Abo
  • IT-Karriere:

Verschlüsselung: Die NSA-Attacke auf VPN

Wie sehr sich die NSA für die Infiltrierung von VPNs interessiert, zeigen umfangreiche Dokumente, die jetzt veröffentlicht worden sind. Mit aktueller Verschlüsselung hat der Geheimdienst aber Probleme.

Artikel veröffentlicht am ,
Für den Zugriff auf VPNs mit IPSec muss die NSA private Schlüssel ergattern.
Für den Zugriff auf VPNs mit IPSec muss die NSA private Schlüssel ergattern. (Bild: NSA)

Die NSA interessiert sich brennend für Daten, die über virtuelle private Netzwerke (VPN) fließen. Solche VPNs galten bislang als sichere Kommunikationskanäle, über die sich Mitarbeiter ins Firmennetzwerk oder Dissidenten in repressiven Ländern ins freie Internet verbinden. Den eigenen Unterlagen nach hat sich der US-Nachrichtendienst bereits in viele solcher Netzwerke gehackt, obwohl sie eigentlich verschlüsselt sind. Eine eigene Abteilung kümmert sich darum, VPNs zu infiltrieren. das geht aus jetzt veröffentlichten Dokumenten hervor, die aus dem Fundus von Edward Snowden stammen.

Stellenmarkt
  1. AKDB, Regensburg
  2. Witt-Gruppe, Weiden in der Oberpfalz

Die Dokumente zeigen auch, woher die NSA die privaten Schlüssel bekommt und welche Ziele der Geheimdienst primär angreift.

Die Suche nach Schwachstellen und Schlüsseln

Die bei der NSA zuständige Abteilung für die Infiltrierung von VPNs nennt sich OTP VPN Exploitation Team, wie aus einem Dokument aus dem Jahr 2010 hervorgeht. Sie bieten nach eigenem Bekunden Unterstützung bei zahlreichen Verschlüsselungsprotokollen, die bei VPNs genutzt werden, etwa IPSec oder PPTP. Auch SSL und SSH stehen auf der Liste der Verschlüsselungsprotokolle, die der Geheimdienst nach Schwachstellen durchsucht.

Die Dokumente geben aber keine Hinweise darauf, dass die NSA aktuelle Verschlüsselungen geknackt hat. Vielmehr nutzt der Geheimdienst bestehende Schwächen oder sammelt so viele private Schlüssel wie möglich, egal ob sie für IPSec, SSL oder SSH-Verbindungen benötigt werden. Diese werden in einer Datenbank hinterlegt, auf die die zahlreichen Auswertungswerkzeuge wie Xkeyscore zugreifen können. Eine Quelle für private Schlüssel wird in den Dokumenten explizit erwähnt: Router mit Schwachstellen. Wenn für ein bestimmtes Ziel noch kein Schlüssel vorliegt, können NSA-Agenten die sogenannten TAOs beauftragen, gezielt Hardware zu infiltrieren.

Gehackte Airlines und Banken

Aus Dokumenten von 2008 geht hervor, dass die NSA sich zu zahlreichen VPNs Zugang verschafft hatte, die noch das bereits unsichere Point-to-Point Tunneling Protocol (PPTP) verwendeten. Dazu gehörten unter anderem die staatlichen iranischen und jordanischen Fluggesellschaften, Telekommunikationsunternehmen in Afghanistan, Netzwerke des pakistanischen Geheimdienstes oder des türkischen diplomatischen Corps. Auch das Netz des Finanzinstituts Zaad war ein Ziel der NSA, denn darüber würden "somalische Terroristen" ihre Finanzen abwickeln. PPTP gilt allerdings seit Herbst 2012 als unsicher. Damals gelang es dem Verschlüsselungsexperten Moxie Marlinspike, dessen zu schwache Verschlüsselung zu knacken.

Die massive Rechenleistung benötigt die NSA daher offenbar, um die enormen Datenmengen zu verarbeiten, die bei VPN und auch Voice-over-IP-Verbindungen für die Internettelefonie anfallen. Zum einen werden dabei Datenpakete geöffnet und zugeordnet. Zum anderen müssen die anfallenden Daten dekomprimiert werden. Und schließlich wandern die Daten in die einzelnen Datenbanken, von denen aus sie über XKeyscore durchsucht werden können.

Zunehmende Verschlüsselung ist für die NSA eine Katastrophe

In den Dokumenten gibt es konkrete Hinweise darauf, dass die NSA nur passiv abgehörte Daten ohne eingesetztes Forward Secrecy entschlüsseln kann. Chat-Programme, die die Erweiterung Off-The-Record (OTR) verwenden, bereiten dem Geheimdienst offensichtlich ebenfalls Probleme. Das von Phil Zimmermann entwickelte Protokoll ZRTP für verschlüsselte Telefonie sei eine "Katastrophe" und führe zu einem "fast vollkommenen Kontrollverlust über die Kommunikation eines Ziels".

Außer Frage steht, dass die NSA auch versucht, aktuelle Verschlüsselungsprotokolle zu knacken. Auch dafür braucht der US-Geheimdienst Rechenleistung und kooperiert dabei eng mit dem britischen GCHQ. In einer Folie der NSA heißt es, wenn etwas noch nicht ausgenutzt werden könne, heiße das nicht, dass es nicht später klappen werde.



Anzeige
Top-Angebote
  1. (u. a. Lenovo Legion Y530-15ICH für 699€ + Versand - Bestpreis!)
  2. ab 99,00€
  3. (u. a. GTA 5 für 12,99€, Landwirtschafts-Simulator 19 für 27,99€, Battlefield V für 32,99€)

AllAgainstAds 03. Jan 2015

das die Aussagen immer nur recht wage sind und niemals genau zeigen, das können...

FreiGeistler 30. Dez 2014

Blödsinn. Nutze mal die Suchfunktion. Von wegen Telekom und co.

derdiedas 30. Dez 2014

auch garantiert eine Backdoor in der VPN Lösung. Ich würde den großen Anbietern (vor...

Lemo 30. Dez 2014

Da sind teilweise schaurige Präsentationen dabei (optisch gesehen) aber auch sehr...

tezmanian 30. Dez 2014

Ich sag ja schon die ganze Zeit, einfach mal das Netz gemeinsam mit ganz viel Random...


Folgen Sie uns
       


Cray X Exoskelett angesehen (Hannover Messe 2019)

Cray X ist ein aktives Exoskelett, das beim Heben unterstützt. Das Video stellt das System vor.

Cray X Exoskelett angesehen (Hannover Messe 2019) Video aufrufen
Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Smartphone Oneplus 7 Pro hat kein echtes Dreifach-Tele
  2. Oneplus Upgrade auf Android 9 für Oneplus 3 und 3T wird verteilt
  3. Smartphones Android-Q-Beta für Oneplus-7-Modelle veröffentlicht

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

    •  /