News

Über den finanziellen Wert von Sicherheitslücken

Angesichts der Debatten um „Cyberwaffen“ oder technische Dienstleister von IT-Hilfsmitteln für nationale Bedarfsträger ist eines der wesentlichen Grundvoraussetzungen die Möglichkeit sich zu dem gewünschten Zielsystem Zutritt zu verschaffen um dort die gewünschte Dinge durchzuführen. Ein Weg dazu besteht darin, die Zugangsdaten rechtmäßiger Benutzer durch Tricks zu ergattern um diese dann einzusetzen. Ein anderer Weg besteht in der Verwendung von Schwächen in der IT-Sicherheit der Systeme, entweder weil es sich um veraltete IT handelt mit bekannten (und ausnutzbaren) Problemen oder weil man im Besitz von Informationen über Sicherheitslücken ist, die bislang unbekannt sind – und folglich nicht behoben werden können. Diese sog. Zero-Day-Exploits kann man mit Fachkräften versuchen zu finden, hat dabei aber immer das Problem den Anforderungen der Bedarfsträgern sowie den zeitlichen Planungen oder den Anpassungen der IT bei potentiellen Zielsystemen hinterherzulaufen. Diesen Markt haben Unternehmen wie Vupen oder Hacking-Team, die insbesondere staatliche Einrichtungen zu ihren Kunden zählen und Informationen über Sicherheitslücken in Relation zur Begehrtheit oder der potentiellen Verwundbarkeit von einem oder sehr vielen IT-Systemen verkaufen. Solche Unternehmen suchen einerseits oft selbst mit Technikern nach Lücken andererseits durchstreifen sie ihrerseits die Welt der Hacker nach Sicherheitslücken, die sie aufkaufen können um damit zu handeln.

Ein weiteres Unternehmen dieses Segment ist Zerodium:

ZERODIUM is a cybersecurity company with operations in North America and EMEA. ZERODIUM was founded by cybersecurity veterans with unparalleled experience in advanced vulnerability research and active cyber defense. (..) For more information about our tailored cybersecurity capabilities for governments or our protective solutions for corporations, please contact us. Access to ZERODIUM solutions and capabilities is highly restricted and is only available to a very limited number of eligible customers. ZERODIUM does not have any sales partner or reseller. Our solutions are only available from us through our direct channel.
(Q: zerodium.com / lokale Kopie)

Die aktuellen Ausschreibungen dieses Unternehmens verdeutlichen die finanziellen Wert (und damit den Bedarf und vermutlich auch die Kunden-Nachfrage) nach Sicherheitslücken in populären IT-Systemen. Laut „Preislisten“ (lokale Kopie) auf der Webseite des Unternehmens rangieren die Vergütungen beim Aufkauf von Informationen von 10.000$ bis zu 300.000$ für Desktop-Rechner und deren Betriebssysteme sowie von 15.000$ bis zu 1.500.000$ für die Software und Betriebssysteme auf mobilen Endgeräten. Aktuell gibt es unter anderem auch eine „Ausschreibung“ für die Suche nach einer Sicherheitslücke im Anonymisierungsnetzwerkdienst TOR, für die bis zu 1.000.000$ geboten werden (lokale Kopie). Angesichts solcher Preise für den Aufkauf von Sicherheitslücken kann man über die ausufernden Preise beim Verkauf derselben nur mutmaßen.

Diese „Ausschreibungen“ könnten aber noch einen weiteren zweifelhaften Effekt haben, indem Entwickler von populärer Software angeregt werden könnten bewusst aus monetären Gründen Schwächen in ihre Software einzubauen. Da die von den Bedarfsträgern aufgekaufen Information für deren Zwecke eingesetzt und folglich auch nicht an Hersteller für rasche Sicherheitsanpassungen gemeldet werden trägt diese Entwicklung ganz sicher nicht zu einer allgemeinen Verbesserung der IT-Infrastrukturen aller gesellschaftlicher Bereiche bei – wie unter anderem die verheerenden Folgen von WannaCry und NotPetya gezeigt haben, die beide auf der EternalBlue-Lücke aus dem NSA-Fundus aufbauten.

Kleiner Einblick in die neue IT-Dienstleitungsstelle ZITiS

Der Präsident der neuen IT-Dienstleitungsstelle ZITiS (Zentrale Stelle für Informationstechnik im Sicherheitsbereich) Winfried Karl hat im Rahmen einer Tagung über die Hintergründe und Aufgaben seiner Behörde gesprochen. Die Aufgabenstellung der Behörde ist aus unterschiedlichen Gründen umstritten (hier dazu Details). In einem Artikel auf heise.de (lokale Kopie) wird der ZITiS-Präsident folgendermaßen zitiert:

 Es ist nicht Aufgabe von Zitis, Kommunikation unsicher zu machen (..) Unsere Aufgabe ist gesetzlich festgelegt und gesetzesorientiert. Das bedeutet: Es gibt keinen Ankauf von 0-Days auf Grau- oder Schwarzmärkten. Es gibt keine Zusammenarbeit mit unseriösen Firmen.

Unklar an einem solchen Bekenntnis ist aber, ob bspw. ein Unternehmen wie Vupen (die staatliche Einrichtungen zu seinen Kunden rechnet, seinerseits aber mutmaßlich „dunkle“ Quellen für die gehandelten Exploits hat) oder Hacking-Team in den Bereich der „unseriösen“ Quellen fällt.

Darüber hinaus verfügt ZITiS lt. den Niederschriften der Rede im Artikel nicht über Offensivbefugnisse. Obwohl im Vortrag von Winfried Karl die Bundeswehr nicht offiziell als „Kunde“ seiner Behörde genannt wurde, geht davon aus, dass die Lage der Behörde mit Räumlichkeiten auf dem Campus der Bundeswehr-Universität in München „eine einzigartige Lage [ist], die Synergien befördert“ . Darüber hinaus geht er nicht davon aus, dass ZITiS Probleme mit der Aquise von Fachpersonal haben wird und unterstützt damit indirekt eine ähnliche These in Bezug auf den IT-Fachkräftemangel bei den Bundeswehr-Cyber-Bereich.

Weitere Shadowbroker-Veröffentlichung: Handbuch zu Windows-Infiltrationswerkzeug

Nachdem die Shadowbroker-Gruppe, die im vergangenen Jahr mit der Veröffentlichung von hochgradigen NSA-Tools in Erscheinung getreten sind, eigentlich Anfang 2017 ihre Auflösung bekannt gegeben hatten, sind sie vor wenigen Tagen erneut mit der Enthüllungen von NSA-Informationen an die Öffentlichkeit getreten. In diesem Fall wurde das Handbuch zu einer NSA-Software namens „UNITEDRAKE“ veröffentlicht, eine Plattform die verborgen auf Windows-Version von XP bis Windows 8 (Server 2012) installiert werden kann um dort Daten zu sammeln:

UNITEDRAKE, described as a „fully extensible remote collection system designed for Windows targets,“ also gives operators the opportunity to take complete control of a device.

The malware’s modules — including FOGGYBOTTOM and GROK — can perform tasks including listening in and monitoring communication, capturing keystrokes and both webcam and microphone usage, the impersonation users, stealing diagnostics information and self-destructing once tasks are completed.

Die Software wurde bereits in den Snowden-Dokumenten sowie im sog. Katalog der NSA-Einheit „Tailored Access Operations“ (TAO) erwähnt. Darüber hinaus berichtet das IT-Unternehmen Kasperksy 2015 (lokale Kopie) von einem Werkzeug dieses Namens und brachte es mit der NSA-Einheit Equation Group in Verbindung.

Das Handbuch ist in erster  Linie eine technische Dokumentation der Systemanforderungen der Software sowie eine Erläuterung der Benutzung. Eines der Hauptkonzepte von UNITEDRAKE ist, per Plugins/Module auf den Client-Systemen (also den infizierten Rechnern) gewünschte Payloads auszuführen und zielgenau nach Daten zu suchen. Die Plugins selbst werden im Dokument leider nicht beschrieben. Vermutlich lassen sich hier ein Gutteil der anderen NSA-Werkzeuge andocken. Die Screenshots lassen darauf schließen, dass es sich beim Handbuch um eine ältere Version handelt, allerdings entstammen auch die anderen Enthüllungen der Shadowbroker den Jahren vor 2013.

[Kurz notiert] Neues von High-Target-APT-Gruppe Turla

Der APT-Gruppe Turla, die seit vielen Jahren aktiv und anderem 2014 mit der Malware-Kampagne Uroburos bzw. Snake öffentlich in Erscheinung getreten ist wird durch einen unlängst veröffentlichte Analyse von Kaspersky ein neues hochgradiges Malware-Werkzeug zugerechnet. Mit der „Whitebear“ getauften Software sollen zwischen Februar und September 2016 diplomatische und Regierungseinrichtungen angegriffen worden sein, spätere Funde von 2017 sind auf militärischen IT-Systemen entdeckt worden. Betroffene Staaten waren dabei aus Europa, Süd/Ost und Zentralasien und Südamerika – genauere Angaben bietet der Kaspersky-Bericht (lokale Kopie) leider nicht, dafür eine Menge technischer Details über Angriffsvektoren, Exploits und die Weiterentwicklung früherer Malware.

[Lesetipp] Analyse einer Phishing-Kampagne

Der IT-Dienstleister TALOS bietet eine sehr lesenswerte Analyse (lokale Kopie) einer konkreten Phishing-Kampagne, bei der infizierte Word-Dokumente bestimmte Dokumenten-Vorlagen nachzuladen versuchten (was überlicherweise automatisch durchgeführt wird), die von Angreifern im Vorfeld mit Schadcode versehen wurden. Die Angreifer verwendeten dabei ein Phishing-Tool namens phishery (Link auf die github-Seite / lokale Kopie) das öffentlich verfügbar ist. Die ausführliche Analyse der Attacken verdeutlicht das technische Niveau auf dem Phishing mittlerweile durchgeführt wird und die Bandbreite der möglichen und zu berücksichtigenden Anfgriffsvektoren:

Attackers are continually trying to find new ways to target users with malware sent via email. Talos has identified an email-based attack targeting the energy sector, including nuclear power, that puts a new spin on the classic word document attachment phish. Typically, malicious Word documents that are sent as attachments to phishing emails will themselves contain a script or macro that executes malicious code. In this case, there is no malicious code in the attachment itself. The attachment instead tries to download a template file over an SMB connection so that the user’s credentials can be silently harvested. In addition, this template file could also potentially be used to download other malicious payloads to the victim’s computer. (Q: talosintelligence.com)

Bericht über erfolgreiche Hacking-Attacken gegen Stromversorger durch Dragonfly-Gruppe

Das IT-Sicherheitsunternehmen Symantec hat vor wenigen Tagen einen Bericht (lokale Kopie) veröffentlicht, in dem erfolgreiche Hacking-Attacken einer bestimmten Gruppen namens Dragonfly auf Stromversorgungsunternehmen aus den USA, der Türkei und der Schweiz dokumentiert und  analysiert werden. Die Gruppe soll mindestens seit 2011 aktiv sein und ist in den vergangenen beiden Jahren wieder verstärkt in Erscheinung und Aktivität getreten.

In keinem der analysierten Vorfälle wurde Zugriffsmöglichkeiten auf Steuerungssysteme tatsächlich für Sabotage ausgenutzt, sodass es sich den Analysten zufolge vermutlich eher um Aufklärungs- und Vorfeldaktivitäten handelt:

The Dragonfly group appears to be interested in both learning how energy facilities operate and also gaining access to operational systems themselves, to the extent that the group now potentially has the ability to sabotage or gain control of these systems should it decide to do so. Symantec customers are protected against the activities of the Dragonfly group. (Q: Symantec.com)

In allen Fällen haben die Angreifer über vielfältige Methoden wie Spear-Phishing, Watering hole Attacken und E-Mails mit infizierten Anhängen versucht an Nutzer- und Zugangsdaten von Mitarbeitern der Unternehmen zu gelangen und so den Zugriff auf Verwaltungssysteme zu erlangen. Von den so eroberten Systemen ausgehend haben sich die Angreifer schrittweise vorgearbeitet und weitere Systeme übernommen:

Typically, the attackers will install one or two backdoors onto victim computers to give them remote access and allow them to install additional tools if necessary. Goodor, Karagany.B, and Dorshel are examples of backdoors used, along with Trojan.Heriplor (Q: Symantec.com)

Tatsächlich ähnelt dieses Vorgehen den Hacking-Attacke mit Stromausfall in der Ukraine und es bleibt angesichts der Debatten über die Qualität und Lückenhaftigkeit von Software ein kleiner Beruhigungstropfen, dass „nur“ die „Schwachstelle Mensch“ als Zugriffsvektor ausgewählt wurde, denn das lässt vermuten und hoffen, dass der direkte Angriff der technischen Infrastruktur gut genug geschützt gewesen ist.

Bei der Frage nach dem Ursprung der Attacken kommen die Autoren der Analyse zu dem Schluss, dass es sich  bei Dragonfly um eine sehr gezielt agierende Gruppe handelt die ihre Hilfsmittel sehr vorsichtig und punktgenau einsetzt und dabei auf sehr auf Verborgenheit achtet. Andererseits haben die Angreifer bislang keine Zero-Day-Exploits verwendet und nutzten auch des öfteren Hilfsmittel „von der Stange“ – entweder aufgrund fehlender Ressourcen oder vielleicht auch weil dieses Vorgehen bereits zielführend war. Während die Wahl der Ziel eine recht eindeutige Sprache sprechen bleibt es dennoch unklar ob es sich um staatliche Akteure handelt. Aber:

What is clear is that Dragonfly is a highly experienced threat actor, capable of compromising numerous organizations, stealing information, and gaining access to key systems. What it plans to do with all this intelligence has yet to become clear, but its capabilities do extend to materially disrupting targeted organizations should it choose to do so. (Q: Symantec.com)

Die Informationen zu Dragonfly finden sich auch in der Datenbank relevanter Cybervorfälle.

Cyberangriff-Planspiel der EU-Verteidigungsminister „CYBRID 2017“

Im Rahmen des informellen Treffen der EU-Verteidigungsminister haben die Verteidigungsminister der EU heute an einem Planspiel („EU CYBRID 2017“) teilgenommen, bei dem (unter anderem) die europäische Koordinierung im Falle großflächiger Cyberattacken auf die EU simuliert wurde. Als Beobachter war unter anderem der NATO-Generalsekretär Stoltenberg anwesend:

Die strategische Planübung zur Cybersicherheit EU CYBRID 2017 ist die erste ihrer Art für EU-Verteidigungsminister und hat zum Ziel, die Aufmerksamkeit auf die Wichtigkeit von Cyberabwehr in den Militäroperationen der Europäischen Union zu lenken. Ziel ist es weiterhin, Instrumente zur Verfügung zu stellen, falls ein Cyberangriff auf die militärischen Strukturen der EU stattfinden sollte. (Q: eu2017.ee / lokale Kopie)

Über das genaue Szenario ist nicht viel bekannt und folglich leider auch nicht, welche Militäreinheiten der beteiligten Staaten für ein solche Szenario aktiviert würden. Es gibt aber eine kleine Anfrage der Bundestagsfraktion DIE LINKE (lokale Kopie) zu diesem Thema, insofern wird es dazu später weitere Details geben.

Die Pressemitteilung der ausrichtenden Kommission spricht davon, dass:

Das Hauptziel der Übung, deren Fokus auf Situationsbewusstsein, Krisenmanagement und strategischer Kommunikation zwischen den Mitgliedstaaten lag, bestand darin, die Vorgehensweise im Falle einer Cyberattacke auf militärische Strukturen der Europäischen Union zu üben. Das Ziel für die Teilnehmer bestand darin, politische Leitlinien zu finden, welche die Europäische Union beim Eintreten eines solchen Falles anwenden kann (..) Während der zweistündigen Übung wurden den Verteidigungsministern Informationen über unterschiedliche Angriffe, die Teile der militärischen Strukturen der EU lahmlegten, zugespielt. Die Minister hatten nur eine begrenzte Zeit, um Entscheidungen zu treffen, wie auf diese Informationen reagiert werden kann. (Q: eu2017.ee / lokale Kopie)

[In eigener Sache] Abschiedsrede von Bundestagspräsident Norbert Lammert

Am gestrigen Dienstag tagte das aktuelle Parlament zu letzten Mal vor den Bundestagswahlen. Damit endet auch die Dienstzeit von Bundestagspräsident Norbert Lammert, der aus diesem Anlass eine sehr bewegende und eindringliche Rede über die Errungenschaften und Herausforderungen unserer Demokratie gehalten hat:

An die Mitglieder des nächsten und künftiger Bundestage: Bewahren sie sich bitte, wenn eben möglich, die nach den Abstürzen unserer Geschichte mühsam errungene Fähigkeit und Bereitschaft, über den Wettbewerb der Parteien und Gruppen hinweg den Konsens der Demokraten gegen Fanatiker und Fundamentalisten für noch wichtiger zu halten.

Hier der Mitschnitt der Rede von Phoenix auf Youtube (20 Minuten).

Und bei allen Meinungsverschiedenheiten, die Bestandteil und Triebfeder unserer Gesellschaft sind, bin ich stolz und dankbar für dieses politische System und die Möglichkeiten sich einzubringen.

CDU/CSU fordern „schlagkräftiges“ Cyberabwehrzentrum

Die Innen- und Justizminister_Innen der CDU und der CSU haben in einer gemeinsamen „Berliner Erklärung“ (lokale Kopie) dargelegt, mit welchen Maßnahmen sie die innere Sicherheit Deutschlands verbessern wollen. In den Thesen findet sich auch der Vorschlag „unter dem Dach eines schlagkräftigen Cyberabwehrzentrums alle staatlichen Akteure wie auch die Bundeswehr eng [zu verzahnen] (..) und die Zusammenarbeit mit Wirtschaft und Wissenschaft weiter [zu stärken]„. Unklar ist an dieser Formulierung zu einen, ob der Ausbau des bestehenden Nationalen Cyberabwehrzentrums NCAZ gemeinst ist oder der Aufbau einer weiteren Institution, in der explizit Bundeswehr und Polizeibehörden kooperieren sollen. Das, beim BMI angesiedelte NCAZ wurde erst vor einem Jahr im Rahmen der neuen Cyber-Sicherheitsstrategie Deutschlands aufgewertet und als zentrale Koordinationsinstanz für nationale Cybervorfälle beauftragt, verfügt jedoch über kein eigenes Personal. Dem gegenüber interpretieren einige Medien (lokale Kopie) die Berliner Erklärung dahingehend, dass es den Innenministern der Länder darum gehen könnte, mit eigenem Personal und auch explizit offensiv wirksam gegen Angriffe auf die IT-Systeme kritischer Infrastrukturen zu reagieren. Zu dieser Interpretation passt die Aussage des Innenministers von Sachsen-Anhalt Holger Stahlknecht (CDU) der sich für zügige Verhandlungen zwischen Bund und Ländern über ein Abwehrzentrum ausgesprochen hat um „Kompetenzen der Polizeien zu bündeln, [und] um Hacker-Angriffe auf sensible Infrastruktur wie Krankenhäuser, Energie- und Trinkwasserversorger oder die Bahn zu bekämpfen“ (Q: heise.de / lokale Kopie). Bemerkenswert an diesen Vorschlägen bleibt neben den allgemeinen Kritik an Hack-Back-Fantasien, dass inbesondere die Einbindung der Bundeswehr in derartige Strukturen aufgrund der bislang unklaren Rechtslage für Einsätze von militärischer Cyberkräfte wenig zielführend erscheint (dies sowohl mit Blick auf die Regeln des Grundgesetzes für einen Einsatz der Bundeswehr im Inneren als auch hinsichtlich praktischer Belange der Wirksamkeit und Anwendbarkeit von Cyber-Wirkmitteln durch militärische Kräfte).

 

Update zur (Cyber)Personalsituation bei der Bundeswehr

Eine der Fragen die von Journalisten sehr oft gestellt wird ist, wie ich die Bemühungen der Bundeswehr um Personal für den Aufbau des neuen Cyber-Organisationsbereiches bewerte. Üblicherweise wird sowohl in der Presse aber auch seitens des Ministeriums und der Bundeswehr selbst darauf verwiesen, dass IT-Fachkräfte wie sie für den Bereich benötigt werden schwer zu finden sind, insbesondere da diese in der Wirtschaft deutlich höhere Gehälter erwarten können als dies von der Bundeswehr mit den formalen Beschränkungen und Gesetzen realisierbar ist. Tatsächlich überzeugt mich diese Argumentation nicht. Zum einen sind IT-Studiengänge bei Leibe keine Exoten an deutschen Universitäten mehr – selbst eine spezielle IT-Sicherheits-Ausbildung nicht. Zum anderen wurden für den Start des neuen Bereiches zu Anfang April dieses Jahres auf Seiten der Bundeswehr nur 60 neue Dienstposten geschaffen die es zu besetzten gilt (40 Dienstposten für das „Zentrum Cyber-Sichheit der Bundeswehr“ und 20 Dienstposten für die bisherige Einheit „Computer und Netzwerk Operationen“ (CNO) die zum „Zentrum CyberOperationen“ umgebaut wird). Für den vollständigen Aufbau der 2021 abgeschlossen sein soll, sind laut einer Berechnung des deutschen Bundeswehrverbandes insgesamt 1648 neue militärische Dienstposten und 316 neue zivile Dienstposten vorgesehen, also ca. 500 neue Dienstposten pro Jahr. Wie die angekündigte zusätzliche Steigerung der Gesamtzahl von anfänglich ca. 13.500 auf ca. 20.000 Dienstposten realisiert werden soll ist durch das BMVg noch nicht näher erläutert worden.

Diesen personellen Anforderungen stehen gerade für den Bereich „Cyber“ einige umfangreiche Maßnahmen für die Rekrutierung und die Ausbildung gegenüber, wie die neue Studiengänge an der Bundeswehr-Universität in München, die Startup-Initiativen in Berlin, Quereinsteiger-Programme, die Bildung einer Cyber-Reserve oder die temporäre Aufstockung der Fachkräfte aus der Wirtschaft. Einem Bericht der Rheinischen Post zufolge zeigen diese (und die vielen weiteren Werbemaßnahmen) deutliche Wirkung:

Die Werbeoffensive zeigt offenbar Wirkung: Mit aktuell 21.500 Einstellungen konnte die Bundeswehr im laufenden Jahr schon fast so viele Menschen unter Vertrag nehmen wie im gesamten Vorjahr. In der ersten Jahreshälfte 2017 verzeichnete sie 36.000 Bewerber und liegt auch damit weit über den Zahlen von 2016, als sich insgesamt 58.400 Personen beworben hatten. Das Verteidigungsministerium erwartet, dass die Bewerberzahl in den kommenden Monaten sogar noch deutlich über das Vorjahresniveau steigt.  (Q: Rheinische Post / lokale Kopie)

Dabei wird dem potentiell neuen Personal ein gutes Bildungsniveau beschienen; mehr als 40% der Bewerber_Innen verfügen über die „Fachhochschulreife oder einen höheren Bildungsabschluss“. Der Zeitungsbericht gibt keine nähere Auskunft über speziellen Qualifikationen oder die Verteilung auf die verschiedenen Organisationsbereiche der Bundeswehr. Angesichts der Zahlen kann man aber sicher einigermaßen zuverlässig mutmaßen, dass auch für den neuen Cyber-Bereich das nötige Personal gefunden wurde.