Der britische Geheimdienst GCHQ scannt Server weltweit und katalogisiert offene TCP-Ports im Rahmen eines geheimen Programms namens Hacienda. Diese Datenbank werde dann für Überwachungsprojekte verwendet und auch den anderen Five-Eyes-Nationen – USA, Kanada, Australien und Neuseeland – zur Verfügung gestellt, berichtet Heise Online.
Server-Ports werden durch Nummern spezifiziert, die Angaben zu Protokoll und IP-Adresse ergänzen. Offene Ports ermöglichen Kommunikation zwischen Computern, geschlossene verhindern sie. Daher lässt Kenntnis der offenen Ports Rückschlüsse auf die Dienste zu, die ein Server anbietet.
Seit 2009 sollen im Rahmen von Hacienda 32 Länder systematisch erfasst worden sein, bei zumindest 27 von ihnen wurden die Analysen auch komplettiert. Als Beleg hat Heise 26 geheime Folien des GCHQ, der National Security Agency (NSA) und des Communications Security Establishment of Canada (CSEC) veröffentlicht. Demnach scannt der britische Geheimdienst Server routinemäßig nach Ports für verbreitete Protokolle wie HTTP und FTP, aber auch SSH (Remote Access) und SNMP (Netzwerkverwaltung).
Über die Scans hinaus lädt der Geheimdienst die sogenannten „Banner“ herunter – Textnachrichten, die einige Anwendungen verschicken, wenn sich jemand mit einem bestimmten Port zu verbinden versucht. Darin finden sich häufig für einen späteren Angriff nutzbare Systeminformationen oder Angaben von Versionsnummern. Die Folien zeigen außerdem, dass Port-Scans die Grundlage für die automatische Suche nach Operational Relay Boxes (ORBs) bilden – Zwischenstationen auf kompromittierten Servern, über die offensive Maßnahmen getarnt und verschleiert werden.
Als Verteidigung gegen Hacienda schlagen die Autoren TCP Stealth vor, das Port-Scans verhindert. Es handelt sich um eine an der TU München entwickelte Modifikation von Port-Knocking. Allerdings ist sie derzeit nur für Linux verfügbar und nur für Anwendergruppen sinnvoll nutzbar, die so klein sind, dass eine für alle verbindliche Passphrase ausgetauscht werden kann.
[mit Material von Max Smolaks, TechWeekEurope.co.uk]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…