Die Veröffentlichungen rund um den US-amerikanischen Geheimdienst NSA reißen nicht ab: Insbesondere der US-Internet-Aktivist Jacob Appelbaum lieferte auf dem 30. Chaos Communication Congress in Hamburg sehr detaillierte Einblicke über die NSA-Hackertruppe TAO (Tailored Access Operation). Zudem veröffentlichte Appelbaum einen überarbeiteten geheimen, aber hochinformativer NSA-Katalog im Internet. Diese Datenblattsammlung der NSA-Abteilung ANT wird vom Spiegel als Otto-Katalog für Spione bezeichnet.

Infiltrieren per Baukasten

Der ANT-Katalog ist eine beispiellose Sammlung von Hardware- und Software-Sensorbausteinen zum Aufbau einer Totalüberwachung. Besonders inte­ressant sind die Komponenten zum Infiltrieren der Internet-Infrastruktur (eine interaktive Grafik mit kommentierten Auszügen des ANT-Katalogs existiert unter http://tinyurl.com/n3dl2j3). So sind hier etwa hochentwickelte Software-Implantate zu finden, um Hintertüren (Backdoors) in Router und Firewalls der Hersteller Cisco, Huawei und Juniper Networks einzufügen. Über diese Backdoors sind offensichtlich Command/Control/Data Exfiltration-Zugriffe – also eigentlich das vollständige Ab­hören und Manipulieren – möglich. Des Weiteren bietet die ANT-Datenblattsammlung auch spezielle Hardware-Erweiterungen für Server der US-Anbieter Dell und HP. Sie dienen offensichtlich dazu, aus der Ferne eine Schadsoftware dauerhaft auf einem Server zu installieren, die sogar resistent gegen den Austausch des Betriebssystems ist.

Backdoors in Routern werden im Moment sehr häufig entdeckt. Ob hier ein Zusammenhang zur NSA besteht, ist nicht bekannt. Anfang des Jahres meldeten gleich mehrere Medien, dass in Heimroutern verschiedener Hersteller eine Hintertür über den TCP-Port 32764 existiert, die bei einigen Modellen auch per Internet erreichbar ist.

Schneller als Yahoo

Nach dem vorläufigen Auswertungsstand der Snowden-Unterlagen ergab sich zum Ende des vergangenen Jahres in etwa folgende Lage: Die NSA hört im Rahmen von Prism, XKeyscore und Tempora zusammen mit Partnern in etwa 75 % des weltweiten Internetverkehrs – E-Mails, Zugriff auf soziale Netzwerke, Besuche auf bestimmten Websites – ab und erzeugt aus diesen Aktivitäten riesige Mengen an Metadaten, die überwiegend in zwei Datenbanken mit den Namen Marina und Mainway – teilweise zusammen mit dem abgehörten Content – gespeichert werden. Diese Metadaten werden dann mit 'Contact Chaining'-Methoden bearbeitet, um aus den mehr oder weniger anonymisierten Daten einzelne Systeme und Nutzer identifizieren zu können. Ist ein Zielsystem (Target) identifiziert, kann es bei Bedarf jederzeit durch die TAO mit einem maßgeschneiderten Angriff attackiert werden. Darüber hinaus kam im Herbst 2013 durch einen Bericht der niederländischen Abendzeitung NRC Handelsblad heraus, dass die NSA weltweit bereits weit mehr als 50.000 Netzwerke mit CNE-Malware (Computer Network Exploitation) infil­triert hat. Diese Vorrats-Infiltration dient offensichtlich dazu, einen Cyber-Spion im Zielnetzwerk zu haben, der sich bei Bedarf aktivieren lässt.

Vom Spiegel veröffentlichte Schulungsfolien (http://tinyurl.com/ncac4ov) aus dem Snowden-Fundus zeigen, dass zunächst ein Rechner mit Hilfe einer Kombination aus Deep Packet Inspection (DPI) und Spoofing mit einer NSA-Backdoor ausgestattet wird.

© SSV Software Systems

Durch Jacob Appelbaum ist bekannt, dass sich die NSA zusätzliche Werkzeuge mit den Namen Turmoil, Turbine, QFire beziehungsweise Quantum geschaffen hat, um den Datenverkehr zwischen Client-Systemen (als Targets) und Servern in Echtzeit abzuhören und zu manipulieren (siehe Bild). Dabei wird über eine Router-Backdoor der Datenverkehr nach einem Selektor durchsucht, zum Beispiel der Webzugriff eines Targets auf die Yahoo-Website. Wird ein solcher Selektor erkannt, versucht ein NSA-Server mit dem Namen Foxacid schneller als Yahoo zu antworten und dem Client eine gefälschte Website unterzuschieben (Spoofing), über die dann eine Schadsoftware – zum Beispiel eine CNE-Malware – auf dem Target installiert wird. Da dieses Verfahren eine beachtliche Geschwindigkeit erfordert und darüber hinaus auf Browser-Schwachstellen angewiesen ist, wird es nicht bei jedem Versuch klappen. Wird dieser Vorgang allerdings oft genug wiederholt, ist die Wahrscheinlichkeit einer erfolgreichen Infiltration recht hoch. Die Abhörsensorik mit Selektor-Erkennung arbeitet nach einem Deep-Packet-Inspection-Prinzip (DPI) und wird Turmoil genannt. Hinter dem Namen Turbine verbirgt sich ein Deep-Packet-Injection-Verfahren für das Spoofing, QFire und Quantum sind offensichtlich Oberbegriffe für den automatischen Betrieb von Turmoil und Turbine.

Gefahrenpotenzial durch Cyberwaffen

Die umfangreichen NSA-Aktivitäten hinsichtlich des ANT-Katalogs und die Infil­tration der weltweiten Internet-Infrastruktur, einzelner Netzwerke sowie unzähliger Rechner kann man mit einem Satz zusammenfassen: Entwicklung und Inverkehrbringen von Cyberwaffen. Das trifft auch auf Stuxnet und andere APTs (Advanced Persistent Threads) zu, die von der NSA in Umlauf gebracht wurden. Die Geschichte der letzten 100 Jahre zeigt allerdings, dass militärische Waffenentwicklungen irgendwann auch die Sicherheit der Erfinder und deren Partner bedrohen – Maschinengewehr und Nuklearsprengkopf sind nur zwei derartige Beispiele. Und genau hier liegt auch das Problem für die Kommunikationslösungen in der M2M-Welt und im Internet der Dinge. Man muss wohl nicht wirklich davon ausgehen, dass die NSA mit ihren technischen Möglichkeiten kritische Infrastruktureinrichtungen und vernetzte Automatisierungsanwendungen in Deutschland angreift. Es ist allerdings sehr wahrscheinlich, dass die NSA-Cyberwaffen und der Zugriff auf Backdoors in Routern, Firewalls und anderen infiltrierten Systemen eventuell schon heute – mit Sicherheit aber in Zukunft – von gewöhnlichen Kriminellen und uns weniger freundlich gesonnenen Organisationen für Cyberangriffe jeder Art genutzt werden.

Über eine Router-Backdoor lassen sich M2M- oder Industrie-4.0-Anwendungen relativ einfach manipulieren. So kann zum Beispiel durch ein Sensordaten-Spoofing gegenüber der Steuerung eine Fehlfunktion provoziert werden.

© SSV Software Systems

Es wird der NSA schon aufgrund der zigtausend Mitarbeiter kaum gelingen, das umfangreiche Spezialwissen geheim zu halten, zumal die US-Nachrichtendienste sehr eng mit speziellen Privat­unternehmen zusammenarbeiten. Auch Edward Snowden war zuletzt bei einem solchen Unternehmen beschäftigt, deren Angestellte offensichtlich vollen Zugriff auf NSA-Geheimdokumente und Systeme haben. Es ist daher dringend erforderlich, sich mit der Fragestellung auseinanderzusetzen, wie man M2M- und Industrie-4.0-Anwendungen vor diesen Gefahren schützen kann. Hierzu drei Ansatzpunkte:

• Ethical Hacking / Cyberwarfare: Die Entwickler einer Sicherheitslösung orientieren sich in der Regel an den Möglichkeiten der Angreifer. Wenn man sich gegen die von der NSA in Umlauf gebrachten Cyberwaffen schützen will, sollte man allerdings nicht nur Dokumente über Ethical Hacking lesen. Viel hilfreicher sind Informationsquellen zum Thema Cyberwarfare (siehe auch 'Stuxnet and the Future of Cyber War' unter http://tinyurl.com/kh9eopv). Sehr aufschlussreich ist zum Beispiel das Buch 'Cyber Warfare – Techniques, Tactics and Tools for Security Practi­tioners' von Jason Andress und Steve Winterfeld. Gleiches gilt für die IT-Forensik. Es ist nicht nur sinnvoll, sich mit Maßnahmen zu befassen, um Beweise für Cyber-Attacken zu sichern, sondern sich auch die Methoden der Antiforensik näher anzusehen.
• Datenverkehr permanent überwachen: Um manipulierte Rechner- und Infrastrukturbaugruppen zu erkennen, sollte der gesamte Datenverkehr ins Internet mit geeigneten Mitteln dauerhaft überwacht werden. Appelbaum antwortet auf die Frage "Wie erkenne ich, ob auf meinem System eine NSA-Malware installiert wurde?" mit dem Ratschlag, besonders auf UDP-Datenpakete zu achten, die mit RC6 (Rivert Cipher 6) verschlüsselt wurden. Auch für eine M2M- oder Industrie-4.0-Lösung lässt sich eine SIEM-Lösung (SIEM = Security Information and Event Management) schaffen, um unnormales Kommunikationsverhalten in Echtzeit zu erkennen und einen Alarm auszulösen. SIEM-Analysen für Automatisierungslösungen sind sogar recht einfach umsetzbar, da die Kommunikationsbeziehungen und Verkehrsmuster relativ statisch sind. Jede Abweichung sollte als Hinweis auf ein nicht normales Verhalten gewertet und genau untersucht werden (siehe Bild).
• Normen und Empfehlungen kritisch betrachten: Derzeitige Sicherheitsnormen, wie zum Beispiel die IEC 62443 (Industrial Network and System Security), gehen nicht davon aus, dass ein Verschlüsselungsverfahren kompromittiert ist oder Firewalls und Router geheime Backdoors besitzen, über die der gesamte Datenverkehr abgehört oder manipulierte Datenpakete in den Verkehr eingefügt werden. Andere normative Vorgaben basieren zudem auf der Annahme, dass Virenscanner, die in regelmäßigen Abständen mit Updates versehen werden, auch alle Schadsoftwarebausteine finden und nicht bestimmte Dinge 'vorsätzlich' übersehen.

Des Weiteren sind Empfehlungen, den Cloud-Server einer M2M-Anwendung aus Sicherheitsgründen in Deutschland zu betreiben, wirkungslos, wenn die aus den USA stammende Serverhardware schon mit einer Backdoor angeliefert wird.

Autor: Klaus-Dieter Walter ist Mitglied bei SSV Software Systems und gehörte viele Jahre dem Vorstand der M2M Alliance an.