Überwachung von Internettraffic durch GeheimdiensteEine Grundlage des Intern

1. Überwachung von Internettraffic durch Geheimdienste
2.  
3. Eine Grundlage des Internets ist seine dezentrale Organisation. Betrachtet man die Anzahl der Autonomen Systeme, hat es zunächst den Anschein als würde diese Dezentralisierung fortschreiten: Die Anzahl der Autonomen Systeme steigt stetig und das immer schneller. Allerdings wird es dadurch auch immer schwerer diese AS sinnvoll (d.h. mit einer möglichst geringen Zahl an Zwischenknoten) zu vernetzen. Um das trotz der wachsenden Menge an AS zu realisieren, gibt es Exchange Points (deutsch: Internet-Knoten), die eine große Anzahl Autonomer Systeme miteinander verbinden.
4. Mit ca. 700 GB/s Datendurchfluss ist der größte unter ihnen der DE-CIX in Frankfurt. Etwa 1000 AS sind direkt mit ihm verbunden, darunter sind ISPs wie Vodafone, große Unternehmen wie Apple und staatliche Einrichtungen wie das BelWü. Dadurch untergraben die Exchange Points die dezentrale Organisation des Internets im Bezug auf Datenverkehr. Geheimdienste können hier relativ einfach große Trafficmengen abgreifen, was der BND am DE-CIX auch tatsächlich macht. Über den Umfang der ausgeleiteten Daten und was mit ihnen geschieht gibt es keine offiziellen Angaben. 2016 reichte die DE-CIX Management GmbH Klage gegen die Bundesrepublik ein, da sie die Rechtmäßigkeit der Aktivitäten des BND, insbesondere die Vereinbarkeit mit dem Telekommunikationsgeheimnis und dem Grundgesetz nicht gewährleistet sieht.
5.  
6.  
7.  
8.  
9.  
10.  
11.  
12.  
13.  
14.  
15.  
16.  
17.  
18.  
19.  
20.  
21.  
22.  
23.  
24.  
25.  
26.  
27.  
28.  
29.  
30.  
31.  
32.  
33.  
34.  
35.  
36.  
37.  
38. DNS – Domain Name System
39.  
40. Hintergrund und Funktionsweise
41.  
42. Da IP-Adressen für den Menschen sehr schwierig zu merken sind, gibt es Domains. Internetprotokolle allerdings arbeiten mit IP-Adressen. Man braucht also eine Möglichkeit Domainname in IP-Adressen zu übersetzen und umgekehrt. Um hohe Wartezeiten, beispielsweise beim Aufruf einer Website im Browser, zu vermeiden, sollte diese Übersetzung zügig erfolgen. Änderungen und neu registrierte Domainnamen sollen möglichst schnell bekannt sein. Diese Anforderungen werden gelöst durch DNS Server.
43. Möchte der Client auf eine Domain zugreifen, stellt er Client-PC zunächst eine Anfrage an den DNS-Server, dieser antwortet mit der entsprechenden IP-Adresse. Der Client-PC kann nun eine Anfrage an die IP-Adresse stellen, die ihm der DNS Server als Antwort übermittelt hat.
44. (schematische Darstellung)
45.  
46. Hierbei erfolgt weder ein Überprüfung der vom DNS Server übermittelten Daten auf Korrektheit, noch wird die Kommunikation verschlüsselt.
47.  
48.  
49.  
50.  
51.  
52.  
53.  
54.  
55.  
56. DNS Poisoning
57.  
58. Beim DNS Poisoing (auch DNS Spoofing) werden die Informationen auf dem DNS Server manipuliert, sodass Domains falschen IP-Adressen zugeordnet werden. Dies kann durch Administratoren (absichtlich oder unabsichtlich), durch dritte, die sich Zugang zum Server verschafft haben, oder durch automatische Updates von einem anderen, in der Hierarchie höheren DNS Server geschehen.
59. Da keine Validitätsprüfung der vom DNS Server übermittelten IP-Adresse stattfindet muss der Client dem DNS Server blind vertrauen.
60.  
61. (schematische Darstellung)
62.  
63.  
64.  
65.  
66.  
67.  
68.  
69.  
70.  
71.  
72.  
73.  
74.  
75.  
76.  
77.  
78.  
79.  
80. Man in the Middle
81.  
82. Da DNS Anfragen (und Antworten) nicht verschlüsselt übertragen werden, bietet auch ein Man in the Middle Angriff die Möglichkeit DNS Anfragen mit inkorrekten IPs zu beantworten. Hierzu muss der Angreifer in der Lage sein, zwischen dem Opfer und dem DNS Server fließenden Traffic abzuhören und zu unterbinden (stimmt das so???), braucht aber keinen Zugriff auf den DNS Server. Stellt das Opfer eine Anfrage an den DNS-Server, kann der Angreifer diese beantworten und die Anfrage nicht an den DNS Server weiterleiten. Das Opfer bemerkt nicht, dass die Antwort nicht vom DNS Server stammt.
83.  
84.  
85.  
86. (schematische Darstellung)
87.  
88.  
89.  
90.  
91.  
92.  
93.  
94.  
95.  
96.  
97. Pharming
98.  
99. DNS Poisoning kann z.B. für Phising genutzt werden. Ein solcher Angriff wird Pharming genannt.
100. Die Domain „facebook.com“ wird eigentlich der IP-Adresse 31.13.76.68 zugeordnet (in Wirklichkeit gibt es hier verschiedene richtige IP-Adressen).
101. Ein DNS Server könnte manipuliert werden, sodass „facebook.com“ zu 11.22.33.44 aufgelöst wird (DNS Poisoning) oder die Anfrage abgefangen und mit 11.22.33.44 beantwortet werden (Man in the Middle).
102. Diese IP-Adresse befindet sich im Besitz des Angreifers und hostet eine gefälschte Facebook-Loginseite. Für den durchschnittlichen Nutzer ist kaum zu erkennen, dass es sich hierbei um eine Fälschung handelt da die URL im Browser korrekt ist. Lediglich an fehlenden/fehlerhaften Zertifikaten kann das Opfer erkennen, dass es sich nicht auf der echten Seite befindet.
103.  
104. Die hohe Anzahl an potentiellen Opfern und den, verglichen mit regulärem Phising, wo oft leicht abgewandelte Domainnamen verwendet werden, schwerer zu detektierenden Phisingseiten lassen Pharaming-Angriffe zunächst attraktiv für Kriminelle erscheinen. Allerdings erfordert die Umsetzung eines solchen Angriffes entweder den Zugang zu einem DNS Server oder die Möglichkeit zahlreiche Verbindungen zu einem DNS Server zu überwachen. Beides ist i.d.R. so gut geschützt, dass es für Angreifer ohne großes Know-How nicht möglich ist, und für andere sehr aufwändig wäre, diesen Zugriff zu erlangen. Zudem gibt es für den Angreifer beim DNS Poisoning keinerlei Garantie, dass sein Angriff nicht schnell bemerkt, die Sicherheitslücke geschlossen und der fehlerhafte Eintrag im DNS-Server korrigiert wird, bevor viele Opfer erreicht werden konnten. Aus diesen Gründen sind Pharming Angriffe zwar deutlich seltener als z.B. Phising per E-Mail, haben aber meist verheerendere Auswirkungen.
105.  
106. Internetzensur
107.  
108. DNS bietet eine gute Angriffsflächen für (autoritäte) Staaten um Internetzensur umzusetzen.
109. Hierzu zwingt die Regierung ISPs, ihre DNS Server so zu manipulieren, dass bestimmte Domains falsch aufgelöst werden. Betroffen sind hiervon meist regierungskritische Seiten oder Soziale Netzwerke.
110. Da Regierungen nur auf DNS Server im eigenen Land oder in verbündeten Ländern einwirken können, ist die „Sperrung“ einer Internetseite die ausschließlich auf DNS Poisoning basiert vergleichsweise einfach zu umgehen. Hierfür muss lediglich in den Betriebssystemeinstellungen ein nicht kompromittierter DNS Server gewählt werden (z.B. Google DNS 8.8.8.8 / 8.8.4.4). Die Sperre kann so zwar umgangen werden, ohne VPN (oder Ähnliches?) kann der ISP aber nachvollziehen wer das macht (und der Regierung melden), wodurch sich der Nutzer einem Risiko aussetzt.
111. 2014 forderte die türkische Regierung die türkischen Telekom auf Twitter zu sperren. Diese Sperrung wurde zunächst ausschließlich durch DNS Poisoning umgesetzt. In der türkischen Bevölkerung verbreitete sich schnell die Information, dass die Sperre durch Nutzung eines anderen DNS Servers (z.B. Google DNS, openDNS oder Level 3) umgangen werden könne, wodurch die Zensur unwirksam wurde. Um zu unterbinden, dass die türkische Bevölkerung diese DNS Server weiterhin nutzt um auf Twitter zu surfen, wurde BGP Hijacking eingesetzt um die Anfragen, die an die DNS Server von Google, openDNS und Level 3 gesendet wurden, an einen der kompromittierten Server umzuleiten (Man in the Middle). Durch die Kombination von DNS Poisoning und Man in the Middle Eingriffen lassen sich Internetseiten für große Teile der Bevölkerung effektiv sperren.