Hacker verkaufen Softwarelücken
Von Uli Ries
Von Waffen spricht er und von Munition. Dabei verkauft der amerikanische IT-Sicherheitsexperte Adriel Desautels keine Panzer, Raketen oder Sturmgewehre – ebenso wenig wie andere in seiner Branche tätige Zeitgenossen wie Chaouki Bekrar oder der aus Südafrika stammende Thaddeus T. Grugq (Hackername: The Grugq). Die Unternehmungen dieser Herren – Vupen im Falle Bekrars, Netragard im Fall von Desautels – handeln unscheinbaren Programmcode, der Grundlage ist für die Infektion von PCs und Smartphones mit Schadsoftware.
Ausnahmslos jedem PC- oder Smartphone-Nutzer droht Gefahr durch Schadsoftware. Die Folge der Infektion für private Anwender: abgeräumte Bankkonten, geklaute Passwörter oder Kreditkarteninformationen, die Datendiebe im Cyberuntergrund anschließend versilbern. Sind die Schädlingsopfer Mitarbeiter von Unternehmen, dreht es sich um abgesaugte Firmengeheimnisse. Lebensgefährlich wird infizierte Technik, wenn Diktaturen Regimegegner belauschen. Deswegen spricht Desautels von Gewehren und Kugeln.
Gefährlicher als Sprengstoff
Bedrohlich für Leib und Leben sind Lücken auch, wenn sie in den Kontrollsystemen von Industrieanlagen, Trinkwasserversorgungen oder (Atom-)Energieanlagen stecken. Daher hat der italienische IT-Sicherheitsspezialist Luigi Auriemma Ende 2012 auch für Wirbel gesorgt: Er habe Schwachstellen in den Produkten aller führenden Hersteller solcher SCADA-Systeme (Supervisory Control and Data Acquisition) entdeckt. Er wolle die Informationen jedoch nicht gratis an die betroffenen Unternehmen – darunter General Electric, Rockwell Automation und Siemens – weitergeben, sondern nur gegen Bezahlung.
Ein Bug für 200.000 Dollar
In der Regel konzentrieren sich Vupen und Kollegen bei ihrer Arbeit auf gängige PC-Software wie den immer wieder von Kriminellen attackierten Microsoft Internet Explorer. Andere beliebte Ziele der weltweit verstreuten Schwachstellenjäger sind Adobe Acrobat, Adobe Flash oder Google Chrome.
Bevor die kommerziellen Bug-Profis ihr Tun öffentlich kommentierten und so das Verhältnis zwischen Käufern und Verkäufern zumindest in Umrissen offenlegten, waren An- und Verkauf von Schwachstellen eine Sache von Geheimdiensten. Inzwischen ist der regelrechte Handel damit ein Stück weit einsehbar: Verkauft wird auf weißen, grauen und schwarzen Märkten. Käufer sind unter anderem deutsche Behörden oder Strafverfolger, die sich auf dem Graumarkt eindecken.
Die Preise muten astronomisch an: Bis zu 200.000 US$ bezahlen Regierungsorganisationen angeblich. Pro Schwachstelle, wohlgemerkt. In der Szene ist zu hören, dass Behörden hierzulande bis zu 50.000 Euro für ein verlässlich funktionierendes digitales Einbruchswerkzeug berappen. Möglicher Einsatzzweck: die Überwachung der digitalen Kommunikation von Verdächtigen, wenn diese auf ansonsten nicht knackbare Verschlüsselungsverfahren setzen. In diesem Fall hilft nur das Verwanzen von PC, Smartphone oder Tablet.
Eine sehr wahrscheinlich von Netragard stammende E-Mail nennt Preise für den Ankauf von Exploits in gängigen Betriebssystemen. (Bild: E-Mail, die im Netz kursiert – Screenshot, Urheber nicht festellbar)
Wertermittlung auf dem Markt
Einblick in das Preisgefüge verschafft eine im Netz kursierende, sehr wahrscheinlich echte E-Mail von Netragard aus dem Jahr 2011. Mit Hilfe dieser Nachricht ging das Unternehmen seinerzeit auf Einkaufstour. Der Text lässt keine Zweifel, welche Art Angriffscode man anzukaufen gedenkt und was der Lieferant für die Höchstsumme von 100.000 US$ bieten muss: erfolgreiche, nicht zu entdeckende Angriffe auf die jeweils neuesten Versionen von Windows, Mac OS X und Windows Server. Ältere Varianten werden als weniger wichtig – und demnach weniger lukrativ – eingestuft.
Noch weniger Geld gibt es für Schwachstellen in Druckern, Netzwerkhardware oder Browsern. Aus anderen Quellen ist zu erfahren, dass ein Angriff auf Apples Smartphone-Betriebssystem iOS Strafverfolgern bis zu 250.000 US$ wert ist. Apple selbst zahlt keinen Cent an Hacker, die das Unternehmen über Schwachstellen informieren. Es dürfte daher auf der Hand liegen, an wen die Entdecker ihre Informationen weitergeben.
Der Bedarf der einkaufenden Behörden ist leicht zu erklären: Ihnen fehlt in der Regel das Fachpersonal zum Aufspüren der Softwarelücken. Ohne Lücke können sie aber die im staatlichen Auftrag entwickelte Schnüffelsoftware wie den sogenannten Bundestrojaner aus der Ferne nicht auf die Rechner der Verdächtigen schleusen.
Hersteller bleiben außen vor
Bug-Broker wie der in Thailand ansässige The Grugq machen daher z.B. lieber Geschäfte mit Regierungsbehörden als mit Kriminellen. Er sagte dazu in einem Interview mit dem US-Magazin Forbes: „Der Verkauf eines Bugs an die russische Mafia garantiert, dass er im Handumdrehen nichts mehr wert ist. Es gibt dort zu viele Kriminelle, die auf schnellstem Weg rücksichtslos Geld mit den Bugs machen wollen.“
Teil 1 versucht es mit den ältesten Tricks. Warum? Weil sie immer noch funktionieren. Teil 2 arbeitet sich durch den Risikokatalog bis hin zu den Haftungsfragen. Teil 3 befasst sich schließlich mit den ins Kraut schießenden Compliance-Vorschriften. Ein Sonderbeitrag befasst damit, wie die aktuellen Cyberbedrohungen 2017 zu bewerten sind.
An die Hersteller der jeweils betroffenen Software wendet sich kaum einer der Spezialisten: Unternehmen wie Adobe, Apple oder Microsoft bezahlen gar nicht für Informationen über Schwachstellen in ihren Produkten. „Es ist schockierend, dass Softwarehersteller jährlich Millionen für kommerzielle Sicherheitschecks, Programmcodeanalysen oder Prüfwerkzeuge ausgeben. Gleichzeitig wollen sie den Findern keinen Cent für das Aufdecken zuvor unbekannter Schwächen zahlen“, sagt Chaouki Bekrar.
Facebook, Google oder der Bezahldienstleister PayPal haben zwar sogenannte Bug-Bounty-Programme. Die im Rahmen der Programme an die Informanten ausgeschütteten Summen belaufen sich aber nur auf einen Bruchteil dessen, was Regierungsorganisationen für den gleichen Infohappen zu zahlen bereit sind.
Vom Crash zurück zum Fehler
Für stetigen Nachschub an Arbeit sorgen – unfreiwillig – die Produzenten der attackierten Softwareprodukte selbst. Denn die Lücken sind ab Werk in der Software verborgen: Programmierer machen zwangsläufig Fehler bei Entwicklung ihrer Anwendungen und Systeme. Je komplexer eine Software – Microsofts Windows 7 besteht aus schätzungsweise über 50 Mio. Programmcode-Zeilen, SAPs NetWeaver-Plattform soll schon 2007 über 230 Mio. solcher Zeilen umfasst haben –, desto mehr Programmierfehler (Bugs) sind im Code versteckt.
Viele dieser Bugs sind harmlos und belästigen den Anwender schlimmstenfalls durch Abstürze oder obskure Fehlermeldungen. Die kritischen Fehler hingegen sind Einfallstore. Zumindest so lange, bis der Hersteller die Lücke per Softwareupdate aus der Welt schafft.
Das Aufspüren der Bugs im Programmcode ist ein Job für Spezialisten. Sie rücken den Anwendungen und Betriebssystemen mit speziellen Techniken und Softwarewerkzeugen – so genannten Fuzzern – zu Leibe und versuchen sie so zum Absturz zu bringen. Solche Programmcrashs deuten auf Fehler hin, die es dann auf ihre Missbrauchsqualitäten zu untersuchen gilt.
Fazit: Die dunkle Seite der Macht
Gegen einen unkontrollierten Verkauf von Schwachstellen an Regierungen ist der US-Datenschutzspezialist Dr. Christopher Soghoian. Er sagt: „Der Verkauf von Schwachstellen an Strafverfolger, Militärs oder Geheimdienste in Ländern mit nachgewiesenen Menschenrechtsverletzungen, zu denen ich auch die USA zähle, wirft etliche, schwerwiegende Bedenken in Sachen der Menschenrechte auf.“
Soghoian beklagt einen Mangel an öffentlich verfügbaren Informationen über diese Bug-Märkte und die von Behörden investierten Summen. Die wenigen bekannten Details stammen von den raren, ins Rampenlicht drängenden Vertretern der Zunft wie Chaouki Bekrar. „Wir wissen jedoch so gut wie nichts über die Mitspieler, die ihre Köpfe unten und sich aus der Öffentlichkeit heraus halten“, sagt Soghoian.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing