In seinem Blog beschreibt Bruce Schneier, dass die NSA im Internet geheime Server mit dem Codenamen FOXACID unterhält, die sich in andere Computer einhacken können. Diese Server liefern eine exzellente Demonstration darüber, wie die NSA ihr Risikomanagement angeht.

FOXACID funktioniert folgendermaßen: In dem Moment, in dem die NSA eines ihrer Opfer in die Falle auf einem dieser Server gelockt hat, weiß sie schon genau, wo das Opfer ist, wer es ausspionieren will und wie hoch der geschätzte Werte der gewonnenen Daten ist. Aufgrund dieser Informationen entscheidet der Server nun automatisch, wie er vorgeht.

Wenn man nach den von Edward Snowden aufgedeckten streng-geheimen Leitfäden geht, könnte ein Verwertungsprogramm mit dem Namen „Validator“ eines von vielen Voreinstellungen sein, die der NSA zur Verfügung stehen. Die Unterlagen nennen hierzu auch United Rake, Peddle Cheap, Packet Wrench und Beach Head – die alle vom FOXACID Untersystem-Ferret Cannot geliefert werden. Sollte das Ziel beispielsweise ein High-Value sein, könnte FOXACID evtl. eine seltene Zero-Day-Attacke verwenden, welches es selbst entwickelt oder gekauft hat. Bei technisch anspruchsvollen Zielen würde es sich womöglich anders entscheiden.

FOXACID hat verschiedene Ebenen, die es anwenden kann, und benutzt komplizierte Konfliktanalyse-Systeme, um genau zu bestimmen, welches gegen ein bestimmtes Ziel eingesetzt wird. Laut Snowden haben die TAO – Tailored Access Operations – Administratoren, die das System betreiben, ein detailliertes Flussdiagramm mit Tausenden von Regeln, wann das System abbrechen muss: Wenn was nicht funktioniert – aufhören. Wenn ein personalisiertes Sicherheitsprodukt entdeckt wird – aufhören. Wenn irgendetwas Seltsames passiert – aufhören. Die NSA will mit dieser übervorsichtigen Vorgehensweise sicherstellen, dass ihre Spionageangriffe unentdeckt bleiben.

Artikel von schneier.com, 09.10.2013: The NSA’s New Risk Analysis