UPDATE : Schadsoftware-Verbreitung via Amateurfunk?
2024-04-01
In der heutigen, zunehmend miteinander vernetzten Welt, existiert eine Vielzahl an Möglichkeiten die eigenen Computersysteme -ungewollt- durch Schadsoftware zu kompromittieren. Dies betrifft dabei nicht nur unsere klassischen Computer, sonder mittlerweile auch alle daran angeschlossenen bzw. damit vernetzten Kommunikationssysteme und "intelligenten" Geräte.
Die Bandbreite der Schadsoftware reicht dabei vom klassischen Computervirus über "Trojanischen Pferde", die die eigenen Zugangsdaten ausspähen - oder auch gleich das ganze System entweder verschlüsseln um Geld zu erpressen oder schlicht und einfach löschen (sogenannte "Wiper") bis hin zu speziell entwickelter Software um ganze Industrieanlagen zu sabotieren.
Doch was hat dieses Thema jetzt speziell mit dem Amateurfunk zu tun?
Nun, auch im Shack hält der Computer mehr und mehr Einzug und das Interesse an den "Digimodes", den digitalen Betriebsarten, wächst kontinuierlich. Ebenso ist allgemein bekannt, dass mit zunehmender Verbreitung bzw. Nutzung eines bestimmten Dienstes, dieser immer auch für Personenkreise mit "nicht ganz so freundlichen Absichten" interessant wird. So ist es nicht mehr eine Frage des "ob" sondern vielmehr des "wann" bis auch wir Funkamateure uns mit diesen Themen auseinandersetzen werden müssen.
--- Update : 2024-04-02 ---
Die obenstehende und etwas nebulöse Andeutung, die am 1. April veröffentlicht wurde und im ersten Moment auch wie ein schlechter Aprilscherz klingt, ist leider … kein Aprilscherz.
Richard Osgood, ein amerikanischer Sicherheitsforscher und Teilzeit-Funkamateur, fragte sich nach eigenen Angaben auf seiner Homepage schon immer, welche Art von Sicherheitslücken in Amateurfunksoftware, die ja zum großen Teil von Hobbyisten selber geschrieben wird, so schlummern. Und so beschloss er im Jahr 2021 nach einer erfolgreich absolvierten Weiterbildung sein frisch erlerntes Know-How an einer der digitalen Betriebsarten, Packet Radio - speziell dem Automatic Packet Reporting System (APRS) mit dem Protokoll AX.25 - zu testen. Das Vorhaben wurde dabei von seinem Arbeitgeber, der Cybersicherheitsfirma Coalfire Systems unterstützt und anschließend in einer ausführlichen 5-teiligen Artikelserie in englischer Sprache auf deren Internetpräsenz veröffentlicht (Links: Teil 1, Teil 2, Teil 3, Teil 4, Teil 5). Ebenso wurde auf GitHub ein Repository mit dem Exploit zur Verfügung gestellt.
Kurze Zusammenfassung der Schwachstelle
Es wurde nach einer schon etwas älteren Software für APRS gesucht - verwendet wurde letztlich WinAPRS in der zuletzt veröffentlichten (und Stand 2024-03-31 immer noch aktuellen) Version 2.9.0. Im Anschluss gelang es der Software speziell präparierte Pakete unterzumogeln, die auf dem Zielsystem zu einen Speicherüberlauf (Buffer-Overflow) führten, und somit das Einschmuggeln einer minimalen Command-Shell ermöglichten - durch die das Zielsystem kompromittiert wurde.
Da moderne Betriebssysteme Vorkehrungen wie ASLR (Address Space Layour Randomization, die zufällige Zuweisung von Speicherbereichen) gegen diese Art von Buffer-Overflow-Angriffen besitzen, musste der Exploit zuerst auf einen Betriebssystem entwickelt werden, das diese Techniken nicht beherrscht - Microsoft Windows XP SP3. Nach dem erfolgreichen "Proof-Of-Concept" wurde versucht diesen Exploit auch auf einem zum damaligen Zeitpunkt topaktuellen Microsoft Windows 10 Enterprise nachzustellen, was letztendlich auch gelang - trotz betriebssystemseitigen Schutzmaßnahmen wie ASLR. Zwar nicht so verlässlich wie auf dem älteren Betriebssystem (der Exploit gelang unter Windows 10 nur in gut einem Drittel aller Versuche) und mit deutlich höherem Aufwand (pro Versuch rund 10 000 Pakete über einen Zeitraum von 2-3 Stunden) verbunden, aber dennoch möglich.
Die Schwachstelle wurde am 2. Juni 2022 in der CVE-Datenbank (Common Vulnerabilities and Exposures - zu deutsch: "Bekannte Schwachstellen und Anfälligkeiten" der amerikanischen Cybersicherheitsbehörde NIST unter der Nummer CVE-2022-24702 mit einem Schweregrad von 9.8 (kritisch) erfasst, erhielt aber auch einen Vermerk, dass es sich dabei um eine Software handelt, die von ihrem Autor nicht mehr weiterentwickelt wird.
Was ist das besondere an diesem Fall?
Hier gelang die Kompromittierung eines Computersystems durch einen neuen Angriffsvektor abseits des "klassischen Internets". Man kann zwar argumentieren das es im Grunde ein altbekanntes Software-Problem (Buffer-Overflow) ist das letztendlich zur Kompromittierung führte, trotzdem ist der Weg der Infektion via Amateurfunkdiensten / Packet Radio bzw. APRS neu.
Was können wir nun daraus für uns ableiten?
Software altert. Software ist nie fehlerfrei - das gilt für Betriebssysteme genauso wie für Anwendungen, insbesondere wenn es sich um Closed-Source-Software handelt und diese nicht mehr aktiv weiterentwickelt wird. Aber ebenso auch für Software, die von Hobbyisten wie uns geschrieben wird. Moderne Schutzkonzepte und -mechanismen wie ASLR und damit einhergehend auch Vorschriften, die heutzutage den Aufwand für die Programmierung erheblich steigern, aber auch die steten Hinweise aktuelle und - vor allem - aktiv weiterentwickelte bzw. gepflegte Software zu werwenden dienen in erster Linie unserem Schutz - und nicht der Gängelung des Benutzers wie es häufig fehlinterpretiert wird. - Vielleicht ist dies ja auch für den einen oder anderen der Anstoß, sich aktiv in die Weiterentwicklung solcher Softwareprojekte einzubringen.
Die Entwickler von WinAPRS raten inzwischen selbst von einem weiteren Einsatz der Software ab, da diese seit gut 10 Jahren nicht mehr weiterentwickelt wurde und auch keine Möglichkeit besteht diese zu aktualisieren - es existiert nach dieser Zeit schlicht kein notwendiges Build-System mehr, um die Software für aktuelle Betriebssysteme anzupassen. Der Nutzen würde in keiner Weise den dafür notwendigen Aufwand rechtfertigen, zumal es inzwischen neuere Programme mit einer ähnlichen Funktionalität gibt.
Redaktion FA / rk