30C3: Neue tiefe Einblicke ins Schreckenskabinett der NSA

Der Netzaktivist Jacob Appelbaum hat zahlreiche neue Angriffsarten der NSA enthüllt, die bis zum Injizieren von Schadcode über WLANs aus mehreren Kilometer Entfernung (Projekt "Nightstand") und dem Abfischen von Bildschirm- und Tastaturdaten per Radar reichen. "Das ist schlimmer als die schlimmsten Albträume", erklärte der Computerexperte am Montag auf dem 30. Chaos Communication Congress (30C3) in Hamburg. Der technische US-Geheimdienst strebe damit im Geheimen die "totale Überwachung und Kontrolle" an.

Jeder der versammelten Hacker habe sicherlich schon vom Tempest-Verfahren gehört, mit dem aus der Nähe Bildschirmabstrahlungen aufgefangen werden könnten, krönte Appelbaum seinen einstündigen, vom Publikum mit Standing Ovations aufgenommenen Vortrag. Die NSA nutze eine Variante, bei der im Ferrit, einer kleinen Ausbuchtung hinter dem Monitor-Stecker, das Bauteil "Ragemaster" versteckt werde. Dieses erzeuge ein Signal, das über Verwendung eines externen Radarsystems aufgefangen werden könne. Aus den zurückgesendeten Strahlen lasse sich dann rekonstruieren, was auf dem Bildschirm des Zielcomputers zu sehen sei. Eine leicht veränderte Spielart namens "Surlyspawn" zapfe auf ähnliche Art Tastatureingaben an.

Beide Angriffe gehörten zu einer Familie, die die Agenten unter "Böse Nachbarn" verzeichneten. Die eingesetzten Radaranlagen arbeiteten im Bereich zwischen 1 und 2 GHz mit einer Leistung von bis zu einem Kilowatt, führte Appelbaum aus. Da könne man sich beispielsweise auch fragen, was den Krebs des in diesem Jahr verstorbenen Ex-Staatschefs von Venezuela, Hugo Chávez, ausgelöst habe.

Der seit Kurzem auch als Journalist tätige Bürgerrechtler hat zusammen mit einer Reihe weiterer Autoren mehrere Artikel zu den umfangreichen neuen Dokumenten aus dem Fundus Edward Snowdens im aktuellen "Spiegel" publiziert. Zu der Verfassergruppe gehört unter anderem die Dokumentarfilmerin Laura Poitras, eine enge Vertraute des eigentlichen NSA-Whistleblowers. Die Papiere und Präsentationen sowie Erläuterungen dazu können inzwischen über die Leaks-Plattform Cryptome heruntergeladen werden.

In der Hansestadt ging Appelbaum unter anderem auf das zentrale Internet-Überwachungsprogramm "QFire" ein, das sich wiederum aus zwei Bestandteilen zusammensetze: "Turmoil" stelle die passive Variante dar, mit der die NSA rund um die Uhr alle elektronischen Spuren von Telekommunikationsnutzern weltweit sammle. Damit gehe eine 15-jährige Vorratsdatenspeicherung einher, die außer Verbindungs- und Standortinformationen auch Kommunikationsinhalte umfasse. Dieses gigantische Datenfangnetz habe das zuständige US-Geheimgericht FISC im Rahmen einer Generalvollmacht abgesegnet.

Der nach Berlin ausgewanderte US-Bürger erläuterte weiter: Wenn "Turmoil" quasi die Deep Packet Inspection darstelle, also den kompletten Internetverkehr ständig durchleuchte, bilde das "aktive" Überwachungsprogramm "Turbine" das Gegenstück der "Deep Packet Injection" dazu. Dabei gehe es darum, etwa Router oder Webseiten zu kapern und den Betroffenen über diese Schadcode unterzujubeln. Zu derlei Zwecken habe die NSA mehrere Unterprogramme wie Quantum insert, Marina oder Foxacid geschaffen, um Ziele etwa anhand von Cookies, Browser-Fingerprints, MAC-Adressen oder gar Stimmproben auszumachen. Wenn ein so erkannter Gegner eine spezielle Webseite wie etwa Yahoo, Facebook oder CNN.com besuche, erfolge eine automatisierte Attacke.

Dabei geht es laut Appelbaum um ein Wettrennen, ob ein Server der NSA, der sich als das angesteuerte Portal ausgibt, als erster beim Surfprogramm des Nutzers zurückmeldet oder doch das Original. Häufig stünden dem Geheimdienst dabei die schnelleren Leitungen zur Verfügung. Auch beim Angriff auf den belgischen Provider Belgacom sei diese "Man on the Side"-Attacke zum Tragen gekommen. Dabei sei diese eigentlich leicht durch den Einsatz der TLS/SSL-Verschlüsselung zu verhindern oder zumindest zu erschweren, was Yahoo aber etwa noch nicht mache.

Aber auch in Fällen, wo die NSA nicht weiterkomme oder ihr rechtliche Grenzen gesetzt seien wie etwa bei Gmail, blieben keine überwachungsfreien Zonen. Den Dokumenten zufolge übernehme dann ihr britischer Partner GCHQ und übermittle im Erfolgsfall die gewünschten Daten zurück an den großen Bruder in den USA. Die Papiere enthalten Informationen über zahlreiche weitere Programme, mit denen die NSA-Spezialhackergruppe TAO (Tailored Access Operations) und ihre Untereinheit ANT aus der Ferne Räume, Router zumindest von Huawei und Juniper, Server oder PCs und Mobiltelefone überwachen. Schier alle erdenklichen Protokolle, Übertragungswege oder Speichermedien können demnach als infiltriert gelten: Da wird die Firmware in Festplatten von Firmen wie Western Digital, Seagate, Maxtor oder Samsung manipuliert, dort werden Funk- und Infrarotverbindungen etwa im populären HP-Server Proliant 380DL G5 untergraben.

Selbst das BIOS einer Reihe von Dell-PowerEdge-Servern und Windows-Rechnern hat die NSA den Dokumenten zufolge mit einer Art Rootkit fest im Griff. Dagegen hilft nicht einmal das Aufspielen eines neuen Betriebssystems weiter. Sicherheitsforscher hätten noch nicht einmal die Mittel dazu, entsprechenden Attacken auf die Spur zu kommen, meinte Appelbaum. Auf Dell-Servern nutze der Geheimdienst ferner eine JTAG-Debugger-Schnittstelle aus, von der man nicht wisse, ob diese versehentlich dort übrig geblieben oder bewusst als Hintertür offen gelassen worden sei. Die SIM-Kartenangriffe, die der Berliner Sicherheitsexperte Karsten Nohl und sein Team im Sommer publik gemacht und gerade noch einmal als weiter bedrohlich beschrieben haben, gehören ebenfalls zum offenbar aktiv genutzten Arsenal der NSA. Nicht fehlen darf ein iPhone-Hintertürchen, über das SMS abgehört, Kontakte ausgelesen und Aufnahmen mit der Bordkamera gemacht werden können. Die Agenten nähmen für sich in Anspruch, "Implantate" für jedes iOS-Gerät zu haben, hielt der Redner fest. Dies könne daran liegen, dass Apple einfach schlechte Software schreibe, aber auch andere Gründe haben.

Selbst für Suns Solaris-Betriebssystem hat die NSA Exploits parat, was Appelbaum ins Grübeln brachte, wie oft Al-Qaida-Terroristen dieses wohl schon benutzt hätten. Insgesamt werde klar, dass das Sammelsurium der Cyberwaffen auf Telekommunikationskonzerne genauso ausgerichtet sei wie auf Endkunden und die gesamte IT-Sicherheit unterwandere. Der Aktivist spricht in diesem Sinne von einer weiteren Stufe der "Militarisierung des Internets" und einem "Daten-Totalitarismus". Wer auch immer mit der NSA zusammenarbeite, solle rasch mehr einschlägige Dokumente an die Öffentlichkeit bringen. Wissenschaftlern gab Appelbaum den Hinweis, auf den Spuren der TAO-Cyberkrieger nach verdächtigen Paketen zu suchen, die über das Transportprotokoll UDP verschickt werden und mit dem von der US-Firma RSA patentierten RC6-Kryptoalgorithmus verschlüsselt sind. Einschlägige Angriffe würden zudem nie von Servern aus gestartet, deren IP auf einen Standort in den USA verweise. Ob dies rechtliche oder andere Gründe habe, vermöge er nicht zu sagen. (pmz)