Abo
  • Services:
Anzeige
Unter dem Namen Projekt Hacienda suchen Geheimdienste weltweit nach Schwachstellen in Endgeräten.
Unter dem Namen Projekt Hacienda suchen Geheimdienste weltweit nach Schwachstellen in Endgeräten. (Bild: NSA/GCHQ/Heise)

Operation Hacienda: Die Botnets der Geheimdienste

Die NSA und das GCHQ gehen nicht gezielt gegen Gegner vor, vielmehr scannen sie mit ihrem Programm Hacienda das gesamte Netz, um über Schwachstellen sogenannte Operational Relay Boxes (ORB) einzurichten. Diese sollen den Datenverkehr der Geheimdienste verschleiern.

Anzeige

Es erinnert an den Aufbau eines Botnet: Unter dem Namen Operation Hacienda scannen die Datensammler von der NSA, dem britischen GCHQ und dem Communication Security Establishment (CSEC) das gesamte Internet nach Schwachstellen in Servern, Routern und anderen Endgeräten. Dabei führen die Geheimdienste offenbar Portscans ganzer Länder aus - 27 Länder seien bereits vollständig ausgewertet, heißt es in den Dokumenten von 2009, die Heise vorliegen.

Dabei gehen die Geheimdienstmitarbeiter genauso vor wie die Datendiebe: Zunächst wird ein Endgerät ausgespäht. Dann folgt die Kompromittierung über eine mögliche Schwachstelle gefolgt von der Übernahme eines Systems. Schließlich werden dort gefundene Daten abgeschöpft. So gingen die Geheimdienste etwa gegen die belgische Telefongesellschaft Belgacom vor oder starteten einen missglückten Angriff auf Router in Syrien, mit dem sie letztendlich das Land vom Internet trennten.

Ein Netz aus ORBs

Über die gefundenen Schwachstellen werden auf kompromittierten Endgeräten sogenannte Operational Relay Boxes (ORB) eingerichtet. Diese dienen unter anderem dazu, den Datenverkehr der Geheimdienste zu verschleiern. Die ORBs werden dann als Basis für weitere Operationen genutzt. Aus den Dokumenten geht hervor, dass der kanadische Geheimdienst CSEC die ORBs unter dem Namen Landmark verwaltete. Mehrmals im Jahr wird das Internet nach weiteren ORBs gescannt.

Im Februar 2010 hatten 24 kanadische Geheimdienstmitarbeiter nach eigenen Angaben an einem Tag 3.000 solcher potentieller ORBs ausfindig gemacht. Unter dem Namen Olympia ist die Suche nach ORBs inzwischen automatisiert. In den Dokumenten wird geschildert, dass der kanadische Geheimdienst verwundbare Endgeräte innerhalb eines Subnetzes binnen fünf Minuten ausfindig machen könne.

Automatisierte Suche nach Schwachstellen

Der britische GCHQ sucht ebenfalls nach potentiellen ORBs. Das Programm läuft unter dem Namen Mugshot und soll im Vergleich zu Olympia durch die Kombination von aktiven und passiven Scans ein besseres Ergebnis liefern als sein kanadisches Pendant. Die Mitglieder der Five-Eyes können Informationen zu entdeckten ORBs nach Land oder Subnetz von den entsprechenden Geheimdiensten per E-Mail erfragen.

Die Geheimdienstmitarbeiter überprüfen die gängigen Ports wie HTTP, FTP, SSH oder SNMP (Simple Network Management Protocol) nach Schwachstellen und Fehlkonfigurationen großflächig. Aus den bei Heise veröffentlichten Folien geht hervor, dass sie zumindest 2009 dafür gängige Werkzeuge wie Nmap verwendeten, was den Kryptoexperten Matthew Green zu einem süffisanten Kommentar auf Twitter veranlasste. Denn inzwischen gibt es dafür ausgefeiltere Werkzeuge wie Zmap, die allerdings rechtlich nicht unumstritten sind. Nach eigenen Angaben wurde der Datenexperte H. D. Moore von Behörden in den USA unter Druck gesetzt, als er mehrere Projekte initiierte, die Schwachstellen im Internet mit Portscans suchten.

Verschleiertes Portknocking soll helfen

Die Geheimdienste sammeln dabei auch Informationen von Server-Bannern oder scannen HTTP-Verbindungen nach XFF-Header, die durch ein Proxy geleitete IP-Adressen identifizieren können. Nach Möglichkeit werden von ausgewählten Servern gesamte Profile angelegt, etwa über das installierte Betriebssystem, den genutzten Browser oder die Patch-Historie.

Vor dem Hintergrund der Veröffentlichung der aktuellen Dokumente stellten Julian Kirsch und Christian Grothoff von der TU München sowie Jacob Appelbaum und Holger Kenn die Abwehrmaßnahme TCP-Stealth gegen Portscans vor. Eine Möglichkeit, den Scan nach offenen Ports zu blockieren, ist das sogenannte Portknocking. Dabei geht eine Anfrage auf einen möglicherweise offenen Port mit einem Klopfzeichen voraus. Ohne das Klopfzeichen erhält ein potentieller Angreifer keine TCP-Verbindung und kann den Port daher auch nicht angreifen. Solche Klopfzeichen lassen sich aber durch Man-in-the-Middle-Angriffe aus dem TCP-Datenverkehr auslesen. Mit TCP-Stealth wird das Portknocking zusätzlich verschleiert. Die Erweiterung ist bereits bei der Internet Engineering Task Force (IETF) als Draft eingereicht worden.


eye home zur Startseite
AllDayPiano 18. Aug 2014

Steht auf, geht auf die Straße! Zeigt die Banner, zeigt euren Protest! Dann seid ihr...

xerox 18. Aug 2014

Natürlich gehen die vor wie Datendiebe.. Sie sind ja schließlich nichts anderes.

rurblog 17. Aug 2014

Interessant weitergedacht. Aber umso erschreckender im Ergebnis!



Anzeige

Stellenmarkt
  1. Bosch Software Innovations GmbH, Berlin
  2. com-partment GmbH, Maintal
  3. ZF Friedrichshafen AG, Passau
  4. Unitymedia GmbH, Köln


Anzeige
Spiele-Angebote
  1. 59,99€
  2. 349,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Altiscale

    SAP kauft US-Startup für 125 Millionen US-Dollar

  2. Stiftung Warentest

    Mailbox und Posteo gewinnen Mailprovidertest

  3. Ausrüster

    Kein 5G-Supermobilfunk ohne Glasfasernetz

  4. SpaceX

    Warum Elon Musks Marsplan keine Science-Fiction ist

  5. Blau

    Prepaid-Kunden bekommen deutlich mehr Datenvolumen

  6. Mobilfunk

    Blackberry entwickelt keine Smartphones mehr

  7. Nvidia und Tomtom

    Besseres Cloud-Kartenmaterial für autonome Fahrzeuge

  8. Xavier

    Nvidias nächster Tegra soll extrem effizient sein

  9. 5G

    Ausrüster schweigen zu Dobrindts Supernetz-Ankündigung

  10. Techbold

    Gaming-PC nach Spiel, Auflösung und Framerate auswählen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Canon vs. Nikon: Superzoomer für unter 250 Euro
Canon vs. Nikon
Superzoomer für unter 250 Euro
  1. Snap Spectacles Snapchat stellt Sonnenbrille mit Kamera vor
  2. MacOS 10.12 Fujitsu warnt vor der Nutzung von Scansnap unter Sierra
  3. Bildbearbeitungs-App Prisma offiziell für Android erhältlich

DDoS: Das Internet of Things gefährdet das freie Netz
DDoS
Das Internet of Things gefährdet das freie Netz
  1. Hilfe von Google Brian Krebs' Blog ist nach DDoS-Angriff wieder erreichbar
  2. Picobrew Pico angesehen Ein Bierchen in Ehren ...
  3. Peak Smarte Lampe soll Nutzer zum Erfolg quatschen

MacOS 10.12 im Test: Sierra - Schreck mit System
MacOS 10.12 im Test
Sierra - Schreck mit System
  1. MacOS 10.12 Sierra fungiert als alleiniges Sicherheitsupdate für OS X
  2. MacOS Sierra und iOS 10 Apple schmeißt unsichere Krypto raus
  3. Kaspersky Neue Malware installiert Hintertüren auf Macs

  1. Re: Und Abzocktendenzen?

    Moe479 | 05:05

  2. Re: Hosted Exchange

    Moe479 | 05:02

  3. Re: Sind eigentlich die Linken...

    Pjörn | 03:49

  4. Re: Warum Elon Musks Marsplan doch Science...

    flauschi123 | 03:42

  5. Re: Fand solche Dienste eh etwas sinnlos

    grslbr | 03:37


  1. 19:10

  2. 18:10

  3. 16:36

  4. 15:04

  5. 14:38

  6. 14:31

  7. 14:14

  8. 13:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel