Di

26

Apr

2011

Nachrichtendienste Teil II: Spionageprogramme

marke40 Flattr this

Nachrichtendienste als IT-Sicherheitsrisiko

 

Vortrag auf der gemeinsamen Tagung der Landesämter für Verfassungsschutz Baden-Württemberg und Bayern für Sicherheitsbevollmächtigte am 6. April 2011 in Friedrichshafen

 

Teil II: Spionageangriffe und Angriffsmethoden

 

Im Jahre 1982 – damals galt natürlich das Paradigma „Security bei Obscurity“ – explodierte in Russland eine Verdichtungsstation an der Chelyabinsk-Pipeline. Die russischen Pipeline-Betreiber hatten eine Steuerungssoftware für die Verdichtungsstationen ihrer Gaspipelines illegal beschafft, diese Software aber nicht sorgfältig kontrolliert. Die Entwickler der kanadischen Steuerungssoftware hatten mit Unterstützung der amerikanischen Central Intelligence Agency nämlich Sprungadressen eingebaut, von denen aus auf ein Unterprogramm gesprungen wurde.

 

Das geschah allerdings erst, nachdem eine gewisse Schonfrist verstrichen und während dieser Frist der Freischaltcode für die Software nicht eingegeben worden war. Denn dann konnten die kanadischen Entwickler davon ausgehen, dass sie es hier mit einem nicht-lizenzierten Einsatz ihrer Software zu tun hatten.

 

Die Frist verstrich, das Unterprogramm wurde angesprungen und die dort liegenden Softwareroutinen sorgten dafür, dass der Druck in den Verdichtungsstationen einfach um das 150fache erhöht wurde. Und – „Bumm“ -  schon war es passiert. Die Experten sprechen gern vom digitalen Erstschlag, der im Jahre 1982 stattgefunden habe.

 

Zweites Beispiel: Die Hauptverwaltung Aufklärung des Staatssicherheitsdienstes der DDR hatte sich 1987 mittels eines Keyloggers Zugang zum Quellcode eines westlichen CAD-Programms verschafft. Mit dem Keylogger erbeuteten die in Dresden sitzenden Experten die Zugangsdaten für ein Nutzerkonto und das Passwort für einen Entwicklungsserver, der in Karlsruhe stand. Mittels eines Akustikkopplers (300 Baud)  wählten sie sich dann von Dresden aus auf diesen Server ein und saugten den gesamten Quellcode während einer fünfmonatigen Aktion über eine 300-Baud-Datenleitung ab. Es wurde übrigens kolportiert, sie hätten eine 1200-Baud-Datenleitung beantragt, was aber vom zuständigen Minister Erich Mielke abgelehnt worden sei.

 

Nächster Fall: im Jahre 1991 erbeuten kuwaitische Widerstandskämpfer mithilfe von Agenten des britischen Geheimdienstes im MI 6 Pläne einer High-Tech-Kanone, die der irakische Staatspräsident Saddam Hussein bauen lassen wollte. Da sich die vom Irak bis zu diesem Zeitpunkt verwendeten Scud-Raketen als nicht ausreichend wirksam erwiesen hatten, hatte sich der irakische Diktator von einem belgischen Ingenieurbüro Artillerie entwickeln lassen, mit der er Israel beschießen wollte.

 

Kuwaitische Mitarbeiter einer Telekommunikationsfirma nutzten sogenannte Data-Links, Wartungsschnittstellen des Fernmeldenetzes, über die sie sich Zugang zum irakischen Glasfasernetz verschafften und schließlich die Server ausfindig machen konnten, auf denen die belgischen Pläne für die Super-Artillerie Saddam Husseins gespeichert waren. Die Daten wurden nicht nur kopiert, die Bauanleitungen wurden auch gezielt manipuliert.

 

Sehr lustig war folgender Fall: Im Jahre 1995 zapft ein 16jähriger Hacker aus Tottenham, der sich den „Nick Name“ oder „Kriegsnamen“ Datastream gegeben hat, drei VAX-Maschinen des Pentagon an und erbeutet Pläne von Spionagesatelliten. Datastream war der Meinung, es hier mit einem hochinteressanten Computerspiel zu tun zu haben.

 

Und noch ein Vorfall aus dem Jahre 2004: Aus dem Atomwafenlabor Los Alamos werden Bauanleitungen für Atomwaffen gestohlen. Die Täter hatten ein ausgesprochen simples Spionageprogramm für die Mail-Überwachung verwendet.

 

Es gibt noch viele Beispiele dieser Art. Bei allen diesen Vorfällen wurden digitale Anwendungsprogramme und Spionageprogramme verwendet, die Sicherheitslücken in Betriebssystemroutinen und in Kommunikationssoftware oder Anwendungssoftware ausnutzten. Die auf diesen Sicherheitslücken aufsetzten Angriffsprogramme nennt man Exploits.

 

Solche Angriffsprogramme und die ihnen zugrunde liegenden Sicherheitslücken werden weitgehend auf regelrechten Auktionen und entsprechenden Plattformen im Internet versteigert.  Sicherheitslücken lassen sich beim Programmieren einfach nicht vermeiden. Software ist nun einmal nicht zu 100 Prozent sicher. Nicht korrekt ausgeführte Sprungbefehle, nicht ausgiebig genug getestete Softwaremodule, die in ein komplexeres Programm eingebettet werden, oder eine unzureichend durchgeführte Anforderungsanalyse in der Planungsphase des Softwareprojektes führen dann zu solchen Sicherheitslücken.

 

Sicherheitslücken für das Windows-Betriebssystem kann man schon recht günstig erwerben. Sie kosten durchschnittlich zwischen 35 und 70 US-Dollar. Sicherheitslücken, die zur Erforschung eines bestimmten Unternehmensnetzwerkes oder Regierungsnetzwerkes ausgenutzt werden können, beispielsweise für den Regierungsverbund Bonn-Berlin, kosten zwischen 35.000 und 45.000 Dollar. Die Kurse für diese Sicherheitslücken und die darauf aufsetzenden Angriffsprogramme schwanken ein wenig.

 

Wir wissen jedenfalls, dass weltweit ungefähr 30.000 Schwachstellenanalytiker tätig sind. Davon arbeiten 10.000 in der Volksrepublik China, ungefähr 15-20 in Deutschland. Wir haben hier also durchaus Aufholbedarf. Diese massive Unterbesetzung mit freiberuflichen Schwachstellenanalytikern können wir auch nur unzureichend durch Zukauf aus osteuropäischen Staaten ausgleichen.

 

Westliche Geheimdienste und die organisierte Kriminalität lassen seit ungefähr drei Jahren Angriffsprogramme gern in Minsk entwickeln. In der Nähe des dortigen KGB-Hauptquartiers entlang der Nezavisimosti mit ihren im sowjetischen Stil eingerichteten Warenhäusern hat sich eine Vielzahl junger Entwickler und Schwachstellenanalytiker angesiedelt, die entsprechende Aufträge zu ausgesprochen günstigen Konditionen durchführen. Sie finden übrigens sehr viele, ähnlich konstruierte Angriffswaffen, die in Minsk programmiert wurden. Inzwischen kann man getrost von einer Massenkonfektionierung von Schadsoftware sprechen, die einen nicht geringen Teil des Devisenbedarfs von Weißrussland deckt.

 

Insgesamt nehmen Kooperationsprojekte westlicher Geheimdienste mit Diensten aus dem Nahen Osten erheblich zu. So wurde kolportiert, dass an der Atomforschungsanlage im israelischem Dimona der Computervirus Stuxnet ausprobiert wurde. Denn bei einer Schadsoftware wie Stuxnet haben wir es ja nicht nur mit einem sehr komplexen Entwicklungsprojekt zu tun, es muss auch unter realen Bedingungen ausprobiert werden, welche Schäden mit dieser Angriffssoftware an einer bestimmten Hardware wirklich angerichtet werden können. Hier sind also umfangreiche Testreihen erforderlich.

 

Solche Tests werden nicht nur in Dimona durchgeführt, sondern auch im US-Bundesstaat Idaho, und zwar in einem Laboratorium des US-Energieministeriums in den Schadsoftware für Industriesteuerungen getestet wird. Mit dem so genannten Aurora-Experiment ist im Jahre 2007 dort nachgewiesen worden, wie einfach es ist, einen Dieselgenerator zur Explosion zu bringen, indem mit einer Man-in-the-Middle-Attacke die Steuerdaten vom Maschinenleitstand abgefangen und stattdessen völlig überhöhte Werte an den Generator bzw. dessen Industriesteuerungen geschickt werden.

 

Auch Angriffe auf Steuerungszentralen von Chemiefabriken und digitalen Leitwarten von Kernkraftwerken sind bereits ausgiebig getestet worden. Die entsprechenden Versuchsberichte verursachen mir schon ein gewisses Unbehagen, wenn ich daran denke, wie unzureichend kritische Infrastrukturen hierzulande geschützt sind.

 

Die Suche nach den Angreifern führt in solchen Fällen häufig nicht sehr viel weiter. Zwar wird regierungsamtlich oftmals sehr schnell nach einem Angriff auf ein Behördennetz oder auf ein Unternehmensnetz verlautbart, die Angreifer säßen wahlweise in China oder in der Russischen Föderation, aber häufig handelt es sich bei diesen Angaben um bloße Spekulation. Die Methoden, mit denen Nachrichtendienste digitale Angriffe zurückverfolgen, sind meist auf der Ebene des Bauchgefühls anzusiedeln. Ein IT-Forensiker eines deutschen Nachrichtendienstes versicherte mir kürzlich glaubhaft, er könne riechen, wer hinter einem solchen Angriff stecke.

 

Das hilft uns alles in Sicherheitsfragen nicht wirklich weiter, sorgt aber für einen kontinuierlichen Stellenausbau bei deutschen Nachrichtendiensten, allerdings häufig nicht in den für die operative Abwehr zuständigen Abteilungen, sondern in der darüber angesiedelten Verwaltungsetage. Hingegen wissen wir inzwischen ziemlich genau, mit welcher Schadsoftware hier gearbeitet wird. Eine regelrechte Blüte erlebt gegenwärtig die Remote Forensic Software, also die heimliche Online-Durchsuchung, deren Einsatz ja zumindest die Sicherheitsbehörden in Bayern und Hessen offensiv vertreten. In Baden-Württemberg hält man sich auf Grund des Regierungswechsels bedeckt. Und auf der Bundesebene gibt es bei den Nachrichtendienstlern regelrechte Fans dieser Spionagesoftware.

 

Der Entwickler von Remote Forensic Software muss sehr viele Details des Zielrechners kennen, um einen solchen Lauschangriff wirkungsvoll programmieren zu können. Er muss zum Beispiel über die genauen Betriebssystemversionen auf dem Zielsystem, die verwendeten Protokolle, die verwendeten Ports für die Datenübertragung, installierte Schutzsoftware oder auch einzelne Sicherheitskomponenten der dort betriebenen Anwendungssoftware informiert sein.

 

Auch die Organisationen der Stapelverarbeitung auf dem Zielrechner und die verwendeten Sprungadressen muss der Entwickler von Remote Forensic Software kennen. Nur dann kann er sehr gezielt Software entwickeln, mit der ein bestimmtes Zielsystem angegriffen und umfassend ausgespäht werden kann. Die Festplatteninhalte des ausgespähten Systems werden in aller Regel auf einen eigenen Auswertungsserver beim Nachrichtendienst übertragen und dort genauer analysiert.

 

Weiterhin werden Spionageangriffe auf Unternehmensnetzwerke oder Regierungsserver sehr gern mittels der SQL-Injection durchgeführt. Dabei werden die Übergaberoutinen, mit denen in ein Browserfeld eingetragene Daten an die Datenbankschnittstelle übergeben werden, mit Schadsoftware infiziert, so dass der dahinter liegende Datenbankserver vom Angreifer für seine Zwecke geöffnet werden kann. Hier sind vor allen Dingen Kreditkartenunternehmen und Banken im Fokus der Attackierer.

 

Auch die so genannten Man-in-the-Middle-Attacken nehmen zu. Dabei handelt es sich um eine Online-Überwachungsmethode, die von fast allen Nachrichtendiensten sehr erfolgreich seit mindestens acht Jahren eingesetzt wird. Die organisierte Kriminalität hat diese Methode übernommen, perfektioniert und setzt sie vor allen Dingen beim Phishing von Kontendaten und Kreditkarteninformationen ein.

 

Dabei wird zwischen den Bankrechner und den PC des Kunden einfach ein dritter Computer „geklemmt“. Das ist eben der „Mann in der Mitte“. Dieser Rechner wird in Fachkreisen Phishing-Node genannt. Wenn ein Bankkunde via Internet auf sein Konto zugreift, dann werden seine gesamten Daten verschlüsselt von seinem PC aus über verschiedene Internet-Knotenrechner an den Bankrechner geschickt.

 

Die Bankräuber hängen ganz einfach Ihren eigenen „Knotenrechner“ in dieses Netz hinein. Und dieser Phishing-Node wertet die Kopfdaten der Internet-Datenpakete aus. Wenn dabei die Adresse eines Bankenrechners erkannt wird, wird dieses Datenpäckchen zurückverfolgt. So kann der Rechner identifiziert werden, von dem das Datenpäckchen kommt. An diesen Rechner schickt der Phishing-Node einen Trojaner, der die Tastatureingaben abfängt, bevor sie verschlüsselt werden, und eine Überwachungssoftware, die genau kontrolliert und protokolliert, mit welchen Internet-Rechnern der überwachte Computer Daten austauscht.

 

Diese Software ist handelsüblich und wird beispielsweise von verschiedenen Sicherheitsbehörden auch im Rahmen einer erweiterten Vorratsdatenspeicherung eingesetzt. Online-Kriminelle mit einer solchen Man-in-the-Middle-Attacke wollen vor allen Dingen persönliche Identifikationsnummern und Transaktionsnummern für das Online-Banking abfangen, um anschließend die Konten argloser PC-Benutzer zu räubern.

 

Im Rahmen der Diskussion über die Vorratsdatenspeicherung haben die Nachrichtendienste sehr schnell herausgefunden, dass mit dieser Methode binnen weniger Stunden ein sehr genaues Nutzerprofil eines PC-Anwenders erstellt werden kann. Man-in-the-Middle-Attcken liefern also das Rohmaterial für das nachrichtendienstliche Profiling. Das Verhalten eines PC-Nutzers wird dann mittels Business Intelligence Software prognostiziert.

 

In der jüngsten Vergangenheit wurden die so gewonnenen Daten von gewöhnlichen Kriminellen auch schon für Erpressungen und die Vorbereitung anderer Straftaten genutzt. Deshalb sind Man-in-the-Middle-Attacken auch innerhalb des Tatkomplexes der Wirtschaftsspionage eine wichtige Angriffsmethode geworden.

 

Denial-of-Service-Attacken waren in der jüngsten Vergangenheit häufig politisch motiviert. So haben Ende vergangenen Jahres Wikileaks-Unterstützer die Webserver von Mastercard, Amazon & Co. mit einer klassischen verteilten Denial-of-Service-Attacke angegriffen, dabei also Abermilliarden Datenpäckchen koordiniert von vielen 10.000 PCs aus auf das Angriffsziel, zum Beispiel den Webserver von Mastercard, solange abgeschossen, bis dieser Server in die Knie ging.

 

Diese Angriffe wurden über mehrere Tage aufrechterhalten. Die Wikileaks-Sympathisanten nannten dies einen virtuellen Sitzstreik und wollten mit dieser Aktion dagegen protestieren, dass das Kreditkartenunternehmen Mastercard und der Internet-Bezahldienstleister Paypal Spendenkonten zur Unterstützung von Wikileaks vertragswidrig gesperrt hatten.

 

Webserver, auf denen wiederum die Wikilekas-Dokumente des Projekts „Cablegates“, die bekannten Botschaftsdepeschen also, lagen, wurden zeitgleich von einer Hackergruppe namens „Jester“ aus den USA ebenfalls mit verteilten Denial-of-Service-Attacken angegriffen. Allerdings ging es der Jester-Gruppe nicht einfach darum, einen Webserver mit vielen Milliarden Datenpäckchen zum Absturz zu bringen.

 

Sie haben vielmehr zudem eine Angriffssoftware auf die attackierten Domain-Name-Server gespielt, die in erster Linie einen Speicherüberlauf ausnutzte, um mit einer weiteren Schadsoftware das Domain-Name-System so zu manipulieren, dass der Wikileaks-Eintrag aus der Datenbank für das Domain-Name-System gelöscht wurde. Die davon betroffenen Wikileaks-Server waren deshalb im Internet nicht mehr auffindbar. Ohne Eintrag einer Webadresse  im Domain Name System kann kein Internet-Knotenrechner Datenpäckchen an den Server mit dieser Webadresse weiterleiten.

 

Solche Denial-of-Service-Attacken eignen sich auch hervorragend, um kritische Infrastrukturen eines Staates, einer Region oder einer Stadt anzugreifen und je nach Bedarf ganz oder teilweise auszuschalten. In den Cyberwar-Szenarien der digital aufgerüsteten Armeen dieser Welt sind entsprechende Einsatzpläne bereits getestet. Näher untersucht wurde dabei die Gefährdungslage für das Stromnetz. Die reinen Softwarekosten für einen Angriff aus Lastverteilungsrechner der Stromversorger liegen bei ungefähr einer Million Euro Erstinvestition. Folgeangriffe mit modifizierter Software sind dann bereits ab 10.000 Euro zu haben.

 

Simulationen aus dem Bereich der Technikfolgeabschätzung haben dabei ergeben, dass in Deutschland nach fünf Tagen Stromausfall bürgerkriegsähnliche Zustände herrschen würden, weil die Bevölkerung nichts mehr zu essen hätte, weil die Autos nicht mehr betankt werden könnten und die Toilettenspülungen nicht mehr funktionieren würden. Mit der derzeit gültigen und von den Nachrichtendiensten geförderten Sicherheitsdoktrin nehmen wir die Risiken einer solchen Entwicklung in Kauf, ohne eine angemessene Risikobewertung vorzunehmen.

 

Honeypot oder Honigtopf nennt man eine Falle, die Sicherheitsexperten gern für Internet-Betrüger aufstellen, indem sie das Verhalten eines Internet-Nutzers simulieren, der unglaublich unvorsichtig im Internet unterwegs ist. Dieser Nutzer macht technisch gesehen alles falsch, was man falsch machen kann, und ist somit ein attraktives Opfer für Internet-Kriminelle. Allerdings verbirgt sich hinter diesem naiven Netznutzer kein wirklicher Mensch, sondern eine Simulationssoftware auf einem Server sowie weitere forensische Software, so dass Online-Betrüger, die den Honigtopf-Rechner des unvorsichtigen Internet-Nutzers ausspionieren wollen oder dort Schatzsoftware aufspielen wollen, dingfest gemacht werden können.

 

Über solche Honigtopf-Fallen lassen sich Online-Attacken gerichtsfest zurückverfolgen. Einige Täter konnten dadurch in der jüngeren Vergangenheit dingfest gemacht werden. Sicherheitsunternehmen haben solche Honigtöpfe auch eingesetzt, um Täter im Bereich Wirtschaftsspionage zu ermitteln.

 

Nachrichtendienste haben sich auch an den Honigtöpfen versucht und dabei viel gelernt. So haben Internet-Kriminelle zum Beispiel einen Kontrollserver für Botnetze simuliert, also einen Server, der gekaperte Rechner steuert, von denen aus Spam-Mail verschickt oder etwa Denail-of-Servcie-Attacken gefahren werden. Dieser Kontrollserver koordiniert dabei die einzelnen an der Tat beteiligten Personal Computer. Die Internet-Kriminellen haben den Zugang zu diesem Kontrollserver extrem leicht gemacht. Benutzerkonto samt Passwort für den Administrator des Kontrollservers waren leicht zu erraten.

 

Die Datenpäckchen, die von diesem Kontrollserver bei einem Angriff koordiniert wurden, waren nicht vollständig verschlüsselt und konnten sehr leicht ausgewertet werden. Tatsächlich sind dann einige Mitarbeiter von Nachrichtendiensten auf diesen angeblichen Botserver hereingefallen und haben die simulierten Kontrollserver ohne weitergehende Vorsichtsmaßnahmen besucht, also eine besondere Art des ungeschützten Datenverkehrs mit infizierten Servern betrieben. Dadurch war es möglich, die Netze von Sicherheitsbehörden zu infiltrieren. Bei der Untersuchung des angeblichen Kontrollservers sind nämlich Datenpäckchen an die Rechner der Sicherheitsbehörden als Antworten auf Anfragen zurückgeschickt worden, die mit Angriffsprogrammen gespickt waren.

 

Damit Schadsoftware wirkungsvoll eingeschleust werden kann, nutzen die Angreifer häufig sogenannte Data Links. Das sind fest definierte Wartungsschnittstellen, über die Softwarespezialisten eine Verbindung von ihrem Servicerechner zu beliebigen Zielrechnern herstellen, die an diesem Netzwerk hängen. Diese Data Links sind eingerichtet worden, um die Wartungsarbeiten zu standardisieren und auf diese Weise Kosten zu senken.

 

Derartige Wartungsschnittstellen, d.h. ihre genaue Position und sämtliche Verbindungsparameter inklusive Benutzerkonten und Passwörter für den Wartungstechniker, werden auf Internet-Auktionen im Bereich sechsstelliger Dollarbeträge gehandelt. Eine weniger dramatische Wartungsschnittstelle sorgte im März des Jahres 2009 für Aufsehen, nachdem Schadsoftware auf den Festplatten von Geldautomaten gefunden worden waren.

 

Dabei stellte sich heraus, dass bei einigen Geldautomaten direkt über eine öffentlich zugängliche USB-Schnittstelle auf das Wartungssystem der Geldautomaten zugegriffen werden konnte. Derartige Wartungsschnittstellen finden sich auch in Flugzeugen, Industriesteuerungen und in Produktionsnetzwerken in Fabriken unterschiedlicher Größe. Des weiteren haben wir es zu tun mit teilweise hochkarätig spezifisch angepasster Schadsoftware, mit der Daten nicht nur ausgespäht, sondern auch manipuliert werden.

 

Auf einschlägigen Internet-Plattformen können regelrechte Schadsoftware-Aufträge hinterlegt werden. Dazu gehören die Anforderungsanalyse, das gesamte Pflichtenheft und die intendierten Zielrechner sowie eine genaue Definition des Angriffsziels. Des weiteren hat sich etabliert, dass auch ein bestimmter Kosten- und Budgetrahmen mit angegeben wird, so dass die Auftragnehmer eines solchen Programmierauftrages ihr Angebot leichter kalkulieren können.

 

Man sieht: auch die Vertreter der organisierten Kriminalität haben gelernt, das Budget-Verantwortung heutzutage sehr wichtig ist. In der Regel kann man nach Abgabe eines solchen Entwicklungsauftrages mit bis zu einem halben Dutzend Angebote rechnen. Die konkrete Beauftragung erfolgt dann per Electronic Mail, geliefert wird üblicherweise in zwei bis drei Tranchen, inklusive Freischaltcode. Im Gegenzug muss der Auftraggeber sich darum kümmern, dass die vereinbarten Zahlungsziele eingehalten werden. Hier hat sich inzwischen ein äußerst lukratives Marktsegment etabliert.

 

Zurück zu Teil 1   weiter zu Teil 3

Kommentar schreiben

Kommentare: 0

Was kann ein Comiccast?