Abo
  • Services:
Anzeige
Unter dem Namen Projekt Hacienda suchen Geheimdienste weltweit nach Schwachstellen in Endgeräten.
Unter dem Namen Projekt Hacienda suchen Geheimdienste weltweit nach Schwachstellen in Endgeräten. (Bild: NSA/GCHQ/Heise)

Operation Hacienda: Die Botnets der Geheimdienste

Die NSA und das GCHQ gehen nicht gezielt gegen Gegner vor, vielmehr scannen sie mit ihrem Programm Hacienda das gesamte Netz, um über Schwachstellen sogenannte Operational Relay Boxes (ORB) einzurichten. Diese sollen den Datenverkehr der Geheimdienste verschleiern.

Anzeige

Es erinnert an den Aufbau eines Botnet: Unter dem Namen Operation Hacienda scannen die Datensammler von der NSA, dem britischen GCHQ und dem Communication Security Establishment (CSEC) das gesamte Internet nach Schwachstellen in Servern, Routern und anderen Endgeräten. Dabei führen die Geheimdienste offenbar Portscans ganzer Länder aus - 27 Länder seien bereits vollständig ausgewertet, heißt es in den Dokumenten von 2009, die Heise vorliegen.

Dabei gehen die Geheimdienstmitarbeiter genauso vor wie die Datendiebe: Zunächst wird ein Endgerät ausgespäht. Dann folgt die Kompromittierung über eine mögliche Schwachstelle gefolgt von der Übernahme eines Systems. Schließlich werden dort gefundene Daten abgeschöpft. So gingen die Geheimdienste etwa gegen die belgische Telefongesellschaft Belgacom vor oder starteten einen missglückten Angriff auf Router in Syrien, mit dem sie letztendlich das Land vom Internet trennten.

Ein Netz aus ORBs

Über die gefundenen Schwachstellen werden auf kompromittierten Endgeräten sogenannte Operational Relay Boxes (ORB) eingerichtet. Diese dienen unter anderem dazu, den Datenverkehr der Geheimdienste zu verschleiern. Die ORBs werden dann als Basis für weitere Operationen genutzt. Aus den Dokumenten geht hervor, dass der kanadische Geheimdienst CSEC die ORBs unter dem Namen Landmark verwaltete. Mehrmals im Jahr wird das Internet nach weiteren ORBs gescannt.

Im Februar 2010 hatten 24 kanadische Geheimdienstmitarbeiter nach eigenen Angaben an einem Tag 3.000 solcher potentieller ORBs ausfindig gemacht. Unter dem Namen Olympia ist die Suche nach ORBs inzwischen automatisiert. In den Dokumenten wird geschildert, dass der kanadische Geheimdienst verwundbare Endgeräte innerhalb eines Subnetzes binnen fünf Minuten ausfindig machen könne.

Automatisierte Suche nach Schwachstellen

Der britische GCHQ sucht ebenfalls nach potentiellen ORBs. Das Programm läuft unter dem Namen Mugshot und soll im Vergleich zu Olympia durch die Kombination von aktiven und passiven Scans ein besseres Ergebnis liefern als sein kanadisches Pendant. Die Mitglieder der Five-Eyes können Informationen zu entdeckten ORBs nach Land oder Subnetz von den entsprechenden Geheimdiensten per E-Mail erfragen.

Die Geheimdienstmitarbeiter überprüfen die gängigen Ports wie HTTP, FTP, SSH oder SNMP (Simple Network Management Protocol) nach Schwachstellen und Fehlkonfigurationen großflächig. Aus den bei Heise veröffentlichten Folien geht hervor, dass sie zumindest 2009 dafür gängige Werkzeuge wie Nmap verwendeten, was den Kryptoexperten Matthew Green zu einem süffisanten Kommentar auf Twitter veranlasste. Denn inzwischen gibt es dafür ausgefeiltere Werkzeuge wie Zmap, die allerdings rechtlich nicht unumstritten sind. Nach eigenen Angaben wurde der Datenexperte H. D. Moore von Behörden in den USA unter Druck gesetzt, als er mehrere Projekte initiierte, die Schwachstellen im Internet mit Portscans suchten.

Verschleiertes Portknocking soll helfen

Die Geheimdienste sammeln dabei auch Informationen von Server-Bannern oder scannen HTTP-Verbindungen nach XFF-Header, die durch ein Proxy geleitete IP-Adressen identifizieren können. Nach Möglichkeit werden von ausgewählten Servern gesamte Profile angelegt, etwa über das installierte Betriebssystem, den genutzten Browser oder die Patch-Historie.

Vor dem Hintergrund der Veröffentlichung der aktuellen Dokumente stellten Julian Kirsch und Christian Grothoff von der TU München sowie Jacob Appelbaum und Holger Kenn die Abwehrmaßnahme TCP-Stealth gegen Portscans vor. Eine Möglichkeit, den Scan nach offenen Ports zu blockieren, ist das sogenannte Portknocking. Dabei geht eine Anfrage auf einen möglicherweise offenen Port mit einem Klopfzeichen voraus. Ohne das Klopfzeichen erhält ein potentieller Angreifer keine TCP-Verbindung und kann den Port daher auch nicht angreifen. Solche Klopfzeichen lassen sich aber durch Man-in-the-Middle-Angriffe aus dem TCP-Datenverkehr auslesen. Mit TCP-Stealth wird das Portknocking zusätzlich verschleiert. Die Erweiterung ist bereits bei der Internet Engineering Task Force (IETF) als Draft eingereicht worden.


eye home zur Startseite
AllDayPiano 18. Aug 2014

Steht auf, geht auf die Straße! Zeigt die Banner, zeigt euren Protest! Dann seid ihr...

xerox 18. Aug 2014

Natürlich gehen die vor wie Datendiebe.. Sie sind ja schließlich nichts anderes.

rurblog 17. Aug 2014

Interessant weitergedacht. Aber umso erschreckender im Ergebnis!



Anzeige

Stellenmarkt
  1. Experis GmbH, Berlin
  2. Robert Bosch GmbH, Leonberg
  3. ALDI SÜD, Mülheim an der Ruhr
  4. über Hanseatisches Personalkontor Bremen, Großraum Bremen


Anzeige
Spiele-Angebote
  1. 69,99€ (Vorbesteller-Preisgarantie)
  2. 64,97€/69,97€
  3. 47,99€

Folgen Sie uns
       


  1. Kupfer

    Nokia hält Terabit DSL für überflüssig

  2. Kryptowährung

    Bitcoin notiert auf neuem Rekordhoch

  3. Facebook

    Dokumente zum Umgang mit Sex- und Gewaltinhalten geleakt

  4. Arduino Cinque

    RISC-V-Prozessor und ESP32 auf einem Board vereint

  5. Schatten des Krieges angespielt

    Wir stürmen Festungen! Mit Orks! Und Drachen!

  6. Skills

    Amazon lässt Alexa natürlicher klingen

  7. Cray

    Rechenleistung von Supercomputern in der Cloud mieten

  8. Streaming

    Sky geht gegen Stream4u.tv und Hardwareanbieter vor

  9. Tado im Langzeittest

    Am Ende der Heizperiode

  10. Owncloud-Fork

    Nextcloud 12 skaliert Global



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

  1. Re: GT 1030 vs Intel HD

    Zazu42 | 17:32

  2. Re: Bitte nicht alles einfach so wegreden

    Onkel Ho | 17:31

  3. Re: Ziemlich viel Geld ...

    ahoihoi | 17:28

  4. Re: Ursache vs Wirkung

    Hotohori | 17:28

  5. Re: "Tablets werden sich auch nicht durchsetzen"

    tonictrinker | 17:27


  1. 16:35

  2. 16:20

  3. 16:00

  4. 15:37

  5. 15:01

  6. 13:34

  7. 13:19

  8. 12:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel