News

Neuer Datenbank-Eintrag zu WannaCry / EternalBlue

 

Obgleich WannaCry eindeutig kriminelle Absichten verfolgte, ist es zum einen aufgrund der verursachten Ausfälle in öffentlichen Einrichtungen und Unternehmen bislang einzigartig. Zum anderen beruht der häuptsächlich verwendete Exploit zur Ausbreitung in Windows-Netzwerken mutmaßlich aus dem Fundus der NSA-Hacking-Werkzeuge, wurde von diesen für die eigene Verwendung geheim gehalten und durch die Leaks der Shadowbroker ungewollt veröffentlicht – und damit für andere verwendbar. Dieser Vorfall und die Schwere der Schäden verdeutlichen damit die Gefahren die von „Cyberwaffen“ in Arsenalen der Nachrichtendienste und Militärs sowie dem Sammeln und Geheimhalten von Sicherheitslücken ausgeht.

Alles weitere hier im Eintrag zu WannaCry in der Datenbank relevanter Cyber-Vorfälle.

[Kurz notiert] Lesetipp zu Nord-Koreas Hacking-Fähigkeiten

Zum langen Wochenende ein Lesetipp über die Hacking-Fähigkeiten Nord-Koreas von Reuters (lokale Kopie). Der Staat steht ja im Verdacht, hinter den WannaCry-Attacken zu stehen. Der Bericht fokusiert insbesondere auf eine „Unit 180“, die sich insbesondere mit Hacking-Attacken auf Finanzsysteme beschäftigt bzw. beschäftigen soll.

Kim Heung-kwang, a former computer science professor in North Korea who defected to the South in 2004 and still has sources inside North Korea, said Pyongyang’s cyber attacks aimed at raising cash are likely organized by Unit 180, a part of the Reconnaissance General Bureau (RGB), its main overseas intelligence agency. „Unit 180 is engaged in hacking financial institutions (by) breaching and withdrawing money out of bank accounts,“ Kim told Reuters. He has previously said that some of his former students have joined North Korea’s Strategic Cyber Command, its cyber-army. „The hackers go overseas to find somewhere with better internet services than North Korea so as not to leave a trace,“ Kim added. He said it was likely they went under the cover of being employees of trading firms, overseas branches of North Korean companies, or joint ventures in China or Southeast Asia. (Q: Reuters.com)

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Exploit hinter WannaCry tatsächlich ehemaliges, jahrelanges NSA-Werkzeug

Die Washington Post berichtet (lokale Kopie), dass der Exploit, auf dem die Ransomware WannaCry basiert, tatsächlich aus dem Fundus der NSA stammt und durch die Veröffentlichungen der  ShadowBroker geleakt worden ist. Die Zeitung beruft sich auf Aussagen von NSA-Mitarbeitern („NSA officials“), denen über viele Jahre das als EternalBlue benannte Werkzeug sowie die Sicherheitslücke in den Windows-Systemen bekannt gewesen ist und die ihrerseits diese Schwäche aktiv verwendet haben:

Some officials even discussed whether the flaw was so dangerous they should reveal it to Microsoft, the company whose software the government was exploiting, according to former NSA employees who spoke on the condition of anonymity given the sensitivity of the issue (..) But for more than five years, the NSA kept using it (..) “It was like fishing with dynamite”

Tatsächlich war der NSA bewusst welche Tragweite im Sinne der potentiell gefährdeten Systemen und der Schwere der Sicherheitslücke die ausgenutzte Sicherheitslücke von EternalBlue hatte. Aus diesem Grund – so der Bericht – habe man sich entschlossen das Unternehmen Microsoft über die Sicherheitslpcke zu informieren, nachdem der Leak der Malware durch die ShadowBroker auf Seiten der NSA bemerkt worden ist. Microsoft selbst hatte aufgrund dieser schwerwiegenden Sicherheitslücke den monatlichen Patchday im Februar 2017 um einige Tage verschoben um auch eine Sicherheitsaktualisierung für EternalBlue in die Patches einzuschließen. Dass WannaCry trotzdem eine solche Auswirkung entfalten konnte lag unter anderem, dass Patches nur für die offiziell noch unterstützten Windows-Version bereit gestellt werden, dem zum Trotz jedoch viele alte Systeme wie Windows XP weiterhin eingesetzt werden (Schätzungen gehen von 5% der weltweiten Desktop-Systeme aus, die noch mit Windows XP betrieben werden / lokale Kopie).

Die Gefahrlichkeit der Malware EternalBlue und der damit verbundenen notwendigen Geheimhaltung der verwendeten Sicherheitslücke in Windows-Systemen war den, im Bericht zitierten Mitarbeitern der NSA auch innerhalb der Organisation bekannt und umstritten:

“If one of our targets discovered we were using this particular exploit and turned it against the United States, the entire Department of Defense would be vulnerable,” the second employee said. “You just have to have a foothold inside the network and you can compromise everything.”

Diese inoffizielle Bestätigung unterstreicht damit deutlich die wichtige Kritik an der Sammlung von Sicherheitslücken durch Geheimdienste, wie sie zuletzt auch von Microsoft selbst in aller Deutlichkeit geäußert worden ist: „They need to take a different approach and adhere in cyberspace to the same rules applied to weapons in the physical world. We need governments to consider the damage to civilians that comes from hoarding these vulnerabilities and the use of these exploits. “ (lokale Kopie)

[Kurz notiert] Fraktionsbeschluss der Grünen zu “Sicherheit im Digitalen”

Die Bundestagsfraktion der Grünen hat vor kurzem eine Stellungnahme (lokale Kopie) beschlossen, in der sie sich mit den Herausforderungen, Problemen und Aufgaben rund um die Digitalisierung unserer Gesellschaft auseinander setzen. Der programmatische Text enthält dabei auch einen Abschnitt zu den Aspekten der Militarisierung des Cyberspace und weist deutlich auf die relevanten Fragen und Gefahren hin – insbesondere angesichts der Überlegungen und Planungen zu offensiven Cyber-Fähigkeiten der deutschen Bundeswehr: “Grundlegende Fragen im Zusammenhang mit dem Aufbauen, dem Vorhalten und der potenziellen Anwendung von digitalen Einsatzfähigkeiten im Bereich der Bundeswehr sind bisher unbeantwortet und müssen dringend geklärt werden. Eine klare Definition darüber, was unter einem „Cyber-Angriff“ zu verstehen ist, fehlt ebenso wie klare Standards für mögliche Reaktionen. Hier muss die Bundesregierung tätig werden. Zu den offenen Fragen gehört u.a., wann ein solcher Angriff vorliegt, wie auf einen solchen geantwortet werden soll und wovon Umfang und Reichweite der Reaktion abhängig gemacht werden soll.

Auch wenn die Fragen sicher nicht neu sind, so bietet der Text eine gute, umfassende und wichtige Zusammenstellung der unterschiedlichen Aspekte. Lesens- und bedenkenswert!

WannaCry – Informationssammlung zur weltweiten Cyberattacke /Update.4

Seit Freitag, dem 12.5.2017 breitet sich ein Crypto-Trojaner, die als „WannaCry“ betitelte Ransomware im Internet aus. Aus diesem Grund, bis zu einer ausführlicheren Analyse, hier eine Sammlung der Informationen aus anderen Quellen:

  • Was ist genau passiert: WannaCry: Angriff mit Ransomware legt weltweit Zehntausende Rechner lahm (Q: heise.de / lokale Kopie) Die betroffenen Systeme werden verschlüsselt und fordern den Geschädigten zur Zahlung eines „Lösegeldes“ in Bitcoins in Höhe von ca. 300$ heraus. Andernfalls droht ein Datenverlust bzw. kann auf die Daten nicht zugegriffen werden
  • Auftreten und Verbreitung: Erstes Auftreten in Russland, Ausbreitung dann vor allem in UK, Frankreich, Spanien, Portugla und USA, kurz darauf weltweite Ausbreitung auf geschätzt mehr als 100.000 Rechner: WannaCry: Was wir bisher über die Ransomware-Attacke wissen (Q: heise.de / lokale Kopie)
    Update (15.5.2017): Mittlerweile wird von mehr als 200.000 Infektionen in mehr als 150 Ländern ausgegangen (Q: heise.de / lokale Kopie)
  • Angriffsvektoren: Die Erstinfektion erfolgt per schadhafter E-Mail. Danach verbreitet sich „WannaCry (..) über eine Sicherheitslücke in Windows Dateifreigaben (SMB). Diese wurde durch einen Exploit namens EternalBlue bekannt, den die sogenannten Shadow Brokers veröffentlicht hatten und der vermutlich aus dem Arsenal der NSA stammt. Microsoft hatte dieses Loch bereits im Rahmen seines März-Patchdays [für aktuelle Windows-Versionen] geschlossen.“ (Q: heise.de / lokale Kopie). Der Bug exisitiert allerdings auch in älteren Windows-Versionen die damit über den Exploit namens „EternalBlue“ angreifbar waren. Demzufolge sind vorallem ältere PC-Systeme mit Windows XP von WannaCry betroffen. Aufgrund des agressiven Befalls wurde durch Microsoft ein Patch für das, eigentlich seit April 2014 nicht mehr unterstützte Windows XP herausgegeben (Q: microsoft.com / lokale Kopie)
    Update (18.5.2017): Bereits vor der Infektionswelle mit WannaCry wurden die dabei ausgenutzten Sicherheitslücken durch einen anderen Trojaner namens Adylkuzz benutzt um Malware zum Errechnen von Kryptogeld zu verbreiten. Dabei gehen Sicherheitsforscher davon aus, dass Adylkuzz etwa gleich stark verbreitet und weiterhin aktiv ist. Eine technische Analyse ist hier bei proofpoint zu finden (lokale Kopie). Darüber hinaus gibt es den IT-Sicherheitsforschern zufolge Ähnlichkeiten zu einer Malware „Lazarus“ von 2016 (lokale Kopie), mit der seinerzeit Banken und Finanzdienstleister wie SWIFT angegriffen wurden. Vergleichbare Exploits der NSA wurden im April durch die Shadowbroker geleakt bzw. zum Verkauf angeboten.
    Update (19.5.2017): NSA-Mitarbeiter („NSA officials“) bestätigen in einem Bericht der Washington Post, das WannaCry tatsächlich auf der NSA-Malware EthernalBlue basiert und die NSA diese, intern selbst als hochgefährlich eingestufte Sicherheitslücke jahrelang geheim gehalten und selbst genutzt hat.
  • Technische Details: Erste technische Analyse der Ransomware: WannaCry ransomware used in widespread attacks all over the world (Q: securelist.com / lokale Kopie)
  • Verlauf: Durch das rasche Ausrollen der Patches für alte Windows-Varianten sowie den Fund eines „Kill-Switches“ (Q: malwaretech.com / lokale Kopie) konnten die Neu-Infektionen und die weitere Ausbreitung durch die Ransomware eingegrenzt werden. Für bereits infizierte Systeme gibt es bisher aber noch keine technische Hilfe.
    Update (21.5.2017): Die Ausbreitung von WannaCry konnte unter anderem durch die Einrichtung und Aktivierung der, im Code von Wannacry als Killswitch entdeckten hinterlegten Domain realisiert werden. Wannacry prüft ob eine Verbindungsanfrage auf die spezifische Domain erfolgreich ist und stoppt die Infektion sowie Weiterverbreitung wenn die Domain existiert. Seit dem 19.5.2017 wird aber exakt gegen diesen Server (Q: wired.com / lokale Kopie), der durch IT-Sicherheitsexperten aufgebaut wurde um den Killswitch zu aktivieren DDoS-Attacken von erheblichen Ausmaß, mutmaßlich aus einem IoT-Botnetz wie seinerzeit Mirai. Sollten die anhaltenden Attacken Erfolg haben, könnte damit die Infektionswelle von WannaCry möglicherweise erneut in Gang gesetzt werden.
  • Schäden: Viele weltweite Unternehmen und öffentliche Einrichtungen berichten von Infektionen ihrer IT-Systeme, darunter die britische Gesundheitsbehörde National Health Service (NHS) und weitere Unternehmen im Gesundheitsbereich, darunter einige Krankenhäuser die für mehrere Stunden nur eingeschränkt arbeitsfähig waren (Q: the Guardian / lokale Kopie). Die Autohersteller Renault und Nissan haben in einigen Werken die Produktion stoppen oder reduzieren müssen (Q: heise Auto / lokale Kopie) . Weitere Beeinträchtigungen haben der spanische TK-Konzern Telefónica sowie der Energiekonzern Iberdrola gemeldet, das russische Innenministerium, der US-amerikanische Versanddienstleister FedEx sowie in Deutschland die Deutsche Bahn. Weitere Brennpunkte sind die Ukraine und Taiwan. Zahlreiche PCs einzelner Nutzer und kleiner Netzwerke gehören ebenfalls zu den Opfern. (Q: heise.de / lokale Kopie)Da sich die Ransomware in einmal infizierten Netzwerken schnell ausbreitet, ist es durchaus schlüssig dass auf diesem Wege vom Einfallstor Arbeitsplatz-PC auch Steuerungsanlagen infiziert werden konnten. Gerade auf diesen laufen noch des öfteren alte Windows-Versionen um Steuerungs-Software die nur für diese Versionen existieren weiter zu betreiben. Anekdotisch hier ein Link zu einem Bericht über Geldautomaten die zum Großteil nach wie vor mit Windows XP betrieben werden (Q: mdr.de / lokale Kopie)
    Update (15.5.2017): Das geforderte Lösegeld von 300 bis 600 Euro muss in Form von Bitcoins gezahlt werden; bisher sind fünf Bitcoin-Adressen der Erpresser bekannt geworden. Auf diese „Konten“ sind bisher wohl nicht mehr als 130 Zahlungen eingegangen, daraus schließt man auf Erlöse von maximal rund 30.000 Euro. Allerdings ist der Verschlüsselungstrojaner auch erst seit Freitag aktiv und die Beschaffung von Bitcoins für das Lösegeld kann etwas dauern. (Q: heise.de / lokale Kopie)
  • Ursprung: (Update 18.5.2017) Laut einem Bericht der NY Times (lokale Kopie) gehen US-Geheimdienste davon aus, dass die Cyberattacke von Nordkorea ausgegangen ist. Darauf deuten Ähnlichkeiten zwischen dem Code von WannaCry und früheren Angriffen – unter anderem beim Sony-Pictures-Entertainment-Hack – hin: „Security experts at Symantec, which in the past has accurately identified attacks mounted by the United States, Israel and North Korea, found early versions of the ransomware, called WannaCry, that used tools that were also deployed against Sony Pictures Entertainment, the Bangladesh central bank last year and Polish banks in February. American officials said Monday that they had seen the same similarities. All of those attacks were ultimately linked to North Korea; President Barack Obama formally charged the North in late 2014 with destroying computers at Sony in retaliation for a comedy, “The Interview,” that envisioned a C.I.A. plot to kill Kim Jong-un, the country’s leader.  The computer code used in the ransomware bore some striking similarities to the code used in those three attacks. That code has not been widely used, and has been seen only in attacks by North Korean-linked hackers. Researchers at Google and Kaspersky, a Moscow-based cybersecurity firm, confirmed the coding similarities.“
    Update (21.5.2017): Laut Medienberichten hat Nordkorea die Verantwortung für die Ransomware offiziell im Rahmen einer UN-Veranstaltung in New York abgelehnt: “Whenever something strange happens it is the stereotype way of the United States and the hostile forces that kick off noisy anti-DPRK campaign deliberately linking with DPRK” (Q: Washington Post / lokale Kopie)

Die für die Infektion der Windows-Systeme verwendete Sicherheitslücke entstammt (Update 19.5.2017mutmaßlich  bestätigten Angaben zufolge dem Fundus der Shadowbroker-Leaks, die in den vergangenen Monanten stückweise Daten und Hacking-Tools der NSA veröffentlicht bzw. zum Kauf angeboten hatten. Damit kommt dem Nachrichtendienst insbesondere mit Blick auf die Sammlung und Geheimhaltung von Sicherheitslücken (um diese selbst zu verwenden) eine hochgradig kritische Rolle zu. Dazu hier ein Kommentar auf heise.de: „Kommentar zu WannaCry: Staatliche Dienste müssen Erkenntnisse teilen“ (lokale Kopie).

Update (18.5.2017): Der Vorfall, die Schwere der Schäden und die rasche Ausbreitung der Schadsoftware in alter, nicht mehr offiziell aktualisierter, aber sehr weit verbreiteter Software verdeutlichen die Gefahren die von „Cyberwaffen“ in Arsenalen der Nachrichtendienste (oder der Militärs) ausgeht. Vor diesem Hintergrund warnt unter anderem Microsoft in einem sehr deutlichen Statement (lokale Kopie) vor einer Fortsetzung dieser Entwicklung und mahnt an, den Vorfall als einen „wake up call“ zu verstehen: „They need to take a different approach and adhere in cyberspace to the same rules applied to weapons in the physical world. We need governments to consider the damage to civilians that comes from hoarding these vulnerabilities and the use of these exploits.

PS: Diese Zusammenstellung wurde mit sehr heißer Nadel gestrickt. Ungenauigkeiten, (Rechtschreib)Fehler und Unvollständigkeiten bitte ich zu entschuldigen. Eine ausführlichere Analyse des Vorfalls und dessen Implikationen folgt.

[Kurz notiert] Podcast-Tipp zu europäischer und internationaler Sicherheitspolitik

Für das Wochenende ein Tipp zum Nachhören. Im vergangenen Jahr sprach Ulrich Kühn, Fellow unseres Forschungsinstituts IFSH und zur Zeit tätig als Stanton Nuclear Security Fellow am Carnegie Endowment for International Peace in Washington mit Tim Pritlove im Rahmen der Podcastreihe „Fokus Europa“ über europäische und zum Teil auch internationale Außen- und Sicherheitspolitik. Dieser Themenkomplex hat zwar nicht direkt mit der Militarisierung des Cyberspace zu tun, rahmt letztlich aber die Arbeit zu Rüstungskontrolle, Vertrauensbildung und Abrüstung in dieser Domäne ein. Insofern ist der Podcast unbedingt empfehlenswert und gibt einen hervorragenden Ein- und Rundumblick über Sicherheits- und Außenpolitik (dazu kommt das Ulrich hervorragend erklären und Tim exzellente Fragen stellen kann). Von der Website zum Podcast:

Europa sieht sich derzeit einer komplexen außenpolitischen Herausforderung gegenüber. Besonders die Konfrontation mit Rußland, aber auch die Situation in Nahost und Nordafrika belasten das Bündnis sehr und werfen viele grundsätzliche Fragen auf. Wir sprechen mit Ulrich Kühn, wissenschaftlicher Mitarbeiter beim Institut für Friedensforschung und Sicherheitspolitik an der Universität Hamburg und ausgewiesener Experte für Außenpolitik, über diese Konflikte, deren Hintergründe und mögliche Stategien in der Zukunft, um diesen Herr zu werden. (Q: Fokus Europa)

Hier der Link zur Podcast-Webseite „FE017 Außen- und Sicherheitspolitik“.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

„Zahlenspiele“ bei Cyberangriffsstatistiken – Überlegungen Teil 1

In den vergangenen Jahren hat es sich gefühlt eingebürgert, dass Regierungseinrichtungen wie das BMI oder das BMVg bei öffentlichen Aussagen über die Notwendigkeit von guter IT-Security stets von tausenden Cyberattacken täglich auf ihre eigenen Systeme sprechen. So geschehen unter anderem zuletzt in einem Interview der Welt mit der Verteidigungsministerin („Wir wehren 4500 Cyberangriffe am Tag ab“, Quelle: Die Welt). Andere Medien haben diese Aussagen auf das aktuelle Jahr 2017 hochgerechnet und kommen demzufolge auf 280.000 Cyberangriffe seit dem ersten Januar, eine Aussage die so unter anderem auch auf der Webseite der Bundesregierung zu finden ist (Q: bundesregierung.de / lokale Kopie).

Ganz sicher folgen solche Argumente politischen Zielen, aus wissenschaftlicher und technischer Sicht sollten diese Zahlen und insbesondere deren Aussagekraft über die Bedrohung deutscher IT-Systeme jedoch kritisch hinterfragt werden. Dieser Beitrag soll ein erster Aufschlag sein, in dem Versuch solche Zahlen in einen sinvollen Bewertungszusammenhang zu stellen.

Grundsätzlich ist das Problem an solchen Angaben, dass sie in keiner Weise weder die Quantität noch die Qualität der Angriffe differenzieren und folgende Fragen unbeantwortet lassen:

  • Werden alle Fremdzugriffsversuche gleich gezählt? Wird bspw. jede automatisiert versandte Phishing-Mail und jeder Portscan gezählt und gleich gewertet?
  • Werden wiederholte Zugriffsversuche vom (mutmaßlich) gleichen Ursprung stets neu gezählt oder als ein Zugriffsversuch pro Tag gewertet?
  • In welchem Verhältnis stehen voll automatisierte passive Zugriffs- und Analyseversuche zu tatsächlichen Einbruch-Versuchen?
  • In wievielen Fällen erfolgen die Hacking-Versuche breit streuend automatisiert und wieviele Angriffe werden gezielt und maßgeschneidert, mit gezieltem Domänenwissen zum spezifischen Angriffsziel von menschlichen Hacking-Teams durchgeführt?
  • Wie oft werden „menschliche Schwächen“ (wie schlechte, leicht erratbare Passwörter) ausgenutzt bzw. über „Social engineering“ in Erfahrung gebracht? Wie oft werden im Gegensatz dazu tatsächlich Schwächen und technische Fehler von IT-Systemen ausgenutzt oder diese anderweitig zweckentfremdend ausgehebelt?
  • Wie wird zwischen den unterschiedlichen Arten von Fremd-Zugriffen im Cyberspace unterschieden, insbesondere im Spektrum zwischen Zugriffen mit unterbrechenden/dienstunterdrückendem Charakter (wie bspw. DoS-Attacken) und gezielt invasiven Zugriffen mit zerstörerischen Absichten?

Aus meiner Sicht lässt sich erst mit der Ausdifferenzierung von Angriffs-Statistiken nach obigen Fragen darüber eine Aussage treffen, wie gut oder weniger gut einzelne IT-Systeme geschützt sind, welche Systeme besonders schützenswert und gegen welche Form der Angriffe zu bewahren sind und welche Schutzmaßnahmen jeweils am besten dafür geeignet wären. Mit Blick auf die aktuellen Hack-Back-Debatten könnte bspw. seitens der Bundesregierung auf Basis einer solchen Klärung erläutert werden, gegen welche Szenarien von Angriffen ein Hack-Back sinnvoll helfen und warum zu einem derart riskanten Mittel gegriffen werden soll.

Eine Möglichkeit zu einer Aufgliederung dieser Angaben besteht in der Operationalisierung vergleichbarer Daten. Auch wenn damit keine empirisch belastbaren Angaben erzeugbar sind, sollten die Ergebnisse zumindestens für eine annäherungsweise Betrachtung geeignet sein. Dies soll im folgenden zum einen anhand von Zahlen des BSI zu Angriffen auf Regierungsnetze sowie mit Hilfe von Statistiken aus dem aktuellen Data Breach Investigations Report von Verizon getan werden.

(mehr …)

Lesetipp zum „Cyberwar“ zwischen den Geheimdiensten und dessen Implikationen

Bruce Schneier hat auf seinem Blog einen extrem lesenswerten Beitrag „Who is Publishing NSA and CIA Secrets, and Why?“ veröffentlicht, in dem er über die Herkunft und möglichen Absichten hinter den Geheimdienst-Leaks der vergangenen Monate spekuliert. Wie seinerzeit berichtet sind zum einen der NSA geheime Informationen und Hacking-Werkzeuge abhanden gekommen und wiederholt durch eine Gruppe namens „Shadowbrokers“ zum Kauf angeboten worden. Zum anderen sind durch Wikileaks sensitive Daten und Exploit-Sammlungen unter dem Namen „Vault 7“ veröffentlicht worden, die mutmaßlich dem Fundus der CIA entstammen. In beiden Fällen wird die Authentizität der Daten und Informationen durch IT-Sicherheitsexperten und politische Insider als echt bewertet. Bruce Schneier fasst in seinem Blogeintrag die Vorfälle, die jeweils mögliche Herkunft der Daten und deren Implikationen umfassend zusammen. Unabhängig ob er mit den Vermutung dem Wahrheit nahe kommt oder nicht zeichnen die Vorfälle ein äußerst interessantes Bild, wie der „Kampf“ zwischen Geheimdiensten im Cyberspace um sowie mit Hilfe von  Hacking-Attacken vermutlich geführt wird:

So Russia — ­or someone else­ — steals these secrets, and presumably uses them to both defend its own networks and hack other countries while deflecting blame for a couple of years. For it to publish now means that the intelligence value of the information is now lower than the embarrassment value to the NSA and CIA. This could be because the US figured out that its tools were hacked, and maybe even by whom; which would make the tools less valuable against US government targets, although still valuable against third parties.

The message that comes with publishing seems clear to me: „We are so deep into your business that we don’t care if we burn these few-years-old capabilities, as well as the fact that we have them. There’s just nothing you can do about it.“ It’s bragging.

Which is exactly the same thing Ledgett is doing to the Russians. Maybe the capabilities he talked about are long gone, so there’s nothing lost in exposing sources and methods. Or maybe he too is bragging: saying to the Russians that he doesn’t care if they know. He’s certainly bragging to every other country that is paying attention to his remarks. (He may be bluffing, of course, hoping to convince others that the US has intelligence capabilities it doesn’t.) (Q: schneier.com / lokale Kopie)

Die mutmaßlichen Vorfällen werfen dabei vorallem auch ein Licht auf den Handlungsdruck (und Spielraum) aller anderen weltweiten – zumeist sehr viel kleineren – Dienste und passen daher sehr gut in die deutschen Hack-Back und Cyber-Offensive-Debatten.

[Kurz notiert] Lesetipps Pro-und-Contra zur Hack-Back-Debatte

Kurz vor Wochenende hier zwei Lesetipps von guten Kollegen im Geiste, von der Stiftung Neue Verantwortung, die sich als Stiftung auch mit den aktuellen Cyber-Themen – in der Regel aber viel Governance-orientierter – auseinander setzen. In diesem Zusammenhang haben Stefan Heumann und Sven Herpig beide zum Thema Hack-Back so ihre Ansichten und Kritikpunkte, die sie sowohl in einem Artikel in der Zeit sowie dem Tagesspiegel zum Ausdruck bringen.  Da es ebenso wichtig ist sich mit den Argumenten der Befürworter zu befassen hier noch ein dritter Link, ebenso auf einen Artikel im Tagesspiegel von Martin Schallbruch, der viele Jahre die Abteilung für Informationstechnik, Digitale Gesellschaft und Cybersicherheit im Bundesinnenministerium geleitet hat.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.

Digitaler Waffenhandel von Regierungsinstitutionen am Beispiel

Mit der Zunahme von nachrichtendienstlichen und militärischen Cyber-Einheiten weltweit, steigt der Bedarf an „Grundmaterial“ für Hacking-Attacken, jenem Wissen über Lücken in populären IT-Komponenten (sowohl Hard- als auch Software)  mit den sich Schutzmechanismen umgehen und der unbefügte Zugriff auf fremde IT-Systeme herstellen lassen. Solche „Exploits“ sind dabei schwer zu finden und erfordert durchaus personelle Ressourcen, insbesondere wenn es darum geht ein spezielles System anzugreifen bzw. sich Zugang zu verschaffen. Diese Schwierigkeit haben sich seit einigen Jahren Unternehmen wie Vupen verschrieben, deren Geschäftsmodell im Auf- und Weiterverkauf von Exploits besteht.  Insbesondere Vupen wirbt dabei damit, speziell Exploits im Portofolie anzubieten „specifically designed for law enforcement agencies and the intelligence community to help them achieve their offensivecyber missions and network operations (Quelle: vupen.com [Link offline], lokale Kopie).

Das diese Behauptung nicht völlig aus der Luft gegriffen ist belegen nun Leaks aus dem Fundus des mit einem vergleichbaren Geschäftsmodell agierenden Unternehmens Hacking-Team, das 2015 jedoch selbst „digital ausgeraubt“ worden ist:

According to the hacked files, Hacking Team’s top sales in recent years have come from governments and law enforcement agencies in these countries, in descending order of sales: Mexico, Italy, Morocco, Saudi Arabia, Chile, Hungary, Malaysia, UAE, the United States, Singapore, Kazakhstan, Sudan, Uzbekistan, Panama, Ethiopia, Egypt, Luxembourg, Czech Republic, South Korea, Mongolia, Vietnam, Spain, Ecuador, Oman, Switzerland, Thailand, Russia, Nigeria, Turkey, Cyprus, Honduras, Azerbaijan, Colombia, Poland and Bahrain.
(Q: The Intercept / lokale Kopie)

Am Beispiel jüngester Veröffentlichungen lässt sich solch ein Einkauf von Exploits exemplarisch darstellen. Autoren des Magazins Motherboard haben Einblick in Rechnungen erhalten, die das Unternehmen der US-amerkanischen Drug Enforcement Administration (DEA)  2012 über 570.000 $ gestellt hat. Darin aufgeführt findet sich ein Bestandteil namens Zugang zum „Exploit Portal Full Access (Zero-Day level)“ mit mindestens drei Zero Day Exploits (Q: documentcloud.org / lokale Kopie) – neben dem Training für den Einsatz von derlei Mitteln. Möglicherweise gibt es im Sinne der Strafverfolgung immer wieder Situationen die ein solches Vorgehen rechtfertigen könnten. In jedem Fall trägt der erhöhte Bedarf an solchen Informationen durch den weiterhin weltweit starken Ausbau von Cyber-Einheiten bei diversen Diensten und Militärs nicht zur allgemeinen Verbesserung der IT-Sicherheit bei. Dazu zählen auch die aktuellen Planungen der Bundeswehr, der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITis) oder die Debatten über Hack-Back-Befugnisse. Eine ausführlichere Diskussionen über diese Abwägung und den Umgang mit Sicherheitslücken findet sich bei der Electronic Frontier Foundation.