Wikileaks hat mit der, erstmals redigierten, Veröffentlichung der Vault-7-Papiere einen Coup gelandet. Die Akten geben Einblicke in die tägliche Arbeit der CIA-Entwickler und ihren fahrlässigen Umgang mit Exploits.

Edward Snowden betrachtet sie als “authentisch”, die von Wikileaks veröffentlichten Vault-7-Papiere. Sie stammen offenbar von der CIA und dokumentieren Teile der Arbeit der Engineering Development Group (EDG). Die Gruppe ist Teil des Center for Cyber Intelligence, zu ihr gehören etwa 500 (Unter)-Projekte. Die Dokumente betreffen dennoch nur eine Untergruppe der zahlreichen CIA-Abteilungen.

Smart New World

Einige Details sind bereits an die Öffentlichkeit gelangt. In Deutschland ging vor allem durch die Medien, dass einige der Angriffe offenbar aus dem Generalkonsulat in Frankfurt am Main gesteuert wurden. Die in der Sensitive Compartmented Information Facility (SCIF) erlaubten hackenden CIA-Mitarbeiter kamen mit Diplomatenpässen nach Deutschland.

Die gute Nachricht: Die Verschlüsselung von Messengern wie Signal oder What’s App kann auch die CIA nicht brechen, allerdings, und das ist die schlechte Nachricht, die Plattformen angreifen, auf denen sie laufen, etwa Android oder I-OS. Doch es gibt offenbar auch für die CIA keinen garantierten Generalzugang, sondern mal hier und da eine Lücke in diesem und jenem Android-Gerät.

Das betrifft auch die besonders häufig als Angriffsziele genannten Smart-TVs von Samsung: Konkret erwähnen die Dokumente nur die F8000-Serie, es könnte sich also noch um Experimente handeln. Deren Ziel ist offenbar, die TV-Geräte in Wanzen zu verwandeln, was nahe liegt, da moderne TV-Geräte Mikrofone und Kameras mitbringen. Ein Fake-Off-Modus gaukelt den Benutzern vor, dass der Fernseher aus ist, während er tatsächlich noch läuft. Offenbar ist das Ganze aber nicht trivial umzusetzen, die CIA holte sich hier Hilfe vom MI5. Und Hilfe bekommt sie natürlich auch von den Konsumenten, die Geräte mit eingebauten Mikrofonen und Kameras kaufen.

Exploits bunkern

Der eigentliche Kritikpunkt ist aber, dass der Geheimdienst Sicherheitslücken gezielt sucht und bunkert und, wie die Dokumente zeigen, sogar selbst kauft. Natürlich passiert, was passieren muss und die Tools und Exploits gelangen an die Öffentlichkeit, wo Dritte sie verwenden. Auch die CIA-Dokumente dürften kommerziell orientierte und Hacker anderer Regierungen bereits aufmerksam studieren.

Ironischerweise benutzt die CIA selbst zum Teil Tools, die aus solchen Leaks stammen. So zeigen die Dokumente, dass der Geheimdienst die geleakte Hacking-Team-Software ausführlich begutachtete. Die Umbrage Group des Remote Devices Branch sammelte zudem Angriffs- und Hackingtools aus allen möglichen Quellen, laut Wikileaks auch solche aus Russland.

Auch aus dem Auffliegen der ominösen Equation Group, die Kaspersky 2015 entdeckte und die seit Mitte der 90er versteckt im Internet agiert (und hinter der einige die NSA vermuten), will die CIA lernen. Der Geheimdienst möchte lieber von selbst entwickelter Kryptosoftware Abstand nehmen, da diese fehlerhaft und leichter zu entdecken sei und zudem nicht in verschiedenen Tools denselben Code verwenden. Generell scheint die Behörde Exploits nicht gern wiederzuverwenden, allerdings bleibt ihnen nach eigener Aussage oft keine andere Wahl.

Das Devnet, Linux und Open-Source-Software

Intern setzt die CIA dabei auf ein eigenes Entwicklernetzwerk in dem nach Eigenaussage 90 Prozent der Mitarbeiter arbeiten und dessen Ressourcen per Samba angebunden sind. Die Engineering Development Group benutzt dabei zahlreiche Open-Source-Tools, allen voran Git, das einige Lob einheimst: “So amazing (and complex) that it gets its own space.” Mit Cuckoo kommt ein Sandboxing Malware-Analyse-Framework zum Einsatz, die Mitarbeiter verwenden Docker, Wireshark, Virt-Manager und mehrere Tools von Atlassian, darunter Confluence Wiki und Bitbucket.

Entwickler mit Linux-Präferenz haben laut den papieren die Wahl zwischen Ubuntu (Trusty, Oneiric), Debian (Wheezy), Fedora oder Linux Mint, die verwendete Software hostet Devnet in eigenen Repositories, unter anderem für Ubuntu Trusty und Oneiric. Wenn die Agents sich im internen Wiki über die Vorzüge von Sed und Vim austauschen, klingen sie dabei nicht anders als X-beliebige Linux-User in den üblichen Foren und Chats.

Einen Großteil der Zeit widmen die Mitarbeiter aber offenbar der Erkundung von Windows, was sich mit dem Marktanteil plausibel erklären lässt. Dazu verwendet die Behörde das Dynamic Automated Range Testing (Dart) von Lockheed Martin, das automatisierte Softwaretests erlaubt. Mit dem System testen die CIA-Angestellten, ob ihre Exploits auch auf Windows-Systemen laufen, ohne dass die PSPs (Personal Security Products), also die lokal installierte Anti-Malware-Programme, diese bemerken.

Hat die Exploit-Software Daten gesammelt, schickt sie diese an gewöhnliche VMs von Hostern, welche die Daten dann per VPN weiter an ein CIA-internes System leiten. Handelt es sich um die gewünschten Daten, landen sie auf dem “Honeycomb”, andernfalls bei einem “Cover-Server”.

Fazit

Anders als die NSA scheint die CIA eher auf gezielte Exploits zu setzen und nicht nach der Nadel im riesigen Datenheuhaufen zu suchen. Das Kaufen und Bunkern von Sicherheitslücken, das dem Dienst immer wieder unterstellt wurde, findet offenbar tatsächlich statt. Dabei nimmt es die Behörde nicht nur in Kauf, dass andere die von ihr verwendeten Sicherheitslücken ebenfalls ausnutzen, sondern auch, dass die eigenen Tools in fremde Hände fallen.

Theoretisch könnten die Enthüllungen der Regierung Trump in die Hände spielen, falls diese tatsächlich vor hat, die Geheimdienste an die Leine zu legen. Denn dass die sich jeweils eigene “Hacker-Teams” leisten, könnte Munition liefern, Zuwendungen zu kürzen und Abteilungen zusammenzulegen.

Ernsthafte Konsequenzen für die Beteiligten sind, schaut man sich die Reaktion auf die Snowden-Leaks an, dennoch kaum zu erwarten. Auch fällt der Schock aufgrund der vorangegangenen NSA-Enthüllungen insgesamt schwächer aus.