FM4-Logo

jetzt live:

Aktueller Musiktitel:

CIA Logo

AFP

Erich Moechel

Brisanter Prozess um CIA-Leaks vor dem Start

Ein in Teilen geleakter interner Untersuchungsbericht der CIA bestätigt nun eine FM4-Analyse von 2017 über schwere Sicherheitsmängel durch fehlende Zugriffskontrollen im internen Netz der CIA-Abteilung für „Cyber Intelligence“.

von Erich Moechel

In den USA läuft die Vorbereitung auf einen Prozess, der für die CIA nur blamabel enden kann. Der ehemalige CIA-Techniker Joshua Schulte ist angeklagt, ein ganzes Arsenal von Angriffssoftware 2017 an Wikileaks weitergegeben zu haben. Im Vorfeld kam nun ein interner Untersuchungsbericht ans Licht, der dem Geheimdienst ein denkbar schlechtes Zeugnis bei der eigenen Sicherheit ausstellt.

Bis heute weiß man nicht, welche Datensätze überhaupt kompromittiert wurden. Für die Datenbanken des „Center for Cyber Intelligence“ der CIA gab es nämlich weder Zugangskontrollen noch wurde Protokoll über Zugriffe geführt. Die Kernaussagen des Berichts bestätigen die Ergebnisse einer Analyse von ORF.at aus dem Jahr 2017. Verraten hatte damals alles ausgerechnet das unscheinbarste aller von Wikileaks 2017 veröffentlichten Software-Tools der CIA.

Wyden CIA

public domain

Auszug aus dem internen Untersuchungsbericht der CIA, der vom Kongressabgeordneten Ron Wyden (D) veröffentlicht wurde. Wyden ist inzwischen nach eigenen Ausagen hinter dem gesamten Bericht her.

„Geheime Cyberwaffen nicht abgesichert“

CIA-Leak zeigt schwere interne Sicherheitsmängel auf - ein unscheinbares Tool zur versteckten Markierung von Dokumenten zeigt, dass es CIA-intern 2016 keine effizienten Sicherheitsmaßnahmen gegen Leaker gab,

„Die meisten unserer geheimen Cyberwaffen waren nicht abgesichert, auf Administratoreneben wurde gemeinsame Passworte benutzt, es gab keine Kontrollen der USB-Schnittstellen, historische Daten waren für alle Benutzer unbegrenzt zugänglich“, so der Bericht. Angeblich waren nur die Server und Datenbanken der operativen Cyberagenten betroffen, die es offenbar gern unkompliziert bei Zugriffen hatten. In den bereits bekanntgewordenen Passagen werden bezeichnenderweise nur zwei Zahlen angeführt, nämlich „180 Gigabyte bis zu 34 Terabyte“, betreffend die möglicherweise kompromittierten Datensätze.

Bis heute weiß man also in der CIA noch nicht einmal ungefähr, was da alles tatsächlich abhanden gekommen ist. Wikileaks gab an, über 8.761 Dokumente aus dem CIA-Arsenal zu verfügen, die aber längst nicht alle veröffentlicht wurden: Handbücher, Tutorials, einzelne Programme, manchmal auch deren Quellcodes. Zu Tage kamen Schadprogramme zum Passwortdiebstahl, Rootkits zur Verschleierung des Angriffs, Software-Frameworks zur Steuerung der Command-Control-Server und der Exfiltration von Daten aus einem angegriffenen Netz, eben alles was ein Cyberagent für seine Arbeit braucht.

Scribbles Tracking

CC | MiKa deepsec.net

In etwa so funktioniert das Zusammenspiel zwischen dem Tracking-Server der CIA und der Scribbles Watermark. Der zusätzlich gesetzte HTML-ETag wird benützt um Kopien des Dokuments zuordnen zu können. Anleitungen und Quellcode von Scribbles 1.0 im letzten „Vault 7“ Release von Wikileaks

Das CIA-Tool „Scribbles“ im FM4-Test

Die erste Tranche der Wikileaks-Veröffentlichungen im März 2017 zeigte erstmals auf, dass auch die CIA über eine mittlerweile tausende Mitarbeiter umfassende Abteilung für Schadsoftware verfügt.

Unter diesen ausprogrammierten Angriffssuites mit Einbruchs-, Tarn- und Spionagemodulen aber fand sich ein unscheinbares Progrämmchen mit Namen „Scribbles“ („Kritzlerei“), das in jeder Beziehung aus der Reihe fiel. Scribbles war das einzige rein defensive Werkzeug im gesamten Konvolut, das veröffentlicht wurde, ein sogenanntes Watermarking-Tool, das Word und Excel-Dokumente mit unsichtbaren Signaturen versieht, um die Verbreitung der Dokumente verfolgen zu können.

Wie eine Analyse des Wiener Sicherheitsforschers Michael Kafka ergab, war die vorliegende Version 1.0 eigentlich ein Pre-Release, also eine Art Beta-Version mit sehr überschaubarer Funktionalität. Sobald eine mit der Scribbles-Signatur versehene Word-, Excel- oder Powerpoint-Datei auf einem Rechner erstmalig geöffnet wird, "telefoniert Scribbles dann nach Hause“, sagte Kafka, der das Programm 2017 für FM4 untersucht hatte. Das Programm kann in der vorliegenden Version 1.0 im Wesentlichen nicht viel mehr, als die IP-Adresse jenes Rechners, auf dem die betreffende Word-Datei geöffnet wurde, an einen Command-Control-Server - siehe Grafik oben - zu verraten.

Julian Assange, in einem Gefangenentransporter am 1. Mai 2019, ballt die Faust

APA/AFP/Daniel LEAL-OLIVAS

Die Publikation des „Vault7“ genannten Dokumentepools der CIA im Jahr 2017 war der letzte große Coup von Wikileaks vor der Verhaftung Julian Assanges. Damit hatte er die Wut des ehemaligen CIA-Direktors und nachmaligen Außenministers Mike Pompeo auf sich gezogen.

Cyberagenten ohne Cybersicherheit

Jedes Öffnen des Dokuments auf einem weіteren PC generiert eine neue digitale Signatur im Dokumet, dadurch wird es verfolgbar. Mehr als drei Jahre nach dem Start der NSA-Leaks Edward Snowdens (2013) und den daraufhin drastisch erhöhten Sicherheitsmaßnahmen war eigentlich davon auszugehen, dass solche Kontrollmechanismen der Zugriffs auf Dokumente längst eingezogen waren. Dass der CIA-Cybertruppe Ende 2016 ein erst rudimentär ausprogrammiertes Watermarking-Tool als Novität präsentiert wurde war für Kafka ein klares Zeichen, dass eine mögliche Bedrohung durch einen Insider sogar post Snowden in der CIA nicht ernst genommen wurde.

Der Sprachduktus und die Erzählposition des unbekannten CIA-Tutors, der den operativen Cyberagenten die Funktionen des Progrämmchens erklärt, weisen in dieselbe Richtung. Nämlich dass Dokumentensicherung und -verfolgung durch digitale Signaturen sogar unter den Cyberkriegern der CIA im Jahr 2016 noch ein Fremdwort war. Auf der fehlenden Nachvollziehbarkeit, verschärft durch die Verwendung gemeinsamer Admin-Passwörter - was für einen Geheimdienst, der ein Malware-Arsenal betreibt, eigentlich unfassbar ist - basiert nun Joshua Schultes Verteidigungsstrategie.

Joshua Schulte mit Handy

Public Domain | US District Court - Southern District of New York

Von Joshua Schulte gibt es nur wenige Fotos. Dieses stammt aus dem Gerichtsakt zum ersten Prozess im Frühjahr dieses Jahres.

Wer Joshua Schulte ist

Für seine 32 Lebensjahre hat Schulte bereits eine beachtliche Karriere hinter sich. Nach dem Studium ging es über IBM zur NSA, nach einem halben Jahr wechselte Schulte 2010 zur CIA. 2016 kündigte Schulte - angeblich nach internen Auseinandersetzungen - um in Folge eine technische Führungspostion beim Wirtschaftsnachrichtendienst Bloomberg anzunehmen. Ein Jahr, nachdem der Vault7-Komplex bei Wikileaks erschienen war, nämlich 2018 , wurde Schulte verhaftet und in mehr als 15 Punkten angeklagt. Zum Prozessbeginn im Februar dieses Jahres waren noch zehn davon übrigen, nach vier Wochen Verhandlung kam es im März zum Knalleffekt.

Joshua Schulte wurde in den entscheidenden acht Anklagepunkten nicht verurteilt, weil die Jury gespalten war, verurteilt wurde er nur wegen Missachtung des Gerichts und Falschaussage gegenüber dem FBI. Nun wird dieser Prozess wiederholt, er kann nach dem aktuellen Leak des internen CIA-Berichts für die CIA nur blamabel enden, ob Schulte verurteilt wird, oder nicht.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: