Das sagt Prof. Dr. Fred Cohen, der ‘Erfinder’ des Computervirus.
Exklusiv-Interview unter: https://tinyurl.com/SIC07
Die Wissenschaft hat aus seiner Sicht beim Thema IT-Sicherheit versagt — weil sie “noch immer nicht richtig angewendet” werde. Es fehle an einer echten wissenschaftlichen Methodik: “Es gibt zwar eine Menge Forschung und Entwicklung im IuK-Bereich, nennen wir es ‘Technologische Innovation’, nur ist das eben keine echte Wissenschaft.”
Sind Computerviren eigentlich zwangsläufig „schlecht”? Vielleicht verstehen wir ja nur ihr eigentliches Potenzial nicht oder ignorieren es sogar? Dieser Frage ist wohl kaum jemand so sehr (oder zumindest so lange) auf den Grund gegangen wir Prof. Dr. Fred Cohen. Er gilt als „Erfinder” des weltweit ersten Computervirus (1983) und hat sich seitdem in der Community den Ruf eines Pioniers in Sachen IT-Sicherheit erworben. Internationale Aufmerksamkeit erregte Cohen vor allem durch seine Forschungen als Präsident des California Sciences Institute (CalSci), wo es schwerpunktmäßig um die Abwehr von Cyberterrorismus geht – etwa als Master-Studiengang und Doktorandenprogramm zu „National Security”, Digitalen Ermittlungsmethoden oder Computerforensik. Im Rahmen der „EICAR”-Konferenz in Berlin vor einigen Wochen hatten wir erstmals in Deutschland die Gelegenheit, mit Fred Cohen ein eingehendes Interview zu führen.
Es gibt wohl kaum einen Geschäftsführer, der tatsächlich stolz darauf wäre, etwas wie den ersten Computervirus erfunden zu haben, Herr Prof. Cohen. Andererseits sind Ihrer Meinung nach ja Viren nicht unbedingt etwas Böses…
Meiner Meinung nach stellen Viren nicht viel weniger dar als die erste künstliche Lebensform auf diesem Planeten – fähig dazu, sich selbst zu reproduzieren. Für die Idee eines Virus, damals 1983, brauchte ich nur einen Moment. Für die Implementierung als sicheres Experiment brauchte ich acht Stunden. Um aber die Abwehrmechanismen gegen solche Viren zu verstehen, habe ich wohl an die sieben Jahre gebraucht. Immer stärker wurde mir dann mit der Zeit bewusst, dass Viren für genauso viele gute Zwecke einsetzbar sind wie für schlechte – eine Auffassung, die die IT-Sicherheits-Community noch immer bestreitet. Folglich hat sich unabhängig davon eine eigene Community für reproduzierbare Software entwickelt – etwa im Bereich „Künstliches Leben”. Die Technologie, über die wir hier reden, wird heute vor allem in zwei Bereichen genutzt: zur Selbstdistribution von Software in verteilten Systemen oder aber zum Einbruch in anderer Leute Computer.
Liegt also der einzige Unterschied darin, wie wir die beiden nennen? Entweder „Softwareagenten”, die anscheinend von Natur aus „gut” sind, oder „Viren”, die anscheinend per se „schlecht” sind?
Sie können das vielleicht vergleichen mit der Entwicklung „Künstlicher Intelligenz”, die wir irgendwann „Expertensysteme” nannten, dann „Agentensysteme” und so weiter. In erster Linie ist dies meiner Ansicht nach der Marketing-Versuch, ein und derselben Technologie alle zwei Jahre einen neuen Namen zu geben, um sie als etwas Neues verkaufen zu können. Das Wesentliche an einem Virus ist seine Fähigkeit zur Reproduktion – und dieser Prozess lässt sich recht leicht kontrollieren!
Aber haben Nutzer heute nicht vielmehr den Eindruck, zunehmend die Kontrolle darüber zu verlieren, was da eigentlich in der „Black Box” ihrer Rechners so vorgeht?
Nicht wirklich, nein. Ich finde, der Trend geht eher dahin, dass Nutzer Funktionalität fordern anstatt verstehen zu müssen, wie bestimmte Dinge eigentlich funktionieren. Und das ist meiner Meinung nach auch gut so! Genauso wie ich ja auch nicht wissen muss, wie in meinem Auto die Motorsteuerung funktioniert – ich bin froh, einfach nur den Schlüssel drehen zu müssen.
Trotzdem muss er letztlich ja funktionieren…
Tja, und genau das ist das Problem. Es ist doch ein völlig falsches Konzept, darauf zu zählen, dass Nutzer jede ihrer Aktionen genauso durchdenken als wären sie Sicherheitsexperten. Bei täglich 2.000 neuen Viren, kann man doch nun wirklich nicht damit rechnen, dass die Nutzer jede individuelle Sicherheitsentscheidung treffen! Wir könnten ja noch nicht einmal bei Sicherheitsexperten davon ausgehen, dass sie immer die richtige Entscheidung treffen. Das heißt: Je eigenständiger und je stärker automatisiert eine Sicherheitslösung ist, desto transparenter ist sie auch. Wenn mich stattdessen ein Produkt jeden Tag mit einer Reihe von Entscheidungen konfrontiert, dann schmeiße ich dieses Produkt einfach weg, denn schließlich ist es nicht zu tolerieren, wenn Computer meine Zeit vergeuden!
Stattdessen schlagen Sie, Prof. Cohen, vor, Viren mit genau denselben Waffen abzuwehren, mit denen die uns angreifen…
…weil man die Komplexität eines Angriffs dadurch steigern kann, dass sich Schutzumgebung und Betriebssystem eigenständig weiterentwickeln. Nur leider verfolgt die Antivirus-Industrie solche Ideen nicht. Doch das wird sich ändern.
Kann stattdessen vielleicht die Wissenschaft ein paar Antworten geben?
Die Wissenschaft? Die hat auf dem Gebiet der IT-Sicherheit deshalb versagt, weil sie noch immer nicht richtig angewendet wird. Sehen Sie, in der Wissenschaft entwickelt man doch Theorien, macht dann Experimente, nutzt empirische Beweise. Die IT-Sicherheits-Community aber hat solch eine wissenschaftliche Methodik gar nicht entwickelt, sondern probiert einfach etwas Neues aus, um es dann zu verkaufen. Es gibt zwar eine Menge Forschung und Entwicklung im IuK-Bereich, nennen wir es „Technologische Innovation”, nur ist das eben keine echte Wissenschaft. Wir müssen zuerst einmal die fundamentalen Mechanismen verstehen, dann entwickeln, testen und verschiedene Theorien evaluieren. Sonst werden wir bei Antivirus-Technologien keine wirkliche Weiterentwicklung erleben. Alles, was dann kommt, ist nur noch Lärm und kein Fortschritt.
Vielleicht haben Sie von den Plänen der deutschen Regierung gehört, einen so genannten „Bundestrojaner” einzusetzen? Auch wenn das kein „Virus” sein mag – wäre so etwas Ihrer Meinung nach eine legitime Anwendung für autonome Systeme?
Zunächst einmal kann es ja kein „Trojaner” mehr sein, wenn doch schon jeder davon weiß. Ich persönlich finde das ganze Thema anstößig. Und zwar nicht nur, weil dadurch Datenschutz und Privatsphäre ignoriert werden, sondern auch weil das technologisch sehr gefährlich ist. Ich kann Ihnen garantieren, dass es hier Missbrauch geben wird. Wir haben in den Vereinigten Staaten viel Erfahrung mit Regierungen, die zunächst das Gesetz brechen, um sich dann – wenn jemand technische Wege findet, diesen Gesetzesbruch zu erschweren – genau jene Leute an Bord zu holen, um das Gesetz für die Regierung zu brechen. Außerdem lernen irgendwann auch die „bösen Jungs”, wie man das anstellt – als nicht nur die Regierung. Was Ihren „Trojaner” anbelangt, empfehle ich Ihnen also, dass Sie das besser sein lass. Tun Sie das bloß nicht!
Und was wäre stattdessen die richtige Antwort? Wie sollen denn Strafverfolgungsbehörden auf legitimem Wege an die
Informationen herankommen, die sie für die Sicherheit des Landes brauchen?
Indem sie dem Geld folgen, ganz einfach! Zu größten Teil ist sind kriminelle Aktivitäten im IT-Bereich ja darauf angelegt, Geld zu stehlen. Die Vorstellung, man könne Gerechtigkeit erzielen, indem man in alle Computer dieser Welt einbricht, war schon immer falsch und wird auch zukünftig falsch sein. Es muss hier die richtige Balance herrschen. Andernfalls bewegt sich unsere Gesellschaft – durch Technologie – weg vom Datenschutz, hin zu Propaganda, Überwachung und – was entscheidend ist – hin zur Feigheit, die dann letztlich auch die Innovation tötet. Und wie wir aus der Geschichte wissen: Eine stagnierende Gesellschaft kollabiert.
Prof. Dr. Fred Cohen ist einer der weltweit führenden Experten und Wissenschaftler auf dem Gebiet der Internetsicherheit. Es gilt als Erfinder des ersten Computervirus (und folglich auch als Schöpfer des Begriffes). Ende der 80er-Jahre hat Prof. Cohen statistisch und logisch nachgewiesen, dass kein Algorithmus je in der Lage sein wird, jeden Virus auf einem bestimmten System zu identifizieren. Auch das „Deception Toolkit” für UNIX / Linux geht auf Fred Cohen zurück. Nach dem Studium der Elektrotechnik und Informationswissenschaft promovierte Cohen 1986 an der University of Southern California. Seitdem leitet er seine eigene IT-Beratung. Cohen war als Professor und Lehrbeauftragter an Universitäten in San Francisco, New Haven, Queensland, Cincinnati und Lehigh tätig.
ENGLISCHE FASSUNG
Control and Cowardice Kill Innovation
Are computer viruses inevitably “bad”? Or do we rather misperceive them and ignore their real potential? Hardly anyone has dug into this question so deeply (or at least for so long) as Prof. Dr. Fred Cohen. He is considered as the „inventor” of the world’s first computer virus (1983) and ever since obtains the reputation of a security pioneer in the community. Most of all, Cohen has recently raised a lot of attention through his research as president of California Sciences Institute (CalSci). The defense of cyber terrorism is one of the main research topics at CalSci, e.g. in Master and PhD programs on national security, digital investigation or computer forensics. During EICAR conference in Berlin, earlier this year, we had the opportunity to have an in-depth talk with Fred Cohen.
No CEO would probably be proud of having invented something like the computer virus, Prof. Cohen. For you, however, viruses do not necessarily seem „bad”, do they?
My view is that viruses represent not much less than the first artificial life form on this planet – capable of reproducing themselves. The idea of a virus, in 1983, took only a moment. Implementing it, so that it was safe to do an experiment, took eight hours. However, I spent the next maybe seven years working on understanding the defences against such viruses. Over time, I realised that viruses can do just as many good things as they can do bad things – a notion which the computer security community is still against. Therefore, the community that has used reproducing software has emerged independently from that – for instance Artificial Life. Today, the technology we are talking about is used mostly in two ways: for self-distribution of software in a distributed network or for breaking into other people’s computers.
Is the only difference between the two just the way we call it? Either “software agents” which apparently are ‘good’ by nature or “viruses” which apparently are bad?
You may compare this to the development of Artificial Intelligence, which we started calling “Expert Systems” at some stage, then “Agent Systems” and so on. I believe, this is mostly a marketing issue of re-branding the same thing every two years, in order to be able to sell it as something new. The essence of a virus is its ability to reproduce – a process that can quite easily be controlled!
But don’t you rather think that users increasingly have the impression of losing more and more control over what is actually going on within this ‘black box’ of their computer?
Not really. I see a trend in computing rather towards users wanting the functionality without having to understand how things actually work. And I think this is fine! Just as much as I also don’t have to know how the timing of my car engine works. I’m happy to just turn the key.
But in the end, it does need to work…
And that’s the problem! It is, however, a flawed concept to count on users to think through what they are doing as if they were all security experts. With 2,000 new viruses every day, you cannot possibly count on them to make the individual security decisions! We even cannot count on security experts to always make the right decision. Therefore, the more independent and automatic security software is, the more transparent it becomes. Instead, if a product confronts me with a couple of decisions to make every day, I am going to throw the product out, because it’s not tolerable to have computers wasting my time!
Instead, you have suggested to defend virsus with the same “weapons” they are attacking us…
…because you can drive up the complexity of an attack by letting your protective environment and operating system autonomously evolve. Unfortunately such ideas are not pursued by the anti-virus industry yet. But things will change.
Can maybe science offer some of the answers instead?
Science? Science has failed computer security in general, because it still has not been applied yet properly. You know, in science you develop theories, make experiments, use empirical evidence. The IT security community, however, has not developed a scientific method but is more or less just trying something new in order to sell it. There is a lot of Research and Development in ICT, let’s call it ‘technology innovation’, but there is no real science! We have to understand the fundamental mechanisms, first, then develop, try and evaluate different theories. Otherwise we will not see any further advancement in anti-virus technology. All we will see is noise rather than progress!
You might have heard of the German government planning to install a kind of ‘state trojan’, known under the term “Bundestrojaner”? Even if this will not be a virus, will it be a legitimate application of autonomous systems?
First of all, it surely is not a trojan – as everyone knows about it. Personally, I find the whole issue quite offensive. Not only that we ignore privacy. It is also technologically very dangerous. I guarantee that there will be misuse. In the US we have a long history of governments breaking the law, and when you put in technical measures to make it harder to break the law, they get the people who are in charge of those technical measures to break the law for them! In addition, at some stage the ‘bad guys’ will learn how to do it – not even the government. Therefore, regarding your trojan, I suggest that you better not do it. Don’t do it!
And what would be the answer instead? How shall law enforcement legitimately obtain the information it needs for national security?
Just follow the money! The vast majority of criminal activity in the IT arena is just about stealing money!
The notion that somehow we will achieve justice by breaking into all the computers in the world, has never worked in the past and will never work in the future. There has to be the right balance. Otherwise our society is moving away from privacy, through technology – towards propaganda, surveillance and – most important – cowardice, which, then, kills innovation! And as we know from history, any stagnant society is going to collapse.
Prof. Dr. Fred Cohen is one of the world’s leading experts and scientists in the area of internet security. He is considered as the inventor of the first computer virus (and therefore of the term itself). Prof. Cohen was able to prove both statistically as well as logically, by the end of the 1980’s, that no algorithm would ever be capable of identifying every virus on a certain system. Also the UNIX/Linux “Deception Toolkit” traces back to Fred Cohen. After his studies in Electrical Engineering and Information Science, Cohen did his PhD, in 1986 at the University of Southern California. Since then, he has been leading his own IT consultancy. He has worked as a professor or assistant professor at universities in San Francisco, New Haven, Queensland, Cincinnati, and Lehigh.
Kommentare (6)