CIA-Spionage: Google sieht viele Lücken gestopft, Notepad++ war Trigger
Interessante (im negativen Sinne) Geschichte diese Sache rund um Vault 7, die CIA und WikiLeaks. Wir haben hier ja im Blog schon darüber berichtet und ich habe das Gefühl (und ich kann falsch liegen) als seien viele Menschen genervt oder abgestumpft von der Thematik. Es wird sich nicht großartig darüber aufgeregt und obwohl die Tragweite gigantisch ist, sind Medien erstaunlich ruhig. „Was soll man denn machen?“ (Ich habe auch keine Antwort). Wie gesagt: Nur gefühlt.
In meinem Beitrag zum Thema vertrat ich die Meinung, dass die Hersteller gezwungen werden sollten, mögliche Schwachstellen zu kommunizieren, anstatt diese in irgendwelchen kleinen FAQ-Beiträgen zu verstecken:
Nach WikiLeaks und Vault 7: Hersteller sollten endlich offensiver Lücken kommunizieren müssen
Die von WikiLeaks veröffentlichten Praktiken sind nicht durch die Reihe neu. Teilweise sind die Angriffsmöglichkeiten auf alte Systeme beschränkt, sodass die mit neuerer Softwareversion mit Glück „safe“ sind. Bis die 9.000 Dokumente durchgeackert sind, wird Zeit vergehen. Und sicher ist kein Hersteller dabei, der klipp und klar jetzt sagen kann, ob sein System sicher ist.
Es geht ja auch nicht nur um Systeme wie macOS, iOS, Android und Windows, sondern auch Apps. Apple meinte, dass man „fast“ alle Sicherheitslücken, die durch den Leak bekannt wurden, gepatcht hat. Fast.
Und ähnlich gibt man sich auch bei Google. In einem Statement gegenüber Recode teilte man mit, dass man sicher sei, dass Sicherheits-Updates und Schutzmechanismen in Android und Chrome die Nutzer vor den vermeintlichen Schwachstellen schützen.
Bei Reddit las ich neulich einen Thread. Da ging es dann nicht um die Systeme, sondern um Apps. Beispielsweise den Apollo Player, einem Media Player aus dem beliebten Cyanogen Mod. Der soll angeblich als Trigger für Späh-Funktionen auf einem kompromittierten Smartphone agiert haben. (Update: War eine Software namens JoeApollo) Ähnliches gilt auch für einen meiner liebsten Texteditoren unter Windows. Notepad++. Version 7.33 soll die neue, sichere Version sein.
Die CIA missbrauchte wohl den beliebten Editor unter Windows als Trigger für eine von der CIA manipulierte DLL, die Daten sammelte. Die DLL in ihrer Originalversion wird von Notepad++ benötigt, die kompromittierte Version dieser sammelte allerdings Daten. Das ist alles so irre, so surreal. Mal schauen, was da noch so ans Licht kommt.
Wer die Thematik bisher so gar nicht verfolgte: Die Enthüllungsplattform WikiLeaks hat angebliche CIA-Papiere veröffentlicht. Sie enthalten Informationen über Ausspähmethoden und Sicherheitslücken in vielen Apps und Systemen. Sie zeigen auf, wie wir von den Regierungen belauscht werden können.
Das Problem ist halt, dass die Hersteller das ja oft selber nicht wissen, wenn Geheimdienste die 0-Days für sich behalten!
Ich denke nicht, dass die Medien so ruhig sind, weil die Menschen das Thema nicht interessiert. Vielmehr scheint es, dass sie das Thema niedrig halten, weil es dem Narrativ widerspricht, dass russische Hacker den amerikanischen und französischen Wahlkampf manipuliert haben, welches uns seit Monaten gebetsmühlenartig präsentiert wird. Mit Vault 7 liegen nun aber starke Hinweise vor, dass der CIA für diese Hacks verantwortlich sein könnte und diese Spuren gelegt hat.
Kurze Info: es heißt „safe“ und nicht „save“ 😉
„Sie zeigen auf, wie wir von den Regierungen belauscht werden können.“ Das ist falsch. Caschy, du machst hier den gleichen Fehler wie viele andere Medien. Diese ‚Fähigkeiten‘ sind nicht auf Regierungen beschränkt. Dazu braucht man nur (viel) Geld. Jede kriminelle Organisation und jedes große Unternehmen könnte ein solches Team aufbauen.
Und weder du noch ich noch fast jeder andere sind von solchen Angriffen sicher, auch wenn wir das glauben. Ein Beispiel? Stell dir vor, du arbeitest noch für Notebooksbilliger und ich will die, als Mitbewerber, richtig ausforschen. Dann würde du mir als Ziel für einen Hack schnell ins Auge fallen. In der Folge schicke ich dir über eine (Fake-?)Agentur Testgeräte, die den neugierigen Geek in die wecken. Garniert mit einem passenden Zero-Day, speziell für dich. Von dem Moment an kann ich dir über die Schulter schauen. Mindestens. Und irgendwann loggst du dich vermutlich bei NBB ins Backend ein. Natürlich mit eingeschränkten Rechnen, aber das ist egal. Ich bin erst mal drin und kann mich weiter umsehen. Und von da an geht es weiter. Am Ende kann ich mich entscheiden, bei dir alles wieder zu löschen um meine Spuren zu verwischen. Oder ich mache dich zum Sündenbock. Meine Wahl.
Bitte schreib also nicht, dass es hier NUR um Regierungen und Geheimdienste geht. Da schalten die Leser ab, und das ist, meiner Meinung nach, das Problem.
Wieso sind die Medien erstaunlich ruhig?
Sowohl unsere Lokalpresse als auch die FAZ hat schon in großen Artikeln dazu geschrieben und auch Kommentare verfasst.
@blufunk Richtig.
Und nicht vergessen, all das hier ist von Trump’s Vorgänger jahrelang abgesegnet worden. Ist dem deutschen Journalismus entgangen, sind bestimmt zu beschäftigt damit Trump’s Tweets zu lesen.
@Richard: Es geht hier nicht um das Thema Wirtschaftsspionage von Firma A zu B.
@ Caschy:
Fakt ist doch, das sogar die GPLv3 Clients und AGPLv3 Server gehackt wurden, bzw die Systeme! Threema! & Signal, Telegram oder sonstige Mechanismen greifen nicht! Man kann sich m.M. Auf dem Smartphone nicht dagegen wehren! Das einzige was wirklich helfen würde ist: Tails von dvd , Tor und VPN, vor dem TOR Browser Download. Man kann sich einfach nicht gegen das Ausspähen schützen.. Was soll man sich da großartig aufregen wenn gewisse Mechanismen noch gar nicht für den Endverbraucher zugänglich sind. Alles was empfohlen wurde, hilft ja nicht!
Ich finde die Diskussion inzwischen völlig geframt. Statt die Wistleblower zu kristisieren, werden ausschließlich die Geheimdienste angeprangert, weil es der übliche Reflex seit Jahren ist. Dabei gelangen nur durch die Whistleblower diese Tools ggf. in unseriöse Hände und gefährden unser aller Sicherheit. Mit den Tools bei den Geheimdiensten, wo sie entwickelt wurden, werden dagegen Hunderte und Tausende Leben gerettet und unsere Sicherheit geschützt. Wie abgefahren dieses Framing inzw. ist, wurde mir neulich bewusst als ich in Berlin, Lehrter Str., einen Freak sah, der aus seinem Fenster ein Laken mit der Aufschrift „kostenloses Zimmer für Edward Snowden“ gehängt hatte. Wahrscheinlich hatte er davor „Refugees Welcome“ drauf, dabei wohnt er nur wenige Meter von der Fussilet-Moschee entfernt.
@froyo52: Die FAZ berichtet, das stimmt. Aber das eigentliche Problem für die FAZ ist folgendes http://bit.ly/2mmaJpn:
„In atemberaubender Geschwindigkeit hat sich Wikileaks zum größten Digital-Saboteur der westlichen Welt entwickelt. Längst folgt die Organisation nicht mehr klassischem Hacker-Idealismus, sondern einer antiwestlichen Agenda. Gezielt greifen die Aktivisten in demokratische Prozesse ein, sie beeinflussen Wahlen und schwächen die Sicherheitsstruktur.“
Nicht der CIA und seine Praktiken, sondern Wikileaks sind das Problem für die FAZ! Siehe auch den Artikel von Sandro Gaycken http://bit.ly/2moBevX
@Thomas Schiwietz: Ich zitiere mal aus meinem eigenen, auch hier verlinkten Beitrag:
Und hier muss man unterscheiden: Es wird Medien geben, die jegliches Kommunikationstool unsicher nennen werden. WikiLeaks: WhatsApp ist unsicher!, WikiLeaks: Telegram ist unsicher!, WikiLeaks: Signal ist unsicher! oder aber auch WikiLeaks: Threema ist unsicher! Wartet ab, die Schlagzeilen werden kommen. Letzten Endes sind es aber nicht die Werkzeuge, die wir nutzen, sondern die Systeme darunter. Habe ich ein System in der Hand, dann ist es völlig egal, was App-technisch darauf läuft.
Merkel:
Diese Computerspionage, das Rumgehacke und was die da alles machen ist für uns Deutsche noch Neuland! Ich werde mich nun mit de Maizere kurzschliessen (der kennt sich mit EDV -wie das damals noch hiess- doch aus).
de Maiziere:
Zu der für uns völlig überraschenden CIA-Spionage sage ich lieber nichts – alles andere würde die Bevölkerung sonst nur verunsichern!
@ Caschey:
Ja korrekt,
Meinte aber damit, dass wenn überhaupt, Linux Tails schreibgeschützt in Kombi mit TOR helfen würde.
Das ist angeblich backdoor resistent. Ich gebe es erstmal auf… So viele Lücken wie es in unseren verbreiteten OS verhält.
Wasvmehr nervt sind eure Alexa Fanboy Attitüden. Wegen den dem Zeug verlangt demnächst der US Zoll Gesangsproben zur sicheren Identifikation. Ich meine die haben schon Spermaproben verlangt – was kein Scherz ist, sondern Ebola Regionen betroffen hat. Je weniger Daten die bekommen desto besser. Niemals die Handynummer ins Netz Fuckbook geht auch ohne. Auch Adressen niemals rausgeben wenn es nicht anders geht, dann macht kleine Schreibfehler im Namen und eine Exeltabelle davon damit ihr später erkennt, wer die Daten illegaler Weise weitergibt.
Verhält = gibt ???
Viele Leute regen sich über die böse CIA / NSA / etc auf, haben aber Siri, Smart-TV, Echo oder ähnliches laufen und leben ihr ganzes Leben offen auf FB, IG, etc.
Darüber kann man echt nur lachen…
Zunächst einmal geht es bei Datenschutz nicht darum, gar keine Daten von sich preis zu geben. Es geht vielmehr darum, dass man selbst entscheidet, was mit den eigenen Daten passiert. Es ist also durchaus ein Unterschied, ob ich mich selbst dafür entscheide, meine Daten an Dritte zu übermitteln oder ob Dritte das gegen meinen Willen oder gar ohne mein Wissen tun.
Zum Zweiten habe ich keine Ahnung, was die Verhinderung einer globalen Epidemie und die dafür notwendigen Maßnahmen mit dem Ausspionieren von Bürgern durch ihre eigenen Behörden zu tun hat. Da sich aktive Viren von Ebola-Überlebenden bereits nach ein paar Tagen nicht mehr im Blut nachweisen lassen, jedoch viele Monate in den Hoden überleben, kann man weitere Infektionen nur durch Spermaproben verhindern.
Und last but not least kann man sich natürlich Methoden ausdenken, wie man die Weitergabe der eigenen Daten nachvollziehen kann. Dann hat man jedoch eindeutig zu viel Freizeit, denn mehr als „aha!“ kann man in den meisten Fällen ohnehin nicht von sich geben. Oder schon mal versucht, z.B. Paypal zum Löschen der eigenen Daten zu zwingen?
Interessant ist hier auch ein Aspekt, den viele nicht gerne hören wollen werden: Ausgerechnet eine OpenSource Software wie das (sehr gute) Notepad++ war Einfallstor. Bemerkenswert, weil OpenSource deshalb als sicher erklärt wird, weil doch „jeder den SourceCode prüfen kann“ (was in der Praxis ohnehin keiner tut und der eine sich auf den anderen verlässt). Vergessen wird, dass auch die „Bösen“ den Code ganz bequem auf Angreifbarkeit prüfen und das auch machen. In der Praxis ist die Offenheit doch nur dann ein Vorteil, wenn „die Guten“ fitter sind, als „die Bösen“. Im Zweifel hat das Imperium aber mehr Geld für die besseren Experten.
Mit dem Zwang zur Offenlegung von Lücken wäre zwar ein erster Schritt getan, jedoch ist dann auch wieder die Frage, inwiefern den Unternehmen das dann nach diesen Briefen der US Regierung dann überhaupt breit treten dürfen. Ich meine… die Lücken in den Geräten werden schließlich dazu genutzt, dem Terror Einhalt zu gebieten. Oder etwa nicht?
Ich bezweifle, dass ein System, das Milliarden Menschen überwacht, nur um vermeintlich einige wenige Bösewichte zu finden, überhaupt zu dem Zweck der Terrorabwehr gedacht ist. In Deutschland haben die meisten Maßnahmen der letzten Jahrzehnte, die vermeintlich der Terrorbekämpfung dienen sollten, letztendlich andere Zwecke erfüllt. Zum Beispiel, um dem Bürger auf’s Konto zu schauen, um sicher zu stellen, dass auch jeder Euro versteuert wird.