close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Erst kürzlich wurden Ransomware-Erpressungsversuche publik, die sich gegen Nutzer von Oracles E-Business-Suite richteten. Das Einfallstor der Angreifer: die als kritisch bewertete Zero-Day-Sicherheitslücke CVE-2025-61882 (CVSS-Score 9.8), über die eine Codeausführung aus der Ferne (Remote Code Execution) möglich war. Oracle veröffentlichte daraufhin ein Notfall-Update, das die verwundbaren E-Business-Versionen abdichtete.

Jetzt hat das Unternehmen eine weitere Schwachstelle gefunden und erneut einen Sicherheits-Patch außer der Reihe bereitgestellt. Der Lücke CVE-2025-61884 wurde ein CVSS-Score von „High“ (CVSS-Score 7.5) zugewiesen.

Verwundbar sind, wie schon im Falle der „Vorgängerin“, die E-Business-Suite-Versionen 12.2.3 bis einschließlich 12.2.14. Details und Links zum Update liefert Oracles Sicherheitshinweis zu CVE-2025-61884. Nutzer der verwundbaren Versionen sollten auch diesen (unabhängigen) Patch nach Oracles Empfehlung so zeitnah wie möglich anwenden.

Updaten & wachsam bleiben

Die im Vergleich zu CVE-2025-61882 niedrigere Risikoeinstufung sowie die Tatsache, dass via CVE-2025-61884 wohl keine direkte Codeausführung möglich ist, sollte Anwender keinesfalls dazu bringen, sich in falscher Sicherheit zu wiegen. Denn immerhin kann die Lücke laut Oracle unter bestimmten Voraussetzungen von entfernten, nicht authentifizierten Angreifern missbraucht werden, um auf sensible Daten zuzugreifen. Das könnte sie für erpresserische Angreifer, die gern auch mehrere Schwachstellen miteinander kombinieren, durchaus interessant machen.

Zu aktiven Angriffen oder Exploit-Code, wie er für CVE-2025-61882 in freier Wildbahn kursiert, ist bezüglich CVE-2025-61884 noch nichts bekannt.

Vor dem Hintergrund, dass die aktuellen Erpressungsversuche nach Schätzungen von Googles Sicherheitsexperten Hunderte, wenn nicht gar Tausende Unternehmen betreffen, sollten Anwender der E-Business-Suite generell wachsam bleiben. Denn es ist nicht unwahrscheinlich, dass Oracle im Zuge aktueller Codeanalysen noch weitere Schwachstellen patchen und publik machen wird – und dass zugleich auch die Cybergangster nach verwandten Angriffsmöglichkeiten Ausschau halten.

(ovw)

Heute ist der letzte Tag des Supports für das Betriebssystem Windows 10. Der Anbieter Microsoft empfiehlt einen Umstieg auf Windows 11. Eine Gnadenfrist gibt es für Windows-10-Geräte noch, wenn man sich für das Programm Extended Security Updates (ESU) registriert. Aber auch dieses Programm endet unweigerlich, nämlich am 13. Oktober 2026.

Windows-10-Nutzer stehen vor einem Problem: Nach Ablauf des Software-Supports durch Microsoft erhalten sie keine Sicherheitsupdates mehr und werden dadurch unweigerlich mit erheblichen Sicherheitsproblemen konfrontiert. Denn längst nicht jeder Computer ist für ein Update auf Windows 11 tauglich. Millionen Menschen müssen daher eigentlich voll funktionsfähige Computer ersetzen, wenn sie die hohen Anforderungen des Updates nicht erfüllen.

Aber Microsoft ist nicht alternativlos. Wer sich von Windows verabschieden und dem Open-Source-System Linux schon immer mal eine Chance geben und es ausprobieren wollte, hat gerade viele Möglichkeiten, sich dabei helfen zu lassen. Denn weil das zeitliche Ende von Windows 10 gekommen ist, bieten sich mehr Gelegenheiten als sonst, dabei praktische Hilfe zu bekommen.

Das liegt an Menschen wie Harald Reingruber. Er hat Informatik an der TU Wien studiert und kümmert sich beruflich um die Entwicklung von 3D-Visualisierungsmodulen für Krankenhaussoftware. Er hilft außerdem dabei, ältere Hardware wieder benutzbar zu machen, und organisiert mit weiteren Helfern ein Repair-Café in Oberösterreich. Und er engagiert sich bei der Kampagne „End of 10“, die Umstiegswillige unterstützt, wenn sie ihren Computern mit Linux eine erste oder zweite Chance geben wollen.

Wir haben mit Harald Reingruber über den Umstieg auf Linux und über die Initiative „End of 10“ gesprochen. Er erzählt, wie er solche Veranstaltungen zur Umstiegshilfe gestaltet und was typische Fragen sind. Wie fragen ihn auch, was die Motivationen der Menschen sind, die Windows hinter sich lassen wollen.

Was ist „End of 10“?

netzpolitik.org: Harald Reingruber, wie kamst Du zu der Initiative „End of 10“ und was machst Du dabei?

Harald Reingruber: Ich bin dazugestoßen über ein Reparatur-Initiativen-Netzwerk in Deutschland. Dort war ein Webinar darüber ausgeschrieben worden, wie man mit Linux das Windows-10-Update-Problem lösen kann für die Computer, die Windows 11 nicht unterstützen. Das war speziell für Repair-Cafés, denn das ist deswegen ein Thema, weil mit Ende von Windows 10 viel Elektroschrott auf uns zukommt.

So bin ich dazugestoßen und habe gesehen, wie man mitmachen kann, und mich in den Community-Chat reingehängt. Ich habe angefangen, Workshops für Repair-Cafés zu planen, und bin dann gefragt worden, ob ich mitmachen will. So bin ich da reingewachsen, das hat super gepasst.

netzpolitik.org: Wer steckt hinter der Initiative „End of 10“?

Harald Reingruber: Angestoßen wurde sie von KDE Eco, einer Gemeinschaft von Leuten, die Freie Software unterstützen. „End of 10“ ist Distro-unabhängig, also offen für verschiedene Linux-Varianten. Es ist der Versuch, aus dem ganzen Free-Software- und Linux-Umfeld die Kräfte zusammenzuziehen. Wir geben keine speziellen Distro-Empfehlungen ab.

netzpolitik.org: Wenn Du in einem Repair-Café Leuten Hilfe zum Umstieg auf Linux anbietest, wie gehst Du vor?

Harald Reingruber: Meistens erkläre ich ihnen, wenn sie es nicht ohnehin schon wissen, dass und warum ihr Computer nicht für Windows 11 geeignet ist. Manche interessieren sich aber einfach nur für Linux, das kommt auch manchmal vor. Ich versuche dann auch, schnell einmal ein Linux vom USB-Stick zu booten. Das ist ja das Geniale, dass man das schnell zeigen kann.

Das Erklären ist sonst oft abstrakt. Viele haben schon mal von Linux gehört, aber können sich nicht wirklich was darunter vorstellen. Man kann es in ein paar Minuten einfach direkt am Laptop sehen, dann bekommt das eine ganz andere Dimension.

netzpolitik.org: Wie vielen Leuten gleichzeitig kannst Du Hilfe anbieten?

Harald Reingruber: Wir schauen, dass es immer nur so eine Handvoll Teilnehmer sind. Je nachdem, wie die Gruppe drauf ist, schauen wir uns zwei oder drei verschiedene Distros an, also Linux-Varianten. Manche Distros haben sich schon herauskristallisiert, weil sie speziell für Windows-Umsteiger praktisch sind und auch gut funktionieren auf verbreiteter Hardware.

Ich versuche meistens, gleich einen Eindruck davon zu geben. Das hat für viele einen Wow-Effekt, dass man einfach einen USB-Stick ansteckt und dann läuft das auf ihren Rechnern und hat nichts mit dem Windows zu tun, was dort installiert ist. Manche sind überrascht, dass die Unterschiede weniger krass sind, als sie erwartet haben. Es gibt ja viele Mythen um Linux. Viele sind auch positiv überrascht, dass auch LibreOffice ziemlich vertraut wirkt.

„Fast nur Linux Mint“

netzpolitik.org: Welche Distros, also Varianten von Linux, empfiehlst Du Menschen, die gewöhnt sind, Windows zu benutzen?

Harald Reingruber: Wir haben in meinem Repair-Café fast nur Linux Mint installiert. Das hat einige Vorteile, denn es ist stark verbreitet. Das heißt, man findet leicht jemanden, der Erfahrung damit hat. Und die Oberfläche ist sehr intuitiv, die Installationsprozesse sind relativ einfach.

Linux Mint läuft auch auf älteren Geräten überraschend gut. Wenn nicht, würde ich eine MX-Linux-Variante ausprobieren. Nach dem Booten vom USB-Stick kann man einen Browser mit einer etwas anspruchsvolleren Website öffnen. Dann hat man normalerweise schon einen guten Eindruck.

netzpolitik.org: Wenn die Leute dann einen Blick auf Linux Mint oder eine andere Linux-Variante geworfen haben, was sind die typischen Fragen, die kommen?

Harald Reingruber: Die erste Frage ist oft: Wie kriegt man die Daten drauf? Da hat sich bei uns bewährt, dass wir ein paar Festplatten auf Vorrat gekauft haben. Wir bieten meistens an, gegen Selbstkosten die Festplatte zu tauschen und in ein externes Gehäuse zu geben.

Das ist relativ preiswert: Eine 250-Gigabyte-Festplatte, was für die meisten Leute reicht, kostet um die zwanzig Euro, plus etwa zehn Euro für das Gehäuse. Da kann man auch mit geringem finanziellen Aufwand ein paar Festplatten auf Vorrat kaufen. Das hat auch noch folgenden Vorteil: Falls irgendwas nicht klappt, kann man relativ rasch auch wieder die alte Festplatte benutzen.

Wie viel Zeit braucht man?

netzpolitik.org: Wie lange dauert so ein Workshop zum Umstieg auf Linux?

Harald Reingruber: Unsere Veranstaltungen dauern drei bis vier Stunden. Meistens ist die Datenmigration der aufwendigste Teil. Die Installation auf der Festplatte geht relativ flott. Falls unerwartete Probleme auftreten, etwa ein Gerät oder ein Treiber nicht unterstützt wird, kann man wieder zurückgehen. Wir geben auch dem Benutzer die Festplatte mit. Das heißt, er hat auch drei Wochen später noch die Möglichkeit, auf sein altes System zurückzugehen, wenn er das will. Bis jetzt ist das zum Glück noch nicht vorgekommen.

netzpolitik.org: Wer kreuzt bei solchen Veranstaltungen auf, was sind das für Menschen?

Harald Reingruber: Das ist wirklich ganz unterschiedlich. Altersmäßig kommen viele Ältere, weil ihnen wichtig ist, Geräte zu reparieren und lange zu nutzen. Das sind Werte, die ihnen wichtig sind, sie brauchen oft nicht immer die neuesten Gadgets. Aber Dreißigjährige kommen genauso.

Manche kommen mit einem neuen Laptop und sagen, dass sie sich sowieso schon länger für Linux interessieren und entschieden haben, es einfach auf dem neuen Gerät auszuprobieren, weil da noch keine Daten drauf sind. Einige kommen dann bei einem zweiten Termin auch noch mit einem zweiten Rechner, weil der erste Eindruck sehr gut war.

Eine neue Art zu leben

Wie kommt man auf die Website von „End of 10“?

netzpolitik.org: Auf der Website von „End of 10“ findet man eine Menge verschiedener Veranstaltungen, europaweit, eigentlich sogar weltweit, aber mit einem Fokus auf Europa. Wollte man jetzt selbst so eine Veranstaltung anbieten und Leuten helfen, auf Linux umzusteigen: Wie kommt man auf die Liste auf der Website?

Harald Reingruber: Man kann das direkt über einen Pull-Request machen, es gibt eine Anleitung dazu im Repo. Aber es gibt auch eine E-Mail-Adresse. Wer jetzt mit Git und Pull- und Merge-Requests nicht so vertraut ist, der schreibt die Daten von der Veranstaltung in eine E-Mail. Das wird innerhalb von ein paar Tagen auf die Website gestellt.

netzpolitik.org: Gibt es irgendwelche Einschränkungen? Welche Veranstaltungen sind nicht für eure Liste geeignet?

Harald Reingruber: Ein Individuum allein kann sich nicht anmelden. Man sollte sich als eine Gruppe anmelden, also etwa ein Repair-Café oder eine Linux User Group oder ein Verein. Wenn man ein Business betreibt, kann man das auch angeben.

Die Website unterscheidet zwischen „Events“, also Veranstaltungen , und „Places“, also Orten. Je nachdem, ob man einmalig spezielle Veranstaltungen anbietet oder ob man das regelmäßig anbietet, mit regelmäßigen Öffnungszeiten, kann man sich auch als Ort registrieren.

Auf Vertrauensbasis

netzpolitik.org: Generell gesprochen: Wer also dabei hilft, von Windows 10 umzusteigen, der ist bei euch richtig?

Harald Reingruber: Ja. Wir machen aber keine Qualitätssicherung, sondern setzen auf eine Vertrauensbasis. Wenn eine Veranstaltung nicht hilfreich war oder jemand unerwartet schlecht oder falsch beraten hat, dann kann man das natürlich auf der Website melden. Aber bisher gab es solche Probleme nicht.

netzpolitik.org: In den letzten Tagen gab es die Nachricht darüber, dass sich der Stichtag für das Windows-10-Ende insofern verschiebt, dass bei einer Registrierung für das Microsoft-ESU-Programm bis zum 13. Oktober 2026 nun doch noch Support für Windows 10 angeboten wird. Denkst Du, Microsoft reagiert damit auch auf solche Initiativen wie eure? Was könnte der Hintergrund sein für die Entscheidung, das Ende ein bisschen hinauszuschieben?

Harald Reingruber: Darüber kann ich natürlich nur spekulieren. Die europäischen Verbraucherschutzorganisationen haben auch Druck gemacht, was wahrscheinlich etwas bewirkt hat. Vielleicht bemerkt Microsoft, dass sich viele Leute nach Alternativen umschauen.

Wir wollen klar sagen: Ein Jahr ist es nur aufgeschoben. Man muss auch seinen Windows-10-Rechner mit dem Microsoft-Konto verknüpfen, damit man den „Gratis Extended Support“ bekommen kann. Die Frage ist, warum man warten sollte, denn ein Jahr später kommt das Problem ja wieder. Es lohnt sich also, auf eine mittelfristige oder langfristige Lösung hinzuarbeiten. Aber es nimmt vielleicht ein bisschen den Druck raus. Man kann sich ein bisschen Zeit nehmen, wenn man die Möglichkeit mit dem Microsoft-Konto nutzen will, und sich Linux einmal genau anschauen und ausprobieren.

Sehr viele Geräte müsste man aus dem Verkehr ziehen

netzpolitik.org: Hat die Verschiebung durch Microsoft auch eine Auswirkung auf Leute, die beim Umstieg auf Linux helfen wollen?

Harald Reingruber: Diejenigen, die sich jetzt auch engagieren wollen in ihrem Hackspace oder in ihrem Repair-Café oder vielleicht auch an der Uni, wenn sie dafür Räume haben, um sowas anzubieten, könnten natürlich jetzt die Chance nutzen. Denn die Frist ist verlängert, ich sehe das jetzt mal positiv.

Das Windows-10-Problem verschwindet nicht mit dem 14. Oktober von der Bildfläche. Es ergibt auch im nächsten Jahr noch Sinn, Umstiegsveranstaltungen anzubieten, wahrscheinlich auch darüber hinaus.

netzpolitik.org: Du hast vorhin Elektroschrott erwähnt. Siehst Du darin das größte Problem durch das Support-Ende von Windows 10 oder was ist aus Deiner Sicht das Übelste daran?

Harald Reingruber: Bei jeder Windows-Version wurde nach einigen Jahren der Support eingestellt. Das größte Problem ist diesmal eigentlich, dass die neuen Windows-Anforderungen so hoch gesetzt sind und Rechner, die gerade mal fünf Jahre alt sind, diese Anforderungen schon nicht mehr erfüllen. Das ist Elektroschrott quasi, denn sehr viele Geräte müsste man einfach aus dem Verkehr ziehen. Der größte CO²-Verbrauch entsteht ja in der Produktion und nicht in der Nutzung von einem Laptop. Kollegen von unserer „End of 10“-Kampagne haben herausgefunden, dass man ein Gerät eigentlich zwanzig oder dreißig Jahre nutzen müsste.

IT-Sicherheit als Argument zum Umstieg

netzpolitik.org: Ich würde jetzt vermuten: Du bist ein langjähriger Linux-Nutzer, nicht wahr?

Harald Reingruber: Ja, ich bin aber berufsbedingt und teilweise auch privat noch viel mit Windows unterwegs. Ich bin ein bisschen wie ein Raucher, der eigentlich schon weiß, dass er aufhören will.

netzpolitik.org: Das heißt aber auch: Du kennst auch beide Systeme. Das ist ja vielleicht ein Vorteil bei der Umstiegshilfe, oder?

Harald Reingruber: Ja, das ist schon ein Vorteil. Ich bin auch nicht „religiös“, was Linux oder Windows angeht, ich finde die Open-Source-Vorteile aber sehr groß. Auch aus politischer Sicht ist in öffentlichen Institutionen Open-Source-Software zu bevorzugen, auch mit Blick auf die Lizenzkosten. Würde man diese Gelder in die Weiterentwicklung von offener Software investieren, dann würde auch viel mehr Wertschöpfung in Europa bleiben.

netzpolitik.org: Hast Du den Eindruck, dass die Leute, die zu Dir kommen und denen Du hilfst, auch ein ökonomisches Problem lösen wollen, weil die Kosten eines Neugeräts oder generell die Kosten, die mit Windows und dem Update verbunden sind, ihnen zu hoch sind? Kommen sie auch, weil sie es einfach nicht bezahlen können oder wollen?

Harald Reingruber: Den Eindruck habe ich nicht, die Motivation ist schon eher politisch oder ökologisch. Ich beobachte, dass die Leute es oft so sehen: Das Gerät funktioniert ja noch, das will ich eigentlich nicht wegwerfen. Teilweise wissen sie auch noch gar nicht, ob sie es dann selber weiternutzen oder andere Verwendungszwecke dafür finden, sei es jetzt für Kinder oder Bekannte oder als Zweitgerät.

netzpolitik.org: Ist IT-Sicherheit auch ein Argument für die Leute?

Harald Reingruber: Die Fragen nach IT-Sicherheit kommen, das können Laien aber nicht so gut einschätzen. Dass Linux sicherheitsmäßig Vorteile hat und eine sehr sichere Umgebung ist, das ist den meisten vorher nicht klar. Ich glaube, das ist schon ein starkes Argument.

netzpolitik.org: Vielen Dank für das Gespräch!

Dies ist das Transkript der dritten Folge des neuen Podcasts „Darknet Diaries auf Deutsch“. Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „Maddie„.

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint alle zwei Wochen auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.

JACK: Ich hab einen Abschluss in Software-Engineering. Könnt ihr euch eventuell an ne Zeit in eurem Leben erinnern, in der es so etwas wie Software-Ingenieure noch gar nicht gab? Ich nicht. Mein ganzes Leben lang gab‘s die schon – aber ich wette, meine Urgroßeltern etwa haben ihr ganzes Leben lang nie etwas von Software-Engineering gehört. Werfen wir einen kurzen Blick zurück, um herauszufinden, wann und wie das eigentlich entstanden ist.

Ein fehlender Strich und die Geburtsstunde des Software-Engineering

JACK: In den 1950er-Jahren vollbrachte die NASA ein paar erstaunliche Dinge: Sie schickte Raumschiffe zum Mond und darüber hinaus, und die Raumschiffe waren vollgepackt mit jeder Menge Technologie: Antennen, Funkgeräte, Computer, Kameras, Software und Hardware – nur an Bord des Raumschiffs. Dann noch die riesigen Kommandozentralen, in denen die Mission Control saß: Auf jedem Schreibtisch Computer, riesige Bildschirme vorne im Raum, Dutzende von Wissenschaftlern und Ingenieuren – aber kein einziger von ihnen war Software-Ingenieur, denn diesen Beruf gab es in 1950er-Jahren noch nicht.

In den 60ern entwickelte die NASA das Mariner-Programm. Mit dem wollte man unbemannte Raumschiffe zum Merkur, Mars und zur Venus zu schicken, um Fotos von den Planeten zu machen. 1962 startete das erste Mariner-Raumschiff mit Ziel Venus. Unbemannt und ferngesteuert. An Bord befanden sich nur Elektronik, Antennen, Computer, Treibstoff und Kameras.

Doch schon wenige Minuten nach dem Start liefen die Dinge aus dem Ruder. Der Bordcomputer, der für die Steuerung des Schiffs zuständig war, verhielt sich unberechenbar und erteilte dem Schiff lauter wirre Befehle. Die Leute in der Mission Control versuchten, den verrückt gewordenen Computer zu korrigieren, aber es war nichts zu machen. Dann dämmerte ihnen, dass es die Rakete nicht bis zur Venus schaffen würde. Ja, sie würde es nicht mal aus der Atmosphäre schaffen, könnte sogar auf die Erde stürzen und dort Schaden anrichten. Also entschieden die Leute in der Mission Control, dass es keine andere Wahl gab, als den Selbstzerstörungsknopf zu drücken und die Mariner 1 über dem Atlantik zu sprengen. Das war das Ende des Mariner-1-Raumschiffs, ein 18,5-Millionen-Dollar-Schiff, das in die Luft gejagt wurde.

Was war passiert?

Wissenschaftler und Ingenieure verbrachten Tage damit, die Ereignisse und die nach dem Start aufgezeichneten Protokolle durchzugehen, und sie fanden dann heraus: Ein Hardwareteil war offenbar ausgefallen, woraufhin ein Bordcomputer eingesprungen ist, um das Raumschiff zu steuern, was allerdings nicht geklappt hat. Irgendwas stimmte mit dem Computer nicht. Als Sie den Code untersuchten, der auf ihm installiert war, sahen sie das Problem: ein fehlender Strich im Algorithmus. Ein einziger kleiner Strich. Aber nicht so‘n normaler Strich. Es war eher ein Überstrich, der über dem Buchstaben R für Radius hätte stehen sollen. Dieser Strich hätte bedeutet, dass ein geglätteter Wert für den Radius verwendet werden muss. Ohne diesen Überstrich nahm der Computer den aktuellen Wert für R. Und da die Rakete gerade versuchte, einen Hardwarefehler auszugleichen, schwankten die Werte für R stark hin und her – und damit auch die Ausgabe des Programms. Es hätte einen Durchschnittswert für R nehmen sollen, nicht die wild schwankenden Werte. So wies der Computer die Rakete an, unkontrolliert und völlig verrückt zu fliegen.

Die Logik und der Algorithmus, den die Wissenschaftler dem Programmierer gaben, waren korrekt, aber wer auch immer den Algorithmus in den Computer eingegeben hat, hatte diesen kleinen Strich über dem R übersehen. Und wegen dieses winzigen Fehlers im Code wurde am Ende die Rakete zerstört. Wenn die NASA einen solchen Fehler macht, versucht sie natürlich Wege zu finden, um so etwas in Zukunft zu verhindern. Man hat gesehen, dass man Software in vielen Systemen einsetzt, jedoch ohne Möglichkeit war, die Zuverlässigkeit dieser Software zu testen. An diesem Punkt wurde deutlich, dass Software-Engineering eine eigenständige Disziplin sein sollte. Die wurde kurz daraufhin entwickelt, und sie etablierte sich. Der winzige Softwarefehler ließ also nicht nur ein Raumschiff abstürzen, er rief auch ein ganz neues Forschungsfeld ins Leben, und mit ihm neue Prinzipien für das Design, die Entwicklung und das Testen von Computersoftware.

Vom Russisch-Studium zur Faszination für Assembler

JACK: Bist du bereit?

MADDIE: Ja, klingt gut für mich.

JACK: Also, wie und warum ging’s los – warte, fangen wir mit deinem Namen an und was du tust.

MADDIE: Mein Name ist Maddie Stone und ich bin Sicherheitsforscherin und konzentriere mich auf Zero-Day-Schwachstellen, die bereits aktiv ausgenutzt werden bei Google Project Zero.

JACK: Wir werden noch darauf eingehen, was Maddie bei Google macht, aber ich finde den Weg dorthin interessant. Als Teenagerin entwickelte sie ein Interesse an Computern und ging nach der High School auf die Johns Hopkins University in Maryland.

MADDIE: Ja, ich habe eigentlich ein Doppelstudium in Informatik und russischer Sprach- und Literaturwissenschaft absolviert, weil ich mich noch nicht ganz auf diese ganze Ingenieurssache festlegen wollte. Ich wusste nicht, ob mich das langweilen würde, also dachte ich mir, lerne ich doch eine neue Sprache. Am Ende hat mir Russisch wirklich Spaß gemacht, es war einfach eine ganz andere Art, mein Gehirn im Unterricht und bei allem anderen zu benutzen, und es hat mir auch ermöglicht, im Ausland zu studieren, was ich schon immer geliebt habe, weil ich gerne reise.

JACK: Wow, das ist ja ziemlich verrückt. Du sprichst also Russisch.

MADDIE: Naja, früher mal. Ich war mal gut darin.

JACK: Ja. Dann bist du umgezogen und hast im Ausland studiert, wo denn genau?

MADDIE: Ich war zwei Monate in St. Petersburg und vier Monate in Moskau.

JACK: Und nach ihrem Abschluss bekam Maddie einen Job im Applied Physics Lab an der Johns Hopkins Universität.

MADDIE: … ein staatliches Forschungslabor. Da war ich dann die ersten viereinhalb Jahre und hab mich mit dem Reverse-Engineering von Firmware und Hardware beschäftigt.

JACK: Ich finde, das sieht nach nem ziemlich coolen Ort aus. Im Applied Physics Lab arbeiten um die 8.000 Menschen, die Forschungsprojekte für das US-Verteidigungsministerium und die NASA durchführen. Man sammelt praktische Erfahrung und betreibt gleichzeitig Spitzenforschung.

MADDIE: Ich habe also auch mit buchstäblichen Raketenwissenschaftlern zusammengearbeitet, wenn das mal nicht das Ego in Schach hält.

JACK: Während sie dort arbeitete, hat sie auch noch ihren Master-Abschluss in Informatik gemacht.

MADDIE: Ich war total fasziniert vom Hacking-Aspekt. Wenn man diese ganzen Dinge sieht, aber es noch nie selbst gemacht hat, klingt das alles unheimlich aufregend. Ich mochte Assembler wirklich, wirklich sehr. Ich hatte das sogar als meine Lieblingssprache angegeben, als Profile von Mitarbeitern erstellt und Interviews mit verschiedenen Firmen geführt wurden. Sie fragen einen und sagen dann: „Sie lieben Assembler?“ Ich sagte: „Ja.“ Ich wurde Lehrassistentin für diesen Kurs und entwickelte dann als eigenständiges Projekt komplett neue Aufgaben.

JACK: Und das finde ich sehr interessant. Ich habe auch einen IT-Abschluss, ich hab Java gelernt, und C, C++, Visual Basic – und all diese Programmiersprachen hab ich ich ohne größere Probleme verstanden. Als ich aber den Kurs in Assemblersprache belegte, war ich verloren. Das war der einzige IT-Kurs, mit dem ich wirklich zu kämpfen hatte, und das liegt daran, dass Assembler so anders ist als alles andere. Die Sprache ist so low-level, so hardwarenah.

High-level-Sprachen sind leicht verständlich, man hat Variablen, If-Anweisungen, For-Schleifen und Funktionen, aber bei Assembler hat man Befehle wie move, push, pop, add, subtract – ganz rudimentäre, grundlegende Dinge. Ein Programm, das in Python nur wenige Zeilen Code hat, kann in Assembler zehnmal länger werden.

Aber Assembler hat einige Superkräfte: Es kann auf eine Weise mit dem Speicher und der CPU interagieren, die anderen Sprachen nicht möglich ist. Und es kann auch unglaublich effizient sein. Man hat eine viel bessere Kontrolle über die Ressourcen des Computers. Diese Art von direktem Lese- und Schreibzugriff gibt einem wirklich die grundlegende Macht über den Computer. Und genau dieses Low-Level-Zeug faszinierte Maddie. Vergleichbar ist das vielleicht mit einer Gehirnoperation, mit der man jemandem etwas beibringt oder sieht, wie die Person denkt. Ein Computer kann seine Gedanken nicht verbergen, wenn man so tief in ihm drin ist.

Ein weiterer wichtiger Grund, warum Maddie Assembler mochte, war, dass sie damit jedes Programm zerlegen konnte. Es spielt keine Rolle, in welcher Sprache ein Programm erstellt wurde; man kann jedes kompilierte Programm durch einen Disassembler laufen lassen und das gesamte Programm in Assemblersprache sehen. Viele Anwendungen und Programme sind kompiliert und liegen in einer Art Bytecode vor, der nicht für Menschen lesbar ist, und man kann schon gar nicht den ursprünglichen Code sehen, der zur Erstellung verwendet wurde. Man kann also bei vielen Programmen nicht sagen, was sie tatsächlich tun. Aber am Ende des Tages muss der Computer wissen, was zu tun ist, und dieser Bytecode kann in Assembler umgewandelt werden, sodass man quasi lesen kann, was passiert.

Wenn man also gut mit Assembler umgehen kann, bekommt man ein viel tieferes Verständnis dafür, wie Computer Speicher und Prozesse verwalten, und man kann jedes Programm dekodieren. Es ist nur wirklich schwer, auf dieser Ebene zu lesen. Das ist ungefähr so, als würde man ein Buch lesen, bei dem man immer nur einen einzigen Buchstaben auf einmal sehen kann – und das ganze Buch besteht aus nur zehn verschiedenen Buchstaben, die alle Worte ausmachen.

Jedenfalls: Sie verbrachte vier Jahre im Applied Physics Lab damit, besser in Assembler zu werden und mehr über Hardware zu lernen.

Auf der Jagd nach Android-Malware

MADDIE: Dann, eines Tages, ruft Google an und sagt: „Hey, haben Sie Interesse an einem Vorstellungsgespräch bei uns?“ Darüber war ich ziemlich schockiert, denn als Studentin hatte ich mich sehr bemüht, auch nur Interviews oder Anrufe von all den großen Tech-Unternehmen zu bekommen, aber ich war für sie nicht von Interesse. Daher war ich sehr überrascht, den Anruf zu erhalten, und durchlief schließlich den Bewerbungsprozess und bekam das Angebot, dem Android-Sicherheitsteam als Reverse-Engineer beizutreten.

JACK: Ein Reverse-Engineer ist jemand, der ein Programm nimmt, es zerlegt und analysiert, um zu verstehen, wie es funktioniert. Dafür wandelt er es manchmal in Assemblersprache um und versucht, daraus schlau zu werden. Aber, ich mein, Google ist der Ort, an dem Android entwickelt wird. Warum sollte jemand Android reverse-engineeren, wenn man sich einfach den Quellcode ansehen könnte, der direkt im selben Gebäude geschrieben wird?

MADDIE: Ich habe mich auf die ganze Malware im Android-Ökosystem konzentriert.

JACK: Na klar, das macht Sinn. Die Malware, die auf Android abzielt, ist oft kompiliert, sodass man den Code, aus dem sie besteht, nicht sehen kann. Und Maddies Aufgabe war es, einen Teil dieses Codes zu reverse-engineeren und zu dekompilieren und ihn auf Malware zu untersuchen. Wenn es sich um Malware handelte, musste sie herausfinden, was genau die tat, und dies dann den Android-Entwicklern mitteilen, damit die eine Lösung finden konnten.

MADDIE: Genauer gesagt, begann ich ein Team zu leiten, das sich darauf konzentrierte, jegliche Art von Malware oder schädlichen Apps zu finden, die erstens potenziell auf Geräten von verschiedenen Hardwareherstellern vorinstalliert waren – denn es gibt Tausende verschiedener Hersteller von Android-Geräten. Zweitens untersuchten wir, ob wir Malware für all die Apps finden können, die nicht aus dem Google Play Store stammen. In vielen Teilen der Welt werden Apps über andere Stores als Google Play weitergegeben, oder sie werden peer-to-peer ausgetauscht und so weiter. Gibt es also Möglichkeiten, Android-Nutzer auch vor diesen Apps zu schützen und herauszufinden, was Malware ist und was nicht?

JACK: Okay, und hier wurde ich neugierig, über welche Art von Malware wir bei Android sprechen, und ich habe angefangen, ein paar Dinge nachzuschlagen. Eine seit Jahren verbreitete Malware ist z.B. GinMaster. Millionen von Android-Geräten sind oder waren damit infiziert. Die GinMaster-Malware fängt, sobald sie auf ein Gerät gelangt, private Daten vom Gerät ab und sendet sie an einen externen Server. Sie kann Angreifern auch Zugriff auf dieses Gerät geben. GinMaster ist eindeutig nichts, was man jemals auf seinem Handy oder Tablet haben möchte. Er ist aber auf Millionen Geräte gelangt, und das indem es an eine App angehängt wird.

Eine gängige Strategie ist es dabei, eine Nachahmer-App eines beliebten Spiels zu erstellen. Die soll die Leute dazu verleiten, zu denken, dass sie die App bekommen, die sie wollen, aber tatsächlich ist nicht die echte. Wenn sie dann jemand herunterlädt und installiert, bekommen sie nicht nur die gewünschte App nicht, sie werden zudem auch mit dieser GinMaster-Malware infiziert. Am Ende ist es also tatsächlich ein Benutzer, der den Virus selbst herunterlädt und installiert; er weiß nur nicht, dass es ein Virus ist. Wenn ein Gerät damit infiziert ist, kann es Benutzerdaten stehlen, die Kontrolle über das Gerät übernehmen oder weitere bösartige Dinge installieren.

Malware wie diese wird also zur Analyse an Maddie geschickt, und sie kann solche Apps kennzeichnen, um Android-Nutzer zu warnen, dass diese App Malware enthält. Android-Apps werden in sogenannten APK-Dateien verpackt, was für Android Package steht.

MADDIE: Ja, wir finden also eine APK-Datei, die im Grunde nur eine .zip-Datei mit all den verschiedenen Komponenten einer Android-App ist.

JACK: Nicht alle Android-Apps sind in Java geschrieben, aber die meisten wohl schon. Das Schöne für Maddie ist, dass Java-Apps recht einfach dekompiliert werden können und man ein ziemlich genaues Bild davon bekommt, wie das ursprüngliche Programm aussah. Sie muss es also nicht in Assembler zerlegen. Sie kann fast im Originalformat lesen, was es viel einfacher zu verstehen macht. Aber es ist nicht immer so einfach; manchmal sind in Java zusätzliche kompilierte Programme versteckt.

MADDIE: Ja, genau da versuchten einige der raffinierteren Malware-Autoren, einen Teil ihres Verhaltens in nativen Bibliotheken innerhalb der APK-Datei zu verstecken. Das sind kompilierte C oder C++ Programme, die, einmal kompiliert, in Maschinencode vorliegen, den wir zu Assemblercode disassemblieren können.

JACK: Das ist natürlich der Bereich, in dem Maddie ihre Stärken hat. Sie kann die Assemblersprache lesen, und versteht, wie die Malware funktioniert, und meldet ihre Erkenntnisse dann dem Android-Team. Dieses prüft, ob Maßnahmen zum Schutz der Benutzer vor solcher Malware möglich sind.

MADDIE: Ja, also, das Erste, was wir tun mussten, war, Warnhinweise in das Google Play Protect-System einzubauen, denn das Wichtigste ist, dass die Benutzer alarmiert werden und die Möglichkeit erhalten, die Anwendung von ihrem Gerät zu entfernen oder zu deaktivieren. Der nächste Schritt ist dann, automatisierte Lösungen zu schreiben, denn besonders wenn man in einem Malware-Team ist, gibt es immer mehr Apps oder Samples zu untersuchen, als es Menschen gibt, die sie analysieren können. Das Ziel ist also immer, dass es quasi nur einmal rückentwickelt wird, und dass es dann, nachdem man es einmal reverse-engineert hat, automatisierte Softwarelösungen gibt, die alle anderen Kopien finden können, die davon auftauchen könnten. Das ist also wirklich der Prozess: analysieren, verstehen, kennzeichnen, damit die Benutzer geschützt sind, und dann automatisierte Lösungen finden.

JACK: Mhm. Hast du ne Geschichte zu einer besonders interessanten Malware, die du gefunden hast oder die auf deinem Schreibtisch gelandet ist. Wo du dachtest: „Wow, das ist ja ziemlich crazy Zeug.“

MADDIE: Also, eine der größten Malware-Familien, die ich nicht erwartet hatte und die zu einer über einjährigen Untersuchung führte, war das, was wir Chamois nannten. Es hat viel Übung gekostet, das richtig auszusprechen, aber es war ein großes Botnetz. Was wirklich interessant war und wie ich darauf gestoßen bin, war, dass diese Anwendung, die normalerweise in Java geschrieben war, diese native Bibliothek hatte, also kompilierten C- oder C++-Code. Als ich versuchte, mich weiter in diese native Bibliothek einzuarbeiten, wurde offensichtlich, dass sie extrem stark verschleiert war und eine unglaubliche Menge an Anti-Analyse- und Anti-Debugging-Prüfungen durchführte. Sie war also sehr ausgeklügelt und versuchte zu erkennen: „Werde ich von einem Sicherheitsingenieur überwacht und analysiert, oder laufe ich auf einem echten Gerät, das ich infizieren kann?“ Am Ende habe ich mich da reingefuchst – ich glaube, es hat über einen Monat oder anderthalb gedauert, um wirklich alle Aspekte dieser nativen Bibliothek zu durchdringen. Als ich dann nach anderen Apps mit ähnlichen nativen Bibliotheken suchte, wurde klar, dass es sich um dieses Botnetz und diese Malware-Familie handelte, die ziemlich raffinierte Sachen machte.

Eine der lustigsten Anekdoten für mich ist, dass ich tatsächlich auf der Black Hat über diese native Bibliothek einen Vortrag gehalten habe.

JACK: Ja, damals, 2018 stand Maddie auf der Bühne der Black Hat Security Conference und zeigte dem gesamten Publikum die genauen Techniken, die diese Malware verwendete.

MADDIE: [AUF DER BLACK HAT] Was sind also all diese verschiedenen Techniken, über die wir sprechen werden? Was macht sie so interessant? Zuerst werden wir über einige der JNI- oder Java-Native-Interface-Manipulationen sprechen, dann schauen wir uns an wo sie Anti-Reversing-Techniken, In-Place-Entschlüsselung und schließlich etwa vierzig verschiedenen Laufzeitumgebungsprüfungen eingesetzt haben. [ZU JACK] Ich glaube, es waren weniger als 24 – oder auf jeden Fall weniger als 72 Stunden später, als wir sahen, wie die Malware-Autoren verschiedene Aspekte und Merkmale dieser Bibliothek änderten, über die ich gerade vorgetragen hatte. Sie änderten also nur die Merkmale und Techniken, die ich in der Black-Hat-Präsentation besprochen hatte. Diese Präsentation wurde nicht gestreamt oder so etwas, das war sehr faszinierend zu beobachten.

JACK: Wow, ja, das ist interessant. Das bedeutet, die Malware-Autoren oder jemand, der die Malware-Autoren kennt, waren bei ihrem Vortrag, haben sie beobachtet, sich Notizen gemacht, wie sie die Malware aufgespürt hat, und sind dann an ihren Computer, um die Malware zu aktualisieren, damit sie für das Google-Team schwerer zu erkennen ist. Maddie macht es den Malware-Herstellern schwerer, ihr Ding durchzuziehen. Sie dringt in ihre Köpfe ein und lernt, wo und wie sie die Malware verstecken, richtet ein großes Scheinwerferlicht darauf und verscheucht sie. Ihr Ziel ist es, es einfacher zu machen, Malware zu finden, und gleichzeitig schwerer, Malware zu erstellen.

Der Wechsel zu Project Zero: Im Kampf gegen staatliche Spyware

MADDIE: Eines Tages hatte ich eine neue Kalendereinladung in meinem Posteingang von Ben Hawkes, dem langjährigen Leiter von Project Zero. Wir hatten uns noch nie getroffen und er sagte: „Hey, ich wollte nur mal mit Dir über diese potenzielle neue Rolle und ein Experiment für Project Zero sprechen.“

JACK: Oh wow, Project Zero hat versucht, sie abzuwerben? Das ist ziemlich cool. Ein sehr talentiertes Team innerhalb von Google, das sich auf die Suche nach Zero-Day-Schwachstellen konzentriert.

MADDIE: Ja, Google Project Zero ist ein Team für angewandte Sicherheitsforschung mit der Mission, Zero-Day-Angriffe zu erschweren.

JACK: Aber das Entscheidende ist hier, dass dieses Team nach Fehlern in jeder Software sucht, nicht nur in den Produkten von Google. Die Idee dahinter ist sicher, dass Google-Nutzer nicht ausschließlich Google-Produkte verwenden.

MADDIE: Ja, wenn man darüber nachdenkt, wie man beispielsweise Google-Chrome-Nutzer oder Gmail-Nutzer schützt: viele Google-Nutzer können über andere Vektoren als nur die Google-Produkte angegriffen werden. Welches Betriebssystem sie auch immer für Chrome verwenden, wenn das Schwachstellen hat, könnte das ein Weg sein, diese Nutzer zu hacken. Oder damals, 2014, war Flash eine der größten Angriffsmöglichkeiten im Web. Viel Forschung und Schwachstellenforschung in Flash zu betreiben, würde also letztendlich helfen, die Chrome-Nutzer zu schützen.

JACK: Das Team von Project Zero sucht also überall nach Zero-Day-Schwachstellen. Zero-Day-Schwachstellen sind Fehler, von denen der Softwarehersteller noch nichts weiß. Das bedeutet auch, dass die Verteidiger des Softwareherstellers nichts davon wissen und sich dementsprechend auch nicht wehren können. Wenn das Project Zero-Team einen Fehler findet, teilen sie das dem Hersteller mit, damit der ihn beheben kann, und dann starten sie den Timer. Wenn 90 Tage vergehen und der Hersteller ihn nicht behoben hat, macht Google den Fehler öffentlich. Jedenfalls war das das Team, das auf Maddie zukam.

MADDIE: Diese hybride Rolle für mich sollte also nicht nur in der Schwachstellenforschung liegen, sondern quasi die Aspekte der Bedrohungs- und Malwareanalyse zu kombinieren. Mein Ausgangspunkt wären Zero-Day-Schwachstellen, die bereits aktiv in freier Wildbahn ausgenutzt werden. Also nicht nur nach Zero-Days jagen, die Angreifer theoretisch finden könnten, sondern als Ausgangspunkt für mich die Exploits nehmen, die tatsächlich schon ausgenutzt werden.

JACK: Na klar, verstehe. Wenn das Ziel von Project Zero darin besteht, Zero-Days schwerer erstellbar zu machen, dann erweitert die Einbindung eines Reverse Engineers das Forschungspotenzial erheblich. Anstatt nur nach unbekannter Malware zu suchen, kann man Maddie nun bekannte Malware zuführen, die sie dann verarbeitet und Muster entwickelt, um nach weiterer Schadsoftware zu suchen. Eine neue Herangehensweise bei der Suche nach Malware. Durch die Kombination dieser Kräfte werden sie effektiver. Sie nahm den Job an und war nun Teil von Google Project Zero.

MADDIE: Ich kam also mit nicht viel Wissen in dieses Team, nur mit dieser grundlegenden Idee von Ben, der mir sagte, ich solle einfach damit loslegen und herausfinden, was Sinn ergibt. Ich hatte also nicht wirklich Erfahrung in der Schwachstellenforschung für Windows, iOS, Browser und so weiter. Meine Erfahrung vor Android bezog sich auf Hardware und eingebettete Geräte, die tendenziell nicht die größten Zielobjekte für Project Zero sind. Es war also viel Lernen, aber wir haben sozusagen groß angefangen. Ich trat dem Team im Juli 2019 bei, und Google erhielt Informationen, dass das kommerzielle Überwachungsunternehmen NSO diesen Android-Exploit hatte, den sie nutzten, um Android-Nutzer mit Pegasus anzugreifen, der Spyware, die in letzter Zeit überall in den Nachrichten war. Wir bekamen sogar einige Marketing-Infos über diese Fähigkeit. Mein erster Job war es also, all diese Details zu nehmen und zu sehen, ob ich herausfinden konnte, wo der Fehler lag, damit wir ihn patchen und die Fähigkeit unterbinden konnten.

Ich durchforstete also den gesamten Android-Quellcode, den Linux-Kernel-Quellcode und versuchte herauszufinden, wo dieser Bug steckt. Irgendwie schaffte ich es, herauszufinden, genau welcher Fehler es war, weil die Details, die uns gegeben wurden, zufällig so zusammenpassten, dass es nur eine einzige Schwachstelle gab, die potenziell auf jedes einzelne Detail zutraf, das uns gegeben wurde. Das war also ein ziemlich wilder erster Bug, den ich melden und in den Project Zero Issue Tracker eintragen konnte. Wir meldeten ihn Android mit einer Sieben-Tage-Frist anstelle der neunzig Tage, aufgrund der hohen Wahrscheinlichkeit, dass er aktiv ausgenutzt wurde. Um dann zu zeigen, dass er ausgenutzt werden konnte, tat ich mich mit Jann Horn zusammen, um einen Proof-of-Concept zu schreiben, der nicht nur die Schwachstelle auslöst, sondern tatsächlich einen Weg zeigt, die Schwachstelle auszunutzen und ihn dann erfolgreich beispielsweise in der Pegasus-Kette zu verwenden. Das war also eine ziemlich wilde Woche.

JACK: Es ist schon erstaunlich, dass Maddie nicht nur innerhalb von einer Woche herausgefunden hat, wie die Pegasus-Software unter Android verwendet wird, sie hat anschließend auch noch einen funktionierenden Proof-of-Concept-Exploit entwickelt. Das ist, als würde man einen Millionen-Dollar-Fehler finden und beseitigen. Es gibt Unternehmen da draußen, die bereit sind, eine Million Dollar für einen solchen Fehler zu zahlen, einfach weil er für bestimmte Leute so wertvoll ist.

Pegasus ist die Spyware von NSO, einem Unternehmen mit Sitz in Israel. NSO hat die Software an verschiedene Länder auf der ganzen Welt verkauft – und es ist ziemlich teuer, die sie zu kaufen. Wenn Maddie also herausfindet, wie sie verwendet wird, und sie unbrauchbar macht, wird NSO das wohl gar nicht gefallen. Sie müssen ihre bestehende Methode für den Zugriff auf Telefone aufgeben und einen neuen Weg finden, was nicht so einfach ist. Aber das ist das Ziel von Project Zero: es schwieriger zu machen, dass Exploits da draußen sind. Ein Unternehmen, das sein ganzes Geschäftsmodell darauf aufbaut, Malware und Exploits an Länder zu verkaufen, wird von dieser Arbeit betroffen sein. Es bedeutet gleichzeitig, dass der Preis für Pegasus steigen wird, da es schwieriger werden wird, die jeweiligen Schwachstellen zu finden.

MADDIE: Im Allgemeinen sind es staatliche Akteure, die Zero-Day-Exploits verwenden, und sie setzen die Zero-Days im Allgemeinen gegen Menschenrechtsaktivisten, Journalisten, Minderheitengruppen und Politiker ein. Während sich also nicht jeder Mensch Sorgen machen muss, mit Zero-Day-Exploits angegriffen zu werden, sind wir alle im Allgemeinen betroffen, wenn sie verwendet werden. Wenn Journalisten Angst bekommen oder nicht mehr in der Lage sind, die Wahrheit zu schreiben, die sie finden, und Menschenrechtsverteidiger ins Visier genommen werden, sodass sich weniger Menschen trauen, aufzustehen und ihre Meinung zu sagen, oder wenn Minderheitengruppen oder Unternehmen der kritischen Infrastruktur und Ähnliches ins Visier genommen werden, wirkt sich das letztendlich auf uns alle aus.

JACK: Natürlich geht es bei staatlichen Akteuren nicht immer nur um Machtmissbrauch; sie nutzen ihre Fähigkeiten auch, um Terroranschläge und kriminelle Aktivitäten zu stoppen. Aber am Ende des Tages bemisst sich jede Technologie daran, wie sie gegen schutzbedürftige Menschen eingesetzt wird, nicht nur, wie sie hilft. Wenn es also Zero-Day-Schwachstellen gibt, die dazu verwendet werden, unschuldige Menschen ins Visier zu nehmen, dann wird das Finden und Beheben dieser Schwachstellen dazu beitragen, die Zivilgesellschaft sicherer zu machen.

Es ist irgendwie verrückt, darüber nachzudenken, dass Maddie hier versucht, staatliche Akteure zu entwaffnen. Sie findet heraus, welche Waffen und Exploits sie haben, und sorgt dann dafür, dass diese behoben werden, damit sie nicht mehr zur Ausbeutung von Menschen verwendet werden können. Gab es darauf irgendwelche bedrohlichen Reaktionen? Ich kann mir zum Beispiel vorstellen, dass die NSO-Gruppe nach deinem ersten Projekt dort ziemlich verärgert war und sich dachte: „Okay, Maddie steht jetzt auf unserer Liste.“ Erlebst du manchmal so seltsame Dinge?

MADDIE: Nun, es war tatsächlich sehr seltsam. Im Januar 2020 wurde ich zur Konferenz Blue Hat Israel eingeladen. Also ging ich hin, und es kamen tatsächlich zwei Leute auf mich zu, auf deren Ausweisen stand, dass sie für NSO arbeiten. Sie stellten mir Fragen, warum ich die Techniken gewählt hatte, die ich gewählt hatte. Das war also insgesamt eine sehr seltsame Interaktion. Aber eine der beunruhigenderen war, ich glaube es war 2021, als die Google TAG, die Threat Analysis Group, entdeckte, dass nordkoreanische Hacker Sicherheitsforscher ins Visier nahmen, einschließlich Sicherheitsforschern von Project Zero, in der Hoffnung, ihnen Zero-Day-Exploits zu stehlen, um sie in ihren Kampagnen zu verwenden. Persönlich – oder ich meine, in der Gruppe der Zielpersonen zu sein, ist ein ziemlich beängstigender Aspekt. Aber es gab mir auch viel Empathie für die Menschen, die die wirklich harte Arbeit leisten und oft Ziele von staatlichen Angreifern sind, die Zero-Days verwenden.

JACK: Ja. Eine andere Herangehensweise hier ist ja, dass die NSA Zero-Days findet und sie als Waffen einsetzt. Manchmal ist einer der Nationalstaaten, gegen die du ja quasi antrittst, dein eigener. Kommst du da in einen Konflikt, oder wie fühlt sich das für dich an?

MADDIE: Ich glaube nicht, denn in den allermeisten Fällen haben wir keine Ahnung, wer hinter einem Bug steckt. Auch weil man einfach so schnell arbeitet, dass die Leute normalerweise keine sofortige Zuordnung haben. Wenn überhaupt eine Zuordnung bekannt wird, sind die Threat-Intel-Experten meist drei bis sechs Monate im Rückstand. Es gibt also nie diesen Konflikt, weil wir nur ein Exploit-Sample oder einen Patch-Vergleich bekommen und den Bug, der in den Release-Notes vermerkt wurde. Ich habe mich also nie wirklich in einem Konflikt gefühlt, weil es keine Möglichkeit gibt, es zu wissen. Alles, was man weiß, ist, dass Menschen geschädigt werden, und das würde mir noch mehr zu schaffen machen, wenn ich nicht versuchen würde, es zu beheben. Ja.

Zombie-Bugs und das digitale Wettrüsten

JACK: Anfang des Jahres 2022 sah Maddie, dass Apple einen Fehler in seinem WebKit-Produkt behoben hatte. Das ist die Browser-Engine, die Apples Safari-Browser verwendet, und es wurde eine ziemlich große Schwachstelle darin entdeckt, aber die Patch-Notizen waren etwas vage, also versuchte Maddie, mehr darüber herauszufinden.

MADDIE: Als ich anfing, mich damit zu beschäftigen, eine meiner Methoden, die ich anwende, wenn es nur einen Patch-Diff gibt und ich keine anderen Informationen habe, bei Open-Source-Software wie WebKit, dann betrachte ich die Historie dieser Datei und der Bereiche, die sie gepatcht haben – das nennt man „git blame“. Das zeigt einem sozusagen, wann diese Zeile erschienen ist oder wann diese Quellcodezeile zuletzt geändert wurde. Was ich am Ende herausfand, war, dass dies ein Zombie-Bug war, weil er ursprünglich bereits 2013 behoben worden war, aber der Bug wurde wieder eingeführt, weil dieser Patch 2016 zurückentwickelt und aufgelöst wurde. Und hier waren wir nun im Jahr 2022, mit dem Bug, der in freier Wildbahn ausgenutzt und erneut gepatcht wurde.

JACK: Warum glaubst du, wurde er zurückgenommen?

MADDIE: Ich habe dazu einen ausführlichen Blogbeitrag geschrieben und wirklich versucht, das zu verstehen. Es wurde tatsächlich zu einer Art Team-Anstrengung, weil wir alle sehr daran interessiert waren zu verstehen, wie das passieren konnte. Es gab auch eine sehr interessante Überschneidung: Mein Teamkollege Sergei Glazunov war tatsächlich der ursprüngliche Melder des Bugs im Januar 2013, und er wurde damals an Chrome gemeldet, weil Chrome zu dieser Zeit noch auf WebKit als Browser-Engine aufgebaut war. Sie haben sich erst 2014, glaube ich, getrennt. Also sprang er ein und schaute es sich mit mir an, ebenso wie einige meiner anderen Teamkollegen wie Mark Brand. Und wonach es insgesamt aussah, war, dass sie versuchten, eine Kette – sozusagen ein Refactoring durchzuführen, um es erstmal performanter zu machen, und dadurch gab es einige wirklich riesige Patch-Änderungen. Allein aufgrund der Struktur von Sicherheitsteams und der Prüfprozesse bekommen die Leute oft nicht wirklich viele Ressourcen und Zeit, um Zeile für Zeile durchzugehen und zu schauen, was all diese Änderungen sind und so weiter.

JACK: Hm, es muss ziemlich peinlich sein, festzustellen, dass der eigene Code sieben Jahre lang angreifbar war und man das erst jetzt entdeckt. Da fragt man sich doch, wer davon vielleicht alles gewusst hat. Ist es möglich, dass eine Hackergruppe oder ein staatlicher Akteur davon wusste und es ausgenutzt hat, um bei Bedarf die Browser der Menschen zu übernehmen? Schwer zu sagen, wir werden’s wohl nie erfahren.

MADDIE: Im Herbst 2020 entdeckten wir einige Exploit-Server und stellten zufällig fest, dass sie uns Exploits für verschiedene Geräte und verschiedene Browser lieferten. In diesem Fall bekommt man im Allgemeinen zuerst nur den Erstanwendungs-Exploit und dann vielleicht ein Fingerprinting-Skript oder so etwas. Wir dachten uns also: „Meine Güte, das liefert uns Exploits und unsere Geräte sind vollständig gepatcht. Was zum Teufel ist hier los?“

JACK: Das muss ein sehr aufregender Tag gewesen sein, als man herausfand, dass es irgendwo auf der Welt einen Server gibt, der in der Lage ist, ein Gerät aus der Ferne anzugreifen und es auf eine Weise auszunutzen, die einfach nicht zu stoppen ist. Für ein Sicherheitsforschungsteam wie dieses ist das ein großer Moment. Man möchte so schnell wie möglich so viele Exploits wie möglich von diesem Server erfassen, sie dann analysieren und genau herausfinden, wie sie Geräte infizieren, damit man sie dann beheben kann.

MADDIE: In diesem Fall war es ein Watering-Hole-Angriff. Ein Watering-Hole-Angriff ist, wenn man auf eine Website geht und diese einfach versucht, jeden zu infizieren, der auf diese Website geht. Das war hier sozusagen der Fall: „Oh, das ist seltsam; plötzlich ist das sehr seltsamer Datenverkehr und oh, das ist ein Exploit und das ist ein Fingerprinting-Skript? Worüber sind wir hier gestolpert?“

JACK: Die Website hatte aktiven Traffic und Nutzer, die sie besuchten. Maddie und das Team von Project Zero wussten also, dass die Leute genau in diesem Moment aktiv gehackt wurden, wenn sie die Seite besuchten. Sie wollten so schnell wie möglich handeln, um zu verhindern, dass noch mehr infiziert werden.

MADDIE: Da haben wir uns alle richtig reingehängt, haben die Wochenenden und bis spät in die Nacht gearbeitet, um erstmal so viele Exploits wie möglich zu sichern. Dann haben wir uns zusammengetan, sie auseinandergenommen, die Obfuskation ausgehebelt und versucht herauszufinden, welcher Bug hier genau ausgenutzt wird. Und dann haben wir diese gemeldet und mit den Herstellern zusammengearbeitet, um die Patches so schnell wie möglich herauszubringen.

JACK: Sie konnten also alle Fehler beheben, für die Google verantwortlich war, und dann alle anderen Hersteller, die Fehler hatten, dazu bringen, sie ebenfalls zu beheben. Dadurch wurde diese Website für aktualisierte Geräte, die die Seite besuchten, wirkungslos. Deshalb sage ich auch immer, dass ihr eure Software patchen sollt. Aktualisiert immer euer Betriebssystem und alle Apps, die ihr habt, wenn ein Update verfügbar ist, denn das macht es für jemanden schwerer, in eure Sachen einzudringen.

Also, habt ihr jemals herausgefunden, wer das gemacht hat? War es ein staatlicher Akteur oder wer, dachtet ihr, würde so einen Angriff durchführen wollen?

MADDIE: Wir gehen davon aus, dass es ein staatlicher Akteur ist, einfach wegen der schieren Menge an Zero-Days und der Raffinesse dahinter. Es scheint ziemlich unwahrscheinlich, dass jemand anderes als ein staatlicher Akteur erstens Zugang hätte und zweitens bereit wäre, diese Anzahl zu nutzen. Ich glaube, als wir es uns ansahen, waren es ungefähr – ich glaube, elf Zero-Days, die der Akteur im Laufe eines Jahres verwendet hatte. Das lässt mich definitiv an einen Staat denken, aber nein, ich weiß nicht, wer dahintersteckte. Ich bin auch keine Expertin für Attribution, aber ich habe keine endgültigen Antworten gesehen oder gehört, wer nach Meinung der Bedrohungsforscher und Threat-Intel-Experten dahintersteckte.

JACK: Wow, elf Zero-Days? Das ist erstaunlich. Einen Zero-Day-Exploit zu entwickeln, erfordert eine Menge Zeit und Können. Das ist kein einfacher Social-Engineering-Angriff oder eine von der Stange gekaufte Malware. Jede dieser elf Zero-Day-Sicherheitslücken erforderte einen hohen Ressourcenaufwand, um sie zu finden und in einen nutzbaren Exploit umzuwandeln. Darüber hinaus war die Art und Weise, wie diese Exploits miteinander verkettet wurden, unglaublich ausgeklügelt. Da die Entwicklung und Nutzung so vieler Bugs so viele Ressourcen erfordert, geht Maddie davon aus, dass es sich wahrscheinlich um einen staatlichen Akteur handelt. Es übersteigt die Fähigkeiten einer Cyberkriminalitäts- oder Hacktivisten-Gruppe.

MADDIE: Wenn man eine weniger ausgefeilte Angriffsform nutzen kann, um an das zu kommen, was man braucht, dann wird das immer die erste Wahl sein. Wenn Deine Zielpersonen unsicher sind und Du weißt, dass sie auf Phishing hereinfallen, dann ist das der einfachste Weg und den wirst Du nehmen. Wenn Deine Zielpersonen ihre Geräte nicht auf dem neuesten Stand halten, kannst Du einen N-Day-Exploit verwenden, und das wirst Du dann tun. Diese Zero-Days kommen also zum Einsatz, wenn man erstens wirklich keine Spuren hinterlassen will, weil die Leute nicht wissen, wie dieser Bug und Exploit aussehen wird, und man zweitens Organisationen oder Einzelpersonen ins Visier nimmt, die wahrscheinlich eine ziemlich gute Sicherheitshygiene und -haltung haben. Das sind oft Leute, die ihre Zielpersonen kennen, wie eben Menschenrechtsverteidigerinnen und Journalisten und so weiter.

JACK: Hm, so wie ich es verstehe, verfolgen nationale Akteure in der Regel mehrere unterschiedliche Ziele. Das kann die Beschaffung von Informationen sein, beispielsweise durch das Hacken in andere Länder – es kann der Diebstahl von Daten sein, oder die Störung des Feindes, beispielsweise durch Löschen der Server, die etwa eine Terrororganisation nutzt. Wir haben aber auch gesehen, dass Nationalstaaten sich an Cyberkriminalität und Hacktivismus beteiligen. Nordkorea hat sich in Banken gehackt und Geld gestohlen, und China hat sich in US-Unternehmen gehackt, um deren geistiges Eigentum zu stehlen. China hat sich auch in die Gmail-Konten von Menschenrechtsaktivisten gehackt, um sie zu stoppen oder um herauszufinden, was sie vorhaben. Die Vereinigten Arabischen Emirate haben sich in die Telefone von Menschenrechtsaktivisten gehackt haben, um sie zu verfolgen und zu verhaften. Russland mischt sich in Wahlen ein und manipuliert Menschen durch seine Troll-Armee.

Es gibt also ein breites Spektrum an Maßnahmen, die Regierungen in den gefährlichen Straßen des Cyberspace ergreifen. Und Ich weiß nicht, wie es Euch geht, aber für mich wird es schnell unübersichtlich, wenn ich versuche, da durchzusteigen. Was ist hier gut und was ist böse? Manche Dinge erscheinen klar, andere weniger. Zum Beispiel: wenn ein Land sich in ein anderes verbündetes Land hackt und es ausspioniert? Warum machen sie das? Weil sie ihrem Verbündeten nicht vertrauen? Weil sie mehr Informationen wollen, als ihr Verbündeter ihnen geben will? Was passiert, wenn sie herausfinden, dass ihr Verbündeter einen ruchlosen Plan hatte? Heiligt der Zweck die Mittel? Das wird schwierig, und ich kann mir vorstellen, dass Maddie bei ihrer Arbeit die Last spürt, wem sie hilft und wem sie schadet.

MADDIE: Natürlich. Ich glaube nicht, dass irgendjemand, der in dieser Branche oder diesem Geschäft ist, nicht über die Philosophie davon nachdenkt. Für mich fühlt es sich ziemlich einfach an, und ich hoffe, ich bin auf der guten Seite – ich möchte, dass die Menschen einen sicheren Zugang zum Internet haben, sei es nur zu ihren Daten, ihrem Gerät und allem anderen, sicher und geschützt. Und der Bereich, in dem ich derzeit hoffentlich den größten Unterschied machen kann, sind der Zero-Days und Zero-Day-Exploits. Aber früher habe ich versucht, das zu erreichen, indem ich sicherstellte, dass nicht jedes Android-Telefon Malware drauf hat. Das ist also mein Leitprinzip. Ich denke, die Welt wäre ein ziemlich wunderbarer Ort, wenn jeder sicher und geschützt auf all diese Informationen und Bildung und alles andere zugreifen und sich damit verbinden könnte und wüsste, dass die eigene Privatsphäre geschützt ist. Also, ja.

JACK: Es ist schön, dass Maddie eine gute ethische Einstellung zu all dem hat und uns allen hilft, sicherer zu werden. Aber, na klar, es gibt Menschen wie Maddie, die für die Bösen arbeiten und genau das tun, was sie tut: Sie sehen sich Patch-Hinweise an und versuchen herauszufinden, welcher Exploit gerade behoben wurde, um zu erkennen, ob der Anbieter etwas übersehen hat oder ob es einen ähnlichen Fehler gibt. Sobald sie den Fehler gefunden haben, entwickeln sie ihn zu einem Exploit weiter und nutzen ihn als Waffe, nicht um ihn beheben zu lassen.

Das bringt mich zu der Überlegung: Wenn es Feinde und Verbündete gibt, die sich gegenseitig hacken, was macht das dann aus Maddie – eine Feindin oder eine Verbündete? Oder gibt es noch eine dritte Fraktion?

NSA steht übrigens für National Security Agency. Ihre Aufgabe ist es, die Sicherheit der USA zu gewährleisten und sicherzustellen, dass die Kommunikation geschützt ist, ohne dass unsere Daten in die Hände des Feindes gelangen. Man könnte also meinen, dass die NSA, wenn sie einen Weg gefunden hat, die Sicherheit von etwas zu umgehen, auch einen Weg finden möchte, dies sofort zu beheben, um sicherzustellen, dass die von Hunderten Millionen Amerikanern verwendete Software sicher ist, oder? Aber obwohl die NSA Millionen von Dollar für die Suche und Entwicklung von Schwachstellen ausgibt, meldet sie diese nicht in großem Umfang an die Anbieter. Wir haben gesehen, dass sie manchmal einige Dinge melden, aber oft aus eher verdächtigen Gründen. Als beispielsweise die Shadow Brokers behaupteten, sie hätten NSA-Exploits, forderte die NSA Microsoft auf, einen bestimmten Fehler sofort zu beheben. Und es gab noch andere Fehler, die die NSA meldete, was mich zu der Annahme brachte, dass sie möglicherweise Informationen darüber hatte, dass ein anderer feindlicher Staat diesen Exploit aktiv nutzt, um sich in unsere Systeme zu hacken.

Es wird noch schwieriger, sich in all dem zurechtzufinden, wenn so viele der Technologiegiganten ebenfalls ihren Sitz in den USA haben. Ich behaupte nicht, dass es irgendeine Art von Zusammenarbeit zwischen der NSA und den US-Technologiegiganten gibt, aber es erscheint mir logisch, dass sie eine engere Beziehung zu US-Technologieunternehmen haben als andere Nationen. Ich sehe das irgendwie als Wettrüsten: Während Nationalstaaten auf der ganzen Welt mehr Exploits und Zero-Day-Schwachstellen wollen, um ihre Ziele zu erreichen, versucht Maddie hier, diese zu neutralisieren und Verteidigungsmechanismen aufzubauen, damit sich alle besser gegen Nationalstaaten schützen können.

MADDIE: Ich sehe es nicht wirklich als ein Rennen, es sei denn, wir sprechen vielleicht von einem einzelnen Schwachstellenfall, wie: „Oh, wir wissen, dass dieser Bug ausgenutzt wird; er muss so schnell wie möglich behoben werden.“ Das ist wirklich der einzige Bereich, den ich als Rennen betrachte. Vielleicht auch im Bereich von: „Das wurde gerade gepatcht und wir wollen sicherstellen, dass der Patch ausreicht.“ Wir schließen die Variantenanalyse ab, bevor die Angreifer es können. Aber auf lange Sicht sehe ich es nicht so sehr als Rennen, sondern eher als das Treffen klügerer Entscheidungen. Denn letztendlich wollen wir, dass es so schwierig wird, so teuer, so viel Fachwissen erfordert, dass Angreifer ihre Zero-Days wirklich unter Verschluss halten und sie so wertvoll für sie sind, dass sie sie nur in wirklich, wirklich besonderen Fällen einsetzen. Ich denke, wir sind jetzt noch an dem Punkt, dass, ja, obwohl es tendenziell eine kleinere Bevölkerungsgruppe ist, die weltweit ins Visier genommen wird, wir immer noch eine zu breite Nutzung dieser Zero-Days sehen, um zu glauben, dass Angreifer sie als so wertvoll erachten, wie wir es uns erhoffen würden. Das bedeutet, dass wir es ihnen noch viel schwerer machen müssen, Schwachstellen überhaupt zu finden.

Sagen wir, sie können keine Varianten einer zuvor öffentlichen Schwachstelle verwenden; sie müssen stattdessen ihre eigene entwickeln. Sie müssen eine ganz neue Bug-Klasse entwickeln, die wir noch nie gesehen haben, nicht diese Use-After-Frees und Pufferüberläufe verwenden. Sie können keine öffentliche Exploit-Technik verwenden, die jemand – die wir schon einmal gesehen haben oder die sie schon einmal verwendet haben und einfach eine neue Schwachstelle einsetzen wollen, weil wir als Branche nicht nur die Schwachstelle beheben, wir entschärfen auch die Exploit-Technik. Sie brauchen nicht drei Zero-Days; sie brauchen jetzt sechs, um die gleiche Fähigkeit wie zuvor zu behalten. Das ist wirklich die Art und Weise, wie ich das betrachte und was mich hoffnungsvoll stimmt – wo ich weiß, dass viele Leute sich niedergeschlagen fühlen können und dass Zero-Days dieses unlösbare Problem sind –der aufregende Teil ist der iterative Fortschritt, den wir sehen, bei dem sich unsere Arbeit auszahlt. Es ist also nicht so, dass man die Schritte A bis J machen muss und das ist der einzige Zeitpunkt, an dem man diesen Erfolg zu sehen beginnt. Jeder kleine Schritt, den wir in diese Richtung machen, um es nur ein kleines bisschen schwerer zu machen – sie können einfach nicht die Variante dieses Bugs verwenden, wir haben diese Exploit-Technik behoben; jede einzelne dieser Aktionen macht es schwerer. Das ist also die Art und Weise, wie ich dieses ganze Problem betrachte.

JACK: Funktioniert das also bei all dem Aufwand? Macht Project Zero es tatsächlich schwieriger für Leute, Zero-Day-Schwachstellen zu entwickeln?

MADDIE: Ich denke, auf lange Sicht, definitiv seit 2014, sind Zero-Day-Exploits schwieriger geworden. Aber was problematisch ist, ist, dass es für mich zumindest ziemlich offensichtlich ist, dass es noch nicht schwierig genug ist. Zum Beispiel, in den ersten sechs Monaten des Jahres 2022, was war das noch mal? Ein riesiger Prozentsatz der Zero-Days, die in freier Wildbahn gefunden wurden, waren Varianten von zuvor gepatchten Bugs. Okay, 50 Prozent der Zero-Days aus 2022, die bis Mitte Juni in freier Wildbahn gefunden wurden, waren Varianten von zuvor gepatchten Bugs. Das macht es für mich wirklich schwer, darauf zu blicken – wir hatten Chancen, einen und zwei dieser Zero-Days zu blockieren, die wir als Branche nicht genutzt haben. 27 Prozent oder 22 Prozent, irgendwo in diesem Bereich, der Zero-Days aus 2020 sind sogar Varianten von Zero-Days aus 2021. Die Angreifer konnten also weniger als zwölf Monate später zurückkommen und einfach eine Variante des Bugs wieder verwenden. Ich konzentriere mich also mehr darauf, was wir tun können und welche Möglichkeiten wir haben, anstatt nur müde über die Nachrichten zu lächeln. Aber natürlich müssen wir uns über die Siege freuen, wenn wir sie erreichen können.

JACK: Du hast diesen Begriff schon einmal verwendet: „private state-of-the-art“, also privater Stand der Technik, versus „public state-of-the-art“, also Stand der Technik im Öffentlichen. Was bedeutet das und wie trifft das auf dich zu?

MADDIE: Also, das liegt in der Veröffentlichung von Schwachstellenforschung: Was ist die neue Angriffsfläche? Was ist die neue Bug-Klasse oder Ausnutzungstechnik, die wir als state-of-the-art betrachten, im Sinne von neuartig, eine großartige Möglichkeit, neue Exploit-Mitigationen zu umgehen, und so weiter? Offensive Sicherheitsforscher wie mein Team, wir veröffentlichen viel, um zu zeigen: „Oh, wir haben diesen neuen Weg gefunden, X zu umgehen“, um zu zeigen, was behoben werden muss und wo die Schwächen liegen. Das wäre der „public state-of-the-art“, weil es offensive Sicherheitsforscher sind, die öffentlich darüber sprechen, wo der Stand der Technik gerade ist. „Private state-of-the-art“ ist: welche Techniken haben die Angreifer tatsächlich? Ein Teil des Grundes, warum ich mich auf Zero-Days konzentriere, die tatsächlich in freier Wildbahn ausgenutzt werden, ist, dass es uns helfen kann, diese Lücke zwischen dem öffentlichen und dem privaten Stand der Technik zu schließen. Denn oft nutzen wir den öffentlichen Stand der Technik, um zu bestimmen, was der nächste Forschungsbereich ist, auf den wir uns konzentrieren sollten. Aber wenn das zu weit von dem abweicht, was der Angreifer tatsächlich tut, dann ist diese Forschung für uns nicht so nützlich, weil wir nicht das haben, was wir Kollisionen mit Angreifern nennen, und wir versuchen, Bugs und Schwachstellen zu beheben, aber wir setzen unsere Ressourcen nicht in Bereichen ein, die super nützlich sind. Das ist es, was wir meinen, wenn wir oder ich von „public state-of-the-art“ versus „private“ spreche.

JACK: Für mich ein wirklich interessantes Konzept. Wir wissen, was da draußen ist, wenn es sichtbar wird, aber wir wissen nicht, was noch nicht entdeckt wurde. Und was noch nicht entdeckt wurde, könnte eine massiv übersehene Nutzung von Technologie oder eine Fähigkeit sein, für die wir einfach nicht kreativ genug waren, um uns dieses Szenario vorzustellen. Es wird also fast zu einer theoretischen Frage: Was könnten Angreifer eventuell heute tun, und wie können wir in diese Bereiche blicken, um herauszufinden, woran sie arbeiten, um sie zu stoppen und uns alle sicherer zu machen?

MADDIE: Nun, eine der vielversprechendsten Entwicklungen ist meiner Meinung nach, dass 2021 die meisten Zero-Days in freier Wildbahn seit Beginn unserer Aufzeichnungen Mitte 2014 entdeckt und als „in the wild“ offengelegt wurden. Das mag für manche Leute vielleicht nicht vielversprechend klingen, aber ich denke, es ist es, weil ich nicht gesagt habe, dass wir die Anzahl der verwendeten Zero-Days in freier Wildbahn verfolgen können; wir können nur die Anzahl der Zero-Days in freier Wildbahn verfolgen, die zuerst von jemandem entdeckt und dann als „hey, in the wild“ offengelegt werden. Wenn Leute sie finden und an andere Anbieter melden und nie sagen „hey, das ist tatsächlich da draußen, es ist nicht nur eine weitere Schwachstelle“, dann haben wir keine Möglichkeit, davon zu erfahren.

Ich denke also, in den letzten drei Jahren oder so gab es riesige Verbesserungen in der gesamten Branche, von Leuten, die an der Erkennung arbeiten und versuchen, Zero-Day-Exploits zu finden, anstatt es einfach abzutun und zu sagen, das sei ein unlösbares Problem. Ich bin auch sehr hoffnungsvoll bezüglich der Trends und der Transparenz um diese herum. Ich denke, wir können noch viel Fortschritt im Bereich der Transparenz bei diesen Zero-Day-Schwachstellen und Exploits machen. Aber ich bin hoffnungsvoll, dass immer mehr Anbieter transparent offenlegen, wenn etwas aktiv ausgenutzt wird, dass einige Anbieter es einfacher machen, herauszufinden, welcher Patch in Open-Source-Software zu einer CVE gehört, und dass sie robustere Beschreibungen davon bekommen. Meine Hoffnung ist dann, dass wir in einen Bereich gelangen, in dem sie diese detaillierten und veröffentlichten Ursachenanalysen durchführen und mehr Variantenanalysen selbst durchführen, anstatt dass Dritte wie ich und mein Team und einige andere Sicherheitsforscher hereinkommen und diese Arbeit machen.

JACK: Ja, ich fände es gut, auf meinem Handy sehen zu können, ob ich ausgenutzt wurde oder nicht. Wenn es eine Art Play-Protect-Funktion gäbe, die sagt: „Wir haben dies oder das aktualisiert; denn, wow, jemand hat dich aktiv ausgenutzt, eine echte Warnung hier, ich will, dass du das weißt.“

MADDIE: Ja. Ich denke, das wäre super interessant, und das ist ein Bereich, der gewachsen ist, mit vielen verschiedenen Forschern, die versuchen herauszufinden, wie wir – nach welcher Art von Forensik wir suchen? Das sind hochentwickelte Akteure, also sind sie auch ziemlich gut darin, Spuren zu beseitigen, und Zero-Day-Exploits hinterlassen nicht immer viele Spuren. Wie finden wir also heraus, ob jemand Spyware auf seinem Handy laufen hatte, ob ein Exploit an seinen Computer oder sein Gerät geliefert wurde. Citizen Lab und Amnesty International leisten in diesem Bereich auch wirklich großartige Arbeit, da sie auch eng mit den betroffenen Bevölkerungsgruppen zusammenarbeiten.

JACK: Ein großes Dankeschön an Maddie Stone, dass sie in die Show gekommen ist und mit uns über Zero-Days gesprochen hat.

(igr)