So arbeiten Googles interne Hacker

2. Februar 2023 um 13:25
  • security
  • google
  • datenschutz
image
Googles Chef-Hacker arbeitet seit 7 Jahren in Zürich. Foto: Thomas Schwendener

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

2012 erhielten einige Google-Jubilare ein Geschenk per Post: Eine Plasmalampe des Konzerns, die per USB-Kabel Strom bezieht und dafür an einen Computer angehängt wird. Der PC erkannte das Gerät aber nicht als Gimmick, sondern als Tastatur. Diese wiederum gab im Bruchteil einer Sekunde einen Befehl an den Computer und schloss das Kommando-Fenster sofort wieder. Angreifer hatten einen Microchip in die Plasmalampe eingebaut und nun einen Fuss im System. Sie wollten sich nach internen Dokumenten zu Google Glass umsehen – damals die heisse Neuigkeit des Tech-Konzerns.
Hinter dem Hack steckten aber keine Industrie-Spione, sondern Daniel Fabian und sein Team, eine 2010 gegründete Google-Gruppe, die die Systeme des Techkonzerns angreift. Heute wurden Medien eingeladen, um ihnen deren Arbeit vorzustellen: Fabian sitzt im olivgrünen Hoodie in einem Büro an der Europa-Allee in Zürich, sein Laptop ist mit Stickern übersät. Der langjährige Security-Spezialist nennt sich selbst Digital Arsonist – digitaler Brandstifter.
Im Fall der Plasmalampe nutzte sein Team weitere Einfallsvektoren und wurde schliesslich tatsächlich fündig, erkärt er. Die internen Hacker konnten die Unterlagen zu Google Glas herunterladen. Nach dem Hack entwickelte der Konzern eine Software, die erkennt, wenn Tastaturanschläge schneller sind, als ein Mensch schreiben kann. Der Plasma-Angriff wäre damit in seiner ersten Phase erstickt worden.

Die Grenzen des guten Hackings

Es ist eine nette Erfolgsgeschichte, die Fabian erzählt, die allerdings schon über 10 Jahre zurückliegt. Ansonsten zeigt er sich zu Red-Team-Hacks zurückhaltend, auch die Grösse seiner Gruppe will er nicht preisgeben. Man zähle Teams in Zürich, New York und in Sunnyvale in Kalifornien dazu, die alle eigenen Aktionen durchführen könnten, erklärt er bloss. Der Red-Team-Leiter arbeitet seit über 7 Jahren in Zürich an der offensiven Security von Google. Einem Presseprecher ist das Red Team aber bis vor kurzem unbekannt gewesen, sagt dieser am Event.
Fabians Team hat nämlich eine besondere Stellung im Konzern, schliesslich muss es nicht nur die Systeme, sondern auch die eigenen Kollegen überlisten. Dazu setzen die konzerninternen Hacker auch auf Social Engineering, Phishing oder eben mal auf ein physisches Jubiläums-Geschenk. Der Umfang der Attacken sei gross, sagt Fabian, aber die Angriffe würden minutiös protokolliert und folgten klaren Regeln. So dürfen keine Systeme beschädigt oder offline genommen werden, Kundendaten und -konten sind tabu und auch physische Angriffe führt das Team nicht durch.
Ursprünglich wurde der Begriff Red Team vom US-Militär geprägt und umschrieb Elite-Gruppen, die versuchten in Militärbasen einzubrechen, um deren Sicherheit zu testen. Heute nutzt man ihn vor allem in der IT-Security. In ihren Feldversuchen spielt das Team Szenarien von staatlich organisierten Hackern über kriminelle Banden bis zu internen Angreifern durch. Je nach Gefährlichkeit ihrer Entdeckung werden die Befunde umgehend an die Betroffenen gemeldet. Das sei auch ein Nachteil, sagt Fabian, so erfahre man nicht, ob man bei Google die Angriffe erkannt hätte.

Der gute Hacker von Google

In einer besonderen Variante, dem Red-Cell-Angriff, konzentrieren sich die Google-Hacker auf bestimmte Akteure. Von der hausinternen Threat Intelligence wissen sie, welche Gruppen den Konzern mit welchen Tools angreifen könnten. Die Angriffe werden dann simuliert, zum Teil werden Tools nachgebaut, über Monate versuchen Fabian und sein Team ins System einzudringen. Das Blue Team, also die Verteidiger, behandeln diese Angriffe wie einen echten Hack, versuchen die "Roten" aus dem Netzwerk zu kicken und Lücken zu schliessen.
In der dritten Methode kommen schliesslich sogenannte Orange Teams zum Einsatz. Dabei kriegen Google-Mitarbeitende aus verschiedenen Abteilungen einen "Mentor" zur Seite gestellt, während sie versuchen, Systeme zu kapern. Dies werde vor allem mit neuen Beschäftigten gemacht, um zu sehen, wie schnell man Googles System kennt. Denn Fabian, der schon 2009 als IT-Security-Ingenieur beim Unternehmen anheuerte, kennt dieses in- und auswendig.
Findet sein Team Lücken, werden diese geschlossen. Systeme von anderen Herstellern seien tabu, sagt Fabian. Da aber Google auch viele Open-Source-Komponenten einsetze, hätten schon verschiedentlich andere Organisationen aus den Forschungen seines Teams Nutzen gezogen. Google-Kunden könnten ebenfalls profitieren, da zahlreiche Lücken geschlossen und Massnahmen ergriffen werden konnten, so der Red-Team-Leiter. Er soll schliesslich dafür sorgen, dass die vielen Daten des Big-Data-Konzerns in Googles Händen bleiben.

Loading

Mehr erfahren

Mehr zum Thema

image

Microsoft krebst zurück und macht Recall freiwillig

Die Kritik war offensichtlich zu stark: Microsoft schaltet das Screenshot-Feature Recall standardmässig aus.

publiziert am 10.6.2024
image

Amherd: "Es gibt ein Interesse, die Konferenz zu sabotieren"

Die Ukraine-Konferenz macht die Schweiz zu einer Zielscheibe für Cyberangriffe, was aber nicht anders zu erwarten war.

publiziert am 10.6.2024
image

Apple tüftelt an eigenem Passwort­manager

Angeblich will Apple diese Woche eine eigene App zum Speichern von Kennwörtern lancieren. Sie soll Teil der wichtigsten Betriebssysteme des Konzerns werden.

publiziert am 10.6.2024
image

Quellcode von New York Times gestohlen

Im Januar wurden der Zeitung interne Daten aus Github-Repositories gestohlen. Darunter befand sich auch der Quellcode, der jetzt geleakt wurde.

publiziert am 10.6.2024