Surf-Schnüffelei PC-Schnelltest führt auf Spur der NSA

Nach den Terroranschlägen des 11. September installierten US-Geheimdienste beim Telekomgiganten AT&T Überwachungstechnik. Bürgerrechtler haben AT&T deshalb bereits verklagt. Ein ehemaliger Hacker glaubt nun, Spuren der NSA-Schnüffler bei einer Traffic-Analyse gefunden zu haben.

Von


Wenn wirklich stimmt, was Kevin Poulsen auf der Website des Magazins "Wired" schreibt, dann gehen die Computerspezialisten des Geheimdienstes NSA wohl etwas dilettantisch vor. Ein simpler Traceroute-Befehl soll reichen, um herauszufinden, ob die Schnüffler der NSA den Internetverkehr eines Betroffenen überwachen können.

Geheimdienst NSA: Abhör-Router bei AT&T?
AFP

Geheimdienst NSA: Abhör-Router bei AT&T?

Mit Traceroute lassen sich die einzelnen Router ermitteln, über die ein Datenpaket im Internet zu seinem Ziel gelangt. Im Internet hangeln sich Daten von Knotenpunkt zu Knotenpunkt, was das Abhören prinzipiell an jedem einzelnen Punkt erlaubt. Poulsen wählte als Ziel einfach nsa.gov, den Server der NSA, und tippte in ein DOS-Fenster den Befehl

tracert nsa.gov

ein. Das Ergebnis, eine Auflistung diverser Router, erschien zunächst unauffällig. Doch eine bestimmte Adresse, und zwar

tbr2-p012201.sffca.ip.att.net

machte Poulsen hellhörig. Steht sffca nicht für jenen bestimmten AT&T-Router, von dem der ehemalige Firmentechniker Mark Klein berichtet hatte, er diene zum Abzweigen des Traffics an die NSA?

Klein hatte mehr als 22 Jahre beim Telekomriesen AT&T gearbeitet. Als im Januar 2003 plötzlich ein neuer Raum in der Firmendependance San Francisco eingerichtet wurde, zu dem nur ein NSA-Agent Zutritt bekam, wurde Klein hellhörig. Eine Weile nahm der das Schnüffeln der Geheimdienstler noch hin - doch dann packte er aus.

Mysteriöser Abhörraum bei AT&T

Die Bürgerrechtsorganisation Electronic Frontier Foundation reichte auf Basis von Kleins Aussagen im Januar Klage gegen AT&T ein. Der Konzern soll Gespräche und E-Mails von Kunden an den Geheimdienst weitergeleitet haben. Dreh- und Angelpunkt des noch laufenden Prozesses ist jener mysteriöse Abhörraum bei AT&T in San Francisco.

Weil Klein auch interne Unterlagen des Unternehmens veröffentlichte, nahmen Cyber-Aktivisten den heimlich von Präsident George W. Bush genehmigten Lauschangriff genauer unter die Lupe.

Kevin Poulsen, Journalist bei "Wired" und einst schillernde Figur der Hacker-Community, analysierte den Datenverkehr zwischen seinem Rechner und dem Server der NSA und fand dabei die Signatur jenes Routers, der angeblich zum Abzweigen der Datenpakete durch die NSA genutzt wird.

Über den ominösen Router wurden nicht etwa nur AT&T-Kunden angezapft, sondern sämtlicher Internetverkehr, der das AT&T-Netz tangierte, selbst wenn es sich nur um reinen Transit handelte. Dies hatte zuvor bereits Scott Marcus, ein alter Internetpionier und ehemaliger Berater der Behörder FCC, herausgefunden.

"Ironischerweise surften AT&T-Kunden, die bei AT&T gehostete Seiten besuchten, am sichersten", schreibt Poulsen. Denn die Abhör-Router seien an jenen Stellen positioniert, wo das Netz mit dem Rest der Welt verbunden ist. Der interne Datenverkehr blieb so unbehelligt.

Jeder AT&T-Router ein schlechtes Zeichen?

Mit der simplen tracert-Abfrage kann man laut Poulsen leicht prüfen, ob die NSA über ihren Router in San Francisco mithört oder nicht. Poulson stützt sich dabei auf Kleins Aussagen und Dokumente.

"Aus einem bestimmten Routernamen zu schließen, dass die eigene Verbindung abgehört wird, ist grundsätzlich möglich", sagte Daniel Bachfeld, Security-Experte der Computerzeitschrift "c't". Wenn bereits der DNS-Name oder die IP-Adresse des Routers bekannt seien, dessen Verkehr an die NSA weiterleitet wird wie in diesem Fall laut Poulsen sffca.ip.att.net, dann stimme die Aussage. "Aber das Abhören kann im Prinzip jeder beliebige Router im AT&T-Netz auch machen", erklärte Bachfeld.

Genau das betonte auch Poulson: Wenn es zutrifft, dass AT&T solche Abhörräume überall im Land installiert habe, dann sei jeder AT&T-Router, über den Traffic abgewickelt wird, ein schlechtes Zeichen.

Eine tracert-Abfrage von der Hamburger SPIEGEL-ONLINE-Redaktion aus ergab, dass die Datenpakete auf dem Weg zu nsa.gov zwar nicht über eine sffca.ip.att.net-Adresse laufen, sehr wohl aber über andere Router von AT&T. Möglicherweise hört also auch hier die NSA mit.

Bachfeld hält es ohnehin für unwahrscheinlich, dass der Routername sffca.ip.att.net weiterhin benutzt wird: "Nachdem nun der beteiligte Router 'verbrannt' ist, wird AT&T sicherlich einen anderen Router diese Arbeit erledigen lassen."



© SPIEGEL ONLINE 2006
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.