Abo
  • Services:
Anzeige
Für den Zugriff auf VPNs mit IPSec muss die NSA private Schlüssel ergattern.
Für den Zugriff auf VPNs mit IPSec muss die NSA private Schlüssel ergattern. (Bild: NSA)

Verschlüsselung: Die NSA-Attacke auf VPN

Für den Zugriff auf VPNs mit IPSec muss die NSA private Schlüssel ergattern.
Für den Zugriff auf VPNs mit IPSec muss die NSA private Schlüssel ergattern. (Bild: NSA)

Wie sehr sich die NSA für die Infiltrierung von VPNs interessiert, zeigen umfangreiche Dokumente, die jetzt veröffentlicht worden sind. Mit aktueller Verschlüsselung hat der Geheimdienst aber Probleme.

Anzeige

Die NSA interessiert sich brennend für Daten, die über virtuelle private Netzwerke (VPN) fließen. Solche VPNs galten bislang als sichere Kommunikationskanäle, über die sich Mitarbeiter ins Firmennetzwerk oder Dissidenten in repressiven Ländern ins freie Internet verbinden. Den eigenen Unterlagen nach hat sich der US-Nachrichtendienst bereits in viele solcher Netzwerke gehackt, obwohl sie eigentlich verschlüsselt sind. Eine eigene Abteilung kümmert sich darum, VPNs zu infiltrieren. das geht aus jetzt veröffentlichten Dokumenten hervor, die aus dem Fundus von Edward Snowden stammen.

Die Dokumente zeigen auch, woher die NSA die privaten Schlüssel bekommt und welche Ziele der Geheimdienst primär angreift.

Die Suche nach Schwachstellen und Schlüsseln

Die bei der NSA zuständige Abteilung für die Infiltrierung von VPNs nennt sich OTP VPN Exploitation Team, wie aus einem Dokument aus dem Jahr 2010 hervorgeht. Sie bieten nach eigenem Bekunden Unterstützung bei zahlreichen Verschlüsselungsprotokollen, die bei VPNs genutzt werden, etwa IPSec oder PPTP. Auch SSL und SSH stehen auf der Liste der Verschlüsselungsprotokolle, die der Geheimdienst nach Schwachstellen durchsucht.

Die Dokumente geben aber keine Hinweise darauf, dass die NSA aktuelle Verschlüsselungen geknackt hat. Vielmehr nutzt der Geheimdienst bestehende Schwächen oder sammelt so viele private Schlüssel wie möglich, egal ob sie für IPSec, SSL oder SSH-Verbindungen benötigt werden. Diese werden in einer Datenbank hinterlegt, auf die die zahlreichen Auswertungswerkzeuge wie Xkeyscore zugreifen können. Eine Quelle für private Schlüssel wird in den Dokumenten explizit erwähnt: Router mit Schwachstellen. Wenn für ein bestimmtes Ziel noch kein Schlüssel vorliegt, können NSA-Agenten die sogenannten TAOs beauftragen, gezielt Hardware zu infiltrieren.

Gehackte Airlines und Banken

Aus Dokumenten von 2008 geht hervor, dass die NSA sich zu zahlreichen VPNs Zugang verschafft hatte, die noch das bereits unsichere Point-to-Point Tunneling Protocol (PPTP) verwendeten. Dazu gehörten unter anderem die staatlichen iranischen und jordanischen Fluggesellschaften, Telekommunikationsunternehmen in Afghanistan, Netzwerke des pakistanischen Geheimdienstes oder des türkischen diplomatischen Corps. Auch das Netz des Finanzinstituts Zaad war ein Ziel der NSA, denn darüber würden "somalische Terroristen" ihre Finanzen abwickeln. PPTP gilt allerdings seit Herbst 2012 als unsicher. Damals gelang es dem Verschlüsselungsexperten Moxie Marlinspike, dessen zu schwache Verschlüsselung zu knacken.

Die massive Rechenleistung benötigt die NSA daher offenbar, um die enormen Datenmengen zu verarbeiten, die bei VPN und auch Voice-over-IP-Verbindungen für die Internettelefonie anfallen. Zum einen werden dabei Datenpakete geöffnet und zugeordnet. Zum anderen müssen die anfallenden Daten dekomprimiert werden. Und schließlich wandern die Daten in die einzelnen Datenbanken, von denen aus sie über XKeyscore durchsucht werden können.

Zunehmende Verschlüsselung ist für die NSA eine Katastrophe

In den Dokumenten gibt es konkrete Hinweise darauf, dass die NSA nur passiv abgehörte Daten ohne eingesetztes Forward Secrecy entschlüsseln kann. Chat-Programme, die die Erweiterung Off-The-Record (OTR) verwenden, bereiten dem Geheimdienst offensichtlich ebenfalls Probleme. Das von Phil Zimmermann entwickelte Protokoll ZRTP für verschlüsselte Telefonie sei eine "Katastrophe" und führe zu einem "fast vollkommenen Kontrollverlust über die Kommunikation eines Ziels".

Außer Frage steht, dass die NSA auch versucht, aktuelle Verschlüsselungsprotokolle zu knacken. Auch dafür braucht der US-Geheimdienst Rechenleistung und kooperiert dabei eng mit dem britischen GCHQ. In einer Folie der NSA heißt es, wenn etwas noch nicht ausgenutzt werden könne, heiße das nicht, dass es nicht später klappen werde.


eye home zur Startseite
AllAgainstAds 03. Jan 2015

das die Aussagen immer nur recht wage sind und niemals genau zeigen, das können...

FreiGeistler 30. Dez 2014

Blödsinn. Nutze mal die Suchfunktion. Von wegen Telekom und co.

derdiedas 30. Dez 2014

auch garantiert eine Backdoor in der VPN Lösung. Ich würde den großen Anbietern (vor...

Lemo 30. Dez 2014

Da sind teilweise schaurige Präsentationen dabei (optisch gesehen) aber auch sehr...

tezmanian 30. Dez 2014

Ich sag ja schon die ganze Zeit, einfach mal das Netz gemeinsam mit ganz viel Random...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Stuttgart
  2. Rundfunk Berlin-Brandenburg (rbb), Berlin
  3. Robert Bosch GmbH, Schwieberdingen
  4. Schaeffler Technologies AG & Co. KG, Nürnberg


Anzeige
Top-Angebote
  1. (-40%) 17,99€
  2. 15€ sparen mit Gutscheincode GTX15 (Bestpreis laut Preisvergleich)
  3. (u. a. 3x B12-PS 120mm für 49,90€, 3x B14-1 140mm für 63,90€ statt 71,70€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Patent

    Samsung zeigt konkrete Ideen für faltbares Smartphone

  2. Smarter Lautsprecher

    Google will Home intelligenter machen

  3. Samsung 960 Evo im Test

    Die NVMe-SSD mit dem besten Preis-Leistungs-Verhältnis

  4. Projekt Titan

    Apple will Anti-Kollisionssystem für Autos patentieren

  5. Visualisierungsprogramm

    Microsoft bringt Visio für iOS

  6. Auftragsfertiger

    TSMC investiert 16 Milliarden US-Dollar in neue Fab

  7. Frontier Developments

    Weltraumspiel Elite Dangerous erscheint auch für die PS4

  8. Apple

    MacOS 10.12.2 soll Probleme beim neuen Macbook Pro beheben

  9. Smartphones

    iOS legt weltweit zu - außer in China und Deutschland

  10. Glasfaser

    EWE steckt 1 Milliarde Euro in Fiber To The Home



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

  1. Re: normale Schraubendreher...

    Niaxa | 10:33

  2. Re: Haha. Und was sagen die Apple-Basher jetzt?

    Blonny | 10:33

  3. Re: Sensoren die Hindernisse erkennen - GENIAL

    sundilsan | 10:32

  4. Catch-A-Ride!

    Missingno. | 10:29

  5. Re: Funktionsweise bei Apple

    Niaxa | 10:29


  1. 10:40

  2. 10:23

  3. 09:00

  4. 08:48

  5. 08:00

  6. 07:43

  7. 07:28

  8. 07:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel