Britischer Geheimdienst scannt nach offenen TCP-Ports

Government Communications Headquarters (GCHQ) Logo

Die Suche des GCHQ erfolgt weltweit. Diese Daten werden für ganze Länder automatisch und routinemäßig zusammengetragen. Aus diesen kann die Behörde auf verwendete Dienste und Software-Versionen schließen. Genutzt werden sie als Basis für Angriffe.

Weltweit überprüft der britische Geheimdienst GCHQ Server auf offene TCP-Ports und katalogisiert sie. Das geschieht alles im Rahmen eines geheimen Programms namens Hacienda. Der Geheimdienst nutzt diese Datenbank als Basis für Überwachungsprojekte. Die anderen Five-Eyes-Nationen – USA, Kanada, Australien und Neuseeland – können ebenfalls darauf zugreifen, berichtet Heise Online.

Folie zu Hacienda (Quelle: via Heise)Anhand von Nummern werden Server-Ports spezifiziert. Diese ergänzen Angaben zu Protokoll und IP-Adresse. Durch offene Ports ist eine Kommunikation zwischen Computern möglich, geschlossene verhindern sie. Somit lassen sich mit Kenntnis der offenen Ports Schlüsse ziehen, welche Dienste ein Server anbietet.

32 Länder soll der GCHQ seit 2009 mit Hacienda-Projekt systematisch erfasst haben. Bei mindestens 27 wurden die Analysen auch vervollständigt. Heise hat als Belege 26 geheime Folien des GCHQ, der National Security Agency (NSA) und des Communications Security Establishment of Canada (CSEC) veröffentlicht. Routinemäßig scannt der britische Geheimdienst demnach nach Ports für verbreitete Protokolle wie HTTP und FTP, aber auch SSH (Remote Access) und SNMP (Netzwerkverwaltung).

Der Geheimdienst lädt außerdem die sogenannten “Banner” herunter. Diese sind Textnachrichten, die einige Anwendungen verschicken, wenn jemand versucht sich mit einem bestimmten Port zu verbinden. Aus ihnen lassen sich Systeminformationen oder Angaben von Versionsnummern herauslesen und für spätere Angriffe nutzen. Port-Scans dienen zudem als Grundlage für die automatische Suche nach Operational Relay Boxes (ORBs) – Zwischenstationen auf kompromittierten Servern, über die offensive Maßnahmen getarnt und verschleiert werden – wie die Folien zeigen.

Als Verteidigung gegen Hacienda schlagen die Autoren TCP Stealth vor, das Port-Scans verhindert. Es handelt sich um eine an der TU München entwickelte Modifikation von Port-Knocking. Allerdings ist sie derzeit nur für Linux verfügbar und nur für Anwendergruppen sinnvoll nutzbar, die so klein sind, dass eine für alle verbindliche Passphrase ausgetauscht werden kann.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de