Leute, ich weiß gar nicht, wo ich anfangen soll. Mir ist in den letzten Tagen mal wieder so deutlich bewusst geworden, wie sehr wir inzwischen in der Zukunft leben, dass ich versuchen möchte, euch an meinen Erkenntnissen teilhaben zu lassen. Vorweg die Frage: wie viele von euch wussten, dass (unter anderem!) das Pentagon ein komplettes Jahr lang von fremden Mächten ausgehorcht wurde, ohne dass das jemandem aufgefallen ist? Na? Dacht' ich's mir doch.

Ihr alle werdet sicher schon mal in der Zeitung von Stuxnet gelesen haben, vielleicht ist in diesem Zusammenhang auch das Wort Cyberwar gefallen. Ich weiß nicht, wie es auch so geht, aber mir war nie so richtig bewusst, was Stuxnet überhaupt ist und was Stuxnet vor allem bedeutet. Für mich war Stuxnet einfach ein weiteres Windows-Computervirus, das irgendwelche Lücken in Windows ausnutzte und es irgendwie in ein iranisches Atomkraftwerk geschafft hatte. Da ich aber kein iranisches Atomkraftwerk zu Hause habe, interessierte mich das Ganze nicht weiter. Man spielt halt wieder mal ein paar Sicherheitsupdates von Windows ein und das war's dann.

Diese leicht ignorante Einstellung hat sich inzwischen in eine morbide Faszination verwandelt. Schuld daran sind ein paar Vorträge, die ich mir in den letzten zwei Tagen reingezogen habe, namentlich

• Bruce Dang: Adventures in analyzing Stuxnet 
• Ralph Langner: Cracking Stuxnet, a 21st-century cyber weapon
• Dr. Sandro Gaycken: Stuxnet - Aufmarsch in der IT
• Tiffany Rad, Teague Newman: SCADA and PLC Vulnerabilities in Correctional Facilities
• Stephan Katzenbeisser: Can trains be hacked? Die Technik der Eisenbahnsicherungsanlagen

Nun strotzen diese Vorträge nur so von Nerd-, Geek-, 1337-Sprache und sind für den Normalbürger wahrscheinlich völlig unverständlich. Deshalb möchte ich versuchen, euch ein bisschen was von meiner Faszination zu vermitteln, ohne dabei allzu tief ins Fachchinesisch abzurutschen.

Stuxnet - das Fliewatüüt im Stealthmode

Die Älteren unter euch kennen vielleicht noch die Augsburger-Puppenkiste-Geschichten um "Robbi, Tobbi und das Fliewatüüt". Darin geht es um einen kleinen Jungen (Tobbi), der eines Nachts Besuch von einem außerirdischen Roboter (Robbi) bekommt. Robbi muss 3 Roboterprüfungsaufgaben lösen und Tobbi soll ihm dabei helfen. Zum Glück ist Tobbi Erfinder und hat bereits ein Fahrzeug erfunden, das fliegen, schwimmen und fahren kann - das Fliewatüüt. Mit diesem Allzweckmobil können Robbi und Tobbi nun alle möglichen Ziele ansteuern und dabei sämtliche Hürden überwinden.

Stuxnet ist ein bisschen wie das Fliewatüüt, nur dass es als Computerwurm daherkam, der sich mehr oder weniger von alleine in Windows-Netzwerken ausbreitete. Dazu nutzte es Sicherheitslücken in Windows aus, die bei Microsoft noch unbekannt waren. Solche offiziell unbekannten Sicherheitslücken heißen im Hackerjargon "0-days" (weil sie Microsoft bisher noch 0 Tage lang bekannt sind) und lassen sich auf dem schwarzen Markt prima verkaufen. Ja, richtig gehört. 0-day-exploits sind ein lohnendes Geschäftsmodell geworden. Stuxnet nutzte jedoch nicht nur einen einzelnen 0-day aus, sondern derer 4 plus eine schon länger bekannte Schwachstelle. Damit war sichergestellt, dass es eine Vielzahl von Windows-XP- und Windows-7-Rechnern würde befallen können. Es versteckte sich außerdem so vor dem Betriebssystem, dass es quasi "unsichtbar" war. Programme, sie sich so tarnen, nennt man Rootkits und es gehört schon einiges Fachwissen dazu, so etwas zu entwickeln.

Normalerweise stellen Schadprogramme wie Stuxnet nun irgendetwas auf dem befallenen Rechner an: sie öffnen Ports, warten auf Befehle, verschicken Spam-Mails, solches Zeugs eben. Stuxnet jedoch verhielt sich seltsam passiv. Es "sah sich nur ab und zu um", ob auf dem befallenen Rechner irgendwelche bestimmten Prozesse laufen, wenn das nicht der Fall war, tat es einfach nichts. Das ist nun wirklich ein seltsames Verhalten für ein Computervirus, Botnetze lassen sich so zumindest nicht aufbauen.

Das Schweizer Taschenmesser der Hochtechnologie

Ralph Langner fing an, etwas tiefer zu buddeln und dabei wurde ihm klar, dass es Stuxnet gar nicht um die befallenen Windows-Computer ging. Stuxnet wollte weiter. Die Prozesse, nach denen sich Stuxnet "umsah", gehören zu Controllern, die in der Industrie weltweit eingesetzt werden. Es handelt sich um sogenannte "Supervisory Control and Data Acquisition" (SCADA) Controller, auch bekannt unter dem Kürzel PLC (programmable logic computer). Diese Controller regeln alles mögliche, von Abwasserventilen in Kraftwerken über Aufzüge und Flugzeuge bis hin zu Zentrifugen in Atomaufbereitungsanlagen. Stuxnet wollte also in solche PLCs hinein, was ihm auch gelungen ist. Da Stuxnet sich so passiv verhielt und außerdem Rootkitfunktionalität mit an Bord hatte, konnte es ein ganzes Jahr lang durch die Weltgeschichte gurken, ohne erkannt zu werden. Dabei landete eine Kopie dann irgendwann auch auf dem Laptop eines Ingenieurs, der PLCs programmierte. Bingo!

Ein Virus mit Vorlieben

Nun war Stuxnet zwar in einem PLC angekommen, das reichte ihm aber noch nicht. Es sah sich nun die Konfiguration des PLC an und wurde nur aktiv, wenn eine ganz bestimmte Konfiguration eingestellt war und wenn ein ganz bestimmtes Programm darauf ausgeführt wurde (wir erinnern uns: PLCs werden in den unterschiedlichsten Umgebungen zu völlig unterschiedlichen Zwecken eingesetzt). Dieses extrem spezialisierte Verhalten, dazu das Wissen, dass 0-day-exploits auf dem Schwarzmarkt teuer gehandelt werden, sowie die Tatsache, dass die meisten Stuxnet-Infektionen im Iran gemeldet wurden, führten Ralph Langner dann zum eigentlichen Ziel von Stuxnet: das Buschehr-Atomkraftwerk im Iran. Stuxnet befiel den Controller für eine Zentrifuge und zwar auch wieder so, dass die Infektion möglichst lange unentdeckt blieb. Dazu wurde einerseits der Mensch, der das Ganze überwachen sollte, gezielt getäuscht (indem er grüne Lämpchen zu sehen bekam, wo rote hätten aufleuchten müssen), andererseits wurde die Steuerung sehr subtil geändert, so dass auf lange Sicht die Zentrifuge mit Sicherheit kaputt gehen würde, es aber so aussähe, als wäre das ganz normaler Verschleiß.

Langner spricht in seinem 10-Minuten-TED-Talk an, dass seiner Meinung nach ein immenser personeller und monetärer Aufwand betrieben wurde, um Stuxnet zu entwickeln. Er sagt, dass mindestens ein paar Wissenschaftler und Ingenieure daran beteiligt waren, die sich intensiv mit Atomkraftanlagen und diesen Siemens-Controllern beschäftigt haben müssen.

Neuromancer lässt grüßen

Spätestens jetzt hatte Stuxnet meine komplette Aufmerksamkeit. Bis dahin war es nur ein besseres Virus gewesen, nun fing die Sache plötzlich an, nach Geheimdiensten zu riechen. In meinem Sci-Fi-geprägten Nerdhirn gingen sämtliche bunten Lichter an. Ich sag' nur Black ICE und damit meine ich nicht diese komische IBM-Firewall Der Roman Neuromancer von William Gibson ist nun schon 28 Jahre alt, hat aber genau solche Sachen im Programm. Ich war also angefixt und wollte mehr wissen. So zog ich mir also noch den Vortrag von Dr. Sandro Gaycken rein, der offenkundig vor Vertretern der Bundeswehr stattfand (was für weiteres Lämpchengeflacker in meinem Kopf sorgte). Den ganzen Vortrag zusammenzufassen ist mir jetzt zu viel. Was ich davon mitgenommen habe ist, dass die Existenz einer Malware (Schadsoftware) wie Stuxnet bedeutet, dass wir in einem neuen Zeitalter der Kriegsführung angekommen sind - wie bei einem Vortrag vor dem Militär wohl auch kaum anders zu erwarten. Dabei fiel mir dann auch wieder die Geschichte der US-Drohne ein, die die Iraner von Himmel geholt hatten. Laut eigenen Aussagen war es den Iranern gelungen, der Drohne vorzugaukeln, dass sie "zu Hause" sei, woraufhin sie einfach landete.

Der Spion, der aus dem USB-Stick kam

Gaycken erwähnt in seinem Vortrag ganz beiläufig die Story der Operation Buckshot Yankee. Es ging darin um ein "Agent.btz" genanntes Computervirus, das von Afghanistan aus seinen Siegeszug quer durch sämtliche Geheim-und-noch-geheimer-Netze des US Militärs antrat, um irgendwann auch im Pentagon zu landen. Wo genau das Viech herkam, ist unklar. Die einen reden von einem Cybercafé, in anderen Versionen der Geschichte heißt es, der Anfang war ein USB-Stick, der auf einem Parkplatz gefunden wurde. Die Ähnlichkeit zu Stuxnet war unübersehbar. Auch Agent.btz verhielt sich komplett unauffällig. Allerdings war es in der Lage, Dokumente zu verschicken, was es auch munter tat. So konnte es mindestens ein Jahr lang eine unbekannte Anzahl Geheimdokumente verbreiten; das Militär brauchte alleine 14 Monate, um das Virus wieder aus den Netzwerken zu entfernen (diese Kraftanstrengung wurde "Operation Buckshot Yankee" getauft weil die Amis ja immer irgendwelche griffigen Buzzwords brauchen). Der Empfänger dieser Dokumente ist bis heute unklar.

Macht hoch die Tür, das Tor macht weit

Mehr. Ich wollte mehr. Das Stichwort PLC und auch die Tatsache, dass in der Security-Nightmares-Veranstaltung hin und wieder das mir bis dahin unbekannte Acronym SCADA auftauchte, führten mich zum Vortrag "SCADA and PLC Vulnerabilities in Correctional Facilities". Tiffany Rad und Teague Newman erzählen darin frei von der Leber weg, wie es ihnen gelungen war, den Controller für die komplette Schließanlage eines US-Gefängnisses zu hacken. Sie hätten nicht nur sämtliche Türen aufmachen können, sie hätten die Türen dabei auch gleich noch schrotten können, indem sie sie einfach so schnell aufmachten, dass der Mechanismus dabei zerstört worden wäre. Sie hätten auch erheblichen Schaden an der Elektrik des Gefängnisses verursachen können, indem sie sämtliche Türen des Gefängnisses auf einmal bewegt hätten. Eine solche Tür verbraucht recht viel Energie, deshalb können bspw. Gänge immer nur abschnittweise geöffnet bzw. verriegelt werden. Hätten die Hacker einfach alle Türen auf einmal angesprochen, wäre sicher zumindest irgendwo eine Sicherung rausgeflogen, größerer Schaden wäre jedoch auch nicht gänzlich unwahrscheinlich.

I muss amol schaun ob dei Internet geht

"Ja aber", werdet ihr einwenden, "sowas geht ja nur, wenn man dazu vor Ort ist. Solche Rechner hängen ja wohl nicht am Internet". Leider falsch. In der Theorie sollten solche natürlich Anlagen physikalisch vom Internet getrennt sein (der Nerd spricht hier von "Air-Gap"). Tiffany und Teague waren jedoch so frei, an einer Besichtigung des Gefängnisses teilzunehmen und dabei konnten sie sehen wie die Dame, die am zentralen Schließcomputer saß, munter in der Gegend herum twitterte Mehr noch: sie zitieren eine Studie, die über 100(?) verschiedene Justizvollzugsanstalten in den USA diesbezüglich untersuchte. Bei keiner einzigen war sichergestellt, dass sicherheitsrelevante Strukturen tatsächlich vom Internet getrennt waren. Stuxnet und Agent.btz haben uns allerdings schon gezeigt, dass ein Internetzugang nicht mal nötig ist, um in extrem sicherheitsrelevante Strukturen einzudringen.

Von wegen Rocket-Science

Teague und Tiffany räumen nebenbei auch mit der Vorstellung auf, dass nur Geheimdienste oder sehr wohlhabende Organisationen in der Lage wären, solche Attacken zu starten. In der ganzen Stuxnet-Debatte hört man immer wieder, dass die Entwicklung von Stuxnet im 7-stelligen Dollar-Bereich liegt, ein paar Millionen müsse man für sowas schon latzen. Vor allem Ralph Langner redet immer wieder gerne bewundernd von "rocket science", wenn er auf Stuxnets Codestruktur zu sprechen kommt. Für ihn ist auch klar, dass man ohne Wissenschaftler und Ingenieure und wasweißichnichtalles auf keinen grünen Zweig kommt. Teague Newman sagt jedoch klipp und klar, dass die Hardware, die er für den Hack brauchte, für 500$ auf Ebay zu haben war, nur die Software schlug mit 2000$ zu Buche. Das allerdings auch nur, weil er einen Vortrag darüber halten wollte, ansonsten hätte er sich die Software auch für lau im Internet besorgen können.

Wi sänk juh for tschuhsing Deutsche Bahn

Na? Versteht ihr jetzt, wenn ich sage, wir leben mitten in einem Sci-Fi-Roman? Die Controller, um die es hier geht, sind weltweit in den unterschiedlichsten Anlagen verbaut. Vielleicht denkt ihr mal darüber nach, wenn ihr das nächste mal im Zug sitzt, euer Laptop aufmacht und euch in das zugeigene WLAN einklinkt. Wenn euch ein Typ in einem schwarzem Shirt mit irgendeinem unverständlichen Spruch darauf gegenübersitzt und wild auf der Tastatur herum hackt, dann wundert euch nicht, wenn es zu Abweichungen vom regulären Fahrplan kommt...

Update: Christoph machte mich noch auf die entsprechende Alternativlos-Sendung aufmerksam, in der Stuxnet (und einiges drumrum) mal verständlich erklärt wird

(Bild von altemark [CC BY])

| Abgelegt unter 1337, The power game
The views expressed by the author are personal.