Jubiläum 25 Jahre ETH Christian Hallqvist

Herzlichen Glückwunsch Christian Hallqvist, ID-Mitarbeiter bei der ID Netzwerksicherheit, ICT-Networks.

Was bis zum 20.ten Jubiläum passiert ist, könnt Ihr im Post «20 Jahren ETH» lesen. In den letzten fünf Jahren ist aber auch einiges passiert – mit kleinen Hochs und Tiefs.

Vorfall WannaCry

Um einen Einblick zu bekommen, wie es manchmal laufen kann, nehme ich als Beispiel den WannaCry-Fall vom Mai 2017. Begonnen hat es mit einem Anruf am Samstag, 13. Mai 2017. Informiert wurde ich, dass eine Ransomware um die Welt ging und das ETH-Netzwerk überprüft werden muss.

Wir arbeiteten das ganze Wochenende durch – von früh bis spät

Unter anderem auch durch die Zusammenarbeit mit SWITCH fanden wir schnell eine sichere und effiziente Methode, um verdächtigte Fälle zu finden. Unsere Quelle waren die lokalen DNS-Logs. Wir konnten zusätzlich auch DNS-Anfragen nach Aussen durch IDS überwachen. Die Methode hatte praktisch keine False Negatives.

Ein Glück haben wir viele neugierige und experimentierfreudige Studentinnen und Studenten an der ETH, die auch diese Welle verfolgt haben. Durch ihre Versuche und Tests wurden mehrere Falsch-Meldungen in unseren Logs generiert, sogenannte False Positives.

Wir gingen aber alle Meldungen durch

Es war natürlich einfach, da die Betroffenen von Ransomware praktisch keinen Aufwand brauchten, um Befall oder keinen Befall zu bestätigen. Jeder Betroffene konnte eindeutig sehen, ob sein Gerät von Ransomware betroffen war (oder nicht). Der Datenverlust durch Ransomware ist klar sichtbar. Zum Beispiel mit dem folgenden Text: «Alle deine Daten sind verschlüsselt. Bezahle so und so viel auf das Bitcoin Konto und du kriegst den Entschlüsselungs-Code».

Wir gingen einen nach dem andern möglichen Fall durch und als die Welle endlich zur Ruhe kam, konnten wir mit Erstaunen feststellen, dass unser ETH-Netzwerk gar nicht von dieser WannaCry-Welle betroffen war. Kein einziger True Positive-Fall.

Durch diese Übung haben wir viel gelernt und sind auch unglaublich froh wie resistent – durch gut gepatchte moderne Systeme – unser ETH-Netzwerk tatsächlich ist.

False Positive

Eine Alarm-Meldung, welcher kein Alarm bedeutet:
Wie z.B., wenn jemand Feuer-Alarm grundlos oder aus Langweile auslöst.

True Positive

Eine Alarm-Meldung, welche in Tat und Wahrheit eine Alarm-Meldung bedeutet:
Wie z.B. jemand löst Feuer-Alarm aus wegen Feuer.

False Negative

Wenn keine Alarm Meldung erzeugt wurde, obwohl es eindeutig hätte geschehen sollen:
Wie z.B. niemand meldet Feuer, obwohl Feuer ausgebrochen ist, … alle im Gebäude rennen in Panik hinaus, ohne dabei Feueralarm auszulösen.

Posted on
in IT-Sich, Kommunikation, News, Support Tags: , ,