Neugieriger Blick der NSA: Was ist der Krieg um die Internetsicherheit (Teil 2)

Ursprünglicher Autor: SPIEGEL
  • Übersetzung
Bild

Die Annahmen, dass Geheimdienste uns so weit übertroffen haben, dass es keinen Sinn macht, sich mit Verschlüsselung zu verteidigen, sind falsch. Wie ein Dokument aus dem Snowden-Archiv zeigt, gelang es der NSA zumindest 2012 nicht, eine Reihe von Kommunikationsprotokollen zu entschlüsseln. Die Präsentation für die Konferenz in diesem Jahr enthält eine Liste von Verschlüsselungsprogrammen, die die Amerikaner nicht geknackt haben. Während der Entschlüsselung teilten die Kryptologen der NSA ihre Ziele in fünf Ebenen ein, je nach Komplexität der Angriffe und dem erzielten Ergebnis, von „trivial“ bis „katastrophal“.

[ erster Teil ]

Die Überwachung der Bewegung eines Dokuments im Web wird als „triviales“ Ziel eingestuft. Das Aufzeichnen eines Chats auf Facebook ist eine „einfache“ Aufgabe, während die Komplexität der Entschlüsselung von Briefen, die über den russischen Internetdienstanbieter Mail.ru gesendet werden, als eine Aufgabe von „mäßiger Komplexität“ angesehen wird. Alle drei Klassifizierungsstufen stellen die NSA jedoch nicht vor ernsthafte Probleme.

Auf der vierten Ebene wird alles komplizierter. Laut der Präsentation hat die NSA „erhebliche“ Probleme beim Versuch, Nachrichten, die über E-Mail-Nachrichtenanbieter gesendet werden, mit starken Verschlüsselungsmethoden zu entschlüsseln - beispielsweise mit dem Zoho- Dienstoder bei der Überwachung von Benutzern des Tor-Netzwerks, das für anonyme Websuchen entwickelt wurde. Tor, auch bekannt als The Onion Router, ist eine kostenlose Open-Source-Software, mit der Benutzer über ein Netzwerk von mehr als 6.000 verbundenen und freiwillig gespendeten Computern auf das Internet zugreifen können. Die Software verschlüsselt die Daten automatisch, sodass kein Computer im Netzwerk alle Benutzerinformationen enthält. Daher wird es für Überwachungsexperten sehr schwierig, den Aufenthaltsort einer Person zu verfolgen, die eine bestimmte Website besucht, oder jemanden anzugreifen, der Tor zum Durchsuchen des Internets verwendet. Truecrypt

verursacht "erhebliche" Probleme für die NSA, ein Programm zum Verschlüsseln von Dateien auf einem Computer. Die Entwickler haben die Entwicklung des Programms im Mai letzten Jahres eingestellt, was den Verdacht auf Druck der staatlichen Behörde auf sie aufkommen ließ. Ein Protokoll namens Off-The-Record (OTR) für die End-to-End-Verschlüsselung von Sofortnachrichten scheint der NSA ebenfalls erhebliche Schwierigkeiten zu bereiten. Der Code für beide Programme kann frei angezeigt, geändert und verteilt werden. Experten sind sich einig, dass es für Geheimdienste viel schwieriger ist, Open-Source-Programme zu manipulieren als viele der geschlossenen Systeme, die von Unternehmen wie Apple und Microsoft entwickelt wurden. Da jeder den Code einer solchen Software anzeigen kann, ist es äußerst schwierig, eine Hintertür darin zu implementieren, die nicht erkannt wird. Transkripte von abgefangenen OTR-Chats, Das NSA-Programm zur Erfassung von Daten von mindestens neun US-amerikanischen Internetunternehmen wie Google, Facebook und Apple, das der Agentur von ihren Prism-Partnern zur Verfügung gestellt wurde, zeigt, dass die Bemühungen der NSA in diesem Fall erfolglos waren: „Diese Nachricht wurde nicht mit OTR verschlüsselt entschlüsselt werden. " Dies bedeutet, dass Sie mit dem OTR-Protokoll zumindest manchmal die Kommunikation für die Anzeige in der NSA unzugänglich machen können.

Bild

Für die Agentur wird die Situation auf der Ebene von „fünf“ „katastrophal“: Wenn das Subjekt beispielsweise eine Kombination aus Tor, einem anderen „Anonymisierungsdienst“, einem CSpace- Instant Messaging- System und einem Internet-Telefoniesystem (VoIP) namens ZRTP verwendet . Eine solche Kombination führt, wie im NSA-Dokument angegeben, zu einem "fast vollständigen Verlust der Fähigkeit, den Standort und die Kommunikation der ausgewählten Einrichtung zu verfolgen".

Das ZRTP-System, mit dem Konversationen und Chats auf Mobilgeräten sicher verschlüsselt werden, wird in kostenlosen Open-Source-Programmen wie RedPhone und Signal verwendet.

"Es ist schön zu wissen, dass die NSA die Verschlüsselung der Kommunikation über unsere Dienste als wirklich undurchsichtig ansieht", sagt RedPhone-Entwickler unter dem Pseudonym Moxie Marlinspike.

Stirb hart für Fort Mead


Der Buchstabe „Z“ im Namen ZRTP ist eine Hommage an einen der Entwickler des Systems, Phil Zimmermann, der auch das Pretty Good Privacy-System entwickelt hat, das nach wie vor das am häufigsten verwendete Verschlüsselungsprogramm für Briefe und Dokumente ist. PGP wurde vor mehr als 20 Jahren gegründet, ist aber überraschenderweise immer noch "zu hart" für die NSA. "Diese PGP-verschlüsselte Nachricht kann nicht entschlüsselt werden", fiel das Dokument der NSA in Bezug auf über Yahoo versendete Briefe in die Hände des Spiegels.

Phil Zimmermann schrieb 1991 PGP. Ein Aktivist bei der Beendigung des US-Atomwaffenprogramms wollte ein Verschlüsselungssystem schaffen, mit dem er sicher Informationen mit anderen Gleichgesinnten austauschen kann. Sein System wurde schnell bei Dissidenten auf der ganzen Welt sehr beliebt. Angesichts der weit verbreiteten Nutzung des Programms außerhalb der USA begann die US-Regierung in den 1990er Jahren, Zimmermann wegen angeblichen Verstoßes gegen das Waffenexportkontrollgesetz zu verfolgen. Die Staatsanwälte waren sich einig, dass die Schaffung eines derart komplexen Verschlüsselungssystems und dessen Verbreitung außerhalb des Landes illegal ist. Zimmermann antwortete mit der Veröffentlichung des Quellcodes des Systems in Form eines Buches - es war eine Manifestation der durch die Verfassung geschützten Meinungsfreiheit.

PGP wird weiterentwickelt und heute sind viele Versionen des Systems verfügbar. Am gebräuchlichsten ist GNU Privacy Guard (GnuPG), ein Programm, das vom deutschen Programmierer Werner Koch entwickelt wurde. Eines der Dokumente zeigt, dass Vertreter der Five Eyes-Allianz PGP manchmal selbst verwenden. Es stellt sich heraus, dass Hacker, die von ihrer eigenen Sicherheit und den US-Behörden besessen sind, viel mehr gemeinsam haben, als man sich vorstellen kann. Ursprünglich wurde das Tor-Projekt mit Unterstützung des US Naval Research Laboratory entwickelt.

Wie in einem der Dokumente angegeben, tun die NSA und ihre Verbündeten heute ihr Bestes, um das System zu zerstören, an dessen Schaffung das US-Militär beteiligt war. "Deanonymisierung" Tor ist offensichtlich eine der obersten Prioritäten der NSA, aber die Agentur ist in diesem Bereich kaum erfolgreich. In einem der Dokumente für 2011 wird sogar der Versuch erwähnt, die Ergebnisse von Tor mithilfe der Agentur selbst zu entschlüsseln - als Test.

Snowdens Dokumente sollten bis zu einem gewissen Grad Erleichterung bei Menschen hervorrufen, die glaubten, dass nichts die NSA in ihrem unerschöpflichen Durst nach dem Sammeln von Informationen aufhalten könnte. Es scheint, dass wir immer noch sichere Kommunikationskanäle haben. Das Dokument zeigt jedoch auch, wie weit die Geheimdienste bei ihrer Arbeit zur Erhaltung und Entschlüsselung unserer Daten gegangen sind.

Die Internetsicherheit wird auf mehreren Ebenen durchgeführt - und die NSA ist zusammen mit ihren Verbündeten offensichtlich in der Lage, einige der am weitesten verbreiteten in einem bisher undenkbaren Ausmaß zu "verwenden" (dh "hacken").

Sicherheit von virtuellen privaten Netzwerken und in der Tat "virtuell"


Ein Beispiel sind virtuelle private Netzwerke (VPNs), die häufig von Unternehmen und Institutionen verwendet werden, die an mehreren Büros und Standorten tätig sind. Theoretisch erstellt ein VPN einen sicheren Tunnel zwischen zwei Punkten im Web. Alle kryptografisch geschützten Daten werden an diesen Tunnel weitergeleitet. Wenn es jedoch um die VPN-Sicherheit geht, eignet sich das Wort "virtuell" am besten für seine Beschreibung. Dies liegt daran, dass die NSA an einem Großprojekt zur Verwendung eines VPN zum Knacken einer großen Anzahl von Verbindungen arbeitet, mit dem die Agentur Informationen abfangen kann, die in VPN-Netzwerken übertragen werden - einschließlich beispielsweise des VPN-Netzwerks der griechischen Regierung. Laut dem Dokument, das Spiegel in die Hände gefallen ist, besteht das NSA-Team, das für die Arbeit mit der griechischen VPN-Kommunikation verantwortlich ist, aus 12 Personen.

Die NSA zielte auch auf den irischen VPN-Dienst SecurityKiss ab. Der folgende „digitale Fingerabdruck“ für Xkeyscore, ein leistungsstarkes Spyware-Programm, das von der Agentur erstellt wurde, wurde laut NSA-Berichten getestet und zum Extrahieren von Servicedaten verwendet:

fingerprint('encryption/securitykiss/x509') = $pkcs and ( ($tcp and from_port(443)) or ($udp and (from_port(123) or from_por (5000) or from_port(5353)) ) ) and (not (ip_subnet('10.0.0.0/8' or '172.16.0.0/12' or '192.168.0.0/16' )) ) and 'RSA Generated Server Certificate'c and 'Dublin1'c and 'GL CA'c;

Gemäß dem NSA-Dokument vom 2009 verarbeitete die Agentur 1000 Anfragen pro Stunde von VPN-Verbindungen. Es wurde erwartet, dass diese Zahl bis Ende 2011 auf 100.000 pro Stunde steigen wird. Der Zweck des Systems bestand darin, „mindestens 20%“ dieser Anfragen vollständig zu verarbeiten, was bedeutet, dass die empfangenen Daten entschlüsselt und an den Adressaten übertragen werden mussten. Mit anderen Worten, bis Ende 2011 hatte die NSA geplant, bis zu 20.000 vermeintlich sichere VPN-Verbindungen pro Stunde kontinuierlich zu überwachen.

VPN-Verbindungen können auf Basis verschiedener Protokolle aufgebaut werden. Das am häufigsten verwendete Point-to-Point-Tunneling-Protokoll (PPTP) und IPsec (Internet Protocol Security). Diese Protokolle stellen NSA-Spione nicht vor besondere Probleme, wenn sie die Verbindung wirklich hacken möchten. Experten haben das PPTP-Protokoll bereits als unsicher bezeichnet, es wird jedoch weiterhin in vielen kommerziellen Systemen verwendet. Die Autoren einer der Präsentationen der NSA prahlten mit einem Projekt namens FOURSCORE, in dem Informationen einschließlich verschlüsselter Metadaten gespeichert werden, die über PPTP übertragen werden.

In den NSA-Dokumenten heißt es, dass die Agenturdienste mit einer Vielzahl unterschiedlicher Programme viele Unternehmensnetzwerke durchdrungen haben. Unter den Verfolgten befinden sich: die russische Fluggesellschaft Transaero, Royal Jordanian Airlines sowie der Telekommunikationsanbieter aus Moskau, Telematics World. Eine weitere Errungenschaft dieses Programms ist die Einrichtung einer Überwachung der internen Kommunikation von Diplomaten und Beamten in Afghanistan, Pakistan und der Türkei.

IPsec ist ein Protokoll, das Spionen auf den ersten Blick mehr Probleme bereitet. Die NSA verfügt jedoch über die Ressourcen, um viele Angriffe auf die Router durchzuführen, die am Herstellungsprozess beteiligt sind, um Schlüssel zu erhalten und die übertragenen Informationen eher zu entschlüsseln als zu entschlüsseln. Dies wird durch eine Nachricht der NSA-Abteilung mit dem Namen Tailored Access Operations belegt: „TAO Ich habe Zugriff auf den Router erhalten, über den der Hauptbankverkehr geleitet wird “, heißt es in einer Präsentation.

Nichts mit Sicherheit zu tun


Die vermeintlich sicheren Systeme, auf die sich normale Internetnutzer bei Finanztransaktionen, elektronischen Einkäufen oder dem Zugriff auf E-Mail-Konten ständig verlassen, sind noch weniger sicher als VPNs. Die durchschnittliche Person kann diese „sicheren“ Verbindungen leicht anhand der Adressleiste im Browser erkennen: Bei einer solchen Verbindung beginnt die Adresse nicht mit „http“, sondern mit „https“. "S" bedeutet in diesem Fall "sicher", "sicher". Das Problem ist, dass diese Protokolle nichts mit Sicherheit zu tun haben.

Solche Verbindungen der NSA und ihrer Verbündeten werden mühelos geknackt - eine Million pro Tag. Laut dem NSA-Dokument plante die Agentur, das Volumen der gehackten https-Verbindungen bis Ende 2012 auf 10 Millionen pro Tag zu bringen. Nachrichtendienste sind besonders daran interessiert, Benutzerkennwörter zu sammeln. Bis Ende 2012 sollte das System „den Status von mindestens 100 Anwendungen, die Verschlüsselung verwenden und auf der Grundlage eines Kennworts arbeiten“, für jeden Fall ihrer Verwendung ungefähr 20.000 Mal pro Monat überwachen.

Beispielsweise sammelt das Kommunikationszentrum der britischen Regierung Informationen zur Verschlüsselung mithilfe der TLS- und SSL-Protokolle - dies sind die https-Verbindungsverschlüsselungsprotokolle - in einer Datenbank namens „FLYING PIG“. Britische Spione berichten wöchentlich über den aktuellen Status des Systems, um Dienste zu katalogisieren, die am häufigsten die SSL-Protokolle verwenden, und speichern die Details dieser Verbindungen. Dienste wie Facebook, Twitter, Hotmail, Yahoo und iCloud zeichnen sich durch die besonders häufige Verwendung solcher Protokolle aus, und die Anzahl der wöchentlichen Verbindungen, die vom britischen Verbindungsdienst aufgezeichnet werden, beträgt Milliarden - und dies gilt nur für die 40 beliebtesten Websites.

Überwachung von Hockeyseiten


Das Canadian Communications Security Center überwacht sogar Websites, die dem beliebtesten nationalen Zeitvertreib gewidmet sind: „Wir haben eine signifikante Zunahme der Chat-Aktivitäten auf Hockey-Diskussionsseiten festgestellt. Dies ist wahrscheinlich auf den Beginn der Playoff-Saison zurückzuführen “, heißt es in einer Präsentation.

Die NSA hat auch ein Programm erstellt, mit dem das SSH-Protokoll entschlüsselt werden kann. Es wird normalerweise von Systemadministratoren verwendet, um remote auf Mitarbeitercomputer zuzugreifen, hauptsächlich zur Verwendung durch Internet-Router, Geschäftsinfrastruktursysteme und andere ähnliche Dienste. Die NSA kombiniert die so erhaltenen Daten mit anderen Informationen, um den Zugriff auf wichtige Systeme zu kontrollieren.

Schwache kryptografische Standards


Aber wie schafft es die Five Eye Alliance, in all diese Standards und Verschlüsselungssysteme einzudringen? Kurze Antwort: Sie nutzen alle verfügbaren Funktionen.

Eine davon ist eine ernsthafte Schwächung der kryptografischen Standards, die zur Erstellung solcher Systeme verwendet werden. Den Spiegel zur Verfügung gestellte Dokumente weisen darauf hin, dass NSA-Agenten an Sitzungen der Internet Engineering Task Force (IETF) teilnehmen, die solche Standards entwickelt, um Informationen zu sammeln und vermutlich die auf den Sitzungen geführten Diskussionen zu beeinflussen. "Eine neue Sitzung mit Richtlinienerweiterungen kann unsere Fähigkeit verbessern, bilaterale Kommunikation passiv zu verfolgen", heißt es in einer kurzen Beschreibung des IETF-Treffens in San Diego im internen Informationssystem der NSA.

Dieser Prozess der Schwächung kryptografischer Standards dauert seit geraumer Zeit an. Ein Kompendium von Klassifizierern, ein Dokument, in dem erläutert wird, wie bestimmte Arten von Verschlusssachen klassifiziert werden, ist mit der Überschrift „Top Secret“ gekennzeichnet, „dass der NSA / Central Security Service kryptografische Änderungen an kommerziellen Geräten oder Sicherheitssystemen für deren spätere Verwendung vornimmt“.

Bild

Sammlung von NSA-Klassifikatoren: „Kryptografische Modifikationen“

Kryptografische Systeme, die somit stark geschwächt sind oder nicht richtig funktionieren, werden dann unter Verwendung von Supercomputern verarbeitet. Die NSA hat ein System namens Longhaul erstellt - "End-to-End-Angriffs- und Schlüsselwiederherstellungs-Orchestrierungsdienst für Datennetzwerkverschlüsselung und Datennetzwerk-Sitzungsverschlüsselungsverkehr". Tatsächlich ist Longhaul für die NSA eine Quelle für die Suche nach Möglichkeiten, verschiedene Systeme zu entschlüsseln.

Bild

Laut NSA nutzt das System die Leistung des Tordella Supercomputers in Fort Meade, Maryland, und des Oak Ridge-Rechenzentrums in Oak Ridge, Tennessee. Der Dienst kann entschlüsselte Daten an Systeme wie Turmoil übertragen, das Teil eines geheimen Netzwerks ist, das die NSA weltweit zum Abfangen von Daten bereitgestellt hat. Der Codename für Entwicklungen in dieser Richtung lautet Valientsurf. Ein ähnliches Programm namens Gallantwave wurde entwickelt, um "Tunnelprotokolle und Sitzungsprotokolle zu knacken".

In anderen Fällen verwenden Spione ihre Infrastruktur, um kryptografische Schlüssel aus Routerkonfigurationsdateien zu stehlen. Ein Repository namens Discoroute enthält "Routerkonfigurationsdaten, die aktiv und passiv abgerufen werden". Aktive Erfassung bedeutet Hacken oder anderes Eindringen in Computersysteme. Passive Erfassung bedeutet das Empfangen von Daten, die über das Internet über geheime Computer übertragen werden, die von der NSA kontrolliert werden.

Ein wichtiger Teil der Entschlüsselungsbemühungen der Five Eye Alliance besteht darin, einfach große Datenmengen zu sammeln. Beispielsweise sammeln sie die sogenannten SSL-Handshake-Nachrichten - Informationen, die Computer austauschen, um eine SSL-Verbindung herzustellen. Eine Kombination aus Verbindungsmetadaten und Metadaten des Verschlüsselungsprotokolls kann Ihnen dabei helfen, Schlüssel zu erhalten, mit denen Sie entschlüsselten Datenverkehr lesen oder schreiben können.

Wenn andere Methoden nicht helfen, verlassen sich die NSA und die Alliierten auf rohe Gewalt: Sie organisieren einen Hackerangriff auf den Zielcomputer oder Router, um geheime Daten zu erhalten - oder fangen die Computer selbst auf dem Weg zum Lieferort ab, öffnen sie und injizieren dort Fehler - genannt "Behinderung des Feindes".

Ernstes Sicherheitsrisiko


Für die NSA ist die Entschlüsselung ein ständiger Interessenkonflikt. Die Agentur und ihre Verbündeten verfügen über eigene geheime Verschlüsselungsmethoden für den internen Gebrauch. Die NSA muss dem US-amerikanischen Nationalen Institut für Standards und Technologie (NIST) jedoch auch „Richtlinien für die Auswahl zuverlässiger Technologien“ zur Verfügung stellen, die „in kostengünstigen Systemen zum Schutz sensibler Daten verwendet werden können“. Mit anderen Worten, die Überprüfung der Qualität kryptografischer Systeme ist Teil der Arbeit der NSA. Einer der von NIST empfohlenen Verschlüsselungsstandards ist der Advanced Encryption Standard (AES). Es wird in verschiedenen Systemen verwendet, von der Verschlüsselung des PIN-Codes einer Bankkarte bis zur Verschlüsselung der Festplatte des Computers.

Aus einem der NSA-Dokumente geht hervor, dass die Agentur aktiv nach Möglichkeiten sucht, in den von ihr selbst empfohlenen Standard einzudringen. Dieser Abschnitt ist mit der Überschrift „Top Secret“ gekennzeichnet: „Elektronische Codebücher wie der Advanced Encryption Standard sind weit verbreitet und gut geschützt Kryptoangriff. Die NSA besitzt nur eine kleine Anzahl interner Hacking-Techniken. Das TUNDRA-Projekt untersucht eine potenziell neue Technik, um ihre Nützlichkeit bei der Analyse elektronischer Codebücher zu bestimmen. “

Bild

Die Tatsache, dass eine große Anzahl von kryptografischen Systemen, die das Internet überflutet haben, von der NSA und ihren Verbündeten absichtlich geschwächt oder gehackt wird, stellt eine große Bedrohung für die Sicherheit aller dar, die sich auf das Internet verlassen - von Benutzern, die sich auf die Sicherheit im Internet verlassen, bis zu Institutionen und Unternehmen, mit denen sie zusammenarbeiten Cloud Computing. Viele dieser "Löcher" können von jedem genutzt werden, der davon erfährt - und nicht nur von der NSA.

Die Geheimdienstabteilung selbst ist sich dessen bewusst: Laut einem Dokument von 2011 nahmen 832 Mitarbeiter des Government Communications Center selbst am BULLRUN-Projekt teil, dessen Ziel ein weit verbreiteter Streik gegen die Internetsicherheit ist.

Die beiden Autoren Jacob Appelbaum und Aaron Gibson arbeiten am Tor-Projekt. Appelbaum arbeitet auch im OTR-Projekt und ist an der Erstellung anderer Datenverschlüsselungsprogramme beteiligt.

Jetzt auch beliebt: