Googles Elite-Hacker "Es geht uns nicht darum, andere Hersteller bloßzustellen"
Black Hat in Las Vegas
Foto: David Becker/ REUTERSFünf Jahre ist es her, dass Google die Existenz von Project Zero öffentlich bekannt gemacht hat. Seither suchen etwa 15 hoch talentierte Sicherheitsforscher - die genaue Zahl will das Unternehmen nicht offiziell verraten - nach Schwachstellen in populären Produkten wie dem iPhone oder auch in hauseigener Software wie dem Chrome-Browser.
Genauer: Sie suchen sogenannte Zero-Days. Das sind Schwachstellen, von deren Existenz nicht einmal der betroffene Hersteller weiß, sodass er im Fall eines Angriffs null Tage (zero days) Zeit hätte, ihn abzuwehren. Zero-Day-Schwachstellen sind begehrt bei Kriminellen, Geheimdiensten oder Strafverfolgern - sofern es ein Programm gibt, mit dem sich die entsprechende Lücke ausnutzen lässt. So ein Programm nennt sich Exploit. Es gibt einen Markt dafür, manche Exploits sind dort siebenstellige Summen wert.
Googles Project Zero will diesen Handel mit IT-Unsicherheit erschweren, um das Internet für alle Nutzer sicherer zu machen. Das Team gibt Herstellern in der Regel 90 Tage Zeit, eine Zero-Day-Lücke zu schließen. Danach geht es damit an die Öffentlichkeit - egal, ob es dann ein Sicherheitsupdate für die Nutzer gibt oder nicht. So setzt es die Unternehmen unter Druck, Schwachstellen schnell zu beseitigen.
Interviews geben Googles Hacker selten. Auf der IT-Sicherheitskonferenz Black Hat in Las Vegas konnte der SPIEGEL jedoch mit Teamleiter Ben Hawkes und seiner Kollegin Natalie Silvanovich über ihre Arbeit sprechen:
SPIEGEL ONLINE: Sie haben kürzlich ein halbes Dutzend Schwachstellen in Apples iPhone-Betriebssystem iOS veröffentlicht, von denen manche sagen, dass bestimmte Käufer dafür mehrere Millionen Dollar bezahlt hätten. Glauben Sie das auch?
Silvanovich: Ich halte das für leicht übertrieben - auch wenn es Menschen gibt, die solche Summen in ihren Preislisten für Sicherheitslücken aufrufen.
Natalie Silvanovich
Foto: GoogleSPIEGEL ONLINE: Bezahlt Google Sie dementsprechend?
Silvanovich: Leider nicht. Aber dass nun niemand diese Schwachstellen für bösartige Zwecke ausnutzt, ist ja auch etwas wert.
Hawkes: Wichtig bei diesen Preisangaben ist, dass sie für voll funktionstüchtige, zuverlässige Exploits (Programme, die eine Schwachstelle ausnutzen - Anm. d. Red.) gelten, und nicht allein für die Information über die Existenz der Schwachstelle.
SPIEGEL ONLINE: Eine der von Ihnen entdeckten Sicherheitslücken ermöglicht es, Fotos von fremden iPhones abzugreifen, indem der Angreifer eine speziell präparierte iMessage an ein Opfer schickt. Der Empfänger muss die Nachricht nicht einmal öffnen, wie Sie in einem Video vorgeführt haben. Was fehlt da noch zum fertigen Exploit?
Silvanovich: Angeblich fügen die Hersteller von Überwachungssoftware zum Beispiel noch Funktionen hinzu, die alle Spuren beseitigen - das Opfer kann dann nicht sehen, dass es die Textnachricht überhaupt bekommen hat.
SPIEGEL ONLINE: Sie haben Monate gebraucht, um diese iOS-Schwachstellen zu finden. Wie hat es sich angefühlt, als es wirklich so weit war und Sie etwas hatten, gegen das eine Milliarde Geräte schutzlos sind?
Silvanovich: Ehrlich gesagt war ich ziemlich aufgeregt. Auch weil ich wusste, dass sich die monatelange Arbeit gelohnt hat.
SPIEGEL ONLINE: Haben Sie je zusammengerechnet, wie viel die mehr als 1600 von Project Zero entdeckten Sicherheitslücken auf dem entsprechenden Markt wert gewesen wären?
Hawkes: Nein, und das wäre auch schwierig. Aber wenn man die Preisliste zum Beispiel von Zerodium heranziehen würde, dann wäre es eine substanzielle Summe.
SPIEGEL ONLINE: Wäre die eine geeignete Maßeinheit, um zu sagen, ob Project Zero erfolgreich ist?
Hawkes: Nein, denn der Preis hinge auch von der Nachfrage ab. Ein vergleichsweise einfach herzustellender Exploit kann viel Geld wert sein, wenn die Nachfrage hoch ist. Aber ein Entdecker kann ebenso gut sehr viel Arbeit in einen Exploit stecken und dann Probleme haben, einen Käufer zu finden - weil der die entsprechende Fähigkeit schon hat, oder weil er schlicht keinen Bedarf für diesen speziellen Angriff hat. Wir schauen deshalb lieber darauf, ob es für uns selbst schwieriger und zeitaufwendiger wird, neue Schwachstellen zu finden.
SPIEGEL ONLINE: Wie wichtig ist die Arbeit von Project Zero für normale Internetnutzer? Zero-Days werden doch zumeist verwendet, um einzelne, für den Angreifer besonders interessante Ziele anzugreifen.
Hawkes: Stimmt. Wir können nicht sagen, ob ein Zero-Day-Exploit benutzt werden würde, um Tausende oder Hunderttausende Menschen anzugreifen. Aber wir wissen, dass die Auswirkungen auf die Gesellschaft, auf Unternehmen oder andere Organisationen über die einzelnen Opfer hinausgehen.
SPIEGEL ONLINE: Wenn zum Beispiel Dissidenten oder Journalisten damit ausspioniert werden?
Hawkes: Ja.
Silvanovich: Meine iMessage-Schwachstelle würde wahrscheinlich nur gegen wichtige Ziele eingesetzt werden. Aber zu der Zeit, als ich mir Adobe Flash näher angeschaut habe, gab es da sehr viele Fehler - und manche wurden tatsächlich ausgenutzt, für Kreditkartenbetrug gegen normale Nutzer etwa.
SPIEGEL ONLINE: Würden Sie sagen, dass einige der weltbesten Hacker für Project Zero arbeiten?
Hawkes: Das würde ich so sagen.
SPIEGEL ONLINE: Für wen arbeiten die anderen weltbesten Hacker? NSA, NSO oder vielleicht GRU?
Hawkes: Schwer zu sagen. Wir müssen vieles können: neue Methoden entwickeln, wie man Schwachstellen findet, wie man dann am besten darauf reagiert, wie man sie kommuniziert. Das sind sehr spezielle, aber breit gefächerte Anforderungen. Wer hingegen für offensiv arbeitende Firmen arbeitet, ist in der Regel spezialisiert auf eine Sache. Was die reine Kreativität angeht: Die findet man durchaus auch bei Angreifern.
SPIEGEL ONLINE: Welche Art von Angreifer meinen Sie?
Hawkes: Jeder, der Geheimnisse in Erfahrung bringen will. Das können staatliche Akteure sein oder auch Kriminelle.
SPIEGEL ONLINE: Von den mehr als 1600 Schwachstellen, die Project Zero bisher entdeckt hat, betreffen nur 131 direkt Google-Produkte wie Chrome. Sagen Ihnen die anderen Hersteller, deren Produkte Sie ständig hacken, eigentlich nie, dass Sie erst mal vor der eigenen Haustür kehren sollten?
Hawkes: Anfangs mussten die Unternehmen erst noch lernen, wer wir sind und was unser Ziel ist. Da gab es eine gewisse Skepsis, ob wir das alles aus gutem Grund machen. Mittlerweile wissen die meisten: Es geht uns nicht darum, andere Hersteller bloßzustellen, sondern darum, ihnen zu helfen, ihr Sicherheitsniveau zu erhöhen. Manchen ist das leichtgefallen, andere haben länger gebraucht.
