Abo
  • Services:
Anzeige
Unter dem Namen Projekt Hacienda suchen Geheimdienste weltweit nach Schwachstellen in Endgeräten.
Unter dem Namen Projekt Hacienda suchen Geheimdienste weltweit nach Schwachstellen in Endgeräten. (Bild: NSA/GCHQ/Heise)

Operation Hacienda: Die Botnets der Geheimdienste

Die NSA und das GCHQ gehen nicht gezielt gegen Gegner vor, vielmehr scannen sie mit ihrem Programm Hacienda das gesamte Netz, um über Schwachstellen sogenannte Operational Relay Boxes (ORB) einzurichten. Diese sollen den Datenverkehr der Geheimdienste verschleiern.

Anzeige

Es erinnert an den Aufbau eines Botnet: Unter dem Namen Operation Hacienda scannen die Datensammler von der NSA, dem britischen GCHQ und dem Communication Security Establishment (CSEC) das gesamte Internet nach Schwachstellen in Servern, Routern und anderen Endgeräten. Dabei führen die Geheimdienste offenbar Portscans ganzer Länder aus - 27 Länder seien bereits vollständig ausgewertet, heißt es in den Dokumenten von 2009, die Heise vorliegen.

Dabei gehen die Geheimdienstmitarbeiter genauso vor wie die Datendiebe: Zunächst wird ein Endgerät ausgespäht. Dann folgt die Kompromittierung über eine mögliche Schwachstelle gefolgt von der Übernahme eines Systems. Schließlich werden dort gefundene Daten abgeschöpft. So gingen die Geheimdienste etwa gegen die belgische Telefongesellschaft Belgacom vor oder starteten einen missglückten Angriff auf Router in Syrien, mit dem sie letztendlich das Land vom Internet trennten.

Ein Netz aus ORBs

Über die gefundenen Schwachstellen werden auf kompromittierten Endgeräten sogenannte Operational Relay Boxes (ORB) eingerichtet. Diese dienen unter anderem dazu, den Datenverkehr der Geheimdienste zu verschleiern. Die ORBs werden dann als Basis für weitere Operationen genutzt. Aus den Dokumenten geht hervor, dass der kanadische Geheimdienst CSEC die ORBs unter dem Namen Landmark verwaltete. Mehrmals im Jahr wird das Internet nach weiteren ORBs gescannt.

Im Februar 2010 hatten 24 kanadische Geheimdienstmitarbeiter nach eigenen Angaben an einem Tag 3.000 solcher potentieller ORBs ausfindig gemacht. Unter dem Namen Olympia ist die Suche nach ORBs inzwischen automatisiert. In den Dokumenten wird geschildert, dass der kanadische Geheimdienst verwundbare Endgeräte innerhalb eines Subnetzes binnen fünf Minuten ausfindig machen könne.

Automatisierte Suche nach Schwachstellen

Der britische GCHQ sucht ebenfalls nach potentiellen ORBs. Das Programm läuft unter dem Namen Mugshot und soll im Vergleich zu Olympia durch die Kombination von aktiven und passiven Scans ein besseres Ergebnis liefern als sein kanadisches Pendant. Die Mitglieder der Five-Eyes können Informationen zu entdeckten ORBs nach Land oder Subnetz von den entsprechenden Geheimdiensten per E-Mail erfragen.

Die Geheimdienstmitarbeiter überprüfen die gängigen Ports wie HTTP, FTP, SSH oder SNMP (Simple Network Management Protocol) nach Schwachstellen und Fehlkonfigurationen großflächig. Aus den bei Heise veröffentlichten Folien geht hervor, dass sie zumindest 2009 dafür gängige Werkzeuge wie Nmap verwendeten, was den Kryptoexperten Matthew Green zu einem süffisanten Kommentar auf Twitter veranlasste. Denn inzwischen gibt es dafür ausgefeiltere Werkzeuge wie Zmap, die allerdings rechtlich nicht unumstritten sind. Nach eigenen Angaben wurde der Datenexperte H. D. Moore von Behörden in den USA unter Druck gesetzt, als er mehrere Projekte initiierte, die Schwachstellen im Internet mit Portscans suchten.

Verschleiertes Portknocking soll helfen

Die Geheimdienste sammeln dabei auch Informationen von Server-Bannern oder scannen HTTP-Verbindungen nach XFF-Header, die durch ein Proxy geleitete IP-Adressen identifizieren können. Nach Möglichkeit werden von ausgewählten Servern gesamte Profile angelegt, etwa über das installierte Betriebssystem, den genutzten Browser oder die Patch-Historie.

Vor dem Hintergrund der Veröffentlichung der aktuellen Dokumente stellten Julian Kirsch und Christian Grothoff von der TU München sowie Jacob Appelbaum und Holger Kenn die Abwehrmaßnahme TCP-Stealth gegen Portscans vor. Eine Möglichkeit, den Scan nach offenen Ports zu blockieren, ist das sogenannte Portknocking. Dabei geht eine Anfrage auf einen möglicherweise offenen Port mit einem Klopfzeichen voraus. Ohne das Klopfzeichen erhält ein potentieller Angreifer keine TCP-Verbindung und kann den Port daher auch nicht angreifen. Solche Klopfzeichen lassen sich aber durch Man-in-the-Middle-Angriffe aus dem TCP-Datenverkehr auslesen. Mit TCP-Stealth wird das Portknocking zusätzlich verschleiert. Die Erweiterung ist bereits bei der Internet Engineering Task Force (IETF) als Draft eingereicht worden.


eye home zur Startseite
AllDayPiano 18. Aug 2014

Steht auf, geht auf die Straße! Zeigt die Banner, zeigt euren Protest! Dann seid ihr...

xerox 18. Aug 2014

Natürlich gehen die vor wie Datendiebe.. Sie sind ja schließlich nichts anderes.

rurblog 17. Aug 2014

Interessant weitergedacht. Aber umso erschreckender im Ergebnis!



Anzeige

Stellenmarkt
  1. Assure Consulting GmbH, Wehrheim
  2. Consultix GmbH, Bremen
  3. Landeshauptstadt München, München
  4. Blockchain Consulting GmbH, München


Anzeige
Top-Angebote
  1. 529€ + 1,99€ Versand oder Abholung im Markt
  2. 629€ + 1,99€ Versand oder Abholung im Markt
  3. 10,99€

Folgen Sie uns
       


  1. Glasfaser

    Telekom wegen fehlendem FTTH massiv unter Druck

  2. Offene Konsole

    Ataribox entspricht Mittelklasse-PC mit Linux

  3. Autoversicherungen

    HUK-Coburg verlässt "relativ teure Vergleichsportale"

  4. RT-AC86U

    Asus-Router priorisiert Gaming-Pakete und kann 1024QAM

  5. CDN

    Cloudflare bietet lokale TLS-Schlüssel und mehr DDoS-Schutz

  6. Star Trek Discovery angeschaut

    Star Trek - Eine neue Hoffnung

  7. Gemeinde Egelsbach

    Telekom-Glasfaser in Gewerbegebiet findet schnell Kunden

  8. Microsoft

    Programme für Quantencomputer in Visual Studio entwickeln

  9. Arbeitsspeicher

    DDR5 nutzt Spannungsversorgung auf dem Modul

  10. Video-Pass

    Auch Vodafone führt Zero-Rating-Angebot ein



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Apple iOS 11 im Test: Alte Apps weg, Daten weg, aber sonst alles gut
Apple iOS 11 im Test
Alte Apps weg, Daten weg, aber sonst alles gut
  1. Apple iOS 11 Wer WLAN und Bluetooth abschaltet, benutzt es weiter
  2. Drei Netzanbieter warnt vor Upgrade auf iOS 11
  3. Kein App Store mehr iOS-Nutzer sollten das neue iTunes nicht installieren

Watson: IBMs Supercomputer stellt sich dumm an
Watson
IBMs Supercomputer stellt sich dumm an
  1. IBM Watson soll auf KI-Markt verdrängt werden
  2. KI von IBM Watson optimiert Prozesse und schließt Sicherheitslücken

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: Style over Substance Hardcore.

    theFiend | 18:21

  2. Re: Steam-Provision?

    theFiend | 18:19

  3. Re: Cannabis

    BasAn | 18:19

  4. Re: Hoffentlich der Anfang vom Ende

    futureintray | 18:18

  5. AVX? Gäähnn.....

    Crass Spektakel | 18:18


  1. 18:36

  2. 17:20

  3. 17:00

  4. 16:44

  5. 16:33

  6. 16:02

  7. 15:20

  8. 14:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel