BLOG

Eine offene Plattform f├╝r kontroverse Meinungen und aktuelle Analysen aus dem HuffPost-Gastautorennetzwerk

Prof. Dr. Hartmut Pohl Headshot

Hacker hacken NSA

Ver├Âffentlicht: Aktualisiert:
HACKING
scyther5 via Getty Images
Drucken

und stellen ein gro├čes Angebot an Angriffssoftware (cyber weapons) ins Internet.

Vor einigen Jahren machten Stuxnet (2006) und Flame (2007) Schlagzeilen als ausgekl├╝gelte Malware. Beide sollen aus der Feder einer Gruppe stammen, die wegen ihrer Vorliebe f├╝r Verschl├╝sselung ÔÇÜEquation Group' genannt wird; ihre Aktivit├Ąten sind seit mehr als 15 Jahren nachweisbar: Ihre erste Malware ÔÇÜEquation Laser' erschien 2001.

Es folgten ÔÇÜEquation Drug' und ÔÇÜDouble Fantasy', ÔÇÜFanny', Grayfish u.a. Jede dieser Malware hat eine spezielle Funktion. Insgesamt werden mehr als 500 Angriffe der Equation Group in 42 L├Ąndern zugeordnet. Ziel ist meist ein vollst├Ąndiges Ausspionieren (und auch sabotieren) staatlicher Einrichtungen aus L├Ąndern wie dem Iran, Pakistan, Afghanistan oder Russland - aber auch von Unternehmen!

Alle diese Tools basieren auf der Ausnutzung (exploiting) unver├Âffentlichter Sicherheitsl├╝cken. Die zugrundeliegenden Methoden und die konkreten Tools sind also genauso bekannt wie die technische Funktion: Fanny greift vom Internet physisch abgeschottete Computer und Netze an. Grayfish installiert Software, die nicht durch Formatieren des Datentr├Ągers allein dauerhaft gel├Âscht werden kann.

Vielmehr installiert sie sich ├╝ber modifizierte Firmware der Festplattensteuerung bei jedem Booten neu (vgl. den Bundestagsfall). Timestamps der Malware deuten auf regelm├Ą├čig eingehaltene Arbeitszeiten hin. Au├čerdem wurden Codew├Ârter gefunden, die auch in den von Edward Snowden ver├Âffentlichten Unterlagen der NSA auftauchten - vielleicht aber auch nur ein Fake zur gezielten Irref├╝hrung der Security Analysten.

Der Gedanke liegt nahe, dass es sich bei Grayfish um IRATEMONK, ein Programm der NSA-Spezialeinheit Tailored Access Operations (TAO), handelt. TAO und die Equation Group k├Ânnten auch 2 Namen ein und derselben Gruppe sein. Eindeutige Beweise sind dies aber nicht; im Gegenteil k├Ânnte auch eine vergleichbare Beh├Ârde aus dem internationalen Raum (Israel, Russland, Japan, China, ...) dahinter stecken, die sich entsprechend tarnt.

Im Internet gibt es n├Ąmlich grunds├Ątzlich 2 entscheidende Herausforderungen:

  • Identifizierung und insbesondere Authentifizierung von Kommunikationspartnern und Angreifern. Der Vorschlag, PKIs mit digitaler Signatur und Zertifikaten auf der Basis asymmetrischer Verschl├╝sselung ist (leider) mit Unsicherheit behaftet. Solche sog. Trust Center sind schon mehrfach z.B. von der Organisierten Kriminalit├Ąt (OK) geknackt worden.
  • Die R├╝ckverfolgung von Angreifern ist alles andere als trivial. Schon vor 15 Jahren tarnten sich Angreifer durch die missbr├Ąuchliche Nutzung von Hochschul- und Forschungsservern weltweit und erweckten damit den Eindruck, Studenten spielten herum (Server-Hopping).

Sicherheitsexperten konnten diverse Malware in aufgegebenen Server-Dom├Ąnen analysieren. Bislang konnte dabei allerdings kein Mitglied der Equation Group namentlich identifiziert werden.

Eine Hacker-Gruppe namens ÔÇÜThe Shadow Brokers' soll NSA Server gehackt haben und an ÔÇ×Cyber-Waffen" der Equation Group gelangt zu sein. ÔÇÜThe Shadow Brokers' bietet derzeit diese Angriffssoftware zum Download an: Wer bis zum Stichtag die meisten Bitcoins (Minimum 566 Millionen Dollar) ├╝berwiesen hat, soll das zum Entschl├╝sseln notwendige Passwort erhalten.

Um zu zeigen, dass es sich wirklich um Schadsoftware der Equation Group handelt, ver├Âffentlichten ÔÇÜThe Shadow Brokers' beispielhaft einige unverschl├╝sselte Malware-Produkte. Wenn das riesige Paket an Angriffssoftware wirklich echt ist, ist es tats├Ąchlich mehr als Gold wert!

Die geleakten Angriffstools sind schon ├╝ber 3 Jahre alt! Ber├╝cksichtigt man die Aussage deutscher Sicherheitsbeh├Ârden, dass IT-Sicherheitswissen, Angriffstools etc. binnen 2 Jahren von den Nachrichtendiensten und Sicherheitsbeh├Ârden an die Organisierte Kriminalit├Ąt abflie├čen, kann davon ausgegangen werden, dass die OK derartige Angriffssoftware weltweit seit mehr als einem Jahr aktiv nutzt.

Zusammenfassend ist aktuell wichtig: In einschl├Ągigen Kreisen der OK und den Sicherheitsbeh├Ârden sind weltweit sehr viele (tausende!) unver├Âffentlichte Sicherheitsl├╝cken bekannt: Insider sprechen von mehreren Hundert der NSA bekannten unver├Âffentlichten Sicherheitsl├╝cken.

Das von renommierten Firewall-Herstellern jetzt eilig vorgenommene Patchen bekannt gewordener (bisher unver├Âffentlichter) Sicherheitsl├╝cken zeigt beispielhaft die generelle Unsicherheit im Internet - nur u.a. von Standardsoftware, standardisierten Suiten, Open Source Produkten - und nicht zuletzt von Sicherheitstools.

Co-Autor Wilfried Kirsch, IT-Security-Consultant softScheck GmbH, Sankt Augustin

Leserumfrage: Wie fandet ihr uns heute?

2016-07-11-1468249306-1333267-umfrage.jpg

Hier geht es zur Umfrage.

Ihr habt auch ein spannendes Thema?
Die Huffington Post ist eine Debattenplattform f├╝r alle Perspektiven. Wenn ihr die Diskussion zu politischen oder gesellschaftlichen Themen vorantreiben wollt, schickt eure Idee an unser Blogteam unter blog@huffingtonpost.de.

Auch auf HuffPost:

Lesenswert: