x
x
Dietmar Nix
x

 

Index Websabotage Report1
Start Gesetze Report1 Report2 Report3 02Febr 03März 04Apri 05Mai 06Jun 07Jul 08Aug 09Sept


1) Verdeckte Leserx: Trügerische Herkunftsdomänen
2) Verursacherx: Eifrige DISA stets zu Diensten
3) Leitungx: Das Pentagon erforscht Oldtimer-Motorräder
4) Versuchskaninchen?x: Der Leitfund nach Quantico
5) Ein Testlauf von QFire?x: Aktivitäten von Marine Corps Network Operations
6) Angreiferx: Übersicht über typische Angriffsherkünfte
7) Konzeptx: NSA-Angriffe mit örtlicher Nähe
8) Praxisx: Profi-Angriffe über Zwischenverbindungen
9) Getarnte Nummernx: Warum eine IP manchmal nicht das ist, was sie scheint
10) Praxiseinsatzx: Erst der Einbruch, dann das Vergnügen
11) Berufs-Saboteurex: Das Mafia-Prinzip
12) Organisierte Kriminalitätx: Opferhoffnung auf den gütigen Weihnachtsmann
13) Bürgerrechtx: Entweder - oder
14) Microsoftx: Bing und andere Dinge
15) EQUINIXx: Weiß von nix
16) PHPx: die unbekannte Falle

1) Verdeckte Leser
Beteiligte an Lastangriffen wollen nicht mit ihrer Nutzernummer (IP) erkannt werden damit sie nicht gesperrt werden. Die NSA verwendet deshalb Weiterleitungen über ausländische Rechenzentren, die vielleicht bei Geldquellen keine Fragen stellen - wie im folgenden Beispiel:

x

Der vermeintliche ADSL-Nutzer ist in der Landesherkunft nicht erkennbar. Die IP-Benutzernummer (blau) ist registriert für UKRTELECOM in Kiew, wie auch genannt als Domäne (gelb). Ihr Pool ist Verteiler für Kunden, hier in dynamischer Angabe als vorderer Teil (grün) im Namen. Dieser Kunde sitzt aber weder in Kiew noch in der Ukraine. Er ist mit seiner IP 11.58.178.94 registriert als "DODIIS", also DoD Department of Defense, hier: Internet Information Service. Das DoD NIC Network Information Center der US-Armee in Columbus/Ohio sei angeblich das frühere militärische ARPA-Netz (US Defense Data Network) von 1983-1995, wird aber bis heute in Registrierungen gelistet und ist weiterhin in Betrieb. Störaktionen, Angriffe und Einbruchversuche mit vermeintlicher Herkunft aus Asien oder Osteuropa in private Netzangebote scheinen tatsächlich von solchen US Sabotage-Einheiten zu stammen. Zwar könnte man die verdeckten Nummern als simple Umkehrung der tatsächlichen IP verstehen, was häufig vorkommt. Es bleiben aber Fälle, wo dies nicht möglich ist wie etwa
LLagny-156-36-34-57.w80-14.abo.wanadoo.fr / IP 80.14.143.57 = US/BANCORP/156.xx
cpe-356380.ip.primehome.com / IP 46.21.60.215 = US/General Elektrik/3.xx or Merit Network/US
dsl-kvlbrasgw2-50df12-200.dhcp.inet.fi / IP 80.223.18.200 = Dubai Telekom/2.50 oder unregistrierte 250.xx.
cpc5-basl11-2-0-cust192.20-1.cable.virginm.net / IP 92.237.74.193 = US/AT&T-IPGr/192.20.12.0 (#6.2.14)
524B400C.cm-4-4b.dynamic.ziggo.nl / IP 82.75.64.12 = US/Dupont-Chemie/52.120.40.44 (Hex:4b4=1204)

2) Verursacher
xEigene Beobachtungen von Dezember 2013 bis Januar 2014 fanden verdeckte Zugriffe als Erfolgskontrollen genau zum Zeitpunkt laufender Überlastungsangriffe mit der Herkunft amerikanischer sowie weiterer Regierungsbehörden in West-Ländern. Soweit deren Titulierung "Verteidigung" betont, sind damit laut protokollierten Vorfällen wahrscheinlich auch illegale Sabotage-Angriffe gegen private Ziele gemeint. Das dabei beobachtete SNET(1) der US-Privatgesellschaft AT&T im Einsatz bei der NSA wird vielfach gefunden.
Der US-Dienst DISA(2) hat bei verschiedenen IP Nummern dieselbe Ortsadresse für seine Operations-Abteilung in Columbus/Ohio(3) als Abteilung der NSA. Falls jemand behaupten wollte, alle folgenden Zugriffsfunde verdeckter IP in Domänen-Namen wie 3.2.1 seien nur Umkehrungen der offen genannten IP 1.2.3, der müßte auch erklären können, warum die Funde bei allen unterschiedlichen Zahlenkombinationen alle zur selben US-Militärdienststelle auf selber Ortslage führen.

NetRange: 11.0.0.0/8, 22.0.0.0/8
NetName: a/b) DODIIS   c/e) DNIC-SNET(1)-022   d) DISA(2)NET26
OrgName: DoD Network Information Center
Address: US 43218 Columbus/OH(3), 3990 E. Broad Street
a) MEZ 08. Jan 14, 19:51:50   11-58-178-94.pool.ukrtel.net   = UA 94.178.58.11 / Windows Vista Firefox 26.0
b) MEZ 09. Jan 14, 00:37:34   bar1169902.lnk.telstra.net   = AU 110.142.39.15 / Windows XP Firefox 26.0
c) MEZ 12. Jan 14, 15:01:30   g226050062.adsl.alicedsl.de   = DE 92.226.50.62 / Windows 7 Mozilla 11.0
d) MEZ 13. Jan 14, 18:19:05   26-10.1-85.cust.bluewin.ch   = CH 85.1.10.26 / Windows 7 Firefox 26.0
e) MEZ 14. Jan 14, 01:38:01   22-184.60-188.cust.bluewin.ch   = CH 188.60.184.22 / iOS 6.1 Safari 6.0


3) Leitung
xDies war nicht etwa der Amoklauf eines Einzeltäters auf fünf verschiedenen Arbeitsplätzen im selben Haus, denn an anderer Stelle war zur selben Zeit beteiligt die USACC "R-Site", seit Mai 1984 genannt RRMC, "Raven Rock Mountain Complex" als Nebenstelle des Pentagon, wo auch die DISA ihr Hauptquartier USAISC(1) hat. Nebenstelle Nummer-3(2) des Hauptquartiers ist Fort Huachuca(3), ein Armeestützpunkt in Arizona (rechts). Die Abteilung CEEIS(4) sind Ingenieure, was erklären könnte, daß dort jemand innerhalb einer Stunde 48 Mal 9 Seiten aufruft zu einem BMW-Oldtimer Fälschungsbericht R71-Report. Aber das TNOSC(5) ist zuständig für Kommunikation (Marine, NETC(6)=Philippinen) und CONUS(7) ist die "Defense Information Systems Agency Continental United States", also die DISA-Abteilung für die eigene Kontinentalzone. Diese Lesezugriffe waren direkt adressiert aus einem öffentlichen IP-Adreßraum, der von eigenen Nutzern der "localdomain"(8) dynamisch verwendet wird, und wobei "8CC22885"(9) ein Hinweis sein könnte auf den technischen Dienstleister "Level 3 Communications" in Colorado mit einem Nummernfeld 8.0.0.0/8, der im Rechnerpool fast aller Angreifer gefunden wurde. Darunter die Systemverwaltung von Radius Telecoms in Pasig City, Philippinen.

NetRange: 140.194.0.0-140.194.255.255
NetName: CEEIS3(4)
OrgName: Headquarters, USAISC(1) / HEADQU-3(2)
Address: US 85613 Fort Huachuca(3)/AZ, NETC(6)-ANC CONUS(7) TNOSC(5)
MEZ 15. Jan 14, 19:19:50=>20:15:25 mvd-c.usace.army.mil / 140.194.40.35 / 1.1 localhost.localdomain(8) 8CC22885(9)


4) Versuchskaninchen?
xDer folgende Beobachtungsfund war eine Erkundung von Lastzielen bei HISTOR.WS. Wenn hier die Leitnummer des Domänen-Namens eine simple Umkehr der offenen IP wäre, ist es seltsam, daß sie nicht beliebig irgendwohin führt zu einem Nudelhersteller, sondern zufälligerweise wieder zur US-Marine - in das FLC Forschungslabor für Computer- und Netzsicherheit MCNOSC(1). Diese 2003 gegründete Dienststelle ist das "Marine Corps Network Operations and Security Center" unter folgend genannter Ortsadresse in Virginia. Das USMC(2) ist die US-Militärmarine, hier Abteilung-2. Das UNOC(3) war die UN-Sicherheitstruppe in der Kongo-Krise 1960-1964 (=United Nations Operation in the Congo). Da das 30 Jahre später entstandene Internet kaum die Dienststelle für eine Gespenstertruppe registriert, wird das Kürzel sicher eine andere, unbekannte Bedeutung haben. Die Erkundung dieser IT-Entwicklungsabteilung könnte bedeuten, daß die erlebte Angriffserie nebenbei Forschungszwecken diente für die künftige Sabotage relevanterer Ziele: "Wir bewaffnen die Marine für den Sieg auf dem Internet-Schlachtfeld" wie eine Präsentation von 2009 formuliert. Ihre schnelle Entfernung aus dem Netz würde nichts nützen, denn sie ist jetzt archiviert und kann verteilt werden.

NetRange: 158.236.0.0-158.236.255.255
NetName: USMC2(2)
OrgName: USMC Network Operations Center / UNOC(3)
Address: US 22134 Quantico/VA, 27410 Hot Patch Road, Commanding Officer, MCNOSC(1)
MEZ 14. Jan 14, 01:38:01 158-236.197-178.cust.bluewin.ch = CH 178.197.236.158 / MacOS X 10.9 Safari 7.0


5) Ein Testlauf von QFire?
xDerzeitiger Amtschef des bewußten "Cyber Command" in der US-Navy mit dem Auftrag der "Kampfführung" im Internet ist Vize-Admiral Mike S. Rogers (rechts). Er wird in diesen Januartagen 2014 spezielles Interesse daran haben, die Leistungsfähigkeit der seit 2009 unter seiner Leitung entwickelten Internet-Waffensysteme zu beweisen. Denn er wird gerade als Nachfolger des im März ausscheidenden NSA Chefs Alexander eingeführt. Die oft kritisierten Einbrüche in Privatrechner sind dabei belanglos. Diese Tests arbeiten auf etwas anderes hin: die Kontrolle über beliebige Leistungs-Rechenzentren. Sie können dann zum Angriff gegen jedes mögliche Ziel im Internet verwendet werden aus dem Schutz dunkler Anonymität. Die Ziele und Gründe von Operationen dieser Schadsoldaten sind grundsätzlich nicht kontrollierbar, außer durch kontrollierte Vorzeigefiguren. Die bloße Existenz dieser Institution ist also eine Kriegserklärung gegen jeden freien Bürger auf der Welt, der eine eigene Meinung hat. Wenn sie wie beim Programm QFire von "defense" reden, ist fast immer Sabotage gegen von ihnen willkürlich ausgewählte Ziele gemeint. Die Hoffnung, daß bei solchen Gestalten einmal von selbst Vernunft einkehren könnte, würde an Naivität nur noch übertroffen durch die Züchtung von Mäusen und Schlangen im selben Glaskasten.

Keinen Cyberkrieger für unsere Sicherheit! - jetzt unterschreiben: x
Start Gesetze Report1 Report2 Report3 02Febr 03März 04Apri 05Mai 06Jun 07Jul 08Aug 09Sept
 
®