CIA-Spionage: Google sieht viele Lücken gestopft, Notepad++ war Trigger

Interessante (im negativen Sinne) Geschichte diese Sache rund um Vault 7, die CIA und WikiLeaks. Wir haben hier ja im Blog schon darüber berichtet und ich habe das Gefühl (und ich kann falsch liegen) als seien viele Menschen genervt oder abgestumpft von der Thematik. Es wird sich nicht großartig darüber aufgeregt und obwohl die Tragweite gigantisch ist, sind Medien erstaunlich ruhig. „Was soll man denn machen?“ (Ich habe auch keine Antwort). Wie gesagt: Nur gefühlt.

In meinem Beitrag zum Thema vertrat ich die Meinung, dass die Hersteller gezwungen werden sollten, mögliche Schwachstellen zu kommunizieren, anstatt diese in irgendwelchen kleinen FAQ-Beiträgen zu verstecken:

Nach WikiLeaks und Vault 7: Hersteller sollten endlich offensiver Lücken kommunizieren müssen

Die von WikiLeaks veröffentlichten Praktiken sind nicht durch die Reihe neu. Teilweise sind die Angriffsmöglichkeiten auf alte Systeme beschränkt, sodass die mit neuerer Softwareversion mit Glück „safe“ sind. Bis die 9.000 Dokumente durchgeackert sind, wird Zeit vergehen. Und sicher ist kein Hersteller dabei, der klipp und klar jetzt sagen kann, ob sein System sicher ist.

Es geht ja auch nicht nur um Systeme wie macOS, iOS, Android und Windows, sondern auch Apps. Apple meinte, dass man „fast“ alle Sicherheitslücken, die durch den Leak bekannt wurden, gepatcht hat. Fast.

Und ähnlich gibt man sich auch bei Google. In einem Statement gegenüber Recode teilte man mit, dass man sicher sei, dass Sicherheits-Updates und Schutzmechanismen in Android und Chrome die Nutzer vor den vermeintlichen Schwachstellen schützen.

Bei Reddit las ich neulich einen Thread.  Da ging es dann nicht um die Systeme, sondern um Apps. Beispielsweise den Apollo Player, einem Media Player aus dem beliebten Cyanogen Mod. Der soll angeblich als Trigger für Späh-Funktionen auf einem kompromittierten Smartphone agiert haben. (Update: War eine Software namens JoeApollo) Ähnliches gilt auch für einen meiner liebsten Texteditoren unter Windows. Notepad++. Version 7.33 soll die neue, sichere Version sein.

Die CIA missbrauchte wohl den beliebten Editor unter Windows als Trigger für eine von der CIA manipulierte DLL, die Daten sammelte. Die DLL in ihrer Originalversion wird von Notepad++ benötigt, die kompromittierte Version dieser sammelte allerdings Daten. Das ist alles so irre, so surreal. Mal schauen, was da noch so ans Licht kommt.

Wer die Thematik bisher so gar nicht verfolgte: Die Enthüllungsplattform WikiLeaks hat angebliche CIA-Papiere veröffentlicht. Sie enthalten Informationen über Ausspähmethoden und Sicherheitslücken in vielen Apps und Systemen. Sie zeigen auf, wie wir von den Regierungen belauscht werden können.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

32 Kommentare

  1. Sebastian says:

    Das Problem ist halt, dass die Hersteller das ja oft selber nicht wissen, wenn Geheimdienste die 0-Days für sich behalten!

  2. Ich denke nicht, dass die Medien so ruhig sind, weil die Menschen das Thema nicht interessiert. Vielmehr scheint es, dass sie das Thema niedrig halten, weil es dem Narrativ widerspricht, dass russische Hacker den amerikanischen und französischen Wahlkampf manipuliert haben, welches uns seit Monaten gebetsmühlenartig präsentiert wird. Mit Vault 7 liegen nun aber starke Hinweise vor, dass der CIA für diese Hacks verantwortlich sein könnte und diese Spuren gelegt hat.

  3. Kurze Info: es heißt „safe“ und nicht „save“ 😉

  4. „Sie zeigen auf, wie wir von den Regierungen belauscht werden können.“ Das ist falsch. Caschy, du machst hier den gleichen Fehler wie viele andere Medien. Diese ‚Fähigkeiten‘ sind nicht auf Regierungen beschränkt. Dazu braucht man nur (viel) Geld. Jede kriminelle Organisation und jedes große Unternehmen könnte ein solches Team aufbauen.

    Und weder du noch ich noch fast jeder andere sind von solchen Angriffen sicher, auch wenn wir das glauben. Ein Beispiel? Stell dir vor, du arbeitest noch für Notebooksbilliger und ich will die, als Mitbewerber, richtig ausforschen. Dann würde du mir als Ziel für einen Hack schnell ins Auge fallen. In der Folge schicke ich dir über eine (Fake-?)Agentur Testgeräte, die den neugierigen Geek in die wecken. Garniert mit einem passenden Zero-Day, speziell für dich. Von dem Moment an kann ich dir über die Schulter schauen. Mindestens. Und irgendwann loggst du dich vermutlich bei NBB ins Backend ein. Natürlich mit eingeschränkten Rechnen, aber das ist egal. Ich bin erst mal drin und kann mich weiter umsehen. Und von da an geht es weiter. Am Ende kann ich mich entscheiden, bei dir alles wieder zu löschen um meine Spuren zu verwischen. Oder ich mache dich zum Sündenbock. Meine Wahl.

    Bitte schreib also nicht, dass es hier NUR um Regierungen und Geheimdienste geht. Da schalten die Leser ab, und das ist, meiner Meinung nach, das Problem.

  5. Wieso sind die Medien erstaunlich ruhig?
    Sowohl unsere Lokalpresse als auch die FAZ hat schon in großen Artikeln dazu geschrieben und auch Kommentare verfasst.

  6. @blufunk Richtig.
    Und nicht vergessen, all das hier ist von Trump’s Vorgänger jahrelang abgesegnet worden. Ist dem deutschen Journalismus entgangen, sind bestimmt zu beschäftigt damit Trump’s Tweets zu lesen.

  7. @Richard: Es geht hier nicht um das Thema Wirtschaftsspionage von Firma A zu B.

  8. @ Caschy:

    Fakt ist doch, das sogar die GPLv3 Clients und AGPLv3 Server gehackt wurden, bzw die Systeme! Threema! & Signal, Telegram oder sonstige Mechanismen greifen nicht! Man kann sich m.M. Auf dem Smartphone nicht dagegen wehren! Das einzige was wirklich helfen würde ist: Tails von dvd , Tor und VPN, vor dem TOR Browser Download. Man kann sich einfach nicht gegen das Ausspähen schützen.. Was soll man sich da großartig aufregen wenn gewisse Mechanismen noch gar nicht für den Endverbraucher zugänglich sind. Alles was empfohlen wurde, hilft ja nicht!

  9. Ich finde die Diskussion inzwischen völlig geframt. Statt die Wistleblower zu kristisieren, werden ausschließlich die Geheimdienste angeprangert, weil es der übliche Reflex seit Jahren ist. Dabei gelangen nur durch die Whistleblower diese Tools ggf. in unseriöse Hände und gefährden unser aller Sicherheit. Mit den Tools bei den Geheimdiensten, wo sie entwickelt wurden, werden dagegen Hunderte und Tausende Leben gerettet und unsere Sicherheit geschützt. Wie abgefahren dieses Framing inzw. ist, wurde mir neulich bewusst als ich in Berlin, Lehrter Str., einen Freak sah, der aus seinem Fenster ein Laken mit der Aufschrift „kostenloses Zimmer für Edward Snowden“ gehängt hatte. Wahrscheinlich hatte er davor „Refugees Welcome“ drauf, dabei wohnt er nur wenige Meter von der Fussilet-Moschee entfernt.

  10. @froyo52: Die FAZ berichtet, das stimmt. Aber das eigentliche Problem für die FAZ ist folgendes http://bit.ly/2mmaJpn:

    „In atemberaubender Geschwindigkeit hat sich Wikileaks zum größten Digital-Saboteur der westlichen Welt entwickelt. Längst folgt die Organisation nicht mehr klassischem Hacker-Idealismus, sondern einer antiwestlichen Agenda. Gezielt greifen die Aktivisten in demokratische Prozesse ein, sie beeinflussen Wahlen und schwächen die Sicherheitsstruktur.“

    Nicht der CIA und seine Praktiken, sondern Wikileaks sind das Problem für die FAZ! Siehe auch den Artikel von Sandro Gaycken http://bit.ly/2moBevX

  11. @Thomas Schiwietz: Ich zitiere mal aus meinem eigenen, auch hier verlinkten Beitrag:

    Und hier muss man unterscheiden: Es wird Medien geben, die jegliches Kommunikationstool unsicher nennen werden. WikiLeaks: WhatsApp ist unsicher!, WikiLeaks: Telegram ist unsicher!, WikiLeaks: Signal ist unsicher! oder aber auch WikiLeaks: Threema ist unsicher! Wartet ab, die Schlagzeilen werden kommen. Letzten Endes sind es aber nicht die Werkzeuge, die wir nutzen, sondern die Systeme darunter. Habe ich ein System in der Hand, dann ist es völlig egal, was App-technisch darauf läuft.

  12. Mitschnitt says:

    Merkel:
    Diese Computerspionage, das Rumgehacke und was die da alles machen ist für uns Deutsche noch Neuland! Ich werde mich nun mit de Maizere kurzschliessen (der kennt sich mit EDV -wie das damals noch hiess- doch aus).
    de Maiziere:
    Zu der für uns völlig überraschenden CIA-Spionage sage ich lieber nichts – alles andere würde die Bevölkerung sonst nur verunsichern!

  13. @ Caschey:
    Ja korrekt,
    Meinte aber damit, dass wenn überhaupt, Linux Tails schreibgeschützt in Kombi mit TOR helfen würde.
    Das ist angeblich backdoor resistent. Ich gebe es erstmal auf… So viele Lücken wie es in unseren verbreiteten OS verhält.

  14. Wasvmehr nervt sind eure Alexa Fanboy Attitüden. Wegen den dem Zeug verlangt demnächst der US Zoll Gesangsproben zur sicheren Identifikation. Ich meine die haben schon Spermaproben verlangt – was kein Scherz ist, sondern Ebola Regionen betroffen hat. Je weniger Daten die bekommen desto besser. Niemals die Handynummer ins Netz Fuckbook geht auch ohne. Auch Adressen niemals rausgeben wenn es nicht anders geht, dann macht kleine Schreibfehler im Namen und eine Exeltabelle davon damit ihr später erkennt, wer die Daten illegaler Weise weitergibt.

  15. sunworker says:

    Viele Leute regen sich über die böse CIA / NSA / etc auf, haben aber Siri, Smart-TV, Echo oder ähnliches laufen und leben ihr ganzes Leben offen auf FB, IG, etc.

    Darüber kann man echt nur lachen…

  16. Deliberation says:

    Zunächst einmal geht es bei Datenschutz nicht darum, gar keine Daten von sich preis zu geben. Es geht vielmehr darum, dass man selbst entscheidet, was mit den eigenen Daten passiert. Es ist also durchaus ein Unterschied, ob ich mich selbst dafür entscheide, meine Daten an Dritte zu übermitteln oder ob Dritte das gegen meinen Willen oder gar ohne mein Wissen tun.

    Zum Zweiten habe ich keine Ahnung, was die Verhinderung einer globalen Epidemie und die dafür notwendigen Maßnahmen mit dem Ausspionieren von Bürgern durch ihre eigenen Behörden zu tun hat. Da sich aktive Viren von Ebola-Überlebenden bereits nach ein paar Tagen nicht mehr im Blut nachweisen lassen, jedoch viele Monate in den Hoden überleben, kann man weitere Infektionen nur durch Spermaproben verhindern.

    Und last but not least kann man sich natürlich Methoden ausdenken, wie man die Weitergabe der eigenen Daten nachvollziehen kann. Dann hat man jedoch eindeutig zu viel Freizeit, denn mehr als „aha!“ kann man in den meisten Fällen ohnehin nicht von sich geben. Oder schon mal versucht, z.B. Paypal zum Löschen der eigenen Daten zu zwingen?

  17. Interessant ist hier auch ein Aspekt, den viele nicht gerne hören wollen werden: Ausgerechnet eine OpenSource Software wie das (sehr gute) Notepad++ war Einfallstor. Bemerkenswert, weil OpenSource deshalb als sicher erklärt wird, weil doch „jeder den SourceCode prüfen kann“ (was in der Praxis ohnehin keiner tut und der eine sich auf den anderen verlässt). Vergessen wird, dass auch die „Bösen“ den Code ganz bequem auf Angreifbarkeit prüfen und das auch machen. In der Praxis ist die Offenheit doch nur dann ein Vorteil, wenn „die Guten“ fitter sind, als „die Bösen“. Im Zweifel hat das Imperium aber mehr Geld für die besseren Experten.

  18. Mit dem Zwang zur Offenlegung von Lücken wäre zwar ein erster Schritt getan, jedoch ist dann auch wieder die Frage, inwiefern den Unternehmen das dann nach diesen Briefen der US Regierung dann überhaupt breit treten dürfen. Ich meine… die Lücken in den Geräten werden schließlich dazu genutzt, dem Terror Einhalt zu gebieten. Oder etwa nicht?

  19. Deliberation says:

    Ich bezweifle, dass ein System, das Milliarden Menschen überwacht, nur um vermeintlich einige wenige Bösewichte zu finden, überhaupt zu dem Zweck der Terrorabwehr gedacht ist. In Deutschland haben die meisten Maßnahmen der letzten Jahrzehnte, die vermeintlich der Terrorbekämpfung dienen sollten, letztendlich andere Zwecke erfüllt. Zum Beispiel, um dem Bürger auf’s Konto zu schauen, um sicher zu stellen, dass auch jeder Euro versteuert wird.

  20. @OSS
    Also Opensource ist nicht sicherer als andere Software nur weil man den Source eingucken kann. Openssl hatte lange Zeit einen Riesen Bug den vorher keiner entdeckt hatte. Nur weil der Quellcode verfügbar ist heißt es nicht das eine Software sicherer ist, genauso ist Windows oder Mac OS auch nicht sicherer, dort gibt es auch noch viele Bug.
    Also für Profis ist es nur etwas aufwendiger eine .EXE zu debuggen um dort Bugs zu entdecken.
    Soll heißen, die Bösen können auch Windows hacken. Sicher ist nur… gute Frage 🙂

    So kann man die Liste unendlich erweitern, PHP, Python und und und

  21. @caschy: Danke für den Tipp mit Notepad++ v7.33. Der automatische Update schlug bei mir nicht an (noch nicht mal die manuelle Auslösung der Updatesuche). Also per Hand geholt…. Zur Diskussion: Was ist schon sicher. Im IT-Bereich wohl nichts. Man kann es den „bösen Buben“ nur etwas schwerer machen. Zum Glück kochen die doch auch nur mit Wasser. Und die Intelligentesten sind die doch auch nicht…

  22. Wer sich immer noch einreden lässt, dass es um „Terrorismusbekämpfung“ geht, muss ganz schön naiv sein. Es geht um Macht. Oder warum glaubt Ihr, warum die USA z. B. das Handy von Merkel abgehört haben? Weil sie sie für eine Terroristin halten?

  23. Solche Themen müssten dringend in einer Art der Masse kommuniziert werden, welche die Masse verstehen kann.

    Slightly OT: Wir hier in der Schweiz haben ja seit neustem eine Netzsperre. Klar Online Glücksspiele interessieren die Masse weniger, aber lachen sie doch alle darüber, wie China etc. ihre Einwohner bevormundet. Das solche Netzsperren Steine ins Rollen bringen kann, darüber denkt die Masse leider nicht nach. Verstehe hierbei auch null, dass es nicht einen massiven Aufschrei gibt…

  24. @Gabe
    „Verstehe hierbei auch null, dass es nicht einen massiven Aufschrei gibt…“
    Brot und Spiele… Junglecamp ist halt interessanter.

    @all
    danke für die kritische Auseinandersetzung, das fehlte mir beim Eingangsartikel ein wenig.
    Für alle, die sich für die immerhin „am schwersten zu knackenden“ Softwares interessieren:
    http://www.prism-break.org
    oder, etwas ausführlicher + Erklärung auf Deutsch:
    http://www.privacy-handbuch.de (allerdings ist der Smartphone bereich nicht grade aktuell)

  25. Deliberation Das mit den Spermaproben und den Kontenabrüfen oder an der Kasse den Einkaufswagen anheben, das nichts geklaut wurde wird erst immer freiwillig angeboten und dann kultiviert. Natürlich gibt es das recht auf Vertragsfreiheit und jeder kann seine Daten abtreten und Verschenk, veräußern – nur schafft das dann immer Implikationen für alle anderen auch mit. Wer sagt wie Praktisch, ich baue mir eine Arschkamera ein, damit der Zoll auch sehen kann, das ich mir keine Plastik Bombe eingeführt habe und habe auch immer beglaubigte Spermaproben dabei, die Ebolafrei sind. Das wird dann leise zum Zwang für alle anderen auch mitzumachen. Ich bekomme aktuell immer jedesmal, wenn ich mich bei Facebook einlogge angezeigt, das 31 meiner Freunde auch ihre Handynummer angegeben haben – ich kann diesen Hinweis nicht wegklicken und es wird immer wieder aufs neue versucht in die Ecke genuged/gestupst zu werden. Ich sage nur, die Freiheit der einen hört da auf, wo die der anderen anfängt, seid sparsam mit den Daten, damit man mich nicht zwingen kann immer mehr rauszurücken nur um bei irgendeinem Ocean Marketing Modell besser eingeordnet werden zu können. China hat schon einen Citizen Score und der Weg geht ganz steil dahin, wenn wir weiter so machen. Zudem kommt hinzu, das deanomysierung bei immer mehr Daten besser klappt.

    Die Vault 7 Unterlagen zeigen zum ersten mal auch Anleitungen zum Löschen bestimmter Dateien und Verschleierungstaktiken mit Methoden, wie man mithilfe fremder Verschlüsselung Chinesische, Iranische und Russische Sigint täuscht, welche Daten manipuliert wurden, zudem gibt es auch Angriffsanleitungen auf Autos Flugzeuge und Kraftwerke – also Zersetzung kommt hier entgegen der bei Infiltration der NSA durch die Snowdenleaks erstmals zur Erwähnung.

  26. sunworker says:

    bei mir ist Notepad++ 7.3.2 installiiert. Wenn ich auf ? > NP++ aktualisieren gehe kommt die Meldung das es kein neues Update gibt.

    Auf der Webseite gibt es aber 7.3.3. Seltsam.

    Das Problem ist die gehackte scilexer.dll Datei. Diese liegt im Verzeichnis C:\Program Files (x86)\Notepad++, Die neue NP++ Version checkt wohl das Zertifikat vor dem Laden.

    Falls die CIA bereits auf eurem PC war, kann auch die Notepad++ EXE Datei oder anderen Komponenten durch gehackte ersetzt worden sein:

    „Checking the certificate of a DLL makes it harder to hack. Note that once users’ PCs are compromised, the hackers can do anything on the PCs. This solution only prevents from Notepad++ loading a CIA homemade DLL. It doesn’t prevent your original notepad++.exe from being replaced by modified notepad++.exe while the CIA is controlling your PC.“

    Ich habe Notebpad++ sicherheitshalber jetzt erst mal komplett deinstalliert und gelöscht. Nach dem Booten die neue NP++ v7.3.3 Version neu installiert. Im Grunde kann natürlich zusätzlich noch alles mügliche auf einem kompromitierten PC passiert sein…

    Hier sind auf jeden Fall mehr Infos dazu:
    https://notepad-plus-plus.org/news/notepad-7.3.3-fix-cia-hacking-issue.html

  27. sunworker says:

    Ist auch ne prima Gelegenheit von NP++ 32bit auf 64bit zu wechseln…

  28. das problem ist nicht das die leute abgestumpft oder genervt sind sondern das die von dem ganzen nichts verstehen und nichts merken. das ganze ist quasi „unsichtbar“
    würde man den leuten die handys wegnehmen und kopien machen wäre der aufschrei sehr viel größer

  29. Wie ich allerdings auch gelesen habe funktioniert der Zugriff auf iOS oder Android nur wenn jemand physischen Zugriff auf mein Gerät bekommt. Also liegt es auch in erster Linie erstmal an jedem selbst sein Gerät vor unberechtigtem Zugriff zu schützen und nicht irgendwo rum liegen zu lassen. (Hab ich auch in einem Artikel von Golem Security gelesen).

  30. Gibts da genauere Hintergründe dazu?
    Zum Beispiel wie kommt die kompromittierte DLL überhaupt auf das System?
    Was genau kann die CIA mit einem System mit dieser geladenen kompromittierten DLL anfangen?

Es kann einen Augenblick dauern, bis dein Kommentar erscheint.