- InformNapalm (Deutsch) - https://informnapalm.org/de -

FuckResponsibleDisclosure: UCA zieht Bilanz des Flashmobs zur Feststellung von Sicherheitslücken in staatlichen IT-Systemen der Ukraine

Sean Brian Townsend [1] – ein unabhängiger Forscher auf dem Gebiet der Informations- und Computersicherheit, Mitglied und Sprecher der Ukrainischen Cyberallianz (UCA) – erzählt über die Ergebnisse des Flashmobs #FuckResponsibleDisclosure. Materialen in der Rubrik „Meinung“ werden durch die Redaktion nicht editiert und repräsentieren die persönliche Haltung von Autoren dieser Publikationen.

Wie schwer ist es, die Ukraine zu hacken? Wie die UCA die staatlichen IT-Systeme testeten

Die Cybersicherheit wurde in der Ukraine zu einem nicht weniger trendigen Thema als die Bekämpfung der Korruption. Die Ukrainische Cyberallianz zusammen mit unabhängigen Forschern suchten einige Wochen lang nach angreifbaren Systemen im Staatssektor. Kann man eine Webseite mit Hilfe von Google hacken? Gibt es russische Hacker wirklich oder ist es Phantasterei? Wie reagieren Beamte auf Meldungen über Sicherheitslücken? Was machen die Ordnungskräfte?

Ich habe zwei Nachrichten für Euch, eine gute und eine schlechte. Die gute Nachricht ist die, dass man dank der Bemühungen der freiwilligen Allianz jede Menge Sicherheitslücken in staatlichen Systemen schließen konnte, darunter auch bei den Objekten der kritischen Infrastruktur und bei dem Militär. Und die schlechte Nachricht besteht darin, dass die Polizei, die Kreiswehrersatzämter oder auch die Wasserwerke sich als angreifbar herausstellten – trotz des vierten Kriegsjahres und der Tatsache, dass die Ukraine zum Opfer von Hunderten zerstörerischen Cyberangriffen wurde, ist unser Land nach wie vor ungeschützt im Cyberspace.

Wir stoßen ständig auf russische Hacker und die Unvorbereitetheit der Ämter auf solche Angriffe. So hatten wir im Dezember 2016 beim Durchstöbern der gehackten Korrespondenz prorussischer Hacker festgestellt, dass der Mailserver des Innenministeriums der Ukraine vollständig kompromittiert wurde [2], was wir unverzüglich dem Innenministerium, der Cyberpolizei und dem Sicherheitsdienst der Ukraine gemeldet haben. Da wir in Russland und auf den besetzten Territorien das Gleiche betreiben, überraschen uns die erfolgreichen Hackerangriffe nicht. Wir sind keine Zeugen der „Cyberapokalypse“ und sind uns dessen bewusst, dass man mit ausreichend Mitteln, Zeit und ein wenig Glück praktisch alles hacken kann, was man nur möchte.

Wir wurden aber von Ausbleiben jeglicher Reaktion überrascht. Anscheinend wurde beim Innenministerium beschlossen, dass es ein Zufall war und solche Angriffe nicht mehr vorkommen würden. Auf eine derartige Reaktion werden wir noch oft stoßen, und sie ist die schlimmste von allen möglichen. Wir mussten des Öfteren Kopien interner Dokumente zeigen, um die Angreifbarkeit zu bestätigen, weil die Beamten die Tatsache eines nichtsanktionierten Zugangs zu ihren Systemen abstritten. Im Falle mit dem Mailserver verschaffte [3] uns ein Journalist des Verlags InternetUA netterweise eine Bestätigung vom Sicherheitsdienst der Ukraine.

[4] [5]

Die allererste Ausrede ist immer, es seien keine „Geheimpapiere“. Wir sind aber auch an keinen Geheimnissen interessiert, und auch nicht an der Möglichkeit, mit den Schleusen der Wasserwerke von Riwne oder Kirowohrad eine Nocturne zu spielen. Wir wollen nur wissen, ob man von außen darauf zugreifen kann, was im Inneren liegt. Ich habe schon die Geschichte erzählt, wie wir das russische Gebiet Orenburg gehackt hatten. [6] Alles begann mit einem Datenleck mit dem Passwort zum Bezirkstierklinikum und endete in dem vollständigen Aufbrechen des Gebietsdatenzentrums – aller seiner Webseiten, der gesamten Korrespondenz, des kompletten Dokumentenumlaufs, darunter Amtskommunikation, Regierungstelegramme und sogar einen Stands des FSB. Der Status der Papiere spielt dabei keine Rolle. Selbst durch einen winzigen Spalt kann man zum inneren Netz durchkommen und an viel bedeutendere Ressourcen gelangen.

Nichtsdestotrotz wurde es zu einer schweren Aufgabe, dies den Vertretern des staatlichen Unternehmens „EnergoAtom“ und des Charkiwer Gebietsrates zu erklären, die einige ihrer Ressourcen allgemein zugänglich ließen. Es bedurfte keiner Hackerkunst, es hätte gereicht, eine Maschine mit dem freigegebenen Speicher zu finden. Bei „EnergoAtom“ gab‘s vier solche Maschinen. Ich kann die Besorgnis der Pressesprecherstelle ukrainischer Atomindustrie nachvollziehen: allein die Andeutung dessen, dass Hacker in den Netzen von Atomkraftwerken herumtoben könnten, könnte eine Panik auslösen. Aber die Tatsache bleibt: es spielt keine Rolle, ob es ein externer Bauausführer, ein Subunternehmen oder ein sonstiger Auftragnehmer war, es spielt keine Rolle, wie geheim diese Dokumente waren und ob sie innerhalb der Organisation durch ein lokales Netzwerk oder auf einem USB-Stick eines nachlässigen Mitarbeiters befördert wurden. Ein Leck ist ein Leck. [7]

[8]

Wir haben keine einzige Hackermethode angewendet – nur die Suche, manchmal war es sogar die einfache Google-Suche. Wenn man Zugang zum lokalen Netz – ob über einen USB-Stick oder über einen Direktzugang )eine der Stellen gab nämlich den direkten Weg ins Lokalnetz frei) – hat, so bekommt man früher oder später das gesamte Netzwerk voll und ganz unter Kontrolle. Auf die gleiche Weise haben wir uns Zugang zum technologischen System eines der Kraftwerke in Russland verschafft. Auf die gleiche Weise konnten russische Hacker ukrainische Stromunterwerke in 2015 und 2016 kurzfristig abschalten. Das Problem ist, dass man die Systeme der Wasserwerke von Riwne und Kirowohrad nicht einmal aufbrechen müsste. Sie waren allgemein zugänglich – mit Verbraucherlisten, Listen der IP-Adressen, Anmeldedaten und Passwörtern, VPN-Schlüsseln und allem, was für einen mittelmäßigen Terroranschlag ausreichen würde.

Ich kann euch etwas beruhigen: für diese Vorfälle hat sich sofort der Sicherheitsdienst der Ukraine interessiert. Aber beim „KyjiwEnergoReparatur“ und dem staatlichen Dienst für Finanzüberwachung findet man, dass bei ihnen alles im Lot sei. Dabei hat uns die Anzahl von Ressourcen, die wir öffentlich zugängig vorfanden und die Spuren anderer Hacker aufwiesen, sehr deprimiert: Die Akademie des Innenministeriums (Zugang zu den Passwörtern der Webseite, zum internen Netzwerk, Spuren mehrfacher Hacks, Datenbank der Offiziere), der Server des Pressedienstes der Nationalpolizei des Kyjiwer Gebiets (Dokumente, Anmeldedaten und Passwörter, Zugang zum internen Netzwerk), das Kirowohrader Wasserwerk (Zugang zur kritischen Infrastruktur), das „EnergoAtom“, das „KyjiwEnergoReparatur“, die Judikative der Ukraine, die Nationale Agentur für Fragen der Korruptionsvorbeugung, die Steuererklärungen des Innenministeriums (einschließlich Spezialeinheiten), die Kirowohrader Arbeitsagentur, der Nikopoler Rentenfonds…

[9]Viele sind einfach nicht im Stande zu begreifen, dass jede Information Wert hat. Das Lwiwer Kreiswehrersatzamt lud eine Liste von Personen hoch [10], die nach Meinung der Beamten „die Rekrutierung verweigern“ (in anderen Worten: Das Kreiswehrersatzamt hatte sie unter der angemeldeten Anschrift nicht finden können). Sie haben alles selber hochgeladen. Und nicht einmal auf eine offene Harddisk oder FTP, sondern auf Facebook. Sprich‘, das Verständnis dessen, dass es sich um gesetzlich geschützte Personaldaten handelt, bleibt hier gänzlich aus. Wir haben auch ein Gebietswehrersatzamt in Transkarpatien gefunden: Listen der Einberufenen, Befehle, Korrespondenz mit der Gebietsverwaltung und dem Verteidigungsministerium, Pläne, Listen, Zuordnung zu Militäreinheiten – kurz gesagt, alles! Hier riecht es schon nicht nach einem einfachen „’Tschuldigung“, sondern nach der Militärstaatsanwaltschaft, weil das Informationen mit beschränktem Zugang sind, und nicht nur irgendwelche „Personaldaten“.

[11]Russische Hacker müssten hier also nichts aufbrechen. Komm‘ und nimm‘. Weitere zwei Beispiele – Tschernihiwer und Donezker Gebietsverwaltungen. In Tschernihiw waren Laufwerke offen. Nach unserem FB-Post wurden sie geschlossen, aber einer von unseren Freiwilligen hat gleich darauf eine weitere Sicherheitslücke auf der Webseite gefunden, die erlaubte, sie vollständig zu hacken und Zugang zu angeblich gesicherten Laufwerken zu bekommen. Den Regeln nach sollten öffentliche Webdienste immer vom lokalen Netz getrennt sein. Aber Regeln sind doch nichts für Beamte, stimmt’s? Mit der Donezker Verwaltung war alles noch spannender. Derselbe Freiwillige fand dort ein passwortloses Fernsteuerungsprogramm (web-shell WSO2), das von anderen Hackern installiert wurde.

Dabei haben sie sich nicht nur in die Webseite gehackt, sondern bekamen auch Administratorenberechtigungen auf dem Server, stahlen von den echten Administratoren alle Passwörter und krabbelten weiter im lokalen Netzwerk herum. Ich möchte daran erinnern, dass es keine normale Gebietsverwaltung, sondern eine Militär- und Zivilverwaltung in der Konfliktzone ist. Und die Hacker waren aus Samara (falls das jemand vergessen hat, ist das eine Stadt in der Russischen Föderation, mit der wir uns – Moment mal – in einem Krieg befinden). Sogar nach unserer Meldung blieb die Seite noch eine ganze Woche in diesem Zustand. Danach wollten sich entweder die Administratoren dumm stellen oder die Hacker haben unsere Meldung gesehen und den Server gesäubert – auf welchem Wege auch immer, aber der Server wurde neu installiert. Der Pressedienst spricht von „vorübergehenden technischen Störungen“. Wenn russische Hacker im Netzwerk einer Gebietsverwaltung in der Zone der antiterroristischen Operation herumtoben, dann ist es, meine Lieben, keine „Störung“, sondern Spionage seitens des Aggressorstaates.

Selbst wenn der Server doch von Sysadmins der Gebietsverwaltung neu installiert wurde, reicht es noch bei weitem nicht aus: die Russen hätten sich auf anderen Maschinen im Netzwerk festhacken können. Zugang zu schließen oder ein kompromittiertes System neu zu installieren, ist erst der Anfang. Nun muss man das ganze Netz prüfen. Wenn jemand vergessen hat, dann möchte ich daran erinnern, wie sehr „Anna News [12]“ und die „LVR-Volksmiliz“ [13] gelitten haben. Der Sysadmin brachte Softwareupdates auf den neusten Stand, versuchte, den gehackten und wiederhergestellten Server zu schützen, aber dann kamen wir wieder und brachen mit Hilfe von listig versteckten Skripten erneut alles auf. Nach dem vierten Angriff schaltete die „LVR-Volksmiliz“ ihre Webseite ab, um sie nie wieder hochzufahren. Alle wertvollen Informationen über die Söldner stahlen wir noch vor einem Jahr und gaben an „Myrotworez“ weiter.

Wohin verschwand CERT?

Und wie reagiert der Staat darauf? Fast gar nicht. Ja, man schließt die Löcher, in manchen Fällen führt der Sicherheitsdienst der Ukraine Ermittlungen oder Vorbeugungsarbeit durch. Die Cyberpolizei – laut Mitteilungen der Kyjiwer Polizei – hat ihnen sogar mit der Neuinstallation und „Sicherung“ von Computern geholfen – anscheinend gab es bei der Polizei keinen einzigen im Stande, Windows so einzustellen, dass nicht alles sofort ins Internet gespült wird. Aber im Großen und Ganzen machen die Ordnungskräfte ja ihre Arbeit – sie entlarven und beugen Verbrechen vor. Und wer ist bei uns für die Sicherheit zuständig? Niemand.

Eigentlich sollte in erster Linie die Organisation selbst über die Vorfälle berichten und sie bei der StaatsSpezialKommunikation melden, und sie müssten ihrerseits alle Geschichten erzählen, die hier von mir erzählt werden, und Empfehlungen erarbeiten. Ich weiß nicht, was sie bei der SSK machen, aber es ist nichts von dem oben aufgelisteten. Bei keinem der benannten Vorfällen und Angriffen.

Es kommt noch besser: CERT-UA bei der SKK wurde zu einem der ersten Opfer unseres Flash-Mobs. Und sie waren nicht nur in diesem Fall untätig, sondern auch in allen anderen. Man pflegt bei uns viel über russische Hacker zu reden – über das Ausmaß der Bedrohung, die künftige Cyberapokalypse oder über die Notwendigkeit, das Tempo der Fortschrittsentwicklung in der Informationssicherheit zu beschleunigen. Und ähnliche linguistische Taschenspielertricks aus dem Lexikon der „Weiterleiter“. Nur gibt es nach einer Dutzend Cyberangriffe auf die Ukraine noch keinen einzigen zurechnungsfähigen Bericht über den einen oder anderen Vorfall. Klar, man kann sich professionelle Experten aus Amerika bestellen, und Cisco Talos liest mal eure Logs und schreibt über NotPetya (Anm.d.R.: Ein Virus, der im Juni 2017 zu einem massiven Cyberangriff auf die Ukraine geführt hat) eine detaillierte technische Analyse, man kann auch Berichte von Microsoft und ESSET übersetzen, aber wer hat den Angriff denn durchgeführt? Zu welchem Zweck? Was muss man zur Vorbeugung solcher Angriffe in der Zukunft unternehmen? Wie ist das überhaupt möglich gewesen? Stille.

Wenn wir das Papieraudit einführen (wie es im Gesetz 2126a über die Grundsätze der Cybersicherheit vorgeschlagen wird), dann bekommen wir auch Papiersicherheit. Um eine Partnerschaft zwischen dem Staat und dem privaten Sektor zu ermöglichen, braucht man aber einen Partner – und dieser fehlt eben. Wir melden ein Loch, in welches ein ganzer Güterzug hineinfahren könnte, und bekommen die alten Lieder zurück: es passierte nichts; es passierte was, aber nicht bei uns, sondern bei unserer Abteilung; ja, bei uns, aber es zog keine schlimmen Konsequenzen nach sich; ok, es gab schlimme Konsequenzen, aber wir werden einfach winken und lächeln, oder lügen in der Pressemitteilung mal etwas Dümmliches. Welche Konsequenzen brauchen wir noch – nach MEDoc (Anm.d.R.: Verweis auf einen massiven Angriff auf die Ukraine mit einem Erpresservirus) und allem anderen? Für die Cybersicherheit sind in der Ukraine scheinbar alle und anscheinend niemand verantwortlich.

Das Notfallministerium macht die Pläne der Kabelverlegung für Behördenanschlüsse frei zugänglich. Als würde man bei uns keine Kommunikationsschächte in Brand setzen (in Kyjiw passiert das sogar ziemlich regelmäßig). „Kyjiwstar“ veröffentlicht Projekte des Mobilfunknetzes auf Facebook (fairerweise muss man erwähnen, dass die Reaktionszeit des Cybersicherheitsdienstes von „Kyjiwstar“ auf unseren FB-Post unter zwei Minuten betrug – im staatlichen Sektor erwartet man solche Ergebnisse vergebens, dort liegt die durchschnittliche Reaktionszeit bei über 24 Stunden). Und das Gesundheitsministerium hat ein riesiges Loch in seiner Webseite.

Einmal führte CERT dann doch das Monitoring der Angreifbarkeit von Behördenseiten (oder vielleicht hatte einer der Aktivisten ihnen endlich den Rest gegeben, und sie veröffentlichten eine Warnungsliste) durch – auf dieser Liste war dann die Seite des Kriminalistischen Forschungszentrums (des Zentrums, das Gutachten für Kriminalfälle durchführt) als gehackt markiert. Und sie blieb ein ganzes Jahr lang in diesem Zustand, bis wir darüber im Fernsehen berichtet haben. Gleich darauf meldete sich bei mir eine Sprecherin des Forschungszentrums mit einer Privatnachricht und versicherte, dass sie die Sicherheit sehr ernst nehmen. Wir haben ganz nett geplaudert. Danke.

In Privatnachrichten sind die Vertreter aller Organisationen sehr nett und kuschelig, manchmal äußern sie in Kommentaren ihre Dankbarkeit für die gefundenen Schwachstellen. Verflixt, die stellvertretende Leiterin des Charkiwer Gebietsrates verfasste sogar einen Post auf Facebook. Und was kann ich dazu erwidern? Dankschreiben sind selbstverständlich sehr angenehm, aber beseitigte Sicherheitslücken sind nicht nur angenehm, sondern auch vom Nutzen, und das – für alle Beteiligten; und im Großen und Ganzen erwarten wir keine Dankbarkeit von Ihnen, sondern dass Sie Qualitätsarbeit liefern. Als wir beispielsweise das russische  Gebiet Astrachan gehackt haben, schrie [14] die Sprecherin der Gebietsduma im russischen Fernsehsender NTV: „Wir feuern alle!“ Deswegen muss man schon heute anfangen, Fehler zu beseitigen, ohne auf „Konsequenzen“ zu warten. Und ohne eine öffentliche Debatte ist es unmöglich.

Behördenseiten sind überfüllt mit „Nachrichten“ über abgehaltene Konferenzen, Meetings, Gesetzesinitiativen und weitere Belanglosigkeiten, die entschieden unmöglich zu lesen sind – man findet aber nichts über einen begangenen Fehler oder darüber wie er beseitigt wurde. Unangreifbarkeit vorzutäuschen ist unnötig – jeder kann gehackt werden, aber die Arbeit an den eigenen Fehlern zeigt, dass sich jemand darum schert und dass es Fortschritte in euer Organisation gibt. Und sie dient als Warnung für alle anderen. Andernfalls ändert sich nichts.

Was soll man tun? Über die Bestrafung der Unschuldigen und die Auszeichnung der Unbeteiligten

Weder Freiwillige, noch Hacker oder trendige Spezialisten, noch Gehaltserhöhungen oder schärfere Bestrafungen helfen per se. Wir haben SaporischschjaStahl und eine Supermarktkette erwischt; eine Kyjiwer Kommunalgesellschaft veröffentlichte online ihre Buchhaltung und irgendeinen Schlüssel im Ordner namens „BANK“, wahrscheinlich von dem Bankkonto. Darüber, dass die Informationsangriffe auf EnergoAtom seitens des Cyberberkuts (Anm.d.R.: Russische Hackergruppe) dank der Dokumente möglich wurden, die von den Russen beim Umweltministerium geklaut worden waren, erfahren wir aus irgendeinem Grund auf Facebook und auch das nur deswegen, weil EnergoAtom sich von diesem Leck distanzieren wollte. Und warum schweigt das Umweltministerium? Oder glaubt man etwa, dass es dort nichts Interessantes gibt? Ich kann euch versichern, dass das Durchlesen von Berichten der Bilanzkommission über den Zustand von Atomobjekten so interessant war, dass meine Erwähnung darüber in einem Kommentar auf Facebook den Pressedienst der Atomwissenschaftlern beinahe zum virtuellen Aufspringen brachte (Mit der Atomsicherheit ist bei uns übrigens alles in Ordnung, es gibt zwar unbedeutende Vorfälle, aber sie bleiben folgenlos).

[15]Im ukrainischsprachigen Internetsegment kann man nützliche Informationen förmlich mit Schleppernetzen herausfischen. Ein Notar flog mit allen seinen Schlüsseln auf, die Zugang zu den Registern gewährten. Im August lief etwas mit der Webseite des Auslandsnachrichtendienstes schief, die auf WordPress hängt (Google vergisst nie). Ein Taxidienst stellt die Fahrtlogs online. Unendliche formale Antwortschreiben, Ausreden, Versuche, anderen den Schwarzen Peter zuzuspielen, und Entschuldigungen auf Facebook schützen nicht. Eine Dutzend Cyberzentren (bei uns gibt‘s überall Cyberzentren, bald werden sie schon bei jeder Hausverwaltung geöffnet) beschäftigen sich mit endlosem Gerede und dreschen leeres Stroh bei einem riesigen Ausgabenbudget. Es werden tonnenweise Anweisungen und Regelungen für den Fall eines Tiefseekrieges mit Außerirdischen erarbeitet, während russische Hacker problemlos ukrainische Netzwerke durchstöbern – sowohl zivile als auch Militärnetzwerke und Objekte der kritischen Infrastruktur.

Was muss also für bessere Cybersicherheit getan werden? Man muss Gesetze und Regelungen vereinfachen, und nicht verkomplizieren. Unnütze Institutionen abbauen. Zwecklose, von niemandem besuchte Webseiten abschalten. Ein Nachschlagebuch der Bezirksverwaltungen ist sinnvoller als die Unterstützung von Hunderten von Schrottseiten. Nutzlose Mitarbeiter, die nicht nur ihrer Aufgaben nicht gerecht werden, sondern praktisch Sabotage betreiben, muss man kündigen. Man soll mit den einfachsten, grundlegendsten Schritten anfangen: offene SMB-Laufwerke und FTP-Server aus dem Netz nehmen, öffentliche Webdienste vom internen Netzwerk trennen, sichere Passwörter benutzen und Zwei-Faktor-Authentifizierung einrichten, auf keine zufälligen Links klicken. Aber vor allem, wenn etwas passiert, muss man das ehrlich melden, die StaatsSpezialKommunikation informieren und versuchen herauszufinden, was genau passiert ist und wer daran interessiert sein könnte. Mit Vertuschungsversuchen schadet man nicht nur sich selbst, sondern auch unserem Land.

Im Falle eines massiven geplanten Cyberangriffs werden Ausreden, Papierkram und Behördenpingpong kaum helfen. Wir werden daran natürlich nicht krepieren, aber zum Rechnen werden wir dann wohl nur noch Rechenbrett und Kerzen haben. Denkt nicht, dass um uns herum nur Idioten sind, und ihr nur die begabtesten Administratoren und sichersten Regelungen habt, und alles einfach wunderbar ist. Man kann jeden hacken – es ist nur eine Frage der Zeit, des Geldes und der Motivation.


[16]Dieses Material wurde von Sean Brian Townsend [1] exklusiv für InformNapalm [17] vorbereitet; übersetzt von Volodymyr Cernenko [18]; editiert von Irina Schlegel [19].

Beim Nachdruck und Verwenden des Materials ist ein Hinweis auf unsere Ressource erforderlich Creative Commons — Attribution 4.0 International — CC BY 4.0 [20] ).

Wir rufen unsere Leser dazu auf, unsere Publikationen aktiver in den sozialen Netzwerken zu verbreiten. Das Verbreiten der Untersuchungen in der Öffentlichkeit kann den Verlauf von Informationskampagnen und Kampfhandlungen tatsächlich brechen.

Besuchen Sie uns auf Facebook: InformNapalmDeutsch [21]