# taz.de -- McAfee analysiert Google-Hacks: Auch Softwarefirmen ausgespäht
       
       > McAfee hat die Hack-Angriffe auf Google und Co untersucht. Demnach haben
       > sich Angreifer auch Zugriff auf das Innenleben großer Software-Firmen
       > verschafft.
       
 (IMG) Bild: Google bastelt an einer neuen China Strategie.
       
       Es waren Attacken, die das Netz erschütterten: Über eine offene
       Sicherheitslücke im beliebten Microsoft-Browser Internet Explorer drangen
       Angreifer in die Rechner von Google und anderer IT-Konzerne ein und saugten
       sensible Daten und Geschäftsgeheimnisse ab. Die Aktion, deren Ausgangspunkt
       China sein soll, führte bei Google gar dazu, den bisherigen Status Quo im
       Riesenreich aufzugeben. Künftig, so kündigte Justiziar David Drummond am
       12. Januar an, werde man darauf verzichten, sich an staatlichen
       Zensurmaßnahmen zu beteiligen. Was den Internet-Riesen offenbar besonders
       ärgerte: Auch E-Mail-Konten von Menschenrechtsaktivisten waren geknackt
       worden.
       
       Seit dem spektakulären Statement bastelt der Konzern an seiner neuen
       China-Strategie. Gleichzeitig versuchen Sicherheitsexperten, die Vorfälle
       aufzuklären - sowohl auf Seiten der Strafverfolger als auch bei
       kommerziellen IT-Security-Größen. Mit dem US-Spezialanbieter McAfee hat nun
       das erste Sicherheitsschwergewicht eine breite [1][Analyse] zu der auch
       "Operation Aurora" genannten Angriffswelle veröffentlicht.
       
       Bei einem Vortrag auf der renommierten RSA-Sicherheitskonferenz in San
       Francisco erläuterte McAfee-Forscher Dmitri Alperovitch, dass sich die
       Angreifer auch Zugriff auf das Innenleben großer Software-Firmen verschafft
       hätten. So konnten sie bei Adobe, dem Hersteller der PDF-Anzeigesoftware
       Reader, in ein Entwickler-Managementsystem schauen. Somit war es ihnen
       möglich, vorab nach Lücken in dem viel verwendeten Programm Ausschau zu
       halten, die sie dann unbemerkt ausnutzen konnten. "Niemand dachte daran,
       diese Systeme abzusichern", so Alperovitch, "dabei sind das die Kronjuwelen
       der meisten dieser Firmen". Diese Managementsysteme, auch SCM genannt,
       werden nur von wenigen Unternehmen verkauft und fanden sich deshalb in
       vielen der betroffenen Unternehmen. In ihnen steckt der Bauplan von
       Software. "So konnten die Angreifer große Mengen Quellcode ziemlich schnell
       ernten", sagte Alperovitch.
       
       Die einzelnen Angriffe liefen dann sehr gezielt ab. So wurden stets
       Ansprechpartner ins Visier genommen, die bestimmte Zugriffsrechte hatten.
       Denen wurden dann so genannte Spear Phishing Attacks untergejubelt, die
       gezielt auf die entsprechende Person abgestimmt waren - etwa, indem
       vergiftete E-Mails oder Instant Messaging-Nachrichten angeblich von einem
       vertrauenswürdigen Kontakt stammten. Klickte der Betroffene dann einen
       Link, war es auch schon passiert: Die Internet Explorer-Lücke wurde
       ausgenutzt und der Rechner dann übernommen. Von dieser Station aus gruben
       sich die Angreifer dann weiter durch das jeweilige Firmennetz, bis sie
       genügend Zugriffsrechte versammelt und die gewünschten Daten abgesaugt
       hatten. So sprangen sie von Firma zu Firma.
       
       Nicht alle Experten sehen in den Angriffen auf Google und mindestens 30
       weitere High-Tech-Unternehmen aus dem Westen indes das Werk hochgebildeter
       Spezialisten. Der McAfee-Konkurrent Damballa, eine Sicherheitsfirma aus
       Atlanta, kam in einer [2][eigenen Analyse] zu dem Schluss, dass zumindest
       das von den Angreifern verwendete Botnetz, eine Armee ferngesteuerter PCs,
       eher amateurhaft aufgezogen war.
       
       Dessen Aufbau spreche dafür, dass es das Werk "eines zwar schnell
       lernenden, aber eher nicht-professionell aufgestellten kriminellen Teams"
       sei. So hätten die Angreifer Techniken genutzt, die eher "old school" seien
       und längst von der aktuellen Generation der Netzmafiosis nicht mehr
       verwendet würden.
       
       In der Internet-Szene wird diskutiert, ob das eventuell sogar als ein Indiz
       für die Beteiligung der chinesischen Regierung gewertet werden könnte, die
       bislang jeglichen entsprechenden Vorwurf scharf zurückweist - vielleicht
       sind die dortigen Schlapphüte ja technisch etwas hinterher. Google
       kommentierte die Äußerungen Damballas jedenfalls nicht, gab jedoch an, das
       Sicherheitsunternehmen aus Georgia hätte "keine Kenntnisse aus erster Hand"
       erhalten.
       
       5 Mar 2010
       
       ## LINKS
       
 (DIR) [1] http://www.wired.com/images_blogs/threatlevel/2010/03/operationaurora_wp_0310_fnl.pdf
 (DIR) [2] http://www.damballa.com/research/aurora/
       
       ## AUTOREN
       
 (DIR) Ben Schwan
       
       ## ARTIKEL ZUM THEMA