+43 699 / 18199463
office@itexperst.at
White Hat Hackergruppe L0pht: In 20 Jahren kaum Veraenderungen in IT-Sicherheit

White Hat Hackergruppe L0pht: In 20 Jahren kaum Veränderungen der IT-Sicherheit

L0pht Heavy Industries gehörte zu den Anfängen der White Hat Hackergeneration Anfang der 1990er Jahre. Schon früh erkannte die Gruppe die Schwächen der damaligen Computer Hard- und Software und sprach darüber in der Öffentlichkeit. Sie machten es sich zur Aufgabe nach Sicherheitslücken oder Fehler in IT-Produkten zu suchen und diese dann an die betroffenen Hersteller weiterzumelden. Gleichzeitig veröffentlichten sie Sicherheitsupdates, die die jeweiligen Sicherheitslücken erklärten. Den Unternehmen war das damals ein Dorn im Auge gewesen, schließlich brachte es ihnen einen schlechten Ruf ein. Doch die L0pht-Gruppe blieb standhaft und hielt durch. Ihr Vorgehen machte sie dann auch berühmt.

1998 wurde sie nach Washington in den Kongress eingeladen. Sieben Mitglieder nahmen an der Anhörung teil und berichteten dem Kongress über den Stand der Dinge in Sachen Internet- und Computersicherheit. Besonders haften blieb den Abgeordneten damals der Hinweis, jeder der anwesenden L0pht Hacker könnte das Internet binnen 30 Minuten lahmlegen. Die Grundlagenarbeit von L0pht gab fortan allen Hackern mit guten Absichten eine echte Daseinsberechtigung und die Gruppe war Mitbegründer einer IT-Sicherheitsindustrie, die bis heute viele Nachahmer gefunden hat. Alle L0pht Gründungsmitglieder blieben sehr aktiv in der Branche. Sie gründeten Sicherheitsfirmen, forschten im Regierungsauftrag und traten Sicherheitsteams großer Tech-Firmen bei. Und 20 Jahre später, im Mai 2018, kamen sie wieder zusammen in einem Forum des Congressional Internet Caucus in Washington D.C. Was sie dort zu sagen hatten, war wieder höchst interessant.

Vier L0pht Mitglieder mit den Hackerpseudonymen Kingpin, Mudge, Weld Pond und Space Rogue saßen dieses Jahr vor dem bunten Publikum im Kongress und hatten genauso viele Warnungen bereit, wie schon 20 Jahre zuvor. Bürgerlich heißen die Vier: Joe Grand, Peiter Zatko, Chris Wysopal und Cris Thomas. Zatko verbreitete anfangs etwas Positives – seiner Ansicht nach wäre der Stand der Cybersicherheit erheblich besser ist als 1998. Aber er sagte auch:

„Wenn Sie nach Computersicherheit suchen, dann ist das Internet nicht wirklich der richtige Ort.“

Lob von der Gruppe gabs hierbei für Google Chrome und Microsoft Edge. Sie seien „einige der besser gebauten Produkte, wenn es um Sicherheit geht“. iOS, macOS und Windows 10 seien „härter zu knackende Ziele“ als ihre Vorgänger. Falls es mal Exploits für sie gibt, was wirklich selten ist, werden sie im Darkweb für Hunderttausende von Dollar gehandelt, so Zatko.

Grand und Wysopal berichteten, dass Unternehmen inzwischen ein viel offeneres Ohr für entdeckte Sicherheitsschwachstellen haben, sie würden jetzt sogar was dafür zahlen. White Hat Hacker hätten sich inzwischen vollständig etablieren können. Früher seien sie weggeschickt und verflucht worden und heute ernten sie Dank und Geld.

Es sei billiger und einfacher für Unternehmen, unsichere Software zu verkaufen

Es wurde einstimmig darauf hingewiesen, dass Endkunden jedoch immer noch immense Schwierigkeiten haben, sichere Produkte zu finden. Das gilt für kleine und ganz große Kunden, wie Regierungsbehörden, gleichermaßen. Alle tun sich schwer, sichere Produkte von unsicheren zu unterscheiden. Das läge vor allem an den Herstellern von Sicherheitstechnik. Viele Anbieter würden alle möglichen tollen Sicherheitsprodukte wie Anti-Malware-Dienstprogramme und ähnliche Dinge verkaufen. Aber eigentlich würden sie damit jedoch nur neue Angriffsflächen verkaufen. Alle Hersteller von Sicherheitsprodukten sollten lieber daran arbeiten, ihren Code zu vereinfachen. Schon 1998 hatten die L0pht-Hacker bereits wenig Vertrauen in die Fähigkeit des Marktes gehabt – der Markt wäre unfähig, Unternehmen dazu zu zwingen, sichere Produkte zu liefern –

„es sei billiger und einfacher für Unternehmen, unsichere Software zu verkaufen“,

sagte Zatko damals – und er klang 2018 diesbezüglich nicht viel optimistischer. Für alles gäbe es heute Sicherheitstests und Richtlinien – nur offensichtlich nicht für Software, sagte er.

Und Grand sprach dann auch den sehr unsicheren Zustand von Geräten im Internet der Dinge an. Er könne keine Erklärung dafür finden, wieso alles überhaupt mit dem Internet verbunden sein müsse und wie das so weit kommen konnte. IoT-Sicherheitsfehler wie hart codierte Passwörter, unverschlüsselte Kommunikationen und nicht signierter Code seien genau die Art von Schwachstellen, die er und seine L0pht-Kollegen schon damals für viel zu simple hielten – „Sie sollten nicht einmal dazu benutzt werden, etwas zu hacken“, scherzte er auf dem Forum.

Ein Staat beauftragt ein Team, um die USA anzugreifen

Erstaunlich war, dass die L0pht Kritikpunkte von 1998 sich heute fast komplett bewahrheitet hätten. Allerdings hätte damals niemand geahnt, dass Angriffe von nationalstaatlicher Ebene so ein Thema sein würden.

„Es schien damals alles nur in Theorie möglich zu sein – dass ein Staat ein Team von Leuten wie uns beauftragen würde, die Vereinigten Staaten anzugreifen! Zwanzig Jahre später ist das fast tägliche Realität und eine vorherrschende Bedrohung.“

Kernsysteme wie den Domain Name Service, die Standortverschlüsselung und das Border Gateway Protocol Routing seien völlig unsicher.

„Wieso bleibt es eigentlich dem Markt überlassen über die Sicherheit zu bestimmen?“,

fragten die Protagonisten. Zatko und Wysopal waren sogar starke Befürworter für die Offenlegung der Produktstückliste, einschließlich der Herstellungstools und der darin eingebetteten Softwarebibliotheken. „Dann“, so Zatko, „könnten die Leute anfangen zu sehen, was da drin steckt und könnten fundierte Entscheidungen treffen, um diesen Mist nicht zu kaufen.“

Alle vier waren sich einig darüber, dass die amerikanische Regierung aktiver werden müsse in Sachen Cybersicherheit. Bisher seien Standards, Zertifizierungen und Schutzmaßnahmen nicht gut genug festgelegt oder durchgesetzt worden. Richtlinien basierten eher auf subjektiver Sicht als auf Daten, die eine starke Cybersicherheit veranschaulichen könnten. Und Joe Grand sagt noch, Sicherheitsforschung sei heute noch gefährlicher als damals, weil wir in einer sehr streitwilligen Gesellschaft leben würden. Deshalb habe man sich als Hacker damals schon Pseudonyme gegeben.

„Heute bin ich noch viel nervöser, habe Kinder und will nicht ins Gefängnis geschickt werden. Fast alles, was wir vor 20 Jahren an dieser Stelle gesagt haben, gilt heute immer noch. Ja, es gab Verbesserungen, aber die allgemeinen Probleme, sind noch genau die gleichen.“

Artikel von the-parallax.com, 24.05.2018: 20 years on, L0pht hackers return to D.C. with dire warnings
Artikel von ybertalk.org, 24.05.2018: Hackers to Congress: 20 years later, cybersecurity issues remain
Artikel von washingtonpost.com, 23.05.2018: The Cybersecurity 202: These hackers warned Congress the internet was not secure. 20 years later, their message is the same.

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen