Mittwoch, 2. April 2014


Daniel Vedder
Cyberwar – die neue „4. Domäne“ der Kriegsführung. Im ersten Teil dieser Trilogie erwähnte ich, dass sich viele Länder in diesem Bereich bereits aufrüsten. Hier will ich nun zeigen, dass im Internet nicht nur mit den Säbeln gerasselt, sondern auch schon scharf geschossen wird.
Ein Ausschnitt aus dem "Flame"-Quellcode

Der erste bekannte Zwischenfall, bei dem internationale Spannungen ins Netz überschwappten, geschah 2007 in Estland. Ende April dieses Jahres beschlossen die Behörden der ehemaligen Sowjetrepublik, ein altes russisches Kriegsdenkmal aus dem Zentrum der Hautptstadt Tallinn in ein Randgebiet zu verlegen. Es war ein schlecht gewählter Zeitpunkt, denn kaum zwei Wochen später war der 9. Mai, ein russischer Nationalfeiertag, an dem der Sieg im „Großen Vaterlandskrieg“ gefeiert wird. Sowohl Estlands eigene russische Bevölkerung als auch der große Nachbar fühlten sich vor den Kopf gestossen, es kam zu massiven Straßenprotesten. Bald kamen auch die ersten Online-Angriffe. Über drei Wochen hinweg wurden Internetseiten der Regierung und verschiedener Firmen mit DDoS Attacken lahmgelegt, Botnets von bis zu 85,000 Computern wurden benutzt1. Die psychologische Wirkung auf die Bevölkerung war beachtlich, viel wirtschaftlicher Schaden wurde jedoch nicht verursacht. In den Medien wurde diese Episode (ziemlich übertrieben) als „Web War I“ bekannt, da Estland den Kremlin beschuldete, hinter den Angriffen zu stehen. Jedoch konnte keine Involvierung seitens der russischen Regierung nachgewiesen werden, man geht nun davon aus, dass die Angriffe von unabhängigen patriotischen russischen Hackern gestartet wurden.
Im selben Jahr wurde auch ein weiterer Gebrauch militärischer Cyberfähigkeiten bekannt. Am 6. September zerstörte die israelische Luftwaffe in einem Überraschungsangriff einen im Bau befindlichen syrischen Atomreaktor. Um das Bombergeschwader zu schützen, wurde zuvor eine Radarstation der syrischen Luftabwehr mit einem elektronischen Angriff ausgeschaltet. Niemand bemerkte die Eindringlinge, bis es zu spät war.
Richtig interessant wurde das Onlineschlachtfeld jedoch erst im Juni 2010. In diesem Monat fanden Computersicherheitsexperten den ersten der sogenannten „Superviren“: Stuxnet. Viren sind, wie allgemein bekannt, sich selbst replizierende Computerprogramme, die meist in böswilliger Absicht geschrieben werden. Schätzungen zufolge werden jeden Tag 250,000 neue Viren oder andere Schadsoftware in Umlauf gebracht, die zum großen Teil lediglich aus ein paar hundert Zeilen Code bestehen. Die Komplexität von Stuxnet stellte alles bis dahin Bekannte in den Schatten. Während normale Viren ein paar Kilobyte groß sind, brachte es Stuxnet auf eine Dateigröße von 1MB. (Im Vergleich: die gesamte Bibel als Textdokument ist 4MB groß.) Die Analyse dieses Giganten dauerte über ein Jahr, doch mittlerweile wissen wir recht gut darüber Bescheid.
Das Ziel von Stuxnet war die iranische Urananreicherungsanlage in Natanz, er war also gegen das iranische Atomprogramm gerichtet. Hier infizierte er einen wichtigen Kontrollcomputer, der für die Steuerung spezieller Zentrifugen zuständig war, und modifizierte dessen Einstellungen. Dadurch wurde erreicht, dass die Zentrifugen anfingen, sich schneller zu drehen als vorgesehen, dadurch überhitzten und sich so selbst zerstörten. Da es sich bei diesen Zentrifugen um sehr spezialisierte Maschinen handelt, hat der Angriff das iranische Atomprogramm wahrscheinlich um ca. zwei Jahre zurückgeworfen. Natürlich war der Kontrollcomputer nicht ungeschützt, weshalb dieser Einbruch in eine digitale Hochsicherheitsanlage eine technische Meisterleistung verlangte.
Stuxnet konnte von seinen Entwicklern über sogenannte „Command and Control Server“ ferngesteuert werden, damit er sich in die richtige Richtung ausbreitete. Jedoch sind wichtige Infrastrukturanlagen meistens vollständig von externen Netzwerken, inklusive dem Internet, isoliert, um eben solche Infektionen zu verhindern. Daher war er auch mit der Fähigkeit ausgestattet, sich selbstständig weiterzuverbreiten, entweder über interne Netzwerke oder über digitale Speichermedien wie USB-Sticks. Obwohl er über 100,000 Computer in über 25 Ländern infizierte, blieb er ein ganzes Jahr lang unerkannt, da er Antivirenprogramm ausweichen konnte. Außerdem war er so programmiert, dass er auf einem Computer erst aktiv wurde, wenn er auf diesem Computer ein besonderes Steuerungsprogramm installiert fand, das in Industrieanlagen wie Natanz verwendet wird. Der erste Schritt, als er dann auf dem Zielrechner angekommen war, war die Daten der verschiedenen Überwachungsinstrumente aufzuzeichnen. Dann wurde, wie oben beschrieben, die Steuerungssoftware verändert. Um keinen Verdacht zu erregen, wurden zeitgleich die zuerst aufgezeichneten Daten wie ein Film wieder abgespielt, um dem Personal vorzutäuschen, dass alles richtig lief. Um all dies zu erreichen, wurden sage und schreibe vier Windows Zero-day Exploits ausgenutzt2.
Man schätzt, dass ein Team von fünf bis zehn Entwicklern sechs Monate bis zwei Jahre lang an Stuxnet gearbeitet hat. Wahrscheinlich wurde ihnen dafür die komplette Natanzanlage einzig und allein zu Testzwecken nachgebaut. Die Ressourcen an Geld, Know-how und Spionageinformation, die für so eine Operation benötigt werden, machen es deutlich, dass man es hier mit der Aktion eines Staates zu tun hat, und nicht mit der irgendeines kleinen Hackerclubs. Frühen Verdachtsmomenten entsprechend stecken laut der Aussage einiger Beamter die USA und Israel hinter dem Angriff3.
Seitdem wurden drei weiter Superviren gefunden, die Stuxnet in ihrer Komplexität entsprechen, jedoch alle reine Spionageviren sind, also keinen physischen Schaden anrichteten. Duqu wurde 2011 gefunden, Flame und Red October 2012. Die beiden ersteren sind sehr ähnlich aufgebaut wie Stuxnet, wodurch man auf gemeinsame Urheber schließt. Allerdings ist Flame ungleich größer und komplizierter als Stuxnet: er bringt es auf 20MB. Red October schliesslich wird Russland zugeordnet, da der Quellcode in sehr gebrochenem, russisch-angehauchtem Englisch geschrieben ist, was allerdings auch eine falsche Fährte sein könnte. Auch China ist nicht untätig geblieben: 2009 wurde eine Computerspionageoperation aufgedeckt, die in 103 Ländern Rechner der Regierung oder internationaler Organisationen unterwandert hatte. Die nun als „GhostNet“ bekannte Operation ist höchstwahrscheinlich Beijing zuzuordnen4. Das neueste Nachricht eines Cyberkonflikts kam Anfang diesen Monats aus der Ukraine, wo Russland angeblich die Handykommunikation von Parlamentsabgeordneten unterbrochen hat.5
Es sollte mittlerweile offenkundig sein, dass das Internet längst kein „kalter“ Kriegsschauplatz mehr ist. Angesichts solcher scheinbar unaufhaltbaren Bedrohungen wie Stuxnet oder Flame ist es vielleicht verständlich, wenn viele Medienberichte eine Tendenz zur Panikmacherei aufweisen. Schliesslich kann man sich ausmalen, was passieren würde, wenn ein Stuxnet-ähnlicher Virus die komplette deutsche Stromversorgung lahmlegen würde. Horrorszenarien sind leicht zu entwerfen. Doch halten sie auch einer tiefergehenden Analyse stand? Müssen wir uns wirklich vor einem digitalen dritten Weltkrieg fürchten? Im nächsten und letzten Teil der Cyberwar-Trilogie will ich mich dieser Frage widmen.

Anmerkungen

  1. DDoS Angriff: ein Denial of Service (DoS) Angriff ist ein relativ unkomplizierter Angriff, bei dem ein Computer, v.a. ein Webserver, so lange mit Anfragen bombardiert wird, bis er nicht mehr alle bewältigen kann und zusammenbricht. Bei Distributed Denial of Service (DDoS) Angriffen werden Netzwerke gekaperter (Heim-)Computer, sog. Botnets, benutzt, um eine größere Schlagkraft zu erzielen.
  2. Zero-day Exploit: ein Exploit ist ein Fehler in einem Programm, den ein Angreifer ausnutzen kann, um über einen Computer, auf dem dieses Programm installiert ist, die Kontrolle zu erlangen. Ein Zero-day Exploit ist ein Exploit, der noch nicht öffentlich bekannt ist, gegen den es also noch keinen Schutz gibt. Es braucht sehr viel Können, um ein gutes Zero-day zu finden, man kann aber auch sehr viel mit ihnen anrichten. Deshalb werden sie gerne auf dem Schwarzmarkt gehandelt, wobei sie umso wertvoller sind, je bekannter das Programm ist, für das sie gefunden wurden. Ein Zero-day für das Betriebssystem Windows ist gut und gern $50.000 wert. Gleich vier davon in einem Virus zu verwenden, wie bei Stuxnet, ist deshalb ein noch nie dagewesener „Luxus“.
  3. Ellen Nakashima, Greg Miller, Julie Tate. “U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say” Washington Post, 19th June 2012
  4. Für mehr Beispiele siehe: Thomas Rid (2012): “Cyber War Will Not Take Place”, Journal of Strategic Studies, 35:1, 5-32
  5. Dave Lee „Russia and Ukraine in cyber 'stand-off'“ BBC News, 5th March 2014


Die Cyberwar-Trilogie:
  1. Die ersten Schüsse

Kommentare:

  1. Wenn das Steuerungsprogramm der Zentrifugen bekannt war, konnte es sich ja nicht um eine iranische Erfindung handeln. Demzufolge müsste es doch auch in anderen Anreicherungsanlagen vorhanden gewesen sein. Wie konnte verhindert werden, diese zu beschädigen?

    AntwortenLöschen
  2. Die Zentrifugen samt Steuerungsprogramm waren Siemensprodukte, also an sich hast du recht, es hätte sich wahrscheinlich auch anderswo einnisten können. Allerdings wurde die Verbreitung von Stuxnet wie oben erwähnt größtenteils von Command and Control Servern übersehen, mit dem Resultat, dass die meisten Infektionen im Iran auftauchen, die Streuung also sehr gering gehalten wurde. Außerdem war Stuxnet auch auf andere Weisen an sein Zielsystem angepasst, ob es also in einer anderen Anreicherungsanlage auch Schäden hervorgerufen hätte kann ich nicht einschätzen.

    AntwortenLöschen

CATOteam 2013
Ceterum censeo...