Viel Heuchelei um Bugs, Exploits, 0-Days -- und Schuld ist natürlich die NSA


Die "Hackerattacke" (so wird es genannt, ich würde es eher als Wurm bezeichnen) "WannaCry" (oder auch "WannaCrypt") hat eine neue Diskussion um den Umgang mit Bugs, Exploits und 0-Days ausgelöst --

Um das alles beurteilen zu können, ist eine Zeitachse der relevanten Geschehnisse wichtig:

Seit ca. Mitte 2016 macht eine Hackergruppe namens "ShadowBrokers" von sich reden. Diese veröffentlichte in mehreren Schüben Dokumente, die sie vermutlich durch einen erfolgreichen Angriff gegen eine andere Hackergruppe namens "Equation Group" (welche wiederum mit der NSA in Verbindung gebracht wird) erlangte. Ich gehe im Weiteren davon aus, dass ShadowBrokers originale NSA-Dokumente hat und diese veröffentlicht.

Am 08.01.2017 startete ShadowBrokers eine "Auktion", in der erbeutete Exploits zum Verkauf angeboten wurden, und in der die NSA-Namen der Exploits veröffentlicht wurden[1]. Darunter sind u. a. "EternalBlue", "EternalRomance" und "EternalSynergy", die bei "WannaCry" zum Einsatz kommen sollten. Man kann also davon ausgehen, dass die NSA spätestens seit diesem Datum weiß, dass ihr diese Exploits gestohlen wurden.

Üblicherweise ist jeden zweiten Dienstag im Monat Patchday bei Microsoft. Dieser fällt aber aus unbekannten Gründen für Februar 2017 aus[2].

Der Patchday im März (14.03.2017) findet planmäßig statt. Wie wir später erfahren werden, hat Microsoft hierbei die Sicherheitslücken geschlossen[3] -- aber nur für die noch offiziell unterstützten Windows-Versionen.

Am 14.04.2017 veröffentlicht ShadowBrokers die o. g. Exploits. Es gibt im Netz zuerst einen riesengroßen Aufschrei, es ist von der bevorstehenden Cyber-Apokalypse die Rede, da die Sicherheitslücken hinter den Exploits weitgehend unbekannt sind -- bis Microsoft mit dem bereits erwähnten Blogbeitrag[3] "Entwarnung" gibt.

Am 12.05.2017 startet der "WannaCry"-Wurm sein Unwesen. Er befällt vor allem Windows XP Systeme (das von Microsoft nicht mehr unterstützt wird, aber noch recht weit verbreitet ist), aber auch ungepatchte aktuelle Windows-Versionen. Erste prominente Opfer sind englische Krankenhäuser.

Am 13.05.2017 (Samstag, nur einen Tag nach der "Attacke") veröffentlicht Microsoft einen Patch für einige veraltete Windows-Versionen, darunter auch Windows XP.


Das Netz -- allen voran Edward Snowden und sein Fanklub -- hatte schnell einen Schuldigen gefunden: Die NSA, da sie die Sicherheitslücke gefunden, aber nicht (unmittelbar) an Microsoft gemeldet habe. Und jetzt sei sie Schuld an lahmgelegten Krankenhäusern. Und dieser Kritik schloss sich dann heute auch Microsoft selbst an[4]. Aber ist diese Kritik gerechtfertigt?


Man muss diese Fragestellung aus drei Sichtweisen betrachten, aus Sicht von Microsoft, aus Sicht der Windows-Benutzer, und aus Sicht der NSA.


Aus Sicht von Microsoft kann man dazu nur eines sagen: Heuchelei pur. Wenn man auf die Zeitachse schaut, dann hat Microsoft allerspätestens seit dem 14.03.2017 Kenntnis von der Sicherheitslücke, denn da wurde sie bereits geschlossen. Wahrscheinlich steht auch der ausgefallene Patchday von Februar damit im Zusammenhang. Die plausibelste Erklärung ist, dass die NSA im Januar, nachdem klar war dass ShadowBrokers die Exploits hat, Microsoft über die Sicherheitslücke informierte. Also wusste Microsoft seit mindestens 2 Monaten von diesen hochkritischen Lücken, wahrscheinlich eher 3-4 Monate, vielleicht sogar noch länger -- tat aber nichts, um veraltete, aber weit verbreitete Systeme wie Windows XP zu schützen. Aber nachdem WannaCry ausbrach, nachdem die Kacke am Dampfen war, nachdem es schlechte Presse wegen massenhaft gehackten Windows-Systemen gab, da konnte Microsoft innerhalb eines Tages, noch dazu an einem Wochenende, dann plötzlich doch einen Patch ausrollen (was an sich ja sehr löblich ist), und zeigt dann noch mit dem Finger auf die NSA.

Microsoft hat die Sicherheitslücke eingebaut. Microsoft hat sie nicht selbst gefunden, zumindest sehr lange Zeit nicht. Und als Microsoft darüber Kenntnis hatte, wurde zwar recht schnell ein Patch für unterstützte Systeme veröffentlicht, aber es wurde versäumt, die sich anbahnende Katastrophe für veraltete, aber weit verbreitete Windows-Systeme zu verhindern. Also wer auf der Suche nach einem "Schuldigen" ist, der sollte -- abgesehen von den Kriminellen, die WannaCry starteten -- sicherlich zu allererst bei Microsoft klopfen.


An zweiter Stelle kommen die Benutzer und die Firmen, die veraltete Systeme einsetzen, beziehungsweise ihre Systeme nicht patchen. Patchen mag im Einzelfall hart und aufwendig sein (bei reinen Arbeitsplatzrechnern ist das in der Regel aber nicht der Fall), aber wenn man das nicht tut muss man auch wissen auf was man sich einlässt. Sicherheitslücken gab es immer und wird es immer geben. Das ist auch keine besonders neue oder anspruchsvolle Erkenntnis. Jedes einzelne Opfer von WannaCry sollte sich also zuerst an die eigene Nase fassen, bevor es auf andere zeigt.


Bleibt die Sichtweise der NSA. Wie ist das zu beurteilen?

Zunächst muss man sehen, dass die NSA die Sicherheitslücke nicht einbaute. Sie haben sie (wie auch immer, durch eigene Forschung oder durch Kauf) irgendwann entdeckt, und wahrscheinlich auch gegen ihre Ziele eingesetzt. Hätten sie das nicht, dann wäre dadurch ja nicht die Sicherheitslücke weg. Die gäbe es immer noch. Und irgendwann hätte sich diese Lücke auch ohne die NSA gezeigt -- ob ähnlich wie jetzt, oder milder, oder noch schlimmer, das weiß man nicht und wird es auch nie erfahren.

Die NSA wird jetzt kritisiert, da sie die Lücke nicht direkt nach Kenntnisnahme an Microsoft meldeten. Aber was bedeutet das im Umkehrschluss? Die NSA betreibt ja das Forschen nach Sicherheitslücken, um eben solche zu entdecken, die man gegen Ziele einsetzen kann. Würde die amerikanische Regierung sie dazu verpflichten (was ja nun gefordert wird), alls Sicherheitslücken unmittelbar zu melden, dann wäre jedwede Motivation für diese Forschung weg. Die NSA würde dann keine Lücken mehr finden, da man gar nicht erst suchen würde. Aber was wäre dann mit der Lücke? Richtig, immer noch da. Damit wäre kein Problem gelöst, höchstens verlagert.

Die Policy der NSA sieht so aus, dass bei jeder entdeckten Sicherheitslücke evaluiert werden muss, ob sie an den Hersteller gemeldet wird, oder ob sie zurückgehalten und eingesetzt wird. Also wird sie abwägen, den Nutzen gegenüber dem möglichen Schaden, wenn jemand anders die Lücke auch entdeckt (oder wie hier stiehlt). Man kann natürlich jetzt, im Nachhinein, sagen dass hier die Abwägung versagte. Aber im Nachhinein ist man immer schlauer. Mit vielem war nun mal auch kaum zu rechnen, dass die Exploits gestohlen werden, dass sie dann publikumswirksam veröffentlicht werden, und dass Microsoft zwar patcht, aber eben nicht alles.

Ein anderer Aspekt ist der, dass die NSA die Lücke vielleicht gar nicht selbst entdeckte, sondern kaufte. In dem Fall hätte sie es vielleicht gar nicht melden können, ohne das Vertrauensverhältnis mit dem Verkäufer zu zerstören (welches "Vertragsverhältnis" hier vorliegt, ist natürlich reine Spekulation).

Ganz wichtig ist ja auch der Punkt, dass die NSA (höchstwahrscheinlich, genau weiß man es nicht) sehr wohl an Microsoft meldete, wahrscheinlich im Januar 2017. Und dann ging ja auch erst mal alles seinen normalen Weg, Microsoft beseitigte die Lücke und brachte recht zügig ein Update. Wer heute noch XP einsetzt, der wird es auch wahrscheinlich in 3 Jahren noch tun. Und wer heute schon nicht patcht, wird es wohl auch in 3 Jahren nicht tun. Es ist zweifelhaft, ob eine frühere Meldung den Ausgang dieser Geschichte überhaupt wesentlich beeinflusst hätte.

Last but not least sei darauf hingewiesen, dass die amerikanischen Technikkonzerne im Zuge der Snowden-Hysterie auf Konfrontationskurs mit den amerikanischen Sicherheitsbehörden gegangen sind. So entwickelte Apple iPhones, die sie selbst nicht mehr entsperren können (jedenfalls angeblich), und WhatsApp rollte eine Verschlüsselung aus, die sie selbst nicht mehr knacken können (ebenfalls angeblich). Selbst mit einem richterlichen Beschluss sind die Sicherheitsbehörden oft machtlos. In dieser Situation sind Sicherheitslücken oft die einzige Möglichkeit, wie die Behörden an Informationen kommen können, auf die sie einen rechtlichen Anspruch haben. Und dann muss man sich auch nicht wundern, wenn die Behörden genau das tun.



[1] https://www.emptywheel.net/2013/08/24/the-googleyahoo-problem-fruit-of-the-poison-mct/
[2] http://winfuture.de/news,96237.html
[3] https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
[4] https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/



Shared publiclyView activity