NSA-Geheimdokumente "Vorwärtsverteidigung" mit QFIRE

Präsentation des QFIRE-Pilotprojekts aus dem Jahr 2011: Das System soll Internetverbindungen im Rahmen sogenannter "Vorwärts-Verteidigungsmaßnahmen" angreifen können. Die im folgenden erklärten Maßnahmen bauen darauf auf, Infrastruktur-Komponenten fremder Betreiber zu nutzen.

Das soll QFIRE können: In Kombination mit den weltweiten Überwachungssystemen der NSA sollen Internetverbindungen unterbrochen oder umgeleitet, übertragene Daten abgefangen und manipuliert werden können. Möglich soll auch die Steuerung fremder Botnetze sein.

Übersicht über die QFIRE-Komponenten: TURMOIL ist ein passives System, das auf verschiedene Arten Internetverkehr abgreift. TURBINE ist ein System zur Steuerung von Fremdkomponenten mit Hilfe von Implantaten, die dann die eigentliche Angriffe - zum Beispiel durch das Einfügen von Daten in Verbindungen - durchführen. QUANTUMTHEORY ist ein System für Angriff und Verteidigung, bestehend aus (Computer Network Exploitation (CNE), Computer Network Defense (CND) und Computer Network Attacks (CNA).

Die Komponenten der "Vorwärtsverteidigung" im Überblick: TURMOIL ist die passive Überwachung, TUTELAGE die aktive Verteidigung, TURBINE die "aktive Überwachung", die Implantate steuert. Mit diesen Implantaten sollen weltweite Komponenten und Infrastrukturen fernsteuerbar gemacht werden.

Datensammlung: TURMOIL sammelt laut der Dokumente passiv aus diversen großen Internetverbindungen Daten, etwa von ausländischen Satelliten und Glasfasernetzen.

NSA-Fernsteuerung: TURBINE soll die weltweit versteckten Implantate kontrollieren, so ähnlich wie der Kontrollrechner eines Botnetzes.

Details zu QUANTUMTHEORY: Über die Möglichkeit, Datenpakete in laufende Verbindungen einzubauen ("injizieren"), sollen Angriffe auf beliebige mit dem Internet verbundene Systeme durchgeführt werden können. Dadurch soll etwa die Fremdkontrolle von Systemen (Exploits) aber auch die Abwehr oder die Durchführung von Angriffen möglich sein. Das grob skizzierte Schema lautet: erkennen (Detect), entscheiden (Decide), injizieren (Inject).

Im QFIRE-System sollen die Systeme von Betreibern dazu genutzt werden, dezentral Angriffe auf Internet-Verbindungen möglichst nah an den Zielen (mit geringstmöglichen Verzögerungen) durchzuführen. Gerechtfertigt wird das mit dem Begriff der "Vorwärts-Verteidigung".

Weltweites System: QFIRE soll laut der Präsentation auch die Standorte des Special Collection Service, SCS (etwa in Botschaften) und der Special Source Operations (SSO) nutzen, um Datenpakete zu überwachen und zu manipulieren.

So soll die Daten-Injizierung funktionieren: Der Anbieter eines Netzbetreibers für drahtloses Internet könnte mit der NSA kooperieren. In einem anderen Fall wird die Infrastruktur eines nicht-kooperierenden Netzbetreibers angegriffen.

Details zu QFIRE: Zu sehen sind die Special Collection Sites. Mit Hilfe der NSA-Angriffsprogramme STRAIGHTBIZARRE und BLINDDATE sollen Datenpakete manipuliert werden.

NSA-Haushumor: Ein Katzenbild soll offenbar für Abwechslung sorgen.

Daten-Manipulation: So will die NSA laut der Präsentation Datenpakete injizieren.

Schnelle Zugriffe: Damit die Angriffe funktionieren, muss die NSA schneller sein als die beteiligten Systeme. Diese Übersicht zeigt, welche Latenzzeiten unterboten werden müssten.

Injizierung von Datenpaketen: So sieht der zeitliche Ablauf einer Manipulation von TCP/IP aus.

In dieser Übersicht werden die Latenzen der unterschiedlichen Komponenten der NSA-Angriffswerkzeuge aufgelistet.