Abo
  • Services:

Operation Hacienda: Die Botnets der Geheimdienste

Die NSA und das GCHQ gehen nicht gezielt gegen Gegner vor, vielmehr scannen sie mit ihrem Programm Hacienda das gesamte Netz, um über Schwachstellen sogenannte Operational Relay Boxes (ORB) einzurichten. Diese sollen den Datenverkehr der Geheimdienste verschleiern.

Artikel veröffentlicht am ,
Unter dem Namen Projekt Hacienda suchen Geheimdienste weltweit nach Schwachstellen in Endgeräten.
Unter dem Namen Projekt Hacienda suchen Geheimdienste weltweit nach Schwachstellen in Endgeräten. (Bild: NSA/GCHQ/Heise)

Es erinnert an den Aufbau eines Botnet: Unter dem Namen Operation Hacienda scannen die Datensammler von der NSA, dem britischen GCHQ und dem Communication Security Establishment (CSEC) das gesamte Internet nach Schwachstellen in Servern, Routern und anderen Endgeräten. Dabei führen die Geheimdienste offenbar Portscans ganzer Länder aus - 27 Länder seien bereits vollständig ausgewertet, heißt es in den Dokumenten von 2009, die Heise vorliegen.

Stellenmarkt
  1. Diehl Metering GmbH, Nürnberg
  2. BWI GmbH, Bonn, Meckenheim

Dabei gehen die Geheimdienstmitarbeiter genauso vor wie die Datendiebe: Zunächst wird ein Endgerät ausgespäht. Dann folgt die Kompromittierung über eine mögliche Schwachstelle gefolgt von der Übernahme eines Systems. Schließlich werden dort gefundene Daten abgeschöpft. So gingen die Geheimdienste etwa gegen die belgische Telefongesellschaft Belgacom vor oder starteten einen missglückten Angriff auf Router in Syrien, mit dem sie letztendlich das Land vom Internet trennten.

Ein Netz aus ORBs

Über die gefundenen Schwachstellen werden auf kompromittierten Endgeräten sogenannte Operational Relay Boxes (ORB) eingerichtet. Diese dienen unter anderem dazu, den Datenverkehr der Geheimdienste zu verschleiern. Die ORBs werden dann als Basis für weitere Operationen genutzt. Aus den Dokumenten geht hervor, dass der kanadische Geheimdienst CSEC die ORBs unter dem Namen Landmark verwaltete. Mehrmals im Jahr wird das Internet nach weiteren ORBs gescannt.

Im Februar 2010 hatten 24 kanadische Geheimdienstmitarbeiter nach eigenen Angaben an einem Tag 3.000 solcher potentieller ORBs ausfindig gemacht. Unter dem Namen Olympia ist die Suche nach ORBs inzwischen automatisiert. In den Dokumenten wird geschildert, dass der kanadische Geheimdienst verwundbare Endgeräte innerhalb eines Subnetzes binnen fünf Minuten ausfindig machen könne.

Automatisierte Suche nach Schwachstellen

Der britische GCHQ sucht ebenfalls nach potentiellen ORBs. Das Programm läuft unter dem Namen Mugshot und soll im Vergleich zu Olympia durch die Kombination von aktiven und passiven Scans ein besseres Ergebnis liefern als sein kanadisches Pendant. Die Mitglieder der Five-Eyes können Informationen zu entdeckten ORBs nach Land oder Subnetz von den entsprechenden Geheimdiensten per E-Mail erfragen.

Die Geheimdienstmitarbeiter überprüfen die gängigen Ports wie HTTP, FTP, SSH oder SNMP (Simple Network Management Protocol) nach Schwachstellen und Fehlkonfigurationen großflächig. Aus den bei Heise veröffentlichten Folien geht hervor, dass sie zumindest 2009 dafür gängige Werkzeuge wie Nmap verwendeten, was den Kryptoexperten Matthew Green zu einem süffisanten Kommentar auf Twitter veranlasste. Denn inzwischen gibt es dafür ausgefeiltere Werkzeuge wie Zmap, die allerdings rechtlich nicht unumstritten sind. Nach eigenen Angaben wurde der Datenexperte H. D. Moore von Behörden in den USA unter Druck gesetzt, als er mehrere Projekte initiierte, die Schwachstellen im Internet mit Portscans suchten.

Verschleiertes Portknocking soll helfen

Die Geheimdienste sammeln dabei auch Informationen von Server-Bannern oder scannen HTTP-Verbindungen nach XFF-Header, die durch ein Proxy geleitete IP-Adressen identifizieren können. Nach Möglichkeit werden von ausgewählten Servern gesamte Profile angelegt, etwa über das installierte Betriebssystem, den genutzten Browser oder die Patch-Historie.

Vor dem Hintergrund der Veröffentlichung der aktuellen Dokumente stellten Julian Kirsch und Christian Grothoff von der TU München sowie Jacob Appelbaum und Holger Kenn die Abwehrmaßnahme TCP-Stealth gegen Portscans vor. Eine Möglichkeit, den Scan nach offenen Ports zu blockieren, ist das sogenannte Portknocking. Dabei geht eine Anfrage auf einen möglicherweise offenen Port mit einem Klopfzeichen voraus. Ohne das Klopfzeichen erhält ein potentieller Angreifer keine TCP-Verbindung und kann den Port daher auch nicht angreifen. Solche Klopfzeichen lassen sich aber durch Man-in-the-Middle-Angriffe aus dem TCP-Datenverkehr auslesen. Mit TCP-Stealth wird das Portknocking zusätzlich verschleiert. Die Erweiterung ist bereits bei der Internet Engineering Task Force (IETF) als Draft eingereicht worden.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. ab 69,98€ mit Vorbesteller-Preisgarantie (Release 26.08.)
  3. 50,99€ mit Vorbesteller-Preisgarantie

AllDayPiano 18. Aug 2014

Steht auf, geht auf die Straße! Zeigt die Banner, zeigt euren Protest! Dann seid ihr...

xerox 18. Aug 2014

Natürlich gehen die vor wie Datendiebe.. Sie sind ja schließlich nichts anderes.

rurblog 17. Aug 2014

Interessant weitergedacht. Aber umso erschreckender im Ergebnis!


Folgen Sie uns
       


Amazons Fire HD 10 Kids Edition - Hands on

Das Fire HD 10 Kids Edition ist das neue Kinder-Tablet von Amazon. Das Tablet entspricht dem normalen Fire HD 10 und wird mit speziellen Dreingaben ergänzt. So gibt es eine Gummiummantelung, um Stürze abzufangen. Außerdem gehört der Dienst Freetime Unlimited für ein Jahr ohne Aufpreis dazu. Das Fire HD 10 Kids Edition kostet 200 Euro. Falls das Tablet innerhalb von zwei Jahren nach dem Kauf kaputtgeht, wird es ausgetauscht.

Amazons Fire HD 10 Kids Edition - Hands on Video aufrufen
Raumfahrt: Großbritannien will wieder in den Weltraum
Raumfahrt
Großbritannien will wieder in den Weltraum

Die Briten wollen eigene Raketen bauen und von Großbritannien aus starten. Ein Teil des Geldes dafür kommt auch von Investoren und staatlichen Investitionsfonds aus Deutschland.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt Cubesats sollen unhackbar werden
  2. Landspace Chinesisches Raumfahrtunternehmen kündigt Raketenstart an
  3. Raumfahrt @Astro_Alex musiziert mit Kraftwerk

Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nur noch Wochenende Taz stellt ihre Printausgabe wohl bis 2022 ein
  2. Cybercrime Bayern rüstet auf im Kampf gegen Anonymität im Netz
  3. Satelliteninternet Fraunhofer erreicht hohe Datenrate mit Beam Hopping

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

    •  /