NSA TAO: Was die Einheit Tailored Access Operations für Unternehmen bedeutet

Die TAO-Einheit (Tailored Access Operations) der NSA überwacht nicht nur die Kommunikation in Netzwerken, sondern hat auch Lieferketten im Fokus.

Es wurde kürzlich publik, dass die NSA eine streng geheime Einheit für Sicherheits-Offensiven unterhält. Diese speziell kreierte Hacker-Gruppe kann Systeme in Nullkommanix via Satellit oder Fibre-Optic-Verbindungen durch Zero-Day-Schwachstellen und Malware-Einspeisung auf Websites infiltrieren.

Als die Details über diese NSA-Einheit ans Tageslicht kamen, die sich Tailored Access Operations (TAO) nennt, dachten viele, dass der Unterschied zwischen einem APT-Angriff (Advanced Persistent Threat) und den Möglichkeiten der NSA rein semantisch sind. Es ist schon besorgniserregend genug, dass so mächtige Gruppen über die schädlichen Techniken im Bilde sind. Allerdings haben Behörden und Staaten auch die Möglichkeit, diese Techniken anzuwenden. Sie haben das bekanntlich auch schon getan.

Die zu bestätigenden Tools und Möglichkeiten der NSA sowie anderer Geheimdienste werden wahrscheinlich nie an die Öffentlichkeit geraten. Allerdings kann man über die Existenz nicht einfach hinwegsehen. Befassen wir uns deswegen mit der TAO-Hacking-Gruppe der NSA und warum Unternehmen sich davor in Acht nehmen müssen. Ebenso werfen wir einen Blick auf neue Verteidigungsstrategien, die Firmen aufgrund dieser Enthüllungen einsetzen sollten.

Die TAO-Einheit der NSA

Die TAO-Einheit ist eine Hacking-Gruppe und nur zu diesem Zweck ins Leben gerufen. Das Ziel der TAO-Gruppe ist es, Hardware und Software auszunutzen, um Informationen von vermutlich ausländischen Einheiten zu sammeln. Möglich wird das, indem man sich Zugriff auf Telekommunikations-Unternehmen verschafft, die als Rückgrat des Internets dienen. Direkt an der Quelle sammelt die Einheit Internet-Traffic, belauscht physische Geräte und stattet sie mit Monitoring-Möglichkeiten aus. Seit der Gründung im Jahre 1998 ist die Gruppe zu einem der wichtigsten Teile der NSA geworden. Der Grund liegt auf der Hand. Die Gesellschaft baut auf Computer und es besteht eine „Notwendigkeit“, diese Kommunikationen zu überwachen. Die TAO-Einheit wurde etabliert, um die bisherigen Überwachungsmöglichkeiten für die Funk-Kommunikation zu erweitern. Man wollte Netzwerksysteme großflächig adressieren. Ein mögliches Ziel könnte praktisch jede Art an Technologie verwenden. Die TAO-Einheit versteift sich aber auf Netzwerkausrüstung. Hier kann man mit einer relativ geringen Anzahl angegriffener Ziele einen großflächigen Raum ausspionieren.

Bekanntlich hat Whistleblower Edward Snowden, ein ehemaliger NSA-Mitarbeiter, viele pikante Dokumente des Geheimdienstes veröffentlicht. In diesen Dateien befinden sich auch Informationen zur TAO-Einheit. Es geht um deren Aufgaben, Möglichkeiten und Funktionen. In den Dokumenten ist zum Beispiel zu lesen, wie man Systeme kompromittiert, noch bevor diese den Hersteller verlassen und niemals mit einem TCP/IP-Netzwerk verbunden waren. Einige der von TAO verwendeten und vermutlich entwickelten Konzepte finden auch anderweitig Einsatz. Wir sprechen hier unter anderem von Kreditkarten-Skimmern und USB-basierter Malware. Es gibt genügend Beispiele, bei denen mit Schadcode verseuchte Hardware und Software ausgeliefert wurde. Bevor die Hersteller die Geräte auf die Reise geschickt haben, hat man diese offenbar keinen Security-Prüfungen unterzogen. Unternehmen sollten sich gegen solche Bedrohungen rüsten und entsprechende Pläne erstellen. Allerdings muss man zunächst wissen, was man dagegen machen kann.

Die NSA hat bei ihren Angriffen die Lieferketten der Hard- und Software-Hersteller kompromittiert. Somit befanden sich die Monitoring-Tools bereits auf den entsprechenden Systemen, bevor man die Geräte im Ziel-Netzwerk eingesetzt hat. Die Schwachstelle in der Lieferkette ist vielen Firmen nicht bekannt. Weiterhin können die meisten keine Hardware-Probleme adressieren, bei denen die physischen Tools zur Spionage bereits vorinstalliert sind. Das physische Tool könnte nur Kommunikation an einen Außenstehenden schicken. Weiterhin wird es selbst mit einer Neuinstallation des Betriebssystems möglicherweise nicht entfernt.

Unternehmen können vorinstallierte Betriebssysteme neu installieren. Es ist dennoch ratsam, dass Sie die neu konfigurierten Systeme hinsichtlich verdächtiger Netzwerkzugriffe überwachen und genau unter die Lupe nehmen, bevor Sie diese produktiv einsetzen.

Die detaillierten Berichte über die Möglichkeiten der NSA dürften außerhalb der USA für Nachdenklichkeit sorgen. Damit nicht genug, werden sich auch Cyberkriminelle die Einblicke zu Gemüte führen. Möglicherweise verkürzt das die Entwicklungszyklen für künftige Angriffe. Im Hinblick auf Man-in-the-Middle-Angriffe bietet das QUANTUM-Programm von TAO faszinierende Details, wie sich Kommunikationskanäle überwachen lassen. Das gilt selbst dann, wenn der Kanal verschlüsselt ist. Unternehmen sollten sich darüber im Klaren sein, dass Angreifer außerhalb der NSA hart daran arbeiten, die Techniken auf der QUANTUM-Liste aufzubereiten und zu verfeinern. In absehbarer Zeit werden diese Techniken im Portfolio der Cyberkriminellen für gezielte Angriffe zu finden sein, wenn das nicht bereits der Fall ist.

Sich gegen TAO-Techniken verteidigen: Was kann man tun?

Die Enthüllungen haben für Personen und Firmen auch Positives. Man hat nun Einblick, welche speziellen Technologien und Prozesse anfällig für Angriffe sind. Dazu gehören zum Beispiel Netzwerkkommunikation und Lieferketten. Für Unternehmen ist das sicherlich dahingehend hilfreich, wo man zunächst Ressourcen für die Verteidigung einsetzt, um nicht zu den Opfern zu gehören.

Sich als US-Firma gegen die NSA zu verteidigen, ist nicht machbar. Als Nicht-US-Firma haben Sie theoretisch diverse Optionen. Vor dem Einsatz neuer Hardware und Software sollten Sie sicherstellen, dass sich niemand daran zu schaffen gemacht hat. Auch Hersteller könnten den Kunden Validierungsmethoden zur Verfügung stellen, um Software und Hardware als sauber zu deklarieren. Digital signierte Software wäre ein Beispiel. Weiterhin sollten Sie diese Schritte in regelmäßigen Abständen durchführen und nach verdächtigen Aktivitäten Ausschau halten.

Unternehmen und Personen sollten außerdem grundsätzlich davon ausgehen, dass sämtliche Kommunikation überwacht wird. Das gilt auch in dedizierten Kreisläufen. Die Implementierung von Verschlüsselung für sämtliche Kommunikation über VPN hinaus hilft, sich gegen Spionage und Lauschangriffe zu verteidigen. Haben Unternehmen hohe Security-Ansprüche, könnten sie sich vor Angriffen schützen, indem Sie drahtlose Kommunikation in einem Faraday'schen Käfig verwenden. Für die meisten Firmen dürfte das aber über das Ziel hinaus schießen. Alternativ könnte eine Organisation mit einem Funkfrequenzmonitor durch die Gebäude gehen und nach unautorisierten Verbindungen Ausschau halten. Das lässt sich mit dem Überwachen des Netzwerks auf verdächtige Verbindungen vergleichen.

Sie sollten allerdings nicht nur davon ausgehen, dass sämtliche Kommunikationskanäle abgehört werden. Unternehmen können auch einen Rat der NSA annehmen und grundsätzlich annehmen, dass ihre Betriebe kompromittiert sind. Organisationen bleiben somit auf Trab, wenn Sie denken, dass sie das Ziel von finanziell besser gestellten, gewiefteren und fortgeschrittenen Angreifern sind.

Fazit

Die Angriffs-Möglichkeiten der NSA sind beeindruckend. Im Medien-Hype wird allerdings oft die andere Seite der Medaille außen vor gelassen – die Verteidigungs-Möglichkeiten. Weiß man, wie Angreifer vorgehen, können Hersteller und Unternehmen ihre Anstrengungen zur Verbesserung der Security-Programme priorisieren. Diese Informationen helfen Firmen beim Fokus auf die wirklich wichtigen Bereiche, um die Systeme und Daten entsprechend abzusichern. Nach dem Anklicken einer Checkbox in einer Software davon auszugehen, dass die Security-Kontrollen im Einsatz sind, funktioniert nicht.

Anmerkung des Autors: Dieser Beitrag befasst sich nicht mit den ethischen, politischen und legalen Aspekten hinsichtlich der Aktivitäten der NSA.

Über den Autor:

Nick Lewis, CISSP, ist Sicherheitsbeauftragter der Saint Louis University. Nick hat seinen Master of Science in Informationssicherung von der Norwich University im Jahre 2005 und in Telekommunikation von der Michigan State University im Jahre 2002 erhalten. Bevor er bei der Saint Louis University im Jahre 2011 anfing, arbeitete Nick an der University of Michigan und im Boston Children's Hospital. Weiterhin war er für Internet2 und die Michigan State University tätig.

Artikel wurde zuletzt im Juli 2014 aktualisiert

Erfahren Sie mehr über Hacker-Tools und -Techniken, Untergrundseiten, Hacker-Gruppen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close