Flame verwendet Microsoft-Zertifikat
von Florian Kalenda, 4. Juni 2012, 20:16 Uhr
Microsoft hat eine Sicherheitswarnung (KB2718704) herausgegeben: Nach seiner Analyse sind Komponenten der Malware Flame mit einem digitalen Zertifikat signiert, das auf Microsoft als Ausgabestelle zurückverweist. Nach Microsofts Angaben wurde "sofort damit begonnen, das Problem zu untersuchen".
Kaspersky hat Flame "die komplexeste Bedrohung aller Zeiten" genannt. Die vor allem im Nahem Osten umlaufende Windows-Malware ist vermutlich im Auftrag eines Staats entstanden. Microsofts Security Response Center in Person von Senior Director Mike Reavey warnt: "Nach unseren Forschungen könnten einige von dieser Schadsoftware verwendete Techniken auch von weniger raffinierten Angreifern eingesetzt werden."
In seiner Sicherheitsmeldung erwähnt Microsoft die Gefahr von Spoofing, also Täuschung des Nutzers über den Ursprung eines Programms oder einer Webseite. Man habe nun die beiden zwischengeschalteten Validierungsstellen abgeschaltet, um dies zu verhindern. Für Windows-Systeme steht außerdem ein Patch bereit.
Unklar bleibt, wer Zugang zu den Zertifikaten hatte und ob sie von autorisierten Mitarbeitern missbraucht worden sein könnten. Jonathan Ness vom MSRC erklärt nur: "Was wir herausgefunden haben, ist, dass von unserer Zertifizierungsstelle für Terminal Services herausgegebene Zertifikate so modifiziert werden können, dass sie von Microsoft zu stammen scheinen. Sie sind aber nur dafür gedacht, Serverlizenzen zu prüfen." Solche Zertifikate würden ab sofort nicht mehr herausgegeben.
Flame hat sich vor allem in nahöstlichen Ländern und insbesondere im Iran verbreitet. Nach iranischen Angaben wurden zahlreiche Rechner hoher Regierungsmitarbeiter befallen. Der Spionageangriff habe speziell Irans Ölindustrie gegolten, heißt es. Das Ministerium für Öl und Energie musste im letzten Monat alle Internetverbindungen kappen und Daten aus Sicherungsdateien wiederherstellen.
Israel hat gegenüber der BBC jede Beteiligung an "Flame" ausdrücklich dementiert. Die New York Times betont, ihre Quellen für die Recherchen zu Stuxnet hätten keinen Kommentar zu der Frage abgeben wollen, ob die USA hinter Flame steckten.
Flame verwendet Microsoft-Zertifikat | Security | News | ZDNet.de
Was für normale Bürger verboten ist machen jetzt die Regierungen und deren Geheimdienste.
Es ist wirklich der normale User zu verurteilen der meist minderwertige Schadsoftware in den Umlauf bringt. Der sollte sich mal ein Beispiel der Geheimdienste nehmen was die für eine Qualität liefern. 
Aber ganz so einfach ist das erstellen eines solchen "Viruses" nicht. Dann stellt sich ja noch ein weiteres Problem wie man ihn überhaupt einschleusen kann.
Stuxnet ist ja mit tatkräftiger Unterstützung von Simens entstanden die ja an einem Forschungsprojekt betreffend Sicherheitslücken mitgewirkt hat.
Details zur Entstehung von Stuxnet
Stuxnet Angriff ist besser als Verteidigung
18.01.2011 · Im Cyber-Krieg ist kaum zu erkennen, woher ein Angriff kommt. Die Grenze zwischen Attacke und Abwehr verschwimmt. Das zeigt der Computerwurm Stuxnet, der aus Amerika und Israel stammen soll.
Die Saga um den Computerwurm Stuxnet, mit dem die iranischen Urananreicherungsanlagen sabotiert wurden, nimmt kein Ende. Die jüngste Fortsetzung beschreibt die „New York Times“. Sie benennt die wahrscheinlichen Hintergründe und Urheber des Stuxnet-Wurms (Computerwurm: Israel testete Stuxnet in geheimer Atomanlage) und enthüllt, dass es in der israelischen Atomanlage in Dimona eine Replika der iranischen Anlage gibt, um Angriffe gegen das Original zu testen.
Dass es zur Entwicklung des Stuxnet-Wurms einer solchen Testanlage bedurfte, verwundert nicht. Schon bei den ersten Operationen zum Stopp nuklearer Waffenentwicklungen, die in den Geschichtsbüchern verzeichnet sind - den Angriffen britischer und norwegischer Spezialeinheiten während des Zweiten Weltkriegs auf die unter deutscher Kontrolle befindliche Norsk-Hydro-Produktionsanlage für schweres Wasser im norwegischen Vermork -, wurden die Angreifer in detailgetreuen Nachbauten ausgebildet. Sie sollten sich in den Gebäuden wie zu Hause fühlen, notfalls in völliger Dunkelheit die Sprengladungen an den richtigen Stellen anbringen können. Seither gehören Replika-Anlagen zum Arsenal der nuklearen Proliferations-Bekämpfung.Die Spur führt nach Idaho
Die Analyse des Stuxnet-Codes offenbarte, dass die Angreifer gegen das iranische Atomprogramm über detaillierte Informationen über die Zentrifugen und ihre Steuerungskomponenten verfügten. Die Methode der Zerstörung beruht offenbar darauf, durch den Computerwurm die Hochgeschwindigkeits-Rotoren der Anreicherungsmaschinen in Drehzahlbereichen fahren zu lassen, die zu Eigenschwingungen führen. Derart komplexe Angriffsmethoden erfordern nicht nur ein genaues Detailwissen der zu zerstörenden Zentrifugen, sie müssen auch unter realistischen Bedingungen an einer identischen Anlage getestet werden.
AFP Die israelische Nuklearanlage Dimona - inklusive einer Replika der iranischen Atom-Anlage
Wenn man nach Testanlagen für Industriesteuerungen sucht und nach Experten, die sich mit den Sicherheitslücken auskennen, landet man im amerikanischen Idaho National Laboratory. Im dortigen „Scada-Testbed“ sind im Labor Steuerungssysteme aller wichtigen Hersteller versammelt - inklusive qualifizierten Personals. Scada steht für „Supervisory Control and Data Acquisition“ und umfasst den gesamten Bereich industrieller Steuerungen und Kontrollsysteme.
Siemens ist auch dabei
Der Zweck des Aufbaus: Forschung zur Verbesserung der Sicherheit von Industriesteuerungen. Offiziell geht es um den Schutz kritischer Infrastruktur wie etwa der Energieversorgung vor Angriffen aus dem Netz - genau vor der Bedrohung also, die Stuxnet darstellt. Nachdem Forscher des Labors 2006 per Manipulation des Steuerungssystems einen Kraftwerksgenerator in ihrem Labor gesprengt hatten, bekamen sie die Aufmerksamkeit, die finanziellen Mittel und die Kooperation der Hersteller, die für die Einrichtung des umfangreichen „Scada-Testbed“ nötig waren.
Einer der Hersteller, die in Idaho dabei sind, ist Siemens. Den Bitten des amerikanischen Department of Homeland Security, bei der Forschung zum Schutz von kritischen Anlagen mitzuwirken, konnte man sich schließlich schlecht verweigern. Der Artikel der „New York Times“ bestärkt nun aber eine Ansicht, die in den Kreisen derer, die sich mit der Analyse des Stuxnet-Wurms befassen, seit längerem kursiert: Es geht in Idaho nicht nur um Schutz, es geht auch um Angriff - und die Firmen, die in Idaho mitmachen, haben möglicherweise absichtlich oder unabsichtlich geholfen.
Wenn eine Sicherheitslücke offengelegt ist, muss der Hersteller sie schließen
Die Geschichte ist ein Lehrbuchbeispiel für die janusköpfige Natur der Forschung an Sicherheitslücken. Wie bei der Biowaffenforschung entsteht zwangsläufig bei der Suche nach Schutzmöglichkeiten das Wissen um die Wege zur Attacke. Die systematische Suche nach Lücken generiert einen Informationsvorsprung, der offensiv genutzt werden kann. Angriffe gegen Computersysteme nutzen eine Vielzahl von Schwachstellen aus. Schlecht oder nachlässig geschriebene Software ist der häufigste Angriffsvektor. Immer noch tendieren Entwickler dazu, nicht über Sicherheit gegen Angriffe nachzudenken, sondern sich auf das Funktionieren ihrer Systeme zu konzentrieren.
Im Bereich der Industriesysteme ist dieses Phänomen noch ausgeprägter als bei normaler Alltagssoftware. Hacker haben durch ihre mehr oder minder spielerische Ausnutzung von Lücken und die Publikation der Probleme viel dazu beigetragen, Computersysteme sicherer zu machen. „Full disclosure“ heißt das Prinzip, dem die Szene lange Zeit folgte. Der Grundgedanke: Wenn eine Sicherheitslücke offengelegt ist, muss der Hersteller sie auch schließen. Selbstverständlich sind die Hersteller davon nicht begeistert. Neben der Blamage sehen sie sich dem Druck der Kunden ausgesetzt, die schnelle Abhilfe fordern. Die Gegenbewegung war so einfach wie unidealistisch: Spezialisierte Beratungsfirmen kaufen für die Hersteller unter der Hand auf dem grauen Markt die Sicherheitslücken, bevor sie publiziert werden und reichen sie an ihre Zweitkundschaft aus dem Geheimdienstbereich weiter.
Produkte mit Hintertüren
Parallel dazu ist eine Reihe von Forschungseinrichtungen - wie das „Scada-Testbed“ in Idaho - entstanden, die systematisch nach Sicherheitslücken suchen. Die Forschung findet im Verborgenen statt, nur an Anzahl und Umfang der Sicherheitsupdates ihres Herstellers können Kunden erkennen, mit welchen Lücken sie bis dato gelebt haben. Ein wichtiger Seiteneffekt der neuen Verschwiegenheit: Ob wirklich alle gefundenen Sicherheitslücken schnell geschlossen werden oder ob nicht die besten für geheimdienstliche Zwecke aufgespart werden, ist zu einer Frage des Vertrauens in die Ehrlichkeit des Herstellers geworden.
Berichten von Insidern zufolge gibt es seit Jahrzehnten informelle Gremien, in denen die marktführenden Hersteller von Computerhard- und -software und Telekommunikationsnetzen mit den Geheimdiensten ihres Heimatlandes darüber feilschen, ob eine spezifische Lücke schnell oder erst später geschlossen wird. Insbesondere Hersteller aus Ländern wie Israel oder China stehen in dem Ruf, ihren Ländern bei der digitalen Informationsgewinnung direkt zu helfen - mit Hintertüren in ihren Produkten. Damit das Ansehen im Markt nicht aufs Spiel gesetzt wird, was bei der Entdeckung offensichtlicher Hintertüren schnell der Fall ist, werden traditionell Sicherheitslücken offiziell unentdeckt gelassen und erst geschlossen, sobald sie bekannt werden. In der Zwischenzeit können die Schwachstellen von den Geheimdiensten ausgenutzt werden.
Der digitale Erstschlag
Die wenigen Schlaglichter, die im Rahmen der Stuxnet-Saga auf die schattigen Gefilde des Sicherheitslücken-Handels und der mehr oder minder freiwilligen Kooperation der Hersteller mit den Geheimen geworfen werden, zeichnen ein besorgniserregendes Bild. Der Stuxnet-Angriff richtete sich gegen das iranische Atomprogramm, ein Ziel, bei dem niemand die konventionelle Angriffsmethode - einen Luftangriff, möglicherweise mit Atomwaffen - bevorzugen würde. Was aber, wenn es das nächste Mal gegen venezolanische Erdölraffinerien, russische Staudämme oder chinesische Atomkraftwerke geht? Alles deutet darauf hin, dass der Einsatz von Cyberwaffen zum Regelfall der klandestinen Auseinandersetzung wird. Anfangs wird der digitale Erstschlag wohl auf Ziele beschränkt sein, bei denen eine weitgehende Zustimmung der Öffentlichkeit angenommen oder arrangiert werden kann.
Was aber passiert, wenn in wenigen Jahren das digitale Schlachtfeld um immer mehr Angriffsspieler erweitert wird, wenn durch fortschreitende Bildung und Digitalisierung immer mehr Länder sich die entsprechenden Forschungs- und Ausbildungszentren für eine elektronische Kriegerkaste leisten können? Die immer wieder geschürte Panik vor chinesischen Cyber-Angriffen kennzeichnet nur den Anfang der Entwicklung. Es verfestigt sich der Eindruck, als hätten die Vereinigten Staaten und Israel die digitale Büchse der Pandora verfrüht geöffnet. Die meisten Länder des Westens haben keine oder nur sehr hilflos anmutende Cyber-Verteidigungskonzepte.
Die bisherigen Mechanismen genügen nicht
Mehr Überwachungsgesetze werden ebenso wenig helfen wie mehr Firewalls, Virenscanner und das sonstige, weitgehend nutzlose Produktangebot der Computersicherheitsbranche. Auch das geplante deutsche Cyber-Sicherheitszentrum hätte einen Angriff auf dem Niveau von Stuxnet weder erkennen noch verhindern können. Um sich für das neue Zeitalter zu wappnen, bedarf es grundlegenderer Anstrengungen, die bis an die technischen und ideellen Wurzeln unserer Hightech-Gesellschaft reichen. Die Länder des Westens müssen sich darüber klarwerden, dass die bisherigen Mechanismen der gesellschaftlichen Kontrolle ihrer geheimen Dienste und des Militärs angesichts der neuen Machtmittel im digitalen Bereich nicht mehr ausreichen.
Stuxnet: Angriff ist besser als Verteidigung - Digitales Denken - FAZ
Cu
Verbogener
