Menü
Security

XKeyscore analysiert und sabotiert

Der angebliche Quellcode der Schnüffel-Software XKeyscore kursiert im Netz. Es handelt sich dabei anscheinend um einen Ausschnitt der Filterregeln, um Tails- und Tor-Nutzer zu finden. Ein Forscher gibt Tipps, wie man das System gezielt überfluten kann.

Von
vorlesen Drucken Kommentare lesen 237 Beiträge

Das XKeyscore-Logo aus einer auf 2008 datierten NSA-Präsentation

NDR und WDR haben den angeblichen Quellcode der Ausspäh-Software XKeyscore ins Netz gestellt. Es handelt sich bei dem Auszug um Regelsätze, die dazu dienen, bestimmte Datenpakete aus Netzwerktraffic herauszufiltern – nämlich jene von Internetnutzern, die sich für die Anonymisierungs-Tools Tor und Tails interessieren.

Der Sicherheitsforscher Robert Graham hat die Datei Zeile für Zeile analysiert. Er nimmt an, dass die NSA ein Deep-Packet-Inspection-Tool (DPI) wie Snort einsetzt, das die Behörde an seine Bedürfnisse angepasst hat. In dem Code befindet sich unter anderem die folgende Zeile:

fingerprint('anonymizer/tor/torpoject_visit')=http_host('www.torproject.org') and not(xff_cc('US' OR 'GB' OR 'CA' OR 'AU' OR 'NZ'));

Diese sorgt dafür, dass beim Besuch der offiziellen Tor-Website der Trigger "torpoject_visit" ausgelöst wird – allerdings nur, wenn der Nutzer nicht aus einem der sogenannten Five-Eyes-Allianz stammt. Darüber hinaus fischt XKeyscore auch Pakete heraus, welche Verweise auf Seiten im Tor-Netz enthalten (.onion). Der folgende Abschnitt filtert Nutzer heraus, die sich mit bestimmten Tor-Servern verbinden:

// START_DEFINITION
/*
Global Variable for Tor foreign directory servers. Searching for potential Tor clients connecting to the Tor foreign directory servers on ports 80 and 443.
*/

$tor_foreign_directory_ip = ip('193.23.244.244' or '194.109.206.212' or '86.59.21.38' or '213.115.239.118' or '212.112.245.170') and port ('80' or '443');
// END_DEFINITION

Auch auf Mails hat es die Schnüffel-Software abgesehen. Die folgende Regel filtert Mails heraus, die von der Adresse bridges@torproject.org stammen:

fingerprint('anonymizer/tor/bridge/email') = email_address('bridges@torproject.org') and email_body('https://bridges.torproject.org/' : c++

Solche Mails enthalten Listen von Tor-Bridges, über die auf das Anonymisierungs-Netzwerk zugegriffen werden kann. Die aktuelle Liste kann man per Mail an bridges@torproject.org anfordern.

Die Nutzer der datenschützenden Live-Distribution Tails versucht die NSA offenbar ebenfalls auf mehreren Wegen zu identifizieren. Neben der Adresse der Projektseite findet sich in der XKeyscore-Datei eine Reihe von Suchmaschinen-Suchbegriffen, auf deren Nutzung die Spionage-Software anspringen soll:

$TAILS_terms=word('tails' or 'Amnesiac Incognito Live System') and word('linux' or ' USB ' or ' CD ' or 'secure desktop' or ' IRC ' or 'truecrypt' or ' tor ');

Der Forscher hat in einem weiteren Blog-Eintrag diverse Tipps zusammengestellt, mit denen man XKeyscore absichtlich auf den Plan rufen und mit nutzlosen Informationen überfluten können soll. Teilnehmen kann man etwa, indem man mehrere Megabyte große Mails mit dem gefälschten Absender bridges@torproject.org verschickt oder ein Bild-Tag in die eigene Webseite einbaut, dessen Quelle auf http://www.google.com/?q=tails+usb zeigt. Letzteres führt dazu, dass alle Besucher der Seite eine Google-Suchanfrage mit den überwachten Keywords Tails und USB absetzen.

In diesem Sinne: tails, linux, USB, CD, secure desktop, IRC, truecrypt, tor. (rei)