Mögliches Angriffsszenario auf den DE-CIX

Klaus Landefeld vom sah sich erneut gezwungen den Zugriff ausländischer Geheimdienste auf den Internetknoten DE-CIX auszuschließen. Ich bin durchaus der Meinung, daß er subjektiv die Wahrheit sagt, überzeugt bin ich aber nicht, daß es technisch nicht möglich sein soll. Man muß bedenken, daß Wirtschaftsspionage eine explizite Aufgabe der amerikanischen Dienste ist und dabei Geld keine begrenzende Ressource für die Aktivitäten der NSA darstellt.

Unter diesen Prämissen ist eine Vollausleitung des gesamten Verkehrs, die wohl tatsächlich auffallen dürfte, überhaupt nicht notwendig. Viel interessanter ist aber das gezielte Abgreifen bestimmter Verbindungen (bspw. Schlüsselindustrien in der Wehrtechnologie, Luftfahrttechnologie [Boeing versus Airbus], etc.). Hierzu bedarf es zunächst „nur“ Vollzugriff. Da Deutschland bezüglich der Netzwerktechnologie ein Entwicklungsland ist, kommt nur importierte Technik mit asiatischen und amerikanischen Produkten zum Einsatz. Die NSA hätte daher bereits auf ihrem eigenen Territorium die Möglichkeit, die Switches mit modifizierter Firmware auszustatten. Die Hintertür, in Routern von Cisco bereits vor Jahren aufgeflogen, in der Firmware müsste einen Fernwartungszugang bereit stellen. Etwas komplizierter stellt sich das Szenario für einen unbemerkten Zugriff auf den Datenverkehr dar. Zu jedem Switch gehört standardmäßig zu Wartungszwecken (Netzwerkfehleranalyse, Angriffsabwehr [IDS] etc.) die Möglichkeit der Portspiegelung, d.h. der Datenverkehr eines Ports wird nicht nur an den Zielport weitergeleitet, sondern an einen Weiteren. Es werden also mehr Ports benötigt. In der Tat auffällig. Doch mit in geeigneter Weise modifizierter Firmware sollte sich das umgehen lassen. Die Firmware könnte ein Datenpaket duplizieren und den Header dergestalt manipulieren, daß es unter Verwendung der vorhandenen Ports an eine andere Zieladresse weitergeleitet wird. Das Originalpaket erreicht seinen Bestimmungsort unverändert, die Kopie einen Rechner der NSA. Problem: Der Switch zeigt mehr ausgehenden als eingehenden Datenverkehr. Damit der Saldo wieder stimmt, müsste die NSA dem Switch von außen eine entsprechende Anzahl Datenpakete zuführen, also für jedes ausgehende Duplikat muß dem Switch genau ein Eingangspaket zugestellt werden. Die Firmware müsste diese Korrekturpakete erkennen und verwerfen. Der Saldo ist ausgeglichen. Technisch sollte das machbar sein. Alternativ käme auch eine Manipulation der Routertabellen in Frage. Der fragliche Datenstrom wird einfach über die USA (oder UK) geroutet (das wäre vielleicht noch nicht mal illegal) und dort dürfen sie legal mitlesen wie sie wollen. Nebeneffekt wäre, daß die NSA auch Informationen über die interne Struktur der belauschten Unternehmen bekäme und besonders lohnenswerte Rechner auf anderem Wege direkt angreifen könnte.

Man kann die Verschwörungstheorie noch dahingehend erweitern, daß die NSA zwar unerkannt und aber doch offiziell bereits im DE-CIX mit am Tisch sitzt. Da der DE-CIX genossenschaftlich organisiert ist, wäre es durchaus denkbar, daß die NSA einen Internet-Dienstleister finanziert oder durch Infiltration übernommen hat und jetzt als Genosse Zugang zum DE-CIX hat. Übrigens wäre es auch für jede (andere) kriminelle Organisation mehr als zweckmäßig, einen Internetprovider o.ä. zu gründen. Ein Grund mehr seine e-Mails zu verschlüsseln.

Ich will nicht behaupten, daß dies alles so abläuft wie von mir angedacht, ich bin nur der Meinung, daß die absolute Aussage, daß ein Zugriff ausländischer Geheimdienste im DE-CIX ausgeschlossen werden kann, so nicht haltbar ist.

Ein Kommentar

  1. […] der DE-CIX in einer Presseerklärung verlauten lassen, in der genau dies bestritten wird. Wirklich überzeugt hat mich die Erklärung schon damals nicht, da die Hardware aus den USA kommt und Wirtschaftsspionage explizit eine der Aufgaben der […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.