Staatstrojaner schaden der Sicherheit

28. Juli 2015

Nach dem gros­sen Da­ten­klau bei «Hacking Team» An­fang Ju­li 2015 wur­de ge­mun­kelt, dass Ze­ro-Day-Lü­cken im Darknet ge­han­delt wür­den und dass ei­ne Schwach­stel­le in ei­ner Soft­ware lo­cker 1 Mil­li­on Dol­lar kos­ten wür­de. Ei­ne Ana­ly­se der Emails von «Hacking Team» hat aber er­ge­ben, dass Pro­gramm-Feh­ler, wel­che zur In­stal­la­ti­on von Tro­ja­nern aus­ge­nutzt wer­den kön­nen, an of­fi­zi­el­len in­ter­na­tio­na­len «Si­cher­heits»-Kon­fe­ren­zen ge­han­delt wer­den, und dass sys­tem­über­grei­fen­de Ex­ploits, z. B. für Ado­be Flash, schon für 35,000 US Dol­lar zu ha­ben sind.

«Hacking Team» be­fass­te sich ab dem Jah­re 2009 ernst­haft mit Schwach­stel­len. Als Ein­stieg be­gann «Hacking Team» mit Bro­kern zu ge­schäf­ten, wel­che als Mitt­ler zwi­schen An­bie­tern und In­ter­es­sen­ten von Ex­ploits fun­gie­ren. So wur­den Ex­ploit-Pa­ke­te von «D2­Sec» und «VU­PEN» ge­kauft, wel­che aber le­dig­lich al­te, be­reits ge­patch­te oder min­der­wer­ti­ge Ex­ploits ent­hiel­ten.

Den­noch konn­ten mit die­sen Schwach­stel­len via so­zia­le Netz­wer­ke Be­nut­zer mit un­ge­patch­ten Sys­te­men ge­hackt wer­den, z. B. mit ei­nem prä­pa­rier­ten Word-Do­ku­ment auf Mam­fa­kinch.com, um ma­rok­ka­ni­sche Ak­ti­vis­ten zu über­wa­chen, oder mit ei­nem An­dro­id-In­stal­la­ti­ons-Pa­ket, wel­ches die Sau­di-Ara­bi­sche Nach­rich­ten-App von «Qa­tif To­day» (القطيف اليوم) mit Mal­wa­re von «Hacking Team» bün­del­te und mit wel­cher die Shia-Ge­mein­de in Sau­di-Ara­bi­en aus­spio­niert wur­de. Auch wenn das «Re­mo­te Con­trol­led Sys­tem» über ei­ne schwa­che Si­cher­heits­lü­cke ein­ge­schleust wird, ist nach der er­folg­rei­chen In­stal­la­ti­on die ge­sam­te Funk­tio­na­li­tät un­ein­ge­schränkt ver­füg­bar.

Ein wei­te­rer Bro­ker ist «Ne­tra­g­ard». Ob­wohl «Ne­tra­g­ard» an­geb­lich aus­schliess­lich an US-Kun­den lie­fert, konn­te «Hacking Team» dort ein­kau­fen. «Ne­tra­g­ard» hat sei­nen Han­del mit Ex­ploits nach der Ver­öf­fent­li­chung der Emails von «Hacking Team» und der dar­aus re­sul­tie­ren­den ne­ga­ti­ven Pres­se am 20. Ju­li 2015 ein­ge­stellt.

Ak­ti­ve Su­che nach Si­cher­heits­lü­cken

Als Ci­ti­zen Lab ab dem Jahr 2012 sei­ne Re­por­te über das «Re­mo­te Con­trol­led Sys­tem» und die Be­spit­ze­lung von Me­di­en­schaf­fen­den und Ak­ti­vis­ten in Ma­rok­ko, den Ver­ei­nig­ten Ara­bi­schen Emi­ra­ten, Sau­di-Ara­bi­en und wei­te­ren Län­dern ver­öf­fent­lich­te und «Hacking Team» da­durch in die ne­ga­ti­ven Schlag­zei­len ge­riet, brach­te dies «Hacking Team» in di­rek­ten Kon­takt zu Ex­ploit-Ent­wick­lern.

«Hacking Team» nahm in der Fol­ge auch Ent­wick­ler un­ter Ver­trag, z. B. Eu­ge­ne Ching aus Sin­ga­pur oder Ro­sa­rio Va­lot­ta aus Rom. Eu­ge­ne Ching er­hielt für ei­nen Ein-Jah­res-Ver­trag 60,000 US$ so­wie 20,000 US$ Bo­nus für ei­nen Ex­ploit, wel­cher Win­dows 32-Bit und 64-Bit-Sys­te­me an­griff. Ro­sa­rio Va­lot­ta er­hielt 3,500 € pro Mo­nat, hat aber kei­nen Ex­ploit zur Pro­duk­ti­ons­rei­fe ge­bracht.

Die bes­te Zu­sam­men­ar­beit ent­stand je­doch mit dem 33-jäh­ri­gen Vi­ta­liy To­ro­pov aus Mos­kau. Bis Ok­to­ber 2013 mel­de­te Vi­ta­liy To­ro­pov vie­le Schwach­stel­len an Soft­ware­her­stel­ler, wel­che sie da­durch be­he­ben konn­ten. Ab die­sem Zeit­punkt be­gann er, sei­ne Ex­ploits zu ver­kau­fen, un­ter an­de­rem an «Hacking Team». Ex­ploits wa­ren bei Vi­ta­liy To­ro­pov ab 35,000 US Dol­lar zu ha­ben, in­klu­si­ve Gra­tiser­satz, falls die Schwach­stel­le in­ner­halb von 2 Mo­na­ten ent­deckt und ge­patcht wur­de.

Mit die­sen gu­ten, noch un­be­kann­ten Ex­ploits von Vi­ta­liy To­ro­pov und Kon­sor­ten konn­te «Hacking Team» je­den Be­nut­zer un­ab­hän­gig von der ver­wen­de­ten Hard- und Soft­ware spe­zi­fisch und er­folg­reich an­grei­fen.

«Staats­tro­ja­ner» för­dern Han­del mit Ex­ploits

Be­son­ders das Bei­spiel Vi­ta­liy To­ro­pov zeigt, dass mit der staat­li­chen Be­schaf­fung von Spio­na­ge­soft­ware die welt­wei­te In­ter­net­si­cher­heit ge­fähr­det wird, weil Ent­de­cker von Schwach­stel­len mit ho­hen Prä­mi­en da­zu ani­miert wer­den, ih­re Ex­ploits zu ver­kau­fen statt oh­ne Ent­schä­di­gung an die Her­stel­ler zu mel­den. Die Steu­er­zah­ler von Zü­rich ha­ben mit den 500,000 Fran­ken, wel­che an «Hacking Team» be­zahlt wur­den, kei­nen Bei­trag an die Si­cher­heit ge­leis­tet, im Ge­gen­teil, sie er­mög­lich­ten das Ha­cken von vie­len Be­nut­zern. Mit ei­nem Nein zum BÜPF und zum NDG kann das Si­cher­heits­pro­blem «Staats­tro­ja­ner» zu­min­dest in der Schweiz ver­hin­dert wer­den.

Die­se Zu­sam­men­stel­lung wur­de ba­sie­rend auf der Ana­ly­se «Hacking Team: a ze­ro-day mar­ket ca­se stu­dy» von Vlad Tsyr­k­le­vich ver­fasst.