NSA Portscans: Angreifbare Server lokalisieren und kompromittieren

Geheimdienste aus dem Five-Eyes-Netzwerk setzen flächendeckend und systematisch Portscanner ein, um das Netz von kompletten Staaten nach angreifbaren Systemen zu durchsuchen. Das berichtet Heise online unter Berufung auf als streng geheim klassifizierte Dokumente, die die Redaktion ausgewertet und zum Teil veröffentlicht hat.

Demnach erfolgen die Portscans durch das Programm „Hacienda“, das in erster Linie von der NSA, dem britischen Geheimdienst GCHQ und dem kanadischen Geheimdienst CSEC vorangetrieben wird. Die Absicht dahinter ist, so die Analyse von Heise Online, „nichts weniger als eine Kolonialisierung des Netzes“. In einer internen Präsentation aus dem Jahr 2009 verkündete der GCHQ, dass man zu diesem Zeitpunkt bereits 27 Staaten vollständig durchsucht habe.

Im Visier haben die Geheimdienste gängige Protokolle wie HTTP, FTP, SSH und SNMP. Dabei sind flächendeckende Portscans an und für sich kein außergewöhnliches Phänomen. Schon im letzten Jahr war es mit Tools wie Zmap möglich, innerhalb einer Stunde den gesamten IPv4-Adressraum zu scannen. Schockierend ist laut Heise Online jedoch nicht die Technologie, die auch Online-Kriminelle bei der Suche nach Opfern im Netz verwenden. Sondern „deren massive, praktisch lückenlose Ausnutzung gegen beliebige Systeme und potentiell alle Nutzer im Netz.“

Ziel: Angreifbare Systeme weltweit lokalisieren

Wie viele Systeme die Five-Eyes-Geheimdienste mittels Portscans insgesamt erfasst haben, ist in den vorliegenden Dokumenten nicht vermerkt. Ebenso wenig ist die Anzahl der kompromittierten Systeme in Deutschland bekannt. „Doch Konzipierung, die angedeutete Frequenz der Scans und die stetigen Upgrades lassen kaum Zweifel zu, dass es sich um eine große Zahl handeln muss“, so Heise Online. So koordiniert der GCHQ etwa ein Programm zur „Beherrschung des Internet“, mit dem die Geheimdienste „jedes nur mögliche System“ attackieren wollen. Denn selbst wenn es sich bei einem kompromittierten System um kein direktes Ziel handelt, kann es womöglich als Ausgangspunkt für entsprechende Angriffe dienen.

Denn die Portscans stellen nur den ersten Schritt im Gesamtkonzept dar, wie eine NSA-Präsentation zeigt. Nachdem man die Schwachstellen in potentiellen Zielen lokalisiert hat, werden die Systeme kompromittiert und übernommen – etwa mittels Zero-Day-Attacken. Informationen über solche Sicherheitslücken hortet unter anderem die NSA.

Bei Programmen wie „Landmark“ (CSEC) und „Mugshot“ (GCHQ) nutzen die Geheimdienste kompromittierte Systeme – bezeichnet als „Operational Relay Box“ (ORB) – für das Verschleiern des Datenverkehrs, der etwa bei verdeckten Angriffen anfällt. Um möglichst viele neue ORB-Systeme in das Netz aufzunehmen, scannt der CSEC zwei- bis dreimal pro Jahr das Netz. Auf diese Weise sollen Agenten innerhalb eines Tages über 3.000 potentielle ORB-Systeme identifizieren können. Eingeschränkt wird die Suche lediglich durch den Vorbehalt, dass diese nicht in den Five-Eyes-Staaten liegen dürfen.

Abwehr-Tool gegen Portscans der Geheimdienste

Weitere Details zu den Portscan-Methoden der Geheimdienste liefert Heise Online in einer ausführlichen Analyse. Zudem wird mit TCP Stealth ein Tool vorgestellt, das von zwei Nachwuchsforschern der Technischen Universität München, Christian Grothoff und Julian Kirsch, sowie dem Internetaktivisten Jacob Appelbaum entwickelt wurde. Die Software soll Server gegen willkürliche Portscans abschirmen, um unter anderem Geheimdienst-Programme wie Hacienda auszuhebeln.

Derweil wollten sich weder die NSA noch der GCHQ auf Anfrage von Heise Online zu den Enthüllungen äußern. Ein Sprecher des Bundesinnenministeriums blieb ebenfalls allgemein: „Seit Jahren werden elektronische Angriffe gegen Verwaltungseinrichtungen, Forschungsinstitute und Wirtschaftsunternehmen festgestellt.“ Bei diesen handele es sich vermutlich um nachrichtendienstlich gesteuerte Angriffe. Inwieweit deutsche Dienste – bewusst oder unbewusst – auf Informationen zugreifen können, die infolge der Portscans gesammelt wurden, ist nicht bekannt.