Diesen Beitrag veröffentlichte ich am 24. März bei Peira.de. „Wer ist ein besseres Ziel als die Person, die bereits über den ‘Schlüssel zum Königreich‘ verfügt?“ Wenn Du Systemadministrator eines Netzes bist, bist Du eine Zielperson der NSA. Ihr geht es natürlich um den Zugriff auf das Netz, das Du betreust. Dazu jagen und hacken sie aber nicht Deine dienstliche Identität – nein, sie haben es auf Deine privaten Accounts und Deine privaten Daten abgesehen. Neben der weltweiten Datenschnüffelei hat die National Security Agency schon seit Jahren den Schwerpunkt auf das aktive Eindringen in Netzwerke und das Kompromittieren ganzer Systeme gelegt. Für diese Aktionen hat sie sich einen Werkzeugkasten [1], Methoden und Automatismen zugelegt, mit denen sie im großen Stil und weltweit aktiv geworden sind. Auch Systemadministratoren sind für die NSA ein „Mittel zum Zweck“ der totalen Überwachung. In einem jüngst auf der Journalismus-Plattform „The Intercept“ [2] veröffentlichen Dokument aus Edward Snowdens NSA-Gruselfundus beschreibt ein ungenannter NSA-Mitarbeiter in der Ich-Form, warum und wie er Jagd auf Systemadministratoren macht [3]. Die Informationen stammen aus dem Jahr 2012, und waren in einem internen Blog des Geheimdienstes in mehreren Teilen veröffentlicht und diskutiert worden. Einer davon beispielsweise trägt den Namen „Ich jage Systemadministratoren“. Systemadministratoren sind natürlich nicht das endgültige Ziel des Angriffs. Ziel sind „Extremisten“, „Terroristen“, aber auch „Regierungsbeamte“, welche die vom Administrator betreuten Netze nutzen. Als Extremist gilt man in den Augen des amerikanischen Geheimdienstes leicht, in Vergangenheit reichte es schon, Klimaschützer zu sein [4]. Und wenn der beobachtete Terrorist durch ein Mobilfunknetz reist, ist ebenso der Systemadministrator dieses Netzes ein Ziel. Damit ist potentiell nahezu jedes Netzwerk im Fokus des Interesses der Schnüffler – und ebenso jeder SysAdmin. Die NSA hat dazu eine Datenbank von Systemadministratoren angelegt, die als internationale Hit-Liste von potentiellen Zielen dient. Das Internet wird nach „vermutlichen“ Systemadministratoren durchkämmt, erklärt der Autor. Bei dem Datenhunger der NSA ist nicht davon auszugehen, dass besondere Behutsamkeit bei der Auswahl möglicher Ziele stattfindet. Der Verfasser der geleakten Beiträge ist ein Netzwerkspezialist der NSA-Abteilung „Signals Intelligence Directorate“. Von ihm stammt auch die Präsentation, wie Nutzer des Tor -Browsers angegriffen werden. Private Identität im Fokus Der Angriff auf die dienstliche Identität des Administrators sei nicht erfolgversprechend, heißt es. Er habe nicht viel Glück damit gehabt, die offiziellen Emails mit Phishing oder Malware anzugreifen, stellt der Autor fest. Lohnender sei es, per Facebook- oder Webmailaccount des SysAdmins einzufallen. Die Angriffstechnik, die typischerweise verwendet wird, nennt sich QUANTUM [5]. Anhand von sogenannten Selektoren markiert die NSA zu hackende Zielpersonen. Sobald diese bestimmte Webseiten aufrufen – Facebook, Google Mail, Yahoo oder andere – injiziert ein bereitstehender FOXACID Server Schadcode in den Datenstrom, der an den zu hackenden Rechner geht [6]. So übernehmen sie die Rechner der SysAdmins. QUANTUM ist die Technologie, mit der die Geheimdienste beispielsweise das belgische Telekommunikationsunternehmen Belgacom – den Telefonanbieter der Europäischen Union – angegriffen hat [7]. Nachdem man den Rechner des Systemadministrators übernommen hat, durchforstet man ihn gezielt nach Netzwerkdiagrammen, in Textdateien gespeicherte Passwörter, Informationen über Kunden des Administrators samt den assoziierten IP-Adressen, … Weiterlesen →