Der britische Geheimdienst GCHQ scannt Server weltweit und katalogisiert offene TCP-Ports im Rahmen eines geheimen Programms namens Hacienda. Diese Datenbank werde dann für Überwachungsprojekte verwendet und auch den anderen Five-Eyes-Nationen – USA, Kanada, Australien und Neuseeland – zur Verfügung gestellt, berichtet Heise Online.
Server-Ports werden durch Nummern spezifiziert, die Angaben zu Protokoll und IP-Adresse ergänzen. Offene Ports ermöglichen Kommunikation zwischen Computern, geschlossene verhindern sie. Daher lässt Kenntnis der offenen Ports Rückschlüsse auf die Dienste zu, die ein Server anbietet.
Seit 2009 sollen im Rahmen von Hacienda 32 Länder systematisch erfasst worden sein, bei zumindest 27 von ihnen wurden die Analysen auch komplettiert. Als Beleg hat Heise 26 geheime Folien des GCHQ, der National Security Agency (NSA) und des Communications Security Establishment of Canada (CSEC) veröffentlicht. Demnach scannt der britische Geheimdienst Server routinemäßig nach Ports für verbreitete Protokolle wie HTTP und FTP, aber auch SSH (Remote Access) und SNMP (Netzwerkverwaltung).
Über die Scans hinaus lädt der Geheimdienst die sogenannten „Banner“ herunter – Textnachrichten, die einige Anwendungen verschicken, wenn sich jemand mit einem bestimmten Port zu verbinden versucht. Darin finden sich häufig für einen späteren Angriff nutzbare Systeminformationen oder Angaben von Versionsnummern. Die Folien zeigen außerdem, dass Port-Scans die Grundlage für die automatische Suche nach Operational Relay Boxes (ORBs) bilden – Zwischenstationen auf kompromittierten Servern, über die offensive Maßnahmen getarnt und verschleiert werden.
Als Verteidigung gegen Hacienda schlagen die Autoren TCP Stealth vor, das Port-Scans verhindert. Es handelt sich um eine an der TU München entwickelte Modifikation von Port-Knocking. Allerdings ist sie derzeit nur für Linux verfügbar und nur für Anwendergruppen sinnvoll nutzbar, die so klein sind, dass eine für alle verbindliche Passphrase ausgetauscht werden kann.
[mit Material von Max Smolaks, TechWeekEurope.co.uk]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
