Er hat sein ganzes Leben dem Schutz der Privatsphäre von Menschen im Internet gewidmet und bei der Firma F-Secure setzt er diese Arbeit fort. „Man kann in vielerlei Hinsicht sagen, dass wir den Kampf um die Privatsphäre verloren haben. Viele Menschen erinnern sich nicht daran, wie die Welt vor dem Internet war. Für viele war Google oder Wikipedia schon immer da. Und für sie ist es selbstverständlich, eine Vielzahl von Diensten im Internet zu nutzen, die alle Arten von Daten und Inhalten einbringen. So bezahlen Sie wirklich im Internet. Ein Video zu machen kostet Geld, aber wir bezahlen es mit unseren Daten und unserer Privatsphäre“, erklärt der F-Secure-Experte Miko Hypponen auf der RootedCON 2017.
„Wir haben vielleicht einen Krieg gegen die Privatsphäre verloren. Wir sind die Generation von Menschen, deren Leben von Anfang bis Ende verfolgt werden kann. Wir alle tragen Ortungsgeräte. Es ist sehr einfach zu überwachen, wo wir sind, mit wem wir kommunizieren. Es ist leicht zu wissen, was für Menschen wir sind. Was uns interessiert. Und alle Daten werden gesammelt. Daten sind das neue Öl. Das ist so und deshalb sprechen wir von Geheimdiensten, aber auch von Unternehmen, die Daten bei uns sammeln. Google hat im Jahr 2016 80.000 Millionen verdient… mit kostenlosen Diensten “.
Asymmetrischer Krieg gegen Cyberkriminalität
„Wir haben den Kampf um die Privatsphäre und den Kampf um die Sicherheit verloren. Ich weigere mich jedoch zuzugeben, dass wir Letzteres verloren haben. Alles, was ich getan habe, seit ich angefangen habe, Malware und Reverse Engineering zu studieren, diente diesem Zweck: die Bösen zu bekämpfen. Gegen diejenigen, die Malware senden, Denial-of-Service-Angriffe. Aber wir sind die mit dem weißen Hut im Vergleich zu denen mit dem schwarzen Hut. Ich bestreite nicht, dass unsere Arbeit kompliziert ist, denn Angreifer haben Zugang zu unserer Verteidigung.
„Das Erste, was sie lernen, ist, welche Art von Sicherheit sie brechen müssen. Das ist der Ausgangspunkt eines Angreifers. Und wenn sie es wissen, entscheiden sie, wie sie eintreten. Sie haben viel Zeit, sich vorzubereiten… und wir wenig, um darauf zu reagieren. Wir hören immer schlechte Nachrichten über Computersicherheit, über Angriffe, Lecks oder über Benutzer, die dumme Dinge tun, für alles dasselbe Passwort verwenden und bösartige Links öffnen. Doch wo waren wir vor 10 Jahren? Bei der Sicherheit wurden große Fortschritte erzielt. Vor einem Jahrzehnt verwendeten viele Benutzer Windows XP, das standardmäßig nicht einmal über eine Firewall verfügte.
„In Sachen Sicherheit sind wir weit gekommen. Wir machen große Fortschritte, aber leider entwickelt sich auch der Feind mit der Zeit. Vielleicht ist die Zeit gekommen, dem Feind zu begegnen, ihn zu verstehen. Aber wie so oft ist es leichter gesagt als getan. Der Endbenutzer hat keine Ahnung, wer hinter den Angriffen steckt. Es gibt Hacktivisten, Kriminelle, White Caps, Regierungen, Extremisten … es gibt alle Arten von Hackern. Wir haben Leute wie Charlie Miller und Chris Vallasek. Sie hacken, weil sie die Sicherheit verbessern wollen. Anonymus hat einen Grund für politischen Protest. Kriminelle wollen Geld verdienen, indem sie Viren schreiben. Und auch Regierungen sind daran interessiert, weil Cyberangriffe sie addieren. Sie sind effektiv, sie sind nicht teuer und sie sind unbestreitbar. Es ist eine perfekte Ergänzung, wenn man aus militärischer Sicht denkt. Wenn Sie eine Waffe haben, die kostengünstig, effektiv und unbestreitbar ist, haben Sie die perfekte Mischung. Deshalb beginnt jetzt der Moment der Veränderung».
Ein neues Cyber-Wettrüsten beginnt
Wir stehen am Anfang der nächsten bewaffneten Schlacht. Wir haben das nukleare Wettrüsten erlebt. Wir sind jetzt in der von Cyberwaffen. Es hat begonnen und wird dort für Jahre bleiben. Es wird Jahrzehnte dauern, über Cyber-Abrüstung zu sprechen. Und aus Sicht der Regierungen gibt es nicht nur das Militär, sondern auch die Sicherheitskräfte. Wenn mir jemand gesagt hätte, dass die Polizei Viren haben würde, um Bürger zu infizieren, hätte ich es nicht geglaubt, aber es ist so. Ich habe kein Problem damit, dass Regierungen offensive Technologien einsetzen, um Verbrechen zu untersuchen und Terroristen zu jagen. Sie müssen sie in der physischen Welt und in der Online-Welt anstreben. Aber wenn wir als Bürger dieses Recht den Sicherheitskräften einräumen, müssen wir Transparenz fordern. Diese offensive Cybermacht muss dazu führen, dass die Sicherheitskräfte Statistiken veröffentlichen. Wir haben 200 Computer mit Malware infiziert und 150 von Menschen, die böse waren und verurteilt wurden. Es kann aber auch das Gegenteil sein. Es gibt keine Transparenz und daher können wir darüber keine Entscheidungen treffen. Aber die größte Gruppe, die mit Angriffen Geld verdient, sind Kriminelle. Es sind Menschen, die viel verdienen und verfolgt werden.
Die neuesten Trends zur Cyberkriminalität, um auf Ihre Kosten Geld zu verdienen
„Einer der neuesten Trends in der Cyberkriminalität sind Trojaner, die Bitcoins und digitale Währungen stehlen. Wir wissen, dass Erfindungen offensichtlich sind … wenn sie erfunden werden. Das sind die besten. Dank der Blockchain-Technologie können Transaktionen automatisch und ohne Eingreifen anderer Personen durchgeführt werden. Bitcoin und die Blockchain sind nicht schlecht. Sie sind gut wie Geld. Das Problem ist, dass Kriminelle auch das Geld wollen, sei es physisch oder virtuell. Es ist schwierig, Kokain mit einer Kreditkarte zu kaufen. Aber mit Bitcoin ist es einfacher. Für Kriminelle ist Bitcoin wie ein Geschenk des Himmels. Deshalb gibt es so viel Trojaner-Boom. Wir verfolgen derzeit 110 verschiedene Gruppen, die um dieselben Opfer kämpfen. Und nicht alle Gruppen kommen aus Russland, es gibt auch einige aus der Ukraine.
Wie suchen sie nach ihren Opfern? Erstens durch Exploits, die einen Computer infizierten, indem sie einen Link öffneten. Heute ist der gängigste Weg ein Word-Dokument und ein E-Mail-Anhang. Dies begann im Jahr 2008 durch das Makro. Und jetzt ist es wieder da. Diejenigen, die mehr Angriffe erhalten können, sind die Personalabteilungen, die infizierte Lebensläufe erhalten, die Links zur Erweiterung ihrer Informationen enthalten. Microsoft muss den Namen der Schaltfläche ändern, anstatt Inhalte zu aktivieren, die sagen müssen: ‚Infiziere mein System‘“ – Gelächter aus der Öffentlichkeit-.
Der Computervirus, der dir „vergibt“, wenn er zwei Freunde infiziert
«Es gab sogar eine Ransomware - die Software, die einen Computer entführt, indem sie seine Informationen verschlüsselt -, die 1.300 Dollar verlangt, aber Sie können sich sparen, indem Sie zwei andere Maschinen infizieren. Sie müssen zwei Personen infizieren, die am Ende die Ransomware-Prämie zahlen. Es ist das Popcorn. Jedes Opfer hat eine eindeutige URL. Wenn Sie sie also an Facebook senden, sind viele Menschen infiziert. Er ist sehr kreativ und mein Smart. Kommen wir nach der Ransomware auf diese Typen zurück.“
Der Cyberangriff gegen LinkedIN hat den Cyberkriminellen zum Millionär gemacht
«Es gab 2012 einen LinkedIN-Hack und wenn du dabei warst…. Sie haben deine Schlüssel gestohlen. Wenn Sie also ein Konto in diesem sozialen Netzwerk hatten, wurde es von einem Cyberkriminellen gestohlen, den jetzt jeder kennt - er hat sein Foto gezeigt. Ich war eines seiner Opfer. Eine Strafe hat er noch nicht erhalten, obwohl er mit seiner Freundin im Urlaub in Prag inhaftiert ist und auf eine Auslieferung an die USA hofft. Was hat das mit dem Diebstahl von 130 Millionen Passwörtern zu tun? Nun, andere Cyberkriminelle würden zu ihnen kommen. Wie viel können Sie mit dem Verkauf von Passwörtern verdienen? Ich weiß nicht. Aber wenn wir uns ein Video auf YouTube ansehen, können wir uns ein Bild machen. Sprechen Sie über Ihren Urlaub mit Supersportwagen wie dem Audi R8 und dem Lamborghini Hurracane. Außerdem ist zu sehen, dass er einen Mercedes, einen Aston Martin, einen Porsche, eine Rolex und einen Rolls Royce besitzt. Also, wie viel hat er verdient? Nun, ich weiß es nicht, aber genug».
«Wenn Sie diese Schlüssel erhalten, können Sie auf 1,3 Millionen Gmail-Konten zugreifen. Denn sie haben alle das gleiche Passwort wie in linkedIN. Wir haben nachgefragt und 50 % der Benutzer verwenden auf allen Websites dasselbe Passwort. Es ist ziemlich dumm. Sobald sie Gmail eingeben, suchen sie nach alten E-Mails. Gmail löscht sie nie und sie suchen nach einem bestimmten Typ. Die, die Sie erhalten, wenn Sie sich bei einem Internet-Shop wie Amazon registrieren. So wissen sie, dass Sie ein Konto mit dieser E-Mail-Adresse haben, zum Beispiel bei Amazon. Und wenn Ihr Passwort darauf nicht funktioniert, ist es egal. Da alle Anmeldeseiten einen magischen Button haben "Ich habe mein Passwort vergessen" und wie sie Zugriff auf Gmail haben … nun, sie greifen darauf zu. Sobald sie auf Gmail zugreifen, haben sie Zugriff auf alles. Sie können Xbox, Palystation kaufen und Sie werden dafür bezahlen ».
Das gefürchtete Internet der Dinge
«Eine weitere grosse Herausforderung in unseren Händen ist die glänzende Zukunft des Internets der Dinge und des industriellen Steuerungssystems ICS. So hat er gezeigt, dass in einem Schwimmbecken eine Kernreaktion stattfindet. Warum zeige ich dieses Video? Nun, weil es ein Beispiel für industrielle Kontrolle ist. Dieser Reaktor wird von einer SPS, einem programmierbaren Roboter, gesteuert. Alle Infrastrukturen werden von Computern und Software verwaltet. Darüber muss man sich im Klaren sein. Wir sind von der Computersicherheit und ich dachte jahrelang, ich müsste Computer sichern. Aber jetzt weiß ich es nicht. Unsere Aufgabe ist es nicht, Computer zu sichern…. Es besteht darin, der gesamten Gesellschaft Sicherheit zu geben. Es ist an der Zeit, Ihre Sicht auf die Welt zu ändern. Es gibt so viele Dinge und es wird von so vielen Dingen über IOT- und ICS-Risiken gesprochen, und das erste ist, dass diese Dinge mit dem Internet verbunden sind, obwohl sie keine Verbindung herstellen müssen. Diese Dinge ermöglichen den Zugang zu dem, was dahinter steckt. Es gibt viele Fabriksysteme, die sich versehentlich mit dem Internet verbinden.
So hat er ein Online-Krematorium gezeigt, Schlafzimmer durch Überwachungskameras gesehen … «Ein Freund von mir findet Dinge wie ein Boot, das ohne Passwort verbunden ist. Auch Vorhänge und Jalousien. Und mein Freund sagt, wenn man im Internet Vorhänge öffnen und schließen kann, bedeutet dies, dass das Internet der Dinge nicht in der Zukunft liegt. Ist hier. Und sie sind Vektoren. Sie können auf eine Glühbirne zugreifen, mit der Sie andere Systeme erreichen können. Sie stellen eine Kaffeemaschine mit Wi-Fi und es wird das schwächste Glied in der Kette und eines Tages wachen Sie auf und Sie haben alle Ihre Computer verschlüsselt. Machen? "Verwenden Sie niemals ein Gerät, ohne sichere Passwörter einzugeben."
„Die Mirai-Malware infizierte 120 Millionen IOT-Geräte, aber ihren Besitzern war das egal. Wir sprechen mit ihnen. Ihre Überwachungskamera wurde gehackt … und sie antworteten ja, was cooles? Aber es funktioniert gut. Wenn es funktioniert, ist es den Leuten egal, ob es für einen Angriff verwendet wird. Und das Traurigste ist, dass alle Geräte nur wenige Passwörter verwendet haben. Und sie nutzten auch Telnet - ein System aus den 80er Jahren - weil es nicht verschlüsselt war ».
Elektronische Geräte müssen reguliert werden: Wenn sie nicht sicher sind, müssen Sie Ansprüche geltend machen können
„Man muss in Sicherheit investieren. Wir regulieren die physische Sicherheit und die Online-Sicherheit muss reguliert werden. Ich spreche nicht von einer, die Gerätevorschriften festlegt. Es muss aber geregelt werden, dass der Hersteller für die von ihm geschaffenen Probleme verklagt wird. Wenn Sie eine Waschmaschine mit einem Kurzschluss haben, müssen Sie diesen beheben. Und wenn Sie sie nicht verklagen können und das muss in der Cyberwelt erreicht werden. Dass Sie wegen einer Sicherheitsverletzung verklagen können.
Die Zeit ist gekommen für Cyberwaffen und Cyberabrüstung
«Ich habe von Regierungen und ihrem Hacking gesprochen. Wir haben einen Sitz in der ersten Reihe bei den Angriffen gegen die USA bei den Präsidentschaftswahlen. Russland versuchte, den Ausgang der Wahlen zur größten Macht der Welt zu beeinflussen. In Bloomber gab es einige Monate zuvor ein Interview mit Putin, aber es war bereits bekannt. Also fragten sie ihn, wer die Demokraten gehackt hat. Ist es wirklich wichtig? Wichtig ist der Inhalt der E-Mails. Lenken Sie die Öffentlichkeit nicht davon ab, wer es getan hat. Ist das Cyberkrieg? Nicht".
Ukrainische Soldaten wurden getötet, nachdem ihr Handy infiziert wurde … und geopositioniert wurde
Aber vor zwei Monaten sahen ukrainische Soldaten ihr Handy mit Malware infiziert, sie wurden positioniert und die Artillerie zerschmetterte sie. Ich spreche vom Nebel der Cyber-Kriegsführung. Dieses Wettrüsten in einem bestimmten Land, Sie können wissen, wie viele Panzer ein Land hat…. Aber von Cyberkapaziden keine Ahnung. Wir wissen, dass die USA gut sind, dass seit längerer Zeit mehr Geld investiert wurde, um Cyber-Abwehrfähigkeiten aufzubauen, dass Israel, Russland und China sehr gut sind. Aber dann ist alles sehr nebulös, wie hoch ist die Cyber-Offensive-Kapazität Schwedens? Spanien? Vietnam? Keine Ahnung. Das ist der Cyberwar-Nebel. Deshalb unterscheidet es sich sehr vom Wettlauf um Atomwaffen. Seine Macht lag nicht in seinem Gebrauch, sondern in seiner Fähigkeit, Angst zu erzeugen. Hiroshima und Nagasaki waren klare Beispiele. Es geht nicht darum, es zu benutzen, sondern darum zu zeigen, dass man sie hat. Jeder weiß, dass, wenn ein Land diese Waffe hat, niemand damit anlegt.
Mit dem Cyberwar-Nebel weiß niemand etwas. Die Macht von Cyberwaffen ist nicht widersprüchlich. Deshalb sehen wir sie. Das Stuxnet und das Hacken des Stromnetzes in der Ukraine 2015 oder die ukrainischen Soldaten, die 2016 auf dem Schlachtfeld starben.
Die Macht von Cyberwaffen liegt in ihrem Einsatz. Cyberwaffen sind leicht verfügbar und haben viel Kraft. Stuxnet war mit rein militärischen Fähigkeiten nicht zu erreichen. Wenn es darum ging, das iranische Atomprogramm zu verzögern, könnte das Land mit hohen Kosten, auch an Menschenleben, überfallen oder die Anlage bombardiert werden. Oder Sie können Stuxnet schreiben, das eine Million kostet. Und es kostet das gleiche wie ein B52-Ausgang. Aber im Gegensatz zu diesem ist es nicht sichtbar.
Hacker verteidigen keine Computer mehr … jetzt verteidigen sie die Welt
«Das ist die Welt, in der wir heute leben. Wir sind alle Sicherheitsleute. Wir dachten, dass unsere Aufgabe darin besteht, Computern Sicherheit zu geben. Aber nicht mehr. Diese Arbeit soll von nun an der Gesellschaft Sicherheit geben und wir müssen sie sehr ernst nehmen, weil wir eine große Verantwortung tragen, mehr als wir denken, weil wir diejenigen sind, die unsere Gesellschaft verteidigen.»
Weitere Artikel wie diesen finden Sie im OneMagazine.