Wenn es nach Microsoft geht, existiert das Produkt „Microsoft Office“ als solches gar nicht mehr. Stattdessen bietet das Unternehmen aus Redmond unter dem Begriff „Microsoft 365“ ein ganzes Ökosystem aus cloudbasierten Anwendungen und Diensten im Abonnement an. Dazu gehören neben Teams, Exchange, SharePoint, OneDrive, Power Platform, Viva und vielen anderen auch die klassischen Office-Apps Word, Excel und PowerPoint. Die Bezeichnung „Office“ verwendet Microsoft nur noch bei den quasi unter dem Tisch angebotenen Einzellizenzen, zum Beispiel „Microsoft Office 2024 Home“.

Eine Alternative zum gesamten Microsoft-365-Ökosystem zu finden, ist schwer bis unmöglich. Zwar gibt es Zusammenstellungen wie Nextcloud oder Zoho Workspace mit Office-Programmen, Chat, Videokonferenz, Kalender und Cloudspeicher. Man kann auch Pakete aus Einzelanwendungen und -diensten schnüren. An die Integration und Interoperabilität der Microsoft-Dienste kommen solche Lösungen bislang aber nicht heran. Einrichtung und Wartung erfordern zudem umfangreiche Kenntnisse.

Jedoch meinen die meisten Nutzer mit „Microsoft Office“ vor allem die drei Programme für Texte, Tabellen und Präsentationen, also Word, Excel und PowerPoint. Hierfür finden sich durchaus gute Alternativen ohne Cloud-, Konto- und Abozwang und ohne Abhängigkeit von US-Unternehmen. Die besten stellen wir in diesem Beitrag vor; die meisten davon hatten wir in einem Test verglichen.

Das war die Leseprobe unseres heise-Plus-Artikels „Microsoft Office: Drei gute Alternativen ausprobiert“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

Dies ist das Transkript der achten und letzten Folge der ersten Staffel des Podcasts „Darknet Diaries auf Deutsch“. Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „Misadventures of a Nation State Actor„. Die zweite Staffel des deutschen Podcasts startet im Februar.

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint alle zwei Wochen auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.

JACK (Intro): Stellt euch James Bond vor. Bevor Bond auf eine Mission geht, erhält er von Q wichtige Ausrüstung. Bei einer Mission war das z.B.: ein Ring, der einen Ton mit einer ultrahohen Frequenz aussendet. Wenn man den Richtung Fenster hielt, ließ er das Glas zerspringen.

Auf dieser Mission jedenfalls schlich Bond sich unentdeckt nach Nordkorea. Was wäre, wenn er den Ring in Nordkorea verlieren würde? Wenn die nordkoreanische Regierung den Ring fände, würden sie ihn analysieren, die hochmoderne Technologie darin entdecken und diese dann möglicherweise für sich selbst reproduzieren können. Die Technologie würde also in die falschen Hände geraten. Bei der Analyse des Rings könnten sie vielleicht sogar seine Herkunft zum MI5 zurückverfolgen. Das würde bedeuten, dass Nordkorea allein durch den Fund des Rings schlussfolgern könnte, dass sich ein britischer Spion in ihrem Land befand. Das könnte zahlreiche Probleme verursachen, wer weiß, vielleicht sogar einen Krieg.

In der Welt des Internets, in der Regierungen andere Regierungen hacken, ist es ebenso entscheidend, dem Feind nicht zu zeigen, dass man da ist, und die eigenen Hacking-Techniken nicht preiszugeben. Denn wenn das passiert, könnte es ebenfalls verheerende Folgen haben.

Die Cyber-Kill-Chain

JACK: Ok, Leute, Achtung, diese Folge wird ernst. Ja, für mich lässt sie vorherige Folgen recht harmlos aussehen. Es macht mich sogar etwas nervös, die Geschichte zu erzählen. Ich mein ja nur, ich glaub nicht, dass ich auf irgendeiner Beobachtungsliste des FBI stehe, aber nach dieser Folge könnte sich das ändern.

Welches Hacking-Team ist wohl das raffinierteste der Welt? Vielleicht ein Team, das aus Absolventen des MIT und der Carnegie Mellon besteht, ein Team, das die fortschrittlichsten Hacking-Tools entwickelt hat, ein Team, das auf eine fast unbegrenzte Menge an Ressourcen zurückgreifen kann. Ressourcen wie Sprachübersetzer, riesige Rechenzentren und Supercomputer. Ein Team, das in der Vergangenheit Verschlüsselungsmethoden entwickelt und das Internet mit aufgebaut hat.

Ja, ich spreche von Hacking-Gruppen innerhalb von Regierungsbehörden, auch bekannt als Nationalstaatliche Akteure. Das meiste, was sie tun, gilt als streng geheim. Daher ist es ein ganz besonderes Privileg, einen von ihnen für diese Sendung zum Reden zu bringen. Nationalstaatliche Akteure sind eine außergewöhnliche Gruppe von Hackern, weil sie im Grunde eine Lizenz zum Hacken haben. Sie arbeiten ohne die Angst vor rechtlichen Konsequenzen. Sie werden oft damit beauftragt, Geheimnisse zu stehlen oder über Netzwerke gezielt für Störungen zu sorgen. Es ist dabei wichtig, dass alles, was sie tun, völlig unbemerkt und für das Ziel unsichtbar bleibt. Keine Fragen bitte dazu, wie ich das hier gefunden habe, und keine dazu, wen ich gefunden habe. Aber in dieser Folge werden wir eine Geschichte von einer Person hören, die in den innersten Kreisen eines der elitärsten Hacking-Teams der Welt war.

NSA:Ja, ich habe fast fünfzehn Jahre bei der US-Regierung gearbeitet und offensive Cyber-Operationen geleitet, also habe ich viele, viele Geschichten.

JACK: Die einzige Bedingung für ein Interview für diese Sendung war, dass ich ihre Identität geheim halte und ihre eigentliche Stimme nicht benutze. Was ihr also hört, ist eine Synchronstimme, die das Transkript des Gesprächs liest, das ich mit ihr geführt habe. Vielleicht fragt ihr euch, ob ihre Geschichte wirklich wahr ist oder nicht, und ich sage euch vorher, was ich genau weiß: Ich bin seit über zehn Jahren im Bereich der Informationssicherheit tätig und wurde einmal von meinem Arbeitgeber zu einem Threat-Intelligence-Training geschickt. Dort habe ich alle möglichen Taktiken, Techniken und Vorgehensweisen kennengelernt, die die raffiniertesten Hacker anwenden. Während ich also der Person dieser Folge zuhörte, wie sie ihre Geschichte erzählte, merkte ich, dass die verwendeten Taktiken, Techniken und Vorgehensweisen genau mit dem übereinstimmten, was ich in diesem Kurs gelernt habe. Ich kann also bestätigen, dass dieser Teil der Geschichte wahr ist – der Rest der Geschichte, ich kann’s nicht wirklich wissen, entscheidet es für euch selbst, wenn ihr sie hört.

Noch ein paar zusätzliche Informationen: So gut wie alle Regierungen haben einen Geheimdienst. Die USA haben die CIA und die NSA und noch andere. Geheimdienste haben die Aufgabe, Informationen über Feinde und von ihnen ausgehende Bedrohungen für die eigene Nation zu beschaffen. Dies geschieht im Namen der nationalen Sicherheit. Regierungen spionieren sich also gegenseitig aus. Das ist natürlich nichts Neues, das geschieht seit Jahrhunderten. Früher arbeiteten Spione verdeckt und sie brachen physisch in Gebäude ein, um geheime Daten zu entwenden. Sie waren bestens darin geschult, unauffällig zu sein, zu entkommen und auszuweichen, und sie sind häudig – siehe James Bond ausgezeichnete Autofahrer.

Heute nutzen Regierungen Computer, um zu kommunizieren, um Daten zu speichern und um Pläne zu erstellen. Eine völlig neue Angriffsfläche. Anstatt physisch in ein Gebäude einzubrechen, um Dokumente zu stehlen, können das nun Hacker tun, von der anderen Seite der Welt. Sie tun das, um sich über einen bevorstehenden Angriff zu informieren, um Erkenntnisse über die Pläne des Militärs zu gewinnen oder um Pläne für eine streng geheime Waffe zu stehlen.

Regierungen hacken aktiv andere Regierungen. Das ist die neue Normalität. Deshalb müssen Regierungen ihre Cyber-Abwehr ernst nehmen, und sei es nur, um ihre Daten vor anderen Regierungen zu schützen. Aber was ist da wirklich los, wenn eine Regierung eine andere Regierung hackt? Tja, das ist die Geschichte, die wir gleich hören werden. Begleiten wir also unsere nationalstaatliche Akteurin, um zu erfahren, wie genau sie sich in eine andere Regierung hackt. Dürfte spannend werden, schnallt euch an und los geht’s. Zuerst holen wir uns den Auftrag.

NSA: Vor ein paar Jahren hatten wir den Auftrag, ein Netzwerk anzugreifen, das zu einer ausländischen Regierungsbehörde gehörte. Unsere Aufgabe war es, Zugang zu erhalten und bestimmte Informationen zu sammeln. Nationalstaatliche Operationen laufen in der Regel so ab, dass die Cyber-Experten dieses Staates die Anforderungen nicht selbst festlegen. Sie bekommen sie von jemand anderem vorgegeben. Jemand in der Regierung oder in der Behörde sagt, wir glauben, dass diese Informationen in diesem Netzwerk existieren. Verschafft euch Zugang zum Netzwerk. Und das ist normalerweise auch schon der ganze Auftrag.

JACK: Der Auftrag enthält also nicht viele Informationen. Wir erhalten den Namen einer ausländischen Regierungsbehörde, einige IP-Adressen und eine recht allgemeine Vorstellung davon, welche Daten wir beschaffen sollen. Das ist bei weitem nicht genug, um mit dem Hacken des Netzwerks beginnen zu können. Wir wissen nicht, welche Tools wir verwenden sollen oder welche Computer wir ins Visier nehmen müssen, sobald wir drin sind. Wir brauchen mehr Informationen.

NSA: Das wirklich Wichtige bei solchen Nationalstaatlichen Aktionen ist – dass das Ziel nicht nur ist, Zugang zu bekommen und Informationen zu sammeln, sondern das übergeordnete Ziel ist immer, dass all das im Verborgenen bleiben muss.

JACK: Wir brauchen nicht nur mehr Informationen, wir müssen diese auch heimlich beschaffen. Es gibt viele Gründe, bei dieser Mission unentdeckt zu bleiben. Erstens…

NSA: Es könnte politische Konsequenzen geben.

JACK: Ein anderes Land könnte sehr wütend werden, wenn man uns beim Hacken erwischt. Ein weiterer Grund, nicht erwischt zu werden, sind unsere Tools, unsere Exploits und unsere Infrastruktur. Genauso wie James Bond es sich nicht leisten kann, seine streng geheimen Spionagetechnologien zu verlieren, verwendet auch ein staatlicher Akteur modernste Hacking-Techniken, von denen das Ziel nichts wissen soll. Diese Hacking-Techniken erfordern manchmal jahrelange Forschung und sind Millionen von Dollar wert. Es ist also unbedingt notwendig, dass wir während der gesamten Mission so unsichtbar wie möglich bleiben. Oh, und für diese Geschichte sprechen wir von einem zufälligen Land als Ziel.

NSA: Nehmen wir das peruanische Außenministerium.

JACK: Das tatsächliche Ziel bleibt anonym. Das Militär verwendet manchmal den Begriff „Kill Chain“, um zu beschreiben, wie ein Angriff abläuft.

NSA: Das Militär nennt das die Vorbereitung des Schlachtfelds, aber das Cyber-Äquivalent dazu ist…

JACK: Die Cyber-Kill-Chain. Diese beschreibt die verschiedenen Phasen eines Cyber-Angriffs. Was das bedeutet, werde ich erklären, während wir die Geschichte durchgehen. Es gibt jedenfalls sieben Phasen der Cyber-Kill-Chain, die durchgeführt werden müssen, um einen Angriff erfolgreich abzuschließen. Phase eins ist die Aufklärung. In dieser Phase müssen wir Informationen über das Ziel sammeln. Wie gesagt, wir haben keine Ahnung, welche Art von Exploit wir verwenden oder welche Systeme wir angreifen sollen. Wir beginnen mit dem Sammeln von Informationen.

NSA: Zunächst muss ich einen Weg hinein finden, also geht es jetzt um Dinge wie passive Aufklärung und Kartierung. Wir fangen an herauszufinden, was wir über dieses Netzwerk lernen können, ohne dass sie wissen, dass wir versuchen, etwas darüber zu lernen. Fragen wie: Wie groß ist das Netzwerk? Welche Art von Systemen gibt es darauf? Hardware, Software? Welche Art von Antivirensoftware ist dort im Einsatz? Was ist mein Zugangsvektor?

JACK: Das Team führt einen Scan des Zielnetzwerks durch, um zu sehen, was da alles mit dem Internet verbunden ist. Sie kartieren also, was für die Welt sichtbar ist.

NSA: Sie haben zunächst einmal eine Website. Sie hosten den Webserver in ihrer eigenen Umgebung. Das ist eine Box im Internet, auf der Apache Tomcat läuft. Okay, das ist gut zu wissen. Jetzt weiß ich, dass es sich wahrscheinlich um eine Linux-Box und einen Webserver handelt, der potenziell Schwachstellen hat, die ich ausnutzen kann. Das ist ziemlich interessant. Wir finden ein paar solcher Dinge heraus.

JACK: Normalerweise halten die meisten Regierungen und Organisationen ihre mit dem Internet verbundenen Geräte auf dem neuesten Stand. Das ist wichtig, denn ein veraltetes System hat viel mehr Sicherheitslücken als eines, das aktualisiert ist. In diesem Fall war der Webserver nicht vollständig aktualisiert, nicht gepatcht, was bedeutet, dass das Team eine bekannte Schwachstelle nutzen kann, um darauf zuzugreifen.

NSA: Wir beginnen, einige potenzielle Wege zu entwickeln.

JACK: Jetzt haben wir also einen potenziellen Eintrittspunkt in das Netzwerk der Regierung, aber wir wissen immer noch zu wenig. Wir wollen verstehen, was genau sich in ihrem Netzwerk befindet, und es wäre schön, wenn wir eine Art Karte hätten, die uns zeigt, wo wir hin müssen, sobald wir drin sind. Es wäre ebenfalls auch schön, wenn wir wüssten, wer die Leute sind, die in dem Büro arbeiten, um ein Gefühl für das Team zu bekommen, das das Netzwerk verteidigt. Es gibt ein paar Wege, um das herauszufinden.

NSA: IT- und InfoSec-Leute sind im Großen und Ganzen ziemlich freundlich, offen und oft etwas naiv. Nehmen wir das peruanische Außenministerium. Zwischen Facebook, LinkedIn und irgendeiner lokalen peruanischen Version von Facebook oder was auch immer es im Land gibt, kann ich wahrscheinlich zwischen fünfzig und hundert, bis hin zu hunderten von Leuten finden, die bei dieser Organisation arbeiten und Profile in diesen Netzwerken haben. Ich kann anfangen, vollständige Namen, E-Mail-Adressen und vielleicht sogar Berufsbezeichnungen von Leuten zu sammeln, die dort arbeiten. Mich interessiert die IT-Infrastruktur, die technische Infrastruktur, also suche ich nach ihren IT-Leuten und ihren Sicherheitsleuten. Ich wette, ich kann den Systemadministrator oder Datenbankadministrator oder irgendjemanden finden, der in dieser Organisation IT macht und im Internet bekannt gegeben hat, dass er existiert.

Also finde ich deren Namen und ihre E-Mail-Adresse und was sie für diese Organisation tun. Sobald ich all das zusammengetragen habe, fange ich an, nach Dingen zu suchen, die es mir ermöglichen, sie mit der Organisation und den Dingen, die sie benutzen, in Verbindung zu bringen. Die besten Orte dafür sind – klar – Google, aber speziell Reddit ist erstaunlich nützlich. Dann die technischen Foren, die zu Produkten gehören. Wenn ich zum Beispiel auf LinkedIn oder Facebook herausgefunden habe, dass Bob ein IT-Administrator im peruanischen Außenministerium ist, gibt mir das Bobs vollständigen Namen und seine E-Mail-Adresse. Ich kann dann Google verwenden, um seinen Namen und seine E-Mail-Adresse zu suchen. Ich finde Dinge wie Bobs Beiträge in diesem Sysadmin-Subreddit, in denen er Fragen stellt, warum sein Windows 2012 Server sich so verhält, oder er stellt Fragen wie: Ich betreibe eine Windows 2008 R2 Box. Das ist mein Domaincontroller. Muss ich wirklich updaten oder nicht? Ich will es eigentlich nicht, aber was denkt ihr, sollte ich das tun? Wenn ich solche Beiträge finde, kann ich sie mit Bob in Verbindung bringen. Ich kann Dinge bestätigen wie: Oh, Scheiße, die betreiben einen Domaincontroller auf einer Windows 2008 R2 Box. Das ist fantastisch. Wir finden solche Dinge in Antiviren- und Sicherheitsforen.

JACK: Da unser Ziel darin besteht, bestimmte Daten aus dem Netzwerk zu extrahieren, ist es wahrscheinlich, dass diese Daten irgendwo in einer Datenbank gespeichert sind. Das Team schaut sich die Leute an, die dort arbeiten, um den DBA, den Datenbankadministrator, zu finden.

NSA: Ich habe den DBA auf Facebook oder LinkedIn gefunden und er ist ein Senior DBA. Er hat angegeben, dass er ein Experte für Oracle 11g ist. Cool, also kann ich annehmen, dass sie wahrscheinlich Oracle, ungefähr Version 11g, in ihrem Netzwerk betreiben. Ich habe ein Team von Leuten – ich habe etwa fünfzehn Leute, die nichts anderes tun, als sechs bis acht Wochen lang acht Stunden am Tag das Internet zu durchforsten, um die Namen, E-Mail-Adressen und Telefonnummern der Leute zu sammeln, die für meine Zielorganisation arbeiten. Diese Zahl wird auf diejenigen reduziert, die dort in den für mich relevanten Rollen arbeiten. Und dann wird das Internet nach allem durchsucht, was sie öffentlich über irgendetwas Technisches preisgegeben haben. Das gibt uns kleine Hinweise darauf, was wir in der Umgebung erwarten können.

JACK: Bei der Durchsicht der bisher gesammelten Daten, entdecken wir eine wichtige Information.

NSA: Ich weiß, dass die Oracle-Datenbank, die sie in ihrer Umgebung haben, wahrscheinlich die Daten enthält, die ich sammeln soll.

JACK: Nachdem fünfzehn Leute zwei Monate lang Vollzeit gearbeitet und so viele Informationen wie möglich über das Ziel gesammelt haben, haben wir jetzt einen sehr detaillierten Bericht. Wir wissen, wer dort arbeitet, was ihre Rollen sind, und wir wissen, welche Art von Systemen sie betreiben, bis hin zur Version der Software auf diesen Systemen. Wir haben jetzt ein ziemlich gutes Bild von ihrer Umgebung. Großartig, Phase eins ist also abgeschlossen. Wir gehen über zur Phase zwei der Cyber-Kill-Chain über: Die Bewaffnung.

Die Wahl der Waffen

NSA: Ich kann jetzt zu meinen Vorgesetzten, meinem Management gehen, denjenigen, die über die Mittel verfügen, die ich jetzt verwenden möchte, und ich kann sie um Genehmigung für das bitten, was ich tun werde.

JACK: Die Mittel, das sind Hacking-Techniken, die verwendet werden, um auf ein Netzwerk zuzugreifen. Einige dieser Techniken sind öffentlich bekannt, und es ist einfacher, dafür eine Genehmigung zu erhalten, da ihre Beschaffung nichts kostet und es außerdem schwer ist, sie zu uns zurückzuverfolgen, sollte man bei der Verwendung des Exploits erwischt werden, da jeder auf der Welt Zugang zu diesem Exploit hat. Aber einige Exploits sind teuer und streng geheim. Für diese ist es schwieriger, eine Genehmigung zu bekommen, denn wenn man erwischt wird, könnte der Feind lernen, wie man den Exploit benutzt. Und wenn man bei der Verwendung eines Exploits erwischt wird, den niemand auf der Welt kennt, engt das den Kreis derer ein, die möglicherweise einen solchen Exploit haben könnten, was dazu führen könnte, dass der versuchte Einbruch zu uns zurückverfolgt wird.

NSA: Ich gehe zu den Vorgesetzten und sage, ich habe diesen Auftrag von diesen Leuten, dieses Netzwerk anzugreifen. Hier ist alles, was wir über das Netzwerk wissen. Das sind die Systemadministratoren, das sind die Sicherheitsleute, das sind die Namen, E-Mail-Adressen und Telefonnummern. Basierend auf den Datenpunkten a, b, c, d und e glauben wir, dass sie diese Art von Antivirus und diese Art von Hardware verwenden. Wir wissen, dass sie Webserver mit Tomcat betreiben. Wir wissen, basierend auf einigen anderen Forumsbeiträgen, dass sie Oracle-Datenbankinstanzen intern betreiben. Also fügen wir all das zusammen und aus diesen Datenpunkten leite ich die Werkzeuge und Exploits ab, die ich verwenden muss.

Wenn ich all das schon vorher weiß, kann ich die Genehmigung erhalten, Spyware X mit Exploit Y zu verwenden, die spezifisch für Oracle 11g sind. Sobald ich diesen Fall aufgebaut habe, kann ich die Genehmigung erhalten, und diese Genehmigung basiert auf dem Risiko für diese speziellen Tools, angesichts dessen, was ich über die Umgebung weiß. Wenn ich also weiß, dass sie wahrscheinlich dieses Antivirus und diese Sicherheitstools verwenden, kann ich sagen, dass ich diese Tools und jene Exploits habe und dass ich sie im Netzwerk einsetzen werde, die von deren Antivirus und dem Sicherheitssystem, das sie haben, nicht erkannt werden. Damit habe ich jetzt das größte Risiko, erwischt zu werden, gemindert. Nämlich, dass Antiviren- oder Sicherheitssysteme meine Tools oder meine Exploits markieren. Wenn ich das tun kann, dann kann ich die Genehmigungen erhalten, um fortzufahren und meine Operation tatsächlich durchzuführen. Sechzig Tage, neunzig Tage vergehen. Ich baue ein sogenanntes Targeting-Paket und erhalte die operative Genehmigung, diese Mittel zu nutzen, um diese Aufgabe zu erledigen.

JACK: Wir haben jetzt einen Eintrittspunkt, eine Karte des Inneren und wir wissen, wen wir dort erwarten können, wenn wir ankommen. Wir haben auch alle spezifischen Exploits, die wir benötigen. Dies markiert das Ende unserer Bewaffnungsphase. Phase drei der Cyber-Kill-Chain ist die Auslieferung. Wir müssen den Exploit tatsächlich an das System im Netzwerk senden. Hier beginnt die Mission, gefährlich zu werden. Von hier an könnte jeder Fehltritt schreckliche Konsequenzen haben, weil er bedeuten könnte, erwischt zu werden. Wenn wir James Bond wären, wären wir jetzt jedenfalls voll ausgerüstet und bereit für den Einsatz.

NSA: Wir haben also herausgefunden, dass es hier eine internetzugängliche Box gibt. Der Webserver, den sie benutzten, war nicht gepatcht, nicht aktualisiert, also konnte ich tatsächlich den bekannten Exploit verwenden, um den kompletten Zugang zu dieser Maschine zu erhalten. Sobald ich das getan hatte, habe ich eine Spyware auf dieser Maschine platziert, weil es ziemlich sicher war. Es war tatsächlich ein Linux-Server, und das Schöne an Linux ist, da gibt’s halt kein Antivirus. Ich mache mir also keine großen Sorgen. Besonders weil es ja nur ein Webserver ist, muss ich mir keine Sorgen machen, dass ein Benutzer den Bildschirm sieht oder ihn benutzt, und etwas Seltsames dabei bemerkt. Aber wie auch immer, ich komme also auf diese Box, warte dort eine Weile. Alles sieht ziemlich gut aus. Es gibt aber nicht viel zu sehen; es ist ein Webserver, der hat eine Website darauf und hat ein Datenbank-Backend dazu. Da ist nicht viel los.

JACK: Wir sind jetzt im Netzwerk der ausländischen Regierung. Wir haben es erfolgreich infiltriert. Es ist allerdings, als hätten wir uns ins Gebäude geschlichen, aber wir stehen nur im Flur rum bisher. Anhand der Daten, die wir in den letzten Monaten gesammelt haben, wissen wir, dass wir den Computer des Administrators finden müssen, um die Kontrolle zu erlangen. Das führt uns zur nächsten Phase der Cyber-Kill-Chain: der Exploitation, also der Ausnutzung einer Sicherheitslücke. Wenn wir auf den Computer des Admins kommen, stehen die Chancen gut, dass da die Schlüssel zum Königreich liegen. Indem wir seine Maschine benutzen, können wir auf alles zugreifen, was wir wollen.

NSA: Das Schöne daran, auf so einem Server zu landen, ist, dass sich Admins dort einloggen, um ihn zu verwalten. Dieser Admin wird sich einloggen und ich kann dabei wahrscheinlich seine Anmeldeinformationen abgreifen, oder dieser Admin wird eine authentifizierte Sitzung zwischen diesem Server, in diesem Fall dem Webserver, und der Maschine des Admins herstellen. Ich werde wahrscheinlich in der Lage sein, über diese authentifizierte Sitzung hinwegzugleiten und dann auf die Maschine des Admins überzuspringen. Es gibt eine Vielzahl von Möglichkeiten, wie man das tun kann, aber es genügt zu sagen, entweder erfasse ich seine Anmeldeinformationen, weil er sich zur Verwaltung einloggen wird, oder ich benutze einfach seine authentifizierte Sitzung, um mich seitwärts hinein zu bewegen. Das Schöne in diesem Fall war, dass wir den Admin kannten.

Wie gesagt, wir hatten einen Monat lang Open-Source-Recherche betrieben. Da wir wussten, dass wir den Webserver ausnutzen würden, wussten wir, wer ihr Website-Administrator war, wir kannten das Team von Leuten im Netzwerk, die für die Wartung der Website, der Datenbank dahinter und des gesamten Codes der Website verantwortlich waren. Wir kannten all diese Leute. Webentwickler sind wirklich die Schlimmsten. IT-Leute posten eine Menge Zeug im Internet. Sicherheitsleute posten etwas weniger, aber Entwickler und Web-Administratoren, die posten alles im Internet. Es ist lächerlich. Wir haben sie alle und all ihre Inhalte gefunden und kannten sie alle beim Namen. Wir hatten Bilder von allen Leuten, die mit der Website zu tun hatten, wir kannten sie alle.

In diesem Fall war es großartig, weil nachdem wir über den Exploit auf dem Server waren, wir ziemlich genau wussten, dass es einer von drei Leuten sein würde, der sich einloggen und ihn verwalten würde. Der Plan war, einfach abzuwarten, dass sich einer dieser drei Leute einloggt. Wir waren uns sicher wir wüsste, wie sie sich einloggen würden, denn, wie gesagt, wir waren mit den Systemen vertraut, die sie im Einsatz hatten. Anhand der Konfiguration auf dem Webserver konnten wir erkennen, wie sie sich erwartungsgemäß auf dieser Maschine einloggen würden. Es wurde für uns wirklich nur zu einem Geduldsspiel.

JACK: Manchmal kann das Warten auf das Einloggen eines Admins lange dauern; Tage, Wochen, Monate manchmal. Ein Trick aber, von dem ich gehört habe, dass Hacker ihn anwenden, ist, manchmal ein Problem auf dem Webserver zu verursachen, z.B. die CPU-Auslastung in die Höhe zu treiben oder eine Anwendung zum Absturz zu bringen. Na klar, wenn der Webserver problematisch agiert, wird sich ein Admin einloggen, um das Problem zu beheben. Und wenn er das tut, zack, ist er in die Falle getappt. Aber in unserem Fall mussten wir nicht lange warten.

Im fremden Netz

NSA: Einer der Admins loggt sich ein. Wir sehen den Vorgang. Wir bekommen die Informationen, die wir brauchen, springen rüber auf seine Maschine und platzieren die Spionagesoftware auf seinem Rechner.

JACK: Es ist die fünfte Phase der Cyber-Kill-Chain: die Installation. Wir haben gerade eine Spyware auf dem Zielsystem installiert. Das kann grundsätzlich ein Bug sein, ein Trojaner, ein Fernzugriffstool, das es uns ermöglicht, so ziemlich die Kontrolle über den Computer zu übernehmen. Für diejenigen unter euch, die mit Metasploit vertraut sind, wo offen zugänglich Exploits entwickelt und ausgeführt werden…

NSA: Stellt euch einfach so etwas wie Metasploit auf vielen, vielen Steroiden vor.

JACK: Die nächste Phase der Cyber-Kill-Chain ist Comand-and-Control, wo es darum geht, mit dem kompromittierten Gerät zu kommunizieren. Es ist ja nämlich nicht so, dass die Spyware, bloß weil sie auf der Maschine ist, da auch irgendwas veranstaltet. Jemand muss ihr sagen, was sie tun soll. In unserem Fall haben wir jetzt die Möglichkeit, remote auf den Computer des Netzwerkadministrators zuzugreifen. Das ist unser Comand-and-Control über den Zielcomputer. Wir sind jetzt sehr nah dran, unsere Mission abzuschließen. Alles, was noch zu tun ist, ist, die Kontrolle über den Computer des Admins zu übernehmen, dann auf die Datenbank zuzugreifen und dann die Daten zu nehmen, die wir brauchen. Wir warten eine Weile, bevor wir auf den Computer des Admins zugreifen, um nicht verdächtig auszusehen.

NSA: Wir haben ungefähr einen Tag abgewartet, vielleicht anderthalb Tage, um auf der Box aktiv zu werden, sie also tatsächlich interaktiv zu nutzen. Als wir dann damit anfingen, waren wir gleichzeitig eingeloggt, während die andere Person sie benutzte. Das funktioniert in der Regel immer so. Wir fingen an, Screenshots des Desktops anzusehen und sahen einen offenen Browser mit Dutzenden von offenen Tabs. Wir gingen viele der Screenshots durch und sahen uns den Inhalt der Tabs an. Diese Person googelte nach dem seltsamen Verhalten von Windows.

JACK: Der Computer des Admins, den wir infiltriert hatten, verhielt sich merkwürdig. Er zeigte viele Fehler an und bestimmte Programme stürzten ab. Es sah echt so aus, als hätte dieser Admin eine Art Virus auf seinem Rechner.

NSA: Als wir das zum ersten Mal sahen, dachten wir uns zunächst, nun, das ist seltsam. Ich frage mich, ob diese Probleme auf seinem Computer schon vor unserer Anwesenheit da waren. Wir wussten es nicht wirklich, hatten aber den leisen Verdacht, dass es etwas mit uns zu tun hatte. Ohne, dass wir es wussten, hatte er nämlich in der Zeit zwischen unserer anfänglichen Informationssammlung durch Open Source und dem Platzieren der Spyware sein Betriebssystem aktualisiert. Er hatte im Prinzip auf die nächste Windows-Version aufgerüstet. Normalerweise ist das Worst-Case-Szenario, dass deine Spyware nicht funktioniert, weil sie aus irgendeinem Grund nicht kompatibel ist, richtig? Sie ist nicht kompatibel und funktioniert nicht, und das ist Mist und man ist wirklich frustriert. Ich hätte es vorgezogen, wenn das hier auch der Fall gewesen wäre.

Stattdessen funktionierte die Spyware. Sie wurde heruntergeladen, dort installiert, wo sie sollte, und fing an, wie erwartet zu arbeiten. Das Problem war, dass sie nicht gut mit der neueren Windows-Version auf diesem Rechner zusammenspielte und unglücklicherweise sehr seltsames Windows-Verhalten verursachte. Dieses sehr seltsame Verhalten nahm die schlimmstmögliche Form an, nämlich Dinge, die für den Benutzer sehr sichtbar waren. Jetzt, da wir auf der Box sind und genau wissen, welche Windows-Version es war, haben wir sie in unserer eigenen Laborumgebung nachgebildet. Ich weiß also, welche Windows-Version es ist und ich kenne die Hardware. Ich habe im Grunde genau dieselbe Maschine in unserer Umgebung nachgebaut, unsere Spyware darauf geworfen und gesehen, dass unsere Software dieses seltsame Verhalten verursacht hat. Das waren wirklich, wirklich schlechte Nachrichten für uns, denn so wird man erwischt. Und das war beängstigend.

Wenn man an die politischen Konsequenzen denkt, dann gehen Meldungen über solche Dinge bis zu den höchsten Regierungsebenen, denn wenn man auf einem Netzwerk wie diesem erwischt wird, rufen sich die Premierminister gegenseitig an. Wenn die Dinge schlimm genug geworden wären, hätten wir die gesamte Leitung der Behörden und die gesamte oberste Führungsriege der Regierung informieren müssen. Alle waren zu diesem Zeitpunkt sehr besorgt, weil wir bereits auf dem Webserver waren. Wir hatten schon eine Menge Arbeit investiert. Und weil wir uns anfangs ziemlich sicher fühlten, setzten wir bereits sehr hochentwickelte, mächtige Spyware im Netzwerk ein. Das, was diese Probleme verursachte, war kein Stage-1-Loader. Das war eine relativ hochentwickelte – eigentlich ziemlich hochentwickelte, voll ausgestattete Spyware, die wir uns weder leisten konnten zu verlieren, noch konnten wir es uns leisten, im Netzwerk erwischt zu werden.

Als wir also merkten, was passierte – und es geht hier um die Regierung, also gehen alle Alarmglocken los. Man muss anfangen, vielen Leuten Bescheid zu sagen. Man muss anfangen, viele Memos zu schreiben und zu vielen Meetings zu gehen, um alle auf den neuesten Stand zu bringen, darüber was passiert, was die Risiken sind und was wir tun werden. Natürlich ist der erste Instinkt, alles zu löschen und die Spyware zu entfernen. Unglücklicherweise, weil es bereits so viele Stabilitätsprobleme verursachte, war unsere Sorge, dass wenn wir versuchen, es zu löschen, alles noch schlimmer werden könnte. Wir wussten es nicht, also bestand die riskante Option darin, nichts zu tun. Denn im Moment dachte der Admin nur, dass er technische Probleme hatte, nicht dass es ein Sicherheitsproblem gab, also dachten wir, okay.

Das Risiko besteht darin entweder, bei dem zu bleiben, was wir haben, und die technischen Probleme auszusitzen und zu hoffen, dass er nicht herausfindet, dass es eigentlich kein technisches Problem, sondern ein Sicherheitsproblem ist, oder wir versuchen, es zu löschen und dabei etwas anderes Seltsames zu verursachen, das es noch schlimmer macht. Dann sind wir total aufgeschmissen. Wir entschieden uns, alles so zu lassen und nichts zu löschen und diese Wette einzugehen.

Kontrollverlust

NSA: Eine Woche lang wurde es immer schlimmer, denn wir sahen nicht nur, wie er nach Lösungen für das Problem googelte, also die Symptome, die er in Windows sah, wir lasen auch seine E-Mails und lasen seine Chats mit IT-Leuten, in denen er ihnen erzählte, was los war, und Trouble-Tickets erstellte. Wir sahen den Chat mit diesem einen IT-Typen, da stand sowas wie „Hey, kannst du um 14:00 Uhr an meinen Schreibtisch kommen und einen Blick darauf werfen?“. Und alle wurden zu diesem Zeitpunkt sehr nervös, noch mehr als wir es ohnehin schon waren.

JACK: Die Dinge laufen also nicht wirklich gut. Die Stimmung im Büro ist auch sehr angespannt. Die verwendete Spyware war teuer und geheim. Wenn sie entdeckt würde, könnte es dazu führen, dass die Angreifer aufgespürt werden und wir zudem diese echt teure und geheime Spyware verlieren. Aber bis jetzt haben wir sechs der sieben Phasen der Cyber-Kill-Chain erfolgreich abgeschlossen. Es bleibt ja nur noch eine Phase übrig, nämlich die Durchführung der Aktion am Zielort. In unserem Fall wollen wir den Computer des Admins nutzen, um die Daten aus der Oracle-Datenbank zu extrahieren, aber das Team zögert, die Aufgabe zu Ende zu bringen.

NSA: Das Problem war, dass es sich um ein großes Netzwerk gehandelt hat und wir die Datenbank kannten, die wir wollten. Wir wussten, dass es eine Datenbank eines bestimmten Typs gab, zu der wir Zugang haben wollten, aber wir wussten nicht genau, wo sie im Netzwerk war. Zu diesem Zeitpunkt haben wir ein hohes Risiko, erwischt zu werden. Wir haben sie immerhin beim Troubleshooting beobachtet und wenn sie troubleshooten und troubleshooten und troubleshooten und dann irgendwann herausfinden, dass hier etwas wirklich nicht stimmt und dann die Sicherheitsleute rufen und genauer hinschauen müssen, dann wäre das Letzte, was wir wollen würden, eine breitere Präsenz im Netzwerk zu haben. Selbst wenn es auf anderen Maschinen anderswo im Netzwerk anfängt – in dem Moment, in dem die Incident Response involviert ist und anfängt, Dinge zu sperren, sind wir geliefert.

An diesem Punkt wollen wir unsere Präsenz auf das geringstmögliche Maß an Exposition minimieren, ohne unseren Zugang zu verlieren. Vorerst bezog sich diese Minimierung auf diesen einen Computer, auf dem wir sind und der das Problem hat, und auf den Webserver. Das war’s. Die sehr, sehr klare, ohne jede Debatte getroffene Entscheidung war: abwarten, Füße still halten. Nichts tun. Lass es laufen, denn niemand wollte das Risikoprofil erhöhen, bis wir wussten, wie das ausgehen würde.

JACK: Das Team wartet und beobachtet. Tage vergehen. Administratoren versuchen, die Fehler zu beheben, die sie sehen. Eine Woche vergeht. Sie machen weiter mit der Fehlersuche, und in der zweiten Woche wird die IT um Hilfe gebeten.

NSA: Ja, also in der zweiten Woche kommen die IT-Leute und schauen sich den Computer an, und wir wissen, dass sie zum Schreibtisch der Person kommen, weil wir sehen, wie sie Termine vereinbaren. Wir erreichten diesen Punkt, an dem wir an der Art des Trouble-Tickets erkennen konnten, dass sie in einer Sackgasse gelandet waren. Sie konnten nicht herausfinden, warum. Sie konnten sich nicht erklären, was da passierte. Sie konnten den Grund für das, was passierte, nicht finden. Sie konnten die Ursache nicht lokalisieren und es schien ihnen nicht vorhersagbar. Wir wissen, warum es passiert. Ich weiß, was die Spyware tut und warum sie Windows dazu bringt, sich so zu verhalten, aber da sie nicht wissen, dass die Software da ist, ist das Verhalten für sie absolut nicht vorhersagbar. Weil es nicht vorhersagbar ist, können sie keine technische Lösung dafür entwickeln.

Schlussendlich kamen sie zu der Lösung, den Rechner einfach plattzumachen und neu aufzusetzen. Wir hatten zwar eine schicke Spyware, aber die war nur auf Benutzerebene und es ging um die Festplatte, also in dem Moment, als sie die Festplatte löschten und neu bespielten, waren wir fein raus. Sie entfernten unsere Software und alles war gut. Das war eine erhebliche Erleichterung. Gott sei Dank ist es vorbei, aber heilige Scheiße, werden wir jetzt alle gefeuert? Das fragt sich wohl jede und jeder nach solchen Ereignissen bei der Arbeit, bei denen die Dinge furchtbar schiefgelaufen sind. Man ist im Grunde für die Gruppe verantwortlich, bei der alles schiefgelaufen ist. Es lag alles an mir. Es gab diesen Moment, in dem ich dachte, na ja, ich hole mir wohl einen Karton und packe meinen Schreibtisch zusammen. Aber a) wir sprechen von der Regierung, also wird niemand gefeuert, und b) war das nicht das letzte Wort. Es gab eine Nachbesprechung, die wir durchführten, um zu sehen, was passiert war, wie es passiert war, warum es passiert war und wie man sowas verhindern kann.

Im Nachhinein stellten wir fest, dass keine Fahrlässigkeit im Spiel war. Niemand hat etwas falsch gemacht. Das ist einfach passiert. Die Wahrscheinlichkeit, dass wir zwei Monate lang recherchieren, dreißig Tage brauchen, um Entscheidungen zu treffen und Meetings abzuhalten, und dann die Operation nach diesen dreißig Tagen ausführen, und einer der Admins in der Zeit Windows aktualisiert hat – das ist keine super hohe Wahrscheinlichkeit, dass das passiert, und wir hatten einfach Pech. Unglücklicherweise standen wir einfach unter einem schlechten Stern und es ist passiert. Wenn es sechs Monate gewesen wären und wir nicht versucht hätten, unsere Informationen zu aktualisieren und sie zu bestätigen, wäre das Ergebnis wahrscheinlich gewesen, na ja, ihr habt zu lange gewartet. Richtig, das hättet ihr wissen müssen. In sechs Monaten kann sich viel ändern. Aber dreißig Tage waren angemessen, denn wie gesagt, es ist die Regierung. Es dauert dreißig Tage, um den Papierkram zu erledigen, Meetings anzusetzen und einfach die administrativen Dinge zu tun, die man tun muss.

Die Tatsache, dass das innerhalb von dreißig Tagen passiert ist, dass dieser Typ die Windows-Box aktualisiert hat; das wurde als akzeptabel angesehen. Der einzige andere Knackpunkt war, als wir in diese Maschine eingedrungen sind, hätten wir da taktisch etwas tun sollen, bevor wir die Spyware auf diese Box luden? Darüber gab es eine Debatte. Hätten wir die Anmeldeinformationen erfassen und einfach interaktiv mit dieser Maschine agieren sollen, nur um Dinge wie ihr Betriebssystem und Antivirus und all das zu erfassen? Das war eine operative Entscheidung, die wir zu dem Zeitpunkt trafen, eine rein taktische Entscheidung. Aber weil wir die Open-Source-Recherche gemacht hatten und wussten, was da war, schien es weniger Gründe dafür zu geben. Das war’s.

Mission gescheitert, alles in Ordnung

JACK: Nachdem die Spyware von der Maschine entfernt wurde, kann sich das Team entspannen, da es weiß, dass die Tarnung nicht auffliegen und der teure Exploit nicht entdeckt wird. Aber was ist mit der Datenbank, dem ursprünglichen Ziel?

NSA: Wir haben am Ende nie Zugang zur Datenbank bekommen. Nicht deswegen, es stellte sich einfach heraus, dass das Netzwerk so konfiguriert war, dass unser Weg dorthin extrem kompliziert war, von dort, wo wir ins Netzwerk eingestiegen sind, bis dorthin, wo wir hin mussten. Wie in jeder anderen Geschäftsumgebung hatten wir konkurrierende Anforderungen. Irgendwann, wahrscheinlich anderthalb Monate nach diesem Vorfall, nach diesem kleinen Vorfall, kamen wir an den Punkt, wo wir dachten, okay, ich weiß, wo der Oracle-Server ist. Ich weiß, wer die Admins sind, aber unsere Fähigkeit, dorthin zu gelangen, ist kompliziert. Es wird eine Weile dauern. Wir könnten dahin gelangen, aber wollen wir das wirklich so machen?

Gleichzeitig hatte ich drei andere Aufträge, die ich erfüllen musste. Diese Aufträge erforderten einige der gleichen Leute, die ich gerade für diese eine Aufgabe einsetzte, also war die Frage, was machen wir? Ziehen wir einfach die Reißleine und gehen, oder gehen wir aufs Ganze und versuchen es? Wir entschieden uns, die Reißleine zu ziehen und zu gehen. Sowas passiert ständig. Ich denke, jeder Hacker, egal ob man ein nationalstaatlicher Akteur oder ein Kind in Mamas Keller ist, weiß, dass es eine Menge Glück erfordert, dass diese Dinge funktionieren. Da fließen nur in begrenztem Umfang Planung und Intelligenz mit ein.

Am Ende gehört dazu eine Menge Glück, und ich würde sagen, statistisch gesehen ist uns das Glück in all den Jahren, in denen ich das mache, mehr als die Hälfte der Zeit einfach nicht gewogen oder es geht uns aus, weil es schwer ist und immer schwerer wird, weil die Leute im Allgemeinen bewusster im Umgang mit Cybersicherheit und Informationssicherheit sind. Sie sind etwas klüger, gerade klug genug, um vielleicht nicht auf einen Link zu klicken oder vielleicht nicht diese Website von der Arbeit aus zu besuchen, oder von ihrem Arbeitscomputer aus, und vielleicht nicht auf OK zu klicken, wenn es heißt, Flash muss aktualisiert werden. Es gibt gerade genug Leute, die das kleine Bisschen klüger sind, sodass dies mit jedem einzelnen Tag so viel schwerer wird.

(igr)

Waymo bekommt Konkurrenz in London: Die beiden US-Fahrdienste Lyft und Uber wollen unabhängig voneinander autonom fahrende Taxis in der britischen Hauptstadt einsetzen. Das haben beide Unternehmen über den Kurznachrichtendienst X angekündigt.

Uber wolle in der ersten Jahreshälfte mit den Tests in London beginnen, teilte das Unternehmen mit. Lyft-Chef David Risher machte in seiner Ankündigung keine Angaben, wann Lyft mit dem Dienst starten wolle.

Baidu als Partner

Beide planen dabei mit dem gleichen Partner: Sie wollen Fahrzeuge einsetzen, die mit dem System Apollo Go des chinesischen Digitalkonzerns Baidu ausgestattet sind. Lyft wie Uber kündigten im Sommer Kooperationen mit Baidu an. Lyft will die Fahrzeuge vom Typ RT60 auch nach Deutschland bringen.

Die beiden sind nicht die Einzigen, die ab dem kommenden Jahr ihre Robotaxis in London auf die Straße bringen wollen: Die Alphabet-Tochter Waymo hat im Oktober angekündigt, 2026 nach London zu kommen.

Die britische Regierung hat im Sommer ein Pilotprogramm für autonomes Fahren beschleunigt und den Starttermin um ein Jahr auf 2026 vorverlegt.

(wpl)