Blog

Die Schatzkarte (Update 02.10.2014)

Ihr habt sicher die Nachrichten verfolgt. DER SPIEGEL hatte berichtet, dass einige deutsche Provider gezielt von der NSA und dem GCHQ gehackt wurden bzw. Zugang besteht, um wie immer an Daten zu kommen. Daten, Daten, Daten! In den Fokus ist unter anderem das Unternehmen Stellar, aber auch die Deutsche Telekom geraten. Im Fall von Stellar soll die Staatsanwaltschaft Ermittlungen aufgenommen haben. Weitere Unternehmen laut den Folien der NSA waren Netcologne, aber auch M-NET wurde genannt. Wir wissen aber, dass das erstmal nichts heisst. So wirklich verwundert hat mich jetzt nicht, dass die Provider von Interesse sind. Was mich aber stutzig gemacht hat, war die Aussage, Zitat SPON: “Jedes Gerät, Immer und überall”. Mit Blick auf die Folien der NSA kann ich den Aussagen nicht zustimmen. TreasureMap ist Standard. Mehr nicht! Die Folien selbst schränken die Aussage ja auch mit einem Sternchen ein! Überrascht? Kommen wir mal zu der für mich aufarbeitungswürdigen Geschichte.

So heisst es auf heise.de einmal, dass Stellar mitgeteilt hat, Zitat: “eine Kompromittierung unserer eigenen Systeme habe man zu keiner Zeit feststellen können.”. Netcologne formuliert es so, Zitat: “Da es sich um eine widerrechtliche Verletzung der Sicherheitsprotokolle handeln würde, steht das Unternehmen vorsorglich bereits im Austausch mit den Sicherheitsbehörden.”. Und auch die Telekom meint, dass ihre Systeme nicht kompromittiert wurden. In dem dazugehörigen Blogeintrag der Telekom heisst es unter anderem, Zitat: “Für eine Manipulation unserer Netze konnten wir keine Anhaltspunkte feststellen.” oder, Zitat: “Einen Nachweis, dass unser Netz in Deutschland und Europa manipuliert wurde, gibt es aber nicht.” Die Theorie der Telekom lautet hier eher, Zitat: “Näher liegt eine andere These: Der Internetverkehr verläuft weltweit und hat seine wichtigsten Knotenpunkte in den USA. Wenn der amerikanische Geheimdienst darauf zugreifen möchte, kann er es von dort aus auf eigenem Hoheitsgebiet (…)”.

Ist Euch was aufgefallen? Alle reden von Manipulation. Erst hieß es die NSA und GCHQ haben Zugang, dann wurde schnell Hacking daraus. Die Firmen haben dann nach diesen Anhaltspunkten gesucht. Die Folien zum Thema haben jedoch keinerlei eindeutige Hinweise enthalten, die einen Einbruch in die Systeme nahelegen. Es gab zwar Passwortangaben bei der Firma Stellar, aber das heisst nicht, dass das genutzt wurde. Sollte das Passwort je im Klartext per Web übertragen worden sein, hätte es auch leicht abgefangen werden können. Auch das Aufschlüsseln der Mitarbeiter ist relativ unbedeutend. Welches Unternehmen hält seine Mitarbeiter geheim? (Außer Geheimdienste und deren Firmen! ;c) ) In der öffentlichen Wahrnehmung ist es politisch manchmal wichtig die Wahrheit nicht in den Fokus zu stellen, sondern einfach über etwas Anderes zu reden. Hier eben Manipulation! Ich habe mir die Unterlagen jetzt mal lange angeschaut und bin der Überzeugung, dass die NSA und der GCHQ im Fall von TreasureMap sich weder in die Provider reingehackt haben, noch, dass irgendwas bei den Providern direkt manipuliert wurde. Funktionieren tut sowas natürlich, aber in diesem Fall glaube ich aus verschiedenen Gründen nicht daran. TreasureMap ist nur ein Werkzeug aus einer Reihe von Werkzeugen, die in ihrer Gesamtheit gefährlich und in Bezug auf das Verknüpfen von Daten die Rechte von Bürgern angreifen. Technisch gesehen ist TreasureMap nur eine Sammlung von Anfragen und Antworten auf Basis der Durchführung von einer Reihe Netzwerkbefehlen auf einer für Normalnutzer sehr langweiligen Netzwerkebene, aber mit grafischer Darstellungsmöglichkeit. Damit könnten dann auch die unbedarftesten und schlecht bezahltesten Admins beim Geheimdienst zurechtkommen.

In diesem Zusammenhang schauen wir uns deshalb drei Möglichkeiten an. Auf alle Fälle greifen wir trotz meiner Aussage die möglichen Manipulationsmöglichkeiten auf. Dafür müssen wir kurz auf andere NSA-Veröffentlichungen zurückgreifen und die aktuellen Folien nutzen. Ihr könnt dann selbst bewerten ob Ihr das für ein mögliches Szenario haltet. Zweitens schauen wir, ob die NSA schlicht legale Werkzeuge genutzt hat, die auch uns zur Verfügung stehen, um Daten über Netzwerke und Routen und Geräte zu sammeln. Und zum Dritten prüfen wir eine naheliegende Vermutung, die in Zeiten des Misstrauens wohl von den Meisten aufgegriffen wird, aber bisher scheinbar niemanden interessiert hat. Provider in Deutschland müssen Zugangspunkte für Behörden zur Verfügung stellen. Das wisst Ihr alle! Behörden haben das Recht (je nachdem was sie für eine Erlaubnis benötigen) Daten direkt abzugreifen. Die Nutzung dieser Zugriffspunkte wäre keine Manipulation und sicher auch kein rechtlich legales Mittel (nur technisch legal), sondern würde nur in Zusammenarbeit mit den betroffenen Unternehmen, oder mit deutschen Diensten funktionieren. Gehen wir das mal durch!

 

Manipulationen

Die Spiegeljournalisten haben den betroffenen Unternehmen wohl im Juli Zugriff auf die Unterlagen gewährt. Laut den betroffenen Presseverlautbarungen haben alle Firmen interne Prüfungen durchgeführt. Sie wollen alle nichts gefunden haben. Kann das sein?

Das NSA-Programm TreasureMap soll durch seine Funktion eine Art Karte aller Internetgeräte darstellen können. Wer schon mal aus Versehen mit bspw. dem Tool dude statt eines internen Scans kurzzeitig einen externen Scan ins Internet gemacht hat (Asche auf mein Haupt!), weiß, wie so eine Karte aussehen könnte. (Ja, Ihr könnt das alles selbst ausprobieren!) Wenn man den Traffic innerhalb eines Netzwerkes mitschneidet, kann man derartige Scans feststellen. Vor allem, wenn sie sich wiederholen. Und sie müssen sich wiederholen, damit die Schatzkarte aktuell bleibt. Ich gehe aber mal aus eigener Erfahrung davon aus, dass das aber tatsächlich nicht weiter bei den Providern mitgeloggt wird. Höchstens ein paar Stunden, um Probleme oder Fehler festzustellen. Das Volumen wäre gewaltig. Und ohne zu wissen was man suchen muss, müssten die Jungs bei der Telekom und den anderen Providern den kompletten Traffic durcharbeiten. Viel Spass! In kleinen Netzwerken ist das vorstellbar, aber nicht in diesem Fall.
Wenn man also bei der Trafficüberwachung nicht weiterkommt, sollte man seine Untersuchungen auf Hardware konzentrieren. Das wird aber auch zum praktisch unlösbaren Problem! In den Rechenzentren stehen massig Rechner, Switche, Router und und und. Die meisten Provider wissen doch gar nicht was die Kunden da treiben. Hier fündig zu werden, wird für die Provider ziemlich schwierig. Im Grunde könnten sie das nur, wenn sie auch hier den kompletten internen Datenfluss mitschneiden, um Ursprungsgeräte, die derartige Scans durchführen, zu identifizieren. Die andere Alternative wäre eine forensische Analyse JEDES Systems und der eingesetzten Software. Also alle Kunden verdächtigen und die Geräte und den Inhalt und die Software prüfen. Völlig ausgeschlossen!
Geräte die derartige Scans durchführen, schicken entsprechende Datenpakete ab und erhalten natürlich auch Antworten von den gescannten Geräten. Sonst gäbe es keine Karte! Wenn die Unternehmen das in den letzten Wochen geprüft haben, hätten sie wie bereits oben gesagt einen ziemlich großen Heuhaufen. Ich glaube in ganz Deutschland gibt es nicht genug Personal, um eine Hardwareprüfung oder Netzwerkprüfung in dem Ausmaße durchzuführen und auch eine Trafficanalyse würde Jahre dauern. Ich bin überzeugt, dass sie in dieser Richtung nicht fündig geworden sind, weil die Menge einfach zu groß ist. Die Größe der Netze und Geräte ist mittlerweile zu gewaltig und zu vielfältig. Wir können höchstens erahnen welche Operationen durchgeführt werden und auf Häufigkeit setzen! Wenn ich davon ausgehe, müssten die Provider, um Ursprungstechnik festzustellen, netzwerküblichen Datenverkehr komplett inhaltlich prüfen, filtern und auswerten. Sie müssten über längeren Zeitraum wiederkehrende Muster erkennen. Das halte ich aber für nicht umsetzbar. Es besteht nämlich auch die Möglichkeit, dass TreasureMap nicht kontinuierlich Daten sendet und empfängt, sondern nur, wenn jemand im Geheimdienst Daten benötigt. (Ich würde so vorgehen, um kein Muster zu hinterlassen!)
Wenn also die interne Logprüfung, Prüfung von Kundenhardware und eine Liveüberwachung nichts gebracht haben, oder nicht möglich waren, muss man auf die eigene eingesetzte Provider-Software und Provider-Hardware schauen. Das Problem könnte schon in der Hardware liegen. NSA-manipulierte Hardware bei der Telekom ist ja nicht auszuschließen. Die Technik wird gekauft, konfiguriert und eingesetzt. Mehr machen die Anwender/Admins hier nicht. Was in den Fabriken und unterwegs passiert, wissen wir aus den Snowdendokumenten. So wurde tatsächlich Technik abgefangen, manipuliert und weiterversendet. Wird also manipulierte Hardware an den wichtigen Knotenpunkten eingesetzt, könnten die Scanvorgänge versteckt werden. Um das herauszufinden, müsste eine Firmwareprüfung für die Geräte durchgeführt werden und natürlich auch eine Trafficanalyse nur bei diesen speziellen Geräten. Das mit der Firmware und dem Traffic kann ich mir noch vorstellen. Ein Firmwareimage prüfen und wenn okay auf alle Geräte verteilen. Das funzt! Weiter wäre eine gezielte Hardwareprüfung nötig. Aus meiner Sicht eine Möglichkeit in diesem Bereich die sinnvoll wäre. Aber anders als bei Firmwareimagen müsste tatsächlich jedes eingesetzte Gerät auf Hardware-Manipulationen geprüft werden. Manipulierte Hardware kann unabhängig vom firmwaregesteuerten System arbeiten. Diese Prüfung ist aber auch völlig ausgeschlossen! Einmal weil die Provider weder Personal noch Zeit dafür haben, noch, dass die Hersteller (besonders aus der USA) bereit wären sich in die Karten gucken zu lassen. … und wir hätten Jahre kein Netz. Hier wären zehntausende Switche betroffen! So, wie ich große Firmen kenne, würde ich wetten, dass auch bei den Providern, die tausende Geräte in ihrem Inventar nutzen, nicht mal aktuelle Firmware drauf ist. Und sicher nicht auditiert. :c)

Eine weitere Möglichkeit für die NSA wäre die Nutzung weiterer manipulierter Geräte über Malware. Grundsätzlich ist das auch nicht auszuschließen, denn bereits im letzten Jahr wurde bekannt, dass die NSA über 50.000 Rechner weltweit mit Malware infiziert hat. Das dürfte bei guter Verteilung ausreichend sein, um relativ viele Scans durchführen zu können. Die Geräte könnten ganz plump einfach ohne besonderen Standort auskommen. Einfach nur ein infizierter PC auch bei uns zuhause. Mehr nicht. Dazu noch die in den TreasureMap genannten Server in verschiedenen Rechenzentren. Ein simples Botnetz, dass nur pingt und Routen verfolgt. Die infizierten Rechner kommunizieren dann höchstens mit den zentralen 13 Server der NSA, aber nie untereinander. Die auszuführenden Operationen sind nicht sehr datenintensiv und auch nicht sehr auffällig und grundsätzlich auch nicht verboten, weil es normale Netzwerkbefehle sind. Selbst Sicherheitssoftware würde nicht anspringen. Hier kann auch kein Provider was finden, weil er dann auch die Rechner aller Kunden scannen und kennen müsste. Und ich meine nicht nur die Kundenserver in eigenen Rechenzentren, sondern auch unsere PCs zu hause, denn die reichen auch schon aus, um ins Internet zu schießen. Ich bin sicher nicht der Einzige der am Tag ab und zu mal ein paar IPs absichtlich anpingt, um die Erreichbarkeit von Webseiten zu prüfen. Das zu unterscheiden ist unmöglich. Wenn die Provider auch Ihre eigene Technik nach Malware überprüft haben und nichts finden konnten, dann müssen wir das so hinnehmen. Erinnern wir uns an den FinFisher-Hack und die Tabellen über die Sicherheitssoftware. Daraus konnte man erkennen, dass Überwachungssoftware gut versteckt werden kann. Das gilt sicher nicht nur für FinFisher. Auch hier ist auf Anhieb keine Lösung in Sicht. Die Provider müssten zur Durchführung der Aktion: “Finde TreasureMap!” das Werkzeug: “Finde TreasureMap 4.0!” besitzen. Irgendwie eine verrückte Welt.

Mein Fazit:

Eine Hardwaremanipulation und Softwaremanipulation ist möglich. Erinnern wir uns, dass versendete Hardware laut den Snowdendokumenten manipuliert wird. Auch in den TreasureMap-Dokumenten taucht immer wieder bspw. der Hersteller CISCO auf. Das hat wohl seine Gründe??? Die Verteilung von Malware ist auch bekannt. Das Auffinden der richtigen Signale ist schwer und/aber nur mit gigantischem Aufwand möglich. Also grundsätzlich und theoretisch kann nichts ausgeschlossen werden! Das festzustellen ist für mich in diesem Fall aber praktisch nicht durchführbar. Das hat auch damit zu tun, dass es nicht um zehn oder zwanzig Rechner geht. Es geht um 100.000e PCs, Switche, Server und andere Netzwerkgeräte. Bspw. auch Druckserver, Router und und und. Manipulationen könnten hier nur festgestellt werden, wenn man genau weiß wonach man suchen muss und auch nur wenn man Alles durchsucht! Die Provider und zuständigen Sicherheitsdienste müssten TreasureMap in die Finger bekommen. Anders sehe ich keine Chance. Wenn die Aussagen der Provider korrekt sind, und keine Manipulationen festgestellt werden konnten, müssen wir diese Möglichkeit ausschließen! Wenn die Provider nicht die Wahrheit gesagt haben, weil sie beteiligt sind, wird das sicher sowieso irgendwann herauskommen. Die Suche nach Schwachstellen, manipulierten Geräten und verdächtigen Signalen und Daten wird bei der Menge ergebnislos bzw. nicht nachvollziehbar sein. Wenn wir eine Manipulation als Möglichkeit ins Auge fassen, dann höchstens die simple 50.000er-Infizierungsgeschichte und die Hardwaremanipulation. Da reicht ein Gerät bei einem Provider, um Daten über andere IPs und Geräte zu sammeln. Die Vermutung, dass die Geheimdienste durch die Hersteller Hintertüren haben einbauen lassen, mag vielleicht stimmen, aber ich gehe davon aus, dass aus den Snowdendokumenten eine Beschreibung dieser Lücken bereits primär herausgestellt worden wäre. So ein Mega-Login für jedes Gerät bleibt nicht unentdeckt. Klar, es gab den merkwürdigen Netgear-Fall, Heartbleed, jetzt die Bash-Geschichte oder die Fritzbox-Löcher, aber schlechten Code gibt es überall! Aufgrund der gigantischen Datenfülle und gigantischen Hardwareanzahl kann keine Manipulationen zu finden sein! Sorry! Ist für mich nicht zu beweisen! Die Staatsanwaltschaften werden hier auch reihenweise die Ermittlungen einstellen. Bleiben für mich nur die anderen zwei Möglichkeiten. Das müssen wir dann auch noch weiter betrachten.

 

Normale Netzwerkdienste, alles legal.

Am Beispiel von Stellar hätte man ein sehr begrenztes Kommunikationsnetz gezielt ausspioniert: Satellitenkommunikation! Getrennt von allen anderen Providern und deren Erdbodennähe. Stellar bietet laut der eigenen Homepage bspw. auch VSAT-Dienste an. Ich gehe mal davon aus es wird die selbe VSAT-Technik eingesetzt, die auch ich gut kenne. (Ich arbeite ja im maritimen Bereich! VSAT kenne ich seit vielen Jahren.)
Unter diesen Umständen ist das Angriffspotential definitiv vorhanden. Theoretisch bräuchte man nur einen Zugangspunkt im Netz und müsste noch nicht einmal beim Provider direkt illegal eingehackt sein. Man muss nur Kunde sein. Und so ein Scan verursacht wenig Volumen. Damit auch wenig Kosten. Eine Scheinfirma reicht. Viele Provider kaufen auch die gleiche Technik. Ein entsprechendes Whitepaper aus diesem Jahr zeigt gravierende Sicherheitsmängel im Bereich der Satellitenkommunikation.

Was kann Stellar machen? Das Auffinden von Schwachstellen oder kompromittiertem Datenverkehr kann schwer sein, wenn man nicht genau weiß was der Hersteller oder Kunde da eigentlich an Hardware verbaut hat. Die oben bereits beschriebenen Möglichkeiten schränken den Erfolg des Providers eine Schwachstelle zu entdecken ein. Für die NSA und Anhang ist ein Scan aller Satellitenteilnehmer jedoch kein Problem. Sie können in Ruhe Fingerprints erstellen, Topologien dokumentieren und bekannte Schwachstellen ausnutzen. Und als Kunde bekommt man schnell Daten von Mitarbeitern. Selbst das in den NSA-Folien präsentierte Passwort muss kein Hack sein. Vielleicht ist es einfach nur ein Serverzugang der dann und wann mal auch Kunden gegeben wird, um bspw. Firmwareupdates runterzuladen. Ernsthaft: Viele Firmen arbeiten im IT-Bereich sehr offen und transparent mit ihren Kunden. Auch, wenn das sicherheitspolitisch falsch ist.
Aber benötigen die Geheimdienste jetzt die Fehlerquellen aus dem Whitepaper? Nein! Nicht für eine Schatzkarte! Die Schwachstellen wären erst interessant, wenn über die Schatzkarte ein Ziel ausgemacht wurde. Vorher pingen sie munter umher und sammeln die Antworten ein.

In Bezug auf die Suche nach Manipulationen bleibe ich aber bei meiner Einschätzung, dass die Jungs von Stellar (ähnlich wie oben beschrieben) sicher Nichts finden konnten. Und ob nun Kunde bei einem Satellitenprovider oder normalen DSL-Anbieter, so kann bereits ein simpler PC normale Netzwerkbefehle ausführen und auf IP-Adressen und Webseiten durchs Internet schießen. Wenn ich einen Ping absende, erhalte ich eine Antwort und weiß, dass mein Gegenüber aktiv arbeitet. Wenn ich eine Route verfolge, sehe ich viele Server und Zwischenstationen quer über den Globus. Wenn ich detaillierter scanne, kann ich Gerätetypen feststellen, sowie eingesetzte Software. Alles normale Geschichten. Diese Scans fallen vielleicht in kleineren Netzwerken auf. Aber im Internet und bei großen Providern gehen sie unter. Auch per Satellit. Vor allem sind sie nicht verboten und gehören zum normalen Arbeitsalltag eines Administrators. Desweiteren haben die Folien der NSA Informationen preisgegeben, dass sie auch kommerzielle Daten nutzen. Dazu gehören AKAMAI (Wen wundert es?), oder auch das Wort SOCIALSTAMP ist gefallen. Also Social-Media-Marketing = Tracking per Werbung. Das spielt irgendwie nirgends eine Rolle, obwohl es wahrscheinlich im Umfang noch tiefere Einblicke gibt. Wer kowabit.de kennt, weiß, dass ich kein Freund von Akamai, Online-Werbung und Tracking bin. Ich kämpfe oft mit dem Müll der aus deren Netzwerken kommt. Außerdem trackt Akamai alle Besucher die irgendwie mit denen in Berührung kommen. Sperrt an Euren Routern *akamai* und ihr werdet feststellen, dass Vieles nicht mehr funktioniert. Die hängen einfach überall drin. Die NSA und GHCQ bedienen sich aber auch schlicht öffentlicher Datenbanken, die jeder von uns nutzen kann (Bsp. RIPE). Sie brauchen gar nicht manipulieren. Bei einer guten Vernetzung- und Verknüpfungsstrategie bräuchte bspw. auch in Deutschland kein Politiker mehr nach Vorratsdatenspeicherung fragen. Ist schon alles da. Nur verteilt und durch Werbe- und Contentfirmen verknüpft. Es gibt ja immernoch ein paar Luftnummern, die gegen Vorratsdatenspeicherung kämpfen. Auch, wenn es sie gesetzlich nicht gibt, ist sie im Privatsektor faktisch vorhanden. Um das zu verhindern, müsst Ihr zugespitzt am Ende der Kette jedoch die Systemfrage stellen. Ihr wisst schon: Kapitalismus und so …

Ebenso überwachen die Geheimdienste wohl einen Pool von VPN-Endpunkten. Dazu hätte ich gerne tatsächlich mehr gewusst! :c)

Wenn TreasureMap diese normalen Dienste nutzen oder ausführen oder abfragen, ob nun mit gemieteten Servern oder eigens genutzten Geräten, ist vollkommen egal was wir davon halten, denn es sind schlicht normale Netzwerkdienste. Die erfassten Daten werden dann in eine Datenbank geschrieben (wenn überhaupt) und grafisch aufbereitet. Desweiteren möchte ich auf das Eingangszitat von SPON hinweisen, dass jedes Gerät zu jederzeit gefunden werden kann. Angeblich! Die NSA-Folien sagen das jedenfalls nicht aus! Im Gegenteil. Sie reden von 30 bis 50 Millionen IP-Adressen täglich. Hochgerechnet nur auf den IPv4-Bereich wären das vielleicht 1 von 5000 Geräten. Und auch hier ist noch nicht einmal sicher, dass jedes Gerät antwortet, jedes Gerät einen Fingerprint zulässt und es ist auch Fakt, dass hinter einer IP-Adresse wiederum ganze Netzwerke stecken mit möglichen tausenden Rechnern. Gerade bei mobilen Geräten wird definitiv nicht im Ansatz jedes Gerät identifiziert, wenn diese normalen Techniken genutzt werden. Aufgrund fehlender IPv4-Adressen wird im mobilen Bereich doch bereits gebündelt. Auch IPv6 wird den Geheimdiensten, Sicherheitsbehörden und Providern noch Probleme bereiten. In den Folien wird auch darauf hingewiesen. Die Folien geben auch Aufschluss über die eingesetzte Techniken. Es wird explizit von DNS-Diensten geredet! Es wird von Tracerouten geredet! Es wird einfach von normalen Netzwerkdiensten geredet und damit sollte klar sein, dass sie schlicht Standardnetzwerktechniken nutzen, um Geräte im Netz zu finden. Mehr machen die Jungs da nicht. Diese Scans an sich sind auch nicht gefährlich. Erst das spätere Verknüpfen der Daten mit persönlichen Informationen oder vielleicht das Ausnutzen von bekannten oder selbst eingebauten Schwachstellen macht die Sache ziemlich böse. Darin muss man unterscheiden, denn ein Baseballschläger ist zum Baseballspielen da. Wenn man das Teil dann zum Verklopfen von Leuten nutzt, ist es nicht die Schuld des holzlastigen Spielgerätes.

Mein Fazit:

TreasureMap ist ein Tool, das Standardbefehle auf Netzwerkebene ausführt. Dafür genutzt werden eine Vielzahl von Systemen die entsprechend der Folien Netzwerkbefehle millionenfach ausführen, die Daten sammeln, verknüpfen und grafisch darstellen. Ob sie hier die 50.000er-Geräte nutzen oder manipulierte Hardware ist nicht auszuschließen, lässt sich aber bis zum Fund eines solchen Gerätes nicht beweisen. Probiert einfach mal das Tool dude aus. Das klappt auch über mehrere Netze hinweg. (Nur in internen Netzen probieren, bitte!) Im Grunde habt Ihr das gleiche Ergebnis. Vergleichbar mit dem Lesen von Nummernschildern, dem Erkennen des Autotypes und dem Einschätzen der gefahrenen Geschwindigkeit, wenn ihr irgendwo an einer Autobahn sitzt/steht und guckt. Wenn man jetzt noch weiß ob der Autotyp vom Hersteller wegen eines Problems zurückgerufen wurde, hat man gleich noch eine Schwachstelle, die man zuordnen kann. Zusätzlich vernüpft man dann mal Nummernschilder die einer Region zuzuordnen sind, kann sich in etwa denken wo sie auf die Autobahn gefahren sind, wo sich also ihr Weg gekreuzt hat und wo sie hinwollen, wenn man auch mal die Gegenrichtung analysiert. TreasureMap ist keine Hexerei! Wenn Ihr Euch gegen sowas rudimentär schützen wollt, sollte Euer Router/Firewall in der Lage sein Anfragen von Außerhalb zu verwerfen. Also keine Antworten senden lassen. Wäre ein kleiner Schritt … Wenn Ihr natürlich einen Webserver betreibt, wäre es Unsinn, wenn er keine Anfragen beantwortet. Ihr wollt ja, dass Euer Blog gelesen wird.

 

Spionage und Zusammenarbeit mit deutschen Diensten und Unternehmen

In den Folien der NSA wurden die betroffenen Provider mit einem roten Punkt markiert, um zu zeigen, dass dort Zugangspunkte existieren. Das alleine ist aber kein Beweis für eine Manipulation, für einen Hack oder einen sonstigen illegalen Einbruch, wie von den Providern als Ursache gesucht und nicht gefunden. Der rote Punkt könnte schlichte Wahrheit sein. Alle Provider müssen eben die bereits oben genannten Zugänge für Behörden zur Verfügung stellen. Wenn man die Manipulation ausschließt und auch meinen zweiten Punkt ignoriert, dass derartige Scans über einfache Rechner im Netz möglich sind, bleibt aus dieser Sichtweise nur: Die Zugriffspunkte für die deutschen Behörden können durch die NSA/GCHQ genutzt werden! Das wäre dann ein wirklicher Skandal!

Wieviele derartige Punkte gibt es eigentlich? In den vergangenen Monaten konnte man darüber lesen, dass bspw. am DE-CIX, dem größten Internetknotenpunkt Zugriffsmöglichkeiten existieren. Dort treffen aber alle Netze aller Provider aufeinander. Und DE-CIX ist ein eigenständiges Unternehmen. Auch die Theorie der Telekom mit den Unterseekabeln und den Knotenpunkten in den USA halte ich für Käse. Thema verfehlt! Dieses Datenaufkommen zu filtern wäre mir persönlich zu umständlich, zu teuer und benötigt einfach zu viele Ressourcen, wie ich bereits unter dem Punkt Manipulation geschrieben habe. Die benötigte Technik würde über das hinausgehen, was selbst ich mir vorstellen kann. Die USA bauen zwar riesige Datenzentren, aber das ist ernsthaft gesehen überhaupt nicht effektiv. Aus der Praxis heraus würde ich mir andere Zugriffspunkte suchen und den Datenverkehr viel regionaler filtern und analysieren. Mit einem normalen Kundenzugang im Satellitennetzwerk, um die Kunden innerhalb dieses “regionalen” Satellitennetzwerkes abzuscannen, haben wir eine Vorlage: Internet > Stellar > Kunden im Sat-Netzwerk * (und mittendrin irgendwo ein Schnorchelrechner) < Stellar < Internet …

Doch wie müsste man das im Bereich der Telekom anstellen? Im Grunde benötigt ein Angreifer ein einziges Gerät in jedem regionalen Netz (Vielleicht auch IP-Adressbereich – Kenne aber den Vorgang der regionalen Verteilung nicht!). Ein sich wiederholender Scan und der ganze Adressbereich ist kartografiert. Die Daten zusammengefasst und das Telekom-Internet ist als Karte abrufbar. Insgesamt wäre das jedoch etwas aufwendig und würde viele Rechnersysteme benötigen. Auch netzübergreifend könnte weniger optimal dargestellt werden wie das Netz aussieht. Es geht eben leichter über die Schnittstellen an denen bspw. die Telekom alle DSL-Anschlüsse und Telefonanschlüsse regional zusammenführt. Von dort hätte man einen Knotenpunkt aus einem regionalen Netz in das nächst höhere Netz. Die Leitung Eures DSL-Anschlusses läuft nicht direkt nach Frankfurt zum DE-CIX. Eure Daten und die Eurer Nachbarn und Freunde und Feinde treffen sich irgendwo in Eurer Gegend bevor es weiter zu DE-CIX oder zu wem auch immer geht. Aus planerischen und Kostengründen ist eine Karte wie mit TreasureMap beschrieben nach meinem Empfinden auch nicht beim DE-CIX oder mit Unterseekabeln sinnvoll zu machen, sondern nur über verteilte Scanner an ganz vielen einzelnen Knotenpunkten. Wenn man das so macht, kann man Alles detailliert aufzeichnen, sofern Antworten kommen. Dazu eine saubere Verknüpfung aller Daten und die Karte steht. Das ist auch aus einer anderen Sicht heraus optimaler. Das Signal sucht sich den schnellsten/besten Weg! Es existiert keine göttliche Fügung, dass Ihr die Webseite von google unbedingt über ein Kabel von EU – USA abgreift. Das geht auch über EU – Asien – USA. Also greift man als Geheimdienst eher regionale Knoten ab! Viel effektiver! Ich mache nachher mal eine Rechnung auf! Dann könnt Ihr sehen, dass ich nicht nur der coolste Geheimdienstchef ever wäre, sondern auch der sparsamste! 🙂

Wieviele dieser Knoten gibt es in Deutschland? Nun, laut einer im letzten Jahr geleakten Liste hat die Telekom midestens 7.971 Standorte in Deutschland an denen die Leitungen zusammenlaufen. (Whua, wo hat der kowa das nur wieder her?) An diesen Standorten die richtige Technik installiert und das Telekomnetz ist komplett kartografiert. Klingt jetzt erstmal nach 7.971 Rechnern, aber in Wahrheit geht das einfacher. Je nachdem was für Technik die Telekom einsetzt. Je nachdem was da im Hintergrund noch vernetzt wird. Wenn einige Knoten technisch enger vernetzt sind, könnten auch weniger Schnorchelknoten nötig sein. Die Liste mit den Standorten der DSL/Telefon-Switche der Telekom ist bereits länger öffentlich. Hier gibt es eine Kopie. Sucht einfach Eure Postleitzahl, oder eine naheliegende Gegend, dann wisst Ihr wo man Eure Daten regional abfangen kann. (Vorrausgesetzt die Liste ist ein korrektes Leak! Wenn Ihr Adressen bei Euch in der Gegend prüft, teilt mir mal Ergebnisse mit. Es könnte größtenteils in oder in der Nähe von Post-Gebäuden sein.)

Wenn wir Manipulation ausschließen, weil die Provider es untersucht und nichts gefunden haben (oder nichts finden konnten = FinFisher-Problem), oder eben wie hier beschrieben aufgrund der Fülle der Daten nichts gefunden werden kann und wir davon ausgehen, dass die Ausführung üblicher Netzwerkdienste über normale DSL/Netzwerkzugänge inklusive aller Datenverluste den Geheimdiensten nicht genug ist, dann wäre der Zugang zu diesen Knotenpunkten die einzige Alternative, um das Telekomnetz komplett darzustellen. Andere Provider müssen auch in ihrem Netz derartige Bündelungen vornehmen. Diese Punkte gibt es dort auch!

Hier meine Rechnung für den Fall, dass wir einzelne Geräte an den 7.971 Standorten aufbauen müssen, weil die Telekom den KowaSecretService nicht weiter supporten will. Wir nehmen einfach 7.971 RaspBerryPi in der teuersten Variante mit ca. 7.971 * 100 €. Ein Linux-Betriebssystem ist kostenlos. Auf den Rechner installieren wir eine Software-Version, um Fingerprints und Netzwerkanalysen zu machen und lassen die in regelmäßigen abständen laufen. Die Ergebnisse senden wir verschlüsselt an unsere Masterserver. Von dort geht es zur Zentrale. Hardwarekosten = 797.000 €uro. Hinzu kommen Linuxexperte für die Erstellung eines Images, das auf alle anderen Systeme übertragen wird. Also knapp noch 8.000 SD-Karten. Natürlich alles verschlüsselt, falls es mal gefunden wird. Die kann man aber industriell vorbereiten lassen. Landen wir vielleicht bei einer Million Euro. Um alle Provider in Deutschland mit so einer Lösung auszukundschaften brauchen wir eigentlich nicht wirklich viel. Und nen Pi verstecken wir irgendwo in einem unauffälligen Serverschrank an den wichtigen regionalen Knotenpunkten. Das wäre jetzt die maximal nötige Umsetzung für dieses Szenario. Diese kleinen niedlichen Dinger.

Zusatz: Natürlich hat meine PI-Lösung gleich noch den Vorteil die Daten vor Ort abzuschnorcheln. 🙂 Hab ich ganz vergessen …

 

Update 02.10.2014: Nach einem Tipp aus den magentafarbenen Reihen reichen wohl bereits die 74 BreitandPOPs der Telekom aus. Das würde dann die Kosten rasant senken und die Überwachung noch vereinfachen! Laut Wikipedia gehört Cisco-Technik mit zur Ausstattung. Ich hab aber nichts gesagt

Die Standorte sollen hier sein:

A        Augsburg
AC        Aachen
B        Berlin
BI        Bielefeld
BN        Bonn
BO        Bochum
BRB        Brandenburg
BS        Braunschweig
BT        Bayreuth
BZ        Bautzen
CB        Cottbus
C        Chemnitz
DA        Darmstadt
DD        Dresden
D        Düsseldorf
DO        Dortmund
DU        Duisburg
E        Essen
EF        Erfurt
EL        Meppen
FD        Fulda
FF        Frankfurt
F        Frankfurt
FL        Flensburg
FR        Freiburg
G        Gera
GI        Gießen
GOE        Göttingen
HAL        Halle
HB        Bremen
HBH        Bremerhaven
HGW        Greifswald
H        Hannover
HH        Hamburg
HL        Lübeck
HN        Heilbronn
HO        Hof
HRO        Rostock
KA        Karlsruhe
KE        Kempten
KI        Kiel
K        Köln
KL        Kaiserslautern
KN        Konstanz
KO        Koblenz
KR        Krefeld
KS        Kassel
LER        Leer
L        Leipzig
MA        Mannheim
MD        Magdeburg
MES        Meschede
M        München
MS        Münster
MZ        Mainz
NB        Neubrandenburg
N        Nürnberg
OG        Offenburg
OL        Oldenburg
OS        Osnabrück
PA        Passau
PB        Paderborn
R        Regensburg
RW        Rottweil
SB        Saarbrücken
SI        Siegen
SN        Schwerin
S        Stuttgart
TR        Trier
TS        Traunstein
ULM        Ulm
WES        Wesel
WUE        Würzburg
W        Wuppertal

Genauere Adressen habe ich nicht. Sollen wohl auch nicht wirklich öffentlich sein. Dort würde ich dann keine PIs reinstellen, sondern schon stärkere Technik. Ist ja auch wieder ein bissel Geld über. 🙂

 

Fazit:

An den regionalen oder BreitbandPOP – Zugangspunkten kann eine detaillierte Karte erstellt werden. Dafür hätte die NSA aber Unterstützung in Deutschland haben müssen. Dass die betroffenen Unternehmen keine Manipulationen festgestellt haben, ist nachvollziehbar, da der Umfang und die Menge der Daten und Geräte nicht wirklich mehr geprüft werden kann. Eine Auseinandersetzung damit, dass man vielleicht nicht mehr auf die in den NSA-Folien genannten Hersteller setzen sollte, sei mal dahingestellt. Aus einem anderen Blickwinkel gesehen, hätte bei einer Zusammenarbeit an den regionalen Knotenpunkten auch keine Manipulation an sich stattgefunden. Es wäre nur zu einer illegalen Kooperation zwischen Unternehmen und Diensten gekommen in dessen Verlauf dann trotzdem normale Netzwerkoperationen durchgeführt wurden. Machbar, günstig, kritikwürdig. Statt meiner RaspberryPi-Idee reichen natürlich auch manipulierte Hardwareswitche mit einem zusätzlichen Scan-Feature an genau diesen Punkten. Eine Möglichkeit! Natürlich nur Theorie …

 

Abschlussfazit:

Insgesamt besteht für mich die Möglichkeit, dass die NSA/GHCQ keine Provider direkt gehackt haben, sondern einfach nur eine interessante Möglichkeit gefunden haben eine Routenverfolgung mit Fingerprint von tausenden Rechnern gleichzeitig ausführen zu lassen und das Ergebnis dann grafisch darstellen. Dabei können sie dann Systeme, die den gleichen Weg durch das Netz nehmen zusammenfassen und deren Treffpunkte feststellen. Wer das mal ähnlich ausprobieren möchte, kann das von mir genannte Tool dude in seinem Netzwerk mal losrattern lassen. Eigentlich ziemlich cool. Das, was ich in kleineren Netzwerken tue, machen die einfach global. Nur deren politische Absicht dahinter ist für mich ein NoGo.

Das ist kein Hexenwerk! Es ist auch keine große Innovation! Sie nutzen normale Funktionen normaler Betriebssysteme. Gebündelt, grafisch aufgearbeitet und vielleicht mit ein paar tausend infizierten oder direkt installierten Systemen als Kunde an der richtigen Stelle umgesetzt. Sie verfolgen Routen, nutzen dafür DNS-Server, NTP-Server, TOR-Server (Nutzt den Müll nicht mehr, bitte!) nehmen Fingerprints von Geräten, kombinieren mit öffentlichen Adressdatenbanken, Trackingdaten von Werbe- und Social-Media-Firmen und später dann mit Daten über Menschen aus anderen Überwachungsprogrammen. Beispielsweise auch E-Mail-Adressen, die bei der Einreise in die USA abgefragt werden. Fällt die Adresse in einem Datensatz auf, kann Euch der Urlaub verraten. Nur mal als Beispiel! :c)
Sie nutzen technische Möglichkeiten die nicht verboten sind. Höchstens der Malwareeinsatz und die mögliche Manipulation von Hardware! Wenn die NSA aber bspw. einfach einen Server bei der Telekom mietet und von dort aus täglich ein paar Millionen Traceroutes und Fingerprints durchführt, dann ist das nichts Verbotenes. Die versenden Datenpakete und empfangen Datenpakete. Das fällt auch nicht wirklich auf! Diese Daten selbst sind auch noch nichts Schlimmes. Erst eine Verknüpfung mit Menschen und Organsiationen und der Versuch festgestellte Schwachstellen für bestimmte Geräte auszunutzen oder Metadaten zum Töten zu nutzen, sind kriminell. Vorher ist es nur “Horch und Guck”.

Diese normalen Netzwerkbefehle kann jeder von uns ausführen. Wenn die Provider die Manipulation ausschließen und wir die Aussage akzeptieren, dann ist TreasureMap nicht die Schlagzeile wert, die aus dem Tool gemacht wurde. Anders wäre es, wenn noch herauskommt, dass TreasureMap nur in Zusammenarbeit mit Unternehmen und deutschen Diensten möglich ist. Siehe Knotenschnorchelgeschichte! Hier würde der wirkliche Skandal liegen. Warten wir einfach mal ab. Möglich ist Alles! Aber alles Mögliche muss nicht umgesetzt sein!

 

Übungsaufgabe:

Öffnet doch mal die Eingabeaufforderung (MS Windows) und gebt ein:

ping www.kowabit.de

, um festzustellen ob die Webseite bzw. der Server lebt.

Oder gebt ein:

tracert www.kowabit.de

, um festzustellen welche Route Euer Signal durchs Netz nimmt.

Und jetzt stellt Euch vor alle diese Daten werden millionenfach gesammelt. Jede unter tracert angegebene IP wird mit nem Fingerprint analysiert und alles wird grafisch dargestellt und verknüpft mit anderen Ergebnissen. Was habt Ihr dann? Richtig: Eine Schatzkarte! Mit den Ergebnissen eines Fingerprints hat man dann manchmal den Schlüssel schon fast in der Hand. Und illegal einbrechen, muss man dafür nicht!

 

Mögliches reales Beispiel:

Im November 2012 fiel in Syrien ein zentraler Router aus und das Land wurde vom Internet getrennt. Edward Snowden erklärte einem Journalisten für seine Story, dass die NSA verantwortlich gewesen sei. Sie hätten eine Schwachstelle ausnutzen wollen. Das sei aber schief gegangen und Peng. Hier wäre tatsächlich ein Szenario wo TreasureMap eine Rolle gespielt haben könnte.

Erst wird ein Scan des syrischen IP-Bereiches durchgeführt. Von Innen oder Außen! Dann werden Fingerprints erstellt und Geräte identifiziert. Hat sich ein Gerät ausgewiesen, wird geprüft, ob eine aktuelle Sicherheitslücke noch nicht gepatcht wurde, eine geheime Hintertür offen ist, oder ob ein weiteres manipuliertes oder infiziertes Gerät hinter dem Router eine Zugriffsoption wäre. Alternativ bleibt natürlich noch der Spitzel in den syrischen Reihen eine weitere Option.

Damit hätte TreasueMap das Ziel ausgemacht und identifiziert. Der Einbruch in das System ist dann wiederum eine andere Geschichte.

 

Mögliches fiktives Beispiel:

Ein infizierter Rechner in einem Firmennetzwerk verbindet sich mit einem TreasureMap-Server. Die Route wird analysiert in dem ein Fingerprint von jedem System der Route durchgeführt wurde. Der Fingerprint des Routers/Firewalls der Firma ermöglicht dem Spion nun nach Schwachstellen (bekannt oder durch Manipulation eingeárbeitet) zu suchen. Wurde der Router übernommen, kann mit Hilfe des Gerätes selbst, aber auch mit dem bereits infizierten Gerät in Ruhe gearbeitet werden. Einfacher geht es kaum.

 

Auf folgende Darstellungen habe ich u.a. zurückgegriffen:

 

genutztesystemeundquellen

diesuchenachroutern

zieleundzufaelle

werkommuniziertmitstellar

warumsatbetreiber

schatzkartenfeatures

partnerschaften

netzwerkverbindungen

netzwerkoperationen

hilfebeidatananalyseundzufaelligkeiten4

hilfebeidatananalyseundzufaelligkeiten3

hilfebeidatananalyseundzufaelligkeiten2

hilfebeidatananalyseundzufaelligkeiten1

hilfebeidatananalyseundzufaelligkeiten0

hilfebeidatananalyseundzufaelligkeiten

 

 

Für Kritik, Anmerkungen und Fragen wie immer offen. Anspruch auf Richtigkeit erhebe ich nicht!

 

Nachtrag: Den besten Beitrag zum Thema habe ich hier gefunden.

Tagged , , , , , , , ,