Author Topic: Stealthwatch Fruehwarnsystem  (Read 15013 times)

pruefi

  • Hero Member
  • *****
  • Posts: 504
  • Karma: +0/-0
    • View Profile
    • https://www.linkedin.com/in/andreaspruefer/
Stealthwatch Fruehwarnsystem
« on: May 15, 2009, 08:30:21 am »
Mitte April '09
http://www.google.de/search?q=Stealthwatch+Fruehwarnsystem

Hat sich das schon jemand mal reingezogen?
[align=center][/align]

Litschi

  • Full Member
  • ***
  • Posts: 244
  • Karma: +0/-0
    • View Profile
Stealthwatch Fruehwarnsystem
« Reply #1 on: May 15, 2009, 10:09:44 am »
naja Datenschutz ade sag ich mal....

USER

  • Sr. Member
  • ****
  • Posts: 491
  • Karma: +0/-0
    • View Profile
Stealthwatch Fruehwarnsystem
« Reply #2 on: May 15, 2009, 10:12:28 am »
woran sich die uni da wohl ein beispiel genommen hat?

seit wann existiert das?
damit werd ich das uninetzwerk wohl nur noch nutzen wenns wirklich nich anders geht.
Wirklich unabhängige Berichterstattung:

http://www.heise.de/tp/

http://www.nachdenkseiten.de/

pruefi

  • Hero Member
  • *****
  • Posts: 504
  • Karma: +0/-0
    • View Profile
    • https://www.linkedin.com/in/andreaspruefer/
Stealthwatch Fruehwarnsystem
« Reply #3 on: May 15, 2009, 10:24:57 am »
@user
Das ist vorerst nur ein Entwurf.
Scheinbar hat es wohl von den Informatikern einen Aufstand dagegen gegeben.

FSR Informatik:
Protokoll zur FSR-Sitzung vom 11.05.2009
Quote
4. ZIH-Frühwarnsystem
Nico hat zur Stellungnahme des FSR Informatik zum aktuellen Entwurf des ZIH zur Einführung
eines Frühwarnsystems eine Zusammenfassung erstellt, welche allgemeinverständlicher ist. In
der Sitzung werden letzte fragliche Passagen im Dokument besprochen und ausgebessert.
Anschließend beantragt Nico die von ihm ausgearbeitete Zusammenfassung der Stellungnahme
zum FWS im ZIH, im Namen des FSR veröntlichen zu dürfen.
Abstimmung: ja: 11, nein: 0, Enth.: 1 ! Antrag angenommen
Die Stellungnahme wird demnächst an den StuRa weitergeleitet und bei diesem auf einer
Website zu nden sein.
http://ftp://ftp.ifsr.de/protokolle/2009/2009-05-11.pdf

27.04.2009
Quote
5. ZIH-Frühwarnsystem
Nachdem der FSR von den Plänen des Frühwarnsystems erfahren hat (siehe letztes Protokoll),
haben wir in der letzten Woche viele Gespräche mit auf diesem Gebiet sachkundigen
Personen geführt. An dieser Stelle vielen Dank an alle, die sich konstruktiv eingebracht
haben!
Wir begrüßen, dass mittlerweile die Meinung der Betroffenen (Administratioren, Mitarbeiter,
Studenten) offziell erwünscht ist. Herr Syckor (IT-Sicherheitsbeauftragter des ZIH) und Herr
Herber (Datenschutzbeauftragter der TU) haben sich heute die Zeit genommen, mit uns über
die Problematik zu reden.
Laut Herrn Herber lässt sich das Vorhaben datenschutzrechtlich durch Telemediengesetz,
Sächsisches Hochschulgesetz und IuK-Rahmenordnung rechtfertigen. Allerdings bezieht sich
diese Argumentation nur auf die Bereiche, für die die IuK-Rahmenordnung gilt. In anderen
über das ZIH ans DFN angebundenen Subnetzen (z.B. SLUB, HTW, . . . ) soll das Frühwarnsystem
deshalb nicht genutzt werden. Ein 100%iger Schutz vor Angriffen aus dem Netz kann
durch das System schon deshalb nicht gewährleistet werden. Eine Argumentation, dass ein
solch absoluter Schutz notwendig ist (z.B. um nicht wegen Spamversand auf Blacklists zu
gelangen) und daher das System angeschaft werden muss, ist daher nicht sinnvoll. Laut
den Anwesenden wäre es möglich, einzelne Subnetze (z.B. von Gremien oder Instituten) auf
Wunsch von diesem System auszuschließen. Wir würden eine entsprechende Regelung sehr
begrüßen.
Herr Syckor hat in einer Präsentation die Sicherheitsprobleme der letzten Jahren und das
geplante Frühwarnsystem vorgestellt. Das Hauptproblem war im Jahr 2007 vor allem der
Spamversand. Dieser konnte durch Sperren von Port 25 in betroffenen Subnetzen (vor allem
Studentenwohnheime) aber effektiv reduziert werden. In diesem Jahr gab es bereits sehr viele
Vorfälle, diese waren fast ausschließlich auf den Conficker-Wurm zurückzuführen. Dieser ließe
sich allerdings auch auf andere Weise (Ports für Win-RPC sperren, aktive Scans oder Traf-
ficanalyse) ohne Speicherung der Verkehrsdaten effektiv bekämpfen. Auch für die anderen
genannten Probleme (DoS, Portscanning, SSH-Passwort-Raten) gibt es effektive Methoden
(QoS), die ohne Speicherung auskommen. Die zwingende Notwendigkeit des Systems, insbesondere
der Speicherung der Verkehrsdaten, ging aus der Präsentation nicht hervor.
Wir haben deshalb mehrfach bezüglich der Notwendigkeit nachgefragt. Als Hauptargument
wurden die Erhöhung der Dienstqualität und der Schutz von unbedarften Nutzern im Netz
genannt. Als Beispiel wurde angebracht, wie teuer es wäre, wenn durch einen Virenbefall
Daten auf einem Institutsrechner verloren gehen würden. Im Gegensatz zu unseren Erwartungen
besteht die Notwendigkeit nicht darin, das ZIH vor Problemen durch Angriffen aus
dem Netz zu schützen. Die genannten Ziele können nach unserer Auffassung die Speicherung
der persönlichen Daten keinesfalls rechtfertigen. Die Existenz der von uns genannten Risiken
des Systems (Missbrauchspotential, Gefahr, dass Fremde an die Daten gelangen können, zu
erwartende neue Begehrlichkeiten, spätere Ausweitung der Nutzung durch Umkonfiguration)
wurden vom Datenschutzbeauftragten betätigt. Die Brisanz sei ihm vollkommen klar.
Die in den Entwürfen genannten Meta-Ereignisse sind viel zu ungenau spezifiziert. Im Gespr
äch wurde deutlich, dass das ZIH deutlich brisantere Daten in diese relativ frei zugänglichen
Datensätze aufnehmen möchte, als wir uns bisher vorgestellt haben. Wir lehnen ab,
dass persönliche Daten wie IP-Adressen für Forschungszwecke genutzt werden dürfen. Nach
aktuellen Plänen könnte die Menge der übertragenen Daten für jede einzelne IP abgerufen
werden. Dies würde beispielsweise erlauben, recht genau zu überprüfen, welcher Mitarbeiter
an welchem Tag in der Uni gearbeitet hat oder wann welcher Student zu Hause im Wohnheim
war. Es muss viel genauer festgeschrieben werden, welche Metadaten in welcher Form
berechnet werden dürfen und wie der Zugriff auf diese erfolgen soll. In welcher Form die Kontrolle
(z.B. durch den Datenschutzbeauftragten) erfolgen soll, ist auch noch nicht detailliert
festgelegt.
Es wurde zugegeben, dass es technische Grenzen des Systems gibt. Das System entdeckt
nur Anomalien im Datenstrom. Kontinuierliche Angriffe (z.B. langsam steigende Anzahl an
Conficker-Infektionen) würde das System nicht erkennen. Andererseits ist mit vielen False
Positives zu rechnen. Diese würden insbesondere in der Lernphase auftreten, könnte aber
auch durch sonstige Anomalien wie beispielsweise den starken Traffc-Anstieg nach einem
Ubuntu-Release geschehen. Es gab keine sichere Antwort, ob das System die Arbeit erleichtern
wird.
Der FSR sieht nach wie vor keine Notwendigkeit für die Einführung der überwachungsinfrastruktur
und wird sich dagegen einsetzen.
Abstimmung: ja: 13, nein: 0, Enth.: 0 ! Antrag angenommen
Da es nicht absehbar ist, ob sich die überwachungsinfrastuktur verhindern lässt, wird sich der
FSR auch konstruktiv im Sinne der Studierendenschaft an den Ausarbeitungen beteiligen.
Abstimmung: ja: 11, nein: 0, Enth.: 2 ! Antrag angenommen
http://ftp://ftp.ifsr.de/protokolle/2009/2009-04-27.pdf

20.04.2009
Quote
7. Frühwarnsystem
Der FSR hat von Herrn Syckor vom ZIH auf Nachfrage einen Entwurf über ein Frühwarnsystem
erhalten, welches Sicherheitsprobleme frühzeitig erkennen soll und dessen Einführung
für den Sommer 2009 geplant ist.
Die Notwendigkeit wird mit der stark ansteigenden Anzahl von sicherheitsrelevanten Vorfällen
im Netz der TU begründet. Bisher wird das ZIH nur vom DFN über Probleme informiert.
Das DFN setzt zur Erkennung Honeypots ein. Mit Hilfe des neuen Frühwarnsystems sollen
Vorfälle zukünftig schneller und eektiver erkannt werden.
Das neue System soll alle Pakete analysieren, die das Uninetz verlassen oder betreten. Verkehrsdaten
(TCP-/IP-Header) sollen für 5 Tage gespeichert werden. Nach unserer Auassung
handelt es sich dabei um persönliche Daten, da (insbesondere auf Grund der vielen statisch
vergebenen IP-Adressen) eine eindeutige Zuordnung zu den Nutzern besteht. Die gespeicherten
Daten (unter anderem Quell- und Ziel-IP-Adressen, MAC-Adressen, Portnummern,
Zeitstempel) lassen viele Rückschlüsse auf den Nutzer und seine Kommunikationsinhalte zu.
Eine Speicherung würde zu einem nicht unerheblichen Missbrauchspotential und weiteren
Begehrlichkeiten führen.
Uns wurden noch keine genauen Daten über die Häufigkeit und Art der Sicherheitsprobleme
vorgelegt. Wir können uns nur schwer vorstellen, dass die Situation so kritisch ist, dass es
einen derart schwerwiegenden Eingriff rechtfertigen könnte. Wir werden versuchen, dazu genauere
Informationen (aus möglichst objektiven Quellen) zu bekommen. Weiterhin sind uns
keine überlegungen zu alternativen Manahmen bekannt, über solche sollte aber unbedingt
nachgedacht werden.
Weiterhin wird bezweifelt, dass für das geplante System eine Speicherung der persönlichen
Daten über einen solch langen Zeitraum (5 Tage) nötig ist. Es existieren alternative Systeme,
bei denen die Analyse quasi live erfolgt (ohne Speicherung der Mitschnitte), so dass nur
Meta-Ereignisse abgerufen werden können.
Im Entwurf sind mehrere Fälle für den Zugriff auf die Daten vorgesehen, die sehr unpräzise
und zum Teil fragwürdig sind:
 Strafverfolgung
 Forschung
 Verstöße gegen die Rahmennetzordnung
Kritisiert wird insbesondere auch, dass die Betroenen noch nicht offiziell über die Pläne
informiert wurden.
Abstimmung: Der FSR lehnt die im Entwurf der Ordnung zum Betrieb eines Frühwarnssystems
(FWS) im Datennetz der TU Dresdenformulierten Manahmen zum Aufbau eines
Frühwarnsystems des ZIH in seiner jetzigen Form entschieden ab.
Meinungsbild: ja: 19, nein: 0, Enth.: 0
Zu einem konstruktiven Dialog über mögliche Maßnahmen zur Verbesserung der IT-Sicherheit
an der TU Dresden besteht von Seiten des FSR großes Interesse.
http://ftp://ftp.ifsr.de/protokolle/2009/2009-04-20.pdf

Protokoll der Gf-Sitzung des stura vom 06.05.2009
Quote
...
2.Drei Studierende des FSR Informatik besuchen die GF um
mit ihr über ihre Aktion gegen das Frühwarnsystem der Uni zu
sprechen.Sie wollen die Problematik verstärkt in die
Öffentlichkeit tragen. Sie bitten auf dem StuRa Server eine
Subdomain zu diesem Zweck einzurichten, Christian Jakobs
bietet aber an eine eigene Seite auf der StuRa Seite
einzurichten. - dies wird genehmigt Außerdem bieten wir
unsere Hilfe bei Pressearbeit u.ä.an.
...
http://www.stura.tu-dresden.de/webfm_send/482

Quote
Jens Syckor
Sitz: WIL, Raum A 313
                                                                       
Telefon: +49 351 463-32988

Fax: +49 351 463-37773

E-Mail: jens.syckor@tu-dresden.de

Besucheradresse:
Technische Universität Dresden
Willers-Bau A 313
Zellescher Weg 12
01069 Dresden

http://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/zih/wir_ueber_uns/mitarbeiter/syckor/
http://www.mail-archive.com/search?l=nfsen-discuss%40lists.sourceforge.net&q=Jens+syckor+
[align=center][/align]

pruefi

  • Hero Member
  • *****
  • Posts: 504
  • Karma: +0/-0
    • View Profile
    • https://www.linkedin.com/in/andreaspruefer/
Stealthwatch Fruehwarnsystem
« Reply #4 on: May 15, 2009, 05:12:15 pm »
12.05. 2009
Quote
Liebe Studierende,

wie ihr vielleicht mitbekommen habt, hat das ZIH eine Ordnung zu einem
"Frühwarnsystem" entworfen. Ich wurde gebeten, die Thematik für
Nicht-Nerds verständlich zu erklären...

 
(Da sonst die Übersicht komplett
verloren geht, hab ich die Erklärungen zu den Fachbegriffen als Fußnoten
gesetzt.)

Also:
Mit diesem System soll - um die Sicherheit im Uni-Netz zu erhöhen - der
Datenverkehr zwischen Uni-Netz (und jedem Rechner darin, also auch
Wohnheime) und Internet automatisch auf verdächtiges Verhalten überwacht
werden.
Dazu werden die sogenannten IP-Header[1] jedes Daten-Pakets gespeichert,
alle 5 Minuten zentral gesammelt und ausgewertet. Darin stehen u.a. die
IP-Addresse [2], die MAC-Addresse [3], der Port [4] - diese drei Sachen
auch noch jeweils von Sender UND Empfänger - und natürlich das Datum
sowie die genaue Uhrzeit. Da bei uns die IP-Addressen fest vergeben
werden und MAC-Addressen sich normalerweise bei einem Computer nicht so
oft ändern, kann man damit (selbst beim WLAN) Verbindungen nach draußen
einzelnen Computern zuordnen - und da man sich an der Uni überall
anmelden muss, um PC- und Internet-Zugang zu erlangen, auch einzelnen
Personen. Am Port sieht man zumindest grob, welche (Art) Programme da
miteinander reden, bzw. welche Art von Verbindung es ist.
Es soll also gespeichert werden, wer mit wem, wie, wann und wie lange
kommuniziert hat. Das ganze will das ZIH für 5 Tage auf Vorrat halten,
ausserdem anonymisiert für 30 Tage.
Das System soll für ca. 7 Tage "angelernt" werden, damit es weiß, was
für Internet-Verkehr bei uns normal ist und dann bei abnormalem
Verhalten - hoffendlich binnen weniger Minuten - Alarm schlagen. Dann
soll sich der Admin, der für den Netz-Bereich zuständig ist, daran
machen das Problem zu beheben. So will man frühzeitig erkennen, ob ein
Rechner z.B. Werbemails verschickt oder jemand irgendwelche bösen Dinge
bei Uni-Rechnern versucht.
Die Speicherung ist für die Funktion des FWS nicht nötig, das ZIH möchte
aber gerne im Zweifelsfall gucken können, was in den letzten Tagen bei
einem Rechner passiert ist. Dabei soll laut dem momenten Entwurf auch
der TU-Datenschutzbeauftragte ein Wörtchen mitzureden haben.


Was bedeutet das jetzt?
Dass der Datenverkehr überwacht werden soll, ist schon prinzipiell
sch...lecht, lässt sich jedoch wohl nur noch schwer verhindern. Aber die
Speicherung persönlicher und personenbeziehbarer Daten ist - zumindest
meiner Meinung nach - jenseits von Gut und Böse. Das Anhäufen solcher
Daten birgt immer nicht nur ein großes Missbrauchspotential und die
erhöhte Gefahr, dass durch Fehlkonfigurationen oder einem technischen
Fehler schwerer Schaden angerichtet werden kann. Sondern es weckt auch
Begerlichkeiten bei "Bedarfsträgern" und anderen Interessenten. Also
Polizei, Musik-Industrie etc.. Denn sind die Daten erstmal DA, kommt man
auch relativ leicht per Gerichts-Beschluss dran.
Die Speicherung müssen wir also auf jeden Fall verhindern, besser wäre
natürlich gleich das ganze System.



[1] eine Art elektronischer Paketschein
[2] vergleichbar mit einer Telefonnummer
[3] eine auf der ganzen Welt einzigartige Kennung der Netzwerkkarte
[4] kann man sich als die Kanäle beim Fernsehen vorstellen, z.B.:
Webseiten "guckt" man über Port 80 und Mail geht über 25


Wenn ihr Fragen habt, immer her damit. Ich komme auch gerne mal vorbei.

Aljoscha
RF Datenschutz
http://www.jura.tu-dresden.de/~fsradmin/joomla/index.php/allgemeine-news/123-das-qfruehwarnsystemq
[align=center][/align]


pruefi

  • Hero Member
  • *****
  • Posts: 504
  • Karma: +0/-0
    • View Profile
    • https://www.linkedin.com/in/andreaspruefer/
Stealthwatch Fruehwarnsystem
« Reply #6 on: May 17, 2009, 09:50:39 am »
[align=center][/align]

Sigurd

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Stealthwatch Fruehwarnsystem
« Reply #7 on: May 17, 2009, 11:03:41 am »
Warum lest ihr im wichtigsten Dresdner Studentenforum nicht selber mit?

Dort wird im Übrigen fast alles diskutiert.

pruefi

  • Hero Member
  • *****
  • Posts: 504
  • Karma: +0/-0
    • View Profile
    • https://www.linkedin.com/in/andreaspruefer/
Stealthwatch Fruehwarnsystem
« Reply #8 on: May 17, 2009, 02:39:31 pm »
@Sigurd
Ich meinte damit aktive Information durch den FSR im Rahmen des Faschaftsforums.
Am liebsten in der Form einer blinkenden Warnbake mit extra Sirene :)
Die fünf Zeilen hinsichtlich der Vorratsdatenspeicherung hier:
http://bombentrichter.de/showpost.php?p=124372&postcount=23
hatte ich gar nicht zur Kenntnis genommen.
[align=center][/align]

Schmali

  • Hero Member
  • *****
  • Posts: 873
  • Karma: +0/-0
    • View Profile
Stealthwatch Fruehwarnsystem
« Reply #9 on: May 18, 2009, 03:42:06 am »
Quote
Die fünf Zeilen hinsichtlich der Vorratsdatenspeicherung hier:
http://bombentrichter.de/showpost.ph...2&postcount=23
hatte ich gar nicht zur Kenntnis genommen.


also scheinbar kennst du ja meinen Beitrag und hast ihn zur Kenntnis genommen... !?

Der FSR wird alles ihm mögliche gegen die Vorratsdatenspeicherung unternehmen, und bis zum Letzten dagegen im Senat kämpfen ( der letztendlich darüber entscheidet! )

wenn wir jetzt alle wichtigen Themen mit "blinkenden Warnbake mit extra Sirene" hervorheben, wird sich der Großteil der Forum-User darüber aufregen... man sollte solche Wünsche also mit Bedacht äußern, anstatt gleich Vorwürfe in den Raum zu stellen

pruefi

  • Hero Member
  • *****
  • Posts: 504
  • Karma: +0/-0
    • View Profile
    • https://www.linkedin.com/in/andreaspruefer/
Stealthwatch Fruehwarnsystem
« Reply #10 on: May 18, 2009, 06:48:33 am »
@Schmali:
Missverständnis -Die "Warnbake" war eigentlich nur für mich alten Trottel bestimmt.

Um die Kollektion zu vervollständigen,
die caz hat sich mit dem Thema in ihrer 85. Ausgabe (27. April'09) beschäftigt:
http://www.mediavista-kg.de/caz-lesen.de/downloads/archiv/caz_ausgabe85_2009-04-27.pdf
und stellt auch den Entwurf zur Ordnung ins Netz:
http://www.caz-lesen.de/ueberwachung.pdf
[align=center][/align]

Pittiplatsch

  • Sr. Member
  • ****
  • Posts: 370
  • Karma: +0/-0
    • View Profile
Stealthwatch Fruehwarnsystem
« Reply #11 on: May 18, 2009, 09:33:48 pm »
Was regt ihr euch eigentlich auf? Das ZIH nutzt doch nur die neuen Möglichkeiten, die es seit Anfang des Jahres durch Novellierung des BSI-Gesetzes hat. [mehr...] Die meisten Telekommunikationsanbieter machen das schon längst. Und mit dem neuen Gesetz gegen Kinderpornographie im Internet wird das sicher auch für die TU verpflichtend. [mehr...] Da kam der Conficker-Wurm gerade noch recht, um die Medien auf den erfolglosen Kampf gegen Botnetze aufmerksam zu machen. [mehr...] Solch ein Frühwarnsystem ist garantiert an sehr hohe Auflagen bezüglich des Datenschutzes geknüpft. Gegen eine innerbetriebliche Nutzung der aufgezeichneten Daten in anonymisierter Form ist nichts zu sagen. Ich würde mir jedoch wünschen, dass das ZIH nach einem Jahr Rechenschaft ablegt und den tatsächlichen Nutzen dieses Systems belegt.
Schlechte Menschen erkennt man an ihren guten Ausreden.
Nur wer von Herzen negativ denkt, kann positiv überrascht werden. (Albert Einstein)

pruefi

  • Hero Member
  • *****
  • Posts: 504
  • Karma: +0/-0
    • View Profile
    • https://www.linkedin.com/in/andreaspruefer/
Stealthwatch Fruehwarnsystem
« Reply #12 on: May 18, 2009, 09:36:56 pm »
Das ist dann aber so, dass ich mit der Keule aushole auf jemand Ziele und bewußt trotzdem einen anderen treffe? Mir ist so übel...Welt mir graut vor Dir!
[align=center][/align]

Pittiplatsch

  • Sr. Member
  • ****
  • Posts: 370
  • Karma: +0/-0
    • View Profile
Stealthwatch Fruehwarnsystem
« Reply #13 on: May 18, 2009, 09:52:56 pm »
Quote from: pruefi
Das ist dann aber so, dass ich mit der Keule aushole auf jemand Ziele und bewußt trotzdem einen anderen treffe? Mir ist so übel...Welt mir graut vor Dir!

Das lässt sich sicher nicht verhindern. Ich möchte nicht wissen, was so ein System alles ans Tageslicht fördert. Ohne strenge Auflagen im Datenschutz wird's wohl nicht gehen.
Schlechte Menschen erkennt man an ihren guten Ausreden.
Nur wer von Herzen negativ denkt, kann positiv überrascht werden. (Albert Einstein)

pruefi

  • Hero Member
  • *****
  • Posts: 504
  • Karma: +0/-0
    • View Profile
    • https://www.linkedin.com/in/andreaspruefer/
Stealthwatch Fruehwarnsystem
« Reply #14 on: May 18, 2009, 10:01:51 pm »
..ich glaube nicht an Datenschutz. Weil ich selber aus der IT-Ecke komme :) Das ist wohl das Hauptroblem. Alternativ wäre mir eine online/realtime Lösung ohne Speicherung lieber. Sonst kann jeder halbewegs Intelligente anhand der Traces und der Header nachvollziehen, was ich wann und wo in welchen Foren geschrieben habe.
[align=center][/align]