Abo
  • IT-Karriere:

Verschlüsselung: Die NSA-Attacke auf VPN

Wie sehr sich die NSA für die Infiltrierung von VPNs interessiert, zeigen umfangreiche Dokumente, die jetzt veröffentlicht worden sind. Mit aktueller Verschlüsselung hat der Geheimdienst aber Probleme.

Artikel veröffentlicht am ,
Für den Zugriff auf VPNs mit IPSec muss die NSA private Schlüssel ergattern.
Für den Zugriff auf VPNs mit IPSec muss die NSA private Schlüssel ergattern. (Bild: NSA)

Die NSA interessiert sich brennend für Daten, die über virtuelle private Netzwerke (VPN) fließen. Solche VPNs galten bislang als sichere Kommunikationskanäle, über die sich Mitarbeiter ins Firmennetzwerk oder Dissidenten in repressiven Ländern ins freie Internet verbinden. Den eigenen Unterlagen nach hat sich der US-Nachrichtendienst bereits in viele solcher Netzwerke gehackt, obwohl sie eigentlich verschlüsselt sind. Eine eigene Abteilung kümmert sich darum, VPNs zu infiltrieren. das geht aus jetzt veröffentlichten Dokumenten hervor, die aus dem Fundus von Edward Snowden stammen.

Stellenmarkt
  1. DAL Deutsche Anlagen-Leasing GmbH & Co. KG, Mainz
  2. etkon GmbH, Gräfelfing

Die Dokumente zeigen auch, woher die NSA die privaten Schlüssel bekommt und welche Ziele der Geheimdienst primär angreift.

Die Suche nach Schwachstellen und Schlüsseln

Die bei der NSA zuständige Abteilung für die Infiltrierung von VPNs nennt sich OTP VPN Exploitation Team, wie aus einem Dokument aus dem Jahr 2010 hervorgeht. Sie bieten nach eigenem Bekunden Unterstützung bei zahlreichen Verschlüsselungsprotokollen, die bei VPNs genutzt werden, etwa IPSec oder PPTP. Auch SSL und SSH stehen auf der Liste der Verschlüsselungsprotokolle, die der Geheimdienst nach Schwachstellen durchsucht.

Die Dokumente geben aber keine Hinweise darauf, dass die NSA aktuelle Verschlüsselungen geknackt hat. Vielmehr nutzt der Geheimdienst bestehende Schwächen oder sammelt so viele private Schlüssel wie möglich, egal ob sie für IPSec, SSL oder SSH-Verbindungen benötigt werden. Diese werden in einer Datenbank hinterlegt, auf die die zahlreichen Auswertungswerkzeuge wie Xkeyscore zugreifen können. Eine Quelle für private Schlüssel wird in den Dokumenten explizit erwähnt: Router mit Schwachstellen. Wenn für ein bestimmtes Ziel noch kein Schlüssel vorliegt, können NSA-Agenten die sogenannten TAOs beauftragen, gezielt Hardware zu infiltrieren.

Gehackte Airlines und Banken

Aus Dokumenten von 2008 geht hervor, dass die NSA sich zu zahlreichen VPNs Zugang verschafft hatte, die noch das bereits unsichere Point-to-Point Tunneling Protocol (PPTP) verwendeten. Dazu gehörten unter anderem die staatlichen iranischen und jordanischen Fluggesellschaften, Telekommunikationsunternehmen in Afghanistan, Netzwerke des pakistanischen Geheimdienstes oder des türkischen diplomatischen Corps. Auch das Netz des Finanzinstituts Zaad war ein Ziel der NSA, denn darüber würden "somalische Terroristen" ihre Finanzen abwickeln. PPTP gilt allerdings seit Herbst 2012 als unsicher. Damals gelang es dem Verschlüsselungsexperten Moxie Marlinspike, dessen zu schwache Verschlüsselung zu knacken.

Die massive Rechenleistung benötigt die NSA daher offenbar, um die enormen Datenmengen zu verarbeiten, die bei VPN und auch Voice-over-IP-Verbindungen für die Internettelefonie anfallen. Zum einen werden dabei Datenpakete geöffnet und zugeordnet. Zum anderen müssen die anfallenden Daten dekomprimiert werden. Und schließlich wandern die Daten in die einzelnen Datenbanken, von denen aus sie über XKeyscore durchsucht werden können.

Zunehmende Verschlüsselung ist für die NSA eine Katastrophe

In den Dokumenten gibt es konkrete Hinweise darauf, dass die NSA nur passiv abgehörte Daten ohne eingesetztes Forward Secrecy entschlüsseln kann. Chat-Programme, die die Erweiterung Off-The-Record (OTR) verwenden, bereiten dem Geheimdienst offensichtlich ebenfalls Probleme. Das von Phil Zimmermann entwickelte Protokoll ZRTP für verschlüsselte Telefonie sei eine "Katastrophe" und führe zu einem "fast vollkommenen Kontrollverlust über die Kommunikation eines Ziels".

Außer Frage steht, dass die NSA auch versucht, aktuelle Verschlüsselungsprotokolle zu knacken. Auch dafür braucht der US-Geheimdienst Rechenleistung und kooperiert dabei eng mit dem britischen GCHQ. In einer Folie der NSA heißt es, wenn etwas noch nicht ausgenutzt werden könne, heiße das nicht, dass es nicht später klappen werde.



Anzeige
Spiele-Angebote
  1. 69,99€ (Release am 25. Oktober)
  2. 3,99€
  3. 39,99€ (Release am 3. Dezember)
  4. (-50%) 2,50€

AllAgainstAds 03. Jan 2015

das die Aussagen immer nur recht wage sind und niemals genau zeigen, das können...

FreiGeistler 30. Dez 2014

Blödsinn. Nutze mal die Suchfunktion. Von wegen Telekom und co.

derdiedas 30. Dez 2014

auch garantiert eine Backdoor in der VPN Lösung. Ich würde den großen Anbietern (vor...

Lemo 30. Dez 2014

Da sind teilweise schaurige Präsentationen dabei (optisch gesehen) aber auch sehr...

tezmanian 30. Dez 2014

Ich sag ja schon die ganze Zeit, einfach mal das Netz gemeinsam mit ganz viel Random...


Folgen Sie uns
       


LG G8x Thinq - Hands on

Das G8x Thinq von LG kann mit einer speziellen Hülle verwendet werden, die dem Smartphone einen zweiten Bildschirm hinzufügt. Golem.de hat sich das Gespann in einem ersten Kurztest angeschaut.

LG G8x Thinq - Hands on Video aufrufen
Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

Samsung CRG9 im Test: Das Raumschiffcockpit für den Schreibtisch
Samsung CRG9 im Test
Das Raumschiffcockpit für den Schreibtisch

Keine Frage: An das Curved Panel und das 32:9-Format des Samsung CRG9 müssen wir uns erst gewöhnen. Dann aber wollen wir es fast nicht mehr hergeben. Dank der hohen Bildfrequenz und guten Auflösung vermittelt der Monitor ein immersives Gaming-Erlebnis - als wären wir mittendrin.
Ein Test von Oliver Nickel

  1. Speichertechnik Samsung will als Erster HBM2 in 12 Ebenen und 24 GByte bauen
  2. Samsung Fehler am Display des Galaxy Fold aufgetreten
  3. Samsung Displaywechsel beim Galaxy Fold einmalig vergünstigt möglich

IT-Freelancer: Paradiesische Zustände
IT-Freelancer
Paradiesische Zustände

IT-Freiberufler arbeiten zeitlich nicht mehr als ihre fest angestellten Kollegen, verdienen aber doppelt so viel wie sie. Das unternehmerische Risiko ist in der heutigen Zeit für gute IT-Freelancer gering, die Gefahr der Scheinselbstständigkeit aber hoch.
Von Peter Ilg

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

    •  /