News

Der Syrien-Konflikt und der Cyberspace

Angesichts der zunehmenden Militarisierung von Staaten im Cyberspace ist eine der gegenwärtig offenen Fragen, in welcher Form militärische Operationen im Cyberspace in zukünftigen Konfliktsituationen strategisch integriert werden. Ein Großteil der Experten geht davon aus, dass es wahrscheinlich kaum Konflikte oder Kriege geben wird, die ausschließlich im Cyberspace ausgetragen werden. Stattdessen werden Cyberspace-Operationen vermutlich normaler Bestandteil klassisch militärischer Planung und die zur Verfügung stehenden Werkzeuge entsprechend eingesetzt. Angesichts einer Proliferation von entsprechenden Tools und Malware-Baukasten-Software gehen Fachleute jedoch auch davon aus, dass zukünftig auch nicht-staatliche Akteure wie Volksgruppen oder Bürgerkriegsparteien den Cyberspace verstärkt nutzen werden, insbesondere da dessen Struktur der klassisch asymmetrischen Konfliktführung entgegen kommt.

(mehr…)

Neue Player im Cyberwar !?

Abseits der wenig abreißenden medialen Bearbeitung der Enthüllungen Eward Snowdens sind in den vergangenen Wochen einige wichtige Meldungen nahezu untergegangen. Zum einen wurde durch das IT-Sicherheits-Unternehmen Kaspersky ein umfassender Bericht über eine bereits seit 2007 Jahren aktive Malware-Operation veröffentlicht. Bei der als “The mask” oder “Careto” bezeichneten Kampagne wurden per Spear Phising hunderte Rechner von Regierungsbehörden, Diplomaten, Energieunternehmen sowie Forschungseinrichtungen in 31 Ländern befallen und nach interessanten Office-Dokumente, Kryptographie-Schlüssel zum Signieren von PDFs oder für SSH-Verbindungen sowie Konfigurationsdateien für den Fernzugriff auf andere Rechner ausspioniert. Die Rechner wurden dabei gezielt über eigens dafür eingerichtete Webseite infiziert die an das Betriebssystem des Zielrechners und deren typische Verwundbarkeiten zugeschnitten waren und darauf spezialisierten Infektions-Code einsetzen konnten. Laut Kaspersky steht Careto dabei auf einer Stufe mit Flame, einem Bericht der Washington Post zufolge [LINK] immerhin eine Gemeinschaftsentwicklung Israels und der USA.

“What makes ‘The Mask’ special is the complexity of the toolset used by the attackers,” the Kaspersky analysis stated. “This includes an extremely sophisticated malware, a rootkit, a bootkit, 32- and 64-bit Windows versions, Mac OS X and Linux versions, and possibly versions of Android and iPad/iPhone (Apple iOS).” (Q: wired.com)

Aus Sicht der zunehmenden Militarisierung des Cyberspace ist das interessanteste Detail des Berichts die Spekulation über die vermutliche Herkunft von “The mask”. Einige Indizien im Quellcode sowie hinsichtlich der verwendeten Entwicklungsumgebung deuten auf Spanisch-sprechende Urheber bin. Auch der namensgebende Begriff “Careto” findet sich im Code und bezeichnet auf Spanisch ein Fratze oder eine hässliche Maske. Auch wenn international mehr als 20 Länder Spanisch als offizielle Sprache verwenden, erweitert diese Malware-Kampagne den Kreis der bisher stets betrachteten üblichen Verdächtigen.

In diesen Kontext passt eine aktuelle Meldung des Wall Street Journals (Q: Wall Street Journal), denen zufolge ein im September 2013 durchgeführter Angriff iranischer Hacker auf das Navy Marine Corps Intranet sehr viel schwer wiegender war als bisher offiziell bestätigt. Dem Bericht und den zittierten Quellen zufolge war es den Angreifern gelungen sich in dem von etwa 800.00 beteiligten Personen genutzten Netzwerk effektiv auszubreiten und Computer zu infiltrieren. Entgegen ersten Meldungen verblieben die Angreifer über mehrere Monate in dem Netzwerk verursachten einen kalkulierten Schaden von mehr als 10. Mio Dollar. Auch wenn unklar ist, ob hinter den Angriffen offizielle staatliche Institutionen gestanden haben überstiegen die damit demonstrierten technischen Fähigkeiten der Angreifer bei weitem die bisherigen Erwartungen in Bezug auf iranische Cyberwar-Fähigkeiten:

“It was a real eye­opener in terms of the capabilities of Iran to get into a Defense Department system and stay in there for months,” said a former U.S. official. “That’s worrisome.” (Q: Wall Street Journal)

Die Entwicklungen decken sich damit mit den unlängst aktualisierten Informationen des UNIDIR-Berichts zu den weltweiten Sicherheits- und Verteidigungs-Doktrinen, der insbesondere eine Zunahme der Berücksichtigung des Cyberspace unter Aspekten offensiver militärischer Möglichkeiten feststellt.

Obamas Rede zur NSA und der Cyberwar

Angesichts Obamas Rede zur Reform der NSA oder wenigstens einiger ihrer Befugnisse und der präsidialen Direktive stellt sich die Frage, welche Konsequenzen sich für die militärische Nutzung des Cyberspace aus Sicht der USA ergeben. Während die erwähnte Direktive diese Programme weder erwähnt noch auf die militärische Bedeutung der technischen Dominanz, wie sie angesichts der NSA-Enthüllungen deutlich wird, eingeht, deuten die einleitenden Worte trotz aller Beschwichtigungsbemühungen die US-Richtung der nächsten Jahre deutlich an:   

United States must preserve and continue to develop a robust and technologically advanced signals intelligence capability to protect our security and that of our partners and allies. Our signals intelligence capabilities must also be agile enough to enable us to focus on fleeting opportunities or emerging crises and to address not only the issues of today, but also the issues of tomorrow, which we may not be able to foresee.

Zeitgleich hat die Washington Post eine Statistik der finanziellen Ausstattung des US-Cyber Command (CYBERCOM) veröffentlicht, deren Budget für 2014 sich mehr als verdoppelt. Ein Grund dieses enormen Zuwachses liegt in den Kosten für die anvisierten zusätzlichen 4000 Computer-Experten die in den nächsten Monate das US-CYBERCOM verstärken sollen. Damit werden aller Wahrscheinlichkeit nach die Rüstungsspiralen im Cyberwar weiter angefeuert die unlängst erst angesichts des vom Spiegel veröffentlichten NSA-Kataloges und der darin dokumentieren verfügbaren Cyber-Technologien weiteren Aufschwung erfahren hat. 

Die politische Bedrohung durch die “Tailored Access Operations” Einheit

Die NSA und insbesondere ihre, für den gezielten Zugriff (aka. “Hack”) auf Computersysteme spezialisierte Einheit “Tailored Access Operations” (TAO) ist gegenwärtig medial sehr präsent. Dies verdanken wir unter anderem Dokumenten die unlängst durch den Spiegel veröffentlicht wurden und aus denen der Umfang der technischen und exekutiven Möglichkeiten dieser Einheit hervorgehen (der sog. ANT-Katalog). Davon ausgehend wird gegenwärtig zwischen Fachleuten darüber diskutiert ob diese Fähigkeiten wirklich neu und Besorgnis-erregend sind oder ob es sich dabei nicht einfach um die alten Geheimdienst-Methoden handelt, technisch übertragen auf das 21. Jahrhundert. 

Don’t get me wrong, as a security specialist, the NSA’s Tailored Access Operations (TAO) scare the daylights of me. I would never want these capabilities used against me or any other innocent person. But these tools, as frightening and abusable as they are, represent far less of a threat to our privacy and security than almost anything else we’ve learned recently about what the NSA has been doing.

TAO is retail rather than wholesale.

That is, as well as TAO works (and it appears to work quite well indeed), they can’t deploy it against all of us – or even most of us. They must be installed on each individual target’s own equipment, sometimes remotely but sometimes through “supply chain interdiction” or “black bag jobs”. By their nature, targeted exploits must be used selectively. Of course, “selectively” at the scale of NSA might still be quite large, but it is still a tiny fraction of what they collect through mass collection. (Q: Blog von Bruce Schneier)

Meiner Auffassung nach ist es fraglich ob diese Einschätzung wirklich zutreffend ist. Der zentrale Unterschied besteht darin dass (im Gegensatz zu früher) es aus technischer Sicht faktisch keinen Unterschied macht ob in gehackten Systemen “nur” Spionage-Tools installiert oder ob diese Systeme mit massiv-destruktiver Malware versehen werden. Damit umfasst das Wirkungsspektrum der TAO ein viel größere invasive und potentiell militärisch offensive Komponente mit der es möglich ist größflächig Computersysteme zu sabotieren oder zu zerstören als bisher angenommen. Das diese Fähigkeiten nicht nur “Nebenwirkung” vermeintlich friedlicher Geheimdiensttätigkeit sind zeigt die vor einigen Monaten enthüllte “Presidential Policy Directive PPD 20” von Mai 2012. Darin wird durch die US-Regierung ein Gremien aus Militär und Geheimdiensten berufen die militärisch lohnenswerte Ziele im Cyberspace identifizieren und im Rahmen sog. “Offensive cyber effect operations” (OCED) technische Möglichkeiten entwickeln sollen um diese Ziele anzugreifen und ggf. zu zerstören.

Im Lichte dieser Direktive kommt die TAO gegenwärtig der Vision einer militärischen Cyber-Armee-Einheit mit gezielten “Waffen” am nächsten. Da der aktuelle Leiter der NSA General Keith Alexander in Personalunion auch Leiter einiger Einheiten des US-Militärs ist, kann man davon ausgehen, dass Synergie-Effekte intensiv genutzt werden. Die Enthüllungen zur TAO werden damit die internationalen Sorgen um eine Militarisierung des Cyberspace und den Aufbau offensiver Fähigkeiten durch einzelne Staaten weiter anheizen. Es bleibt abzuwarten inwieweit die bereits existierenden technischen Fähigkeiten der TAO Rüstungsbestrebungen anderer Nationen verstärken werden. 

Die Bedeutung von Metadaten

Vor wenigen Tagen wurde durch neue Snowden-Veröffentlichungen bekannt, dass die NSA weltweit pro Tag ca. 5 Mrd. Datensätze zur Handy-Kommunikation erfasst (Link heise.de) um diese mit ihren unzähligen Tools auszuwerten. Meta-Daten sind all jene Informationen die aus technischer Sicht bei jeglicher technik-gestützten Kommunikation anfallen: also wer mit wem, wie lange von wo aus und wohin telefoniert oder welche Webseiten besucht wurden. Meta-Daten haben aus datenschutzrechtlicher Sicht drei entscheidende Eigenschaften: (1) man kann nicht vermeiden sie zu hinterlassen (2) Meta-Daten lassen sehr genaue Rückschlüsse auf soziale Beziehungen und das sogar das Verhalten der überwachten Person zu und (3) sie sind sehr gut zu analysieren.

Das die Bedeutung von dieser Massenerfassung nicht unterschätzt werden darf zeigen Studien, die anhand von (zumeist Handydaten) demonstrieren wie umfassend Persönlichkeits- und Gruppenprofile erstellt und darüberhinaus Vorhersagen über das wahrscheinliche Verhalten von Personen getroffen werden können. An dieser Stelle daher Links auf einige der wichtigsten Arbeiten

  • Gutachten von Edward W. Felten (Professor für Informatik und Öffentliche Angelegenheiten) im Rahmen einer Klage der ACLU gegen die NSA. (PDF, Originalquelle
  • Studie über die Rekonstruktion sozialer Strukturen und insbesondere der “Gegenseitigkeit” sozialen Beziehungen anhand von Metadaten (PDF, Originalquelle Arxiv)
  • Erstellung von Gruppenstrukturen (PDF, Originalquelle)

 Für weitere Links auf Studien die sich Meta-Daten und ihrer enormen Aussagekraft widmen sei diese Link-Sammlung von Bruce Schneier empfohlen. In jedem Fall demonstrieren diese Arbeiten, dass es eben nicht “nur Metadaten” sind, die gesammelt wurden, sondern viel mehr als das.

Die NSA “Tailored-Access-Operations” oder „How to control the Internet“

Bereits vor einigen Monaten wurde bekannt dass die NSA eine eigene Einheit aus ca. 600 Mitarbeitern betreibt, deren Aufgabe unter anderem im Hacken und gezielten Infizieren von Computer-Systemen und der Entwicklung maßgeschneiderter Schadsoftware besteht. Diese als Tailored-Access-Operations (TAO) bezeichnete Gruppe ist dabei neben weiteren Aufgaben auch für den Betrieb der als ACIDFOX bezeichneten seperaten Server-Infrastruktur im Internet-Backbone verantwortlich. Diese Server wurden unter anderem für Man-in-the-Middle-Attacken auf verschlüsselte oder anonymisierte Verbindungen eingesetzt und sind unlängst im Zusammenhang mit den QUANTUM INSERT-Programmen des britischen GCHQ wieder aufgetaucht, bei der wahrscheinlich auch Computersysteme des EU-Parlaments angegriffen und abgehört wurden.

Jüngste Veröffentlichungen des niederländischen NRC Handelsblad bestätigen darüber hinaus Spekulationen über eine weitere, entscheidende Aufgabe der TAO. Bereits vor einigen Monaten wurde im Zuge der Enthüllungen zum NSA-Budget für 2011 (dem sog. „Black Budget“) ein umfangreich finanziertes Programm namens GENIE bekannt, deren Ziel in der Infektion weltweit ausgewählter, strategisch wichtiger Computersysteme besteht. Bis 2013 sollten bis zu 85.000 Systeme mit Schadsoftware infiziert und unter Kontrolle der NSA gebracht werden, um im Bedarfsfall den Payload der Malware auf diesen Systemen zu aktivieren und damit ausländische Netzwerke zu kontrollieren. Dieses Programm liegt damit auf einer Linie mit der bekannt gewordenen präsidialen Direktive PPD-20 von Oktober 2012. Entgegen der bisherigen internationalen Entwicklung, die Verteidigung gegen Bedrohungen aus dem Cyberspace in Sicherheits- und Militärdoktrinen zu verankern definiert die US-Regierung damit erstmals formell den Cyberspace als Domäne, in der es gilt potentielle Ziele zu identifizieren und mögliche offensive Maßnahmen zu entwickeln und in die strategisch militärische Planung zu integrieren. Auf einer der vom NRC Handelsblad veröffentlichten NSA-Grafiken wird deutlich dass im Rahmen dieses Programms offenbar tatsächlich bereits neben 50.000 regulären unterwanderten Systemen auch „Zugangspunkte an 20 Hochgeschwindigkeits-Internetknoten, 80 regionalen Knoten und 52 Satelliten“ (Zitat Netzpolitik.org) infiziert worden sind. Noch ist unbekannt welcher Art die Malware ist die für Infektionen eingesetzt wird und in welchem Umfang die davon befallenen Systeme kontrolliert werden können. Da aber bereits mit einfachen, aus dem Internet downloadbaren Exploit-Kits Trojaner erstellt werden können die volle Kontrolle über Computer ermöglichen, ist es denkbar, dass diese vielen Computersysteme mit Hilfe zentraler Steuerungsrechner durch die NSA übernommen und in vollem Umfang gesteuert werden können.

Anders als die ebenfalls massenweise Infektionen bei kriminellen Botnetzen, die zumeist „einfache“ Single-User-Computersysteme und Privat-PCs befallen, könnte die heimliche Übernahme gezielter, strategisch wichtiger Computer tatsächlich einer Kontrolle von Teilen der weltweiten Infrastruktur, gezielter Dienste oder einzelnen wichtigen Einrichten von Staaten gleichkommen. Was wäre bspw. wenn alle Verwaltungs-Computer einer großen deutschen Behörde kollektiv ausgeschalten oder gelöscht würden, Abrechnungssysteme bei Banken oder zentrale Verteilerknoten eines nationalen Kommunikationsnetzwerkes deaktiviert würden? Da die USA am Beispiel von Stuxnet bewiesen haben, dass sie mit Hilfe von Industriekooperationen auch technische, Hersteller-spezifische Details über Interna von verbreiteter Hardware erhalten und diese nutzen, befindet sich auch die Kontrolle wichtiger Netzwerk-Knoten wie Router im Rahmen des Vorstellbaren.

In allen diesem Fällen stellt sich die Frage, in welchem Umfang ein Nachrichtendienst damit Infrastrukturen fremder Staaten unterwandert und kontrollieren kann und welche Auswirkungen dies auf die staatliche Souveränität der angegriffenen Nation hat. Ein Expertengremium der NATO kommt in den Schlussfolgerungen der als Tallin-Manual bezeichneten Analyse zur Anwendbarkeit des internationalen Völkerrechts im Cyberspace zu dem Schluss, dass offensive Cyberoperationen durchaus die Schwere eines Bruch dieser Souveränität darstellen und Staaten zu völkerrechtlich legitimierten Reaktionen provozieren könnten. Mit Sicherheit lässt sich gegenwärtig feststellen, dass diese flächendeckende Unterwanderung wichtiger IT-Strukturen die aktuellen Debatten über die Tragweite der Handlungen eines einzelnen nationalen Nachrichtendienstes anfachen und das Vertrauen in die Regierungs der USA weiter beschädigen werden.

Jumping the air gap – Part II

Noch vor wenigen Wochen erst wurden in NSA-Dokumenten Verweise auf ein hoch-finanziertes Programm “GENIE” entdeckt, deren Entwicklungs-Priorität unter anderem in der Überwindung des “Air gap” bestand. Dieses komplizierte Erreichen von IT-Systemen die eigentlich von jeglicher direkten Verbindung zum Internet getrennt sind wurde zum ersten Male in Form von Stuxnet demonstriert und könnte dem IT-Sicherheitsforscher Dragos Ruiu zufolge nun erneut effektiv als gezielte Angriffs-Malware BadBIOS umgesetzt worden sein.   Noch sind wenige technische Details zu BadBIOS veröffentlicht worden und die Fachwelt ist uneins darüber, ob es sich bei BadBIOS tatsächlich um eine neue “Super-Malware” handelt. Da jedoch die Ansätze eine hoch-frequente Datenübertragungen  über Mikros und Lautsprecher eines Laptops zu realisieren und dabei unterschiedlichste Betriebssysteme über die Infektion des BIOS eines Rechner anzugreifen bereits in der Theorie diskutiert und demonstriert wurden, wäre diese Art des Überwinden von “Air gaps” zu mindestens vorstellbar. Inwieweit das Ganze mit dem Projekt “GENIE” zusammen hängt ist aktuell völlig offen. Da Ruiu demnächst jedoch weitere Erkenntnisse offenlegen will, sollte zumindestens die Aspekte der praktischen Realisierbarkeit der Ziele von “GENIE” weiter verdeutlicht werden.

Jumping the air gap

Eine der herausragendsten Eigenschaften der Stuxnet-Attacken bestand in der Demonstration, dass und wie es möglich ist eine gezielte Cyberattacke gegen ein vollkommen vom Internet entkoppeltes System durchzuführen. Dieser sog. “Air gap” galt lange Zeit als die Ultima ratio beim Schutz wichtiger IT-Systeme. Die Urheber von Stuxnet haben jedoch effektiv demonstriert, dass es mit Hilfe geschickter Technologien und dem gezielten Infizieren von Rechnern und Wechseldatenträger möglich ist, solche abgeschlossenen System zu erreichen, zu infizieren und Kommunikations- und Steuerungskanäle aufzubauen und für den Datenaustausch mit der Außenwelt zu verwenden.  

Entgegen größter Befürchtungen sind – soweit bekannt geworden – nach Stuxnet (und der Malware agent.btz, die sich in einem US-amerikanischen Militärnetzwerk ausgebreitet hat) noch keine weiteren Infrastrukturen über einen Air-Gap hinweg angegriffen worden und es blieb die Hoffnung, dass derartige Angriffe aufgrund ihrer Komplexität und technischen Herausforderungen kaum regelmäßig zum Einsatz kommen.  

Ein unlängst veröffentlichtes internes Dokument der NSA könnte diese Hoffnung Lügen strafen. Dort wird der Code-Name eines Projektes namens “GENIE” erwähnt, dessen Aufgaben als “multi stage operations” und “jumping the air gap” beschrieben wird. Noch ist unklar welchen Umfang diese Aktivitäten im Einzelnen haben, ein Programm gleichen Namens tauchte aber unlängst im veröffentlichten “Black Budget”-Dokument der NSA von 2011 auf. Dort wird das Programm GENIE als ein mit 652 Millionen US-Dollar ausgestattetes Projekt für den Einbruch und die Kontrolle ausländischer Netzwerke beschrieben. Damit sollte bis Ende 2013 spezielle Software auf mindestens 85.000 strategisch ausgewählten Computern weltweit platziert werden um Daten mitschneiden und zu übermitteln. Ob es sich dabei um das selbe Programm  handelt ist jedoch noch unklar.

In jedem Falle wird deutlich, dass die NSA das Überspringen des Air Gaps als eine wichtige Aufgabe betrachtet und sich diesem Problem in mindestens einem eigenen Programm widmet. Da Stuxnet auch von US-amerikanischer Seite entwickelt wurde, sollten sie auf die Erfahrungen ihrer Kollegen zurück greifen können. 

Hidden Lynx & Icefog: “Cyberattacks as a service”

Im Schatten der NSA-Enthüllungen der vergangenen Monate sind durch die beiden großen  IT-Sicherheitsfirmen Symantec und Kaspersky Berichte veröffentlicht worden, die ein wichtiges Licht auf den Markt für private Anbieter im Rennen um Cyberattacken und den dafür notwendigen Ressourcen werfen. Die beiden Berichte dokumentieren die Angriffe gehen hochrangige Ziele zweier Gruppen (Icefog/Dagger Three und Hidden Lynx), die allem Anschein nach beides hochklassige Teams von kommerziellen Hackern sind. 

Beide Teams sind verantwortlich für “chirurgische” Angriffe gegen Rüstungsfirmen, Regierungseinrichtungen, Technologie- und Kommunikationseinrichtungen deren Hauptziel im Diebstahl gezielter Daten sowie der Akquise von Informationen für weitere Zugriffe bestand. Ein weiterer Bericht der New York Times berichtet außerdem von verstärkten Spionage-Aktivitäten (möglicherweise der APT1-Gruppe) um technische Informationen für den Bau militärischer Drohnen zu erlangen.

Angesichts der durch die NSA-Enthüllungen dokumentierten überragenden technologischen Dominanz der USA im Cyberspace scheint sich im privatwirtschaftlichen Bereich ein weiterer Markt zu etablieren, der für all jene internationalen Akteure von Interesse sein könnte, deren eigenen technischen und personellen Ressourcen eigene militärische Hackereinheiten (noch) nicht zulassen.

Damit würde sich das Gesamtbild kommerzieller Firmen komplettieren, die neben der Auf- und Weiterverkauf von Sicherheitslücken an staatliche Institutionen auch den fertigen Angriff und die Extraktion gezielter Daten selbst als Service anbieten.

“Hacking friends”

Vor wenigen Tagen berichte der Spiegel über Unterlagen aus dem Fundus Edward Snowdens, die belegen, dass die NSA im Sommer 2012 das Videokonferenz-System der UN gehackt, den dortigen Verschlüsselungsmechanismus geknackt und umfangreichen Zugriff auf übertragene Daten erlangt hat.

Dies habe für “eine dramatische Verbesserung der Daten aus Video-Telekonferenzen und der Fähigkeit, diesen Datenverkehr zu entschlüsseln” gesorgt, heißt es in einem geheimen NSA-Dokument. “Der Datenverkehr liefert uns die internen Video-Telekonferenzen der Uno (yay!)”. Innerhalb von knapp drei Wochen sei die Zahl der entschlüsselten Kommunikationen von 12 auf 458 angestiegen (Quelle: Spiegel.de)

Weitere Dokumente enthielten darüber hinaus detaillierte Pläne der IT-Infrastruktur und Server der New Yorker UN-Botschaft und legen den Schluss nahe, dass auch hier der Zugriff möglich ist oder möglich war. Unklar ist bislang wie der Zugriff auf diese Systeme erfolgte. Trotzdem weisen beide Vorfälle auf ein problematisches Details in der Debatte um Cybersecurity und Cyberpeace hin. Der Großteil der Infrastrukturen des globalen Internet- und Kommunikationsverbundes, aber auch die Infrastrukturen von Firmen und Organisationen basiert auf Hardware und Software “von der Stange”.  (mehr…)