Abo
  • Services:
Anzeige
Unter dem Namen Projekt Hacienda suchen Geheimdienste weltweit nach Schwachstellen in Endgeräten.
Unter dem Namen Projekt Hacienda suchen Geheimdienste weltweit nach Schwachstellen in Endgeräten. (Bild: NSA/GCHQ/Heise)

Operation Hacienda: Die Botnets der Geheimdienste

Die NSA und das GCHQ gehen nicht gezielt gegen Gegner vor, vielmehr scannen sie mit ihrem Programm Hacienda das gesamte Netz, um über Schwachstellen sogenannte Operational Relay Boxes (ORB) einzurichten. Diese sollen den Datenverkehr der Geheimdienste verschleiern.

Anzeige

Es erinnert an den Aufbau eines Botnet: Unter dem Namen Operation Hacienda scannen die Datensammler von der NSA, dem britischen GCHQ und dem Communication Security Establishment (CSEC) das gesamte Internet nach Schwachstellen in Servern, Routern und anderen Endgeräten. Dabei führen die Geheimdienste offenbar Portscans ganzer Länder aus - 27 Länder seien bereits vollständig ausgewertet, heißt es in den Dokumenten von 2009, die Heise vorliegen.

Dabei gehen die Geheimdienstmitarbeiter genauso vor wie die Datendiebe: Zunächst wird ein Endgerät ausgespäht. Dann folgt die Kompromittierung über eine mögliche Schwachstelle gefolgt von der Übernahme eines Systems. Schließlich werden dort gefundene Daten abgeschöpft. So gingen die Geheimdienste etwa gegen die belgische Telefongesellschaft Belgacom vor oder starteten einen missglückten Angriff auf Router in Syrien, mit dem sie letztendlich das Land vom Internet trennten.

Ein Netz aus ORBs

Über die gefundenen Schwachstellen werden auf kompromittierten Endgeräten sogenannte Operational Relay Boxes (ORB) eingerichtet. Diese dienen unter anderem dazu, den Datenverkehr der Geheimdienste zu verschleiern. Die ORBs werden dann als Basis für weitere Operationen genutzt. Aus den Dokumenten geht hervor, dass der kanadische Geheimdienst CSEC die ORBs unter dem Namen Landmark verwaltete. Mehrmals im Jahr wird das Internet nach weiteren ORBs gescannt.

Im Februar 2010 hatten 24 kanadische Geheimdienstmitarbeiter nach eigenen Angaben an einem Tag 3.000 solcher potentieller ORBs ausfindig gemacht. Unter dem Namen Olympia ist die Suche nach ORBs inzwischen automatisiert. In den Dokumenten wird geschildert, dass der kanadische Geheimdienst verwundbare Endgeräte innerhalb eines Subnetzes binnen fünf Minuten ausfindig machen könne.

Automatisierte Suche nach Schwachstellen

Der britische GCHQ sucht ebenfalls nach potentiellen ORBs. Das Programm läuft unter dem Namen Mugshot und soll im Vergleich zu Olympia durch die Kombination von aktiven und passiven Scans ein besseres Ergebnis liefern als sein kanadisches Pendant. Die Mitglieder der Five-Eyes können Informationen zu entdeckten ORBs nach Land oder Subnetz von den entsprechenden Geheimdiensten per E-Mail erfragen.

Die Geheimdienstmitarbeiter überprüfen die gängigen Ports wie HTTP, FTP, SSH oder SNMP (Simple Network Management Protocol) nach Schwachstellen und Fehlkonfigurationen großflächig. Aus den bei Heise veröffentlichten Folien geht hervor, dass sie zumindest 2009 dafür gängige Werkzeuge wie Nmap verwendeten, was den Kryptoexperten Matthew Green zu einem süffisanten Kommentar auf Twitter veranlasste. Denn inzwischen gibt es dafür ausgefeiltere Werkzeuge wie Zmap, die allerdings rechtlich nicht unumstritten sind. Nach eigenen Angaben wurde der Datenexperte H. D. Moore von Behörden in den USA unter Druck gesetzt, als er mehrere Projekte initiierte, die Schwachstellen im Internet mit Portscans suchten.

Verschleiertes Portknocking soll helfen

Die Geheimdienste sammeln dabei auch Informationen von Server-Bannern oder scannen HTTP-Verbindungen nach XFF-Header, die durch ein Proxy geleitete IP-Adressen identifizieren können. Nach Möglichkeit werden von ausgewählten Servern gesamte Profile angelegt, etwa über das installierte Betriebssystem, den genutzten Browser oder die Patch-Historie.

Vor dem Hintergrund der Veröffentlichung der aktuellen Dokumente stellten Julian Kirsch und Christian Grothoff von der TU München sowie Jacob Appelbaum und Holger Kenn die Abwehrmaßnahme TCP-Stealth gegen Portscans vor. Eine Möglichkeit, den Scan nach offenen Ports zu blockieren, ist das sogenannte Portknocking. Dabei geht eine Anfrage auf einen möglicherweise offenen Port mit einem Klopfzeichen voraus. Ohne das Klopfzeichen erhält ein potentieller Angreifer keine TCP-Verbindung und kann den Port daher auch nicht angreifen. Solche Klopfzeichen lassen sich aber durch Man-in-the-Middle-Angriffe aus dem TCP-Datenverkehr auslesen. Mit TCP-Stealth wird das Portknocking zusätzlich verschleiert. Die Erweiterung ist bereits bei der Internet Engineering Task Force (IETF) als Draft eingereicht worden.


eye home zur Startseite
AllDayPiano 18. Aug 2014

Steht auf, geht auf die Straße! Zeigt die Banner, zeigt euren Protest! Dann seid ihr...

xerox 18. Aug 2014

Natürlich gehen die vor wie Datendiebe.. Sie sind ja schließlich nichts anderes.

rurblog 17. Aug 2014

Interessant weitergedacht. Aber umso erschreckender im Ergebnis!



Anzeige

Stellenmarkt
  1. Volkswagen AG, Wolfsburg
  2. Busch Dienste GmbH, Maulburg
  3. Interhyp Gruppe, München
  4. Schaeffler Technologies AG & Co. KG, Herzogenaurach


Anzeige
Top-Angebote
  1. 49,97€
  2. 110,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Videocodec

    Für Netflix ist H.265 besser als VP9

  2. Weltraumforschung

    DFKI-Roboter soll auf dem Jupitermond Europa abtauchen

  3. World of Warcraft

    Sechste Erweiterung Legion ist online

  4. Ripper

    Geldautomaten-Malware gibt bis zu 40 Scheine aus

  5. Europäische Union

    Irlands Steuervorteile für Apple sollen unzulässig sein

  6. Linux-Paketmanager

    RPM-Entwicklung verläuft chaotisch

  7. Neuseeland

    Kim Dotcom überträgt Gerichtsverhandlung im Netz

  8. Leitlinien vereinbart

    Regulierer schwächen Vorgaben zu Netzneutralität ab

  9. Kartendienst

    Microsoft und Amazon könnten sich an Here beteiligen

  10. Draufsicht

    Neuer 5er BMW mit Überwachungskameras



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Galaxy Note 7 im Test: Schaut dir in die Augen, Kleine/r/s!
Galaxy Note 7 im Test
Schaut dir in die Augen, Kleine/r/s!
  1. Samsung Display des Galaxy Note 7 ist offenbar nicht kratzfest
  2. PM1643 & PM1735 Samsung zeigt V-NAND v4 und drei Rekord-SSDs
  3. Gear IconX im Test Anderthalb Stunden Trainingsspaß

Xfel: Riesenkamera nimmt Filme von Atomen auf
Xfel
Riesenkamera nimmt Filme von Atomen auf
  1. US Air Force Modifikation der Ionosphäre soll Funk verbessern
  2. Teilchenbeschleuniger Mögliches neues Boson weist auf fünfte Fundamentalkraft hin
  3. Materialforschung Glas wechselt zwischen durchsichtig und schwarz

Deus Ex Mankind Divided im Test: Der Agent aus dem Hardwarelabor
Deus Ex Mankind Divided im Test
Der Agent aus dem Hardwarelabor
  1. Summit Ridge AMDs Zen-Chip ist so schnell wie Intels 1.000-Euro-Core-i7
  2. Doom Denuvo schützt offenbar nicht mehr
  3. Deus Ex angespielt Eine Steuerung für fast jeden Agenten

  1. Re: Speicherung der Daten u. gerichtliche...

    Peter Brülls | 12:42

  2. Europäische Union einmischen

    A. T. R. | 12:41

  3. Re: Halbe Milliarde

    ibsi | 12:41

  4. Dark Zero

    cyablo | 12:40

  5. Re: Druckverhältnisse in 100 km Tiefe?

    Vollstrecker | 12:40


  1. 12:31

  2. 12:07

  3. 11:51

  4. 11:25

  5. 10:45

  6. 10:00

  7. 09:32

  8. 09:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel