Zum Inhalt springen

Digital Hacking Team, die Kapoleaks und der Handel mit Sicherheitslücken

Alle Geschäftsdokumente des italienischen Unternehmens Hacking Team sind derzeit im Internet zu finden. Darin zeigt sich: Es verkaufte seine Spionagesoftware auch an die Kanontspolizei Zürich. Diese Software nutzt Sicherheitslücken aus – dahinter steckt ein riesiges, oft zwielichtiges Geschäft.

Der Klischee-Kapuzenpullihacker aus dem Hacking Team-Werbevideo neben einem Schüsselbund, an dem zahlreiche Schlüssel hängen.
Legende: Exploits haben ihren Preis, bis sie ihren Weg in das «Remote Control System» finden. Collage SRF

Software-Quellcode, interne Geschäfts-E-Mails, Verträge, kurzum: Hacking Team wurde mit heruntergelassenen Hosen erwischt, als am 5. Juli 2015 eine unbekannte Personengruppe deren komplette Unternehmensdaten ins Internet stellte 400 Gigabyte.

Lange Verhandlungen mit der Kantonspolizei

SRF Data zeigte anhand der Verträge aus diesem Datenwust, dass die Kantonspolizei Zürich für eine halbe Million Euro eine Spionagesoftware von Hacking Team gekauft hatte. Diese trägt den Namen «Remote Control System» und ist unter dem Namen «Galileo» bekannt.

Doch es war schwierig, den E-Mail-Verkehr aus diesen 400 Gigabyte herauszufiltern und zu lesen. Die Whistleblower-Plattform Wikileaks hat es nun ermöglicht, Link öffnet in einem neuen Fenster, alle E-Mails bequem nach Stichworten zu durchsuchen.

Es lässt sich gut nachverfolgen, wie die Kommunikation zwischen Hacking Team und der Kantonspolizei Zürich erfolgte:

  • 14. Oktober 2013: erste Kontaktaufnahme der Kantonspolizei Zürich mit Hacking Team
  • 17./18. Dezember 2013: Treffen in Zürich zur Demonstration von Galileo
  • Bis Dezember 2014: interne Abklärungen bei der Kantonspolizei Zürich, Vertragsverhandlungen.
  • 24. Dezember 2014: die Kantonspolizei Zürich erhält eine Rechnung von 486‘500 Euro für Galileo
  • 5. Januar 2015: die Kantonspolizei Zürich bestätigt, Vertrag und CD mit der Software erhalten zu haben
  • März 2015: Ausbildung und Training des Kantonspolizei-Teams in Galileo
  • 3. Februar bis 9. Juni 2015: Support-E-Mails der Kantonspolizei Zürich an Hacking Team

Informative Support-E-Mails

Ein Staatstrojaner wie «Remote Control System» erlaubt es, ein Stück Software auf Smartphones oder Computer zu schmuggeln. Damit lässt sich aus der Ferne in das Gerät hineinblicken. Es ermöglicht beispielsweise, Telefonate mitzuschneiden, private E-Mails mitzulesen, das Gerät zu durchsuchen oder gar Dateien zu verändern.

Ein solcher Staatstrojaner funktioniert also – überspitzt formuliert – wie eine digitale Waffe. Bei einer herkömmlichen Waffe, etwa einer Pistole, ist die Beziehung zwischen Händler und Käuferin einfach: Pistole kaufen, Geld zahlen, fertig. Bei einer digitalen Waffe wie einem Staatstrojaner ist es anders: Der Käufer – in diesem Fall die Kantonspolizei – ist nach dem Kauf abhängig vom Lieferanten, dem Unternehmen Hacking Team.

Das zeigen die E-Mails mit Support-Anfragen, die regelmässig bei Hacking Team eintreffen. Sie geben Einblick, wie mit Galileo gearbeitet wird. So verlässt sich das Team der Kantonspolizei Zürich nach den Trainingstagen häufig auf das mitgelieferte Handbuch und bezieht sich darauf in Fragen an den Support von Hacking Team.

In den Support-E-Mails tauchen auch Fragen zu Funktionalitäten der Software auf, oder wie sich ein Windows-Smartphone einer verdächtigen Person infizieren lässt. In einer anderen Frage bittet jemand von der Kantonspolizei darum, eine Sicherheitslücke im Betriebssystem Android auszunutzen, um via www.blick.ch auf das Smartphone der Zielperson zu kommen.

04.04.2015: Hi HT Could you please provide with an exploit for Android (Galaxy S3, Android Version 4.3). Please find attached the installer file. URL for redirection: www.blick.ch
Autor: Support-MailKantonspolizei Zürich

Und so ist es wie bei jeder anderer komplexen Firmensoftware, beispielsweise SAP: Um Hacking Teams «Remote Control System» zu verwenden, ist eine aufwändige Hardware- und Software-Installation nötig, Handbücher liefern wissen, Personen, die mit ihr arbeiten, müssen trainiert und Support-Anfragen an Hacking Team beantwortet werden.

Das Wunderwerkzeug, um Sicherheitslücken auszunutzen

«Remote Control System» ist eine Art Eier legende Wollmilchsau aus dem Arsenal digitaler Waffen – in dessen Funktionalität die Kantonspolizei Zürich aber keinen vollständigen Einblick erhält. Wie bei jeder anderer Unternehmenssoftware lagert sie so mit dem Staatstrojaner-Kauf einen Teil ihres Wissens aus: Die Kantonspolizei Zürich wird damit lediglich zur Anwenderin. Die benötigte Einsicht in den Quellcode der Software erhält sie nicht.

Dieser sogenannter Code-Audit ist aber gerade bei Staatstrojanern zentral: Damit wird die Qualität der Software analysiert, untersucht, ob Fehler im Code, Schwachstellen oder Sicherheitslücken zu finden sind – oder die Software mehr ermöglicht, als von offizieller Stelle behauptet wird, egal, ob von Behörden- oder Verkäuferseite.

Der deutsche Chaos Computer Club (CCC) untersuchte 2011 den Software-Code des deutschen Staatstrojaners und fand unter anderem gravierende Sicherheitslücken, Link öffnet in einem neuen Fenster.

Das Beispiel von Hacking Team, die keine oder nur beschränkte Einsicht in ihren Quellcode gewährten, verdeutlicht erneut, wie wichtig Code-Audits sind: Aus den Firmendaten ist ersichtlich, dass Hacking Team ihrerseits Zugriff, Link öffnet in einem neuen Fenster auf das «Remote Control System» ihrer Kunden hat. Was die Millionen Code-Zeilen sonst noch für Überraschungen bergen, dürfte sich noch zeigen: Bis der Code im Detail von interessierten Forscherinnen und Forschern untersucht wurde, kann es noch dauern.

Geschäftsgrundlage von Galileo: wertvolle Zero-Day-Exploits

Die E-Mails der Kantonspolizei Zürich sowie weitere E-Mails aus der Wikileaks-Sammlung verdeutlichen, wie «Remote Control System» auf die Geräte der Zielpersonen zugreift: Software-Schwachstellen und Sicherheitslücken, zu denen sich so genannte Exploits, Link öffnet in einem neuen Fenster entwickeln lassen. Solche Exploits sind die wichtigste Geschäftsgrundlage von Hacking Team.

Ein Exploit ist Programmcode – eine Kette von Befehlen – womit systematisch eine Schwachstelle in einem Programm ausgenutzt wird, etwa eine Fehlfunktion oder eine Sicherheitslücke. Damit ist es möglich, sich Zugang zu Daten zu verschaffen oder Computersysteme zu beeinträchtigen.

Hacking Team forscht nach solchen Exploits, um sie in «Remote Control System» zu integrieren. Je mehr Exploits vorhanden sind, desto mehr Einstiegsmöglichkeiten gibt es in fremde Geräte.

Die Diamanten unter den Exploits sind Zero-Day-Exploits: Schwachstellen, die bislang unveröffentlicht blieben und nur der Person bekannt sind, die sie entdeckte. Zero-Day-Exploits sind deswegen so wertvoll, weil die Schwachstellen mit grosser Wahrscheinlichkeit nicht vom Software-Hersteller behoben werden können. Über die 400 Gigabyte Unternehmensdaten von Hacking Team konnten aber bereits drei Zero-Day-Exploits, Link öffnet in einem neuen Fenster identifiziert werden. Diese Schwachstellen wurden behoben.

Lukrativer Handel mit Exploits

Statt nach Exploits zu forschen, ist es für Hacking Team weit weniger komplex, sie einfach einzukaufen. So meldet sich etwa 2013 ein 33-jähriger Mann bei Hacking Team und bietet ihnen gleich mehrere Exploits zum Kauf an. Es kommt zu einem Geschäftsabschluss und Hacking Team zahlt 39‘000 Dollar für «Beratertätigkeiten». Im E-Mail-Verkehr von Hacking Team finden sich noch weitere Firmen, die professionell Exploits verkaufen, beispielsweise Vupen, Link öffnet in einem neuen Fenster aus Frankreich und DSquare Security, Link öffnet in einem neuen Fenster, deren Herkunftsland unbekannt ist.

Der Handel mit Exploits ist ein lukratives Geschäft. So sind bereits öffentliche Plattformen wie «HackerOne, Link öffnet in einem neuen Fenster», «Bugcrowd, Link öffnet in einem neuen Fenster» oder «Cobalt, Link öffnet in einem neuen Fenster» entstanden, die Prämien auf Schwachstellen aussetzen. Forscherinnen und Forscher können diese gegen eine Prämie beheben und das betroffene Unternehmen kann die Schwachstelle schliessen. Oder es gibt Einzelpersonen wie Kevin Mitnick, Link öffnet in einem neuen Fenster (siehe Box), der eine geschlossene Handelsplattform, Link öffnet in einem neuen Fenster exklusiv für Zero-Day-Exploits betreibt. Zu einem Preis von mindestens 100‘000 Dollar, wie er gegenüber der Zeitschrift «Wired», Link öffnet in einem neuen Fenster erklärt.

So wie die Kantonspolizei Zürich also vom externen Wissen von Hacking Team abhängig ist, stützt sich wiederum Hacking Team auf externes Wissen – Exploits. Ein Handel, der sich in einem Graubereich bewegt. Denn der übliche Weg sollte eigentlich sein, eine Sicherheitslücke oder eine Schwachstelle dem Software-Hersteller zu melden, der sie daraufhin bereinigen kann – falls er überhaupt auf die Meldung eingeht. Das allerdings bringt für dem Entdecker oder die Entdeckerin kein Geld ein.

Zur Person: Kevin Mitnick

Kevin Mitnick war ein gesuchter Hacker Mitte der 90er-Jahre und wurde schliesslich für seine Taten zu mehreren Jahren Gefängnis verurteilt. Er ist bekannt für seine Fähigkeiten zu «Social Engingeering», der sozialen Manipulation. Heute ist er als Sicherheitsberater und Autor tätig.

7 Kommentare

Navigation aufklappen Navigation zuklappen

Sie sind angemeldet als Who ? (whoareyou) (abmelden)

Teilen Sie Ihre Meinung... anwählen um einen Kommentar zu schreiben

Wir haben Ihren Kommentar erhalten und werden ihn nach Prüfung freischalten.

Einen Kommentar schreiben

Bitte beachten Sie unsere Netiquette verfügbar sind noch 500 Zeichen

Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.

  • Kommentar von Hans Muster, Schweiz
    Eine Antwort der Kapo Zürich war ja, dass sie solche Tools gerne jederzeit an einem anderen, noch sicheren Ort bestellen würden. Man solle nur sagen wo. Bitteschön! - Okay, braucht etwas Beschreibung meinerseits... Nehmen wir zum Vergleich die Nationalstrassen, gehören dem Bund. Zeitnah zur Einführung des "Neuen Finanzausgleich" kam man auf die Idee, den Unterhalt in regionale Betreiberfirmen auszulagern. War wahrscheinlich auch ... --- Rest des Kommentars: http://pastebin.com/CnvF4Lmf
    Ablehnen den Kommentar ablehnen Antworten anwählen um auf den Kommentar zu antworten
  • Kommentar von Kojiro Kamex, nowhere
    "Das allerdings bringt für dem Entdecker oder die Entdeckerin kein Geld ein." Stimmt so nicht immer, diverse Firmen bieten "Kopfgeld" für das auffinden von Sicherheitslücken, z.B. Google https://www.google.com/about/appsecurity/android-rewards/ http://www.google.com/about/appsecurity/reward-program/ http://www.google.com/about/appsecurity/chrome-rewards/ Microsoft und Facebook übrigens auch, da bin ich aber zu faul entsprechende Seiten rauszusuchen.
    Ablehnen den Kommentar ablehnen Antworten anwählen um auf den Kommentar zu antworten
  • Kommentar von Lorent Patron, Zürich
    Aus dem Email-Verkehr geht auch hervor, dass die KaPo dem Hacking Team Zugang ins eigene VPN (Virtual Private Network) gewährte. Es wird meines Erachtens zu wenig thematisiert, dass dadurch vermutlich auch das KaPo-eigene Netzwerk infiltriert und in grossen Teilen infisziert wurde. Dadurch angerichtete Schäden würden in den zweistelligen Millionenbereich vordringen. Ganz abgesehen vom Nutzen, der insbesondere die organisierte Kriminalität davon trägt.
    Ablehnen den Kommentar ablehnen Antworten anwählen um auf den Kommentar zu antworten
    1. Antwort von Beda Bader, Chur
      Sie haben recht, der Mailverkehrt unter https://wikileaks.org/hackingteam/emails/emailid/547201 lässt darauf schliessen, dass die KaPo das Hacking Team tatsächlich auf ihr Live-System liess. Müsste einem sowas nicht extrem zu denken geben? Warum wird darüber nicht in den Medien berichtet und nachgefragt, wie die KaPo nun gedenkt, das eigene Netzwerk wieder sicher zu machen?
      Ablehnen den Kommentar ablehnen