BLOG

Eine offene Plattform fĂŒr kontroverse Meinungen und aktuelle Analysen aus dem HuffPost-Gastautorennetzwerk

Prof. Dr. Hartmut Pohl Headshot

Hacker hacken NSA

Veröffentlicht: Aktualisiert:
HACKING
scyther5 via Getty Images
Drucken

und stellen ein großes Angebot an Angriffssoftware (cyber weapons) ins Internet.

Vor einigen Jahren machten Stuxnet (2006) und Flame (2007) Schlagzeilen als ausgeklĂŒgelte Malware. Beide sollen aus der Feder einer Gruppe stammen, die wegen ihrer Vorliebe fĂŒr VerschlĂŒsselung ‚Equation Group' genannt wird; ihre AktivitĂ€ten sind seit mehr als 15 Jahren nachweisbar: Ihre erste Malware ‚Equation Laser' erschien 2001.

Es folgten ‚Equation Drug' und ‚Double Fantasy', ‚Fanny', Grayfish u.a. Jede dieser Malware hat eine spezielle Funktion. Insgesamt werden mehr als 500 Angriffe der Equation Group in 42 LĂ€ndern zugeordnet. Ziel ist meist ein vollstĂ€ndiges Ausspionieren (und auch sabotieren) staatlicher Einrichtungen aus LĂ€ndern wie dem Iran, Pakistan, Afghanistan oder Russland - aber auch von Unternehmen!

Alle diese Tools basieren auf der Ausnutzung (exploiting) unveröffentlichter SicherheitslĂŒcken. Die zugrundeliegenden Methoden und die konkreten Tools sind also genauso bekannt wie die technische Funktion: Fanny greift vom Internet physisch abgeschottete Computer und Netze an. Grayfish installiert Software, die nicht durch Formatieren des DatentrĂ€gers allein dauerhaft gelöscht werden kann.

Vielmehr installiert sie sich ĂŒber modifizierte Firmware der Festplattensteuerung bei jedem Booten neu (vgl. den Bundestagsfall). Timestamps der Malware deuten auf regelmĂ€ĂŸig eingehaltene Arbeitszeiten hin. Außerdem wurden Codewörter gefunden, die auch in den von Edward Snowden veröffentlichten Unterlagen der NSA auftauchten - vielleicht aber auch nur ein Fake zur gezielten IrrefĂŒhrung der Security Analysten.

Der Gedanke liegt nahe, dass es sich bei Grayfish um IRATEMONK, ein Programm der NSA-Spezialeinheit Tailored Access Operations (TAO), handelt. TAO und die Equation Group könnten auch 2 Namen ein und derselben Gruppe sein. Eindeutige Beweise sind dies aber nicht; im Gegenteil könnte auch eine vergleichbare Behörde aus dem internationalen Raum (Israel, Russland, Japan, China, ...) dahinter stecken, die sich entsprechend tarnt.

Im Internet gibt es nÀmlich grundsÀtzlich 2 entscheidende Herausforderungen:

  • Identifizierung und insbesondere Authentifizierung von Kommunikationspartnern und Angreifern. Der Vorschlag, PKIs mit digitaler Signatur und Zertifikaten auf der Basis asymmetrischer VerschlĂŒsselung ist (leider) mit Unsicherheit behaftet. Solche sog. Trust Center sind schon mehrfach z.B. von der Organisierten KriminalitĂ€t (OK) geknackt worden.
  • Die RĂŒckverfolgung von Angreifern ist alles andere als trivial. Schon vor 15 Jahren tarnten sich Angreifer durch die missbrĂ€uchliche Nutzung von Hochschul- und Forschungsservern weltweit und erweckten damit den Eindruck, Studenten spielten herum (Server-Hopping).

Sicherheitsexperten konnten diverse Malware in aufgegebenen Server-DomÀnen analysieren. Bislang konnte dabei allerdings kein Mitglied der Equation Group namentlich identifiziert werden.

Eine Hacker-Gruppe namens ‚The Shadow Brokers' soll NSA Server gehackt haben und an „Cyber-Waffen" der Equation Group gelangt zu sein. ‚The Shadow Brokers' bietet derzeit diese Angriffssoftware zum Download an: Wer bis zum Stichtag die meisten Bitcoins (Minimum 566 Millionen Dollar) ĂŒberwiesen hat, soll das zum EntschlĂŒsseln notwendige Passwort erhalten.

Um zu zeigen, dass es sich wirklich um Schadsoftware der Equation Group handelt, veröffentlichten ‚The Shadow Brokers' beispielhaft einige unverschlĂŒsselte Malware-Produkte. Wenn das riesige Paket an Angriffssoftware wirklich echt ist, ist es tatsĂ€chlich mehr als Gold wert!

Die geleakten Angriffstools sind schon ĂŒber 3 Jahre alt! BerĂŒcksichtigt man die Aussage deutscher Sicherheitsbehörden, dass IT-Sicherheitswissen, Angriffstools etc. binnen 2 Jahren von den Nachrichtendiensten und Sicherheitsbehörden an die Organisierte KriminalitĂ€t abfließen, kann davon ausgegangen werden, dass die OK derartige Angriffssoftware weltweit seit mehr als einem Jahr aktiv nutzt.

Zusammenfassend ist aktuell wichtig: In einschlĂ€gigen Kreisen der OK und den Sicherheitsbehörden sind weltweit sehr viele (tausende!) unveröffentlichte SicherheitslĂŒcken bekannt: Insider sprechen von mehreren Hundert der NSA bekannten unveröffentlichten SicherheitslĂŒcken.

Das von renommierten Firewall-Herstellern jetzt eilig vorgenommene Patchen bekannt gewordener (bisher unveröffentlichter) SicherheitslĂŒcken zeigt beispielhaft die generelle Unsicherheit im Internet - nur u.a. von Standardsoftware, standardisierten Suiten, Open Source Produkten - und nicht zuletzt von Sicherheitstools.

Co-Autor Wilfried Kirsch, IT-Security-Consultant softScheck GmbH, Sankt Augustin

Leserumfrage: Wie fandet ihr uns heute?

2016-07-11-1468249306-1333267-umfrage.jpg

Hier geht es zur Umfrage.

Ihr habt auch ein spannendes Thema?
Die Huffington Post ist eine Debattenplattform fĂŒr alle Perspektiven. Wenn ihr die Diskussion zu politischen oder gesellschaftlichen Themen vorantreiben wollt, schickt eure Idee an unser Blogteam unter blog@huffingtonpost.de.

Auch auf HuffPost:

Lesenswert: