Was «Vault7» für die Business-IT bedeutet

Wikileaks hat mit «Vault7» neue Dokumente über die CIA veröffentlicht. Was bedeutet das für die Unternehmens-IT und deren Sicherheit? Sie zeigen, dass es notwendiger denn je ist, die Sicherheits-, Netzwerk- und Systemarchitektur in Unternehmen sorgfältig zu planen und zu betreiben.

Quelle: Netzwoche 8 / 2017, Dossier Hacking Day 2017

Autor: Max Moser IT-Sicherheitsberater, Modzero AG, Keynote-Speaker Hacking Day 2017

Seit Anfang März sorgen die «Vault 7»-Veröffentlichungen der Enthüllungsplattform Wikileaks für Gesprächsstoff in der IT-Branche. Bei «Vault 7» handelt es sich um tausende Dokumente der Central Intelligence Agency (CIA). Sie stammen aus den Jahren 2013 bis 2016 und stellen die bisher grösste Veröffentlichung von internen Geheimdienstdokumenten dar. Um die Auswirkungen auf die IT-Sicherheit in der Privatwirtschaft beleuchten zu können, werden hier exemplarisch einige Bereiche erläutert.

Nahezu jede Plattform ist angreifbar

Die Projekte «HIVE» sowie «RickBobby» scheinen beide dem Zweck zu dienen, dass sich infiltrierte Systeme selbstständig und regelmässig bei einem Control Center melden sowie einen ersten Zugang auf das infizierte Computersystem für den Geheimdienst ermöglichen. Während «RickBobby» primär für das Microsoft-Windows-Betriebssystem geschrieben wurde, unterstützt «HIVE» gemäss den Benutzerhandbüchern¹ Linux, Mikrotik und Solaris. Beide Projekte verwenden Techniken, die in der IT-Security-Branche und bei Malware-Entwicklern seit Langem bekannt sind und benutzt werden.

Damit nicht genug. Die «Vault7»-Dateien weisen darauf hin, dass die CIA für viele eingebettete und mobile Geräte ebenfalls Schwachstellen einkauft, Schadcode wiederverwendet oder entsprechende Forschung und Entwicklung vorantrieb. Das Projekt «Weeping Angel» hat als Ziel, Smart-TVs mit entsprechendem Schadcode zu versehen, um Räume unbemerkt überwachen zu können. Die im Smart-TV eingebaute Kamera und das Mikrofon können aktiviert und deren Datenströme durch die Geheimdienste ausgewertet werden.

Bei der Auswertung der veröffentlichten Daten stiess auch der Netzwerkkomponenten-Hersteller Cisco auf eine bisher unbekannte, kritische Sicherheitslücke, die viele seiner Netzwerkkomponenten betroffen haben soll. Die CIA konnte diese Schwachstelle dazu nutzen, Schadcode auf den Geräten auszuführen und somit die Kontrolle über das Gerät und dessen Datenflüsse zu erhalten. Die Schwachstelle ist mittlerweile vom Hersteller behoben worden, wie ein Blick auf die aktuellen Security Advisories von Cisco zeigt.

Apple-Geräte bereits vor Auslieferung infiziert

Android und iOS als weitverbreitete, mobile Plattformen sind ebenfalls populär in den veröffentlichten Dokumenten vertreten. Gemäss einer zusammenfassenden Liste bei Wikileaks verfügte die CIA über mindestens 14 Exploits für verschiedene Apple-iOS-Betriebssystem-Versionen². Aus dieser Liste ist auch ersichtlich, dass die CIA nicht alle Exploits selbst entwickelte, sondern teilweise bei privatwirtschaftlichen Unternehmen einkaufte. Bei der Android-Plattform sieht es ähnlich aus. Laut Wikileaks verfügte die CIA über mindestens 26 verschiedene Exploits für den Angriff gegen das quelloffene Android-Betriebssystem³. Mit der Veröffentlichung des «Dark Matters»-Teilpakets offenbarte Wikileaks, dass die CIA mit den Projekten «NightSkies», «Sonic Screwdriver» und «DerStarke» Apples mobile Geräte sowie Computersysteme teilweise bereits im Rahmen der Lieferkette persistent infizieren konnte⁴.

Komfortabel angepasste Schadcodes

Wie Schadcode-Entwickler und Kriminelle muss auch die CIA ihren Code verschleiern, um zu verhindern, dass Antivirenprogramme oder andere Massnahmen den Schadcode leicht als solchen erkennen oder gar dessen Funktionsumfang einschränken. Die CIA hat diese Verschleierungsmassnahmen zusammen mit Anti-Forensik-Funktionalitäten in das «Marble Framework» eingearbeitet⁵. Zusammen mit dem Projekt «Grasshopper»⁶ konnte der Geheimdienst somit komfortabel angepasste Schadcodes erzeugen, die auf das Ziel zugeschnitten waren. Die Mitarbeiter der CIA benötigen dank der Werkzeuge kein tieferes technisches Verständnis über die Ziele oder die anzuwendende Technik.

Diese Projektbeschreibungen hören sich ein bisschen an wie Angebote von illegalen Botnet-Anbietern aus dem Darknet, die Schadcode-Generatoren an Dritte verkaufen, um damit kriminelle Aktionen durchzuführen. Aus IT-Sicherheitssicht bestätigen sich aus den Veröffentlichungen unter anderem einige Annahmen, die in der IT-Branche bereits seit Jahren bestehen:

• Geheimdienste kooperieren teilweise miteinander. Das Projekt «Weeping Angel» sollen etwa der MI5 und die CIA zusammen entwickelt haben.
• Geheimdienste verfügen schon lange Zeit über Abteilungen, die sich intensiv und fortschrittlich mit der Erforschung von Sicherheitslücken und deren Ausnutzung beschäftigen.
• Gefundene Sicherheitslücken werden zur geheimdienstlichen und militärischen Nutzung verwertet, ohne Informationen über die Schwachstellen an die Hersteller weiterzugeben.
• Es gibt kaum ein System, das nicht über Schwachstellen kontrolliert und manipuliert werden kann.

Was bedeutet dies nun für unsere IT-Systeme? Hat es sich ausgecybert, weil sich Unternehmen und Privatpersonen nicht umfassend gegen unbekannte Schwachstellen schützen können? Wahrscheinlich nicht. Zwar sind die Veröffentlichungen beunruhigend in ihrem Ausmass, aber technisch wenig überraschend.

Schwachstellen erkennen oder deren Ausnutzung relativieren

In den zwei Jahrzenten, in denen ich und meine Arbeitskollegen Sicherheitsüberprüfungen durchführen, konnten wir immer wieder neue oder unbekannte Wege identifizieren, um Sicherheitsmechanismen im Kundenauftrag zu umgehen. Wir setzten uns mit den Kunden zusammen und brachten Verbesserungsvorschläge ein, um das Niveau der Gesamtsicherheit zu erhöhen. Es gibt aber immer wieder Situationen, in denen eine Beseitigung von Sicherheitsschwachstellen schwer möglich ist. Oder das Risiko einer Schwachstelle aus Kostengründen, aufgrund der Firmenhistorie oder wegen technischer Vorbedingungen akzeptiert und beibehalten werden muss. Wird eine Schwachstelle nicht behoben oder ist sie unbekannt, sollte das Ziel der IT-Sicherheit und deren Mechanismen sein, die Ausnutzung solcher Schwachstellen zu erkennen oder aber die Auswirkungen bei einer Ausnutzung zu relativieren.

Um die IT-Sicherheit als Ganzes zu verbessern, sollte sichergestellt werden, dass eine solide Sicherheitsbasis besteht – unter anderem, indem Systeme aktuell gehalten und Sicherheitsupdates eingespielt werden. Gerade bei noch unbekannten Schwachstellen, sogenannten Zero-Day Exploits, ist man oft auf eine Fehlerbehebung durch die Hersteller angewiesen. Durch das Aktuellhalten der Systeme kann zumindest das Vorhandensein von bekannten und bereits behobenen Schwachstellen ausgeschlossen werden.

Hacking Day 2017 Das Thema Cyber Security ist aktueller denn je! Holen Sie sich am Hacking Day 2017 in 20 Sessions wertvolle Tipps & Tricks unserer Experten. Vielleicht werden Sie sogar «Switzerland’s Bug Bounty Hacker»! Erleben Sie in der Keynote Max Moser, Geschäftsführer modzero AG. Er ist bekannt für seine Arbeiten auf remote-exploit.org und entführt Sie in seiner Speech in die Welt von «Adwars – Malware und Werbung». Führt Programmatic Advertising zu einem Schlaraffenland für Erpresser und autoritäre Regimes? Max Moser wirft einen kritischen Blick auf das Problem und dessen Auswirkung. Alles zum Hacking Day 2017

Das Thema Cyber Security ist aktueller denn je! Holen Sie sich am Hacking Day 2017 in 20 Sessions wertvolle Tipps & Tricks unserer Experten. Vielleicht werden Sie sogar «Switzerland’s Bug Bounty Hacker»!

Erleben Sie in der Keynote Max Moser, Geschäftsführer modzero AG. Er ist bekannt für seine Arbeiten auf remote-exploit.org und entführt Sie in seiner Speech in die Welt von «Adwars – Malware und Werbung». Führt Programmatic Advertising zu einem Schlaraffenland für Erpresser und autoritäre Regimes? Max Moser wirft einen kritischen Blick auf das Problem und dessen Auswirkung.

Alles zum Hacking Day 2017

Wissen im eigenen Unternehmen aufbauen

Es ist notwendiger denn je, eine durchdachte und mehrschichtig angelegte Sicherheits-, Netzwerk- und Systemarchitektur zu planen und zu betreiben, sodass der Ausfall eines Mechanismus nicht zu einem inakzeptablen Risiko wird. Erst das Zusammenspiel mehrerer Schutzmechanismen, Prozesse und Auswertungen bringt echten Mehrgewinn an Sicherheit. Hier die richtigen Mechanismen und Technologien auszuwählen, braucht Erfahrung und Wissen, das im Idealfall im eigenen Unternehmen aufgebaut wird und nicht ausschliesslich beim Integrator oder IT-Dienstleister. Nur mit möglichst gutem Verständnis über die individuelle Bedrohungslage, die eigene IT-Infrastruktur und eigenen Datenflüsse kann man auch Anomalien und Angriffe erkennen.

Konsequentes Arbeiten an der Basissicherheit und dem Knowhow über die eigenen Geräte, Prozesse und Systeme sind Kernpunkte zur Mitigation von Risiken – auch für die Zukunft. Möchte man seiner Verpflichtung gegenüber dem Datenschutz seiner Kunden und Mitarbeiter gerecht werden, ist das ein Muss.

Viele Betreiber von IT-Netzwerken und Unternehmen werden vielleicht der Meinung sein, dass die CIA nun nicht unbedingt hinter dem eigenen Datenschatz her ist und gezielt Netzwerke im eigenen Unternehmen penetriert. Vermutlich stimmt das, allerdings bereichert sich jeder staatliche Geheimdienst in der Regel am Wissen der IT-Sicherheits-Szene – am Wissen einer öffentlichen und grösstenteils harmlosen Hacker-Community, die ihre Forschung regelmässig auf Hacker-Kongressen veröffentlicht. Wenn sich die CIA dieses öffentliche Wissen aneignen kann, so können es auch andere – es gibt keinen Grund, anzunehmen, dass staatliche Hacker über Wissen verfügen, das andere nicht auch besitzen. Das Sammelsurium der Geheimdienste, das nun veröffentlicht wurde, zeigt praktisch, dass es grundsätzlich Personenkreise mit «Vorabinformationen» über schwerwiegende Sicherheitslücken gibt. Es zeigt, dass man sich schwer mit einem Universalrezept gegen Gefahren aus dem Internet oder dem internen Netzwerk schützen kann.

Die Werkzeuge der Geheimdienste sind kein Hexenwerk. Jeder interessierte Informatikstudent kann diese Werkzeuge erfinden und herstellen. Wenn wir also in den Werkzeugkasten der Geheimdienste schauen, werfen wir effektiv einen Blick in den Werkzeugkasten eines normalen Hackers mit ein bisschen mehr Budget. Wenn Sie der Meinung sind, Ihr Sicherheitsdispositiv hält einem Angriff durch die CIA nicht Stand – dann sollten Sie darüber nachdenken, ob es allen anderen Angreifern standhalten würde.

Quellen:
¹ wikileaks.org/ciav7p1/cms/files/UsersGuide.pdf
² wikileaks.org/ciav7p1/cms/page_13205587.html
³ wikileaks.org/ciav7p1/cms/page_11629096.html
⁴ wikileaks.org/vault7/#DarkMatter
⁵ wikileaks.org/vault7/#MarbleFramework
⁶ wikileaks.org/vault7/#Grasshopper