NSA-Exploits im freien Verkauf

Mit verschiedenen Tools und Zero-Day-Exploits hat die NSA offensichtlich jahrelang Produkte von Netzwerkausrüstern ausspioniert. Im Fall von Pixpocket soll der Nachrichtendienst VPN-Verbindungen von Cisco-Geräten aufgebrochen haben. *Quelle: Mustafa Al-Bassam*

Eine Million Bitcoin – derzeit also gut 510 Millionen Euro – verlangt die bislang unbekannte Gruppe namens Shadow Brokers für ihre sehr wahrscheinlich vom US-Nachrichtendienst NSA abgezogene Sammlung von Exploits und Angriffswerkzeugen. Um die Behauptung zu untermauern, haben die Shadow Brokers mehr als die Hälfte ihrer Beute frei veröffentlicht und verschiedene Sicherheitsforscher haben die Echtheit der Tools bestätigt. Ergebnis: Diverse Zero-Day-Exploits für Schwachstellen in Firewalls und Netzwerkausrüstung von Cisco, Fortinet, Huawei und Juniper – die zu großen Teilen mindestens drei Jahre lang funktionierten, da die jüngsten Tools auf Juni 2013 datiert sind. Cisco hat mittlerweile Sicherheits-Updates veröffentlicht.

Stammt die Software wie behauptet von der Equation Group, werden aus zwei Gerüchten Tatsachen: Die Equation Group gehört zur NSA und der Nachrichtendienst hatte über diverse Jahre einen ordentlichen Fundus an Zero-Day-Exploits für Produkte von Netzwerk-Ausrüstern in petto. Das belegt unter anderem eine 16-stellige ID, die sich im Quelltext des geleakten „Second Date“-Tools für massenhafte Man-in-the-Middle-Angriffe findet. Diese ID taucht auch in einem bislang nicht öffentlichen NSA-Handbuch zum Einsatz der Malware auf.

Zur Herkunft und Motivation der Leaks vertritt unter anderem Edward Snowden die These, dass die russische Regierung dahintersteckt. Eventuelle Motivation: Nach dem Bekanntwerden des Hacks des Netzwerks des Democratic National Commitee (DNC), der Demokratischen Partei der USA, zeigten verschiedene US-Politiker mit dem Finger auf Russland. Das Leak der NSA-Werkzeuge könnte eine Machtdemonstration sein, die den USA zeigen soll, wohin die Spirale der Beschuldigungen führen wird.

Offen ist derzeit noch, wie die geheime Werkzeugsammlung ihren Weg in fremde Hände fand. Eine plausible Theorie ist, dass die Shadows Brokers einen externen Server (Staging-Server) für die Bereitstellung von Hacking-Tools gehackt haben. Gegen die These eines Insiders, der im Herbst 2013 mit einem USB-Stick aus dem NSA-Gebäude marschiert ist, spricht der Zeitpunkt: Seit Sommer 2013 herrschte beim Nachrichtendienst dunkelroter Alarm, weil kurz zuvor ein anderer Ex-Mitarbeiter mit einem USB-Stick geheime Dokumente nach draußen geschafft hatte: Edward Snowden. (Uli Ries/des@ct.de)

VeraCrypt verschlüsselt UEFI-Systeme

VeraCrypt ist mittlerweile in der Version 1.18a angekommen und wächst mit dieser endgültig über den Vorgänger TrueCrypt hinaus: Endlich kann die Verschlüsselungs-Lösung auch Windows-Systeme komplett chiffrieren, die im UEFI-Modus laufen. Die Unterstützung fand bereits in der Version 1.18 Einzug. In die aktuelle Version 1.18a hat der Entwickler Mounir Idrassi noch einen von Mircosoft signierten Treiber integriert, da es sonst Probleme bei der Installation von VeraCrypt auf Windows-10-Sytemen mit Anniversary Update 1607 gab.

Das Verschlüsseln von UEFI-Systemen gelingt aber nur, wenn VeraCrypt die Windows-Installation nicht versteckt und keine vom Nutzer individualisierte Nachricht im VeraCrypt-Boot-Manager hinterlegt ist. Mitunter funktioniert die Vollverschlüsselung auf Computern mit aktivierter Secure-Boot-Funktion aber auch gar nicht oder nur mit der Hilfe von Workarounds. Oft hilft es schon, die Funktion einfach auszuschalten. Das Problem dabei ist, dass der VeraCrypt-UEFI-Bootloader noch nicht von Microsoft signiert ist. Diese Prozedur gestaltet sich Idrassi zufolge wesentlich zeitintensiver als bei einem Treiber.

Wer Secure Boot aktiviert lassen möchte, muss ein VeraCrypt-DCS-Zertifikat mit der Firmware seines Motherboards verweben (siehe c’t-Link). Das sei aber ein komplexer Vorgang, der Nutzer mit wenigen Computer-Kenntnissen überfordern könnte, führt Idrassi aus. (des@ct.de)

VeraCrypt-DCS-Zertifikat:ct.de/y9vq