# Strategic Cyber Defense: Cross-Layer Risks & Ransomware Mitigation

**Podcast:** Engineering Kiosk
**Published:** 2026-03-24

## Transcript

Willkommen zu einer neuen Episode vom Engineering Cures Podcast.
Heute wird es mal wieder ein bisschen absurd.
Denn wir sprechen über Security-Fälle, bei denen du dich mehrfach fragen wirst, ist das wirklich passiert?
Die kurze Antwort ist leider ja.
Wir knüpfen an unsere letzte Episode über verrückte Hacking-Attacken an und haben wieder zwei Fälle dabei, die zeigen, wie kreativ, seltsam und gleichzeitig lehrreich Sicherheitsvorfälle sein können.
Es geht um eine legendäre Geschichte rund um Janet Jackson, Resonanz, Festplatten und die Frage, ob ein Song tatsächlich ein Denail auf Service-Ausfall auslösen kann.
Ja, Akustik, Physik und Betriebssystem Crash in einer Kausalkette.
Ich würde mal sagen, willkommen im Cross-Layer-Chaos.
Danach schauen wir auf den Garmin-Vorfall aus dem Jahr 2020.
Ransomware, Lateral Movement, Phishing, Flight Planning und die unschöne Erkenntnis, dass ein Security-Incident eben nicht nur deine Laufdaten betrifft, sondern im Zweifel auch kritische Infrastrukturen und Luftfahrtworkflows.
Wir sprechen darüber, was man aus solchen Fällen für Threat Modeling, Backup-Strategien und Incident-Response lernen kann.
Also, wenn du Lust auf Security-Geschichten mit technischem Tiefgang und einer Prise What the Fuck hast, dann bist du genau hier richtig.
Wir springen rein, los geht's.
Vor ein paar Episoden haben wir Crazy Hacks vorgestellt.
Also so ein paar Sicherheits-Hacks.
Sicherheitshacks gibt es Sicherheitshex, weiß ich gerade nicht.
Auf jeden Fall Hacking-Attacken, die auf der einen Seite viral gegangen sind, auf der anderen Seite vielleicht ein bisschen kurios.
Auf jeden Fall haben wir uns dann immer gefragt, was kann man daraus lernen.
Und irgendwie, also das war wirklich ein Zufall, das war nicht geplant, sind wir immer auf Zero Trust rausgekommen.
Also man soll den Leuten, die das Request senden, nicht vertrauen.
Egal, ob es interne Systeme sind oder nicht.
Und als wir die Episode vorbereitet haben, sind wir über so viel spannenden Kram gestolpert.
Also spannende Security-Hacks, also spannende Sicherheitslücken, die vielleicht beabsichtigt waren, vielleicht auch nicht.
Und wir hatten gar keine Zeit, in der Episode 257 alle unterzubringen.
Und da haben wir einfach irgendwann gedacht, ja gut, dann machen wir jetzt bei drei Sicherheitslöchern Schluss.
Und wenn wir mal irgendwann wieder Lust haben, machen wir eine zweite Episode und nehmen die anderen mit rein.
Und jetzt ist die zweite Episode, weil wir jetzt Lust haben.
Wolfgang, wie viele Sicherheitsgedanken hast du dir denn seit der letzten Episode gemacht?
Denkst du jetzt vermehrt über Zero Trust nach oder hast du einfach seitdem nicht mehr programmiert und deswegen war das völlig irrelevant?
Ich habe gerade ein konkretes Problem, und zwar im IoT-Umfeld, wo es um MQTT geht, dieses Messaging-Protokoll, was wir auch in der Episode behandelt haben, über dieses gesamte Roboterflotte von 7000 Stabsaugerrobotern Hops genommen wurde.
Dass ich das in einem eigenen Projekt habe und das Problem habe, dass ich es nicht über TLS machen kann, weil dieser Chip zu schwach ist und der TLS nicht hinbekommt.
Und das ist gerade aktuell was, was mir Kopf zu brechen bereitet.
Nicht nur nach der letzten Episode, sondern ganz allgemein.
Aber Hardware ist schwieriger als man so denkt.
Wenn man aus der Software-Ecke kommt, hat man ja immer so das Gefühl, man braucht nur irgendeine Lip reinschmeißen und alles ist okay.
Aber im Hardware-Umfeld ist das schon alles viel schwieriger, muss man sagen.
Da geht es ja um die Verschlüsselung von Kommunikation, da geht es ja nicht um das Vertrauen von dem Request.
Also auch die Komponente, die auch das Zertifikat hat, um die Kommunikation zu verschlüsseln, kann ja befallen sein und kann ja bösartige Requests senden.
Natürlich, aber wenn es schon mal gar nicht verschlüsselt ist, dann hast du natürlich grundsätzlich schon ein Problem, wenn du im Klartext da irgendwelche Passworte rumsendest beim Login zum Beispiel.
Und wie löst du es jetzt?
Vermutlich eine andere Hardware.
Also das war jetzt wirklich nicht abgesprochen, aber der Übergang ist wirklich perfekt.
Denn wir legen direkt los und kommen direkt zum ersten.
Ich würde fast sagen, beabsichtigten, unbeabsichtigten Fall.
Naja.
Wolfgang, was hast du 1989 gemacht?
Ich glaube, ich bin ins Gymnasium gekommen.
Das war so erste Klasse Gymnasium.
Zweite?
Wenn man nicht mal ganz sicher.
So was um den Dreh rum.
Okay, dann könnte das ja wirklich sein, dass du nach dem Gymnasium Prince of Persia gespielt hast und dabei Rhythm Nation von der Janet Jackson gehört hast und dich gefragt hast, warum stürzt dein Computer mal ab, oder?
Prince of Persia habe ich wahrscheinlich gespielt, wobei er mir jetzt gerade nachgerechnet.
Das kann doch nicht sein.
Es war eigentlich die Volksschule, also die Grundschule.
Bei uns heißt die Volksschule.
Stimmt, war noch andere Zeiten, aber habe ich da schon ein Computer gehabt?
Vermutlich noch gar nicht.
Ich auf keinen Fall.
Ich 1989 war ich mit hoher Wahrscheinlichkeit mit mir selbst auf einem Schaukelpferd oder Schaukelstuhl oder ähnlichem beschäftigt.
Aber es geht nicht um Prince of Persia.
Schade.
Es geht um Janet Jackson.
Es geht um Rhythm Nation.
Das ist ein Song, der im September 1989 von Janet Jackson veröffentlicht wurde.
Und dieser Song hat sozusagen eine eigene CVE-Nummer bekommen.
Und zwar reden wir hier über die Janet Jackson-Sicherheitslücke.
Das klingt schon kurios, lass es mich bitte erklären.
Und zwar fällt dieses CVE in ein Akustik-DOS.
Und dann habe ich erstmal nachgeguckt, okay.
DOS, jeder aus dem Sicherheitsbereich weiß, dass das eigentlich die Nail of Service heißt.
Und ich mache mal wieder einen Punkt, um Abkürzungen zu vermeiden.
Wenn du DOS, also DOS bei Google reinpackst, dann kommt die KI-Antwort und sagt, wofür steht das?
Wofür steht das DOS?
Und dann gibt es, lustigerweise, das Disk Operating System.
Ja klar, DOS hast du nie DOS verwendet.
Bist du zu jung, um DOS verwendet zu haben.
Nein, nein, ich habe mich nie gefragt, wofür MS-DOS, also das DOS in MS-DOS steht.
Und das ist es, Disc Operating System.
Ich meine aber in diesem Punkt mit Akustik-DOS meine ich nicht Akustik Disc Operating System, obwohl das leider auch zutrifft und ich erkläre jetzt gleich warum.
Aber hier geht es um DOS im Sicherheitskontext.
Das ist Denial of Service, also ein Cyberangriff, der Dienste durch Überlastung blockiert bzw.
nicht verfügbar macht.
Haben wir ja eine ganze Episode zu DOS-Attacken gemacht und wie man DOS abwehrt.
Hast du gerade geglaubt, irgendwas ist kaputt?
Ja.
Siehst du, so geht es mir auch oft.
Und dann brauche ich unbedingt einen Kaffee.
Oder wie der Andi sagen würde, einen Kaffee.
Und für diese Koffeinenergie, die ihr uns durch diese Kaffeespenden bereitstellt und die es uns eigentlich erst ermöglichen, diese Episoden zu produzieren, möchten wir uns einmal bedanken.
Und zwar bei den letzten Spendern.
Daniel, Jakob, Beta, Alfred, Florian, Michel, Dimo, David, Lukas, Adrian, Nico, Matthias, Wolfgang, by the way, show Elias, Björn, Franco, Dominic, Paul, and Fabian.
And either if you have a cafe sponsored, or violence, or another Monaco von Cafe, wieder David, we schätzen jeden Café and we are this Coffee-Feedback.
This is an Audio DOS.
DDoS, Audio DOS, MS-DOS.
So we have Spanish.
Colonel Panic, bye bye, Reboot.
Das Lustige, es sind auch Laptops in unmittelbarer Nähe gecrashed.
Obwohl a, die das Video gar nicht abgespielt haben und b, die Laptops gar nicht miteinander vernetzt waren oder verbunden war.
Und da kommen wir jetzt zu dem Punkt Akustik die Nail of Service.
Was ist also passiert?
Der Song selbst hat so wie jedes Geräusch Schallwellen ausgelöst.
Durch Schallwellen wird eine sogenannte Resonanz erzeugt.
Na, wer hat in Physik aufgepasst?
Ich habe es damals nicht, ich musste erst erst recherchieren, um das jetzt zu verstehen, was ist eine Resonanz.
Wolfgang, stell dir eine Schaukel vor, wenn du eine Schaukel genau dem richtigen Rhythmus anschiebst, wird sie immer höher, selbst mit wenig Kraft, oder?
Ja, macht Sinn natürlich.
Naja, halt drückst du zu früh oder zu spät, dann passiert halt kaum was, aber drückst du im richtigen Moment nach vorne, dann wird sie immer höher, weil du die Schwingung mitnimmst.
Und dieses Phänomen heißt Resonanz.
Also jedes schwingfähige Objekt hat eine gewisse Eigenfrequenz.
Und wenn du es genau mit dieser Frequenz anregst, schaukeln sich die Amplituden auf oft dramatisch.
Das ist zum Beispiel der Hintergrund.
Es gab mal eine Brücke 1940, das ist die Tacoma Narrows Brücke, die durch Wind in Resonanz geriet und kollabierte.
Wenn da so ein bisschen Wind ist und die Brücke wackelt, dann verstärkt der Wind die Resonanz und dann wackelt die immer noch mehr.
Hast du vielleicht schon mal bei der Golden Gate Bridge gesehen oder ähnliches in so YouTube-Videos.
Oder das gleiche Phänomen hat man, wenn Opernstimmen Weingläser explodieren lassen.
Also durch die Schallwellen der Opernstimme und durch die Eigenschwingung des Weinglases wird die Schwingung des Weinglases halt verstärkt durch die Resonanz.
Macht soweit Sinn, oder?
Das heißt, der eigentliche Grund, warum man in Theatern und Opern keine Gläser mit reinnehmen darf, ist, dass die sonst brechen, oder?
Von den Opernsängern.
Ich war noch nie in einer Europa, ich weiß es nicht.
Also, jetzt ist es so, genau das ist hier passiert.
Und zwar bei gewissen Laptop-Modellen mit Festplatten mit HDDs, Hard Disk-Drives, also mit diesen mechanischen Platten drin.
Spinning Discs.
Spinning Discs, wie heißt das auf Deutsch?
Jetzt sag nicht drehende Platten.
Drehende Platten.
Keine Ahnung, gibt es keine Namen.
Also, Festplatten mit einer Umdrehungsgeschwindigkeit von 5400 Umdrehungen pro Minute.
Bei denen hat, wenn der Song von Janet Jackson abgespielt wurde, durch die Tonlage, durch die Basslage genau die Resonanz des Lesekopfes getroffen.
Und somit die Schwingung des Lesekopfes drastisch verstärkt, weil die genau die Eigenresonanz getroffen hat.
Und dies hat dazu geführt, dass Lese- und Schreiboperationen auf dem Betriebssystem nicht erfolgreich ausgeführt werden konnten, beziehungsweise so in die Länge gezogen wurden, dass es eine Kernel-Panic gab.
Aber es wurde nicht zerstört in dem Fall.
Man muss sich das ja kurz vielleicht vorstellen.
Ich habe gerade kurz nachgegoogelt, der Abstand zwischen dem Lesekopf und der eigentlichen Platte beträgt 5 bis 10 Nanometer.
Also, würde mal sagen, sehr, sehr klein.
Und ich kann mir erinnern, es gab ja früher auch dieses Phänomen von einem Headcrash, dass der Kopf wirklich in die Platte gecrasht ist, wenn du theoretisch den Computer irgendwie, wenn er umgefallen ist oder sonst irgendwie eine Schockquelle empfangen hat.
Und dann war ja wirklich Ende Gelände.
Dann war ja wirklich alles kaputt.
Ja, aber das war ja ein Hardware-Fehler auf der Festplatte.
Ein Headcrash.
Ja, genau.
Also, die Vibrationen haben nur etwas verzögert und haben jetzt nicht den Kopf wirklich rein crashen lassen.
Also da war scheinbar schon noch Luft, aber die Vibrationen haben halt alles gestört.
Hier ging es primär darum, dass die Lese- und Schreibköpfe einfach ihre Position nicht mehr halten konnten aufgrund der Schwingung.
So, und jetzt fragt man sich, was ist denn an diesem Song so speziell?
Also warum, warum dieser Song?
Dieser Song, und das hat man später herausgefunden, das Stück wurde in einer nicht standardisierten Stimmung aufgenommen, beziehungsweise produziert, was die Töne in weniger gewöhnliche Frequenzbereiche schiebt.
Also es war eine Produktionseinstellung eigentlich.
Es war nicht das Song selber, sondern wie das Ganze konvertiert wurde.
Wie der Song selbst aufgenommen wurde, wie die, wie die Bassschwingungen aufgenommen wurden.
Die wurden minimal anders aufgenommen als standardübliche Musik nur 2989.
Wir haben eigentlich gerade angehört, den Song nebenbei.
Ich kann mich sogar noch daran erinnern.
Aber er klingt sonst eigentlich jetzt relativ harmlos.
Er hat jetzt keine irgendwie einen Brummen oder sonst irgendwas, was man sich vielleicht erwarten würde.
Also wenn wir uns jetzt diese klassischen Fragen stellen wie, wer stand dahinter, wer war das Ziel, dann kann man ganz einfach sagen, niemand stand dahinter, niemand war das Ziel, weil das einfach ein unbeabsichtiger Effekt war.
Und der wurde später vom Hersteller und auch vom Microsoft Support als, ich sag mal, Bugdesign-Interaktion klassifiziert.
Also der wurde nicht wirklich als Sicherheitslücke, obwohl es eigentlich ein akustischer Die Nail-of-Service-Attacke ist.
Jetzt könnte man sagen, ja, Ani, der Song kam 1989 raus, du hast jetzt gerade das Jahr 2005 erwähnt.
Ja, das ist richtig, aber die ganze Sache hat uns eigentlich bis zum Januar 2020 begleitet, weil der Fix, der gemacht wurde, war, Achtung, wie du gerade sagtest, bei deinem Chip kein Hardware-Fix.
Also hier kann man nicht einfach einen Hardwarefix machen, sondern einen Softwarefix.
Und was, sage ich euch dir gleich.
Aber der Softwarefix wurde auf jeden Fall in Windows 7 auch noch implementiert und der hat uns so lange bis Windows 7 begleitet.
Das bedeutet, die ganze Sache war bis 2020 wirklich in der Codebase drin.
Aber waren da alle Festplatten betroffen oder nur ganz spezielle?
Nur ganz spezielle, nur Spinning Discs mit 5400 Umdrehungen von einem bestimmten Hersteller in einer bestimmten Serie.
Es wurde damals entschieden, nicht öffentlich zu nennen, welcher Hersteller und welche Serie betroffen ist, um aufgrund von Marketing-Schäden und so weiter und so fort abzusehen.
Das ist nie rausgekommen.
Und man muss auch sagen, es ist nicht ganz klar, wie viele Festplatten wirklich betroffen waren, da jede Festplatte je nach Modell unterschiedliche Resonanzfenster haben.
Kommt aber auch wirklich auf ganz, ganz kleine Ebenen an, wie viel Dämmung ist in der Festplatte, wie ist der Lesekopf, wie schwer ist er und so weiter und so fort.
Wie viel Masse hat der?
Und wie laut hat man die Musik dann einschalten müssen?
Gibt es da dazu irgendwelche Informationen?
Also hat das Ding neben einer fetten Box stehen müssen oder ging das sogar mit ganz normaler Lautstärke?
Nee, da habe ich leider keine Infos drüber gefunden, wie lange, wie laut man den Song stellen muss.
Das habe ich leider nicht gefunden, tut mir leid.
Weil ich stelle mir das ja jetzt schon so vor, es hat ja bei Batman zum Beispiel immer solche Audio-Waffen oder so gegeben, die irgendwie der Joker dann entwickelt hat, so in den 70er Jahren Serien, vor allem waren das ja ganz eigenartige Waffen.
Aber ihr könnt mir natürlich schon vorstellen, wenn ich sowas konkret weiß und zum Beispiel eine Überwachungskameraaufzeichnung auf so einer Festplatte habe und ich marschier da einfach rein mit Janet Jackson im Hintergrund, dann wird halt einfach dieses Video nicht aufgezeichnet zum Beispiel.
Wenn ich sowas weiß, wäre das ja schon eigentlich eine coole Sache und könnte man schon eigentlich gezielt einsetzen.
Es wird auf jeden Fall fehlerhaft aufgezeichnet, weil Lese- und Schreiboperationen werden ja nur gestört, weil der Lesekopf die oder Schreibkopf die Position nicht mehr halten kann.
Aber du hättest eine Chance.
Aber dazu, Videokameras, kommen wir jetzt gleich, warum die ganze Sache heutzutage immer noch relevant ist.
Ja, lass uns mal über den Fix reden.
Ich hatte gerade schon geteasert, es ist kein Hardware-Fix.
Und warum?
Weil ja, Resonanz, Schwingung, Schallwellen habe ich ja gerade alles erklärt, beziehungsweise versucht zu erklären.
Ein Physikprofessor wird mich sehr wahrscheinlich in der Luft auseinandernehmen.
Im Endeffekt wäre ein Fix halt mehr Dämpfung in die Festplatte zu packen, sodass weniger Schallwellen oder in einer anderen Resonanz auf die Masse treffen.
Oder halt die Masse des Lesekopfes oder Festplatte selbst ändern.
Damit du in einem anderen Frequenzbereich bist.
Kurzum, du musst das Hardware-Design dieser Festplatte ändern.
Und jetzt könnte man sagen, okay, 2005 Andi, da waren die Laptops alles noch etwas größer als heutzutage.
Ja, das ist richtig.
Dennoch war es für damalige Zeiten immer noch relativ ein kleiner Formfaktor.
Und das bedeutet mit zusätzlicher Masse oder mit zusätzlichem Gehäuse-Redesign ist natürlich enorm teuer, weil du musst natürlich Fabriklinien und so weiter anpassen.
Dann gibt es neue Test- und Regulatorik-Risiken, Vibrationstests, Balance-Tests, bla bla bla.
Und deswegen hat man sich damals entschieden, okay, wir machen einen Software-Fix, weil der ist einfach deutlich günstiger.
Und wie sieht jetzt dieser günstigen Fix aus?
Und zwar sprechen wir hier primär über Windows.
Ich habe das jetzt nicht mit Linux verifiziert, weil ich habe jetzt gerade nur relativ gute Infos oder tiefe Infos zu Windows gefunden.
Und zwar, bei Windows kannst du dich in die Audio-Filter-Pipeline einschalten.
Als Programmierer kannst du sogenannte Audio-Processing-Objects programmieren und die sind Bestandteil des Audiotreibers oder werden als Bestandteil des Audiotreibers eingebunden.
So ähnlich so wie so wie Equalizer oder wenn du so ein Heil rausholst.
Solche Filter kannst du da drauflegen.
Und was Windows OEM-Treiber damals einfach gemacht haben, die haben ein solches Audio-Processing-Object als Offending Frequencies gekennzeichnet.
Die haben einen Frequenzbereich von diesem Song genommen und haben den Frequenzbereich beim Abspielen minimal geändert als Filterobjekt bei Songs.
Relativ simpler Fix eigentlich und das haben sie halt mit einem Windows-Update ausgespielt oder mit einem Treiber-Update und dann war das Ding eigentlich durch.
Der Fix muss ich zugeben, ziemlich smart.
Also im Gegensatz zu dem teuren Hardware-Fix.
Und jetzt ist es aber so, da gab es damals eine Entscheidung, weil diese Audio-Processing-Objects kannst du als End-User aktivieren oder deaktivieren.
Du kannst ja sagen, okay, du möchtest einen Equalizer haben und dann kannst du eine Equalizer rumschrauben und so weiter.
Ja, dieses Audio-Processing-Object war Pflicht.
Das haben sie einfach mal rausgenommen, konntest du nicht deaktivieren, weil die wollten halt einfach, dass keine Laptops mehr crashen.
Aber Andi, ich bin ja in diesem Podcast für die Historie zuständig.
Ich habe gerade nachgeschaut, Linux kam 91 raus.
Das heißt, darum hast du zu Linux nichts gefunden, wenn das 89 war.
Ja, Unix und Co.
und irgendwelche FreeBSD oder BSC-Systeme hatten bestimmt auch schon einen Audiotreiber.
Aber nochmal zur Zeitleiste, also 1989 kommt der Song raus, 2005 war dieser Vorfall und 2020, das habe ich jetzt noch nicht erwähnt, 2020 wurde dieser Vorfall erst veröffentlicht durch ein oder zwei Blogposts von einem Microsoft Support-Mitarbeiter, weil Microsoft Support war natürlich damals relativ stark involviert, weil das ja dieser damals 2005 Windows 7.
Du erinnerst dich vielleicht noch dieser Bluescreen of Death.
Ja, das war ja die Kernel-Panic von Windows.
Die hat man dann immer gesehen.
Warum ist es nicht veröffentlicht worden?
Einfach aus Sicherheitsgründen oder?
Weil es halt Closed Source ist.
Also den Grund, warum das nicht veröffentlicht wurde, kenne ich nicht.
Der Support-Mitarbeiter hat auch auf irgendeinem Mitarbeiter-Blog 2020 nur zwei Posts daraus gemacht.
Sehr wahrscheinlich, hey, damals vor 15 Jahren war das eine lustige Geschichte, an der ich gearbeitet habe.
Oder einem Kollege von ihm hat er geschrieben.
Deswegen.
Jetzt haben sie so eine coole Geschichte und veröffentlichen die erst so spät und nutzen die nicht.
Ja, ich glaube schon, dass das ziemlich.
Also stell dir mal vor, das wäre Seagate gewesen oder Wester Digital oder sowas.
Ich bin mir nicht sicher, ob du damals dann diese Festplatten noch gekauft hättest.
Ja, ja, aber sie hätten ja grundsätzlich das veröffentlichen können, ohne die Firma jetzt zu nennen.
Aber vielleicht hätten wir es dann irgendwie Reverse engineeren können oder so unter Umständen.
Ja, immer ein Problem.
Eins ist noch wichtig, also 2020, als das rauskam, gab es von den Medien mal wieder falsche Berichterstattung.
Und zwar wurde kontinuierlich gesagt, Schall zerstört die Festplatte physisch.
Das war nicht der Fall.
Also nicht wie bei deinem Headcrash gerade beschrieben.
Hier wurde die Festplatte nicht beschädigt.
Die Daten waren nicht betroffen.
Die Daten konnten nur, der Lese- und Schreibkopf konnte nur seine Position nicht halten, was dann zu einem Delay der Operation auf Betriebssystemen geführt hat, was dann zu einer Kernel-Panic geführt.
Also es war ein reiner Software-Effekt und der Schall hat nicht die Festplatte zu stellen.
Also richtig würde die Medienberichterstattung heißen, die Resonanz stört die Operation, bis eine kritische I.O.
Operation fehlschlägt.
Nach Entfernen der Schallquelle kann sich die Festplatte wieder normal verhalten.
Permanenter Schaden sei probably not permanent.
Das wäre so die korrekte Berichterstattung.
Deswegen, also falls ihr auch mal wieder, weiß ich nicht, WinFuture oder Computerbild lest, dann steht da wahrscheinlich Schall zerstört.
Die Festplatte physisch.
Ich habe übrigens gerade nachgeschaut, weil ich irgendwie von Seagate nie mehr was gehört habe, aber die gibt es wirklich noch als Firma.
Und die haben sogar die Festplattensparte von Samsung mal aufgekauft, 2011.
Interessant.
Jetzt lernen wir sogar noch was.
Wo wir gerade über Festplatten reden, wir könnten auch mal irgendwie eine Episode über oder von jemandem mit Blackbase oder Black Blaze machen doch.
Die machen noch immer diese Festplatten-Endurance-Tests, möchte ich doch mal sagen.
Wie lange so eine Festplatte oder welches Modell so lange hält.
Kennst du die?
Nope, glaub nicht.
Genau, Black Blaze heißen die.
Die veröffentlichen jedes Jahr einen Hard Drive Reliability Statistik Report.
Jedes Quartal sogar.
Also wer so ein bisschen auf Storage und Festplatten steht, kann sich da mal gerne.
Aber zurück zu diesem CVE, zurück zu diesem Fall, zurück zu Janet Jackson.
Die ganze Sache ist natürlich ein bisschen kurios.
Es gibt keine öffentlich belastbaren Produktdetails, also welche Festplatte genau betroffen war und so weiter und so fort.
Und ja, es ist auch irgendwie anekdotisch über so ein Akustik, die Nail of Service ist natürlich schon beeindruckend, dass über Schallwellen etwas zum Absturz gebracht werden kann.
Aber es gibt auch noch ein paar andere Hacks in irgendwelchen isolierten Systemen, wo auch Daten über Schallwellen übertragen werden, aber das was anderes.
Der Sicherheitsscore, also CVSS-Score, ist von 5.3, also Medium, nicht wirklich viel.
Aber jetzt kommen wir mal zu den relevanten Fragen.
Wolfgang, was fällt dir auf?
Was können wir daraus lernen?
Ich höre beim Programmieren Musik nur mit Kopfhörern.
Auch eine gute Nummer, aber auch die Resonanz existiert dabei, weil ab und zu hörst du dich ja auch bei dieser Podcast-Aufnahme über meine Kopfhörer selbst.
Also die gibt es da auch, völlig ausgeschlossen ist es ja da nicht.
Alternativ könnte man auch sagen, Finger weg von Janet Jackson.
Oh, das wäre aber jetzt auch mal, wo ich jetzt gerade drüber nachdenke, auch mal ein guter KI-Use Case, oder?
Ich meine, man kriegt doch die Resonanz von existierenden Spinning-Discs raus.
Also die wird ja physikalisch irgendwie feststellbar sein und da könnte man noch irgendwie KI-Kram machen, der dann genau auf diesen Frequenzen bla bla bla, ja.
Also die ganze Sache automatisch generiert, oder?
Ja, die Frage ist überhaupt, wo findest du denn noch Spinning Discs?
Ja, und da kommen wir zum ersten Learning.
Wir reden hier zwar über Legacy, ja, Windows 7 hatte ich gerade erwähnt und so weiter.
Aber Legacy ist nicht weg, sondern nur woanders.
Spinning-Discs sind weiterhin verbreitet.
Zum Beispiel in digitalen Videorekordern.
Da sind wir bei deiner Überwachungskamera.
Das bedeutet, wenn du dir heutzutage immer noch eine große Video-Recording-Rack hinstellst, dann sind da mit hoher Wahrscheinlichkeit Spinning-Discs drin.
Ich habe hier in diesem Zimmer, wo ich gerade aufnehme, noch ein Nass, ein sehr altes Nass.
Und in diesem alten Nass sind noch zwei 1-Terabyte Spinning-Discs drin.
Die sind jetzt zum Glück aus.
Schade, ihr wollt jetzt schon Janet Jackson mal reinspielen.
Ja, ich glaube, die haben 7200 und Drehung, bin mir nicht mehr sicher.
Aber weil ich nur sagen möchte, Spinning Discs gibt es ja immer noch.
So, dann mal als nächstes Learning.
In deinem Thread-Modeling.
Ich würde mal sagen, da Akustik, die Nail of Services jetzt ein Ding sind, müsstest du die Physik auch mal in dein Thread-Modeling einführen, oder?
Also, da kann man, da kann man jetzt leider nicht mehr rausreden.
Dann auch ein anderes Learning.
User-Toggles können sicherheits- bzw.
Stabilitätsimplikationen haben.
Ich hatte ja gerade über diesen Audio-Filter, über dieses Audio-Processing-Object gesprochen.
Und das ist natürlich schon eine Diskussion wert mit einem Produktmanager.
Macht man das jetzt deaktivierbar oder nicht.
Nutzerautonomie versus Schutz vor schwereren erklärbaren Fehlern, weil da geht es auch schon irgendwie ins User-Interface.
Und ich glaube, das letzte Learning ist, jetzt könnte man drüber nachdenken, ist der Software fix ein Hack.
Also ist das Tech-Dept oder ist das einfach nur eine Mittigation im falschen Layer auf Basis von wirtschaftlichen realistischen Optionen.
Wie würdest du das klassifizieren?
Weil der Hardware-Hack wäre ja, äh der Hardware-Hack, der Hardware-Fix wäre ja dann die richtige Lösung, wie man es sauber machen würde.
Aber wirtschaftlich.
Ja, war ein pragmatischer Ansatz, finde ich eigentlich sehr cool.
Ja, aber den hättest du ja dann eigentlich auf jedes Betriebssystem replizieren müssen, oder?
Ja, natürlich, aber die Festplatten sind ja schon mal draußen.
Dann müsstest du ja alle Festbutton zurückrufen.
Ja, gut, aber 2000, du kannst ja keinen User zwingen zu updaten.
Ja, im Normalfall, es muss ja erstmal passieren und wahrscheinlich der richtige Raum sein und muss ja alles zusammenstimmen.
Also ich vermute ja nicht, wenn da jetzt alle Festplatten betroffen gewesen wären von einem Hersteller und man jetzt dann vielleicht auch nachvollziehen hätte können und das Publikum geworden wäre, dann hätte man sicher anders reagiert.
Vermutlich mal zumindest.
Ist auf jeden Fall eine lustige Story.
Und eine Thematik, was wir daraus lernen können, die fand ich auch recht interessant.
Hat ein bisschen gebraucht, bis ich drauf gekommen bin.
Und zwar, dass sogenannte Cross-Layer-Failure-Modes jetzt entscheidend sind.
Also ich meine, der Crash ist ja nicht, weil Audio böse ist.
Du sollst ja ruhig Musik hören und wenn du auf Janet Jackson stehst, sollst du natürlich auch Janet Jackson hören.
Aber im Endeffekt hörst du einen Song, das löst Schwingungen in einem Lesekopf aus, das wiederum führt zu Readwrite-Fehlern, das wiederum führt auf der Codebasis auf einen Operating System I.O.
Fehlerfahrt, das wiederum zu einer Kernel-Panic.
Also vom Audio zur Kernel-Panic, also ich meine, die Story ist schon recht lang und diese Cross-Layer, die muss man natürlich dann auch in seinem Thread-Modeling dann irgendwie mal auf jeden Fall mal vielleicht nochmal einen Satz dazu schreiben.
Jetzt kannst du natürlich fragen, okay, ich packe da jetzt schon die Physik rein, Resonanz und Amplifier und Schwingungen und bla.
Ist das überhaupt relevant?
Ja, schwierig.
Aber Kreativität, besonders im Sicherheitssektor, da gibt es keine Grenzen.
Wie viele Sekunden dürfen wir eigentlich von dem Janet Jackson-Song in diesem Podcast abspielen, ohne von der GEMA irgendwie belangt zu werden?
Gar keine.
Diese Fair-Use-Geschichte ist eine Urban Legend, die eigentlich nicht stimmt.
Okay, dann, wenn du diesen Podcast jetzt gerade hörst, einfach mal Janet Jackson.
Wir können das Ganze ja verlinken.
Einfach mal Janet Jackson Resumnation anmachen.
Das war Nummer eins.
Und ich glaube, an Kuriosität nicht mehr zu übertreffen.
Ein Hack ohne Hacker, ja, ist durchaus.
Muss man mal erst schaffen, dass die Natur einen hackt.
Ja, also du würdest ja nicht gehackt.
Aber dein System wurde unschädlich gemacht.
Und wenn du das wirklich so anwenden kannst, wie du das sagtest mit der Videokamera, du gehst dann mit so einer Boom-Box irgendwie unter die Videokamera, löst diesen, ah ne, Moment.
Das geht ja nicht, weil die Videokamera selbst hat ja keine Spinning-Dis, sondern die Spinning-Dis ist ja in dem Serverschrank, der dann hoffentlich irgendwo im Gebäude sitzt oder ähnliches.
Ja, das wird nicht funktionieren.
Oder du musst jemanden schicken, der so laut Musik macht, dass der Serverschrank es halt, also der Serverschrank ist hört und dann die Spinning-Dis und so weiter.
Aber wo wir schon von Crosslayer-Effekten sprechen, können wir direkt zu Nummer 2 gehen.
Bist du bereit?
Immer.
Okay.
Frage Nummer 1.
Intro-Frage.
Was sollte man auf einem Flugzeugträger nicht tun?
Das ist klar, dass ich Zivildiener war.
Das ist okay, aber du weißt ja, was ein Flugzeugträger ist und du kannst dir sehr wahrscheinlich auch.
Ja, wir waren noch nie auf einem.
Ich auch nicht.
Ich glaube auch ziemlich viele Leute, die beim Heer oder bei der Bundeswehr waren, waren noch nie auf einem Flugzeugträger.
Also das ist keine Ausrede.
Ihr wird mal nicht ins Wasser springen neben dem Flugzeugträger.
Das ist gut.
Aber was man auch nicht tun sollte, und das ist vielleicht so ein bisschen der Bezug zu aktuellen Geschehnissen, sieben Kilometer auf eine Flugzeugträger als Joggingrunde drehen und dann die Ergebnisse auf Schraber posten.
Ja, das stimmt natürlich.
Ist jetzt gerade passiert mit einem Flugzeugträger von Charles de Gaulle, glaube ich, oder sowas?
Und somit wurde die Position des Flugzeugträgers bekannt gegeben, weil der Lauf natürlich ziemlich skurril war.
Flugzeugträger hat halt nicht so viel Fläche.
Aber jetzt zum Heck.
Womit wurden diese Strava-Daten übertragen?
Oder aufgezeichnet?
Mit einer Gamin-Uhr.
Mit hoher Wahrscheinlichkeit mit einer Garmin-Uhr.
Denn wie du wahrscheinlich auch gerade in deinem Kopf zusammengeknüpft hast, Garmin ist ja ein sehr, sehr bekannter Hersteller für Sportequipment wie Pulsuhren und Gurte und so weiter und so fort.
Und wir sprechen über einen Garmin-Vorfall im Juli 2020.
Was ein Intro.
Meine Güte, Flugzeugträgerstrava.
Überleitung ist unglaublich an die.
Okay, ganz kurz.
Was ist passiert?
Im Juli 2020 wurde Garmin Opfer eines Cyberangriffs.
Weltweit sind mehrere Dienste ausgefallen.
Nach Medienberichten war das ein Ransomware-Angriff und es wird Lösegeld von 10 Millionen US-Dollar gefordert bzw.
bezahlt, wurde offiziell nie bestätigt.
Nach Medienberichten hat man dann später irgendwann den Entschlüssel-Key enthalten und nach vier Tagen Wiederherstellung war das System wieder online.
So weit so gut würde man sagen, aha, warum ist das jetzt wert, hier in Podcast besprochen zu werden?
Kommen wir mal auf den Impact der ganzen Sache.
Und zwar Garmin Connect und die Webinfrastruktur war zeitweise nicht verfügbar.
Garmin Connect ist unter anderem, hey, meine Garmin ist hiermit verbunden und trackt dann die Laufzeiten und so weiter und so fort.
Also die Fitnessdaten werden in die Cloud synchronisiert.
Das war da nicht der Fall, weil die Cloud, die Garmin Cloud natürlich dann offline war.
Aber und die sozialen Features und Challenges und Integrationen funktionieren nicht, würde ich sagen, okay, ist verkraftbar.
Der Support war natürlich auch nicht verfügbar.
Ja, okay.
Wenn ich jetzt nicht sofort meinen Lauf auf dem Flugzeugträger mit dem Wolfgang teilen kann, ist das glaube ich auch okay.
Und da muss man sagen, Hut ab, Garmin.
Die ganzen Daten werden lokal, offline first gespeichert.
Das bedeutet, die Aktivitäts- und Gesundheitsdaten werden halt zu einem späteren Zeitpunkt synchronisiert.
Okay, das ist jetzt aber eher unspannend.
Aber wusstest du, dass Garmin auch was mit der Luftfahrt zu tun hat?
Du meinst abseits von den Läufern, die von Flugzeugträgern.
Das hat jetzt wirklich was mit Flugzeugen zu tun und nicht mit dem Flugzeugträger, ja.
Habe ich zumindest noch nie gehört.
Ich nämlich auch nicht.
Und jetzt kommt nämlich das Spannende.
Und zwar, es gibt ein Produkt oder es gibt mehrere Produkte und zwar nennt sich sowas Garmin Pilot oder Fly Garmin.
Und das ist eine App oder ein Service und eine Mobile-App für Flugplanung, Navigation und Fluglogbuch und so weiter und so fort.
Und Fly Garmin ist deren Webplattform, wo halt Piloten irgendwie alle Luftfahrtdaten kriegen können und in einer Datenbanken, ja, Beispiel kannst du die kaufen und dann kriegst du da irgendwie aktuelle Flughafendaten, Wetterdaten und all sowas.
Also du kannst dir vorstellen, wenn man vom Innsbrucker Flughafen mit seinem Segelflieger hoch möchte, dann braucht man wahrscheinlich Wetterdaten.
Da muss man ja wahrscheinlich wissen, okay, an welchem, welche Flughäfen sind wo und all diese Thematiken, ja.
So wo ist die Telefonnummer und Pippapu.
Und all diese Daten kannst du halt von Garmin auch kaufen und da kannst du dir da Subscription machen lassen und so weiter.
So.
Und jetzt ist es so, wenn du starten möchtest oder halt landen, dann musst du sogenannte Flugpläne einreichen.
Also was du denn machst, weil nicht jeder kann sich, sollte nicht in der Luft sich einfach so bewegen.
Und diese Services, Garmin Pilot und Fly Garmin werden unter anderem dafür genutzt, um halt diese Flugpläne vorzubereiten und dann einzureichen.
Und je nach Land gibt es dann gibt es dann verschiedene Anforderungen.
Das bedeutet, wenn du keinen Flugplan einreichst, darfst du gar nicht starten.
Ich weiß jetzt nicht, wie das in Deutschland oder Österreich ist, aber es gibt dann Länder, da geht es gar nicht.
Und diese Services waren dann halt offline.
Das bedeutet, das kann zum Extremfall zu sogenannten Grounding führen.
Das bedeutet, dass das Flugobjekt, Helikopter, irgendwas, halt am Boden bleiben muss.
Und jetzt weißt du, jetzt gibt es halt nicht nur Leute, die sonntags bei schönem Wetter mit dem Segelflieger fliegen, sondern vielleicht auch Organtransplantationen, wo dann irgendwie ein Organ von Krankenhaus zu Krankenhaus geflogen werden muss.
Ich weiß jetzt nicht, ob genau diese Flüge Garmin nutzen, könnte ich mir aber schon vorstellen.
Und diese Infrastruktur, ja, die ist einfach mal mitdown gegangen.
Was natürlich dann einen ziemlich harten Effekt hat, wenn Flugzeuge nicht starten können, oder?
Also, ich würde mal diesen Effekt, glaube ich, ein bisschen drastischer einschätzen, als wenn du deine Laufdaten nicht teilen kannst.
Und wer von diesem ganzen Garmen-Kram noch nicht genug hat, die haben auch Geräte zu Satellitenkommunikationsphöse Outdoor-Leute.
Da gibt es das sogenannte Iridium-Satellitennetzwerk.
Das ist ein weltumspannendes Satellitenkommunikationssystem aus 66 aktiven Satelliten in sechs Umlaufbahnen.
Damit kommunizieren die.
Ich habe übrigens in der Zwischenzeit ein bisschen recherchiert über meine internen Kanäle.
Air Ambulance Services verwenden und anderem Gummin-Systeme.
Hab grad bei den Piloten kurz nachgefragt.
Okay, das freut mich sehr zu hören, dass diese Podcast-Episode dann Relevanz hat.
Ich finde das sehr schade, dass die Air-Ambulanz dann im Extremfall zum Grounding gezwungen werden musste.
Aber so ist das nun mal.
Aber lass uns mal über den Hack sprechen, beziehungsweise Hack, nicht Hack, man weiß es nicht.
Also, technische Details.
Ich hatte Ransomware gesagt.
Das ist zumindest das, was jeder gerade denkt.
Nach Berichten zufolge, wo dies nie offiziell bestätigt.
Ransomware, nur ganz kurz, fangen wir mal ganz vorne an.
Die Intention ist, dass durch Verschlüsselung der Geschäftsbetrieb unterbrochen wird.
Und wenn du relativ schnell zu deinem normalen Geschäftsbetrieb zurückkehren möchtest, dann musst du in der Regel irgendwen bezahlen und der gibt dir ein Passwort, damit du all deine Daten wieder entschlüsseln kannst.
Das ist Ransomware.
Und Gamin wurde jetzt hier Opfer eines sogenannten Big Game Hunting.
Oder es ist das klassische Big Game Hunting-Muster.
Big Game Hunting nennt man einen gezielten Angriff auf eine große Firma mit hoher Zahlungsfähigkeit.
Kurzum, wer macht Cash?
Niemand möchte Cash verlieren.
Die Leute sind mit hoher Wahrscheinlichkeit dazu geneigt, relativ schnell zu zahlen.
Jetzt könnte man sagen, ja, okay, wenn ich jetzt hier eine Ransomware-Attacke fahren würde, was würde ich tun?
Ich würde mir das selbst programmieren.
Nein, sowas gibt es natürlich fertig.
In diesem Fall ist immer die Erregel von Wasted Locker, Wasted Locker ist eine hochentwickelte Ransomware, die speziell auf große Unternehmen abzielt.
Die wird von einer sogenannten Firma namens Firma, einer Gruppe namens Evil Corp betrieben.
Zumindest sagt das US-Finanzministerium, dass Evil Corp ein Cybercrime-Netzwerk aus Russland sei.
Und das ist jetzt natürlich eine recht interessante Thematik, denn auch 2020 gab es schon Sanktionen gegen Russland.
So, jetzt stell dir vor, du hast Garmin.
Garmin wurde von Ransomware befallen.
Garmin zahlt das Geld an eine russische Gruppe, die unter Sanktionen steht.
Also es hatte hier sogar noch einen Meta-Aspekt.
Denn eigentlich dürften die ja gar keinen Geld nach Russland senden.
Auch nicht, wenn es nach Bitcoin ist.
Okay.
Ich wollte ja gerade sagen, normalerweise verwendest du ja Bitcoin für so etwas und jetzt keine klassischen Wire Transfers und du weißt ja nicht, wohin Bitcoin fließt.
Außerdem wissen wir ja auch nicht, ob das Geld bezahlt wurde.
Da ist der Stillschweigen natürlich ausgesprochen worden, wie immer bei allen Firmen.
Aber nachdem es natürlich bald wieder funktioniert hat, könnte man schon annehmen, dass da entweder haben sie zufällig ein Backup gefunden und alles wiederherstellen können, was aber natürlich in der kurzen Zeit dann schon fraglich ist, oder sie haben vielleicht doch gezahlt.
Oder eine andere Möglichkeit gefunden.
Ja, wenn wir uns über die andere Möglichkeit uns mal ein paar Gedanken machen, dann könnte man sagen, haben sie das vielleicht selbst entschlüsselt?
Ja, Wasted Locker verschlüsselt die Daten eigentlich mit 4096 Bit mit AES 256, kurzum, solange die keinen Quantencomputer haben, glaube ich nicht, dass sie es selbst entschlüsselt haben.
Aber alles nur Mutmaßungen wissen wir nicht, wurde nicht offiziell bestätigt.
Jetzt ist natürlich die Frage, wie kam denn diese Ransomware da rein?
Und das, was ich jetzt beschreibe, ist nicht unique für den Garmin-Hack, sondern eigentlich das Standardvorgehen von Evil Corp, also von diesem Cybercrime-Netzwerk mit Wasted Locker.
Klassischerweise kommt die Ransomware ins Netzwerk und da meist über den Einstieg über eine Applikation, die nennt sich SockGollish.
Sock Gollish ist auch bekannt als Fake-Updates.
Also das ist eine JavaScript-basierte Malware, die über eine komprimierte Webseite verbreitet wird.
Du gehst auf diese Webseite und dann tarnt die sich als normales Browser-Update.
Ihr Browser ist veraltet, bitte aktualisieren.
Und dann klickst du da drauf, dann lädst du eine ZIP-Datei runter und baff, hast du eine Chart-Software auf deinem Rechner.
Klickst du drauf, weil du willst ja nur deinen Browser updaten.
Dieses Fake-Browser-Update lädt dann eine Software nach und jetzt kommt es, jetzt wird es ein bisschen wild, namens Cobalt Strike.
Cobalt Strike ist eine Software, die in der Regel zur Simulation von Cyberangriffen genutzt wird, von sogenannten Red Teams für Penetration Tests.
Also eigentlich wird hier von der Ransomware eine Software zur Prävention von Cyberangriffen genutzt, um ein Cyberangriff durchzuführen.
Ähnlich wie bei diesem JavaScript-NPM-Wurm, der vor kurzem mehrmals aufkam, Shai Hulut.
Shai Hulut hat ja auch ein Open Source Tool nachgeladen, was Secrets und Passwörter auf deiner Festplatte scannt.
Und dieses Tool wird eigentlich auch zur Sicherheitsprävention genommen und nicht zu Attacken.
Also auch mal wieder eine interessante Wendung hier bei Security.
Also, kurzum, jemand kriegt eine Fake-Website untergejubelt, dann wird ein ZIP runtergeladen, dann wird Cobalt-Strike nachgeladen und Cobalt-Strike macht im internen Netzwerk sogenannte Penetrationstest, um zu gucken, wo kann ich mich weiterbewegen.
Und sowas nennt man Lateral Movement.
Lateral Movement ist, du findest irgendwo einen Einstiegspunkt und bewegst dich dann seitwärts, um zu gucken, was gibt es denn hier noch so?
Und bei Ransomware, da habe ich gerade gesagt, geht es um die Verschüsselung.
Da willst du nicht natürlich relativ weit nach rechts oder nach links bewegen und zum Beispiel bewusst nach Backups suchen.
Weil du willst natürlich nicht nur die aktuellen Infrastrukturen verschlüsseln, sondern auch die Backups.
Aber wir wollen ja auch immer was daraus lernen aus solchen Fällen.
Aber bevor wir darauf zu sprechen kommen, ich habe gerade kurz nochmal Google angeworfen und bin gerade zufällig auf einen Artikel gestoßen.
Garmin hat ja dann später nämlich die Versicherung verklagt, weil die Versicherung nicht zahlen wollte.
Und zwar das Lösegeld zahlen wollte.
Das heißt, es wurde scheinbar implizit dann doch auch öffentlich gemacht, dass sie das Lösegeld dann am Ende bezahlt haben.
Weil es diesen Fall diese Klage gegen die Versicherung dann am Ende gegeben hat und die Versicherung nicht zahlen wollte, wegen Barversicherungsklauseln dann am Ende.
Und das Gericht, Schweizer Gericht hat dann festgestellt, sie müssen zahlen.
Verlinkt man natürlich in den Shownotes.
Faszinierend, faszinierend.
Aber was können wir daraus lernen?
Ein Punkt ist, wenn man nur auf Ransomware Detection optimiert, dann ist es leider schon zu spät.
Denn Ransomware Detection, die sogenannte Verschlüsselung oder die Ransomware-Phase, ist leider die letzte von vier Phasen bei einem Ransomware-Angriff.
Denn die klassischen Phasen eines gezielten Cyberangriffs, speziell mit Ransomware, sind Phase 1, die sogenannte Aufklärung und Informationsbeschaffung.
Nach dem Motto, wer ist das Ziel, wen kann ich attackieren, warum sind sie relevant.
Phase 2, Zugangsdaten stehlen, hatte ich gerade gesagt, mit diesem Phishing über dieses Fake-Update von dem Browser.
Phase 3 ist die Seitwertbewegung, also das sogenannte Lateral Movement im Netzwerk.
Welche Ziele habe ich denn im Netzwerk?
Und Phase 4 ist dann die wirkliche Verschlüsselung, also die Ransomware-Phase, von der die ganzen Medien immer sprechen.
Im Endeffekt ist dann, wenn du auf Ransomware Detection optimierst, optimierst du hier eigentlich aufs Ende der Attacke und nicht auf den Anfang der Attacke.
Also geht es eigentlich auf die frühe Eindämmung und auf die Credential-Kontrolle, würde ich mal sagen.
Die Backups hatte ich schon angesprochen.
Ransomware kümmert sich natürlich auch um die Verschlüsselung seiner Backups.
Wenn du aber offline bzw.
die isolierte Backup hast, dann sieht ihr natürlich Ransomware resilient.
Und Achtung, wir reden hier natürlich auch von Schrödingers Backup.
Das hat jetzt nichts mit dem Hack zu tun, aber sondern vielleicht für deine Backups.
Solange du dein Backup nicht getestet hast, hast du ein Schrödingers Backup.
Wer weiß, ob es existiert oder nicht.
Oder möglich ist zu restoren.
Ich weiß es nicht.
Und ganz oft ist es ja auch so, dass man bei dem Backup das Problem hat, dass man nicht weiß, ob die Angreifer schon im Backup drin waren.
Also nicht am Backup-Server, sondern zu dieser Zeit, wo das Backup erstellt wurde, dass da vielleicht der Eintritt des Hintertürchens schon geöffnet war.
Und wenn man dann das Backup einspielt, dann ist es zwar nicht mehr verschlüsselt, aber es kann sein, dass die Angreifer wieder noch schon drin sind, Zugang haben und dann wieder verschlüsseln können.
Es ist natürlich sehr schwer zu erkennen, sowas.
Du musst dann die Eintrittstür finden, sonst hast du eigentlich keine Chance.
Wenn du die Eintrittstür nicht gefunden hast, kannst du sie in den Backup auch nicht verifizieren.
Darum gehen ja auch ganz viele Firmen mittlerweile in die Richtung, dass sie einfach alles per Knopfdruck von Null aus wieder hochbooten können.
Wenn du Infrastructure as Code oder so hast, dann hast du ja im Idealfall einfach eine Möglichkeit, alles zu wipen.
Und die Daten hast du natürlich gebackupt, aber das ganze, die ganzen Betriebssysteme und alles rundherum kannst du einfach von null wieder hochziehen.
Könnte natürlich dann auch irgendwo im Infrastructure as Code dann drin sein, theoretisch, aber das könntest du auch woanders hinlegen, das könntest du sichern, dass es keine Änderungen gibt und so weiter.
Naja, also wie gesagt, ich glaube, auch dieses Lateral Movement kann sich auch auf dein Ensibel und Terraform und was du da auch immer hast, halt auch bewegen.
Aber das kannst du leichter überprüfen.
Da kannst du ja sagen, okay, du hast eine Git History, wurde da was verändert, kannst du es hashen, Hashes bilden und solche Dinge.
Also da gibt es einfache Möglichkeiten, wenn es nur um die Ensible-Skripte geht.
Ja, aber auch in der Realität würde ich mal sagen, hast du eine Firma mit 1000, 1500, 2000 EntwicklerInnen, ja, Big Cam Hunting, hatte ich ja gerade gesagt.
Dann, und da hast du ein zentrales Infrastructure as Code-Repository für deine Server, dann sind da eine Million, 1,5 Millionen Zeilen, dann fliegen da 400, 500 Commits Tag rein.
Also bin ich mir nicht sicher, wie schnell.
Also du musst schon sehr sophisticated sein, um da guten Kram zu erkennen.
Und dann auch schon, angenommen, dass es PGP-kodiert, ja, dann was sind reale PGP-kodierte Daten, was ist.
Natürlich, du hast ja immer die Möglichkeit, aber es ist ein bisschen einfacher zu überblicken, als alle Server, die wo direkt im Kernel irgendwas gehackt worden sein könnte und da darfst du natürlich dann null Möglichkeiten, da Einblick zu bekommen.
Aber ich glaube, eine Thematik, die immer eine Rolle spielt, sind halt zu mächtige Zugangsdaten, weil die sind oft ein Einfallstor.
Also, auch wenn ich mein Laptop hier mit Ransomware verseucht hätte, meine Zugangsdaten werden ja für das Lateral Movement für die Seitwärtsbewegung genutzt.
Und dann die Frage, desto höhere Zugangsdaten ich habe, umso mehr natürlich kann die Ransomware sich bewegen.
Also, wenn ich jetzt sehr eingeschränkt bin oder vielleicht nur zeitkritische Zugangsdaten habt, die sich nur eine Stunde gültig sind oder ähnliches, dann sogar besser, ja.
Ja, und ich glaube, das relevanteste hier ist natürlich mal wieder der Flugzeugträger.
Aber diese Luftfahrtthematik, und zwar, wenn die Luftraumworkflows, also Flight Planning, die Datenbanken von dem Outage betroffen sind, dann könnte man ein starkes Argument dafür bringen, mal hier auf getrennte Betriebszonen umzuswitchen.
Warum ist denn zum Beispiel die Flugzonenthematik oder die Flugthematik mit den Datenbanken auf demselben Stack wie meine Laufdaten?
Warum ist das überhaupt nicht in eigenen Zonen?
Warum ist das nicht eine unabhängige Update-Distribution?
Du hast ja schon eine kritischere Nutzergruppe, wenn ich in der Luft bin oder in die Luft gehen möchte, versus, ich mach mal eben einen Lauf am Rhein.
Auf jeden Fall, dass man die ordentlich trennt absichert.
Aber war anscheinend nicht der Fall.
Und als spannendes Learning jetzt hier, die Incident-Response war ja hier jetzt nicht nur Technologie.
Die war ja auch Kommunikation und Recht.
Wenn wir jetzt mal annehmen, das Lösegeld wurde gezahlt.
Ging das dann nach Russland?
Wer weiß das schon?
Bitcoin, ja, alles gut.
Aber Sanktionsfragen, ne, kann man dann theoretisch nicht Garmin verklagen, weil die dann mit Mooselast nicht an Leute überwiesen haben, die in einem Staat unter Sanktionen sind.
Es ist natürlich alles nur Mutmaßung und weit hergeholt.
Aber ich auf jeden Fall finde es immer wieder spannend, wie weitreichend denn so eine Incident-Response sein kann.
Technologie ist da nur ein Teil.
Hat Garmin eigentlich irgendwas veröffentlicht, wie sie das in Zukunft verhindern wollen?
Also, dass sie irgendwie da eine Internetstrategie sich überlegt haben oder irgendwas geändert haben?
Haben sie nicht.
Wenn du dir die Kommunikation ansiehst, ist die eher schlecht.
Warum meine ich das?
Also, die haben nie offiziell bestätigt, das war ein Ransom-Ware-Angriff.
Die haben die ersten zwei, drei Tage davon gesprochen, ja, wir haben einen internen Ausfall und so weiter, bis dann irgendwann mal gesagt wurde, es ist Cyberattacke.
Und dann haben sie gesagt, behoben und dann stillschweigen.
Also die ganze öffentliche Kommunikation war eher schlecht.
Und wie sie es verhindern wollen, also einen öffentlichen Postmortem und so, bin ich mir nicht sicher, ob wir das von Garmin erwarten sollten, denn auch Amazon macht sowas nicht.
Und da könntest du schon überlegen, okay, wer hat höheres Interesse, das Vertrauen wieder herzukriegen, Amazon oder Garmin, ich denke beide.
Aber Amazon ist eine hohe Tech-Companie und auch die geben dir oft keine detaillierten Postmortems.
Dafür, das dann von Garmin zu erwarten, weiß ich jetzt nicht.
Natürlich kann man immer besser sein.
Amazon muss jetzt nicht als gutes Vorbild dienen.
Aber ich habe nichts gefunden zu einem Postmortem.
Die sind da sehr stillschweigend.
Ja, in dem Fall geht es ja primär um die Phishing-Attacken, die wahrscheinlich verhinderbar sind und das Ausbilden und die Education innerhalb der Firma, damit sowas überhaupt erst gar nicht ins System reinkommt, weil das ist ja eigentlich immer die größte Schwäche, die ganz normalen User, die auf irgendwas klicken oder wo irgendwas über PDF oder sonst irgendwas sehr einfach eingeschleust wird und umständen.
Ja, da ist der Mensch das schwächste Glied.
Also natürlich kannst du irgendwelche Security-Trainings machen oder dein Virenscanner oder nur Webseiten zulassen und so weiter.
Das heißt ja, jetzt, wenn die KI alle unsere Arbeitsplätze ersetzt, dann wird ja in Zukunft alle sicherer, weil die KI ist ja nicht so dumm und klickt auf irgendwelche Phishing-E-Mails, oder?
Ich war übrigens ganz nervös, dass wir jetzt vielleicht eine Episode haben, wo wir KI nicht erwähnen, aber ist ja normal dein Job, Andi, aber jetzt habe ich es gemacht.
Ich habe vor kurzem eine andere Podcast-Episode gehört, da ging es darum, auch um KI-Use Cases.
Und da hat irgendjemand ein KI-Agent losgelassen und dann hat der KI-Agent auch irgendwas heruntergeladen und der Antivirus hat dann das Pfeil immer gelöscht oder die KI konnte dann auf die Datei nicht zugreifen, weil der Antivirus den Zugriff vom Blockt hat.
Ja, da hat die KI gedacht, okay, vielleicht lade ich nicht mal ein anderes Pfeil runter, sondern was ist die schlauste Lösung, ich deaktiviere den Antivirus und hat dann auf die Datei zugeriffen.
Ja, jetzt habe ich auch gelesen.
Aber Problem gelöst quasi.
Ja, es ist eine Lösung.
Also zurück zu einer Frage, weiß ich nicht.
Ich habe auch kürzlich gelesen über KI-Einordnungen über LLMs, die Phishing-E-Mails einordnen, ob es Phishing ist oder nicht.
Und bei vielen, die eigentlich sehr klar Phishing-Angriffe sind, haben viele LLMs gesagt, kein Problem, ist schon okay so.
Andere haben gesagt, okay, scheint irgendwie nach Phishing auszusehen.
Gemini ist da scheinbar ein bisschen besser.
Vielleicht, weil er auch eben die konkreteren Infos im Hintergrund irgendwie hat von aktuellen Meldungen.
Aber funktioniert auch noch nicht so klar, muss man auch dazu sagen.
Ich glaube, da ist nur Luft nach oben.
Security bleibt auf jeden Fall ein spannendes Thema.
Und gerade wenn man so in alten Cases herumkrebt, es ist erschreckend, wie viel eigentlich schon da war und wie viel sich wiederholt.
Und wenn man so ein bisschen in die Geschichte schaut, kann man eigentlich da schon sehr viel lernen.
Schade, dass man eigentlich weniger lernt, als einem so lieb ist.
Man nimmt sich immer viel vor und vergisst es dann trotzdem, insofern, vielleicht haben wir ein bisschen Anregung geben können.
Alle, die jetzt Spinning Discs so bei sich zu Hause haben, spielt mal Janet Jackson im Versuchslabor ab, ob sich da was bewegt.
Und wenn ihr irgendwie interessante Hacks habt, die aktuell sind, aber auch vielleicht in der Geschichte mal irgendwo vorgekommen sind.
Schaut bei uns auf den Discord-Server, teilt es mit uns.
Ich glaube, Andi ist sowieso jetzt der absolute Historiker geworden, wenn es um solche Fälle geht.
Der liebt ja so alte Fälle.
Und wenn da aber welche Guten dabei sind, dann kann man die ja gerne auch mal in der Episode dann dementsprechend aufarbeiten.
Ich bin immer wieder überrascht, wie kreativ diese Leute sind, von daher oder was da immer zutage kommt.
Deswegen finde ich es immer super.
Und ja, man kann daraus lernen.
Und ich bin gespannt.
Naja, wir hören uns nächste Woche wieder.
Bis später und tschüss.
Ciao.