Anzeige
Für den Zugriff auf VPNs mit IPSec muss die NSA private Schlüssel ergattern.
Für den Zugriff auf VPNs mit IPSec muss die NSA private Schlüssel ergattern. (Bild: NSA)

Verschlüsselung: Die NSA-Attacke auf VPN

Für den Zugriff auf VPNs mit IPSec muss die NSA private Schlüssel ergattern.
Für den Zugriff auf VPNs mit IPSec muss die NSA private Schlüssel ergattern. (Bild: NSA)

Wie sehr sich die NSA für die Infiltrierung von VPNs interessiert, zeigen umfangreiche Dokumente, die jetzt veröffentlicht worden sind. Mit aktueller Verschlüsselung hat der Geheimdienst aber Probleme.

Anzeige

Die NSA interessiert sich brennend für Daten, die über virtuelle private Netzwerke (VPN) fließen. Solche VPNs galten bislang als sichere Kommunikationskanäle, über die sich Mitarbeiter ins Firmennetzwerk oder Dissidenten in repressiven Ländern ins freie Internet verbinden. Den eigenen Unterlagen nach hat sich der US-Nachrichtendienst bereits in viele solcher Netzwerke gehackt, obwohl sie eigentlich verschlüsselt sind. Eine eigene Abteilung kümmert sich darum, VPNs zu infiltrieren. das geht aus jetzt veröffentlichten Dokumenten hervor, die aus dem Fundus von Edward Snowden stammen.

Die Dokumente zeigen auch, woher die NSA die privaten Schlüssel bekommt und welche Ziele der Geheimdienst primär angreift.

Die Suche nach Schwachstellen und Schlüsseln

Die bei der NSA zuständige Abteilung für die Infiltrierung von VPNs nennt sich OTP VPN Exploitation Team, wie aus einem Dokument aus dem Jahr 2010 hervorgeht. Sie bieten nach eigenem Bekunden Unterstützung bei zahlreichen Verschlüsselungsprotokollen, die bei VPNs genutzt werden, etwa IPSec oder PPTP. Auch SSL und SSH stehen auf der Liste der Verschlüsselungsprotokolle, die der Geheimdienst nach Schwachstellen durchsucht.

Die Dokumente geben aber keine Hinweise darauf, dass die NSA aktuelle Verschlüsselungen geknackt hat. Vielmehr nutzt der Geheimdienst bestehende Schwächen oder sammelt so viele private Schlüssel wie möglich, egal ob sie für IPSec, SSL oder SSH-Verbindungen benötigt werden. Diese werden in einer Datenbank hinterlegt, auf die die zahlreichen Auswertungswerkzeuge wie Xkeyscore zugreifen können. Eine Quelle für private Schlüssel wird in den Dokumenten explizit erwähnt: Router mit Schwachstellen. Wenn für ein bestimmtes Ziel noch kein Schlüssel vorliegt, können NSA-Agenten die sogenannten TAOs beauftragen, gezielt Hardware zu infiltrieren.

Gehackte Airlines und Banken

Aus Dokumenten von 2008 geht hervor, dass die NSA sich zu zahlreichen VPNs Zugang verschafft hatte, die noch das bereits unsichere Point-to-Point Tunneling Protocol (PPTP) verwendeten. Dazu gehörten unter anderem die staatlichen iranischen und jordanischen Fluggesellschaften, Telekommunikationsunternehmen in Afghanistan, Netzwerke des pakistanischen Geheimdienstes oder des türkischen diplomatischen Corps. Auch das Netz des Finanzinstituts Zaad war ein Ziel der NSA, denn darüber würden "somalische Terroristen" ihre Finanzen abwickeln. PPTP gilt allerdings seit Herbst 2012 als unsicher. Damals gelang es dem Verschlüsselungsexperten Moxie Marlinspike, dessen zu schwache Verschlüsselung zu knacken.

Die massive Rechenleistung benötigt die NSA daher offenbar, um die enormen Datenmengen zu verarbeiten, die bei VPN und auch Voice-over-IP-Verbindungen für die Internettelefonie anfallen. Zum einen werden dabei Datenpakete geöffnet und zugeordnet. Zum anderen müssen die anfallenden Daten dekomprimiert werden. Und schließlich wandern die Daten in die einzelnen Datenbanken, von denen aus sie über XKeyscore durchsucht werden können.

Zunehmende Verschlüsselung ist für die NSA eine Katastrophe

In den Dokumenten gibt es konkrete Hinweise darauf, dass die NSA nur passiv abgehörte Daten ohne eingesetztes Forward Secrecy entschlüsseln kann. Chat-Programme, die die Erweiterung Off-The-Record (OTR) verwenden, bereiten dem Geheimdienst offensichtlich ebenfalls Probleme. Das von Phil Zimmermann entwickelte Protokoll ZRTP für verschlüsselte Telefonie sei eine "Katastrophe" und führe zu einem "fast vollkommenen Kontrollverlust über die Kommunikation eines Ziels".

Außer Frage steht, dass die NSA auch versucht, aktuelle Verschlüsselungsprotokolle zu knacken. Auch dafür braucht der US-Geheimdienst Rechenleistung und kooperiert dabei eng mit dem britischen GCHQ. In einer Folie der NSA heißt es, wenn etwas noch nicht ausgenutzt werden könne, heiße das nicht, dass es nicht später klappen werde.


eye home zur Startseite
AllAgainstAds 03. Jan 2015

das die Aussagen immer nur recht wage sind und niemals genau zeigen, das können...

FreiGeistler 30. Dez 2014

Blödsinn. Nutze mal die Suchfunktion. Von wegen Telekom und co.

derdiedas 30. Dez 2014

auch garantiert eine Backdoor in der VPN Lösung. Ich würde den großen Anbietern (vor...

Lemo 30. Dez 2014

Da sind teilweise schaurige Präsentationen dabei (optisch gesehen) aber auch sehr...

tezmanian 30. Dez 2014

Ich sag ja schon die ganze Zeit, einfach mal das Netz gemeinsam mit ganz viel Random...

Kommentieren



Anzeige

  1. IT Domain Architect (m/w) für Business Architecture und Design
    Allianz Managed Operations & Services SE, München
  2. Funktions- und SW-Entwickler/-in für Value Added Functions
    Robert Bosch GmbH, Abstatt
  3. Projektingenieur/in im Bereich Computer System Validierung (CSV)
    Valicare GmbH, Frankfurt
  4. Softwareentwickler (m/w) Web-Services im Logistikumfeld
    PTV GROUP, Karlsruhe

Detailsuche



Anzeige
Hardware-Angebote
  1. GeForce GTX 1070 bei Alternate
    (u. a. Asus GTX 1070 Strix OC, MSI GTX 1070 Gaming X 8G und Aero 8G OC, Gainward GTX 1070 Founders...
  2. PREISSTURZ: XFX Radeon R9 Fury Triple Fan
    349,00€
  3. GeForce GTX 1080 bei Amazon

Weitere Angebote


Folgen Sie uns
       


  1. Axanar

    Paramount/CBS erlaubt Star-Trek-Fanfilme

  2. FTTH/FTTB

    Oberirdische Glasfaser spart 85 Prozent der Kosten

  3. Botnet

    Necurs kommt zurück und bringt Locky millionenfach mit

  4. Google

    Livestreaming direkt aus der Youtube-App

  5. Autonome Autos

    Fahrer wollen vor allem ihr eigenes Leben schützen

  6. Boston Dynamics

    Spot Mini, die Roboraffe

  7. Datenrate

    Tele Columbus versorgt fast 840.000 Haushalte mit 400 MBit/s

  8. Supercomputer

    China und Japan setzen auf ARM-Kerne für kommende Systeme

  9. Patent

    Die springenden Icons von Apple

  10. Counter-Strike

    Klage gegen Wetten mit Waffen-Skins



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mighty No. 9 im Test: Mittelmaß für 4 Millionen US-Dollar
Mighty No. 9 im Test
Mittelmaß für 4 Millionen US-Dollar
  1. Mirror's Edge Catalyst im Test Rennen für die Freiheit
  2. Warp Shift im Test Zauberhaftes Kistenschieben
  3. Alienation im Test Mit zwei Analogsticks gegen viele Außerirdische

Schulunterricht: "Wir zocken die ganze Zeit Minecraft"
Schulunterricht
"Wir zocken die ganze Zeit Minecraft"
  1. MCreator für Arduino Mit Klötzchen LEDs steuern
  2. Lifeboat-Community Minecraft-Spieler müssen sich neues Passwort craften
  3. Minecraft Befehlsblöcke und Mods für die Pocket Edition

Mikko Hypponen: "Microsoft ist nicht mehr scheiße"
Mikko Hypponen
"Microsoft ist nicht mehr scheiße"

  1. Gutsherrenart der EU-Kommission

    /dev/42 | 06:21

  2. Das ist ein Fan-Film-Verbot

    Jad | 06:19

  3. Re: Warum ist Eyeo gut, weil Adblocker gut sind?

    Rulf | 06:07

  4. Re: Als ob ein Mensch in so einer Situation

    nuvi | 05:50

  5. Re: Ist doch korrekt

    Milber | 05:41


  1. 17:47

  2. 17:01

  3. 16:46

  4. 15:51

  5. 15:48

  6. 15:40

  7. 14:58

  8. 14:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel