WikiLeaks Vault7 Year Zero

Am 7.3.2017 hat Wikileaks die Dokumente der nach eigenen Angaben größten Sammlung von vertraulichen Dokumenten des CIA veröffentlicht. Der Leak wurde Vault 7 genannt. Die erste Folge dieser Serie heißt „Year Zero“ und enthält mehr als 8700 geheime Dateien. Die meisten davon wurden zwischen 2013 und 2016 erstellt und beschreiben die Cyber-Tools der CIA und die Vorgehensweisen der Agenten beim Hacking.
Selbstverständlich gibt es von der CIA keine Stellungnahme zur Echtheit und zum Wahrheitsgehalt der Dokumente. „Year Zero“ zeigt aber, dass die CIA mächtige Waffen in ihren Arsenalen zur Verfügung hat. Als staatliche Organisation, deren Auftrag es ist ihre Bürger zu schützen, ist das auch notwendig. Und in einer Welt, die mitten in der Digitalen Transformation steckt, sind Tools und Waffen für den Einsatz im digitalen Umfeld unumgänglich.

Wenn man die Dokumente durchgeht, zeigt sich, dass der Bereich sehr weit gefasst wird. Die CIA nimmt fast alles ins Visier, was Rechenleistung hat oder für sie verwertbare Daten liefert. Betroffen sind: Windows, OS X, Linux, Router, Smartphones, SmartTVs, Eingebettete Systeme, Industriesteuerungen, Fahrzeuge, etc. Das zieht sehr viel Code nach sich („einige Millionen Zeilen Sourcecode“, „mehr Code als zum Betrieb von Facebook benutzt wird“) und viele Helfer („über 5000 registrierte Nutzer“).

Wagen wir einen ersten Blick. Zunächst besticht die Struktur der Organisation. Das Center for Cyber Intelligence (CCI) der CIA umfasst etliche Gruppen (vgl. Organigramm

• Automated Implants Branch (AIB): Systeme infizieren und Schadcode verbreiten.
• Mobile Development Branch (MDB): Hacking mobiler Geräte und Smartphones .
• Embedded Devices Branch (EDB): Hacking von Fahrzeugen, Industriesteueranlagen und andere Geräte aus dem Internet der Dinge.
• Network Devices Branch (NDB): Hacking von Routern und anderen Netzwerkgeräten.

Die umfassende Herangehensweise der CIA ist nicht beschränkt auf PCs und Netzwerkgeräte. Die Malware der CIA greift auch iPhone, Android und SmartTVs an. Es gibt umfangreiche Sammlungen von Exploits für iOS und Android. So könnten sie auch Programme installieren, die in der Lage sind die Daten von gängigen Kommunikations-Apps abzufangen. Offenbar sind sie in der Lage die Sprach- und Textdaten von WhatsApp, Signal, Telegram, Wiebo, Confied und Cloakman mitzuschneiden, bevor sie verschlüsselt übertragen werden.

Im Projekt Weeping Angel ("Weinender Engel"), das von CIA und dem britischen MI5/BTSS gemeinsam umgesetzt wurde, schaltet sich das Samsung SmartTVs nicht mehr aus, sondern zeichnet mit der eingebauten Kamera und dem Mikrofon weiterhin die Bilder und Audiosignale aus dem Raum auf. Der Orwellsche Televisor ist damit Realität. Es sieht aber so aus als ob es nicht so einfach wäre SmartTVs zu hacken. Es gab schon Berichte über Android-Malware, die SmartTVs infiziert haben. Aber in den CIA Dateien werden physikalischer Zugang und Anschluss von USB-Sticks als Voraussetzung genannt. Es gibt keine Hinweise, dass eine Infektion über das Internet erfolgen kann. Samsung ist aber schon auf der Suche nach möglichen Ursachen.

Die CIA hat auch einige Strategien entwickelt, um den gängigen Erkennungs- und Analyseverfahren zu entgehen. Wo es sinnvoll ist, wird verschlüsselt. Es gibt auch spezielle Möglichkeiten, um Security-Produkte zu umgehen und auszuschalten (auch G DATA ist in der Liste). Auch Forensik-Tools, mit denen eine umfassende Analyse der Datei- und Systemaktivitäten möglich ist, werden umgangen. Der wichtige Bereich des Datentransports sowohl auf den Rechner als auch vom Rechner weg, nutzt viele Möglichkeiten. Das sind u.a.: Alternate Data Streams (Brutal Kangaroo), ungenutzter Speicher in Dateien und das steganografische Verstecken von Daten in Bildern.

Zu den weiteren Zielen gehören Router und andere “Network Devices (including but not limited to SOHO routers)”. Schwachstellen in der Firmware oder Software dieser Kernkomponenten für Netzwerkzugang sind für Geheimdienste wie den CIA besonders interessant. Auch für das Ausspähen und Infizieren von Industriesteueranlagen (ICS/SCADA) gibt es spezielle Vorgehensweisen. In diesem Umfeld gelten erhöhte Sicherheitsanforderunge und die kritischen Systeme sind häufig von anderen Netzwerkbereichen und vom Internet isoliert. Hier werden Angriffe mit USB-Geräten („Fine Dining“ etwa "vorzügliches Essen" ) und CDs/DVDs („HammerDrill“, Bohrhammer) beschrieben. Als weiteres Aktionsfeld werden „Vehicle Systems (e.g. VSEP)“ (Fahrzeugsysteme) genannt.

Insgesamt ergibt sich folgendes Bild:

• Die CIA hortet Zero-Day-Exploits für einen breiten Bereich von Betriebssystemen, Firmware und Software .
• Es gibt spezielle Verfahren, mit denen man die etablierten Sicherheitsprodukte und Netzwerk-Schutz umgehen oder deaktivieren kann.
• Auf Smartphones werden Daten abgegriffen bevor sie verschlüsselt übertragen werden.
• Es gibt ausgefallene und technisch versierte Methoden, um Daten zu stehlen und auszuleiten.
• Der Wirkungsbereich geht weit über PCS und Smartphones hinaus und umfasst auch Geräte aus dem Internet der Dinge, der Industrie 4.0 und von vernetzten Fahrzeugen.

Was bedeutet das nun für mich und mein Unternehmen? Eigentlich sind die meisten Verfahrensweisen und Methoden schon bekannt. Auf den ersten Blick ist auch nicht ersichtlich, dass bislang als sicher geltende Verschlüsselungsverfahren gebrochen wären. In ersten Stellungnahmen verschiedener Security-Firmen werden Zweifel am technischen Niveau der Tools geäußert. Auch die Ausweitung des Aktionsbereichs auf smarte Geräte ist ein erwartbarer und konsequenter Schritt. Die Betriebssysteme, Firmware und Software bieten viel Angriffsfläche für Überwachung und Missbrauch von technischen Systemen. Die gleichgültige Einstellung sowohl der Hersteller und Entwickler als auch der Nutzer ("Ich habe nichts zu verbergen") wird von den Geheimdiensten skrupellos genutzt. Das tun sie schon seit Jahren. Auch der Ankauf von Zero-Day-Exploits ist bekannt. Das ist aber noch nicht alles.

Die Ideensammlungen aus den CIA-Dokumenten gehen noch darüber hinaus. U.a. wird dort auch das Auslesen von Zugangsdaten und die Sammlung von WLAN-Passwörtern erwähnt. Einige der Tools sind nicht nur für Spionage geeignet, sondern auch für Sabotage oder als Waffen genutzt werden. Sollten unsere weiteren Recherchen zu Vault 7 weitere Informationen ergeben, werden wir hier darüber berichten.

Die aktuellen Veröffentlichungen machen klar, dass alle Geräte, die mit dem Internet verbunden sind, als potentielle Gefahrenquelle angesehen werden müssen. Mängel in der Sicherheit werden nicht nur Kriminellen, sondern auch und insbesondere Geheimdiensten genutzt - sicher nicht nur von der CIA. Die Absicherung neuer, smarter Geräte sollte schon bei der Entwicklung berücksichtigt werden. Nur mit Security-By-Design werden sichere Systeme entstehen. Vault 7 zeigt uns, dass wir davon noch weit entfernt sind. Aber was tun wir so lange? Welche Rolle spielen Sicherheitslösungen und ihre Anbieter in diesem Kontext?

Wir (d.h. G DATA und wahrscheinlich die meisten anderen Anbieter von Sicherheitslösungen) sind vermutlich schon längst auf Spionagetools der CIA oder anderer Geheimdienste gestoßen und haben unsere Erkennung angepasst, ohne zu wissen, dass es sich um Spionagetools von staatlichen Diensten handelt. G DATA ist froh, dass in den veröffentlichten Dokumenten die Vorgehensweisen der CIA beschrieben sind. Das erlaubt es uns, unser Schutzmodell an die aktuelle Gefahrenlage anzupassen. Wenn wir wissen, dass aus einer möglichen Gefahr ein aktueller Angriff geworden ist, können Änderungen anstehen. Das gilt auch für Unternehmen. Auch hier müssen eventuell Best-Practice Regeln und Sicherheitsrichtlinien überdacht werden. Wir werden die "Year Zero"-Dokumente und auch die weiteren Folgen aus der Serie Vault 7 intensiv untersuchen und daraus unsere Schlussfolgerungen ziehen. Wir werden diese Informationsquelle so gut es geht nutzen, um unsere Produkte und Dienstleistungen zu verbessern und unsere Kunden noch besser gegen Angriffe zu schützen. Egal ob dahinter staatlich getragene Dienste oder Cyber-Kriminelle stecken.