NSA-Report Teil 2

Wie die NSA zentrale IT-Systeme angreift – und wie Sie sich schützen!

12.04.2017
Von Friedrich Wimmer und Florian  Oelmaier

NSA greift Server, Clients und Netzwerke gezielt an

Beispiel 2: Jeder Prozessor besitzt mehrere Ebenen, auf denen er Programme ausführen kann. Dabei kann jeweils die übergeordnete Ebene auf die unteren Ebenen zugreifen. Dies soll den Betriebssystemkern, die Treiber und normale Software voneinander trennen. Moderne Prozessoren kennen jedoch unter der Betriebssystemebene noch den Systemmanagement-Modus, mit dem bestimmte Hardwarefunktionen gesteuert werden können. Aus den Snowden-Leaks wissen wir, dass die NSA für Dell-Server (Projekt "Deitybounce") seit 2006 und für HP-Server (Projekt "Ironchef", siehe Grafik 2) seit 2007 die Möglichkeiten hat, durch Manipulation des BIOS dauerhaft und unbemerkt vom Betriebssystem eigene Programme auszuführen.

Mit zunehmender Verbreitung von Windows 8Windows 8 und 10 ist die Verwendung eines Standard-UEFI-BIOS mittlerweile der Regelfall geworden. Neu sind die Zugriffsoptionen auf das Netzwerk und die Möglichkeit, während der gesamten Nutzung des Rechners Codeteile auch parallel zum Betriebssystem auszuführen. Hinzu kommt, dass nahezu alle UEFI-Versionen auf die gemeinsame Codebasis Intel TianoCore zurückgreifen. Es ist davon auszugehen, dass Geheimdienste auf dieser Grundlage über Softwareimplantate für faktisch jede Plattform (Server oder Clients) verfügen. Die jüngsten Vault-7-Leaks zu den Praktiken der CIA geben einen Einblick, wie fortgeschritten diese Angriffstechnologie bereits ist. Alles zu Windows 8 auf CIO.de

Grafik 2: Ausnutzen von Schwachstellen auf hardwarenaher Umgebung via System Management Mode - Präsentationsfolie aus den Snowden-Unterlagen zum Programm IRONCHEF und der Möglichkeit, Schwachstellen im hardwarenahen System Management Mode (SMM) auszunutzen. BEWERTUNG: Schon im Jahr 2008 hatte die NSA Möglichkeiten zur Verfügung, über den hardwarenahen System Management Mode Zugriff auf IT-Systeme zu erlangen.
Grafik 2: Ausnutzen von Schwachstellen auf hardwarenaher Umgebung via System Management Mode - Präsentationsfolie aus den Snowden-Unterlagen zum Programm IRONCHEF und der Möglichkeit, Schwachstellen im hardwarenahen System Management Mode (SMM) auszunutzen. BEWERTUNG: Schon im Jahr 2008 hatte die NSA Möglichkeiten zur Verfügung, über den hardwarenahen System Management Mode Zugriff auf IT-Systeme zu erlangen.
Foto: Corporate Trust

NSA, CIA und Co. entwickeln Waffen für den Cyber-Raum

Ebenso wie verschiedene andere Dienste und Militäreinheiten auf der ganzen Welt nutzt auch die NSA ihr technisches Know-how, um "Waffen" für ihre Operationen im Cyber-Raum zu produzieren. Dabei handelt es sich um Softwarestücke, mit denen man in geschützte IT-Systeme eindringen, Informationen stehlen oder Computer lahmlegen kann, im Fachjargon "Exploits" genannt. Da diese Waffen im Einsatz von verschiedenen Personen benutzt werden sollen, sind sie in der Bedienung möglichst einfach und entsprechend gut dokumentiert.

Die Wertigkeit einer Cybereinheit bemisst sich an der Anzahl und Qualität der Exploits in ihrem Arsenal. Das Potenzial dieser Cyberwaffen wächst mit jeder neuen IT-Revolution und wird im Zeitalter von Industrie 4.0, selbstfahrenden Autos, computergesteuerten Stromnetzen und dem "Internet of Things" die Zerstörungskraft von Atomwaffen erreichen. Cyberwaffen besitzen jedoch eine ganze Reihe weiterer besonderer Eigenschaften: Manche hinterlassen Spuren, durch deren Analyse sich die Idee hinter der Waffe herausfinden lässt; ein Experte kann sie dann nachbauen oder eine Verteidigungsmöglichkeit dagegen entwickeln. Damit besteht die Gefahr, dass eine solche Waffe durch ihren Einsatz in falsche Hände gerät oder nutzlos wird. Außerdem ist eine Cyberwaffe am Ende einfach nur ein Stück Software und kann demnach leicht kopiert werden. Bricht also ein Hacker in das Netzwerk einer Cybereinheit ein, kann er deren gesamtes Waffenarsenal stehlen.

Hacker stehlen Cyber-Waffen und verkaufen sie weiter

Dies ist bereits Realität: Eine Gruppe namens "Shadow Brokers" verkaufte im Jahr 2016 Cyber-Waffen einer NSA-Einheit an den Meistbietenden. Und auch in den Vault-7-Leaks sind einige Cyberwaffen enthalten. Solange staatliche Cyber-Einheiten überall auf der Welt aufrüsten und gleichzeitig Hackergruppen deren Arsenale stehlen können, wird sich die Wirtschaft ständig hochentwickelten Cyberwaffen gegenübersehen.

Oft wird behauptet, gegen die NSA bzw. gegen Cyberwaffen dieser Qualität könne man sich nicht schützen - das ist nicht korrekt. Fakt ist: Um sich gegen die NSA zu schützen, muss man mit mehreren gängigen Paradigmen brechen.

Zur Startseite