Software-Quellcode, interne Geschäfts-E-Mails, Verträge, kurzum: Hacking Team wurde mit heruntergelassenen Hosen erwischt, als am 5. Juli 2015 eine unbekannte Personengruppe deren komplette Unternehmensdaten ins Internet stellte 400 Gigabyte.
Lange Verhandlungen mit der Kantonspolizei
SRF Data zeigte anhand der Verträge aus diesem Datenwust, dass die Kantonspolizei Zürich für eine halbe Million Euro eine Spionagesoftware von Hacking Team gekauft hatte. Diese trägt den Namen «Remote Control System» und ist unter dem Namen «Galileo» bekannt.
Doch es war schwierig, den E-Mail-Verkehr aus diesen 400 Gigabyte herauszufiltern und zu lesen. Die Whistleblower-Plattform Wikileaks hat es nun ermöglicht, alle E-Mails bequem nach Stichworten zu durchsuchen.
Es lässt sich gut nachverfolgen, wie die Kommunikation zwischen Hacking Team und der Kantonspolizei Zürich erfolgte:
- 14. Oktober 2013: erste Kontaktaufnahme der Kantonspolizei Zürich mit Hacking Team
- 17./18. Dezember 2013: Treffen in Zürich zur Demonstration von Galileo
- Bis Dezember 2014: interne Abklärungen bei der Kantonspolizei Zürich, Vertragsverhandlungen.
- 24. Dezember 2014: die Kantonspolizei Zürich erhält eine Rechnung von 486‘500 Euro für Galileo
- 5. Januar 2015: die Kantonspolizei Zürich bestätigt, Vertrag und CD mit der Software erhalten zu haben
- März 2015: Ausbildung und Training des Kantonspolizei-Teams in Galileo
- 3. Februar bis 9. Juni 2015: Support-E-Mails der Kantonspolizei Zürich an Hacking Team
Informative Support-E-Mails
Ein Staatstrojaner wie «Remote Control System» erlaubt es, ein Stück Software auf Smartphones oder Computer zu schmuggeln. Damit lässt sich aus der Ferne in das Gerät hineinblicken. Es ermöglicht beispielsweise, Telefonate mitzuschneiden, private E-Mails mitzulesen, das Gerät zu durchsuchen oder gar Dateien zu verändern.
Ein solcher Staatstrojaner funktioniert also – überspitzt formuliert – wie eine digitale Waffe. Bei einer herkömmlichen Waffe, etwa einer Pistole, ist die Beziehung zwischen Händler und Käuferin einfach: Pistole kaufen, Geld zahlen, fertig. Bei einer digitalen Waffe wie einem Staatstrojaner ist es anders: Der Käufer – in diesem Fall die Kantonspolizei – ist nach dem Kauf abhängig vom Lieferanten, dem Unternehmen Hacking Team.
Das zeigen die E-Mails mit Support-Anfragen, die regelmässig bei Hacking Team eintreffen. Sie geben Einblick, wie mit Galileo gearbeitet wird. So verlässt sich das Team der Kantonspolizei Zürich nach den Trainingstagen häufig auf das mitgelieferte Handbuch und bezieht sich darauf in Fragen an den Support von Hacking Team.
In den Support-E-Mails tauchen auch Fragen zu Funktionalitäten der Software auf, oder wie sich ein Windows-Smartphone einer verdächtigen Person infizieren lässt. In einer anderen Frage bittet jemand von der Kantonspolizei darum, eine Sicherheitslücke im Betriebssystem Android auszunutzen, um via www.blick.ch auf das Smartphone der Zielperson zu kommen.
04.04.2015: Hi HT Could you please provide with an exploit for Android (Galaxy S3, Android Version 4.3). Please find attached the installer file. URL for redirection: www.blick.ch
Und so ist es wie bei jeder anderer komplexen Firmensoftware, beispielsweise SAP: Um Hacking Teams «Remote Control System» zu verwenden, ist eine aufwändige Hardware- und Software-Installation nötig, Handbücher liefern wissen, Personen, die mit ihr arbeiten, müssen trainiert und Support-Anfragen an Hacking Team beantwortet werden.
Das Wunderwerkzeug, um Sicherheitslücken auszunutzen
«Remote Control System» ist eine Art Eier legende Wollmilchsau aus dem Arsenal digitaler Waffen – in dessen Funktionalität die Kantonspolizei Zürich aber keinen vollständigen Einblick erhält. Wie bei jeder anderer Unternehmenssoftware lagert sie so mit dem Staatstrojaner-Kauf einen Teil ihres Wissens aus: Die Kantonspolizei Zürich wird damit lediglich zur Anwenderin. Die benötigte Einsicht in den Quellcode der Software erhält sie nicht.
Dieser sogenannter Code-Audit ist aber gerade bei Staatstrojanern zentral: Damit wird die Qualität der Software analysiert, untersucht, ob Fehler im Code, Schwachstellen oder Sicherheitslücken zu finden sind – oder die Software mehr ermöglicht, als von offizieller Stelle behauptet wird, egal, ob von Behörden- oder Verkäuferseite.
«Analyse einer Regierungs-Malware» (2011)
Der deutsche Chaos Computer Club (CCC) untersuchte 2011 den Software-Code des deutschen Staatstrojaners und fand unter anderem gravierende Sicherheitslücken.
Das Beispiel von Hacking Team, die keine oder nur beschränkte Einsicht in ihren Quellcode gewährten, verdeutlicht erneut, wie wichtig Code-Audits sind: Aus den Firmendaten ist ersichtlich, dass Hacking Team ihrerseits Zugriff auf das «Remote Control System» ihrer Kunden hat. Was die Millionen Code-Zeilen sonst noch für Überraschungen bergen, dürfte sich noch zeigen: Bis der Code im Detail von interessierten Forscherinnen und Forschern untersucht wurde, kann es noch dauern.
Geschäftsgrundlage von Galileo: wertvolle Zero-Day-Exploits
Die E-Mails der Kantonspolizei Zürich sowie weitere E-Mails aus der Wikileaks-Sammlung verdeutlichen, wie «Remote Control System» auf die Geräte der Zielpersonen zugreift: Software-Schwachstellen und Sicherheitslücken, zu denen sich so genannte Exploits entwickeln lassen. Solche Exploits sind die wichtigste Geschäftsgrundlage von Hacking Team.
Ein Exploit ist Programmcode – eine Kette von Befehlen – womit systematisch eine Schwachstelle in einem Programm ausgenutzt wird, etwa eine Fehlfunktion oder eine Sicherheitslücke. Damit ist es möglich, sich Zugang zu Daten zu verschaffen oder Computersysteme zu beeinträchtigen.
Hacking Team forscht nach solchen Exploits, um sie in «Remote Control System» zu integrieren. Je mehr Exploits vorhanden sind, desto mehr Einstiegsmöglichkeiten gibt es in fremde Geräte.
Die Diamanten unter den Exploits sind Zero-Day-Exploits: Schwachstellen, die bislang unveröffentlicht blieben und nur der Person bekannt sind, die sie entdeckte. Zero-Day-Exploits sind deswegen so wertvoll, weil die Schwachstellen mit grosser Wahrscheinlichkeit nicht vom Software-Hersteller behoben werden können. Über die 400 Gigabyte Unternehmensdaten von Hacking Team konnten aber bereits drei Zero-Day-Exploits identifiziert werden. Diese Schwachstellen wurden behoben.
Lukrativer Handel mit Exploits
Statt nach Exploits zu forschen, ist es für Hacking Team weit weniger komplex, sie einfach einzukaufen. So meldet sich etwa 2013 ein 33-jähriger Mann bei Hacking Team und bietet ihnen gleich mehrere Exploits zum Kauf an. Es kommt zu einem Geschäftsabschluss und Hacking Team zahlt 39‘000 Dollar für «Beratertätigkeiten». Im E-Mail-Verkehr von Hacking Team finden sich noch weitere Firmen, die professionell Exploits verkaufen, beispielsweise Vupen aus Frankreich und DSquare Security, deren Herkunftsland unbekannt ist.
Der Handel mit Exploits ist ein lukratives Geschäft. So sind bereits öffentliche Plattformen wie «HackerOne», «Bugcrowd» oder «Cobalt» entstanden, die Prämien auf Schwachstellen aussetzen. Forscherinnen und Forscher können diese gegen eine Prämie beheben und das betroffene Unternehmen kann die Schwachstelle schliessen. Oder es gibt Einzelpersonen wie Kevin Mitnick (siehe Box), der eine geschlossene Handelsplattform exklusiv für Zero-Day-Exploits betreibt. Zu einem Preis von mindestens 100‘000 Dollar, wie er gegenüber der Zeitschrift «Wired» erklärt.
So wie die Kantonspolizei Zürich also vom externen Wissen von Hacking Team abhängig ist, stützt sich wiederum Hacking Team auf externes Wissen – Exploits. Ein Handel, der sich in einem Graubereich bewegt. Denn der übliche Weg sollte eigentlich sein, eine Sicherheitslücke oder eine Schwachstelle dem Software-Hersteller zu melden, der sie daraufhin bereinigen kann – falls er überhaupt auf die Meldung eingeht. Das allerdings bringt für dem Entdecker oder die Entdeckerin kein Geld ein.
