KOMPASS 2014.3 NSA – Technik und Programme

JENS STOMBER - FOTO PRIVAT - CC-BY NC ND - kptin12_079_ausschnitt - BLOG
JENS STOMBER – FOTO PRIVAT – CC-BY NC ND – kptin12_079_ausschnitt – BLOG

Passive Überwachungsprogramme: Call-Detail-Records, PRISM, UPSTREAM, TEMPORA, Boundless Informant

 

CC=CC BY-SA Jens Stomber / ZomBi

 

Die NSA, ein Auslandsgeheimdiesnt der USA, ist speziell für die weltweite Überwachung, Entschlüsselung und Auswertung elektronischer Kommunikation zuständig. Die passiven, also rein mitlauschenden Abhörprogramme der NSA gliedern sich grob in drei verschiedene Bereiche:

1. MAINWAY

Die Vorratsdatenspeicherung von Telekommunikationsverbindungsdaten (in den USA auch call-detail-records genannt) läuft in diesem NSA-Programm.
Es werden die call-detail-records von allen Telefonaten für mindestens fünf Jahre gespeichert. Die Daten stehen der NSA und dem FBI zur Verfügung.

Im Unterschied zu Deutschland wurde die Vorgehensweise nicht durch ein öffentliches Gesetzgebungsverfahren legitimiert, sondern durch geheime Verfügungen von jeweils drei Monaten Dauer über Jahre hinweg hinter dem Rücken der amerikanischen Öffentlichkeit erwirkt und verdeckt durchgeführt. Den beteiligten Telefongesellschaften war es bei Strafe untersagt, Dritte über die Überwachung in Kenntnis zu setzen.

Ein weiterer Unterschied ist, dass die Vorratsdaten nicht bei den Telefongesellschaften, sondern bei der NSA gespeichert werden. Dadurch ist – im Unterschied zum Modell der Vorratsdatenspeicherung in Deutschland – nicht nachvollziehbar, wie die Daten verwendet werden, da für die einzelnen Verwendungen keine Gerichtsbeschlüsse mehr erforderlich sind.
Einmal im Rechenzentrum der NSA abgespeichert, sind die Daten praktisch vogelfrei.

2. PRISM (SIGAD US-984

Das ist die Ausspähung von Internetanwendern durch (Echtzeit)-Zugriff auf deren Online-Konten, Cloud-Daten, ähnlich einer Bestandsdatenauskunft. Eine geheime Verfügung ohne öffentliches Gesetzgebungsverfahren zwang alle amerikanischen Internetkonzerne, der NSA Zugriff auf alle Cloud-Daten zu gewähren.
Dazu müssen die Anbieter in Abstimmung mit den Behörden eine individuelle Schnittstelle in ihre Datenwelt einrichten, auf denen die NSA dann beliebige Abfragen fährt, ohne dass dazu jeweils ein individueller Gerichtsbeschluss vorliegen muss. Mit dem Universal Tasking Tool stellt der Agent eine Abfrage zu Personen, Pseudonymen oder Schlüsselwörtern gleichzeitig an alle Internetfirmen und erhält ab diesem Zeitpunkt fortlaufend Treffer in einem standardisierten Format.
Je nach Dienst erfolgt der Zugriff sogar in Echtzeit (Beispiel: Facebookchat). Dabei ist der direkte Zugriff auf die Daten bei den Konzernen viel effizienter und zuverlässiger als das ansonsten aufwändige Herausfiltern und Aufbereiten der Informationen aus den globalen Datenströmen. Insbesondere bei den Social-Media Diensten sind die Daten bereits vorverdichtet und klassifiziert: Ist die Zielperson vielleicht homosexuell? Welche Musik hört sie und was ist ihre Gehaltsgruppe? All diese Fragen hat Facebook für die NSA bereits beantwortet.

3. UPSTREAM / TEMPORA

Anzapfen der globalen Datenströhme mithilfe der Spezialsoftware XKEYSCORE: Durch enge Zusammenarbeit mit den einheimischen Nachrichtendiensten betreibt die NSA ein weltweites Netz von Abhörstationen (SIGADS = SIGINT Activity Designators) für Satellitenverbindungen, Netzwerkknoten und Unterseekabel. Der physische Zugriff auf die Kabel erfolgt durch die einheimischen Partnerdienste, sowie die angegliederten (ehem.) staatlichen Telefongesellschaften.
An jeder Station werden aus dem Datenstrom mittels der Spezialsoftware XKEYSCORE in Echtzeit die individuellen Kommunikationsinhalte extrahiert (E-Mails, Chat, VOIP), die gegenüber den sonstigen Anteilen (Videostreams, Downloads) nur einen Bruchteil des Gesamtvolumens ausmachen. Die Extrakte werden vor Ort sortenrein in einem schnellen Ringpuffer für bis zu drei Tage zwischengespeichert, können dann nach beliebigen Mustern durchsucht werden.
Laufende und historische Abfrageergebnisse werden für die Analysten bei der NSA zentral in einem Pool gebündelt. Dem großen Bruder entgeht nichts.

Boundless Informant: Leitstand für die Datengewinnung

Das System Boundless Informant bietet einen normierten und verdichteten Überblick über alle oben genannten Abhöraktivitäten. In einer Weltkarte werden für jede Region die statistischen Auswertungen der einzelnen Abhörstationen (SIGADS = SIGINT Activity Designators) farblich dargestellt. Grün bedeutet: es gibt nur wenig Daten. Rot steht für eine hohe Intensität der Überwachung.

Im nächsten KOMPASS geht es um aktive Angriffe: Tailored Access Operations, Trojaner, Advanced Network Technology Katalog (manipulierte Hardware), Sabotage von Kryptographie-Standards.

 

Links zu weiterführenden Informationen:

 

*1. MAINWAY

Es werden die call-detail-records von allen Telefonaten für mindestens 5 Jahre  gespeichert. Die Daten stehen der NSA und dem FBI zur Verfügung.

Einmal im Rechenzentrum der NSA abgespeichert, sind die Daten praktisch vogelfrei.

siehe auch: 

* 2. PRISM (SIGAD US-984XN):

Die Ausspähung von Internetanwendern durch (Echtzeit) Zugriff auf deren Online-Konten / Cloud-Daten
siehe auch:

* 3. UPSTREAM / TEMPORA: Anzapfen der globalen Datenströme mithilfe der Spezialsoftware XKEYSCORE

siehe auch:
  • Geleakte Dokumente:

Bouldless Informant: Leitstand für die Datengewinnung

siehe auch:
  • Geleakte Dokumente:

Teil 2: Aktive Angriffe: Sabotage von Kryptographie Standards, Tailored Access  Operations (Trojaner), Advanced Network Technology Katalog  (manipulierte Hardware)

Neben den im ersten Teil dargestellten passiven Abhörprogrammen unternimmt die NSA auch aktive Angriffe auf Zielsysteme. Auch hier können grob drei verschiedene Bereiche unterschieden werden:
BULLRUN und EDGEHILL: Sabotage von Kryptographischen Standards und Implementierungen
Verschlüsselung ist seit jeher der natürliche Feind der Nachrichtendienste [0]. Daher korrumpieren sie gezielt Hersteller, damit diese entweder Nachschlüssel [1][2][3] und Hintertüren [4][5][6][7][8][9] in ihre Produktreihen einbauen oder die Umsetzung der an sich sicheren Verschlüsselungsverfahen im Programmcode so abändern, dass die verschlüsselten Daten für den Nachrichtensienst nachträglich leicht zu entschlüsseln sind. Dabei werden entweder Zufallszahlengeneratoren manipuliert oder gar Teile von „zufälligen“ Schlüsseln fest vorgegeben, so dass die eingeweihten Dienste die so abgeschwächte Verschlüsselung leicht knacken können, während Aussenstehende nichts bemerken.[10][11] Entsprechende Angriffe sind seit neustem auch auf der Hardwareeben bekannt [12]. Darüberhinaus investieren die Dienste Milliardenbeträge in Kryptoforschung, um die effizientesten Methoden zum Codeknacken zu entwickeln [13].
Siehe auch:
  • Geleakte Dokumente:
Tailored Access Operations (TAO) / Computer Network Exploitation (CNE) = Trojaner
Neben der allgemeinen Sabotage von Sicherheitsmechanismen führt die NSA auch gezielte Hackerangriffe auf Rechner durch. In Abgrenzung zur Massenüberwachung spricht man dabei von gezielter Überwachung („Targeted Surveillance“). Da diese Angriffe jedoch nicht manuell, sondern automatisiert durch ein Netzwerk von global verteilten Angriffspunkten gewissermaßen in einem industriellen Maßstab durchgeführt werden, muss es eigentlich als Massenüberwachung angesehen werden: Denn das System ist offenbar dafür dimensioniert praktisch alle Rechner zu infiltrieren[0]. Auf Basis der mittels PRISM und UPSTREAM/TEMPORA gesammelten Metadaten[1] werden einzelnen Zielpersonen zunächst Benutzerkennungen für Internetdienste (Selektoren, z.B. E-Mail Adressen, Instant Messaging Kennungen oder Benutzernamen für Internetdienste) zugeordnet und in das QUANTUM System eingespeist. Wird eine personalisierte Webseite unter einer solchen Benutzerkennung aufgerufen, so wird dies zunächst von XKEYSCORE erkannt und blitzartig an QUANTUM gemeldet. Anschließend schießt dann das QUANTUM System eine mit Schadcode manipulierte Version der aufgerufenen Webseite in den Clientrechner der Zielperson, die dort eher eintrifft als die eigentliche Antwort der aufgerufenen Webseite (MITM = Man-In-The-Middle Angriff). Durch den Schadcode wird das Zielsystem kompromittiert, so dass es den eigentlichen Programmcode des Trojaners von einem NSA-Server nachlädt und ausführt.[2][3] Die SSL-Verschlüsselung der Webseiten, die solche MITM-Angriffe verhindern sollte, wird dabei offenbar durch die o.g. Angriffe auf Kryptographie ausgetrickst.[4]
Siehe auch:
  • Geleakte Dokumente:
Advanced Network Technology (ANT) = manipulierte Hardware
Wenn eine Zugriff auf das Zielsystem von Außen über das Internet nicht gelingen will, bleibt als letztes Mittel der Einbau von versteckten Hardwarewanzen in die Computersysteme der Zielpersonen.[0] Der Begriff der gezielten Überwachung ist auch hier irreführend, denn die NSA hat vorsorglich bereits ein genzes Arsenal an Hardwarewanzen auch für Deine Hardware in Petto.[1][2] Sogar bei den Paketdienstleistern gibt es längst einen Geschäftsprozess, mit dem die NSA Pakete vom Elektronikversandt in ihre Geheimwerkstätten ausschleusen läßt, um heimlich Hardfwarewanzen einzubauen.[3][4] Da die professionellen Hardwareimplantate zumeist direkt in die Schaltkreise von Platinen und Chips integriert sind, sind sie mit bloßem Auge von Außen nicht zu erkennen. Entsprechende Angriffe sind neuerdings auch für Hobbybastler möglich.[5][6]
Siehe auch:
Geleakte Dokumente:

Ein Kommentar

Kommentare sind geschlossen.