https://www.szenebox.org/images/_imported/2016/08/112.jpg ► Die Website der NSA war für mindestens einen Tag weitgehend offline. Die National Security Agency hüllte sich zunächst in Schweigen und führte den Ausfall später auf ein technisches Problem (https://twitter.com/NSAGov/status/765993262473678848) im Zusammenhang mit stürmischem Wetter im US-Bundesstaat Maryland zurück, in dem sich die Zentrale des US-Auslandsgeheimdienstes befindet. Sicherheitsexperten rätseln jedoch über andere mögliche Ursachen, zumal der Ausfall nur wenige Stunden nach der Veröffentlichung von NSA-Hackertools durch eine ominöse Gruppe namens Shadow Brokers begann.

Einem Reporter von Politico (http://www.politico.com/story/2016/08/nsa-website-hacking-rumors-227088) fiel zuerst auf, dass zwar die Eingangsseite der NSA selbst noch erreichbar war, aber praktisch alle enthaltenen Links zu Fehlerseiten mit der Angabe „Service Unavailable“ führten. Zugänglich waren nur noch Blogeinträge im Bereich „What’s New“, die möglicherweise auf einem anderen Server gehostet wurden. Obwohl die wesentlichen Probleme inzwischen behoben sind, fällt noch immer auf, dass die Website nicht wie üblich unter nsa.gov (http://nsa.gov/) erreichbar ist, sondern lediglich über www.nsa.gov (http://www.nsa.gov/).

► NSA-Webseite: Offline wegen interner Untersuchung
Ein NSA-Sprecher wollte zunächst ebensowenig offiziell Stellung nehmen wie ein Sprecher des übergeordneten Office of the Director of National Intelligence. Ein Mitarbeiter des Verteidigungsministeriums versprach, sich um die Angelegenheit zu kümmern, lieferte aber auch keine weiteren Informationen. FedScoop (https://twitter.com/Bing_Chris/status/765586787624427520) berichtete unter Berufung auf eine ungenannte Quelle, die Website sei aufgrund einer „internen Untersuchung“ offline genommen worden.

Das erscheint plausibel als Vorsichtsmaßnahme, da die zuvor veröffentlichten Hacking-Tools offensichtlich von der NSA selbst stammten und von noch unbekannten Gegenspielern erbeutet wurden. Es handelt sich dabei um Exploits, um Firewalls und ähnliche Netzwerk-Sicherheitssysteme von Cisco, Fortinet und Juniper zu überwinden. Eine Erprobung ergab bereits, dass es sich um tatsächlich nutzbare Werkzeuge für Cyberangriffe handelt. So erlaubte es der Exploit Extrabacon, die Passwortüberprüfung einer Firewall nach Belieben aus- und einzuschalten – und somit das unauffällige Eindringen in ein gesichertes Netzwerk zu ermöglichen.

Cisco und Fortinet haben inzwischen bestätigt, dass die Tools Extrabacon und Epicbanana Sicherheitslücken in ihren Produkten ausnutzen. Einige dieser Exploits sind mittlerweile frei im Internet verfügbar. Cisco teilte in einer Sicherheitswarnung mit, dass ein Exploit eine Zero-Day-Lücke ausnutzt und einem Angreifer erlaubt, ohne Eingabe eines Benutzernamens und Passworts auf die Firewall zuzugreifen. Das ermögliche ihm zudem, beliebigen Schadcode auszuführen.

Quelle: ZDnet.de (http://www.zdnet.de/88277048/nsa-website-teilweise-offline/)

Shadow Broker
Die NSA-Hacker haben echte Ware im Angebot
Wer bei Extrabacon nur an Essen denkt, wird enttäuscht: Es handelt sich um ein NSA-Codewort für einen Router-Exploit. Cisco und ein anderer Hersteller haben die Schwachstellen eingeräumt. Unterdessen wird weiter spekuliert, wer die Informationen an die Öffentlichkeit gegeben hat.

Cisco und Fortinet haben bestätigt, dass die von der Hackergruppe Shadow Brokers veröffentlichten Exploits echt sind. Zuvor hatten Sicherheitsforscher einige der Exploits für verschiedene Router und Firewalls getestet und für echt befunden. Nach wie vor gibt es verschiedene Theorien zur Urheberschaft der Angriffe.

Cisco hat die Existenz zweier Schwachstellen aus der Veröffentlichung bestätigt. Eine mit dem Codenamen Epicbanana soll bereits im Jahr 2011 geschlossen worden sein, die mit dem Codewort Extrabacon muss noch behoben werden. Der Fehler betrifft die Implementation des Simple Network Management Protocol (SNMP) durch Cisco. Angreifer sollen durch einen Buffer Overflow in der Lage sein, Code auf den Adaptive Security Appliances (ASA) von Cisco auszuführen. Bislang gibt es keinen vollständigen Fix, nur Workarounds über Snort-Regeln.

Auch Fortinet gibt Security-Advisory heraus

Auch Fortinet hat einen Exploit in seiner Firmware mittlerweile bestätigt. Mittels einer manipulierten HTTPS-Anfrage soll es Angreifern möglich sein, Code auf dem Gerät auszuführen. Betroffen sollen nur Geräte mit einer Firmware-Version sein, die vor dem August 2012 veröffentlicht wurde. Dies sind die Versionen 4,38, 4.2.12 sowie 4.1.10 und jeweils frühere Versionen. Aktuelle Versionen ab 5.x sind nach Angaben des Unternehmens nicht betroffen.

Auch die Sicherheitsfirma Kaspersky, die die Existenz der Equation Group erstmals beschrieben hatte, hält die Exploits für echt. Denn in dem aktuell veröffentlichen Code fänden sich Hinweise auf eine ganz bestimmte Implementation des Verschlüsselungsalgorithmus RC6, die zuvor so nur bei der Equation Group gefunden worden sei.

Unklarheit gibt es nach wie vor über die Täter. Edward Snowden unterstützt über seinen Twitter-Account die Theorie, dass Russland für den Leak verantwortlich sei. Wahrscheinlich sei, so Snowden, dass Russland mit dem Leak ein Signal an die US-Regierung senden wolle, weitere öffentliche Spekulationen über den Urheber der Leaks zu der demokratischen Partei zu unterbinden.

Möglicherweise ein Innentäter

Andere hingegen halten die Innentätertheorie für wahrscheinlicher. Der Hacker Matt Suiche gibt an, dass er von einem NSA-Veteranen kontaktiert worden sei, der "zu 99,9 Prozent" sicher sei, dass Russland nicht hinter dem Angriff stehe, sondern ein NSA-Mitarbeiter. Dafür könnte sprechen, dass die Exploits der NSA in der Regel nicht auf mit dem Internet verbundenen Systeme gehostet werden. Größere Leaks von NSA-Daten sind bislang, soweit bekannt, nur von ehemaligen Mitarbeitern wie Snowden gekommen.

Grundsätzlich könnte ein NSA-Mitarbeiter aber auch einen Command-and-Control-Server für einen Angriff vorbereitet haben, dabei aber nachlässig gehandelt haben - was die Informationen für Angreifer verfügbar gemacht haben könnte.

Die - vermutlich nicht ganz ernst gemeinte - Versteigerung läuft nicht besonders gut. Bislang sind nur knapp 1.000 Euro in Bitcoin zusammengekommen. Der größte Teil kommt von einem einzigen Bieter, der 1,5 Bitcoin an die entsprechende Wallet überwiesen hat.

US-Präsident Obama hatte im Jahr 2014 angekündigt, künftig keine Exploits mehr zu horten, es sei denn, diese seien nach Angaben der NSA "vital" für die nationale Sicherheit. Auf der Sicherheitskonferenz Defcon hatte der Sicherheitsforscher Jason Healy behauptet, dass derzeit nur rund 50 aktive Exploits im Besitz der US-Regierung seien. Jetzt sind es ein paar weniger.

golem (http://www.golem.de/news/shadowbroker-die-nsa-hacker-haben-echte-ware-im-angebot-1608-122778.html)