Fliegende Schweine: Wie die westlichen Geheimdienste Verschlüsselung mit Man-in-the-middle-Angriffen aushebeln

Die westlichen Geheimdienste betreiben aktive Man-in-the-middle-Angriffe gegen verschlüsselte Internet-Kommunikation, die auch der Iran schon eingesetzt hat. Das geht aus internen Folien hervor, die im Rahmen eines brasilianischen Fernseh-Berichts ausgestrahlt wurden. Gleichzeitig gibt der Nationale Geheimdienstdirektor der USA zu, Wirtschaftsspionage zu betreiben.

Vor einer Woche erhielt die Öffentlichkeit mit „Projekt Bullrun“ einen kleinen Einblick in die Fähigkeiten der westlichen Geheimdienste, verbreitete Verschlüsselungs-Technologien zu knacken und zu umgehen. Im Bericht des brasilianischen Fernseh-Senders Rede Globo über die Ausspähung der Ölfirma Petrobras sind ein paar weitere Details zu Entschlüsselungsmethoden der Schlapphüte enthalten.

Man-in-the-middle-Angriffe

Flying-Pig-MITM-GoogleNeben der Schwächung von Standards, Änderungen an Soft- und Hardware und Zugsamenarbeit mit Unternehmen unternehmen die Dienste demnach auch aktive Man-in-the-middle-Angriffe auf verschlüsselte Verbindungen. Ryan Gallagher hat das für das Online-Magazin Slate nochmal ausgegraben:

In einigen Fällen haben GCHQ und NSA anscheinend einen aggressiveren und umstritteneren Ansatz gewählt. In mindestens einem Fall haben sie einen Man-in-the-middle-Angriff durchgeführt, um Googles Verschlüsselungs-Zertifikate zu imitieren – und damit die Notwendigkeit der direkten Kooperation mit Google umgangen. Ein Dokument von Fantastico, anscheinend von einer NSA-Präsentation, die auch GCHQ-Slides enthält, beschreibt, „wie der Angriff [auf SSL-verschlüsselten Datenverkehr] durchgeführt wurde“. Das Dokument zeigt mit einem Diagramm, wie einer der Dienste anscheinend Internet-Router gehackt hat, um heimlich gezielten Google-Verkehr umzuleiten und mit einem gefälschten Sicherheits-Zertifikat die Informationen in unverschlüsselten Format abfangen konnte.

Diese Probleme sind keinesfalls neu. Im letzten Jahr hatte allem Anschein nach der Iran ebenfalls einen Man-in-the-middle-Angriff auf Google-Dienste durchgeführt. Dazu verwendeten sie Zertifikate der gehackten niederländischen Zertifizierungsstelle DigiNotar. Ein weiterer Screenshot belegt jetzt, dass auch die westlichen Dienste „entweder diesen Hack durchgeführt haben oder ihn ausgenutzt haben“, wie Bruce Schneier schreibt. (Was war jetzt nochmal der Unterschied zwischen Iran und USA? Achja, die einen waren ja eine Demokratie!!1)

Flying Pig gegen SSL und Tor

flying-pig-querySlate weiter:

Dokumente aus der GCHQ-Einheit „Netzwerk-Ausbeutung“ zeigen, dass sie unter dem Namen „Flying Pig“ ein Programm betreiben, das als Reaktion auf die zunehmende Verwendung von SSL-Verschlüsselung bei E-Mail-Anbietern wie Yahoo, Google und Hotmail gestartet wurde. Das „Flying Pig“ System scheint unter anderem zu erlauben, Informationen im Zusammenhang mit dem Anonymisierungsnetzwerk Tor zu erheben und Spionen zu ermöglichen, Informationen über bestimmte SSL-Verschlüsselungs-Zertifikate zu sammeln und zu verwenden. Die Einheit „Netzwerk-Ausbeutung“ brüstet sich in einem Dokument damit, dass es in der Lage ist, Datenverkehr nicht nur von Netzwerken ausländischer Regierungen zu sammeln, sondern auf von Fluggesellschaften, Energie-Unternehmen und Finanzorganisationen.

Phobos vom Tor Projekt antwortet darauf in einem Blog-Beitrag:

Es ist nicht klar, was NSA oder GCHQ tun können und was nicht. Es ist nicht klar, ob sie verschiedene in Tor verwendete Krypto „knacken“, ob sie nur Tor-Exit-Relais „tracken“ oder ob sie ihr eigenes Tor-Netzwerk betreiben.

Was wir wissen ist, dass wenn jemand das gesamte Internet auf einmal beobachten kann, sie auch Datenverkehr beobachten können, der ins Tor-Netzwerk geht und der aus ihm herausgeht. Das dürfte Tor-Benutzer de-anonymisieren. Das Problem beschreiben wir selbst in unseren häufig gestellten Fragen.

Stormbrew: Internet-Verkehr „Upstream“ abschnorcheln

Stormbrew-map-croppedAuch zum Überwachungs-Programm Stormbrew gab es neue Details:

Andere Dokumente zeigen, dass das sogenannten STORMBREW-Programm der NSA, das Internet-Verkehr direkt auf den Glasfaser-Kabeln abhört, mit der Hilfe von „zentralen Partner-Firmen“ an circa acht wichtigsten Standorten in den USA durchgeführt wird, wo es Zugang zu „internationalen Kabeln, Routern und Switches“ gibt. Laut einer geleakten Karte der NSA, findet diese Überwachung an Netzwerk-Knotenpunkten in Washington, Florida, Texas, an zwei Stellen in Kalifornien, und an drei weiteren Standorten in oder in der Nähe von Virginia, New York und Pennsylvania statt.

Weitere Folien gibt’s im Eintrag auf der englischen Wikipedia.

Überwachungs-Ziele: Banken und Hardware-Hersteller

Auch ein paar neue Überwachungs-Ziele nennt Rede Globo:

Darüber hinaus zeigen Dokumente, dass die NSA offenbar die Computernetze der saudi-arabischen Riyad Bank und des chinesischen Techonogie-Konzerns Huawei überwacht hat.

Die NSA betreibt auch ein Programm mit dem Namen SHIFTINGSHADOW, das scheinbar Kommunikations- und Standortdaten von zwei großen Mobilfunk-Anbietern in Afghanistan durch einen „fremden Zugangspunkt“ leiten.

Nochmal offiziell: Wirtschaftsspionage

Aber eigentlich dient das nur dem Kampf gegen den Terror? Oder? Nun, mit diesem Mythos räumt jetzt sogar der Nationale Geheimdienstdirektor James Clapper auf:

Wir sammeln diese Informationen für viele wichtige Zwecke: Zum einen kann es den USA und Verbündeten früh vor internationalen Finanzkrisen warnen, die sich negativ auf die Weltwirtschaft auswirken könnten. Es kann auch einen Einblick in Wirtschaftspolitik oder Verhaltensweisen anderer Länder geben, die globale Märkte beeinflussen könnten.

Offizieller wird die Ansage „Wir betreiben Wirtschaftsspionage“ nicht mehr.

4 Ergänzungen

  1. Dass die NSA in Deutschland Wirtschaftsspionage treibt, wurde vom WDR schon 1998 berichtet (und 1988 schon bei der Ausspionierung der DDR-Aussenhandelsbank von West-Berlin aus). Unter anderem in dem Fall Enercon in Aurich. Google war so freundlich, die Usenet-News von damals zu speichern:
    https://groups.google.com/forum/?hl=de#!search/nsa$20enercon/cl.datenschutz.allgemein/f9GS7QdP91g/7E3cvv7Qk9IJ

    Das Bundesamt für Verfassungsschutz spielt dabei eine obskure Rolle:
    „Bespitzelt die NSA auch deutsche Unternehmen? Dieser Verdacht steht im Raum. Doch Verfassungsschutz-Chef Maaßen widerspricht. Es gebe „keinerlei Erkenntnisse“, wonach Amerikaner oder Briten in Deutschland Wirtschaftsspionage betreiben.“
    http://www.spiegel.de/wirtschaft/unternehmen/nsa-affaere-verfassungsschutzchef-bestreitet-wirtschaftsspionage-a-918973.html
    Es gibt zwei Möglichkeiten für die dreiste Lüge von Maaßen (wo sich jeder unbegabte Teenager durch einfach Google-Abfrage „NSA Wirtschaft“ sachkundig machen kann):
    1.) Er weiß es wirklich nicht. Dann ist er ohne Ende schlampig und ein Sicherheitsrisiko für die Bundesrepublik Deutschland und muss aus dem Amt.
    2.) Er weiß es und lügt dreist. Dann wäre zudem zu prüfen, ob er nicht Beihilfe zur Spionage einer fremden Macht leistet mit Vorsatz. Dann wäre er ein Sicherheitsrisiko für die Bundesrepublik Deutschland und muss aus dem Amt.

    Wenn seine Dienstaufsicht, der Bundesminister für Inneres auch davon weiß und ihn deckt und somit auch Beihilfe zur Spionage für eine fremde Macht leistet, wäre vielleicht sogar noch zu prüfen, ob hier eine kriminelle Vereinigung zum Nachteil der Bundesrepublik Deutschland gegründet worden ist mit dem Zweck der Beihilfe zur Spionage für eine fremde Macht.

  2. Und die Moral von der Geschicht: Certificate pinning (bei FF zum Beispiel mit Certificate Patrol). Löst bei weitem nicht alle Probleme des CA-Konzepts, aber ist schonmal eine wesentliche Verbesserung.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.