Nach WikiLeaks und Vault 7: Hersteller sollten endlich offensiver Lücken kommunizieren müssen
Da hat WikiLeaks mal wieder einen vom Stapel gelassen. Nicht das erste Mal. Die US-amerikanische CIA (Central Intelligence Agency) hat quasi innerhalb der eigenen Reihen eine eigene NSA (National Security Agency) gegründet. Es sind Dokumente, die Einblicke geben in die Tools und Arbeit der Überwacher. Selbst hier in Deutschland, genauer gesagt in Frankfurt, soll man stationiert gewesen sein. Von hier aus startete man Angriffe, versuchte Einblicke in Kommunikation von Menschen zu erlangen.
Dies auch auf digitalem Wege, denn während man früher noch unbequem die Zielperson überwachen musste, so geht dies heute vielleicht einfacher: Technische Geräten sei Dank. So könnte theoretisch das Smartphone zur Wanze werden, natürlich der Rechner und das Notebook, ja selbst das TV-Gerät hört und schaut vielleicht zu. Amazon Alexa, Google Home, Router und an das Internet angebundene Kameras? Das sprichwörtliche Internet of shit hat seinen Namen nicht von ungefähr.
Doch heute wie früher gibt es natürlich Schwierigkeiten. Musste man damals enormen Aufwand für Überwachung betreiben, so weiss man heute vielleicht gar nicht mehr, wie man die enormen Datenberge sinnvoll auswerten kann. Eine verrückte Welt. Und natürlich auch eine verrückte WikiLeaks-Geschichte, die die Leaks der Snowden-Ära vielleicht noch in den Schatten stellen könnte. Vieles könnte nicht sicher sein.
Und hier muss man unterscheiden: Es wird Medien geben, die jegliches Kommunikationstool unsicher nennen werden. WikiLeaks: WhatsApp ist unsicher!, WikiLeaks: Telegram ist unsicher!, WikiLeaks: Signal ist unsicher! oder aber auch WikiLeaks: Threema ist unsicher! Wartet ab, die Schlagzeilen werden kommen. Letzten Endes sind es aber nicht die Werkzeuge, die wir nutzen, sondern die Systeme darunter. Habe ich ein System in der Hand, dann ist es völlig egal, was App-technisch darauf läuft.
Auf Anfragen diverser Medien hat Apple sich schon geäußert und ich bin mir sicher, dass andere Hersteller folgen werden, folgen werden müssen. Die CIA hat oder hatte funktionierende Exploits, die auf die Systeme Android und iOS abzielten. Zero Day ist da oftmals das Stichwort.
Zero-Day-Exploit nennt man einen Exploit, der eingesetzt wird, bevor es einen Patch als Gegenmaßnahme gibt. Entwickler haben dadurch keine Zeit („null Tage“ englisch zero day), die Software so zu verbessern, dass der Exploit unwirksam wird, um so deren Nutzer zu schützen, weiß Wikipedia zu beschreiben.
Apple zu den Informationen: “Apple is deeply committed to safeguarding our customers’ privacy and security. The technology built into today’s iPhone represents the best data security available to consumers, and we’re constantly working to keep it that way. Our products and software are designed to quickly get security updates into the hands of our customers, with nearly 80 percent of users running the latest version of our operating system. While our initial analysis indicates that many of the issues leaked today were already patched in the latest iOS, we will continue work to rapidly address any identified vulnerabilities. We always urge customers to download the latest iOS to make sure they have the most recent security updates.”
Das sagt aus, dass man sich wohl schon in die Dokumente eingelesen hat. Man kennt einige der Lücken, muss aber auch offensichtlich noch mehr ins Detail gehen, weil wahrscheinlich doch nicht alles bekannt ist. Und da muss man kein Raketenforscher zu sein, um zu wissen: Ähnliche Statements werden auch Microsoft, Google und andere in petto haben: „Einige der Lücken sind gepatcht, wir müssen erst einmal schauen.“
Auch die Android-Seiten sind prall gefüllt. Hier ist die Lage wahrscheinlich noch etwas verzwickter, denn da draußen laufen sicherlich mehr Versionen herum als es bei iOS der Fall ist. Hier muss man sich die Frage stellen, ob die Nutzer jemals ihr Gerät gepatcht bekommen. Schaut man sich die Sicherheitspatch-Ebenen an, dann muss man festhalten, dass es die meisten Hersteller unter Umständen einen Scheiß interessiert, ob ihre Kunden mit einem potentiell unsicheren Gerät herumlaufen.
„Ich habe mein Geraffel verkauft, soll Google sich doch um alles kümmern„, so denken es sich wohl einige Hersteller. Hangeln von einer Generation bis zu nächsten und dabei hoffen, dass die Mitbewerber nicht noch weiter an einem vorbeiziehen. Ich hoffe inständig, dass Google auch durch die Aktualisierung der Play-Dienste etwas regeln kann, falls da etwas im Argen liegt.
Ich kann mir auch nicht vorstellen, dass nur Samsung TV-Geräte betroffen sind. Die haben zwar eine recht hohe Beliebtheit und damit Verbreitung, doch auch andere Marktgröße wie LG setzen auf „Smart“ und damit wahrscheinlich auf angreifbare Systeme.
Zu Samsung heißt es: „The attack against Samsung smart TVs was developed in cooperation with the United Kingdom’s MI5/BTSS. After infestation, Weeping Angel places the target TV in a ‚Fake-Off‘ mode, so that the owner falsely believes the TV is off when it is on. In ‚Fake-Off‘ mode the TV operates as a bug, recording conversations in the room and sending them over the Internet to a covert CIA server.“
Hierbei muss man nicht nur staatliche Überwachung im Kopf haben, von der ja die „Ich habe nichts zu verbergen“-Fraktion eh nichts zu befürchten hat. Laut dieser Fraktion sind wahrscheinlich nur spezielle Ziele im Fokus der Regierungen und Überwacher. Und selbst wenn dies so ist: Gelangen Tools ins Internet, dann wird sich genug kriminelle Energie eingeben, die diese Werkzeuge zur Schaffung von Geld einsetzt. Spionage bei Unternehmen, Mitbewerbern – oder einfach mal die große Erpressungswelle durch „digitale Datenschutzhaft“.
Letzten Endes ist es so, dass alles mit Mikrofon oder Kamera oder Internetverbindung ein Ziel sein kann. Digitale Assistenten, Spielkonsolen, TV-Geräte, Smartphones, Tablets, smarte Lautsprecher, Kameras zur Hausüberwachung, TV-Geräte – ja selbst eure Streaming-Box mit Fernbedienung.
Knapp 9.000 Dokumente stehen derzeit bei Wikileaks bereit. Ich denke, dass wir noch einige unschöne Sachen hören werden. Clevere Tipps und gut gemeinte Ratschläge wird man an allen Ecken und Enden lesen können. Panik wird wohl nicht viel bringen – denn sie bewirkt nicht wirklich etwas.
Wer meint, dass er jetzt den Smart TV vom Internet trennt oder die Webcam am PC abklebt, der sollte vielleicht in letzter Konsequenz auch sein Smartphone abschalten. Wir alle müssen das Thema im Auge behalten. Kritisch kommentieren und beobachten. Vielleicht auch konkret die Hersteller unserer Soft- und Hardwarelösungen fragen, was diese zu gedenken tun, sollte man bei ihnen offene Lücken finden. Und vielleicht auch in letzter Instanz bei einem Neukauf daran denken, was der Hersteller in Sachen Support vorher getan hat.
Vielleicht sollten wir aber in Deutschland – so wie es die Überschrift suggeriert – einen etwas größeren digitalen Pranger einführen. Das Bundesamt für Sicherheit in der Informationstechnik hat da eine nette Informationsseite, wo bekannt gewordene Sicherheitslücken aufgeführt werden.
Vielleicht sollten Hersteller oder Betreiber von Plattformen gezwungen werden, ihre Patch-Faulheit offensiver an den Kunden kommunizieren zu müssen. „Sie verwenden Gerät XYZ mit einer Sicherheitslücke der Risikogruppe 5. (Wir garantieren, diese in X Tagen zu patchen / gar nicht zu patchen) Bestätigen Sie hier, dass Sie diese Information gelesen und verstanden haben.“
Man hat das Gefühl, nichts anderes würde helfen.
Full Ack!
Dennoch befürchte ich, dass der Aufschrei wegen der aktuell durchs Dorf getriebenen Sau laut, aber folgenlos bleiben wird.
Wenn wir in den letzten Jahren eines gelernt haben, dann dass die Bequemlichkeit der Nutzer immer siegt.
Dennoch muss hier vor allem Google radikal umdenken und eine Android-Updatepolitik einführen, die für alle Hersteller verbindlich und zeitnah umzusetzen ist.
Ich bin da bei dir. Die Hersteller lassen lieber alte Versionen und Geräte versanden als sie gewissenhaft mit Updates zu versorgen. Wobei einige Hersteller auch so dreist sind, selbst aktuelle Geräte nicht anständig zu supporten. Die Sicherheitslücken rund um die WD NAS sind da nur ein Fingerzeig und ich glaube nicht, dass Seagate, Thecus, Buffalo und wie sie alle heißen da viel besser sind (außer Qnap und Synology).
Wenn es dann Lücken gibt, wird beschwichtigt und Verantwortung abgeschoben. „Können wir nichts für, das liegt an Google, an Windows, an sonst wem.“ Hilft dem Verbraucher nur nicht weiter.
Wir sind dabei allerdings nicht so machtlos wie wir denken. Früher war ich gerne als Schnäppchenjäger unterwegs, heute meide ich allzu günstige Angebote. Ich kaufe keine 20€ IP-Cam aus China, kein 99€ NAS mit Festplatte und keinen Androiden, der schon nach einem halben Jahr keine Updates mehr kriegt.
Ich installiere nicht mehr jeden Mist, brauche keine fünf Clouds in der Taskleiste, zahle für häufig benutzte Dienste, überprüfe regelmäßig meine Hard- und Software auf Updates und trenne mich konsequent von Diensten und Geräten, die ich nicht mehr nutze.
Für Google Accounts empfiehlt sich ein regelmäßiges Überprüfen von Berechtigungen
https://myaccount.google.com/permissions?pli=1 , dazu die allseits beliebten 2-Faktor Accounts einrichten, einen Passwortmanager nutzen und dann hat man als Normaluser schon eine Menge getan.
Gegen einen Geheimdienstangriff auf meinen Fernseher kann ich mich nicht schützen. Jedoch wäre ein staatlicher Zwang auf Support schon ein Mittel, was geeignet wäre, dem Verbraucher endlich mal unter die Arme zu greifen. Daraus würden auf Dauer jedoch auch höhere Preise für Support resultieren. Darüber müssen wir uns klar werden.
@caschy der Artikel ist gut geschrieben und spricht mit aus der Seele.
Allerdings würde ich mir speziell im Bereich der Geräte, die mit dem Internet dauerhaft verbunden sind (Smartphone, Smart Home, Fernseher…) wünschen, dass insbesondere auf Updategarantien bzw die Updatepolitik der Firmen hingewiesen wird und es ggf auch zu klaren Abwertungen kommt. (Bis hin zur Empfehlung nicht zu kaufen)
Beispiel: (Android Geräte, die keine monatlichen Sicherheitspatches bekommen, oder wie sieht es mit Firmware Updates bei aktuellen Fernseher aus? ; Mein Sony hat das letzte Update vor 4 Jahren bekommen, ist allerdings auch nicht mit dem Internet verbunden)
Das Lustige ist ja das man hier einen Riesen Aufschrei provozieren will und gleichzeitig sich die Leute Alexa und andere Wanzen mit Abhörgrantie ins Haus stellen.
Der ganze IoT Kram der nicht OSS ist ist doch genauso prädestiniert dafür, heute gekauft – morgen schon vom Hersteller vergessen.
Und hier gehts ja nicht um Generation „ich hab nichts zu verstecken“ sondern um alle. Wieso sollte ich freiwillig meine komplette Private Kommunikation in die Cloud senden (und dort speichern lassen) um dadurch etwas bequemlichkeit zu generieren.
Allgemein ist doch dieser ganze Abhörwahn doch purer Terrorismus, man stelle sich nur mal vor die Schlagzeile wäre gewesen „Nord Korea Hackt komplette Kommunikation und hört aktiv massiv ab“ – dann wäre das natürlich undemokratisch und ein angriff, macht die USA das selbe halten wir mal lieber die Füße still.
Zur Einordnung finde ich diesen Link ganz interessant.
http://blog.erratasec.com/2017/03/some-comments-on-wikileaks-ciavault7.html
@Namerp: ja die pöse USA, werft sie zu Poden!
Leider sind auch oft Tech-Portale die über diese Leaks berichten nicht sehr hilfreich bei der Aufklärung was man tun kann (Meine nicht euch sondern vor allem amerikanische Seiten). Da heißt es dann man kann sich schützen in dem man sein Telefon nicht rootet und keine Custon-Roms aufspielt. Dabei kann ich mich gerade mit Root-Apps gegen mein System wehren und bestimmten Sachen Rechte entziehen. Und Custom-Roms sind meist aktueller als alles was es von der Hersteller-Seite noch für das Smartphone gibt. Kein Wunder das viele meiner Bekannten verunsichert sind wie sie sich schützen können und es lieber gleich lassen
Namerp hat schon recht. Es ist schon sehr inkonsequent, wenn man solche Artikel schreibt, aber ansonsten Dauerlauschgeräte fürs Wohnzimmer wie Amazon Alexa / Echo hochjubelt.
Man sollte an dieser Stelle auch mal das gute sehen. Das die US-Dienste jegliche Kommunikation abgreifen können, wußten wir ja schon vorher.
In erster Linie können die aber auch nichts für sich behalten! So ist ja auch der gesamte Emailverkehr des US-Außenministeriums und der US-Demokraten von Wikileaks (und nicht von den Russen) veröffentlicht worden. Wenn der NSA unsere Whatssapp-Bildchen und die Bestellungen über Alexa abgreift, werden die wohl auch bei Wikileaks erscheinen. Und die 9/11 Verschwörung von GWBush wäre auch schon längst bei Wikileaks nachlesbar – wenn es sie gäbe.
Ich jedenfalls warte schon gespannt auf die Baupläne für Trumps Mauer. Da kann ich mir eventuell (hinreichende Ästhetik vorausgesetzt) den Architekten für meinen Garten sparen.. :).
Und ein Best.of dessen was die Leute so vor ihrem Samsung Fernseher machen wäre bestimmt auch unterhaltsam. Und nichts schärft den Sinn für Datenschutz so sehr wie unfreiwillig zur Hauptperson einer international verbreiteten Soap-Opera geworden zu sein oder werden zu können.
Bullshit Leute!
Jeder kann doch selber für sich entscheiden wieviel er durch solche Schleudern preisgibt. Hier gehts eher darum dass die, die drauf verzichten trotzdem ausgeschöpft werden 😮
Also stoppt das Bashing gegen Alexa & andere IoTs