Standort: fm4.ORF.at / Meldung: "Wie die NSA mit Cyber-Kriminellen kooperiert "

Musik, Film, Heiteres

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

16. 3. 2014 - 18:35

Wie die NSA mit Cyber-Kriminellen kooperiert

Die neuen Dokumente Glenn Greenwalds zeigen, dass die NSA dieselben Methoden wie Kriminelle nutzt. Statt sie vom Netz zu holen werden diese Gangs instrumentalisiert.

Die neuesten, von Aufdecker Glenn Greenwald am Donnerstag veröffentlichten NSA-Dokumente lassen keine Zweifel daran, dass die NSA Aktivitäten von Cyber-Kriminellen nicht nur toleriert, sondern auch indirekt mit diesen Gangs zusammenarbeitet. Durch die systematische Sabotage von Sicherungsmechanismen und das Verbreiten von Schadsoftware durch NSA und GCHQ wiederum werden enorme Löcher in die Sicherheitsinfrastruktur gerissen, was den Kriminellen entgegenkommt.

Die neuen Dokumente Greenwalds betreffen die bereits vom Angriff auf den belgischen Provider Belgacom bekannte QUANTUM-Software und hatten einen Wutanfall von Facebook-Gründer Mark Zuckerberg zur Folge. In seinem offenen Brief vom Donnerstag stellte Zuckerberg einen direkten Zusammenhang zwischen den Aktivitäten der US-Geheimdienste und Cyber-Kriminellen her. "Wenn unsere Techniker rastlos für höhere Sicherheit arbeiten", dann hätten sie dabei "den Schutz der Benutzer gegen Kriminelle im Auge, aber nicht Schutz gegen die eigene Regierung", schrieb Zuckerberg auf seiner Facebook-Seite.

Schlüsselrolle für Browser

Der Angriff auf die Belgacom mit dem Codenamen "Operation Socialist" diene dem "Ausbau der Sammlung und der Kapazitäten, um die Belgacom besser abzuschöpfen", heißt es in den Powerpoint-Folien des GCHQ , die wie alle Dokumente auf Edward Snowden zurückgehen. Man habe "Schlüsselpersonal" erfolgreich angegriffen, also Techniker im Administratorenrang mit Vollzugriff auf alle Systeme, hieß es.

Aus den Dokumenten Greenwalds geht hervor, dass die Angriffsrechner von NSA/GCHQ als legitime Server von Facebook und anderen Internetfirmen getarnt sind, um der jeweiligen "Person von Interesse" Schadsoftware unterzujubeln. Solche Angriffe im Interesse der "nationalen Sicherheit" sind technisch deckungsgleich mit Attacken durch Kriminelle, die es etwa auf Zugangsdaten zum Online-Bankverkehr abgesehen haben. In beiden Fällen spielen Webbrowser eine Schlüsselrolle, ob die Mittelsmann-Angriffe ("Man-in-the-Middle-Attacks") erfolgreich sind.

Ermöglicht werden sie durch den schwarzen Markt, auf dem bis dahin unbekannte Sicherheitslücken samt den entsprechenden Skripts für Angriffe gehandelt werden. Wegen der großen Nachfrage nach solchen "Zero-Day-Exploits" sind die Preise dafür enorm gestiegen. Das zeigte sich auf dem größten, einschlägigen Event, das Mittwoch und Donnerstag über die Bühne ging.

850.000 Dollar Prämien

Auf der von HP veranstalteten zweitägigen Pwn2own-Konferenz wurden insgesamt 850.000 Dollar an Prämien für neu entdeckte Sicherheitslöcher in Webbrowsern ausgeschüttet. Den Löwenanteil - fast die Hälfte - staubte mit Vupen dabei eine Firma ab, die mit solchen "Zero Day Exploits" handelt und sie gegen Höchstgebot verkauft. Erst Anfang März hatte eine Anfrage nach dem Informationsfreiheitsgesetz in den USA ergeben, dass auch die NSA bei Vupen kauft.

Vom Internet Explorer angefangen, über Firefox, Chrome und Safarі wurden auf der Pwn2own neue Angriffe gegen alle gängigen Browser erfolgreich demonstriert. Damit wurden sie eigentlich schon abgewehrt, weil die Browser-Hersteller darüber informiert wurden, das ist der Zweck der Pwn2own-Konferenz. Es ist also in Kürze mit einer Serie von Sicherheits-Updates bei allen Browsern zu rechnen.

Die hochdotierte Pwn2own-Konferenz geht auf eine Initiative Sicherheitsfirma "Tipping Point" aus dem Jahr 2005 zurück. Die damals für Sicherheitsexperten ausgelobten Prämien von bis zu 50.000 Dollar pro Jahr, sind auf der Pwn2own nun binnen ein es Tages zu verdienen

Wie das Geschäft funktioniert

Das Geschäft mit solchen Sicherheitslücken ist sehr lukrativ, aber auch risikobehaftet. Die Entdeckung ist in der Regel zeit- und arbeitsintensiv, zum Einsatz kommen entsprechend teure Teams von Spezialisten. Die Abnehmer in diesem zwielichtigen Geschäft sind Mittelsmänner von Kriminellen, Vertragsfirmen der Geheimdienste aber auch bestimmter Polizeibehörden in Staaten, in denen der Einsatz von Schadsoftware zur Strafverfolgung legal ist.

Auch in Österreich gab es solche Begehrlichkeiten der Gesetzeshüter nach "Online-Durchsuchungen" bzw. "Fern-Forensik", in Deutschland bürgerte sich dafür der wesentlich genauere Begriff "Bundestrojaner" ein. Von der Technik her passiert in allen Fällen nämlich dasselbe, der PC des Benutzers wird - auf welchem Weg auch immer - mit Schadsoftware infiziert.

Von "Phishern" bis zur NSA

Wurde dies früher in erster Linie über verseuchte Mail-Anhänge praktiziert, so wird inzwischen über Sicherheitslücken in Webbrowsern angegriffen, die dann auf präparierte Websites umgeleitet werden. Diese "Drive-by-Infections" sind inzwischen die Standardangriffsform, egal ob es sich um gemeine "Phishing"-Kriminelle, Wirtschaftsspione oder eben staatliche Akteure wie NSA oder GCHQ handelt. Den Browsern kommt dabei eine Schlüsselrolle zu.

Die letzte Forderung nach einer "Online-Dursuchung" in Österreich, also den Einsatz von Schadsoftware durch Polizeibehörden kam von der damaligen Innenministerin Maria Fekter im Jahr 2009

Wie die neuesten Dokumente Greenwalds zeigen, benutzt die NSA dabei die Cookies von Facebook oder Google als "Identifikatoren". Diese in allen Webbrowsern präsenten Marker dienen Internetfirmen dafür, ihre Benutzer zu identifizieren, damit individualisierte Dienste angeboten werden können. Da Cookies in der Regel im Klartext über das Netz gehen, können sie von jedem eingelesen werden, der über Zugriff auf den Datenverkehr an den wichtigen Internetknoten verfügt.

Falsche Facebook-Server

An diesen Flaschenhälsen - "Choke Points" im Jargon der NSA - werden "Personen von Interesse" verfolgt, indem die Cookies in ihren Browsern ausgelesen werden. Sobald der Browser dann eine Anfrage an einen Facebook-Server richtet, tritt die QUANTUM-Suite der NSA in Aktion und gibt sich dabei als "Facebook"-Server aus. Der Browser kommuniziert dann mit einem Server der NSA, der den Zielrechner über eine Sicherheitslücke im Browser mit Schadsoftware infiziert.

Der einzige wesentliche Unterschied zwischen der NSA und kriminellen Gangs ist in der Dimension der Angriffe. Von den schier unbegrenzten Budgets angefangen bis zur Präsenz auf vielen wichtigen Netzknoten sind große Geheimdienste hier sämtlichen Cyber-Kriminellen weitaus überlegen. Gerade der von der NSA geführte weltumspannende Geheimdienstverbund könnte mit den Cyber-Kriminellen relativ schnell aufräumen, was aber ebensowenig zu erwarten ist, wie ein konzertiertes Vorgehen Russlands oder Chinas gegen die eigenen Botnet-Gangs.

Wie die Zusammenarbeit funktioniert

Die Aktionen der Kriminellen im Netz eignen sich zum einen hervorragend dazu, die eigenen, subtiler angelegten Spionageaktivitäten zu verschleiern. Zum zweiten lässt sich im Bedarfsfall blitzartig eine ganze Armee von PCs rund um die Welt aus dem Boden stampfen, indem die Kommando- und Kontrollstruktur der Botnets einfach übernommen wird.

Privacy International hat einen sehr guten, aktuellen Überblick über die wenigen bekannten Player in Geschäft mit "Zero-Day-Exploits"

Diese für Spam-Mails oder DDoS-Attacken zur Erpressung der Betreiber von kommerziellen Websites rund um die Welt gekidnappten Rechner ahnungsloser User werden auch als "Zombies" bezeichnet. Sie führen einfach die Befehle der Kommando-Server aus. Was da in welchem Ausmaß kommandiert wird, hängt davon ab, wer Teile oder das gesamte Botnet zu welchen Zwecken mietet.

In analoges Kriegsgeschehen übersetzt, würde ein Aufräumen in diesem dunklen Teil des Internets durch die Militärgeheimdienste bedeuten, die bestehende, gute Deckung an einer strategisch wichtigen Position aufzugeben. Zudem verlöre man dadurch die Möglichkeit, je nach Bedarf auf "Söldnertruppen" zurückzugreifen, indem man Botnets von Kriminellen für seine Zwecke instrumentalisiert. Das ist der Hauptgrund, warum der kriminelle Cyber-Untergrund sich bis jetzt so resistent gegen strafrechtliche Verfolgung erwiesen hat.

DDoS-Duelle um die Krim

Die "ukrainischen Patrioten" nennen sich nach den berüchtigten, Spezialeinheiten des Janukowitsch-Regimes "Cyber Berkut" und haben neben der NATO eine große Anzahl ukrainischer Websites angegriffen. Die russische Seite wiederum beschuldigt die CIA der Angriffe auf die Referendums-Website

Aktuelle Beispiele dafür braucht man nicht lang zu suchen, denn die jüngsten derartigen Angriffe liegen nicht mehr als 24 Stunden zurück. Am Samstag holte eine Serie von schweren DDoS-Attacken die Website der NATO stundenlang vom Netz, nachdem Generalsekretär Anders Fogh Rasmussen das heutige Referendum über die Abspaltung der Krim dort als "illegal" bezeichnet hatte. Zum Angriff auf die NATO bekannten sich "ukrainische Patrioten", die gegen eine Einmischung der NATO in den Konflikt zwischen der Ukraine und Russland sind.

Die russische Referendumswebsite wurde - nach eigenen Angaben - ebenfalls angegriffen, die Betreiber dort beschuldigen die CIA der Urheberschaft dieser DDoS-Attacken.

Haftungsausschluss

Die ORF.at-Foren sind allgemein zugängliche, offene und demokratische Diskursplattformen. Die Redaktion übernimmt keinerlei Verantwortung für den Inhalt der Beiträge. Wir behalten uns aber vor, Werbung, krass unsachliche, rechtswidrige oder beleidigende Beiträge zu löschen und nötigenfalls User aus der Debatte auszuschließen. Es gelten die Registrierungsbedingungen.

Forum

Zum Eingabeformular Kommentieren

  • johnleehookerelectro | vor 833 Tagen, 19 Stunden, 5 Minuten

    http://arstechnica.com/tech-policy/2014/03/in-sudden-announcement-us-to-give-up-control-of-dns-root-zone/

    well die us regierung und NSA haben nichtmal mehr macht um sich ihre DNS rechte zu sichern..stake holder habens nun...

    NSA is ein feuchter furz gegen eine firma die bald soviel macht hat wie die fiktive weyland corp or what not

    Auf dieses Posting antworten
    • johnleehookerelectro | vor 833 Tagen, 19 Stunden, 1 Minute

      die mit künstlicher intelligenz und bioalgorythmen..o moment..google hat soviel macht und rescourcen mittlerweile

      ich finds ja saugeil da es sowas gibt weil die kehrseite der industrie immer besseren scheiss übrig lässt als das burgtheater

      aber die andere kehrseite is halt echt frightning und bedenklicher als die NSA

      oder darpa...(mit google e auch well connected)
      http://www.datanami.com/datanami/2014-02-24/darpa_seeks_to_unlock_big_data_mechanisms.html

  • dergrossenagus | vor 834 Tagen, 1 Stunde, 21 Minuten

    der italienische Staat

    hat doch auch mit der Mafia kooperiert - insofern wundert mich das einen Dreck, dass d´NSA mit den Cyber-Gangstern kooperiert. Immerhin braucht d´NSA selbst entsprechende Gangster, die entsprechendes Know-how haben. Weil selbst können die alten Säcke da drin in der NSA nicht spionieren.

    Auf dieses Posting antworten
    • tantejutta | vor 834 Tagen, 58 Minuten

      Spionieren können's ziemlich gut

      bloß mit der Analyse haperts sakrisch und genau da wär die Intelligence drin. Die Botnet-Deppen sind halt sowas wie Contractors, allerdings solche unterster Klasse. Wenns nicht spuren, werdens erpresst, wenns brav sind und richtigen Sites DDoSen - also Compliance - kriegens vielleicht sogar bissel was aus der Kaffeekasse von Ft. Meade.