Die Kiste mit den Handgranaten- die wahre Dimension des CIA Leaks

In den letzten beiden Tagen habe ich mich intensiv mit den auf WikiLeaks veröffentlichten Dokumenten und Codes der CIA beschäftigt. Dieses Leak ist ganz anders als das, was Edward Snowden über die NSA ausgepackt hat! Snowden hat Informationen über die Ergebnisse und Methoden der Spionage der NSA in die Öffentlichkeit gebracht. Dieser CIA Leak aber veröffentlicht die digitalen Werkzeuge eines Geheimdienstes, die Spionage und Sabotage erst möglich machen. Und es sind fast ausnahmslos aktuelle Lücken von heute in Gebrauch befindlicher Software, Betriebssystemen, WLAN Router und Smart TV- letztendlich aller Arten von Geräten, die mittlerweile über einen Zugang zum Internet verfügen und einen Angriffsvektor offenbaren.

Und ich bin gelinde gesagt fassungslos.
Weil die CIA spioniert? Nein, das ist ihr Auftrag.
Weil so viele Geräte verwundbar sind? Nein, auch das ist mittlerweile bekannt. Der Sicherheitsstandard der IoT („Internet of Things“) Hardware ist genauso erbärmlich wie vermeidbar.

Mich machen zwei andere Sachverhalte regelrecht sprachlos:

  • Wie einfach die CIA es hatte, weil die Hersteller schlampig gearbeitet haben. Die CIA nutzt Sicherheitslücken, die es seit zwanzig Jahren nicht mehr geben sollte.
  • Wie ungenügend Wikileaks die technischen Details verfremdet hat. Die Dokumente enthalten soviel digitalen Sprengstoff im Klartext, das in nächster Zeit mehr Organisationen, Unternehmen und Privatleute gehackt werden als je zuvor. Da bin ich sicher und lehne mich damit gar nicht weit aus dem Fenster. WikiLeaks hat hier eine Kiste mit Handgranaten auf den Schulhof gestellt. Keine Frage, das es nicht lange dauert, bis der Erste einen Splint zieht und ungeheuren Schaden anrichtet.
Nur noch am Splint ziehen, das ist alles.

Nur noch am Splint ziehen, das ist alles.

Der Angriffsbaukasten HIVE

WikiLeaks hat zum Beispiel Zugriff auf den Baukasten HIVE, der wie folgt beschrieben wird:

„HIVE is a multi-platform CIA malware suite and its associated control software. The project provides customizable implants for Windows, Solaris, MikroTik (used in internet routers) and Linux platforms and a Listening Post (LP)/Command and Control (C2) infrastructure to communicate with these implants.“

Die Summe der verwundbaren Installationen von Windows-, Linux- oder Solaris Systemen kann man nur schätzen. Die allermeisten werden sich in internen Netzen befinden und somit hinter einer Firewall. Der Zugriff darauf dürfte also nicht allzu einfach werden. Aber kennen Sie MikroTik? Dies ist ein Hersteller von Firmware von Routern aus Lettland, eher im Low-Cost-Bereich einfacher Router angesiedelt. Diese Geräte hängen direkt im Internet und fungieren als Gateways in die internen Netze. Die CIA hat mit HIVE einen eigenen Angriffsbaukasten, um genau diese Geräte zu kontrollieren. Ich habe mal  kurz nachgeschaut, über wieviele Geräte ich hier eigentlich schreibe. Es waren zuletzt mehr als 1,3 Milliarden Geräte, direkt mit dem Internet verbunden, die theoretisch über den Angriffsbaukasten HIVE korrumpiert werden könnten. Und wenn Sie den Router unter ihre Kontrolle gebracht haben, sind auch die Betriebssysteme dahinter nicht mehr sicher.

Verbreitung von MikroTik Hardware weltweit

Verbreitung von MikroTik Hardware weltweit

Schauen Sie selbst nach, wenn Sie möchten. Die Suchmaschine Shodan ist da sehr auskunftsfreudig. Entsprechend der Platzierung im Low-Cost Bereich ist auch die  globale Verbreitung der Hardware von MikroTik. Allein die fast 165.000 Geräte im Iran und Russland haben den Entwicklungsaufwand auf Seiten der CIA sicher gelohnt. Wikileaks schreibt momentan nur über HIVE und ist im Besitz der Software. Es bleibt nur zu hoffen, dass nur die Beschreibung von HIVE in die Öffentlichkeit kommt und niemals der Baukasten selbst.

Gern nenne ich Ihnen ein weiteres Beispiel, das sich (hoffentlich) ohne allzu technische Details erklären lässt. Unter https://wikileaks.org/ciav7p1/cms/page_3375327.html finden Sie ausführliche Details, wie man dem Kaspersky Virenscanner, der den Dateinamen avp.exe hat, eine manipulierte DLL-Datei unterschieben kann. Dazu muss man wissen, dass eine ausführbare Datei wie avp.exe zur Laufzeit weitere DLL-Dateien in den Speicher des Computers lädt und darauf zugreift. Es ist gute Sicherheit, den Virenscanner so zu programmieren, dass er nur in einem einzigen Ordnerpfad nach einer solchen Datei sucht und die richtige Datei nimmt. Macht man dies nicht, greift die normale Suchreihenfolge und der Virenscanner von Kaspersky nutzt die erste Datei mit gleichen Namen, die er findet. Wissen Sie, wie alt dieses Problem ist? Der Fachbegriff dafür war DLL Hell und hat zu Zeiten von Windows NT 4 (das war Anfang der 90er!) zu zahlreichen Stabilitätsproblemen geführt, nachdem unterschiedliche Dateiversionen, die aber den gleichen Namen hatten, unter Windows NT 4 existierten. Das Problem war damals so gravierend, dass es einen eigenen Artikel in der Wikipedia erhielt https://en.wikipedia.org/wiki/DLL_Hell
Kaspersky hat bei der Programmierung seines Virenscanners fünfundzwanzig Jahre Evolution der Softwareprogrammierung erfolgreich ignoriert und der CIA ein sehr billiges Geschenk gemacht. Jedes Windows 7 Betriebssystem, auf dem diese Software läuft, ist somit angreifbar. Und Windows 7 ist nach wie vor das meistgenutzte Windows Desktop Betriebssystem.

Andere Sicherheitslücken sind nicht minder gravierend. Die Veröffentlichung auf Wikileaks enthält so viele Details, dass Kriminelle und Hacker in staatlichen Auftrag regelrecht mit der Nase darauf gestoßen werden, wo diese Sicherheitslücken zu finden sind. Nehmen wir den glatzköpfigen Adler von https://wikileaks.org/ciav7p1/cms/page_9535850.html. Was die CIA hier BaldEagle nennt, ist eine sehr ernst zunehmende Korrumpierung der Sicherheit auf Linux- und PC-BSD basierenden Client- und Serversystemen. Irgendwo in der HALD Daemon Implementierung gibt es eine Lücke, die es einem normalen Anwender erlaubt, lokal die Rechte von root zu erhalten, also vollen Zugriff auf das Unix/ Linux Betriebssystem. Die Nennung der betroffenen Systeme und des Ziels (HAL Daemon) reichen einem Angreifer aber aus, sich genau auf dieses Ziel zu konzentrieren und die Schwachstelle  zu finden.

Der Hack des Hacking Teams

Zuletzt wurden derartige Zero-Day Exploits, also Sicherheitslücken ohne den dafür passenden Patch, vor zwei Jahren im Rahmen des Hacking Team Hacks veröffentlicht. Hacking Team Hack? Ja, genau so war es. Ein italienisches Unternehmen, das Software an Regierungen verkauft, damit diese ihre eigenen Bürger überwachen können, wurde selbst das Opfer eines Einbruchs und Datendiebstahls. Auf heise.de gibt es hier eine Zusammenstellung aller Artikel, die sich mit diesem Hack beschäftigen. Die nach dem Einbruch veröffentlichten Zero-Day Exploits wurden anschließend in Rekordzeit von Kriminellen in ihre eigenen Angriffswerkzeuge integriert. Wahrscheinlich waren es zehntausende von Rechnern, die  anschließend angegriffen und von Erpressern zwangsverschlüsselt wurden. Zum Thema Ransomware habe ich mich bereits hier, hier und zuletzt im Artikel Ransomware ist ein Symptom geäußert. Die nun publizierten Sicherheitslücken aus dem Arsenal der CIA werden nun mit an Sicherheit grenzender Wahrscheinlichkeit (auch) für neue Erpressungswellen durch Ransomware mißbraucht werden. Das Potential der auf WikiLeaks veröffentlichten Zero-Day Exploits ist aber noch viel, viel größer als alles, was das Hacking Team aus Italien jemals besessen hat.

Die Zeit der Nachtschichten

Die Zeit der Nachtschichten ist gekommen. Jetzt wird rund um die Uhr gearbeitet:

  • Die CIA wird versuchen zu retten, was zu retten ist.
  • Alle anderen Dienste, allen voran jene, die den USA nicht besonders freundlich gesonnen sind, arbeiten jetzt auch auf Hochtouren im 3-Schicht-System. Sie werden nicht nur prüfen, ob sie selbst Opfer der CIA wurden. Sie werden auch versuchen, so viele Exploits wie möglich für ihre eigenen Zwecke zu missbrauchen.
  • Die Hersteller der verwundbaren Software werden mit Hochdruck versuchen, die Lücken in ihren eigenen Produkten zu finden und zu stopfen. Und nicht nur bei Kaspersky: F-Secure, Comodo, AVG und Avira sind ebenfalls betroffen. Auch bei diesen Herstellern von Antivirensoftware werden heute Nacht in einigen Büros die Lichter anbleiben.

Die von WikiLeaks veröffentlichten Exploits der CIA werden sehr bald ihren Weg zu Erpressern und professionellen Hackern finden und zu vielen weiteren Nachtschichten führen- diesmal aber bei denen, die gehackt und erpresst wurden. In dieser Situation kann ich Ihnen nur empfehlen, qualifiziertes Personal on standby zu haben um unmittelbar nach der Veröffentlichung von geeigneten Patches diese zu testen und in ihrer Organisation auszurollen. Natürlich auch an Wochenenden und zu unmöglichen Zeiten, was durch die Zeitverschiebung zu den USA und China sogar sehr wahrscheinlich ist. Die 24×7 Überwachung der Alarme auf ihrem SIEM System ist ebenfalls in den nächsten Tagen und Wochen eine dringend notwendige Aufgabe.