Rezension: This Is How They Tell Me the World Ends

Posted on Do 15 August 2024 in Blog

This Is How They Tell Me the World Ends

Nicole Perlroth hat sich in ihrem Buch mit Cybersecurity und dem Markt für zero-day exploits auseinandergesetzt. Das Buch ist durchaus sehr spannend und packend zu lesen. Es wird aber auch für Ungenauigkeiten kritisiert. Ich denke, so manches in ihren Erzählungen hat sich dann vielleicht doch nicht ganz so zugetragen, aber es liest sich trotzdem sehr spannend.

Unabhängig von etwaigen Ungenauigkeiten beinhaltet das Buch auch einige spannende Informationen. Auch wenn ich ihre Abneigung gegenüber Donald Trump nachvollziehen kann, wäre es für das Buch vielleicht besser gewesen, wenn sie versucht hätte, diese Abneigung nicht so stark zur Schau zu stellen.

In ihrem Buch berichtet sie auch über Probleme mit der Komplexität in der IT. Ein Thema, das mir auch durchaus am Herzen liegt und ich auch schon darüber geschrieben habe: siehe Beitrag Komplexität in der IT. Im Buch gibt es dafür auch immer wieder schöne Beispiele. Seite 86:

Morris Sr. told Gosler that, off the top of his head, he would have "100 percent confidence" in an application that contained 10,000 lines of code or less, and zero confidence in an application that contained more than 100,000 lines of code [...] Turns out it was an application with fewer than 3,000 lines of code.

Morris Sr. invited an elite NSA squad of PHDs, cryptographers , and electrical engineers to take a look. Not one discovered Gosler's implant, nor could any replicate the subversion once Gosler pointed them to it. CLearly the NSA overestimated its own ability to detect vulnerabilities in the nation's most sensitive computer systems.

Oder auch Seite 106:

Its work was so closely protected that at one point its bosses considered installing iris scanners outside their doors. The quickly abandoned this idea, concluding that the scanners only offered a veneer of security; in reality they just introduced more complexity - more ways to get hacked.

Und auf Seite 392 spricht sie mir sehr aus dem Herzen:

But speed has always been the natural enemy of good security design. Our current model penalizes products with the most secure, fully vetted software.

Eine mehr als verständliche Sichtweise. Qualität wird nicht wirklich belohnt bzw. ist es wahrscheinlich schwierig für die Kunden einzuschätzen, wenn eine andere Lösung mit wesentlich mehr "Features" daherkommt.

Wenn man sich die heutige IT-Landschaft anschaut, dann sieht man schön, wie oftmals Sicherheitslösungen neue Probleme, gerne auch gleich Remote Code Execution-Bugs, "einführen". Daher sollte man auch immer abwägen, ob diese Lösungen auch wirklich die Sicherheit erhöhen oder einfach nur eine weitere Türe öffnen.

In Österreich wird ja derzeit wieder einmal eine Debatte über die Überwachung von Messengerdiensten geführt. Aus dem Blickwinkel der Sicherheitsbehörden ist das auch bis zu einem gewissen Grad nachvollziehbar.

Auch wenn hinsichtlich des Hauptverdächtigen zum geplanten Anschlag auf die Taylor-Swift-Konzerte die Argumentation etwas ins Leere läuft, da dieser scheinbar auf Telegramm aktiv war (siehe: Terror-Ermittlungen: Plan war, "Personen außerhalb des Stadions zu töten"). Und Telegramm nutzt nicht wirklich eine Verschlüsselung (siehe: End-to-End Encryption FAQ).

Aber was ist das grundlegende Problem bei der Überwachung von Diensten, wie WhatsApp oder Signal? Dies funktioniert nur mittels zero-day exploits. Damit kommt der Staat in eine Zwickmühle, denn um die eigene Infrastruktur zu schützen, muss man diese Sicherheitslücken eigentlich schnellstmöglich schließen. Im Falle von Messengerdiensten wäre das auch die Kommunikation der eigenen Bevölkerung vor ausländischen Diensten.

Und genau dieses Dilemma haben auch die USA. Vielleicht auch noch mit einer Portion Arroganz kombiniert (Seite 115):

"The NSA's fatal flaw is that it came to believe it was smarter than everyone else", Peter G. Neumann, one of America's sages of cybersecurity, told me one day.

Durch das Nutzen von Sicherheitslücken für den Informationsgewinn muss man dann überlegen, welche Lücke meldet man dem Hersteller und welche Lücke wird ausgenutzt. Hier beschreibt Nicole Perlroth in ihrem Buch schön, wie es sich bei diesen Einschätzungen - nach dem Motto "NOBUS - Noboy But Us" - auch um große Fehleinschätzungen handeln kann. Wie man zur NOBUS-Einschätzung kommt, beschreibt sich auf Seite 136, wo sie Michael Hayden zitiert:

"You look at a vulnerability through a different lens if even with the vulnerability it requires substantial computational power or substantial other attributes, and you have to make the judgment: Who else can do this?"

Und gerade hier kommt, glaube ich, das klassische menschliche Dilemma zu tragen, dass man die eigenen Fähigkeiten überschätzt und die von anderen Menschen unterschätzt. Später im Buch (Seite 350) wird auch noch beschrieben, wie der NOBUS-Ansatz nicht gut funktioniert, denn die Chinesen haben die NSA in ihren Netzwerken entdeckt und die verwendeten Sicherheitslücken dann selbst genutzt, um in fremde Netzwerken einzudringen.

Natürlich wird im Buch auch dem größten Beispiel für das Versagen von NOBUS ein großer Platz eingeräumt: The Shadow Brokers. Eine Gruppe, die einige Tools der NSA gestohlen und veröffentlicht haben. Mit EternalBlue gab es dann auch einen passenden Exploit für eine Sicherheitslücke, die die NSA über Jahre hinweg ausgenutzt hat. Da das Internet keine Grenzen kennt, hat diese Lücke dann auch in den USA selbst genügend Probleme gemacht.

Fazit

Ein durchaus unterhaltsames Buch, das die Sicherheitsprobleme und -pannen der letzten Jahrzehnte ganz gut aufzeigt. Das Buch ist auch sehr spannend zu lesen und für alle, die sich für diesen Bereich interessieren sicherlich ganz interessant.

Sehr gut nachvollziehen kann ich das Plädoyer von Nicole Perlroth Sicherheitslücken zu schließen und diese nicht für Spionage auszunutzen. Das Schließen der Lücken würde auch bedeuten, die eigene Infrastruktur zu schützen. Denn ich denke, das Konzept NOBUS hat in einer vernetzten Welt einfach keinen Bestand.