7 Erkenntnisse zum „Vault 7“-Leak
Anfang März 2017 machte der “Vault 7”-Leak von sich reden und stellt entweder die bedeutendste Offenlegung von Verschlusssachen seit Snowden dar, worüber erstmals im Jahr 2013 berichtet wurde, oder könnte sogar „noch größer als Snowden“ sein.
Wir haben sieben Erkenntnisse aus diesem Leak zusammengestellt, mit Unterstützung von F-Secure-Experten, darunter einer unserer Neuzugänge, Andrea Barisani – ein international anerkannter Sicherheitsforscher, Gründer von Inverse Path und jetzt Leiter der Hardwaresicherheit bei F-Secure.
1. Diese Leaks enthüllen, was Experten voraussagten.
Mit Vault 7 präsentierte WikiLeaks in fast 9.000 Dokumenten das, was die Organisation als „die gesamte Hacking-Bandbreite der CIA“ nannte. Dazu zählen Fähigkeiten, in Smartphones, Computer und sogar Internet-fähigen TVs mit Tricks einzudringen, die angeblich die meisten führenden Antivirus-Lösungen, einschließlich F-Secure, umgehen können. Eine Behauptung, die unsere Labs natürlich gleich untersuchen mussten.
Die Methode von Wikileaks direkt den gesamten Leak online zu veröffentlichen steht im Gegensatz zu den Snowden-Links, die von Journalisten von The Guardian, The Intercept und der Washington Post kuratiert wurden. Während der aktuelle Leak – wie die Snowden-Leaks, die vor fast vier Jahren begannen – viele Internet-Nutzer schockiert, bestätigt dies nur den Verdacht der Sicherheitsprofis auf der ganzen Welt.
“Spionage ist Spionage, das ist nichts Neues”, schrieb unser Cyber Security Experte Andy Patel
2. Vault 7 sollte ein Weckruf für die Öffentlichkeit sein.
“Diese Programme werden von bestimmten Geheimdiensten als unverzichtbar angesehen”, so Andrea. “Ich denke, die großen Auswirkungen der Leaks werden nicht innerhalb der Sicherheitscommunity stattfinden, sondern bei einer größeren Öffentlichkeit, die mit solchen Praktiken nicht gerechnet hätte.”
Das Hyppönen-Gesetz sagt: “Immer, wenn ein Gerät als smart bezeichnet wird, ist es anfällig.”
Hoffentlich machen diese Leaks Millionen und Milliarden Menschen rund um den Globus bewusst, dass alles, was mit dem Internet verbunden ist, gehackt werden kann, ob es sich um einen Fernseher oder einen Toaster handelt.
Oder, wie es The Onion ausdrückte …
Die Sicherheit des sich entwickelnden Internets der Dinge inspiriert oft zum Nachdenken. “Es ist wichtig, dass Design und Umsetzung von Anfang an sicher sind”, erklärte Andrea. Im vergangenen Jahr haben unsichere IoT-Geräte dazu beigetragen, uns den bisher größten Angriff auf die Internetinfrastruktur zu bescheren.
Wenn uns das nicht davon überzeugt hat, dass wir uns bemühen sollten, alle intelligenten Geräte zu schützen, wird es vielleicht Vault 7 tun. Wie Andrea uns sagte: “Die Zeit zum Handeln ist jetzt … wenn es nicht sogar gestern war.”
3. Die beste OPSEC-Taktik ist, niemals in Visier eines Geheimdienstes „mit drei Buchstaben“ zu geraten.
Geheimdienste auf der ganzen Welt wenden Milliarden von Dollar auf. Und nachdem Cybersicherheit in der US-Wahl von 2016 eine wichtige Rolle gespielt hat, werden sie noch mehr für Hacking aufwenden. Wenn genug Geld und Mannstunden zur Verfügung stehen, ist alles möglich.
“Die Frage ist eigentlich nicht, ob die CIA unsere Produkte aushebeln kann, die Antwort darauf ist ohnehin immer ja”, erläuterte Mikko Hypponen, Forschungschef von F-Secure. “Wenn sie es jetzt nicht tun können, investieren sie noch eine Million, um eine Lücke zu finden. Es gibt scheinbar unendliche Mittel, um sich solchen Aktivitäten zu widmen. Der Maßstab der Hacking-Kampagne gegen Sicherheitsanbieter und Hardwarehersteller, der in den WikiLeaks-Dateien skizziert wird, bestätigt das.”
4. Es besteht eine Gefahr in diesen Leaks.
Es bestehen Chancen, dass Sie nicht ins Visier der CIA geraten und sich nicht darum kümmern müssen, direkt von einem Arsenal von Hacking-Tools bombardiert zu werden. Aber die „Zero-Day“-Schwachstellen in den Leaks, die den Herstellern vorher nicht bekannt waren, stellen Risiken für Internetnutzer auf der ganzen Welt dar.
“Sobald spezifische Exploits ans Tageslicht kommen, können sie von allen kriminellen Gruppen genutzt werden”, sagte Andrea. “Ihre Verbreitung darf daher nicht auf die leichte Schulter genommen werden.”
Mikko findet die Aktivitäten der CIA rund um diese unbekannten Schwachstellen komisch – und beunruhigend zugleich.
“In Ländern wie den USA ist die Mission des Geheimdienstes, die Bürger des Landes zu schützen”, sagte er. “Der Vault7-Leak beweist, dass die CIA Kenntnis von iPhone-Schwachstellen hatte. Doch anstatt Apple zu informieren, beschloss die CIA, dies geheim zu halten. Der Leak erzählt uns ein wenig darüber, wie die CIA sich entschlossen hat, ihr Wissen zu nutzen: Sie hielt es für wichtiger, alle unsicher zu halten, als ihre Bürger vor der Verwundbarkeit zu schützen und stattdessen möglicherweise die Verwundbarkeit für eigene Zwecke zu nutzen oder Terrorismus entgegenzuwirken.”
5. Updates sind entscheidend.
Diese Leaks zeigen, wie wichtig es für demokratische Nationen ist, eine ordnungsgemäße Beaufsichtigung ihrer Geheimdienste zu leisten. Und sie zeigen auch, wie wichtig es ist, Ihre Geräte zu aktualisieren.
Diese Leaks bestätigen zudem eine Binsenwahrheit: Software ist nie perfekt. Schwachstellen müssen ständig gepatcht werden.
Sowohl Apple als auch Google reagierten auf die Vault 7-Leaks mit Zusicherungen, dass sie ihre Kunden mittels Sicherheits-Updates schützen wollen. Die neuesten Versionen von iOS und Android sorgen für die beste verfügbare Sicherheit. Allerdings zeigen die telemetrischen Daten aus unserem Freedome VPN, dass iOS-Benutzer viel eher aktualisierte Software einsetzen als Android-Nutzer. Während die meisten Apple-Nutzer die neueste Version von iOS, 10.2, auf ihrem Gerät haben, verwendet nur ein Bruchteil von Android-Nutzern Android-Version 7, die bereits im Sommer 2016 veröffentlicht wurde.
“Fazit: Wenn du Android nutzt und dir Sorgen um die Sicherheit deines Gerätes machst, dann wähle deine Hardware sorgfältig aus”, schrieb Sean Sullivan, Sicherheitsberater bei F-Secure. “Nur wenige ausgewählte Anbieter konzentrieren sich derzeit auf die monatlichen Sicherheitsupdates von Google für Endbenutzer.”
6. Seit Jahren sagen wir, es gibt keine Backdoors.
Seit Jahren sagen wir, dass es in unseren Lösungen keine Hintertüren für die Strafverfolgung gibt. Und das beweist nun, dass die Geheimdienste unsere Produkte hacken müssen. Wir freuen uns, dass es für die CIA schwierig ist, unseren Schutz zu umgehen.
Considering adding a new badge to our product box. pic.twitter.com/gOGidSeZ8D
— @mikko (@mikko) March 9, 2017
7. Das sind offensichtlich nicht die letzten Leaks.
“Es ist keine Überraschung, dass die CIA diese Hacking-Techniken benutzt. Was nicht zu erwarten war, ist, dass dieser Leak so riesig ist”, so Mikko Hyppönen. “Also stellt sich die Frage, wie er an Wikileaks gekommen ist? Die Russen, ein Insider? Wir kennen die Antwort nicht. Eine andere Frage, die wir uns fragen müssen, ist: Warum ist dies genau jetzt passiert? Das wissen wir auch nicht.”
Antworten auf diese Fragen könnten helfen, die nächsten Leaks vorherzusagen, die uns wahrscheinlich bevorstehen. Aber für jetzt gilt: Wenn Sie politisch oder geschäftlich im nationalen oder internationalen Rahmen aktiv sind, müssen Sie annehmen, dass jemand Sie hackt.
Wenn nicht, können Sie das als eine Beleidigung hinnehmen.
Kategorien