Angriff aus China zielte auf Googles Passwort-System
Von Bernd Kling am 20. April 2010
Die Hacker holten sich Software-Quellcode, der zu Googles „Kronjuwelen“ zählt
Google machte die Angriffe öffentlich und zog sich teilweise aus China zurück, beendete damit zugleich die problematische Zensur der eigenen Suchmaschine in China. Das Ziel des Angriffs aber wollte Google bis heute nicht nennen. Die New York Times nannte es jetzt unter Berufung auf „eine Person, die über eine unmittelbare Kenntnis der Untersuchung verfügt“. Gesicherte Informationen also, auch wenn dazu kein Name veröffentlicht werden durfte.
Das Ziel der Attacke im vergangenen Dezember war demnach ein Programm namens Gaia, so benannt nach der griechischen Göttin der Erde. Öffentlich beschrieben wurde es ein einziges Mal während einer technischen Konferenz vor vier Jahren. Es macht dem Benutzer die Einmalanmeldung (Single Sign-on) möglich, er muss sich also an seinem Arbeitsplatz nur einmal anmelden, um auf alle Rechner und Dienste zugreifen zu können, für die er berechtigt ist. Google setzt es für Google Mail, Google Docs und zahlreichere weitere Dienste ein.
Der Bericht nennt Details zum erfolgreichen Angriff. Er begann demnach mit einer Instant Message an einen Google-Mitarbeiter in China, der ein Messenger-Programm von Microsoft einsetzte. Durch einen Klick und die Verbindung zu einer präparierten Website ermöglichte dieser den Angreifern ungewollt Zugriff auf seinen PC und darüber hinaus zu den Rechnern einer Gruppe von Software-Entwicklern in der Google-Zentrale im kalifornischen Mountain View. Über sie erlangten sie letztendlich Zugriff auf ein Software-Repository, das die Entwickler für ihre Arbeit nutzten.
Den Angreifern gelang es, den Quellcode auf Server von Rackspace zu überspielen, einen texanischen Anbieter von Webhosting-Diensten – und von dort weiter zu einem unbekannten Ziel. Sie konnten außerdem auf einen internen Verzeichnisdienst Googles zugreifen, der als Moma bekannt ist und Informationen über die Arbeitsaktivitäten aller Mitarbeiter Googles bereitstellt.
Der internen Untersuchung zufolge wurden keine Passwörter von Gmail-Nutzern entwendet. Weitere Folgen seien durch rasche Änderungen in der Netzwerksicherheit verhindert worden. Stunden nach dem Eindringen kündigte Google an, eine neue Verschlüsselungsebene für den Gmail-Dienst zu aktivieren und die Datenzentren noch stärker abzuschotten.
Durch den entwendeten Quellcode könnten die Eindringlinge jedoch unter Umständen Schwachstellen ausfindig machen und für ihre Zwecke nutzen, geben unabhängige Sicherheitsexperten zu bedenken. Die neuen Details eröffnen erneut die Debatte über Sicherheit und Privatsphäre im Cloud Computing.
Screenshot: Google Mail
