Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

September 13 2013

Fliegende Schweine: Wie die westlichen Geheimdienste Verschlüsselung mit Man-in-the-middle-Angriffen aushebeln

Die westlichen Geheimdienste betreiben aktive Man-in-the-middle-Angriffe gegen verschlüsselte Internet-Kommunikation, die auch der Iran schon eingesetzt hat. Das geht aus internen Folien hervor, die im Rahmen eines brasilianischen Fernseh-Berichts ausgestrahlt wurden. Gleichzeitig gibt der Nationale Geheimdienstdirektor der USA zu, Wirtschaftsspionage zu betreiben.

Vor einer Woche erhielt die Öffentlichkeit mit “Projekt Bullrun” einen kleinen Einblick in die Fähigkeiten der westlichen Geheimdienste, verbreitete Verschlüsselungs-Technologien zu knacken und zu umgehen. Im Bericht des brasilianischen Fernseh-Senders Rede Globo über die Ausspähung der Ölfirma Petrobras sind ein paar weitere Details zu Entschlüsselungsmethoden der Schlapphüte enthalten.

Man-in-the-middle-Angriffe

Flying-Pig-MITM-GoogleNeben der Schwächung von Standards, Änderungen an Soft- und Hardware und Zugsamenarbeit mit Unternehmen unternehmen die Dienste demnach auch aktive Man-in-the-middle-Angriffe auf verschlüsselte Verbindungen. Ryan Gallagher hat das für das Online-Magazin Slate nochmal ausgegraben:

In einigen Fällen haben GCHQ und NSA anscheinend einen aggressiveren und umstritteneren Ansatz gewählt. In mindestens einem Fall haben sie einen Man-in-the-middle-Angriff durchgeführt, um Googles Verschlüsselungs-Zertifikate zu imitieren – und damit die Notwendigkeit der direkten Kooperation mit Google umgangen. Ein Dokument von Fantastico, anscheinend von einer NSA-Präsentation, die auch GCHQ-Slides enthält, beschreibt, “wie der Angriff [auf SSL-verschlüsselten Datenverkehr] durchgeführt wurde”. Das Dokument zeigt mit einem Diagramm, wie einer der Dienste anscheinend Internet-Router gehackt hat, um heimlich gezielten Google-Verkehr umzuleiten und mit einem gefälschten Sicherheits-Zertifikat die Informationen in unverschlüsselten Format abfangen konnte.

Diese Probleme sind keinesfalls neu. Im letzten Jahr hatte allem Anschein nach der Iran ebenfalls einen Man-in-the-middle-Angriff auf Google-Dienste durchgeführt. Dazu verwendeten sie Zertifikate der gehackten niederländischen Zertifizierungsstelle DigiNotar. Ein weiterer Screenshot belegt jetzt, dass auch die westlichen Dienste “entweder diesen Hack durchgeführt haben oder ihn ausgenutzt haben”, wie Bruce Schneier schreibt. (Was war jetzt nochmal der Unterschied zwischen Iran und USA? Achja, die einen waren ja eine Demokratie!!1)

Flying Pig gegen SSL und Tor

flying-pig-querySlate weiter:

Dokumente aus der GCHQ-Einheit “Netzwerk-Ausbeutung” zeigen, dass sie unter dem Namen “Flying Pig” ein Programm betreiben, das als Reaktion auf die zunehmende Verwendung von SSL-Verschlüsselung bei E-Mail-Anbietern wie Yahoo, Google und Hotmail gestartet wurde. Das “Flying Pig” System scheint unter anderem zu erlauben, Informationen im Zusammenhang mit dem Anonymisierungsnetzwerk Tor zu erheben und Spionen zu ermöglichen, Informationen über bestimmte SSL-Verschlüsselungs-Zertifikate zu sammeln und zu verwenden. Die Einheit “Netzwerk-Ausbeutung” brüstet sich in einem Dokument damit, dass es in der Lage ist, Datenverkehr nicht nur von Netzwerken ausländischer Regierungen zu sammeln, sondern auf von Fluggesellschaften, Energie-Unternehmen und Finanzorganisationen.

Phobos vom Tor Projekt antwortet darauf in einem Blog-Beitrag:

Es ist nicht klar, was NSA oder GCHQ tun können und was nicht. Es ist nicht klar, ob sie verschiedene in Tor verwendete Krypto “knacken”, ob sie nur Tor-Exit-Relais “tracken” oder ob sie ihr eigenes Tor-Netzwerk betreiben.

Was wir wissen ist, dass wenn jemand das gesamte Internet auf einmal beobachten kann, sie auch Datenverkehr beobachten können, der ins Tor-Netzwerk geht und der aus ihm herausgeht. Das dürfte Tor-Benutzer de-anonymisieren. Das Problem beschreiben wir selbst in unseren häufig gestellten Fragen.

Stormbrew: Internet-Verkhr “Upstream” abschnorcheln

Stormbrew-map-croppedAuch zum Überwachungs-Programm Stormbrew gab es neue Details:

Andere Dokumente zeigen, dass das sogenannten STORMBREW-Programm der NSA, das Internet-Verkehr direkt auf den Glasfaser-Kabeln abhört, mit der Hilfe von “zentralen Partner-Firmen” an circa acht wichtigsten Standorten in den USA durchgeführt wird, wo es Zugang zu “internationalen Kabeln, Routern und Switches” gibt. Laut einer geleakten Karte der NSA, findet diese Überwachung an Netzwerk-Knotenpunkten in Washington, Florida, Texas, an zwei Stellen in Kalifornien, und an drei weiteren Standorten in oder in der Nähe von Virginia, New York und Pennsylvania statt.

Weitere Folien gibt’s im Eintrag auf der englischen Wikipedia.

Überwachungs-Ziele: Banken und Hardware-Hersteller

Auch ein paar neue Überwachungs-Ziele nennt Rede Globo:

Darüber hinaus zeigen Dokumente, dass die NSA offenbar die Computernetze der saudi-arabischen Riyad Bank und des chinesischen Techonogie-Konzerns Huawei überwacht hat.

Die NSA betreibt auch ein Programm mit dem Namen SHIFTINGSHADOW, das scheinbar Kommunikations- und Standortdaten von zwei großen Mobilfunk-Anbietern in Afghanistan durch einen “fremden Zugangspunkt” leiten.

Nochmal offiziell: Wirtschaftsspionage

Aber eigentlich dient das nur dem Kampf gegen den Terror? Oder? Nun, mit diesem Mythos räumt jetzt sogar der Nationale Geheimdienstdirektor James Clapper auf:

Wir sammeln diese Informationen für viele wichtige Zwecke: Zum einen kann es den USA und Verbündeten früh vor internationalen Finanzkrisen warnen, die sich negativ auf die Weltwirtschaft auswirken könnten. Es kann auch einen Einblick in Wirtschaftspolitik oder Verhaltensweisen anderer Länder geben, die globale Märkte beeinflussen könnten.

Offizieller wird die Ansage “Wir betreiben Wirtschaftsspionage” nicht mehr.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bykrekk02mydafsoup-01

July 25 2012

Europa und die Cloud: Standard zur Überwachung und Kritik von Datenschützern

Die Auslagerung von Daten in die Cloud bereitet den Behörden Sorge. Um weiterhin Abhören zu können, werden europaweite Standards zur Überwachung von Cloud-Diensten erarbeitet. Falls Verschlüsselung eingesetzt wird, soll die umgangen werden. Datenschützer hingegen kritisieren die Cloud, da nie klar ist in welcher Jurisdiktion die Daten liegen.

Das von der Europäischen Kommission gegründete Europäische Institut für Telekommunikationsnormen (ETSI) arbeitet derzeit an einem Standard zur Überwachung von Cloud-Diensten. Laut dem Entwurf sollen die Cloud-Anbieter Schnittstellen zur Verfügung stellen, mit denen Behörden die Daten und Aktivitäten der Nutzerinnen abhören können – in Echtzeit.

Erich Moechel berichtet auf ORF.at:

Wegen des “nomadischen Zugangs zu Diensten in der Cloud” sei es unwahrscheinlich, dass ein Internet-Zugangsprovider alle Überwachungsanfragen bedienen könne. Um dennoch “die Überwachbarkeit zu gewährleisten, muss der Cloud-Anbieter eine Überwachungsfunktion einbauen”, heißt es einen Abschnitt weiter (4.3)

Mit “nomadischem Zugang” ist gemeint, dass Facebookbenutzer über alle möglichen Wege daherkommen können, ob es das eigene DSL ist, drahtlose Breitbanddienste oder ein offenes WLAN-Netz. Man müsste also die Daten eines Facebook-Benutzers nicht nur bei mehreren Zugangsprovidern einsammeln, was nahe an der Echtzeit unmöglich ist. Zudem würde das nur einen Teil der Informationen bringen, die an einer Schnittstelle direkt bei Facebook abgegriffen werden könnten.

Dazu soll auch die SSL-Verschlüsselung angegriffen werden. Und zwar wollen Behörden mit “Deep Packet Inspection”-Systemen (DPI) “Man-in-the-Middle”-Attacken gegen die Verschlüsselung durchführen. Aus dem Entwurf:

Erich Moechel weiter:

“Deep Packet Inspection wird wahrscheinlich ein konstituierendes Element dieses Systems sein”, heißt es denn auch unter 4.3 im ETSI-Dokument unter den “Herausforderungen der Anforderungen” “(“Requirement Challenges”). Darüber wird als nächstes ebenso berichtet werden, wie über die Szenarien der staatlich sanktionierten Angriffe auf Skype, VoIP und Tauschbörsen, denen sämtlich sogenannte Peer-To-Peer-Protokolle zu Grunde liegen.

Skype hat übrigens gerade wieder auf die Frage, ob sie Gespräche abhören können, geantwortet: Kein Kommentar.

Eine andere EU-Institution sieht das mit dem Cloud-Computing kritischer. Die Artikel 29 Datenschutzgruppe veröffentlichte Anfang des Monats eine Stellungnahme mit ihrer Einschätzung der Cloud.

Die Datenschützer sehen “eine Reihe von Datenschutz-Risiken, vor allem einen Mangel an Kontrolle über persönliche Daten sowie unzureichende Informationen über die Fragen, wie, wo und von wem die Daten (weiter-)verarbeitet werden.” Da in der Cloud nie klar ist, wo die Daten physisch liegen ist auch die Jurisdiktion darüber unklar. Die europäische Datenschutzrichtlinie verbietet es jedoch, personenbezogene Daten in Staaten mit schwächerem Datenschutz auszulagern.

Dass dürfte jedoch bei Cloud-Diensten eher die Regel als die Ausnahme sein. Die existierenden Safe Harbor-Vereinbarung zwischen EU und USA sind daher unzureichend. Hier sehen die Datenschützer dringenden Klärungsbedarf.

Bis dahin sollten europäische Firmen ihre Cloud-Dienstleister ganz genau evaluieren und gegebenenfalls schriftlich versichern lassen, wohin die eigenen Daten übermittelt werden.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl