Sicherheitslücken in Betriebssystemen und in diverser Anwendungssoftware gibt es viele. Werden sie entdeckt, machen ihre Entdecker sie in der Regel öffentlich, informieren meistens vorab den Softwarehersteller und die Lücke kann geschlossen werden. Anders bei einer Sicherheitslücke, die am Mittwoch dieser Woche das Team um den Informatik-Professor Hartmut Pohl veröffentlicht hat. Was ist bei dieser Sicherheitslücke so anders, Peter Welchering?
Peter Welchering: Sie ist schon viele Jahre bekannt, auch der Herstellerin der Software. Es handelt sich nämlich um eine Sicherheitslücke bei Outlook, und Microsoft kannte diese Lücke schon längere Zeit. Es handelt sich nämlich um eine Sicherheitslücke, über die sogenannte XML-Bomben auf PCs gebracht werden können. Diese XML-Bombe sorgt dann dafür, dass der PC regelrecht einfriert. Und nach dem Einfrieren kann dann Schadsoftware aufgespielt werden. Wie man solch eine XML-Bombe programmiert und welche Sicherheitslücke beim XML-Parser man dafür braucht, das hat Microsoft-Mitarbeiter Bryan Sullivan in einem Aufsatz 2009 im MSDN-Magazin ausführlich beschrieben. Daraus kann man schließen, im Unternehmen Microsoft kennt man den Fehler seit 2009.
Kloiber: Hat die NSA denn genau diese Sicherheitslücke für Überwachungszwecke genutzt?
Welchering: Professor Pohl und sein Team kennen einige Fälle, in denen die NSA Gegenangriffe auf Hacker, die Regierungscomputer angegriffen haben, mit XML-Bomben durchgeführt haben. Dann hat Richard Stallmann in einem Interview mit dem Informationsdienst Techrights ausgeführt, wie Unternehmen wie Microsoft Sicherheitslücken an US-Geheimdienste weitergeben, damit die über diese Lücken in fremde Computer eindringen können. Microsoft-Sprecher Frank Shaw hat der Nachrichtenagentur Bloomberg gegenüber auch bestätigt, dass der Konzern der US-Regierung einen Vorsprung geben will. In der NSA-internen Präsentation "Prism Case Notations", wird Microsoft als Prism-Provider auf Platz 1 geführt. Und aus den NSA-Folien über "Tailored Access Operations" geht hervor, dass das NSA-System "Olympusfire" ein "explotation system" ist, das Schadsoftware über ein Anforderungssystem an Zielrechner verteilt. Schadsoftware für solche Anforderungsrufe ist klassischerweise über XML-Bomben verteilt worden. Auf der NSA-Folie "There is more than one way to quantum" werden "Quantumcopper" und "Quantumsmackdown" als "live tested" vorgestellt. Beide habe auch XML-Bomben in ihrem Waffenarsenal.
XML-Bomben sind ein Türöffner
Kloiber: Welche Funktion hat denn eine XML-Bombe bei Überwachungsprogrammen wie Prism?
Welchering: Prism ermittelt aus vielen Datenquellen Verhaltensprofile, mit denen abgeschätzt werden soll, ob Menschen in ihrem Verhalten einem kriminellen oder terroristischen Verhaltensmuster entsprechen. Für diese Wahrscheinlichkeitsrechnung braucht man tatsächlich keine XML-Bombe. Aber Prism besteht aus zwei Abteilungen, zunächst interessiert nur das Kommunikationsverhalten, noch keine Inhalte. Ist aber das Kommunikationsverhalten eines Menschen auffällig, dann werden seine Mails ausgewertet, wird sein Computer angezapft, wird er individuell überwacht. Und dann spielen alle Angriffe über Exploits, über Sicherheitslücken eine Rolle, auch XML-Bomben. Deshalb braucht nicht nur Prism, sondern auch das NSA-Überwachungsprogramm XKeyscore solche Sicherheitslücken. Werden die geschlossen, funktionieren Teile dieser Überwachungsprogramme nicht mehr.
Kloiber: Welche Funktion nehmen denn XML-Bomben bei XKeyscore wahr?
Welchering: Überwachungssoftware auf circa 700 Servern weltweit, auch in Deutschland, die auch virtuelle private Netzwerke ausspioniert. Dazu müssen Daten auf dem PC des Absenders vor der Verschlüsselung und vor dem Tunneling abgegriffen werden. XML-Bombe ist hier ein Türöffner, um die Schadsoftware auf den PC zu bekommen, die man braucht um Daten vor Verschlüsselung und vor dem Tunneling abzugreifen. Übrigens: Auch Bundesamt für Verfassungsschutz hat sich XKeyscore beschafft und testet diese Software.
Kloiber: Was wäre denn geschehen, wenn die Sicherheitslücke im XML-Parser vor fünf Jahren geschlossen worden wäre?
Welchering: Geheimdienste hätten keine XML-Bomben zur Verfügung gehabt um 1. Gegenangriffe mit Dienstangriffen, Denial-of-Service-Angriffen zu fahren, 2. XML-Bomben als erste Angriffswelle, um einen PC zu öffnen und Schadsoftware aufzuspielen, wäre entfallen. Das hätte wehgetan.
