Nach WikiLeaks und Vault 7: Hersteller sollten endlich offensiver Lücken kommunizieren müssen

8. März 2017 Kategorie: Backup & Security, geschrieben von: caschy

Da hat WikiLeaks mal wieder einen vom Stapel gelassen. Nicht das erste Mal. Die US-amerikanische CIA (Central Intelligence Agency) hat quasi innerhalb der eigenen Reihen eine eigene NSA (National Security Agency) gegründet. Es sind Dokumente, die Einblicke geben in die Tools und Arbeit der Überwacher. Selbst hier in Deutschland, genauer gesagt in Frankfurt, soll man stationiert gewesen sein. Von hier aus startete man Angriffe, versuchte Einblicke in Kommunikation von Menschen zu erlangen.

Dies auch auf digitalem Wege, denn während man früher noch unbequem die Zielperson überwachen musste, so geht dies heute vielleicht einfacher: Technische Geräten sei Dank. So könnte theoretisch das Smartphone zur Wanze werden, natürlich der Rechner und das Notebook, ja selbst das TV-Gerät hört und schaut vielleicht zu. Amazon Alexa, Google Home, Router und an das Internet angebundene Kameras? Das sprichwörtliche Internet of shit hat seinen Namen nicht von ungefähr.

Doch heute wie früher gibt es natürlich Schwierigkeiten. Musste man damals enormen Aufwand für Überwachung betreiben, so weiss man heute vielleicht gar nicht mehr, wie man die enormen Datenberge sinnvoll auswerten kann. Eine verrückte Welt. Und natürlich auch eine verrückte WikiLeaks-Geschichte, die die Leaks der Snowden-Ära vielleicht noch in den Schatten stellen könnte. Vieles könnte nicht sicher sein.

Und hier muss man unterscheiden: Es wird Medien geben, die jegliches Kommunikationstool unsicher nennen werden. WikiLeaks: WhatsApp ist unsicher!, WikiLeaks: Telegram ist unsicher!, WikiLeaks: Signal ist unsicher! oder aber auch WikiLeaks: Threema ist unsicher! Wartet ab, die Schlagzeilen werden kommen. Letzten Endes sind es aber nicht die Werkzeuge, die wir nutzen, sondern die Systeme darunter. Habe ich ein System in der Hand, dann ist es völlig egal, was App-technisch darauf läuft.

Auf Anfragen diverser Medien hat Apple sich schon geäußert und ich bin mir sicher, dass andere Hersteller folgen werden, folgen werden müssen. Die CIA hat oder hatte funktionierende Exploits, die auf die Systeme Android und iOS abzielten. Zero Day ist da oftmals das Stichwort.

Zero-Day-Exploit nennt man einen Exploit, der eingesetzt wird, bevor es einen Patch als Gegenmaßnahme gibt. Entwickler haben dadurch keine Zeit („null Tage“ englisch zero day), die Software so zu verbessern, dass der Exploit unwirksam wird, um so deren Nutzer zu schützen, weiß Wikipedia zu beschreiben.

Apple zu den Informationen: “Apple is deeply committed to safeguarding our customers’ privacy and security. The technology built into today’s iPhone represents the best data security available to consumers, and we’re constantly working to keep it that way. Our products and software are designed to quickly get security updates into the hands of our customers, with nearly 80 percent of users running the latest version of our operating system. While our initial analysis indicates that many of the issues leaked today were already patched in the latest iOS, we will continue work to rapidly address any identified vulnerabilities. We always urge customers to download the latest iOS to make sure they have the most recent security updates.”

Das sagt aus, dass man sich wohl schon in die Dokumente eingelesen hat. Man kennt einige der Lücken, muss aber auch offensichtlich noch mehr ins Detail gehen, weil wahrscheinlich doch nicht alles bekannt ist. Und da muss man kein Raketenforscher zu sein, um zu wissen: Ähnliche Statements werden auch Microsoft, Google und andere in petto haben: „Einige der Lücken sind gepatcht, wir müssen erst einmal schauen.“

Auch die Android-Seiten sind prall gefüllt. Hier ist die Lage wahrscheinlich noch etwas verzwickter, denn da draußen laufen sicherlich mehr Versionen herum als es bei iOS der Fall ist. Hier muss man sich die Frage stellen, ob die Nutzer jemals ihr Gerät gepatcht bekommen. Schaut man sich die Sicherheitspatch-Ebenen an, dann muss man festhalten, dass es die meisten Hersteller unter Umständen einen Scheiß interessiert, ob ihre Kunden mit einem potentiell unsicheren Gerät herumlaufen.

Ich habe mein Geraffel verkauft, soll Google sich doch um alles kümmern„, so denken es sich wohl einige Hersteller. Hangeln von einer Generation bis zu nächsten und dabei hoffen, dass die Mitbewerber nicht noch weiter an einem vorbeiziehen. Ich hoffe inständig, dass Google auch durch die Aktualisierung der Play-Dienste etwas regeln kann, falls da etwas im Argen liegt.

Ich kann mir auch nicht vorstellen, dass nur Samsung TV-Geräte betroffen sind. Die haben zwar eine recht hohe Beliebtheit und damit Verbreitung, doch auch andere Marktgröße wie LG setzen auf „Smart“ und damit wahrscheinlich auf angreifbare Systeme.

Zu Samsung heißt es: „The attack against Samsung smart TVs was developed in cooperation with the United Kingdom’s MI5/BTSS. After infestation, Weeping Angel places the target TV in a ‚Fake-Off‘ mode, so that the owner falsely believes the TV is off when it is on. In ‚Fake-Off‘ mode the TV operates as a bug, recording conversations in the room and sending them over the Internet to a covert CIA server.

Hierbei muss man nicht nur staatliche Überwachung im Kopf haben, von der ja die „Ich habe nichts zu verbergen“-Fraktion eh nichts zu befürchten hat. Laut dieser Fraktion sind wahrscheinlich nur spezielle Ziele im Fokus der Regierungen und Überwacher. Und selbst wenn dies so ist: Gelangen Tools ins Internet, dann wird sich genug kriminelle Energie eingeben, die diese Werkzeuge zur Schaffung von Geld einsetzt. Spionage bei Unternehmen, Mitbewerbern – oder einfach mal die große Erpressungswelle durch „digitale Datenschutzhaft“.

Letzten Endes ist es so, dass alles mit Mikrofon oder Kamera oder Internetverbindung ein Ziel sein kann. Digitale Assistenten, Spielkonsolen, TV-Geräte, Smartphones, Tablets, smarte Lautsprecher, Kameras zur Hausüberwachung, TV-Geräte – ja selbst eure Streaming-Box mit Fernbedienung.

Knapp 9.000 Dokumente stehen derzeit bei Wikileaks bereit. Ich denke, dass wir noch einige unschöne Sachen hören werden. Clevere Tipps und gut gemeinte Ratschläge wird man an allen Ecken und Enden lesen können. Panik wird wohl nicht viel bringen – denn sie bewirkt nicht wirklich etwas.

Wer meint, dass er jetzt den Smart TV vom Internet trennt oder die Webcam am PC abklebt, der sollte vielleicht in letzter Konsequenz auch sein Smartphone abschalten. Wir alle müssen das Thema im Auge behalten. Kritisch kommentieren und beobachten. Vielleicht auch konkret die Hersteller unserer Soft- und Hardwarelösungen fragen, was diese zu gedenken tun, sollte man bei ihnen offene Lücken finden. Und vielleicht auch in letzter Instanz bei einem Neukauf daran denken, was der Hersteller in Sachen Support vorher getan hat.

Vielleicht sollten wir aber in Deutschland – so wie es die Überschrift suggeriert – einen etwas größeren digitalen Pranger einführen. Das Bundesamt für Sicherheit in der Informationstechnik hat da eine nette Informationsseite, wo bekannt gewordene Sicherheitslücken aufgeführt werden.

Vielleicht sollten Hersteller oder Betreiber von Plattformen gezwungen werden, ihre Patch-Faulheit offensiver an den Kunden kommunizieren zu müssen. „Sie verwenden Gerät XYZ mit einer Sicherheitslücke der Risikogruppe 5. (Wir garantieren, diese in X Tagen zu patchen / gar nicht zu patchen) Bestätigen Sie hier, dass Sie diese Information gelesen und verstanden haben.“

Man hat das Gefühl, nichts anderes würde helfen.


Anzeige: Der neue Karriereservice von Caschys Blog in Kooperation mit Instaffo. Lass dich von Unternehmen finden. Jetzt kostenfrei anmelden!

Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 23921 Artikel geschrieben.