Bericht: Geheimdienste tarnten sich bei Spionage manchmal als Google

NSA und der britische GCHQ setzen auch auf Man-in-the-Middle-Angriffe. Sie leiten Traffic auf eine Site um, die sich als das eigentlich vorgesehene Ziel ausgibt und die übermittelten Inhalte abfängt. Mit dieser Technik lässt sich Verschlüsselung umgehen, ohne den Code zu knacken.

Der US-Geheimdienst NSA und die britische geheimdienstliche Abhörzentrale GCHQ setzen auch auf Man-in-the-Middle-Angriffe (MITM), um die Inhalte verschlüsselter Kommunikation auszuspähen. Die für ihre enge Zusammenarbeit bekannten Behörden sollen sich dabei den Kommunikationsteilnehmern gegenüber als Google und möglicherweise auch andere bekannte Internetfirmen ausgegeben haben. Das geht aus Präsentationsfolien hervor, die der Schulung von Geheimdienstmitarbeitern dienten.

nsa-seal

Enthüllt wurde es durch eine Sendung des brasilianischen Fernsehsenders Globo, die auch NSA-Spionage gegen das Bankennetz SWIFT und den brasilianischen Erdölkonzern Petrobas enthüllte. Auf die Informationen stieß Glenn Greenwald in den Tausenden von Dokumenten, die er von Whistleblower Edward Snowden erhielt. Die MITM-Angriffsmethode wurde aber in den ersten Berichten dazu nicht thematisiert.

Einem GCHQ-Dokument zufolge benutzen die Geheimdienstmitarbeiter dafür einen Internet-Router und leiten den Traffic von überwachten Google-Nutzern zu einer Site um, die als „Mann in der Mitte“ fungiert und sich als der eigentlich vorgesehene Kommunikationspartner ausgibt. Sie fängt die übermittelten Inhalte ab, bevor diese an das jeweilige Ziel weitergereicht werden. Theoretisch ist damit eine vollständige Kontrolle über den Datenverkehr zwischen Netzwerkteilnehmern möglich. Vor allem aber kann man damit auch eine eigentlich sichere Verschlüsselung umgehen, ohne den Code selbst knacken zu müssen.

Webbrowser versuchen solche Angriffe durch die Überprüfung von digitalen Zertifikaten zu vereiteln. Aber auch das bietet nur einen begrenzten Schutz, da nicht allen Zertifikatsausstellern vollständig zu vertrauen ist. An Zertifikate sei sogar relativ leicht zu kommen, meint der Kryptografie-Experte Matthew Green von der John Hopkins University. Es gebe so viele von diesen Stellen, nämlich zwischen 100 und 200. „Wenn man groß genug ist und genug Geld dafür ausgibt, kann man sie sogar dazu bringen, ihren eigenen Signaturschlüssel zu überlassen“, zitiert ihn das Magazin Mother Jones. Damit wiederum wäre es möglich, Zertifikate für jede beliebige Website zu fälschen, was auch die Verkörperung von Google ermöglichte. Zum Einsatz kamen aber auch schon digitale Zertifikate, die bei einem Hackerangriff auf einen Aussteller gestohlen wurden.

„Was kürzliche Berichte angeht, dass die US-Regierung Wege zur Umgehung unserer Sicherheitssysteme gefunden hat, verfügen wir über keine Hinweise darauf, dass so etwas jemals geschehen ist“, erklärte Google-Sprecher Jay Nancarrow dazu. „Wir geben Nutzerdaten nur in Übereinstimmung mit dem Gesetz an Regierungen weiter.“ Die NSA wollte zu einer Anfrage von News.com nicht Stellung nehmen.

Eines der GCHQ-Spähprogramme wird in den Geheimdokumenten als „Flying Pig“ bezeichnet. Da sowohl ein Prisma als auch ein fliegendes Schwein Motive bekannter Albumhüllen der Gruppe Pink Floyd sind, suchte EFF-Anwalt Kurt Opsahl per Tweet nach einer Deutung: „PRISM, Flying Pig. Im Überwachungsstaat scheint es jemanden zu geben, der es mit Albumhüllen von Pink Floyd hat.“ Die englische Redewendung „when pigs fly“ bezieht sich außerdem auf ein gewagtes und nicht realisierbares Vorhaben – auf etwas, das niemals geschieht.

[mit Material von Edward Moyer, News.com]

Themenseiten: Datenschutz, Google, National Security Agency, Privacy, Secure-IT, Überwachung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Bericht: Geheimdienste tarnten sich bei Spionage manchmal als Google

Kommentar hinzufügen
  • Am 16. September 2013 um 13:12 von Hagen F.

    Leider mangelt es diesem Artikel mal wieder etwas an Details, sodass viele Fragen offen bleiben. Der Chrome Browser macht z.B. mit Certificate Pinning MITM mit gefälschten Zertifikaten unmöglich. D.h. entweder spioniert die NSA gezielt nur Internet Explorer Nutzer aus (denn Chrome Nutzer würden einen solchen Angriff sofort merken) oder solche Angriffe finden in der Praxis nicht statt.
    Einige Nutzer benutzen auch Browser-Extensions die das plötzliche Ändern von Zertifikaten bemerken. Ein MITM Angriff würde demnach diesen Leuten sofort auffallen und ein solch verdecktes agieren der Geheimdienste über Jahre nicht möglich machen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *