Gefahrenquelle „Zero Day Exploits“

https://blog.wdr.de/digitalistan/gefahrenquelle-zero-day-exploits/

Gefahrenquelle „Zero Day Exploits“

Kommentare zum Artikel: 7

Die aktuellen Enthüllungen bei Wikileaks haben mal wieder einen Begriff ans Tageslicht gezerrt, der zwar in Fachkreisen bekannt ist, aber sonst kaum jemanden bewegt: Zero Day Exploits sind Schwachstellen in Systemen, die nur einigen wenigen bekannt sind (in der Regel nur jenen, die das Leck ausnutzen), für die es aber noch keine „Patches“, also Sicherheitsstopfen gibt. Laut Wikileaks nutzt die CIA im großen Stil solche Zero Day Exploits aus, um an Informationen zu kommen, die in Smartphones, Tablets, Rechnern oder Smart-TVs stecken und um die Geräte abzuhören.

Enthüllungs-Website Wikileaks: Vorwürfe gegen die CIA

Ausnutzen von Programmfehlern

Technisch gesehen ist ein Zero Day Exploit ein Programmierfehler, zum Beispiel in einem Betriebssystem wie iOS, Windows, Android – oder auch in der Software der Smartwatch, des Smart-TVs oder des Sprachassistenten. Da nahezu jede Software Fehler enthält, gibt es auch in nahezu jeder Software und damit in jedem System Schwachstellen, die sich ausnutzen lassen. Es gibt Experten in aller Welt, die gezielt nach solchen Lecks suchen. Nicht aus sportlichen Gründen, sondern aus kommerziellen. Denn: Mit solchen Schwachstellen lässt sich Geld verdienen.

Zero Day Exploits kann man kaufen – im Darknet. Von wenigen hundert Euro für eine einfache Schwachstelle bis hin zu hunderttausenden Euro für eine ausgefallene Lücke, die sonst niemand kennt, werden alle Preise gezahlt. Wer so eine Lücke kennt und sie exklusiv nutzen kann, kann damit spionieren – oder wirtschaftlichen Schaden anrichten. Es kann sich also „lohnen“, das Geld zu bezahlen. Behörden und Geheimdienste machen hier mit: Sie kaufen auf dem Schwarzmarkt Sicherheitslecks. Aber nicht, um uns zu schützen, sondern, um Geräte auszuspionieren. Die aktuellen Beispiele der CIA belegen das eindrucksvoll.

Käufer machen die Welt unsicherer

Die Tatsache, dass Behörden wie die CIA – aber nun wirklich nicht nur sie – solche Zero Day Exploits auf dem freien Markt kauft, bringt ein erhebliches Problem mit sich: Es entsteht nicht nur ein Markt dafür, es gibt auch Nachfragte. Erhebliche Nachfrage. Denn die Behörden sind mit guten Budgets ausgestattet und nicht nur bereit, sondern auch interessiert, möglichst ausgefallene – und damit teure! – Exploits zu kaufen, damit sie möglichst lange etwas davon haben. Das treibt die Preise nach oben – und das lockt um so mehr Anbieter aus den Löchern, die Schwachstellen entdecken und zum Kauf anbieten. Es lohnt sich schließlich.

Die Einkaufstouren der Behörden machen die Welt damit nicht sicherer, sondern unsicherer. Denn so werden mehr Exploits entdeckt, mehr zum Kauf angeboten – und nicht alle werden von Behörden gekauft, viele auch von Kriminellen. Die können diese Exploits nutzen, zur Manipulation, zum Datenklau, zu Wirtschaftsspionage. Wir alle sind also deutlich stärker gefährdet, weil NSA, CIA und Co. Zero Day Exploits kaufen und entwickeln (lassen). Es handelt sich dabei um erhebliche Nebenwirkungen, die man nicht direkt sehen kann, die sich auch nicht messen lassen, aber ohne jede Frage vorhanden sind.

Wollen wir das?

Über den Autor

Jörg Schieb ist Internetexperte und Netzkenner der ARD. Im WDR arbeitet er trimedial: für WDR Fernsehen, WDR Hörfunk und WDR.de. In seiner Sendung "Angeklickt" in der Aktuellen Stunde berichtet er seit 20 Jahren jede Woche über Netzthemen – immer mit Leidenschaft und leicht verständlich.

7 Kommentare

  1. Es ist zwar schlimm, aber man ist nicht gänzlich wehr- und hilflos!
    Grundsätzliches:
    1. ALLES, was über irgendein Netzwerk (völlig egal, ob mobil oder über Kabel) online geht, kann grundsätzlich beobachtet und gespeichert werden – nennt sich „Deep Packet Inspection (DPI)“. Die inhaltliche DPI-Analyse der Nutzerdatenpakete wird bzw. kann zwar durch eine „sichere“(?) Verschlüsselung unterbunden werden, ABER: der Nutzer kann sich NICHT dagegen wehren, dass „andere“ Kenntnis darüber erhalten, dass der Nutzer Verschüsselungssysteme anwendet! Im Klartext: der Transport verschlüsselter Daten kann sowohl blockiert werden als auch können diese Datenpakete gespeichert/“gespiegelt“ werden, um dieselben ggf. (auch noch viel) später entschlüsseln zu können!
    2. Gegen Mobilfunk-Attacken hilft -zuverlässig- noch nichts (z. B. „Stille SMS“, IMSI-Catcher etc.).
    3. Sog. „Antiviren-Programme“ helfen -bestenfalls, aber immerhin- gegen Ransomware und sonstiges, kleinkriminelles Unwesen (vgl. z. B. „Hacking Team“-Fall von 2015).
    4. Aufgrund des enormen Entschlüsselungs-Aufwandes, haben entsprechende „Organisationen“ logischerweise ein Interesse daran, bereits auf die Daten zuzugreifen BEVOR dieselben verschlüsselt werden. Dies geschieht u. a. durch die geschickte Platzierung eines „Key(stroke) Loggers“, also eines Programms zum Mitschnitt der Tastatureingaben, auf dem zu beobachtenden Endgerät. Dieses Tool „platziert“ man entweder aus der Ferne -also z. B. über einen Bitte-Klick-Mich-Unbedingt-Email-Anhang für Neugiersnasen oder ein verseuchtes Werbebanner auf einer Website oder auch über ein (UEFI-)BIOS-Update- oder durch direkten Zugriff auf das Endgerät -z. B. über einen präparierten USB-Stick. Hinzu kommt oft noch ein Tool, das Screenshots erstellt und unbemerkt versendet – (fast) fertig ist der hinreichend bekannte „Bundestrojaner“!
    Bei vielen mobilen Geräten ist ein Keylogger (oft im Tastaturtreiber) bereits fest integriert und „funkt“ eifrig irgendwas (das nur noch „abgegriffen“ werden muss), irgendwo hin. Von Windows (insbesondere) 10 rede ich hier lieber gar nicht! Zwar (oft, aber teilweise mit nicht unerheblichem Aufwand) lassen sich diese Spione irgendwie auch wieder abzuschalten, aber die meisten User wissen davon gar nichts und sind einer potentiellen Dauerbeschnüffelung hilflos ausgeliefert!

    Wie kann man sich dennoch wehren?
    Eine 100%ige Sicherheit kann und wird es wohl nie mehr geben! Aber man kann den „Interessierten“ ihr Treiben zumindest immer noch erheblich erschweren, zumal die meisten Menschen ihre online-Kommunkation (und damit meine ich nicht nur W*App) immer noch unverschlüsselt betreiben, indem man beispielsweise
    1. quelloffene Software-Alternativen nutzt, wie etwa jene, die man unter
    prism-break . org/de
    für sämtliche Betriebssysteme und bzw. Plattformen findet,
    2. nicht mehr Daten (insbesondere persönliche Informationen) -als unbedingt nötig- online teilt,
    3. so viele Daten -wie irgendwie möglich- offline (auf externen, physischen Laufwerken) aufbewahrt und Clouddienste möglichst vermeidet,
    4. eine strikte Trennung von beruflich und privat genutzten Endgeräten vornimmt und
    5. grundsätzlich so viel -wie irgendwie möglich- anonymisiert, verschlüsselt und vor allem „faked“ (warum sollte ich z.B. irgendeinem Newsletter-Versender meinen echten Namen, mein wirkliches Alter, meine echte Privatadresse und meine Haupt-Email-Adresse nennen?)!
    6. Ein schnüffelfreies (Linux-)Betriebssystem sowie ein gut angepasster, gepflegter und quelloffener Internetbrowser (ggf. Zweitbrowser auf einem Linux-USB-Stick, z. B. nur für Bankgeschäfte!) mit entsprechenden Add-ons, runden die „digitale Selbstverteidigung“ ab!

  2. Thorsten S. am

    Während der Sendung wurde eine Messenger-App empfohlen. Wähne den Namrn nicht notiert. Könnte mir jemand weiterhelfen? Danke schön…

  3. Ich finde es etwas verwirrend dargestellt. Ich sehe zwei Möglichkeiten: Man bezahlt Programmierer der Originalsoftware, damit sie bewusst Schwachstellen einbauen (das verstehe ich unter „Schwachstellen kaufen“) oder man bezahlt für die *Information* über (sowieso leider vorhandene) Schwachstellen. Das wäre „Information kaufen“. Ich glaube, im Artikel ist letzteres gemeint, oder?

  4. Martin Däniken am

    Was die Cia macht wenn ihr faule Exploits angedreht werden…
    Die Verkäufer verklgen oder nen Aufenthalt in einer Dark Site spendieren!
    Hätte ne gewisse Logik vom Darknet zur Dark Site.
    Ausserdem wenn es eh massig Kohle gibt und man sie unkontrolliert ausgeben kann…

Einen Kommentar schicken

Die mit * gekennzeichneten Felder müssen ausgefüllt werden.

Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage: *

Top