Murderboard Kapitel 04: Trojanischer Amtsschimmel oder auch: Staatliches Hacken
Taubenfüttern im Park – Spionage
Wissen ist Macht. Nichts wissen macht neidisch wenn man das Modell moderner Informationsgesellschaften ansieht. Die natürliche Anwendung von Netzwerken die Informationen transportieren ist Spionage. Das Internet hat daher schon früh Bekanntschaft damit gemacht. Der Aspekt Nachrichten in einen Bereich hinein und hinaus zu schleusen ist offensichtlich. Damit verbunden ist auch das Durchbrechen von Sicherheitsmaßnahmen um Zugang zu geschützten Informationen zu kommen.
Wobei weite Teile unserer eigenen Informationen viel weniger geschützt sind als es uns lieb oder auch nur bewusst wäre. Die vorher genannten E-Mails werden grundsätzlich im Klartext und für alle einsehbar verschickt. Eine unbekannte Anzahl Dritter liest sie auf dem Weg von Absender:in zu Empfänger:innen mit und wertet diese Informationen aus. Und alle Informationen die wir in Accounts auf US-amerikanischen Plattformen haben (Fotos, mehr oder weniger öffentliche Postings, Direktnachrichten etc.) sind für Behörden in den USA und allen die mit den USA kooperieren einsehbar. Es wäre nicht das erste Mal dass Menschen wegen eines Social Media Postings oder eine Direktnachricht auf einer Plattform nicht in ein Land einreisen dürfen.
Befehlskette
Martin B. aus A. verdient sein Geld als Auftragnehmer. Er hat eine kleine Firma unter der er gute alte EDV-Dienstleistungen anbietet: Drucker einrichten die Netzwerke kleiner Unternehmen warten ab und an mal eine Webseite für Einzelunterehmer:innen bauen. Das macht den Kohl nicht fett aber es bietet einen validen Überbau für sein eigentliches Geschäft. Martin B. kümmert sich um ein paar Command- & Control-Server die von mehreren großen Kampagnen im Netz verwendet werden um Schadsoftware zu kontrollieren und zu steuern. Er weiß nicht wie seine Auftraggeber heißen. Die letzten drei hatten lange Zeichenketten als Nickname angegeben. Sein Geld bekommt er von wechselnden Nummernkonten in unterschiedlichen Cryptowährungen. Meist existieren diese Konten nur wenige Tage. Er hat es aufgegeben ihnen nachzugehen. Er will es auch gar nicht wissen. Martin B. verwendet in unregelmäßigen Abständen selbst immer wieder andere Nicknames und andere Nummernkonten. Eins für jeden Zahlungseingang. Nur sehr selten verwendet er Nickname und Nummernkonto zweimal. Momentan ist er als »ldra002« unterwegs. Und sein Auftrag ist einen neuen Command- & Control-Server für eine Schadsoftware namens Ryuk hochzufahren. Die ihm genannten Spezifikationen sind beeindruckend groß und gibt gutes Geld. Vermutlich haben seine Auftraggeber damit etwas Größeres vor. Martin B. fragt nicht nach. Nachfragen ist schlecht fürs Geschäft. Stattdessen zieht er zufällig eine der unlängst frisch eingekauften Kreditkarten aus dem digitalen Dateikasten und mietet einen virtuellen Server für 21 Tage bei einem großen Anbieter. Er schmunzelt als er den Namen liest: Leon Dragic. Wie lustig und sehr passend zu seinem aktuellen Pseudonym. Schon übermorgen wird er ein anderes verwenden – weit bevor dieser Leon die Rechnung bekommt.
Explosive Apps – Sabotage
Bei ausreichender Digitalisierung kann man sowohl die Produktion von Waren als auch die Zerstörung von Produktionsstätten den Maschinen überlassen. Wo man früher noch mühsam Sprengstoff schmuggeln und durch Agenten anbringen lassen musste so kann man das heute durch Software erledigen lassen. Industrieanlagen wie Stromversorgung Energietransport in Form von Pipelines chemische oder nukleare Verarbeitungsprozesse Fertigungen oder verwandte Konstrukte reagieren durchaus anfällig auf Ausfälle. Man kann auch in Mess- und Steuerungsabläufe eingreifen um Maschinen gewollte Entscheidungen auf Basis falscher Werte abzuringen. Diese Art der digitalen Sabotage äußert sich selten durch spektakuläre Explosionen. Es reicht völlig wenn eine Produktion zum Erliegen kommt oder Serienfehler aufweist. Die beste Sabotage wird lange nicht bemerkt.
Für die Ausführung solch perfider Angriffe kann man eigene Leute beauftragen oder für viel Steuergelder schweigsame Dienstleister:innen engagieren.
Ein Themenbereich der an dieser Stelle vielleicht angeschnitten werden sollte ist der sogenannte »Staatstrojaner«: ein Stück Software das viele Probleme mit sich bringt. Angefangen damit dass wir mittlerweile in einer Gesellschaft leben in der die Regierenden allen Bürger:innen ein grundsätzliches Misstrauen entgegenbringen und wir alle unter Generalverdacht stehen den nächsten Terroranschlag zu planen. Daher gibt es eine Spionagesoftware die allen Bürger:innen untergeschoben werden können soll.
Schon allein der Weg dahin dass diese Software überhaupt existiert ist gepflastert mit allerlei Problemen. Beispielsweise dass man für eine Schadsoftware eine Möglichkeit finden muss dass diese überhaupt Zugriff auf passende Daten bekommt. Im Fall von ungesicherten oder nur minimal gesicherten Geräten wie IoT-Geräten ist dies einfach. Aber unsere Mobiltelefone auf die Regierungen abzielen weil sie unsere persönliche Kommunikationszentrale darstellen sind schon eine ganz andere Nummer und normalerweise recht gut abgesichert. Um dort »Root-Rechte« (Super-Admin, quasi »Gott«) zu erhalten muss man schon eine richtig dicke (und damit teure) Sicherheitslücke finden. Und die gibt es sogar. Nicht umsonst bringen die Hersteller unserer Geräte alle Nase lang Sicherheitsupdates heraus um immer wieder frisch gefundene Lücken zu schließen und die Betriebssysteme und Apps sicher zu halten. So gut es eben geht. Es gibt allerdings auch hier einen großen Schwarzmarkt auf dem gefundene Sicherheitslücken meistbietend verkauft werden. Wenn Ihr bis hierher mitgelesen habt wird Euch das nicht weiter verwundern. Kriminelle finden immer wieder Wege um Geräte zu kompromittieren. Im Gegensatz zu Sicherheitsforschern die im Grunde dasselbe tun ihre Erkenntnisse allerdings den Herstellern melden und ihnen helfen die Lücken zu schließen und die Welt für alle Menschen ein bisschen sicherer zu machen schlagen die Kriminellen daraus Geld. Und: cui bono? Wer kauft diese Lücken ein? Andere Kriminelle und Regierungen die damit Staatstrojaner gegen ihre eigenen Bürger:innen bauen. Für viel Steuergeld wird ein hochproblematischer Schwarzmarkt nicht nur am Leben erhalten sondern regelrecht befeuert.
Auch in der Anwendung sind solche Spionageprogramme problematisch. Zum einen rechtlich da eine Schadsoftware zur Kommunikationsüberwachung sehr tiefe Rechte auf einem Mobiltelefon braucht. Wenn sie z.B. Kommunikationsdaten in sicheren Messengern mitlesen können soll muss sie die Inhalte vor dem Verschlüsseln auf dem Gerät der Absender:in mitlesen können. Ein sicherer Messenger sendet die Daten »Ende-zu-Ende-verschlüsselt« also ist der Inhalt der Nachricht ausschließlich an den beiden Enden bei Absender:in und Empfänger:in lesbar. Auf dem Weg dazwischen sieht man zwar dass eine Nachricht existiert der Inhalt ist allerdings von außen nicht lesbar sondern nur »Zeichensalat«. Eine Schadsoftware die nun Nachrichteninhalte vor dem Verschlüsseln mitlesen und nach außen weiterleiten können soll braucht Super-Admin-Rechte auf dem Mobiltelefon. Und damit kann sie alles lesen was auf dem Gerät passiert inklusive Telefonbuch Fotos Inhalte anderer Apps Telefongespräche mithören und was das Gerät eben alles kann. Das ist viel viel mehr als Behörden eigentlich dürften aber weniger geht technisch gar nicht damit die Schadsoftware ihren Dienst tut.
Und last not least das Problem wo Anwendung und Einkauf der Sicherheitslücken zusammenfallen: Die Beweisbarkeit. Wer sagt dass Kriminelle diese eine Sicherheitslücke (oder auch die vielen) nur an diese eine Regierung verkauft haben? Es kann jede:r auf einem Schwarzmarkt alles kaufen wenn das nötige Kleingeld da ist. Und drei- vier- oder auch fünfstellige Summen können sich auch Privatpersonen oder hoch professionell aufgestellte Kriminelle wie wir sie oben schon geschildert haben durchaus leisten. Wenn nun jede:r eine entsprechende Schadsoftware erstellen kann wird es schwer zu argumentieren dass bestimmte Beweise wirklich von einer bestimmten Person sind. Wir erinnern uns an die Admin-Rechte: Jede:r kann durch entsprechende Schadsoftware und damit verbundene Zugriffsrechte auf Mobilgeräte Fotos GPS-Verläufe und mehr fälschen und so sind Beweise plötzlich keine Beweise mehr. Sondern höchstens die Frage wer welche Geschichte erzählen will was mit diesem Gerät alles gemacht wurde wo es dabei war was es gesehen oder gehört haben soll.
Aber weil wir jetzt schon soviel Steuergeld für solche Software ausgegeben haben müssen wir sie auch einsetzen sonst wäre ja alles umsonst gewesen. Was man hat muss man auch nutzen. Erstaunlicherweise planen aber 80 Millionen Deutsche und auch 8 Millionen Österreicher:innen gar keine Terroranschläge. Sie sind auch nicht in Kinderschänderringen organisiert. Die meisten wissen nicht einmal wo sie im Netz nach Bauanleitungen für hochexplosive Dinge oder zu Recht verbotenen Fotografien suchen sollten und haben auch noch nie vom Tor-Browser für einen Zugang zum sogenannten Darknet gehört. Um genau zu sein sind die meisten auch froh mit dem ganzen Zeug nichts zu tun zu haben und leben einfach ihr normales Leben. Was also tun mit dieser atomaren Erstschlagswaffe? Ein paar Spatzen finden sich zumindest bei Erpressung Drogen- und Eigentumsdelikten. Und andere europäische Länder finden ihre eigene Bevölkerung auch nicht so knorke wenn diese sich für Unabhängigkeit vom Zentralstaat ausspricht.
Am Ende bleibt dabei über dass für einen staatlich geplanten Einsatzzweck gegen einige wenige Kriminelle die Mobilgeräte für alle Menschen unsicher gehalten werden. Weltweit. Für Steuergeld. Und damit Tür und Tor offenstehen durch die Kriminelle mit allen Geräten anstellen können was ihnen beliebt.
Die fünfte Dimension – Krieg und Propaganda
Zuerst führte man Krieg auf dem Land. Dann kam das Wasser dazu. Die Luft ist als Kriegsschauplatz noch jung. Noch jünger ist der Weltraum. In diesen Reigen gesellt sich seit wenigen Jahrzehnten das Internet. Die Welt des digitalen Krieges oder auch »Cyber Warfare« genannt nennen die Militärs die fünfte Dimension. Gekämpft wird mit Software die entweder Angriffe abwehrt oder auch durchführt. Man verbindet Elemente der Informationssicherheit (oder -unsicherheit) mit den Vorgaben militärischer Missionen. Spionage und Sabotage ist dabei inbegriffen.
Die Informationshoheit wird bei diesem Thema oft vergessen. Die Manipulation von Informationen ist ebenso ein Teil des Ganzen. Eine Beeinflussung von Nachrichten politischen Entscheidungen Wahlen oder Meinungen in der Öffentlichkeit kann gravierende Folgen haben. Die Sprache wird dabei zur Waffe und das Internet ist das Trägersystem. Fatal an dieser Art der Manipulation ist dass selbst eine temporäre Darstellung von Botschaften schon eine Wirkung haben kann.
Staatliches Hacken bei Ermittlungen
Wo ermittelt wird da fallen manchmal digitale Späne. Das trifft auch auf den digitalen Teil der Nachforschungen zu. Leider trifft dort die Forensik auf die Informationssicherheit. Grundaufgabe der Informationssicherheit ist das Verhindern von Angriffen dem Abgreifen von Daten und der Kompromittierung von Systemen. Organisiertes Verbrechen oder die Angriffe von Nationen halten sich aber nicht an Gesetze. Oft diskutiert wird daher in diesem Zusammenhang das sogenannte »hack back« oder »Zurückhacken« bei Angriffen. Dabei wird aktiv auf einen Angriff ein Gegenangriff auf die echten oder vermeintlichen Täter:innen ausgeführt. Die Kontroverse dabei ist ob man tatsächlich die Richtigen erwischt oder nur Passanten bzw. ahnungslose Stellvertreter:innen die zufällig an der Attacke beteiligt sind. Ein weiterer Punkt ist der Verlust der Vertrauenswürdigkeit von Online-Plattformen und digitaler Infrastruktur wenn Hintertüren zum Zugriff auf Daten und digitalen Aktivitäten eingeführt werden. Hauptargument für die Hintertüren ist der Schutz von Daten durch Verschlüsselung. Sicherheitsgurte mit Sollbruchstellen sind aber keine mehr. Besagte Hintertüren können von Ermittler:innen und Verbrecher:innen gleich benutzt werden. Verlierer:innen sind wir dabei alle.
Implikationen und Konsequenzen für die Informationssicherheit
Aufgabe der Informationssicherheit ist der Schutz digitaler Daten und Infrastrukturen. Die dazu notwendigen Hilfsmittel sind Barrieren die die digitalen Güter vor unbefugtem Zugriff schützen. Darunter fällt die sichere Verschlüsselung der Schutz des Transports und des Aufbewahrungsorts sowie beschränkter Zugriff auf Daten und Systeme. Die Qualität des Schutzes hängt von den zur Verfügung stehenden Mitteln ab. Zugriff auf IT Systeme oder Daten durch Dritte kann nur mit einer Hintertür oder den dafür vorgesehenen Zugangsberechtigungen. Möchte man sich vor Zugriff durch Dritte schützen so bleiben für Ermittler:innen und Angreifer:innen nur Schwachstellen oder Nachschlüssel. Damit ist dann die Umsetzung von Informationssicherheit nicht mehr möglich. Die Technologie wertet die Zugriffe nicht ethisch. Ein Zugriff durch Dritte bleib ein Ein- oder Angriff. Der Kontext entscheidet. IT Spezialist:innen können bei Anzeichen von Zugriffen kaum den Kontext feststellen bevor Daten kopiert werden. Rein technisch gibt es auch keinen guten oder bösen Zugriff. Der Zugriff auf Daten bleibt wertneutral. Jegliche Schwächung der Sicherheitsmaßnahmen schwächen die Fähigkeiten der Verteidiger:innen.
Das Klicken der Handschellen
Katharina Müller ist in Jubelstimmung. Sie und ihre Kolleg:innen haben gerade einen ganz großen Fisch an Land gezogen. Einer der Hintermänner einer groß angelegten Schadsoftware-Kampagne gegen das Innenministerium sitzt nebenan im Verhörzimmer. Zu ihrer eigenen Verblüffung ist er geständig. Besonders interessant ist mit wem er es sonst noch so zu tun hatte und wer mit in der Sache drinsteckt.
Katharina geht ihre Notizen noch einmal akribisch durch. Ein Name taucht auch hier immer wieder auf. Zur selben Zeit am selben Ort … Leon Dragic. Die GPS-Daten seines Telefons sprechen Bände. Vier von sieben Malen war er im selben Café einmal auf einer Demo vor der Tür. Sie ist sich mittlerweile sicher dass Leon einer dieser Typen ist die sich ihrer selbst zu sicher sind. Sie hat ihn auf Fotos von zwei Demonstrationen gefunden. Reißt darauf ganz schön das Maul auf.
Katharina schickt den Haftbefehl an die Kolleg:innen die Leon herbringen werden.
Wir hoffen wir konnten deutlich machen dass es einen ganz zentralen Aspekt bei Onlineverbrechen gibt: Vertrauen. Vertrauen ist ein seit Langem gelerntes Verhalten gegenüber anderen Menschen – seit den Mammuts. Mit all der Technologie die heute um uns und zwischen uns ist liegt das Vertrauen – leider – viel zu oft an der falschen Stelle.
Ende. (Vorerst.)
Links
DeepSec Blog
Dann haben die halt meine Daten. Na und?! – Einsteiger:innen-Buch in digitale Selbstverteidigung von Klaudia
Murderboard-Talk von René und Klaudia bei der #pw20
Weitere Teile der Serie
00 – Prequel
01 – Kapitel 01: Spuren
02 – Kapitel 02: Ermittlungen
03 – Kapitel 03: Serienhacker: Organisiertes Verbrechen oder auch »Grand Theft Data«
04 – Kapitel 04: Trojanischer Amtsschimmel oder auch: Staatliches Hacken
Ein Kommentar