Mitte Mai 2017 – die Washington Post veröffentlicht einen Bericht, der vielen die Sprache verschlug. Die NSA höchst selbst war im August 2016 von einem Cyberangriff betroffen gewesen, wobei eine wichtige NSA-Sammlung von Exploits von der Hackertruppe genannt Shadow Brokers entwendet worden war. Zunächst könnte hier ja ein Anflug von Schadenfreude aufkommen. Allerdings vergeht einem das Lächeln in Anbetracht der Hintergründe.

Gemäß dem Bericht hortete die NSA unter anderem ganz besonders brisante Windowsschwachstellen Jahre lang und setzte sie für ihre eigenen Spionagezwecke ein. Alles schön und gut, die Menschheit lebt schon lange mit dem ansatzweisen Wissen, was die Geheimdienste mit solchen Werkzeugen anfangen können. Und die NSA-Offiziellen waren wir mit Ausreden hier auch dementsprechend schnell zur Hand – ohne derartige Werkzeuge könnte sie beispielsweise ihre Arbeit nicht tun. Das ist nachvollziehbar. Doch dieser Fall offenbart auch die Gefahren solcher Vorgehensweisen – es ist wie als wenn Unbekannte eine Atombombe aus einem Waffenarsenal entwenden würden und sie zum Verkauf anbieten würden. In so einem hypothetischen Fall wäre die Bombe dann wohl nicht gut genug bewacht gewesen.

Und im Fall dieses NSA-Diebstahls war das NSA-Arsenal wohl in der Tat nicht gut genug gesichert gewesen – das ist einzig und allein der NSA anzulasten. Zähneknirschend und in höchster Not musste die Behörde Microsoft darüber informieren. Der Softwareriese arbeitete fieberhaft an einem Patch und veröffentlichte ihn im März. Allerdings hatte es einen Haken – das Patch war zunächst nur für Anwender mit einer Supportlizenz gedacht. Microsoft plagten aber offenbar aufgrund einer Welle von massiven Ransomware-Angriffen im Mai, die auf diese Schwachstelle aufbauten, die Gewissensbisse – sie gaben das Patch dann doch für alle Anwender frei, selbst für die unverbesserlichen Anwender, die immer noch mit Windows XP arbeiten.

Nach und nach kamen Details zum NSA-Diebstahl und auch zur Windowsschwachstelle an die Öffentlichkeit. Die geheimdienstlichen Hacker bei der NSA waren offenbar Jahre lang ganz angetan von den vielfältigen Möglichkeiten, die diese Windowsschwachstelle ihnen präsentierte. Anfangs gab es allerdings noch ein paar Hürden für die NSA – die Schwachstelle war recht instabil und bekam daher den Beinamen „EternalBlue“ weil sie die infizierten Computer mit Bluescreens abstürzen ließ. Gleichzeitig gab es relativ strenge interne Richtlinien für den Gebrauch von EternalBlue – Verwendung nur für jeweils offiziell genehmigte Einzelfälle. Fünf Jahre lang ging das so weiter. Aus internen Quellen wurde nun bekannt, dass einige NSA-Beamte in dieser Zeit tatsächlich über eine Meldung an Microsoft diskutiert hatten, da sie die Schwachstelle als so gefährlich ansahen. Doch die Geschichte nahm wie wir wissen, einen anderen Lauf.

EternalBlue war mit anderen Hackingtools also im August 2016 von den NSA entwendet worden, und während die Offiziellen dort noch den Verlust betrauerten, in Analysen und internen Prozeduren verstrickt waren, bastelten die Hacker der Shadow Brokers Gruppe bereits fleißig an der Modifizierung von EternalBlue. Sie veröffentlichten dann viele der gestohlenen Schwachstellen, von denen manche wohl so einfach in der Anwendung waren, dass selbst ein Hacker-Neuling damit Schaden anrichten könnte. Am Ende hatte die Computerwelt aber alle Hände voll zu tun allein mit der WannaCry Ransomware. Ein weltweiter riesiger Aufschrei folgte, der selbst das Weiße Haus wach rüttelte. Notfallszenarien aber nicht nur dort. Die Ransomware legte unter vielen anderen, Krankenhäuser in Großbritannien lahm und auch das Innenministerium in Russland und einige Finanzämter in Brasilien.

Kritiker bombardierten die NSA mit Vorwürfen. Wieder einmal wurde das Vertrauen in die Agentur infrage gestellt. Doch die Meinungen waren auch geteilt: Der Spagat zwischen Notwendigkeit und Risiko. Und schließlich dem klaren Vorwurf – es sei ja schließlich nicht das erste Mal, dass die NSA ihr Haus nicht gesichert hätte. Schon im letzten Jahr musste NSA-Direktor Rogers gegenüber Präsident Obama kleinlaut zugeben: „Die NSA hat es sicherlich nicht hingekriegt, ein Umfeld zu schaffen, das die außergewöhnlichen Geheimnisse schützt, die sie hat.“

Der ehemaliger NSA Direktor Keith B. Alexander äußerte sich ebenfalls dazu:

„Die müssen unbedingt ihre Hackingtools besser beschützen – dagegen gibt’s nichts zu sagen.“

Interessanterweise fügte er hinzu, dass die NSA wohl 90 % der entdeckten Schwachstellen an die Softwareunternehmen weitermelden würde. Was er nicht aussprach war wohl, dass die NSA ganz offensichtlich dabei die Rosinen für sich behielt.

Richard Ledgett, stellvertretender NSA Direktor i.R. sagte dazu,

„…dass alle Schwachstellen zu melden faktisch eine einseitige Abrüstung darstellen würden. Und die Idee, dass damit dann alles in Ordnung wäre, völliger Unsinn sei.“

Im Übrigen

„hätte die NSA ihre eigenen internen Prozesse, ob solche Exploits veröffentlicht werden oder selbst verwendet werden.“

Sicherheitsexperten halten dagegen, dass dieser Prozess zwar recht und schön sei, allerdings berücksichtigt er dabei nicht, wirklich schwerwiegende Sicherheitsschwachstellen zum Wohl aller, bekannt zu geben. Nicht einmal dann, als das Dilemma an Microsoft gemeldet wurde, hielt man es bei der NSA für angemessen, die Welt vor der drohenden Gefahr zu warnen.
Derweil verkaufen die Shadow Brokers händereibend ihr Diebesgut weiter im Untergrund sogar als dreistes „Abonnement-Modell“ und weitere, nicht minder gefährliche Angriffe könnten weltweit bevorstehen.

Bleibt abschließend die Frage – wie macht Microsoft eigentlich nicht seine Hausaufgaben. Dermaßen viele Schwachstellen – manche schwerwiegend, manche gar ziemlich simpel – nicht selbst aufzuspüren, ist ein Armutszeugnis an sich! Es ist einfach, die Finger auf die offensichtlichen Bösewichte zu zeigen – die haben wenigstens ihre Hausaufgaben gemacht und die Exploits entdeckt. Microsoft definitiv nicht!

Artikel in zdnet.com, 05.06.2017: Leaked NSA hacking exploit used in WannaCry ransomware is now powering Trojan malware
Artikel in scmagazine.com, 05.06.2017: EternalBlue, used in WannaCry, now with Nitol backdoor and Gh0st RAT
Artikel in threatpost.com, 02.06.2017: EternalBlue Exploit Spreading Gh0st Rat, Nitol
Artikel in fireeye.com, 02.05.2017: Threat actors leverage EternalBlue exploit to deliver non-WannaCry payloads

Urheberrecht des Beitragsbildes: © by 123RF.com