Die National Security Agency – NSA der Vereinigten Staaten und deren Partner, die im System „FIVE EYES“ (Australien, Großbritannien, Kanada, Neuseeland und Vereinigte Staaten) zusammengeschlossen sind, sowie andere „Third Parties“– darunter auch eine Reihe europäischer Nationen – nutzen das System „XKEYSCORE“ zur weltweiten Kommunikationsüberwachung. Mit den jüngsten Veröffentlichungen auf der Website The Intercept werden die Strukturen und Möglichkeiten des Systems deutlicher als in früheren Veröffentlichungen dargestellt. Es handelt sich bei der Veröffentlichung um Power-Point-Folien aus NSA-Provenienz aus dem Jahre 2009, die authentisch zu sein scheinen.
Die „Digital Network Initiative -DNI“ der National Security Agency
Im Jahre 1999 entwickelte der damals schon im Ruhestand befindlich General Jim Clapper – heute Director of National Intelligence für das NSA Scientific Advisory Board – Gedanken zu einer „Global Network Initiative – GNI“ der NSA, da sich bereits zu dieser Zeit die Verlagerung der weltweiten Informationsbeziehungen aus der satellitengestützten Kommunikation in die im Entstehen begriffenen erdumspannenden Glasfasernetzwerke abzuzeichnen begann. Bereits zu diesem Zeitpunkt wurde auch über die Gewinnung von Metadaten aus den Datenströmen der Lichtwellenleiter-Netzwerke nachgedacht. Nach wie vor besitzen auch die Satellitensysteme ihre Bedeutung für die Kommunikation mit nachrichtentechnisch weniger erschlossenen Gebieten, beispielsweise in Entwicklungsländern oder sonstigen unzugänglichen Regionen, wie auch bei militärischen Einsätzen aller Art. Mit der ständigen Fortentwicklung der Digital Network Initiative gelingt der National Security Agency und ihren Partnern der nahezu weltweite Zugriff auf Kommunikationskanäle aller Art und deren Inhalte.
Beschreibung des Systems „XKEYSCORE“
Nach den vorliegenden Folien benötigt dieses System zur Inhalts- und Verkehrserfassung folgende Daten:
Netzwerkinformationen:
- Logins und Passwörter,
- Informationen zur Konfiguration der Zielrouter,
Informationen zur auf den Zielsystemen implementierten Software:
- Browser,
- Versionsnummern,
- Genutzte Betriebssysteme,
- Webmail Login und Passwörter,
- Konfiguration der vom Zielsystem verwendeten Router, hier besonders Port 23 und IP.
Auswertung der gewonnenen Daten
Von besonderer Bedeutung für das Eindringen in die Systeme sind offenbar die Ports: 23, 3434 sowie das „Banner Grabbing“. Um über Port 3434 in das Zielsystem eindringen zu können, sind Login und Passwort einzugeben. Dabei können auch Informationen zu „Access Control Lists“ der Zielsysteme gewonnen werden. Bei den Zugriffsversuchen werden auch Sicherheitslücken in den Browsern der Zielsysteme ausgenutzt. Für Web-Foren können anhand der Benutzer und ihres Surf-Verhaltens sogenannte „Profile“ erstellt werden, die Hinweise enthalten auf: Land des Nutzers, dessen IP, die Website(s), die besucht wurde(n), und den eingesetzten Browser. Auch verfügt das System über entsprechende Möglichkeiten des Überwachers, sich als legitimer „User“ zu maskieren und den E-Mail-Verkehr des Zielsystems über Port 80 und 3000 mitzulesen. Dies gilt nahezu für alle Mail-Systeme. Für das Eindringen in Web-Server nutzt das System spezifische, auf die Ziel-Server optimierte Software wie: Apache, Microsoft, Unix u.a. Allerdings enthält die Präsentation weder Hinweise auf das Eindringen in Virtual-Private-Netzwerke – VPN Netzwerke oder kryptierte E-Mail-Verkehre noch Hinweise auf Verfahren im „Dark Net“ oder „TOR-Netzwerken“. Diese Verfahren sollen in einem späteren Beitrag des Sicherheitsmelders behandelt werden.
Bewertung
Die Folien der Präsentation zeigen eindrucksvoll die Möglichkeiten der NSA und ihrer Partner, in Zielsysteme einzudringen und den dortigen E-Mail-Verkehr nahezu zeitgleich mitzulesen. Dass „Tailored Access Operations – TAO“ auch geeignet sind, die Zielsysteme im Sinne der Angreifer zu manipulieren, steht außer Frage. Sollte ein Port-Scan vom Nutzer erkannt werden, gute Firewall-Software vorausgesetzt, bedeutet dies noch nicht, den Angreifer über eine „Who Is Querie-Abfrage“ tatsächlich zu identifizieren, da sich in aller Regel Angreifer mit einer falschen IP-Identität tarnen und damit die Herkunft des Angriffs verschleiert wird. Es kann davon ausgegangen werden, dass das System „XKEYSCORE“ ständig den sich wandelnden Anforderungen angepasst und damit ein höchst effizientes Instrument der globalen Kommunikationsüberwachung bleiben wird.
Quellen:
– Using XKEYSCORE to Enable TAO; Derived From: NSA/CSSM-152 Dated: 200070108: Declassify On: 20291123 /TP SECRET//COMINT//REL TO USA, AUS, CAN, GBR, NZL /20291123, Booz, Allen, Hamilton SDS Analyst, 16 July 2009 . https://firstlook.org/theintercept/ abgerufen am: 05.Juli 2015
– (U) „SIGINT-Strategy 2012 -2016“, National Security Agency, TOP SECRET//SI//REL TO USA, AUS, CAN, GBR, NZL,Washington D.C., 23. February 2012.
– NSA SCIENTIFIC ADVISORY BOARD – PANEL ON DIGITAL NETWORK INTELLIGENCE
– (DNI)(Nee „C2C“ – Report to Director – LtGen Jim Clapper USAF (RET) – 28 June 1999.
– Released by NSA on 17 May 2004 pursuant to the Freedom of Information Act, Case:# 41178
