Fact oder Fiction – ‚Patriot‘ gehackt oder nicht?
Die Geschichte läuft und läuft und läuft (und wird via E-Mail und Twitter unvermindert an mich herangetragen), deshalb komme ich wohl nicht drumrum, mal drauf einzusteigen: Deutsche Flugabwehrsysteme vom Typ Patriot sollen möglicherweise beim Einsatz in der Türkei, nahe der syrischen Grenze, gehackt worden sein – das legt ein Bericht des Behördenspiegel nahe. Bundeswehr und Verteidigungsministerium sagen, davon sei ihnen nichts bekannt. Und auch sonst sind keine weiteren Informationen dazu aufgetaucht.
Die komplette Passage dazu aus dem Behördenspiegel, Ausgabe Juli 2015:
Nach Recherchen des Behörden Spiegel sollen auch deutsche “Patriot”-Flugabwehrsysteme, die zum Schutz des NATO-Partners Türkei an der syrischen Grenze stehen, “unerklärliche” Befehle ausgeführt haben. Fremdeingriffe eben!
Das ist alles.
Was Verteidigungsministerium einerseits und der Chefredakteur des Blattes andererseits dazu zu sagen haben, haben die Kollegen von der Deutschen Welle sehr schön zusammengefasst.
Aber auch das recht eindeutige Dementi aus dem Ministerium ändert nichts, die Geschichte pflanzt sich fort.
Deshalb mal hier eine Frage in die Runde, neudeutsch crowdsourcing: Weiß irgendjemand mehr? Möglichst auch mehr als die wenigen kryptischen Sätze des Behördenspiegels?
Ich bin für jeden Hinweis dankbar, gerne anonym (ProTipp: von einem Computer, zu dem man keinerlei Beziehung hat, unter einem neuen Pseudonym einen Kommentar hier hinterlassen… Verschlüsselung würde übrigens nix nützen, weil es ja nicht primär um den Inhalt, sondern um die Metadaten geht).
Denn wenn die Story stimmt, müsste doch irgendjemand davon gehört haben?
(Archivbild Februar 2013: Bundeskanzlerin Angela Merkel besucht das deutsche ‚Patriot‘-Kontingent in der Türkei – Bundeswehr/ PIZ AF TUR)
Ich verweise mal auf zwei Tweets von der Dorothee Frank:
https://twitter.com/dorofrank/status/618744409165852672
https://twitter.com/dorofrank/status/618746858429677568
Naja, wo tauchte die nachricht das erstemal auf? rt.com sagt wohl einiges dazu aus oder?
Aus meiner Sicher ist es äußerst unwahrscheinlich das hier ein „Hack“ stattgefunden hat. Zum einen müsste man das Datenlink Protokoll nachbilden und zum anderen die Verschlüsselung überwinden. Diese wird täglich gewechselt.
So lange wie die Geräte nun schon im Einsatz sind würde es mich nicht wundern wenn die eine oder andere Komponente undefinierte Fehler erzeugt.
Und selbst wenn… , was würden denn für Daten abgegriffen werden? Echtzeit Luftlage, die bekommt man sicher auch einfacher.
Manchmal liest man schneller, als man denkt. Oder war es anders herum?
Ich jedenfalls war kurzzeitig auf dem Trip, dass der Hausherr im Auftrag einer beteiligten IT-Schmiede nach Antworten sucht:
;-)
Laut Bericht der Computerwoche wurde das System nicht im eigentlichen Sinne gehackt, sondern lediglich sabotiert. (Was nicht unbedingt besser ist)
Offenbar machen die Platinen nicht genau das, was sie sollen.
Daran würde auch eine Verschlüsselung nichts ändern, könnte ja sein dass der Zufallzahlengenerator im Prozessor schon manipuliert ist (Ich bezweifle zumindest mal, dass der Key als One-Time-Pad täglich eingespielt wird).
Sollte es zutreffen ist das auf jeden Fall eine doofe Situation. ;-)
Dabei aber kurz fassen… ;-)
https://netzpolitik.org/2014/how-to-analyze-everyone-teil-ix-woher-vielschichtige-perzeptronen-wissen-wer-hier-welche-texte-schreibt/
(Dabei ist auch zu bedenken, dass die Technik sich stetig weiterentwickelt und ein Beobachter eine Analyse auch zu einem zukünftigen Zeitpunkt mit besserer Technik wiederholen kann.)
Die Wahrscheinlichkeit einer erfolgreichen Joint Tactical Information Distribution System/Multifunctional Information Distribution System – Intrusion mittel J.-series Message-Manipulation nach Überwindung des Kryptoschlüssels des LINK 16 Time Division Multiple Access Net ist deutlich geringer als ein Auftreten sattsam bekannter Interoperabilitäten/Inkomptibilitäten aufgrund unterschiedlicher Implementierungen von J-messages auf der Byte-Ebene in den verschiedenen Komponenten eines multinationalen LINK 16 Verbundes. Ein solches System „hackt“ man nicht mal eben mit irgendeinem Computer über das Internet. Im Prinzip muß man einen LINK16 Access-Terminal „nachbauen“ oder „emulieren“ inklusive J-message Bibliothek und natürlich gültigem Krypto-Code…..
Und wenn ich das geschafft habe, dann werde ich das ganz bestimmt nicht so duselig testen, dass die NATO das mitbekommt.
@Crischan
Nö. Es sei denn, es hätte bei rt.com eher gestanden als beim Behördenspiegel.
Um sich von außen reinzuhacken wäre eine Anbindung an ein offenes System notwendig und das gibt es nicht – im Gegensatz zum Bundestag. SSI bedeutet wiederum einfach nur Sensor-Shooter-Interoperability, also Verbindung von Radar, Launcher, Feuerleitstand und eventuell Kampfführungsanlage. Alles dies sind Patriot-Systeme. SSI bedeutet nicht zwangsläufig eine Anbindung ins Web oder sonstige offene Ports. Es soll die Anbindung an FüInfoSys eines Tages erleichtern, bedingt es aber nicht.
Ein Hack von außen wäre – rein theoretisch – auch über einen gefunkten Befehl möglich. Rein theoretisch deshalb, weil die militärischen Anlagen weiträumig genug abgeschirmt sind. Allein schon um Abhörmaßnahmen zu verhindern.
Die Theorie, dass der Chip involviert ist, wäre auch wieder nur rein theoretisch möglich. Denn dafür müßte ein zeitlich terminierter Befehl (also führe am Tag X um Uhrzeit Y Aktion Z aus) vorprogrammiert sein. So funktionierte Stuxnet.
Und das war alles noch der einfache Teil, denn für einen erfolgreichen Hack müsste die Kryptierung geknackt werden und ein erfolgreicher Schlüssel erzeugt.
Also haben wir hier sehr unwahrscheinliche Übertragungswege der durch den Hacker eingegeben Befehle plus das fast unmögliche Knacken der Kryptierung. Ich hätte die Story zwar ebenfalls richtig toll gefunden, weil sie so schön zu meinen ständig runtergebeteten IT-Sicherheitsvorkehrungen paßt, aber die Patriot sind noch nicht modernisiert, haben zu wenig Schnittstellen und Ports, das Knacken der Kryptierung ist ebenfalls kein Zuckerschlecken, dann müßte noch der Befehl durch den Hacker gesendet werden (über welche Leitung eigentlich?). Nee, ich glaube das nicht. Und wahrscheinlich war das BMVg auch ehrlich erstaunt, dass diese Idee überhaupt hochkam.
Was ich glauben kann sind Softwarefehler oder fehlende Interoperabilität zwischen teilaktualisierten Systemen. Gibt es häufiger, gerade wenn so alte Schätzchen involviert sind, bei denen die Hardware dann kaum noch die Software tragen kann. Und die Modernisierung der deutschen Patriot begann erst 2014.
Es ist auch bezeichnend, dass keine einzige IT-Sicherheitsfirma (wie Kaspersky, Symantec, Intel Security, um paar Große zu nennen) auf diese Story angesprungen ist. Der IT-Experte Robert Jonathan Schifreen sagte übrigens gegenüber RT.com fast dasselbe: “These systems are not linked to public networks, they require special codes to fire the missile, which only a certain number of people have, and you generally need the code from two or three people to fire it, or to do anything that is of significance,” Schifreen said. “I don’t think it’s actually happened, which is not to say that some of these systems are not hackable in some way. It is possible in some way perhaps to detect the presence of it, but anything more than that is going to take some serious skills.”
Im übrigen, entweder führt ein System „unerklärliche“ Befehle aus oder es führt „fremdgesteuerte“ Befehle aus. Das erste ist – wie der Name schon sagt – unerklärlich (meistens ein Bug) und das zweite ein Hack.
Der Autor in der Speerspitze des deutschen, investigativen Journalismus, dem Behörden Spiegel, ist Dr. Gerd Portugall. Er ist seit zwei Jahren beim BS, nachdem er, und das finde ich interessant, mehrere Jahre beim Sozialwissenschaftlichen Institut der Bw in Strausberg in Lohn und Brot stand. Kommt eher von der sicherheitspolitischen Schiene, der Mann. Ob man beim Erarbeiten von Studien zur Beliebtheit der Truppe in der Bevölkerung und als Arbeitgeber so enge Kontakte zur FlaRak knüpfen kann, lass ich jetzt mal offen. Ne Quelle hätte dem Beitrag jedenfalls gut getan.
Doch auch so erreicht man, wie man sieht, ja genügend Aufmerksamkeit in diesen Tagen.
@ D. Frank
Danke erstmal für die fundierte Analyse, ebenfalls an @ Klabautermann !!! TOP !!!
„Die Theorie, dass der Chip involviert ist, wäre auch wieder nur rein theoretisch möglich. Denn dafür müßte ein zeitlich terminierter Befehl (also führe am Tag X um Uhrzeit Y Aktion Z aus) vorprogrammiert sein. So funktionierte Stuxnet.“
Wenn dies möglich wäre, hätte man es mit einer extremen Gefahr zu tun, ferner der Analyse welcher Profidienst dahinter stecken könnte ! Das machen nicht die Experten vom Chaos-Computer-Club mal eben so …
Zumindest müsste man mal quer und fachlich tief und fundiert gedacht in die vitalen Systeme der Bw hinein ! Ich denke diese zu identifizieren wäre der erste Schock für unsere Führung in ihrer Erdbeerwelt …
Insgesamt sehr fragwürdig.
Die Systeme stehen da für eine ATBM (Anti-Tactical Ballistical Missile)-Aufgabe. Die führt man regelmäßig im autonomen und automatischen Modus aus, sprich normalerweise wird vom System vor Ort und voll automatisch die Bekämpfung eingeleitet (wäre halt die Frage, ob das angesichts der aktuellen Bedrohungslage so eingestellt ist).
Die Startgeräte werden bei Patriot vorzugsweise per Kabel angebunden, auch wenn die Alternative per Funk besteht.
@Hunter:
Er erhält so immerhin Publicity… ist ja nie verkehrt…
@SER Damit der Befehl wirksam ist, müsste allerdings der Angreifer genau über das zu dem Zeitpunkt genutzte Programm Bescheid wissen. Um beim Beispiel Stuxnet zu bleiben, das zu verändernde SCADA-System war den Angreifern bekannt, sie hatten den Code gelesen, verstanden und wussten, welcher Befehl welche Reaktion hervorruft. Das Gewünschte konnten sie nur dadurch in mehreren hundert Zeilen Code schreiben. Aber selbst bei einem so weit verbreiteten und einfachen System wie SCADA gehen die Experten von mindestens zwei Jahren Entwicklungszeit für Stuxnet aus. Mit einer umfassenden Software-Aktualisierung des Systems kann zudem das ganze schöne Geschreibsel auf dem Chip schon unwirksam werden.
Dann das Problem der zeitlichen Terminierung. Nehmen wir an die Chinesen hätten tatsächlich den Patriot-Systemcode neuester Generation analysiert und entsprechende Befehle unbemerkt auf den Chip gebracht, was sagt man der Malware, wann sie aktiv werden soll? Geht sie zu früh los, dann kann die angegriffene Nation es reparieren oder sich was Neues kaufen. Zu spät wäre auch schlecht.
Deshalb halte ich es für eine rein theoretische Gefahr ohne praktischen Wert, zumindest auf Chips. Stuxnet wurde z.B. über ein Update eingespeist, das ist schon vielversprechender.
Nur unmöglich ist die unentdeckte Hinterlegung von Angriffscode auf Chips natürlich nicht. Aber eigentlich wäre bei militärischen Systemen nur ein gesendeter Befehl wirklich sinnvoll. Da hierfür eine große Kenntnis der Programme, der Schlüsselerzeugung für die Kryptierung, den möglichen Verbindungen sowie der Art des Verbindungsaufbaus notwendig ist – und damit meine ich, dass alle Code-Zeilen gelesen und verstanden wurden – sind hierzu allerhöchstens die Amerikaner in der Lage. Die könnten dann auch von innerhalb des Systems den Stör-Befehl senden. Da wir in der Türkei allerdings deren Verbündete sind, werden die sicher nicht unsere Patriot sabotieren.
D.Frank hat m.E. alles geschrieben, was es dazu zu sagen gäbe. Hier läst sich über Spekulationen hinaus derzeit nicht seriös diskutieren..
@D.Frank
Volle Zustimmung. Das IT-Amt hatte schon vor Jahren sehr viel Geld und Expertise auf das Problem der Inkompatibilitäten von J-message-Implementierungen bei LINK 16 Terminals unterschiedlicher Provider „verschwendet“. Das Problem wurde in der Praxis bei AD- Übungen US-amerikanischer, türkischer, dänischer, deutscher etc Einheiten „entdeckt“:
z.Bsp. sendet eine Einheit einen Radar-Kontakt mit allen seinen Daten als J-message-Paket „kodiert“ ins LINK 16 Netz und dieses Paket wird vom LINK 16 Terminal einer anderen Einheit nicht 1:1 „dekodiert“. So kann aus einem „friendly“ u.U. ein „neutral“ oder gar „hostile“ werden oder die Kurs-Daten sind mal eben um 180″ verändert….die Ursachen für dieses Phänomen sind mittlerweile erkannt (nicht 100% identische Software-Implementierungen der J-Messages auf verschiedenen Systemen), eine Lösung wird es kaum geben, denn dann müssten die verschiedenen Hersteller von LINK 16 Systemen sich auf eine bis auf die bit&bytes-Ebene.identische Implentierung verständigen, denn die J-message-STANAG/MilSpec reicht nicht bis auf diese b&b-Ebene runter. Und selbst wenn das gelingt, dann ist der Bug-Risiko zwar kleiner, aber immer noch nicht Null.
Dieses Phänomen kann eben zu „unerklärlichen Befehlen“ führen, und dann kommt es eben auf die Erfahrung der „Operatöre“ in der Zusammenarbeit mit anderen LINK-16 Einheiten an. Software Sucks…….
Werter Klabautermann,
Interoperabilität und Kongruenz der Datei- und Protokollformate sind m.W. nach schon seit Jahren kein wirkliches Problem mehr.
Interessant für alle zu lesen, die nicht in der Materie stecken:
http://www.northropgrumman.com/Capabilities/DataLinkProcessingAndManagement/Documents/Understanding_Voice+Data_Link_Networking.pdf
Probleme sind zumeist durch technische Defekte und handwerkliche Fehler verursacht.
@Hans Schommer
na, dann ist ja alles klar: einfach northropgrunman-alltheway einkaufen ;-)
@ D. Frank
Vielen Dank für Ihre Ausführungen und beste Grüße bitte auch an Ihren Vater.
Wir haben uns in der Rosenburg getroffen … ist schon lange her ;-))
Achtung hochspekulativ!
Wäre es völlig abwegig, dass der amerkanische Hersteller dieses Systems im Auftrag nationaler Geheimdienste (z..B. NSA) das System so entworfen hat, dass bei Kenntnis entsprechender Hintertüren das System von externer Seite her ausspioniert und ggf. auch manipuliert werden kann. Da offenbar Herr Snowden sehr viele Informationen aus den Datenbanken der NSA extrahiert hat, könnten ggf. auch solche Informationen dabei gewesen sein. Nachdem Herr Snowden sich nun schon etliche Zeit in Russland aufhält, wäre es natürlich nicht unmöglich, dass diese Zugriff auf derartige Informationen haben könnten. Da Russland bekanntermaßen dem originären Grund für das deutsche Engagement dort unten nahe steht, wäre der direkte oder indirekte Versuch der (versuchsweisen) Anwendung solchen Wissens, möglicherweise nicht gänzlich von der Hand zu weisen.
Ja, die trap doors … betrifft auch die Chips aus China.
Na gut, dass wir bei autonomen Waffensystemen nicht so weit sind. Man stelle sich vor die RoboCops drehen durch, weil sie buggy sind ….
Bei allen diesen hochspekulativen Ausführungen werden meiner Ansicht nach allerdings zwei Punkte vergessen: Der Übertragungsweg und der Aufwand.
Zum Übertragungsweg: Auch Computerbefehle fliegen nicht einfach so durch die Luft. Da die Patriot weder WLAN noch Bluetooth oder einen DSL-Anschluss besitzen, müsste es über Funk übertragen werden. Wenn überhaupt dann bei dieser Version als Link 16 Fake. Link 16 baut sich aber nicht einfach mal so auf wie WLAN und schon gar nicht unbemerkt. Also ist die Übertragung eines Befehls – egal ob von russischen, chinesischen oder sonstigen Hackern – schon mal ausgeschlossen. Es bliebe wie gesagt nur die theoretische Möglichkeit, dass eine zeitlich terminierte Malware bereits auf dem System war und dann selbstständig die Befehle ausführte, als Zeitpunkt X gekommen war.
Nun zum Aufwand. Um eine solche Malware zu entwickeln braucht es ein Team von 20 bis 100 Spezialisten, die für gutes Geld paar Jahre dran schreiben. Snowden ist dafür noch nicht lange genug in Russland, damit Spezialisten einerseits diese Computersprache beherrschen könnten und dann auch noch eine so hochentwickelte Malware entwickeln. Irgendwen bestochen, damit er ein paar Chemikalien an einer bestimmten Stelle ausgießt, hat einen besseren Effekt für wesentlich weniger Geld.
Ich schließe nicht aus, dass es theoretisch so hochentwickelte Malware geben könnte. Aber die hebe ich mir dann garantiert für den Notfall auf und verpulvere sie nicht bei einem eher unbedeutenden Einsatz.
@Heiko Kamann:
Danke! Und Gruß zurück von meinem Papa und mir! Ich erinnere mich auch noch gern an das Praktikum bei der BAKS damals, als ich die Page plus den Passwortschutz geschrieben habe :-)
@Klabautermann:
Ich habe auch schon von Diskrepanzen bei Link 16 gehört, schließe aber daneben einen rein internen Softwarefehler nicht aus. Es ist wirklich schade, dass man IT nicht sehen kann. Dann würden die Leute erkennen mit wie viel Tesafilm, Klebstoff und Farbe die unterschiedlichsten Elemente einfach mal irgendwie miteinander verbunden wurden. Da werden Codezeilen aus Waschmaschinen verbaut weil sie sich schön zur Überbrückung eignen, da es aber nicht in Gänze verstanden wurde bleibt dann halt der Wollwaschgang mit drin, sorgt in Einzelsituationen für Fehler und wird dann irgendwann gepatcht. Was nichts anderes heißt, als dass man etwas Tapete drüberklebt und hofft es hält alles zusammen. Vielleicht sollte man einigen Begriffen einfach mal erklärendere Namen geben. Das Wort „Bus“, der dann verschiedene Systeme miteinander verbindet, hört sich doch erst mal toll an. Wenn man statt dessen aber einfach je nach Nutzung das Wort „Klebeband“ oder „Google-Übersetzer“ nimmt, dann würde auch der Laie die Probleme erkennen.
Ich muss bei der heutigen IT immer an meinen Opa denken. Der konnte so ziemlich jedes elektrische System reparieren. Er werkelte zwei Stunden – fügte sehr viel Isolierband und manchmal auch Draht hinzu – und danach funktionierte es. Als er starb ging die Waschmaschine kaputt und der Reparateur nahm die Verkleidung ab, sah das Gewirr aus selbstgebasteltem, und sagte das rührt er nicht an. So ist es in der IT. Die alte Generation, die bei jedem System noch wusste, wofür sie wo Draht und Isolierband angebracht hat, verabschiedet sich langsam. Und nun kommt die nächste Generation, guckt sich den Code an, und kann das in Gänze gar nicht mehr verstehen. Bei einigen der Überbrückungsprogramme weiß man tatsächlich nicht genau, welche Codezeilen überhaupt die relevanten sind. Also bleiben vorsichtshalber mal alle drin, weil es klappt ja.
Es gibt meines Wissens nach keine Software, die von diesem Problem der „Bastler“ der 1. Generation ausgenommen wäre.
Um zum Thema zurück zu kommen. Ich wage zu behaupten, den mutmaßlichen Hack hat es nie gegeben. Den kann es nicht gegeben haben. In einer vernetzten Zukunft vielleicht, aber nicht heute mit den deutschen Versionen von Patriot.
@D. Frank
Sie kennen sich offensichtlich aus ;-)
LINK 11 und 16 waren ursprünglich analog-elektronische Datenübertragungs-Systeme, die man so „nach und nach“ weitgehend digitalisiert und auf software-driven „umgebastelt“ hat…die Evolution eines analog/digitalen Schnittstellen- und Verarbeitungs-/Anwendungs-Layer-Monsters. Ich gebe Ihnen recht, wenn Sie schreiben, dass es sich im Prinzip gar nicht lohnt diese Systeme zu hacken, die möglicherweise zu erzielenden Ergebnisse stehen in keinem Verhältnis zum Aufwand. Da ist es für einen militärischen Gegner viel einfacher mit brute force oder smart zu stören, wenn man diese Systeme ausschalten will. Vielleicht werden Computer Network Ops – vulgo „hacks“ – gegen LINKed-Systeme wahrscheinlicher wenn LINK eines Tages über TCP/IP läuft, aber so weit ist es noch nicht, der Trend ist allerdings da.
Danke für die profunden Erläuterungen! Mit etwas Gemeinheit könnte man auf der Suche nach dem Nutznießer dieser (aus IT-Perspektive offensichtlichen) Ente versucht sein zu konstatieren, dass der ursächliche Spin Doctor wohl einen Monat zu spät dran war, wann sein „Code“ im Behörden Spiegel aktiv werden sollte – die TLVS-Entscheidung ist ja schon durch, mit Nachsehen für PATRIOT. :-)
@Ex-Soldat:
Snowden hat seine Dokumente noch in Hongkong an Journalisten übergeben. Er hat versichert, dass er keine Kopien nach Moskau mitgenommen hat und bisher gibt es nichts belastbares, was auf das Gegenteil hindeuten würde.
Auch die amerikanische Regierung scheint da keine wirklich großen Sorgen gehabt zu haben, sonst hätte sie Snowden die Ausreise aus Moskau ermöglicht. Er wollte ja von Anfang an weiterreisen.
@Ex-Soldat
Ja, das ist wirklich hochspekulativ. Wozu hätte der Hersteller das System so entwerfen sollen? Im Auftrag eines eigenen Geheimdienstes? Wozu hätte man Ressourcen darauf verwenden sollen? Was sollte da zu gewinnen sein?
Nachtrag: Die Meldung ist mittlerweile von der Homepage des Behörden Spiegel verschwunden. Da sie aber bereits ein Eigenleben entwickelt hat wette ich, dass in zehn Jahren noch in irgendwelchen Artikeln oder bei Vorträgen auftaucht, die deutschen Patriot seien gehackt worden. Da nutzt es auch nichts, wenn der Verursacher sie von seinen eigenen Pages löscht.
http://www.behoerden-spiegel.de/icc/Internet/sub/b0f/b0f0e621-0a59-e412-604b-68307b988f2e,,,aaaaaaaa-aaaa-aaaa-bbbb-000000000003&uMen=1f75009d-e07d-f011-4e64-494f59a5fb42.htm
Was hält man nun davon?