Wie die NSA Malware bereitstellt

Wir haben schon lange vermutet, dass die NSA, die Welt-Premiere Spionage-Agentur, ziemlich gut am Computer einzubrechen war. Aber jetzt, dank eines Artikels von Sicherheitsexperte Bruce Schneier – Wer arbeitet mit dem Guardian durch Snowden Dokumente gehen – wir haben eine sehr viel detailliertere Ansicht wie die NSA Exploits verwendet, um die Computer der Zielbenutzer zu infizieren. Die Vorlage für den Angriff auf Menschen mit Malware, die von der NSA verwendet ist in weit verbreiteten Einsatz durch kriminelle und Betrüger, als auch ausländischen Geheimdiensten, daher es wichtig ist, zu verstehen und zu verteidigen gegen diese Bedrohung zu verhindern, dass ein Opfer in der Fülle der Angreifer draußen.

Wie funktioniert Malware genau?

Bereitstellung von Malware über das Internet in der Regel erfolgt in zwei Schritten. Zunächst ist, wie ein Angreifer müssen Sie Ihr Opfer zum Besuch einer Website unter Ihre Kontrolle zu bekommen. Zweitens muss man Software – bekannt als Malware – auf den Computer des Opfers installieren, um die Kontrolle über die Maschine zu gewinnen. Diese Formel ist nicht universell, sondern ist oft, wie Web-basierte Malware-Attacken Vorgehen.

Um der erste Schritt immer einen Benutzer auf eine Website unter Ihrer Kontrolle zu erreichen, könnte ein Angreifer den Opfer-Text per e-Mail, der einen Link zu der Website in Frage, in einer so genannten Phishing-Attacke enthält. Die NSA nutzt angeblich Phishing-Angriffe manchmal, aber wir haben gelernt, dass dieser Schritt verläuft in der Regel über eine so genannte "Man-in-the-Middle"-attack.1 der NSA steuert eine Reihe von Servern mit dem Codenamen "Quantum", die auf den Internet-Backbone sitzen, und diese Server verwendet werden, um die Ziele von ihre beabsichtigten Ziele weiterhin andere NSA-kontrollierten Server, die verantwortlich sind für die Injektion von Malware umleiten. Also, beispielsweise wenn ein gezielte Benutzer "yahoo.com" besucht, die Zielbrowser zeigt die gewöhnliche Yahoo! Zielseite aber wird tatsächlich mit einem Server kontrolliert durch die NSA zu kommunizieren. Diese bösartige Version der Yahoo! Website erklären des Opfers Browser, um einen Antrag in einem Hintergrund auf einen anderen Server gesteuert von der NSA, die verwendet wird, um Malware bereitstellen.

Sobald ein Opfer eine schädliche Website besucht, wie infiziert der Angreifer eigentlich den Computer? Vielleicht ist die einfachste Methode, den Benutzer dazu zu herunterladen und Ausführen von Software. Eine durchdachte Popup-Werbung kann einen Benutzer zum herunterladen und installieren des Angreifers Malware, zum Beispiel überzeugen.

Aber diese Methode funktioniert nicht immer, und stützt sich auf einen Benutzer Maßnahmen zum herunterladen und Ausführen der Software. Stattdessen können Angreifer Software-Schwachstellen im Browser ausnutzen, die das Opfer verwendet, um Zugriff auf ihren Computer. Wenn ein Opfer Browser eine Website geladen wird, muss die Software Aufgaben wie analysieren von Text, es von dem Server gegeben, und oft Last Browser-Plugins wie Flash, die Code gegeben, es vom Server, neben der Ausführung von Javascript-Code gegeben, es vom Server ausgeführt wird. Aber Browser-Software – die wie das Web immer komplexer wird, gewinnt mehr Funktionalität – nicht perfekt funktioniert. Wie jede Software hat Fehler, und manchmal sind diese Fehler ausnutzbaren Sicherheitslücken, die ein Angreifer Zugriff auf den Computer eines Opfers, nur weil eine bestimmte Website besucht wurde. Sobald Browserherstellern Sicherheitslücken entdecken, sie sind in der Regel gepatcht, aber manchmal ein Benutzer verfügt über veraltete Software, der noch bekannten Angriff anfällig ist. In anderen Fällen sind die Schwachstellen nur an den Angreifer und nicht an den Browser-Anbieter bekannt; Diese nennt man Zero-Day-Schwachstellen.

Die NSA hat eine Reihe von Servern im Internet mit dem Code-Namen "FoxAcid" verwendet, um Malware bereitstellen. Sobald ihre Quanten-Server Ziele auf eine speziell gestaltete URL auf einem FoxAcid Server gehostet umleiten, wählt Software auf dem FoxAcid Server aus ein Toolkit von Exploits um Zugriff auf den Computer des Benutzers. Vermutlich dieses Toolkit hat beide bekannten öffentlichen Exploits, die abhängig von Anwendersoftware wird veraltet, sowie Zero-Day-Exploits, die in der Regel die Agentur für hochwertige targets.2 gespeichert werden angeblich und verwendet dann diese erste Malware, um länger anhaltende Malware zu installieren.

Sobald ein Angreifer erfolgreich ein Opfer mit Malware infiziert hat, hat der Angreifer in der Regel vollen Zugriff auf den Benutzercomputern: sie können Tastenanschläge (die Passwörter und andere vertrauliche Informationen offenbaren werden) aufnehmen, schalten Sie eine Web-Cam oder alle Daten auf den Computer des Opfers zu lesen.

Was können Benutzer tun, um sich zu schützen?

Wir hoffen, dass diese Enthüllungen Browser-Hersteller zum Handeln anzuspornen, ihre Systeme vor Angriffen zu verhärten und zu versuchen, erkennen und blockieren die Malware-URLs, die von den FoxAcid-Servern verwendet.

In der Zwischenzeit sollten Benutzer ihre Sicherheitsbedenken gute Sicherheit Hygienepraxis. Halten Sie Ihre Software immer auf dem neuesten Stand – vor allem Browser-Plugins wie Flash, die manuell aktualisiert werden. Stellen Sie sicher, dass Sie unterscheiden können zwischen legitimen Updates und Pop-up-Anzeigen, die tarnen sich als Software-Updates. Klicken Sie niemals einen verdächtig aussehenden Link in einer e-Mail.

Für Benutzer, die einen zusätzlichen Schritt in Richtung sicherer gehen wollen – und wir denken, jeder sollte sein, in diesem Camp – erwägen, Plugins wie Flash und Java "Click-to-Play", so dass sie nicht auf einer bestimmten Webseite bis Sie ausdrücklich ausgeführt werden darauf klicken. Für Chrom und Chrom ist diese Option in den Einstellungen => zeigen erweiterte Einstellungen => Privatsphäre => Inhaltseinstellungen =>-Plug-ins verfügbar. Diese Funktionalität ist für Firefox durch die Installation eines Browsers Add-on wie "Click to Play pro Element" zur Verfügung. Plugins können auch deinstalliert oder komplett ausgeschaltet werden. Benutzer sollten auch Ad-Blocker-Software verwenden, um unnötige Webanforderungen an Drittwerber und Web-Tracker und unsere in Ordnung zum Verschlüsseln von Verbindungen zu Websites mit HTTPS so weit wie möglich zu stoppen.

Für Anwender, die bereit sind, etwas mehr Schmerzen beachten Sie beim Surfen im Web, schließlich betrachten Sie mit einem Zusatzprogramm wie NotScripts (Chrom) oder NoScript (Firefox), um die Ausführung von Skripts zu begrenzen. Dadurch musst du klicken, um die Ausführung von Skripten zulassen, und da Javascript sehr verbreitet ist, musst du viel klicken. Für Firefox-Nutzer ist RequestPolicy ein weiterer nützlicher Zusatz, der fremde Ressourcen geladen auf einer Seite standardmäßig stoppt. Noch einmal, wie fremde Ressourcen beliebt sind, unterbricht dies normale Surfen einen fairen Betrag. Schließlich deaktiviert für die extrem Paranoid alle HTTP-Verkehr vollständig zwingen Ihre browsing-Erlebnis komplett verschlüsselt werden und machen es so, dass nur Websites, die eine HTTPS-Verbindung zum Durchsuchen verfügbar sind.

Fazit

Die NSA-System für die Bereitstellung von Malware nicht besonders Roman, aber immer ein Einblick in die Funktionsweise soll Benutzern helfen und Browser und Software-Anbieter besser zu verteidigen gegen derartige Angriffe, machen uns alle sicherer gegen Verbrecher, ausländische Geheimdienste und eine Vielzahl von Angreifern. Das ist, warum wir denken, es ist wichtig, dass die NSA kommen sauber über seine Fähigkeiten und wo sind die gemeinsamen Sicherheitslücken – unsere Online-Sicherheit hängt es.

(1) der Begriff "Man-in-the-Middle" ist manchmal für Angriffe auf kryptografisch sichere Verbindungen, zum Beispiel mit einem betrügerischen SSL-Zertifikat reserviert. In diesem Zusammenhang gemeint aber es ganz allgemein jeden Angriff gemeint, wo der Angreifer zwischen dem Opfer und der geplanten Website sitzt.

2. je nach the Guardian-Artikel sind "die wertvollste Exploits für die wichtigsten Ziele gespeichert."

Dieser Artikel ist unter der Creative Commons-Lizenz von der Electronic Frontier Foundation wiedergegeben.