Schrift:
Ansicht Home:
Netzwelt

Googles Elite-Hacker

"Es geht uns nicht darum, andere Hersteller bloßzustellen"

Eines der fähigsten Hacker-Teams der Welt arbeitet für Google. Ben Hawkes und Natalie Silvanovich suchen nach Sicherheitslücken in beliebten Produkten. Hier berichten sie, wem sie damit helfen.

REUTERS

Black Hat in Las Vegas

Ein Interview von
Samstag, 10.08.2019   11:50 Uhr

Fünf Jahre ist es her, dass Google die Existenz von Project Zero öffentlich bekannt gemacht hat. Seither suchen etwa 15 hoch talentierte Sicherheitsforscher - die genaue Zahl will das Unternehmen nicht offiziell verraten - nach Schwachstellen in populären Produkten wie dem iPhone oder auch in hauseigener Software wie dem Chrome-Browser.

Genauer: Sie suchen sogenannte Zero-Days. Das sind Schwachstellen, von deren Existenz nicht einmal der betroffene Hersteller weiß, sodass er im Fall eines Angriffs null Tage (zero days) Zeit hätte, ihn abzuwehren. Zero-Day-Schwachstellen sind begehrt bei Kriminellen, Geheimdiensten oder Strafverfolgern - sofern es ein Programm gibt, mit dem sich die entsprechende Lücke ausnutzen lässt. So ein Programm nennt sich Exploit. Es gibt einen Markt dafür, manche Exploits sind dort siebenstellige Summen wert.

Googles Project Zero will diesen Handel mit IT-Unsicherheit erschweren, um das Internet für alle Nutzer sicherer zu machen. Das Team gibt Herstellern in der Regel 90 Tage Zeit, eine Zero-Day-Lücke zu schließen. Danach geht es damit an die Öffentlichkeit - egal, ob es dann ein Sicherheitsupdate für die Nutzer gibt oder nicht. So setzt es die Unternehmen unter Druck, Schwachstellen schnell zu beseitigen.

Interviews geben Googles Hacker selten. Auf der IT-Sicherheitskonferenz Black Hat in Las Vegas konnte der SPIEGEL jedoch mit Teamleiter Ben Hawkes und seiner Kollegin Natalie Silvanovich über ihre Arbeit sprechen:

SPIEGEL ONLINE: Sie haben kürzlich ein halbes Dutzend Schwachstellen in Apples iPhone-Betriebssystem iOS veröffentlicht, von denen manche sagen, dass bestimmte Käufer dafür mehrere Millionen Dollar bezahlt hätten. Glauben Sie das auch?

Silvanovich: Ich halte das für leicht übertrieben - auch wenn es Menschen gibt, die solche Summen in ihren Preislisten für Sicherheitslücken aufrufen.

Google

Natalie Silvanovich

SPIEGEL ONLINE: Bezahlt Google Sie dementsprechend?

Silvanovich: Leider nicht. Aber dass nun niemand diese Schwachstellen für bösartige Zwecke ausnutzt, ist ja auch etwas wert.

Hawkes: Wichtig bei diesen Preisangaben ist, dass sie für voll funktionstüchtige, zuverlässige Exploits (Programme, die eine Schwachstelle ausnutzen - Anm. d. Red.) gelten, und nicht allein für die Information über die Existenz der Schwachstelle.

SPIEGEL ONLINE: Eine der von Ihnen entdeckten Sicherheitslücken ermöglicht es, Fotos von fremden iPhones abzugreifen, indem der Angreifer eine speziell präparierte iMessage an ein Opfer schickt. Der Empfänger muss die Nachricht nicht einmal öffnen, wie Sie in einem Video vorgeführt haben. Was fehlt da noch zum fertigen Exploit?

Silvanovich: Angeblich fügen die Hersteller von Überwachungssoftware zum Beispiel noch Funktionen hinzu, die alle Spuren beseitigen - das Opfer kann dann nicht sehen, dass es die Textnachricht überhaupt bekommen hat.

SPIEGEL ONLINE: Sie haben Monate gebraucht, um diese iOS-Schwachstellen zu finden. Wie hat es sich angefühlt, als es wirklich so weit war und Sie etwas hatten, gegen das eine Milliarde Geräte schutzlos sind?

Silvanovich: Ehrlich gesagt war ich ziemlich aufgeregt. Auch weil ich wusste, dass sich die monatelange Arbeit gelohnt hat.

SPIEGEL ONLINE: Haben Sie je zusammengerechnet, wie viel die mehr als 1600 von Project Zero entdeckten Sicherheitslücken auf dem entsprechenden Markt wert gewesen wären?

Hawkes: Nein, und das wäre auch schwierig. Aber wenn man die Preisliste zum Beispiel von Zerodium heranziehen würde, dann wäre es eine substanzielle Summe.

SPIEGEL ONLINE: Wäre die eine geeignete Maßeinheit, um zu sagen, ob Project Zero erfolgreich ist?

Hawkes: Nein, denn der Preis hinge auch von der Nachfrage ab. Ein vergleichsweise einfach herzustellender Exploit kann viel Geld wert sein, wenn die Nachfrage hoch ist. Aber ein Entdecker kann ebenso gut sehr viel Arbeit in einen Exploit stecken und dann Probleme haben, einen Käufer zu finden - weil der die entsprechende Fähigkeit schon hat, oder weil er schlicht keinen Bedarf für diesen speziellen Angriff hat. Wir schauen deshalb lieber darauf, ob es für uns selbst schwieriger und zeitaufwendiger wird, neue Schwachstellen zu finden.

SPIEGEL ONLINE: Wie wichtig ist die Arbeit von Project Zero für normale Internetnutzer? Zero-Days werden doch zumeist verwendet, um einzelne, für den Angreifer besonders interessante Ziele anzugreifen.

Hawkes: Stimmt. Wir können nicht sagen, ob ein Zero-Day-Exploit benutzt werden würde, um Tausende oder Hunderttausende Menschen anzugreifen. Aber wir wissen, dass die Auswirkungen auf die Gesellschaft, auf Unternehmen oder andere Organisationen über die einzelnen Opfer hinausgehen.

SPIEGEL ONLINE: Wenn zum Beispiel Dissidenten oder Journalisten damit ausspioniert werden?

Hawkes: Ja.

Silvanovich: Meine iMessage-Schwachstelle würde wahrscheinlich nur gegen wichtige Ziele eingesetzt werden. Aber zu der Zeit, als ich mir Adobe Flash näher angeschaut habe, gab es da sehr viele Fehler - und manche wurden tatsächlich ausgenutzt, für Kreditkartenbetrug gegen normale Nutzer etwa.

SPIEGEL ONLINE: Würden Sie sagen, dass einige der weltbesten Hacker für Project Zero arbeiten?

Hawkes: Das würde ich so sagen.

SPIEGEL ONLINE: Für wen arbeiten die anderen weltbesten Hacker? NSA, NSO oder vielleicht GRU?

Hawkes: Schwer zu sagen. Wir müssen vieles können: neue Methoden entwickeln, wie man Schwachstellen findet, wie man dann am besten darauf reagiert, wie man sie kommuniziert. Das sind sehr spezielle, aber breit gefächerte Anforderungen. Wer hingegen für offensiv arbeitende Firmen arbeitet, ist in der Regel spezialisiert auf eine Sache. Was die reine Kreativität angeht: Die findet man durchaus auch bei Angreifern.

SPIEGEL ONLINE: Welche Art von Angreifer meinen Sie?

Hawkes: Jeder, der Geheimnisse in Erfahrung bringen will. Das können staatliche Akteure sein oder auch Kriminelle.

SPIEGEL ONLINE: Von den mehr als 1600 Schwachstellen, die Project Zero bisher entdeckt hat, betreffen nur 131 direkt Google-Produkte wie Chrome. Sagen Ihnen die anderen Hersteller, deren Produkte Sie ständig hacken, eigentlich nie, dass Sie erst mal vor der eigenen Haustür kehren sollten?

Hawkes: Anfangs mussten die Unternehmen erst noch lernen, wer wir sind und was unser Ziel ist. Da gab es eine gewisse Skepsis, ob wir das alles aus gutem Grund machen. Mittlerweile wissen die meisten: Es geht uns nicht darum, andere Hersteller bloßzustellen, sondern darum, ihnen zu helfen, ihr Sicherheitsniveau zu erhöhen. Manchen ist das leichtgefallen, andere haben länger gebraucht.

insgesamt 9 Beiträge
Freidenker10 10.08.2019
1.
"staatliche Akteure sein oder auch Kriminelle." Würde bei den Geheimdiensten keinen Unterschied machen. Nur weil die staatlich gedeckt sind, sind das für mich trotzdem Kriminelle! Krass ist aber wie die meisten [...]
"staatliche Akteure sein oder auch Kriminelle." Würde bei den Geheimdiensten keinen Unterschied machen. Nur weil die staatlich gedeckt sind, sind das für mich trotzdem Kriminelle! Krass ist aber wie die meisten Menschen mit IT umgehen und ihren Geräten so ziemlich alles anvertrauen, wahrscheinlich mehr als irgendeinem Menschen. Leider wurde die heutige Elterngeneration selbst Anfang der 2000 von Smartphone, Internet und Co überrumpelt, so dass wir unseren Kids nur wenig Aufklärung vermiteln konnten. Die Kids von heute sind somit die perfekt gezüchteten kritiklosen Konsumenten willig und bereit sich total überwachen zu lassen. Ein Kid das mal sein Smartphone daheim liegen lässt gibt es praktisch nicht mehr....!
senkfuss 10.08.2019
2.
Facebook stellt seine Produkten jedenfalls demnächst auf (US-) Geheimdienst freundlicheren Zugriff um. Da kann dann schon vor der Verschlüsselung mitgelesen werden. So ist die Suche nach Hintertürchen und Exploids nur noch [...]
Facebook stellt seine Produkten jedenfalls demnächst auf (US-) Geheimdienst freundlicheren Zugriff um. Da kann dann schon vor der Verschlüsselung mitgelesen werden. So ist die Suche nach Hintertürchen und Exploids nur noch sinnvoll um anderen "Diensten" den Zugriff zu erschweren. Soll ja schliesslich nicht jeder rumschnüffel dürfen.
GoaSkin 10.08.2019
3. @Freidenker10
Die Kids mögen zwar mit dem Smartphone aufgewachsen sein und es mehr nutzen, haben aber dennoch eine kritischere Einstellung dazu, als ihre Eltern. Denen fehlt nicht nur an vielen Punkten völlig der Verstand, sondern sie lassen [...]
Die Kids mögen zwar mit dem Smartphone aufgewachsen sein und es mehr nutzen, haben aber dennoch eine kritischere Einstellung dazu, als ihre Eltern. Denen fehlt nicht nur an vielen Punkten völlig der Verstand, sondern sie lassen sich auch erst recht von ihren Kindern nichts sagen. Gerade die Elterngenerationen denken sich, dass die Nutzung von Apps und Internet-Diensten nicht verkehrt sein kann, wenn sie Alle nutzen. Gerade die Elterngenerationen nutzen konsequent WhatsApp, Google-Dienste und posten jeden Mist bei Facebook. Mit der Einstellung, dass es alle machen und man es selbst tun sollte, um normal zu sein. Die Kids hingegen kennen für jeden Anwendungszweck eine Vielfalt an Alternativen und für die Konsequenzen von Datenpreisgaben mehr Sinn, als ihre Eltern.
msc75 10.08.2019
4. Nicht ganz uneigennützig …
Clever von Google, dieses Projekt. Primär erst einmal eine schöne Sache für uns alle, wenn Google seine Möglichkeiten bereitstellt und die (verfügbar) Besten der Besten dafür bezahlt, um Schwachstellen in Betriebssystemen [...]
Clever von Google, dieses Projekt. Primär erst einmal eine schöne Sache für uns alle, wenn Google seine Möglichkeiten bereitstellt und die (verfügbar) Besten der Besten dafür bezahlt, um Schwachstellen in Betriebssystemen und Programmen zu suchen und den Herstellern zu melden. Google hat begriffen, dass das Netz ein Zusammenspiel unterschiedlichster Software ist und Sicherheit im Netz nur durch firmenübergreifende Zusammenarbeit zu haben ist. Letztlich erhöht Google so auch die Sicherheit seiner eigenen Software (denn sie ist sicherer auf nicht bereits infizierten oder infiltrierten Systemen) und lernt nebenbei viel über Fremdsoftware, was wiederum in den eigenen Produkten oder Strategien verwendet werden kann. Clever, Google …
Kamillo 10.08.2019
5.
Nullwissen... Die Verschlüsselung von Facebook wird vom Webbrowser (hhtps) gemacht. Da kann Facebook nichts daran ändern. Dazu müsste der Programmcode von Internet Explorer, Edge, Firefox, Chrome, Chromium, Safari, Cabs, [...]
Zitat von senkfussFacebook stellt seine Produkten jedenfalls demnächst auf (US-) Geheimdienst freundlicheren Zugriff um. Da kann dann schon vor der Verschlüsselung mitgelesen werden. So ist die Suche nach Hintertürchen und Exploids nur noch sinnvoll um anderen "Diensten" den Zugriff zu erschweren. Soll ja schliesslich nicht jeder rumschnüffel dürfen.
Nullwissen... Die Verschlüsselung von Facebook wird vom Webbrowser (hhtps) gemacht. Da kann Facebook nichts daran ändern. Dazu müsste der Programmcode von Internet Explorer, Edge, Firefox, Chrome, Chromium, Safari, Cabs, Netsurf, Opera, ... geändert werden...

Verwandte Artikel

Mehr im Internet

Artikel

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP