Britischer Geheimdienst GCHQ sucht weltweit nach offenen TCP-Ports

Diese Daten werden für ganze Länder automatisch und routinemäßig zusammengetragen. Sie erlauben Rückschlüsse auf verwendete Dienste und Software-Versionen. Damit bilden sie die Grundlage für Angriffe. Die Datenbank Hacienda steht auch den anderen Five-Eyes-Nationen zur Verfügung.

Der britische Geheimdienst GCHQ scannt Server weltweit und katalogisiert offene TCP-Ports im Rahmen eines geheimen Programms namens Hacienda. Diese Datenbank werde dann für Überwachungsprojekte verwendet und auch den anderen Five-Eyes-Nationen – USA, Kanada, Australien und Neuseeland – zur Verfügung gestellt, berichtet Heise Online.

Folie zu Hacienda (Quelle: via Heise)

Server-Ports werden durch Nummern spezifiziert, die Angaben zu Protokoll und IP-Adresse ergänzen. Offene Ports ermöglichen Kommunikation zwischen Computern, geschlossene verhindern sie. Daher lässt Kenntnis der offenen Ports Rückschlüsse auf die Dienste zu, die ein Server anbietet.

Seit 2009 sollen im Rahmen von Hacienda 32 Länder systematisch erfasst worden sein, bei zumindest 27 von ihnen wurden die Analysen auch komplettiert. Als Beleg hat Heise 26 geheime Folien des GCHQ, der National Security Agency (NSA) und des Communications Security Establishment of Canada (CSEC) veröffentlicht. Demnach scannt der britische Geheimdienst Server routinemäßig nach Ports für verbreitete Protokolle wie HTTP und FTP, aber auch SSH (Remote Access) und SNMP (Netzwerkverwaltung).

Über die Scans hinaus lädt der Geheimdienst die sogenannten „Banner“ herunter – Textnachrichten, die einige Anwendungen verschicken, wenn sich jemand mit einem bestimmten Port zu verbinden versucht. Darin finden sich häufig für einen späteren Angriff nutzbare Systeminformationen oder Angaben von Versionsnummern. Die Folien zeigen außerdem, dass Port-Scans die Grundlage für die automatische Suche nach Operational Relay Boxes (ORBs) bilden – Zwischenstationen auf kompromittierten Servern, über die offensive Maßnahmen getarnt und verschleiert werden.

Als Verteidigung gegen Hacienda schlagen die Autoren TCP Stealth vor, das Port-Scans verhindert. Es handelt sich um eine an der TU München entwickelte Modifikation von Port-Knocking. Allerdings ist sie derzeit nur für Linux verfügbar und nur für Anwendergruppen sinnvoll nutzbar, die so klein sind, dass eine für alle verbindliche Passphrase ausgetauscht werden kann.

[mit Material von Max Smolaks, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

Noch keine Kommentare zu Britischer Geheimdienst GCHQ sucht weltweit nach offenen TCP-Ports

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *