Wenn eine Hacker-Firma selbst Hackern zum Opfer fällt


Vergangenen Sonntag hat HackingTeam, eine Überwachungsfirma aus Mailand, eine Kostprobe ihrer eigenen Medizin bekommen. Eine 400 GB große Sammlung interner Dokumente, Kommunikationen und Code wurde von unbekannten Hackern im Internet als Torrent-Datei für alle zugänglich veröffentlicht.

Screen Shot 2015-07-09 at 3.15.33 PM

Peinlich vor allem für alle Überwachungsstaaten

HackingTeam hat als internationale Überwachungsfirma Regierungsbehörden auf der ganzen Welt bedient, darunter (aber nicht ausschließlich) auch Organisationen aus Russland, Äthiopien, Saudi-Arabien, Mexiko, Ungarn, Spanien und den Vereinigten Staaten. Der Umfang der gestohlenen Daten zu Kundenaufträgen ist riesig. Während HackingTeam zuletzt noch darum bemüht war, Kontrolle über seine E-Mail-Kommunikation zurückzuerlangen, hat das Unternehmen seinen Kunden von der weiteren Verwendung seiner Software dringend abgeraten.

Sollte Sie dieser Hack selbst noch nicht zum Nachdenken über die großen Überwachungsmaschinerien bringen, dann vielleicht ein paar Einblicke in die kompromittierten Daten: unter den veröffentlichten Kundenpasswörtern waren kreative Meisterleistungen wie HTPassw0rd, Pas$w0rd oder Passw0rd ebenfalls vertreten.

Der Albtraum eines Sicherheitsingineurs

Nicht genug damit, dass die geheime Passwortliste des HackingTeam-Sicherheitsingineurs Christian Pozzi ebenfalls veröffentlicht wurde. Die Passwörter für Socialmedia, Finanz- und andere Firmenaccounts waren eigentlich viel zu einfach gestaltet: Das Wort „kitten“ (zu Deutsch: Kätzchen) war Pozzis persönliches Administratorpasswort…

Schon fast unterhaltsam, stellt dieser Sicherheits-Supergau doch der Qualifikation der Regierungsbehörden zum Thema Überwachung ein schlechtes Zeugnis aus.

Die größten und einflussreichsten Regierungen der Welt haben eine Sicherheitsfirma, die sich selbst nicht an die Prinzipien zur  Erstellung starker Passwörter hält, mit höchst sensitiven Informationen vertraut. Eine Ironie des Schicksals?

Wenig überraschend behauptet Pozzi, dass die veröffentlichte Passwortdatei Malware beinhaltet, und droht den anonymen Hackern rechtliche Schritte und folglich einen Gefängnisaufenthalt an. Sein Twitter-Profil wurde daraufhin ebenfalls gehackt und zwischenzeitlich gelöscht. Einen Einblick in das Archiv des Profils gibt es trotz Löschung noch hier.

In den dunklen Abgrund

Besonders tragisch an der ganzen Geschichte ist die nun zu Tage gekommene Art und Weise, wie Firmen wie HackingTeam tatsächlich arbeiten. Nichts für schwache Nerven: wie viele andere auch hat HackingTeam heimlich eine Unmenge an Exploits in Softwareprodukten gesammelt, mit deren Hilfe die Systeme kompromittiert werden können. Und das ohne Zutun der eigentlichen Benutzer.

Natürlich wurden die Schwachstellen binnen weniger Stunden für diverse Exploit-Kits adaptiert und von Cyberkriminellen zur Erstellung von Malware genutzt. Die Zahl der potenziellen Opfer geht in die Millionen. Nicht weniger gravierend war die Entdeckung einiger Einträge in der HackingTeam-Kommandopanel, wodurch theoretisch jeder belastende Inhalte wie Kinderpornographie oder Bomben-Baupläne auf dem Zielsystem platzieren könnte:

place_prn

Kritiker sehen sich darin bestärkt, dass der Einsatz von Malware für Überwachung seitens der Regierung ein schweischneidiges Schwert ist. Viel zu einfach ließe sich die Sammlung von Beweisen eben umgekehrt zur gezielten Belastung von verdächtigen Personen nutzen.

Der Anfang vom Ende für HackingTeam

Screen Shot 2015-07-09 at 3.15.21 PMUnabhängig davon, wie HackingTeam die Datenpanne nun weiterbehandelt, ist der Schaden bereits angerichtet, und rechtliche Folgen stehen womöglich noch aus — große Kunden wie die Armee von Südkorea oder das FBI der Vereinigten Staaten wurden samt interner Daten bloßgestellt. Bisherige Behauptungen, dass HackingTeam niemals mit dem Sudan zusammengearbeitet hätte, wurden durch die nun veröffentlichten Informationen widerlegt und bringen die Sicherheitsfirma in Bedrängnis: selbst eine einfache „technische Unterstützung“ für den Sudan wäre bereits eine Überschreitung des UN-Waffenembargos.

Während täglich mehr Details zum Hack ans Tageslicht kommen, könnte es eventuell interessant sein, sich über HackingTeam in der Liste Feinde des Internets von Reporters Without Borders (deutsch: Reporter ohne Grenzen) zu informieren oder sich die Zusammenstellung über das veröffentlichte Material bei CSO Online zu Gemüte zu führen.

Was bedeutet das für mich als Internetnutzer?

Das Internet, Hacker und Regierungen können sich nur an den Daten bedienen und diese überwachen und analysieren, die jemand verfügbar macht. Es steht außer Frage, dass Malware nicht von Regierungen dazu eingesetzt werden sollte, um an private Daten oder Betriebsgeheimnisse zu gelangen. Letztlich ist es nur eine Frage der Zeit, bis derlei unanständige Vorgehensweisen entdeckt und öffentlich an den Pranger gestellt werden.

Die wichtigste und einfachste Art, sich zu schützen, sind die Verwendung starker Passwörter (die Sie alle paar Monate erneuern), verschlüsselter E-Mails und natürlich die Nutzung vertrauenswürdiger Sicherheitssoftware. Zusätzlich sollten Sie Ihren Computer mit regelmäßigen Updates auf dem neuesten Stand halten und auch Ihr E-Mail-Postfach einmal entrümpeln (z. B. indem Sie alte Nachrichten lokal sichern, statt alles davon auf dem Mailserver liegen zu lassen).

Was auch immer Sie über sich preisgeben und mit der Welt über das Internet teilen, Sie haben Ihre Privatsphäre großteils selbst in der Hand.

Einen guten Tag ohne Sicherheits-Zwischenfälle!

Senan Conrad

Weitere Artikel