Der britische Geheimdienst GCHQ scannt Server weltweit und katalogisiert offene TCP-Ports im Rahmen eines geheimen Programms namens Hacienda. Diese Datenbank werde dann für Überwachungsprojekte verwendet und auch den anderen Five-Eyes-Nationen – USA, Kanada, Australien und Neuseeland – zur Verfügung gestellt, berichtet Heise Online.
Server-Ports werden durch Nummern spezifiziert, die Angaben zu Protokoll und IP-Adresse ergänzen. Offene Ports ermöglichen Kommunikation zwischen Computern, geschlossene verhindern sie. Daher lässt Kenntnis der offenen Ports Rückschlüsse auf die Dienste zu, die ein Server anbietet.
Seit 2009 sollen im Rahmen von Hacienda 32 Länder systematisch erfasst worden sein, bei zumindest 27 von ihnen wurden die Analysen auch komplettiert. Als Beleg hat Heise 26 geheime Folien des GCHQ, der National Security Agency (NSA) und des Communications Security Establishment of Canada (CSEC) veröffentlicht. Demnach scannt der britische Geheimdienst Server routinemäßig nach Ports für verbreitete Protokolle wie HTTP und FTP, aber auch SSH (Remote Access) und SNMP (Netzwerkverwaltung).
Über die Scans hinaus lädt der Geheimdienst die sogenannten „Banner“ herunter – Textnachrichten, die einige Anwendungen verschicken, wenn sich jemand mit einem bestimmten Port zu verbinden versucht. Darin finden sich häufig für einen späteren Angriff nutzbare Systeminformationen oder Angaben von Versionsnummern. Die Folien zeigen außerdem, dass Port-Scans die Grundlage für die automatische Suche nach Operational Relay Boxes (ORBs) bilden – Zwischenstationen auf kompromittierten Servern, über die offensive Maßnahmen getarnt und verschleiert werden.
Als Verteidigung gegen Hacienda schlagen die Autoren TCP Stealth vor, das Port-Scans verhindert. Es handelt sich um eine an der TU München entwickelte Modifikation von Port-Knocking. Allerdings ist sie derzeit nur für Linux verfügbar und nur für Anwendergruppen sinnvoll nutzbar, die so klein sind, dass eine für alle verbindliche Passphrase ausgetauscht werden kann.
[mit Material von Max Smolaks, TechWeekEurope.co.uk]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
