entwickler auch ja gerade jetzt so unsere Rollen oder vielleicht auch von dir, liebe Zuhörer, liebe Zuhörer, es geht nicht nur darum bei.
Bugs zu finden und Bugs Fixes durchzuführen, sondern halt wirklich Security by Design zu betreiben und auch in die Richtung zu denken, dass man sich immer überlegt, wie kann ich mein System wirklich sicher gestalten, denn Fakt ist, dieser Hack ist so als Cyber Thriller in die Geschichte eingegangen, leider ohne Happy End muss man sagen, weil es ist einfach nicht klar was wirklich jetzt passiert ist. Man weiß nur es wird eine Menge passiert sein und man wird es
nie richtig aufarbeiten können. Deswegen hat es so diesen Thriller Charakter, weil man hat auch keinen Schuldigen irgendwie am Ende so wirklich gefunden. Wie gesagt, es gab die Anschuldigungen, es gab Sanktionen, man war sich sozusagen sicher, aber von offizieller Seite gibt es keinen direkten Schuldigen am Ende und damit würde ich sagen, können wir das Thema auch beenden, hat mir mega Spaß gemacht, Fabi.
Ja, auf jeden Fall ist n sehr interessanter Fall und ich hoffe, wir konnten alle ein bisschen was daraus lernen beziehungsweise? Prophylaktisch auch für unsere eigene Software zu gucken, OK, sowas sollte nicht passieren.
Wir müssen auf jeden Fall Fokus auf Security haben und ich würd sagen Liebe zürer lieber zürer, wenn du auch schon mal irgendwie, ich sag mal an bestimmte Punkte im Security Bereich gekommen bist wo du sagst ja da hab ich auch schon, da haben wir vielleicht bestimmte Dinge die wir präventiv unternehmen oder? Da hatte ich schon mal einen Fall, wo es fast schief gegangen ist.
Und das ist irgendwie spannend, wo du sagst, dass das das wär mal eine Erwähnung wert, dann schreib uns auf jeden Fall gerne auf irgendeiner Plattform Instagram, Discord oder auch die Podcast Mail findest du alles in den Shownotes und.
Empfiehl auf jeden Fall den Podcast auch gerne weiter. 2. Freunden, Freundinnen, es würde uns mega helfen, lass eine Bewertung da und ansonsten also falls jetzt sagst Oh die haben wir jetzt eine Stunde meiner Zeit geklaut, aber es war eine coole Stunde, den würde ich gerne was Gutes tun, weil das war echt eine tolle Sache, dann findest du auch einen kleinen Spenden Link in den Shownotes und ansonsten hören wir uns aber beim nächsten Mal wieder Vergesst nicht die Glocke an zu
machen um die nächste Folge nicht zu verpassen und dann ja. Macht es gut soweit. Eure Coding war jetzt gemeinsam besser.