Hacking Team: Administrator nutzte "wolverine" als Passwort

7. Juli 2015, 11:18
125 Postings

Analyse der erhackten Daten zeigt haarsträubende Fehler – Diktaturen, westliche Geheimdienste und Banken als Kunden

Wer es schafft, von Reporter ohne Grenzen als "Feind des Internets" klassifiziert zu werden, darf wohl kein sonderliches Mitleid erwarten, wenn man einmal selbst zum Opfer wird. Und genau so ist es dann auch gekommen: Nach der Veröffentlichung von 480 GB an internen Daten des italienischen Hacking Team dominiert unter Sicherheitsexperten eine Mischung aus Schadenfreude und professionellem Interesse. Beim Hacking Team selbst dürfte die Stimmung wohl etwas anders gelagert sein. Die Firma, die mit zum Teil rechtlich und moralisch mehr als fragwürdigen Deals mit Geheimdiensten und Polizeibehörden der Welt gutes Geld gemacht hat, steht vor den Trümmern des eigenen Schaffens.

Full Take

Scheint den Angreifern doch ein "Full Take" gelungen zu sein. Der im Netz kursierende Dump enthält von geheimen Verträgen über zahllose Passwörter und privaten PGP-Schlüsseln wirklich alles, was das Unternehmen sicher nicht veröffentlicht sehen wollte. Mehrere Social-Media-Accounts des Hacking Team und seiner Angestellten wurden übernommen, auch den Zugriff auf die eigenen Mail-Accounts scheint man mittlerweile verloren zu haben.

foto: hacking team
Aus einem Werbespot von Hacking Team.

Panik-Modus

Zuvor hat das Unternehmen allerdings noch eine Art Panik-E-Mail an all seine Kunden ausgeschickt, wie Vice in Erfahrung gebracht hat. Darin werden diese aufgefordert, das Remote Control System (RCS) namens Galileo, das das Hauptprodukt von Hacking Team darstellt, auf keinen Fall mehr zu nutzen. Dieser Rat dürfte auch angebracht sein, sind doch im Dump all die Passwörter der Kunden enthalten, Dritte könnten also leicht eigene Schadsoftware einschmuggeln.

Unterdessen finden die Daten rege Verbreitung im Internet, es wurden von der Community zahlreiche Mirror-Server und Auswertungen veröffentlicht. Und was hier gefunden wurde, führt vor allem zu einer Reaktion: zu heftigem Kopfschütteln. Die von Hacking Team genutzten Passwörter sind zum Teil lachhaft schlecht.

Ein Wolverine-Fan

Vor allem die Liste der von Systemadministrator Christian Pozzi genutzten Passwörter hat es der Sicherheits-Community dabei angetan. Finden sich darin doch so Highlights wie "wolverine", "P4ssword" oder auch "universo". Diese Defizite beschränken sich aber offenbar längst nicht auf eine Person. Auch die Datenbankpasswörter, die Hacking Team für ihre Services genutzt hat, entsprechen keinen halbwegs aktuellen Sicherheitsstandards. Zudem zeigt der Code, dass die Control-Server nach außen SSH mit Root-Zugang für alle Kunden angeboten haben – ein absolutes No-Go bei der Absicherung von Servern.

Angriffsweg

Schlampige Sicherheit in Kombination mit schlechten Passwörtern dürfte es dann auch den unbekannten Angreifern einfach gemacht haben, an die Daten zu gelangen. Wer hinter der Attacke steht, ist dabei bisher vollkommen unklar, es gibt aber Hinweise darauf, dass es derselbe Personenkreis war, der vor rund einem Jahr den Hacking-Team-Konkurrenten Gamma/FinFisher heimgesucht und 40 GB an internen Daten veröffentlicht hat.

Jener Twitter-Account, über den im vergangenen Jahr die FinFisher-Daten veröffentlicht wurden, scheint sich auch zum aktuellen Hack zu bekennen.

Backdoor?

Bei manchen Fehlern stellt sich allerdings auch die Frage, ob sie nicht beabsichtigt waren. So zeigt der Code eines Tools, dass bei Datenbankabfragen die Eingaben nicht korrekt überprüft werden, wodurch von außen eine SQL-Injection-Attacke möglich ist. Dies hat dem Hacking Team de fakto ein Backdoor bei allen seinen Kunden gegeben.

Im Nachhinein als verheerende Entscheidung könnte sich zudem herausstellen, dass Hacking Team sämtliche seiner Tools mit Wasserzeichen versehen hat. Damit sollte sich ziemlich genau nachvollziehen lassen, wo diese eingesetzt wurden, die nächsten Wochen und Monaten dürften also auch in dieser Hinsicht noch Spannung versprechen.

Services

Einen durchaus interessanten Einblick liefert die Liste der Preise und Leistungen des Hacking Team: So verspricht man eine umfassende Überwachung der Zielsysteme, von der Remote-Aktivierung der Kamera und des Mikrofons über das Mitschneiden von Skype, Abfangen von Passwörtern und dem Mitloggen sämtlicher Mails und Instant Messages. Eine entsprechende Lizenz kostet 40.000 Euro, unterstützt werden dabei sowohl Windows als auch Linux und OS X.

Doch auch das Knacken von mobilen Betriebssystemen verspricht Hacking Team seinen Kunden, neben Android und iOS werden dabei Blackberry und Windows Phone unterstützt. In diesem Bereich zeigen sich aber die Grenzen der Möglichkeiten der Hacker: Angriffe gegen iOS funktionieren prinzipiell nur bei Geräten, bei denen ein Jailbreak vorgenommen wurde. Und bei Android wird ebenfalls einschränkend erwähnt, dass für manche Funktionen das Gerät gerootet sein muss.

Wenige Zero-Days

Die Analyse der in den Daten enthaltenen Exploits liefert hingegen wenige Überraschungen: Gerade einmal zwei davon fallen in die Kategorie "Zero-Day", nutzen also eine bisher noch nicht bekannte Sicherheitslücke – eine davon in den 32-Bit-Ausführungen von Windows, eine in Flash. Das heißt auch, dass der Großteil der Hacking-Team-Attacken wohl von der mangelhaften Wartung der Zielsysteme profitiert hat.

Beweismittelfälschung?

Für einige Aufregung in den sozialen Medien sorgte ein Hinweis im Code eines Programms von Hacking Team, in dem auf eine vermeintliche Kinderpornodatei verwiesen wird. So manche meinten darin ein Tool zu erkennen, mit dem Zielpersonen entsprechende Materialien untergejubelt werden könnten – also um etwa Beweismittel zu fälschen. Allerdings gibt es auch gewisse Hinweise darauf, dass es sich dabei "nur" um Default-Einstellungen für interne Tests/Demos handeln könnte. Eine abschließende Beurteilung zu diesem Punkt scheint also derzeit noch nicht möglich.

Rechtliche Konsequenzen

Bei all dem bleiben die politischen und rechtlichen Konsequenzen bisher noch unklar. Liefern die Daten doch eindeutige Beweise dafür, dass Hacking Team mit unter UN-Embargo stehenden Ländern wie dem Sudan kooperiert hat. Auch Russland war – trotz Sanktionen – ein einträglicher Partner für die Hacker.

Verhallte Mahnungen

Schon in den vergangenen Jahren hatten Bürgerrechtsgruppen wie Citizen Lab immer wieder auf die Aktivitäten von Hacking Team hingewiesen. So soll etwa das äthiopische Regime mithilfe der Software der italienischen Firma gegen Journalisten vorgegangen sein. In den Vereinigten Arabischen Emiraten kam "Galileo" nachweislich gegen einen Menschenrechtsaktivisten zum Einsatz, in Marokko wurde sie für einen Angriff auf eine Zeitung genutzt.

Schmutzige Hände

All dies hat freilich westliche Geheimdienste nicht davon abgehalten, mit dem Hacking Team zu kooperieren: 775.000 US-Dollar soll etwa das FBI in den vergangenen Jahren an das Unternehmen für seine Dienste überwiesen haben. Auch zahlreiche Banken – von der Deutschen Bank bis zu ABN Amro und Ing Direct waren laut den Dokumenten zumindest im Jahr 2010 Kunden.

Unterdessen bleibt unklar, wie es mit Hacking Team weitergeht. So manche Experten gehen davon aus, dass die Firma angesichts der vollkommenen Zerstörung ihrer Infrastruktur und des gebrochenen Vertrauens der Kunden am Ende ist. Dazu passt auch, dass sich laut Vice mittlerweile einzelne Mitarbeiter bereits eifrig nach neuen Jobs umsehen. (Andreas Proschofsky, 7.7.2015)

Update: Mittlerweile hat Micah Lee von The Intercept offengelegt, dass er sich beim Knacken des Windows-Passworts von Christian Pozzi geirrt hat. Dieses war also nicht "kittens". Der Artikel wurde entsprechend aktualisiert.

Nachlese

Spionagefirma Hacking Team: "Feind des Internets" selbst gehackt

Finfisher: 40 GB Daten des "Bundestrojaner"-Herstellers geleakt

Share if you care.