ANMERKUNG:
Diese Notiz ist für Menschen „vom Fach“ gedacht. Laien und Fachunkundige verstehen die hier gemachten Ausführungen definitiv NICHT!
Dennoch ist es hochbrisant und informativ! Hier werden mehrere Angriffe der NSA auf einen Server bis ins Detail zurückverfolgt und nachgewiesen!
Ich sag immer: „Die kochen auch nur mit Wasser – h4cK th3 pl4n3t ;)“
1) Verdeckte Leser : Trügerische Herkunftsdomänen
2) Verursacher : Eifrige DISA stets zu Diensten
3) Leitung : Das Pentagon erforscht Oldtimer-Motorräder
4) Versuchskaninchen? : Der Leitfund nach Quantico
5) Ein Testlauf von QFire? : Aktivitäten von Marine Corps Network Operations
6) Angreifer : Übersicht über typische Angriffsherkünfte
7) Konzept : NSA-Angriffe mit örtlicher Nähe
8) Praxis : Profi-Angriffe über Zwischenverbindungen
9) Getarnte Nummern : Warum eine IP manchmal nicht das ist, was sie scheint
10) Praxiseinsatz : Erst der Einbruch, dann das Vergnügen
1) Verdeckte Leser
Beteiligte an Lastangriffen wollen nicht mit ihrer Nutzernummer (IP) erkannt werden damit sie nicht gesperrt werden. Die NSA verwendet deshalb Weiterleitungen über ausländische Rechenzentren, die vielleicht bei Geldquellen keine Fragen stellen – wie im folgenden Beispiel:
Der vermeintliche ADSL-Nutzer ist in der Landesherkunft nicht erkennbar. Die IP-Benutzernummer (blau) ist registriert für UKRTELECOM in Kiew, wie auch genannt als Domäne (gelb). Ihr Pool ist Verteiler für Kunden, hier in dynamischer Angabe als vorderer Teil (grün) im Namen. Dieser Kunde sitzt aber weder in Kiew noch in der Ukraine. Er ist mit seiner IP 11.58.178.94 registriert als „DODIIS“, also DoD Department of Defense [http://de.wikipedia.org/wiki/Verteidigungsministerium_der_Vereinigten_Staaten], hier: Internet Information Service. Das DoD NIC Network Information Center der US-Armee in Columbus/Ohio sei angeblich das frühere militärische ARPA-Netz (US Defense Data Network) von 1983-1995, wird aber bis heute in Registrierungen gelistet und ist weiterhin in Betrieb. Störaktionen, Angriffe und Einbruchversuche mit vermeintlicher Herkunft aus Asien oder Osteuropa in private Netzangebote scheinen tatsächlich von solchen US Sabotage-Einheiten zu stammen. Zwar könnte man die verdeckten Nummern als simple Umkehrung der tatsächlichen IP verstehen, was häufig vorkommt. Es bleiben aber Fälle, wo dies nicht möglich ist wie etwa
• LLagny–156-36-34-57.w80-14.abo.wanadoo.fr / IP 80.14.143.57 = US/BANCORP/156.xx
• cpe–356380.ip.primehome.com / IP 46.21.60.215 = US/General Elektrik/3.xx or Merit Network/US
• dsl-kvlbrasgw2-50df12-200.dhcp.inet.fi / IP 80.223.18.200 = Dubai Telekom/2.50 oder unregistrierte 250.xx.
• cpc5-basl11–2-0-cust192.20-1.cable.virginm.net / IP 92.237.74.193 = US/AT&T-IPGr/192.20.12.0 (#6.2.14)
• 524B400C.cm–4-4b.dynamic.ziggo.nl / IP 82.75.64.12 = US/Dupont-Chemie/52.120.40.44 (Hex:4b4=1204)
2) Verursacher
Eigene Beobachtungen von Dezember 2013 bis Januar 2014 fanden verdeckte Zugriffe als Erfolgskontrollen genau zum Zeitpunkt laufender Überlastungsangriffe mit der Herkunft amerikanischer sowie weiterer Regierungsbehörden in West-Ländern. Soweit deren Titulierung „Verteidigung“ betont, sind damit laut protokollierten Vorfällen wahrscheinlich auch illegale Sabotage-Angriffe gegen private Ziele gemeint.
Das dabei beobachtete SNET (1)[http://en.wikipedia.org/wiki/Southern_New_England_Telephone] der US-Privatgesellschaft AT&T im Einsatz bei der NSA wird vielfach gefunden.Der US-Dienst DISA (2)[http://en.wikipedia.org/wiki/Defense_Information_Systems_Agency] hat bei verschiedenen IP Nummern dieselbe Ortsadresse für seine Operations-Abteilung in Columbus/Ohio (3) als Abteilung der NSA. Falls jemand behaupten wollte, alle folgenden Zugriffsfunde verdeckter IP in Domänen-Namen wie 3.2.1 seien nur Umkehrungen der offen genannten IP 1.2.3, der müßte auch erklären können, warum die Funde bei allen unterschiedlichen Zahlenkombinationen alle zur selben US-Militärdienststelle auf selber Ortslage führen.
NetRange: 11.0.0.0/8, 22.0.0.0/8
NetName: a/b) DODIIS c/e) DNIC-SNET(1)-022 d) DISA(2)NET26
OrgName: DoD Network Information Center
Address: US 43218 Columbus/OH(3), 3990 E. Broad Street
a) MEZ 08. Jan 14, 19:51:50 11-58-178-94.pool.ukrtel.net = UA 94.178.58.11 / Windows Vista Firefox 26.0
b) MEZ 09. Jan 14, 00:37:34 bar1169902.lnk.telstra.net = AU 110.142.39.15 / Windows XP Firefox 26.0
c) MEZ 12. Jan 14, 15:01:30 g226050062.adsl.alicedsl.de = DE 92.226.50.62 / Windows 7 Mozilla 11.0
d) MEZ 13. Jan 14, 18:19:05 26-10.1-85.cust.bluewin.ch = CH 85.1.10.26 / Windows 7 Firefox 26.0
e) MEZ 14. Jan 14, 01:38:01 22-184.60-188.cust.bluewin.ch = CH 188.60.184.22 / iOS 6.1 Safari 6.0
3) Leitung
Dies war nicht etwa der Amoklauf eines Einzeltäters auf fünf verschiedenen Arbeitsplätzen im selben Haus, denn an anderer Stelle war zur selben Zeit beteiligt die USACC „R-Site“, seit Mai 1984 genannt RRMC[http://en.wikipedia.org/wiki/Raven_Rock_Mountain_Complex], „Raven Rock Mountain Complex“ als Nebenstelle des Pentagon, wo auch die DISA ihr Hauptquartier USAISC (1) [http://en.wikipedia.org/wiki/USAISC#Army_unit] hat. Nebenstelle Nummer-3 (2) des Hauptquartiers ist Fort Huachuca
(3)[http://en.wikipedia.org/wiki/Fort_Huachuca], ein Armeestützpunkt in Arizona.
Die Abteilung CEEIS (4) [http://en.wikipedia.org/wiki/United_States_Army_Corps_of_Engineers] sind Ingenieure, was erklären könnte, daß dort jemand innerhalb einer Stunde 48 Mal 9 Seiten aufruft zu einem BMW-Oldtimer Fälschungsbericht R71-Report. Aber das TNOSC (5) [http://en.wikipedia.org/wiki/Naval_Computer_and_Telecommunications_Station_Naples,_Italy] ist zuständig für Kommunikation (Marine, NETC (6)=Philippinen) und CONUS (7) [http://wikimapia.org/12143817/DISA-CONUS] ist die „Defense Information Systems Agency Continental United States“, also die DISA-Abteilung für die eigene Kontinentalzone. Diese Lesezugriffe waren direkt adressiert aus einem öffentlichen IP-Adreßraum, der von eigenen Nutzern der „localdomain“(8) dynamisch verwendet wird, und wobei „8CC22885“(9) ein Hinweis sein könnte auf den technischen Dienstleister „Level 3 Communications“ in Colorado mit einem Nummernfeld 8.0.0.0/8, der im Rechnerpool fast aller Angreifer gefunden wurde. Darunter die Systemverwaltung von Radius Telecoms in Pasig City, Philippinen.
NetRange: 140.194.0.0-140.194.255.255
NetName: CEEIS3 (4)
OrgName: Headquarters, USAISC (1) / HEADQU-3 (2)
Address: US 85613 Fort Huachuca (3)/AZ, NETC (6)-ANC CONUS (7) TNOSC (5)
MEZ 15. Jan 14, 19:19:50=>20:15:25 mvd-c.usace.army.mil / 140.194.40.35 / 1.1 localhost.localdomain (8) 8CC22885 (9)
4) Versuchskaninchen?
Der folgende Beobachtungsfund war eine Erkundung von Lastzielen bei HISTOR.WS. Wenn hier die Leitnummer des Domänen-Namens eine simple Umkehr der offenen IP wäre, ist es seltsam, daß sie nicht beliebig irgendwohin führt zu einem Nudelhersteller, sondern zufälligerweise wieder zur US-Marine – in das FLC Forschungslabor für Computer- und Netzsicherheit MCNOSC (1) [http://www.federallabs.org/labs/profile/?id=2181].
Diese 2003 gegründete [http://www.marines.mil/News/Messages/MessagesDisplay/tabid/13286/Article/117066/establishment-of-the-marine-corps-network-operations-and-security-command-mcnosc.aspx] Dienststelle ist das „Marine Corps Network Operations and Security Center “ [https://www.mcnosc.usmc.mil/] unter folgend genannter Ortsadresse in Virginia. Das USMC (2) ist die US-Militärmarine, hier Abteilung-2.
Das UNOC (3) [http://en.wikipedia.org/wiki/UNOC] war die UN-Sicherheitstruppe in der Kongo-Krise 1960-1964 (=United Nations Operation in the Congo). Da das 30 Jahre später entstandene Internet kaum die Dienststelle für eine Gespenstertruppe registriert, wird das Kürzel sicher eine andere, unbekannte Bedeutung haben. Die Erkundung dieser IT-Entwicklungsabteilung könnte bedeuten, daß die erlebte Angriffserie nebenbei Forschungszwecken diente für die künftige Sabotage relevanterer Ziele: „Wir bewaffnen die Marine für den Sieg auf dem Internet-Schlachtfeld“ wie eine Präsentation [http://www.afcea-qp.org/luncheons/MCNOSCBriefJul_09.pdf] von 2009 formuliert. Ihre schnelle Entfernung aus dem Netz würde nichts nützen, denn sie ist jetzt archiviert und kann verteilt werden.
NetRange: 158.236.0.0-158.236.255.255
NetName: USMC2 (2)
OrgName: USMC Network Operations Center / UNOC (3)
Address: US 22134 Quantico/VA, 27410 Hot Patch Road, Commanding Officer, MCNOSC (1)
MEZ 14.Jan 14, 01:38:01 158-236.197-178.cust.bluewin.ch = CH 178.197.236.158/MacOS X 10.9 Safari 7.0
5) Ein Testlauf von QFire?
Derzeitiger Amtschef des bewußten „Cyber Command“ in der US-Navy mit dem Auftrag der „Kampfführung“ im Internet ist Vize-Admiral Mike S. Rogers . Er wird in diesen Januartagen 2014 spezielles Interesse daran haben, die Leistungsfähigkeit der seit 2009 unter seiner Leitung entwickelten Internet-Waffensysteme zu beweisen. Denn er wird gerade als Nachfolger des im März ausscheidenden NSA Chefs Alexander eingeführt . Die oft kritisierten Einbrüche in Privatrechner sind dabei belanglos. Diese Tests arbeiten auf etwas anderes hin:
die Kontrolle über beliebige Leistungs-Rechenzentren. [http://www.spiegel.de/netzwelt/netzpolitik/nsa-refoermchen-obamas-digitale-waffen-a-944123.html] Sie können dann zum Angriff gegen jedes mögliche Ziel im Internet verwendet werden aus dem Schutz dunkler Anonymität. Die Ziele und Gründe von Operationen dieser Schadsoldaten sind grundsätzlich nicht kontrollierbar, außer durch kontrollierte Vorzeigefiguren. Die bloße Existenz dieser Institution ist also eine Kriegserklärung gegen jeden freien Bürger auf der Welt, der eine eigene Meinung hat.
Wenn sie wie beim Programm QFire [http://en.wikipedia.org/wiki/Tailored_Access_Operations] von „defense“ reden, ist fast immer Sabotage gegen von ihnen willkürlich ausgewählte Ziele gemeint. Die Hoffnung, daß bei solchen Gestalten einmal von selbst Vernunft einkehren könnte, würde an Naivität nur noch übertroffen durch die Züchtung von Mäusen und Schlangen im selben Glaskasten.
6) Angreifer
Nachweis eines Angriffverursachers ist, wenn nach Sperrung einer IP-Adresse ein Überlastungspegel sofort meßbar verschwindet. Internet-Server gehören zu einer Gruppe verbundener Systeme (Peers), wobei Angreifer häufig in einer Gruppe gleicher Namen gefunden werden. Je größer ihr Anteil, desto höher die Wahrscheinlichkeit, daß eine Leseherkunft kriminellen Zwecken dient. In einer großen Menge erfaßter Angriffsfälle zeigten sich Namenstypen für Netzdienste als verdächtig – besonders Liebreizende sind tendenziell unseriös und käufliche Angreifer:
„Angel, Cavalier, Daisy, Elan, Euro, Fair, Freedom, Genie, Golden, Liberty, Plus, Power, Prima, Silk, Smile, Soft, Sprint, Star, Sunrise, Super, Top, Turbo, Unity, Vision, Virgin, Viva, West“.
Netzdienste wie Fastweb in 20155 Mailand, das der Swisscom gehört, arbeiten direkt für die DISA indem sie der Sabotagetruppe eigene Kanäle in ihrem Serverpool zur Verfügung stellen (7.0.255.17/32, 7.0.255.18/32, 7.0.255.33/32, 7.0.255.34/32). In einer Zeit vollständiger Kontrolle gibt es keine Zufälle oder Versehen mehr. Kein Systemverwalter kann mehr glaubhaft machen, daß er einen Überlastungsangriff nicht bemerkt hat, der über seine Computer lief. Vielmehr war zu beobachten, wie sie per Mobiltelefon über reservierte Adressen des Rechenzentrums das Ziel erkundeten, ehe kurz darauf von dortigen Leistungsmaschinen ein Angriff kam. Praktischerweise landen alle entsprechenden Beschwerden auf ihrem Tisch, was die Bearbeitung sicherlich ungemein vereinfacht. Über einen Zeitraum von zwei Monaten Dezember/Januar wurden daueraktive Angreifer hoher krimineller Energie protokolliert, die in folgender Gruppe von Schlüsselnamen angesiedelt sind:
Akamai, Amazon, AT&T-Admin, Austria-TelekomA1/Admin, Belpak, BezeqInt, Blizoo, ClaraNet, Cogent/PSI, Colt, DaisyCom, Deutsche-Telekom/Admin, DFN-DeutschesForschungsnetz, Easynet, Estpak-Elion, Fastweb-IT, Hetzner, HopOne, HostNoc, Hurricane, Integra, Intergenia, Internetia, Kabel-BW, Kabelfoon, KaiaGlobal, KDDI, KPN-NL, KSNet-Kyivstar, Lambda-Net, Leaseweb, LiWest, MetroNet, MultiMedia-PL, MyLoc, Netcologne, Nextlayer, Novartis, Orange, OVH-Systems, Opal, Ote-GR, Plusnet, Proxad, QSC-AG, Rackspace, RedStation, Rostelecom, ServerStack, SoftLayer, Strato, Sunrise, TalkTalk-London, TDC-Data, Telefonica/Hansenet, Telenor, TeliaNet, TeliaSonera, Telstra, TimeWarner, UKR-Telekom, UnityMedia, UPC-Chello, Verizone, VirginMedia, Vodafone/Arcor, WebSense, Ziggo-NL
Diese Gruppe meist britisch-amerikanisch vernetzter Computerzentren kann auch russische oder chinesische Namen haben und überall auf der Welt sein, sogar in Georgien und Kasachstan oder südpazifischen Kolonien wie den Niederländischen Antillen. In allen exotischen Fällen zeigten sich Geschäftsbeziehungen zu westlichen Unternehmen. Vielleicht sollen sich Schwellenländer, die solche erst aufbauen wollen, ihren Platz zuvor verdienen durch Erledigung besonders schmutziger Aufträge. Folgende Länder könnten daher eigentlich ohne weitere Prüfung pauschal gesperrt werden, da von dort kaum je ein ehrlicher Lesezugriff kommen wird:
Indien, Irak, Moldawien, Serbien, Slowakei, Türkei, Ukraine, Weißrussland.
Im Beobachtungszeitraum wurden auch Kleinstationen nur kurzzeitiger Aktivität gesehen: von Brandenburger Antennenbauern, südamerikanischen Landwirtschaftsschulen, holländischen Spieleprogrammieren und Netzspelunken bis zu tschechischen Computerhändlern. Großparks wie Facebook und Brighthouse waren im Einzelfall an einer Aktion beteiligt, wurden danach aber nur noch als Erkunder gesehen, im Falle von Facebook überhaupt nicht mehr – wozu allerdings auch Dauersperren beitragen.
7) Konzept
Im Sommer 2011 war das Projekt für Angriffe gegen Internetziele in die Praxisphase gekommen laut QFire Pilot Lead der NSA-Technikabteilung. Aus dem DoD-Netz und mit der bronzenen Turbine auf der Höhe von NYC sollen Cloudrechner in Europa für eigene Zwecke gesteuert werden, wobei Satelliten und örtliche Funk-Kontaktstellen die Aktion unterstützen. Der Text fordert eine Testphase zur Effizienzkontrolle der Waffentechnik, wobei in Europa eine eigene örtliche Angriffs-Infrastruktur aufgebaut wird durch Nutzung dortiger Anlagen.
8) Praxis
Es läßt sich leicht herausfinden, von wo im Netz ein Lastangriff kommt. Diese Herkunft wird gesperrt und beendet die Störung. Das wissen auch Angreifer, weshalb QFire anders operiert wie in folgender Grafik. Typischerweise im Einsatz sind Webserver mit Funktionsnamen, die „colo“ enthalten („colocation crossing“, gemeint: Netzverbund). Sie sind nicht notwendig offiziell registriert mit einem Domänennamen, haben aber viele Peers/Gegenstellen. Wie in der Grafik zu sehen, kann der inzwischen gesperrte Angriffserver S1 sein Angriffsziel (rechts oben) auf Zwischenverbindungen erreichen.
Dazu nutzt er eine Datenleitung über seinen Peer S2, dessen Gegenstelle neben anderen auch S3 ist, verbunden mit Colocrossing. Von dort kommt der Angriff. In den Zugriff-Protokollen ist die Herkunft des Angriffs aber mit S3 angegeben. Dessen Sperrung ist für weitere Angriffe gleichgültig, denn dann schaltet S1 seinen Angriff über die Strecke S4 und Colocrossing. Selbst wenn der Colo-Server in Protokollen des Angriffs entdeckt und gesperrt würde, kann S1 sein Angriffziel über andere Datenwege erreichen. Es könnte je nach Geschäftsvereinbarung sogar der eigene Internetprovider sein, der dabei mitmacht, und eine Datenleitung für fragwürde Server und Zwecke zur Verfügung stellt. In besonders raffinierten Fällen und bei Kunden mit dynamischer IP verwendet der Servermanager, der den Angriff unterstützt, eine der eigenen IPs des Angriffopfers als angebliche Herkunft des Angriffs, die nur gerade nicht in Benutzung ist oder durch jemand anderen.
Zugriff eines Colocrossers im kalifornischen Williamsville. Zu Nummer 192.227.243.172 heißt es nur, sie gehöre zum „Kunden-Netz 4“, nirgendwo mit einem Domänen-Namen registriert. Zur IP 23.94.19.132 gibt es überhaupt keine Angabe, sie gehört angeblich dem Colo selbst. Aber in beiden Fällen wissen Satelliten von den Nutzer-Standorten: jedes Mal Patton Place 124 in 14221 Buffalo/NY, nahe einer Entwicklungsabteilung des Computerherstellers Hewlett-Packard. Beide IP-Nummern wurden bei Angriffen gefunden.
9) Getarnte Nummern
Eine IP-Netznummer kann es definitorisch natürlich nur einmal geben. Es kann sie aber auf vielen Schaltplätzen geben im Netz – auf vielen Webservern (=Peering). Will ein Angreifer mit seiner IP-Nummer unerkannt bleiben, benötigt er nur eine Verabredung mit dem Systemadministrator einer seiner Peer-Gegenstellen. Dieser kann den eintreffenden Datenstrom des Angriffs auf den bei ihm gebuchten Platz umschalten auf eine andere Leitung, die als IP in seiner Maschine ebenfalls registriert ist und für jemand anderen (=SingleHop: Einfachsprung, rechts). Das werden idealerweise technische IP-Nummern sein, die möglichst niemandem konkret zugeordnet sind (=Bogons/bogus-numbers/unregistrierte Adressen). Weil solche Nummernbereiche oft generell und vorbeugend gesperrt werden, ist vermutlich die Praktik entstanden, fragwürdige Umtriebe zu schalten über Hottentotten-Adressen, die für Strafverfolgung unerreichbar sind: Noname-Stationen in der kasachischen Kalmückensteppe oder Georgien, Eiskratzer in Alaska, chinesische Talsperrenputzer oder unbekannte Kuhwärter in Indien oder Pakistan. Angegriffenen kann das egal sein. Wer eine Netzregistrierung hat und das toleriert, trägt auch die Verantwortung dafür – unabhängig davon, wer letztlich dahinter steht.
10) Praxiseinsatz
Bis hierhin wurde skizziert, was aktuelle typische Verursacher von Angriffen sind, nach welchem Konzept und mit welchen Motiven sie arbeiten, sowie Kanäle, auf denen Angriffe ihr Ziel erreichen. Dieses muß allerdings auch angreifbare Stellen haben als Teil der Internet-Präsentation. Das können große Bild-Dateien sein, Digitaldokumente, PDF oder Medienformate wie Videoclips und Musik. Auch Datenbanken mit nutzersteuerbaren Abfragen und andere ressourcenfressende Dienste werden von Angreifern wohlwollend berücksichtigt.
Um solche Dinge im Ziel zu finden versuchen Angreifer in die Maschine einzudringen. Falls nicht bereits eines der gängigen Importwerkzeuge den ganzen Serverinhalt herunterläd zur Untersuchung, nehmen sie zutreffend an, daß ein Privatbesitzer des Webservers auf einem Mietplatz diese Daten dann wohl auf seinem Heim-PC haben wird. Wäre auch dieser nicht aufbrechbar aus dem Netz, haben sie mancherlei ergänzende Strategien mit liebreizender Menschlichkeit. Es könnten etwa freundliche Emails sein, mit großem Lob für die phantastischen Seiten, und ob es nicht vielleicht eine DVD davon gibt, gerne auch zu kaufen. Umgekehrt könnten es auch Hinweise sein, wo ein ganz tolles X unter Adresse Y zu finden sei. Dort und als versteckter Teil von Bildern oder Clips zum Download werden dann Trojaner sein, die Angreifern den Schlüssel zu diesem Heimcomputer geben. Die werden dann sicherlich auch genutzt, um Paßwörter zu finden, die zum Schutz des Webservers verwendet werden.
http://histor.ws/1publi/sperr.php
gefunden bei: https://www.facebook.com/notes/314038462084901/
Gefällt mir:
Gefällt mir Wird geladen …
rsvdr-der etwas andere Blog 