Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

September 09 2013

Wer hätte 1984 geahnt, dass dies “Big Brother” ist und dass die Zombies zahlende Kunden sein würden?

Der aktuelle Spiegel berichtet über Angriffe der NSA auf gängige mobile PLattformen wie Blackberry, Android und iPhone. Die Recherchen stützen sich auf interne Dokumente der NSA aus dem Snowden-Fundus. Einige Folien hat der Spiegel auch abgebildet, wie diese hier:

spiegel_1984

Mit zwei anderen Folien wird dann diese Satz gebildet:

Who knew in 1984… that this would be big brother… and the zombies would be paying customers?

Unklar ist, wie die NSA an die Daten auf den Geräten kommen. Möglicherweise über die Backups auf den Desktop-Rechnern (bei iTunes) oder über die Cloud-Infrastrukturen, die Google, Apple & Co anbieten, um Daten zu synchronisieren und abzuspeichern.

Besonders freuen sich Analysten der NSA über die in Smartphones und vielen ihrer Apps gespeicherten Geodaten, mittels derer sie erkennen können, wann sich ein Nutzer wo aufgehalten hat.

Die Geodaten werden oft direkt von diversen Apps gespeichert und eine Vielzahl an Apps werden mit Scripten von Smartphones ausgelesen.

Die „Bequemlichkeit“ der Nutzer werde dafür sorgen, notieren die Analysten, dass die meisten freiwillig zustimmten, wenn sie von Anwendungen gefragt würden, ob diese ihren aktuellen Standort verwenden dürften, heißt es in den Unterlagen der US-Spione.

Neben Android und iPhone ist auch die Verschlüsselung von Blackberry geknackt worden. Unklar ist noch, wieviel Aufwand die NSA benötigt, gegen Blackberry Nutzer vorzugehen. Unsere Politik betrifft das auch ein wenig:

Vor nicht allzu langer Zeit hat die Berliner Regierung einen Großauftrag für die sichere mobile Kommunikation in Bundesbehörden vergeben – unter anderem an einen Verschlüsselungsanbieter, der bei der Hardware auf ein vermeintlich an sich schon abhörsicheres Gerät setzt: BlackBerry.

Aber wie wir heute gelernt haben: Das ist kein Thema der Politik.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 20 2013

BSI 2005 über BlackBerry E-Mail Push-Dienst: “Britische Behörden haben Zugriff auf das gesamte Nachrichtenaufkommen”

Deckblatt: Sicherheitsaspekte des E-Mail-Push-Dienstes

Deckblatt der BSI-Analyse: Sicherheitsaspekte des E-Mail-Push-Dienstes “BlackBerry”

Das gesamte Nachrichtenaufkommen des E-Mail-Push-Dienstes von BlackBerry wird zwangsweise über Großbritannien geleitet und steht den örtlichen Sicherheitsbehörden zur Verfügung. Das schrieb das Bundesamt für Sicherheit in der Informationstechnik vor acht Jahren in einem internen Papier, das wir in Volltext veröffentlichen. Die britischen Behörden konnten demnach schon damals unter “sehr weit gefassten Voraussetzungen” auf alle Nachrichten zugreifen, unter anderem auch ganz offiziell zur Wirtschaftsspionage.

Heute Vormittag berichteten wir über die Ablehnung unserer Informationsfreiheits-Anfrage nach einem BSI-Papier über die Sicherheit von BlackBerry-Produkten. Die für IT-Sicherheit zuständige Bundesbehörde verweigerte unsere Anfrage, weil die Antwort “nachteilige Auswirkungen auf die internationalen Beziehungen haben” könnte. Das lassen wir nicht gelten und haben weiter gegraben.

Wie wir herausfinden konnten, hat die WirtschaftsWoche zum damaligen Bericht von Jürgen Berke mindestens in der Print-Ausgabe auch den Inhalt der BSI-Analyse gedruckt. Wir haben diese wieder ausgegraben und zitieren hiermit in Volltext aus dem Papier mit dem Titel “Sicherheitsaspekte des E-Mail-Push-Dienstes ‘BlackBerry’” mit Stand vom 20. September 2005:

1. Die Übertragungssicherheit beruht vollständig auf proprietären Mechanismen der Firma RIM. Der zur Verschlüsselung verwendete mathematische Algorithmus wird zwar als sicher angesehen, für die Qualität der Implementierung, der Schlüsselerzeugung und des Schlüsselmanagements liegt jedoch keine unabhängige Evaluierung vor.

2. Das gesamte Nachrichtenaufkommen wird zwangsweise über ein Mobile Routing Center (MRC) im Ausland geleitet (für Europa nach Großbritannien, Egham bei London). Damit sind dort alle Verbindungsdaten (Absender, Empfänger, Uhrzeit) sowie die (verschlüsselten) Kommunikationsinhalte verfügbar. Nach britischem Recht können die örtlichen Sicherheitsbehörden unter sehr weit gefassten Voraussetzungen (unter anderem zum Wohl der britischen Wirtschaft) Zugang zu diesen Daten Daten erhalten (RIP-Act 2000). Im Falle von (aus britischer Sicht) ausländischem Nachrichtenverkehr dürfen diese sogar ohne Personenbezug aufgeklärt werden.

3. Es ist nicht möglich, eine eigene, von RIM unabhängige Verschlüsselung zum Schutz der Kommunikationsinhalte zu realisieren. So lassen sich Mail-Anhänge, die vom Nutzer (zum Beispiel mit PGP oder Chiasmus) verschlüsselt wurden, mit BlackBerry nicht übertragen. Eine Verschlüsselung des Übertragungsweges (…) scheitert an der speziellen Blackberry-Infrastruktur.

4. Der im Unternehmensnetz installierte Synchronisationsserver BES (Blackberry Enterprise Server) wird mit einer Software der Firma RIM betrieben und benötigt hoch privilegierten Zugriff auf die Mail/Messaging-Server des Unternehmens. Er kann somit auf den gesamten dort gespeicherten Datenbestand zugreifen.

5. Alle Verfahren, Softwarekomponenten und Protokolle sind proprietär und werden von RIM als Firmengeheimnis behandelt. Das tatsächliche Betriebsverhalten des Systems lässt sich daher nicht überprüfen. Kritisch ist in diesem Zusammenhang, dass auf rund der verschlüsselten Übertragung nicht nachvollziehbar ist, welche Nachrichten zwischen Blackberry Enterprise Server und Mobile Routing Center ausgetauscht werden.

Das Fazit des Bundesamtes lautete:

Bei dieser Sicherheitseinschätzung können ausschließlich die potentiellen Möglichkeiten, die Blackberry zur nachrichtendienstlichen Informationsbeschaffung bietet, betrachtet werden. Ob und inwieweit diese Möglichkeiten tatsächlich genutzt werden, entzieht sich der Kenntnis des BSI und ist nicht Gegenstand dieser Einschätzung. Aus Sicht des BSI ist Blackberry auf Grund der oben dargestellten unsicheren Architektur für den Einsatz in sicherheitsempfindlichen Bereichen der öffentlichen Verwaltung und spionagegefährdeten Unternehmen nicht geeignet.

Zur Einordnung verweisen wir gerne noch auf ein paar weitere Meldungen der letzten Jahre:

Kann uns wer sagen, ob wir (oder die WirtschaftsWoche) jetzt die internationalen Beziehungen beschädigen?

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Spaß mit Informationsfreiheit: BSI warnt vor Blackberry, Begründung gefährdet die internationalen Beziehungen

Sitz des BSI in Bonn. Bild: Qualle. Lizenz: Creative Commons BY-SA 3.0.

Sitz des BSI in Bonn. Bild: Qualle. Lizenz: Creative Commons BY-SA 3.0.

Das Bundesamt für Sicherheit in der Informationstechnik warnt vor BlackBerry, weil britische Dienste Zugriff auf das “gesamte Nachrichtenaufkommen” haben. Ein Einblick in die zugrundeliegende Analyse wird uns aber verwehrt, da die Informationen die internationalen Beziehungen gefährden würden. Das BSI verweigert hier seine Aufgabe: Die IT-Sicherheit in unserer Gesellschaft.

Langsam können wir die Rubrik Spaß mit Informationsfreiheit zur eigenen Dauer-Kategorie befördern. Der neueste Streich: Vor acht Jahren (!) warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor den Diensten des Unternehmens BlackBerry. Jürgen Berke berichtete damals in der WirtschaftsWoche:

Nach Volkswagen meldet auch das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) Bedenken an und warnt vor dem Gebrauch der mobilen E-Mail-Maschine. „Auf Grund der unsicheren Architektur ist der Blackberry für den Einsatz in sicherheitsempfindlichen Bereichen der öffentlichen Verwaltung und spionagegefährdeten Unternehmen nicht geeignet“, heißt es in einer BSI-Analyse. Der „nur zum internen Gebrauch“ erstellte Bericht kreidet RIM an, dass das „gesamte Nachrichtenaufkommen zwangsweise“ über ein Rechenzentrum in Egham bei London geleitet wird. „Nach britischem Recht“ – so der BSI-Bericht – können „die örtlichen Sicherheitsbehörden unter sehr weit gefassten Voraussetzungen (unter anderem zum Wohle der britischen Wirtschaft)“ – Zugang zu allen Verbindungsdaten und Inhalten erhalten. „Es gibt damit die theoretische Möglichkeit, dass Dritte auf die E-Mails zugreifen, die vom Blackberry versandt werden“, erklärt BSI-Referatsleiter Michael Dickopf.


Nachdem CCC-Sprecher Frank Rieger letzten Monat berichtete, dass Blackberry 10 E-Mail-Passworte für NSA und GCHQ zugreifbar macht ist uns die BSI-Analyse wieder eingefallen, die wir prompt per Informationsfreiheits-Anfrage angefordert haben. Jetzt kam die kürzeste IFG-Antwort, die wir bisher erhalten haben:

Ihr o.g. Antrag wird nach § 3 Nr. l lit. a) IFG abgelehnt, da das Bekanntwerden der Information nachteilige Auswirkungen auf die internationalen Beziehungen haben kann.

Das BSI ist eine Bundesbehörde und gehört zum Geschäftsbereich des Innenministeriums. Es wird aus Steuern finanziert und erarbeitet Informationen zur IT-Sicherheit für die öffentliche Verwaltung, Wirtschaftsunternehmen, Wissenschafts- und Forschungseinrichtungen sowie Privatanwender. Warum darf die Öffentlichkeit eine von ihr bezahlte Untersuchung nicht sehen, in der vor bestimmten Diensten gewarnt wird? Wie passt das mit der Aufgabe zusammen, “den sicheren Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft zu ermöglichen und voranzutreiben”? Und was hat das mit den internationalen Beziehungen zu tun?

Natürlich lassen wir das nicht auf uns sitzen und haben zunächst den Informationsfreiheitsbeauftragten Peter Schaar um Vermittlung gebeten.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 29 2012

FinSpy Mobile: Deutscher Staatstrojaner FinFisher für iPhone, Android und Blackberry enttarnt

Nach der Enttarnung des Staatstrojaners FinSpy aus der Produktpalette von FinFisher sind jetzt auch Versionen für mobile Endgeräte entdeckt und analysiert wurden. Forscher des Citizen Lab haben Trojaner für iOS, Android, BlackBerry, Windows Mobile und Symbian enttarnt, die sie für Varianten von FinSpy Mobile halten. Die Software kann die Telefone komplett überwachen, inklusive Anschalten des Mikrofons und Ortung des Geräts.

Wie bereits bei der enttarnten Windows-Version nutzen auch die neuen Versionen für Smartphones und Tablets Strings wie “FinSpy” oder den Namen des Firmenchefs “Martin Muench”, Domains wie “demo-de.gamma-international.de” und Command & Control Server, die “Hallo Steffi” antworten:



Die Trojaner können die volle Kontrolle über die Smartphones übernehmen, inklusive dem Aufzeichnen aller Kommunikation wie Telefonaten, SMS und Blackberry Messenger, dem Download aller Dateien, dem heimlichen Anschalten des Mikrofons und die Überwachung des Aufenthaltsortes des Mobilgeräts in Echtzeit.

Überwachungs-Geräte in der Tasche

Über den Infektionsweg sagt das Team um Morgan Marquis-Boire wenig. Nur: Falls die Trojaner die mobilen Betriebssysteme nicht direkt angreifen, benötigen alle untersuchten Exemplare eine Interaktion des Nutzers, wie dem Klicken auf einen Mail-Anhang oder eine Webseite.

Neben den neuen Versionen haben die Forscher des Citizen Lab auch weitere Kommando-Server in Äthiopien, Bahrain, Brunei, Indonesien, Mongolei, Niederlande, Singapur, Tschechische Republik, Turkmenistan und den Vereinigten Arabischen Emiraten gefunden. Damit bestätigen sie weitgehend die Analyse von Rapid 7. Nicht alle diese Staaten setzen jedoch automatisch den Trojaner ein, mindestens der Amazon-Cloud Server in den USA war wohl nur ein Proxy.

Vernon Silver berichtet auch über die neueste Analyse auf Bloomberg News. Ihm gegenüber bestätigte Firmenchef Martin J. Muench, dass Gamma mit FinSpy Mobile auch einen Trojaner für mobile Endgeräte verkauft. Wie, und auf welchen Plattformen, dazu will er keine Auskunft geben.

Gegenüber netzpolitik.org bestätigte Muench, dass die bisher analysierten Samples “von den Funktionalitäten her definitiv Ähnlichkeiten” zu FinFisher haben, aber für eine endgültige Bestätigung mehr Zeit für die Analyse notwendig ist. “Sofern es sich tatsächlich um FinSpy handelt, so muss es hier eine Version sein die temporär z.B. für Produktdemonstrationen verwendet wurde”, so Muench. Auch Bloomberg zitiert eine Pressemitteilung von Gamma, dass eine Demo-Version der Software gestohlen worden sei:

“The information that was stolen has been used to identify the software Gamma used for demonstration purposes,” the release said. “No operations or clients were compromised by the theft.” The Gamma statement said that while its demo products contain the word “FinSpy” — a marker the researchers used to help identify samples — its more sophisticated operational products don’t.

Gamma hält sich laut eigenen Aussagen beim Export seiner Überwachungs-Software an die “Exportbestimmungen in Großbritannien, den Vereinigten Staaten und Deutschland”. Dumm nur, dass die in Deutschland gar nicht kontrolliert werden.

flattr this!

Reposted bymondkroetemynniabrightbytesofias02mydafsoup-01renanalolufo

June 03 2011

Internet-Blackout in Syrien?

Die russische Nachrichtenagentur Ria Novosti berichtet, dass in Syrien aufgrund der laufenden Proteste heute Internet und Telefon ausgeschaltet worden sind: Syria in total internet blackout – provider.

Syria remains completely offline since Friday morning, the country’s state telephone and internet service said. “We have a problem. We are now striving to tackle it,” a spokeswoman for the internet service said without giving further details.

Global Voices Online berichtet ebenfalls und hat einige Augenzeugenberichte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

November 02 2010

RIM knickt auch vor Indien ein

Nachdem Der Blackberry-Hersteller RIM, der von einigen Staaten aufgrund verschiedener verwendeter Verschlüsselungstechniken mit Verbot und/oder Sperre seiner Geräte bedroht wurde, vor einigen Wochen bereits vor den Vereinigten Arabischen Emiraten eingeknickt ist, kooperiert RIM nun auch mit Indien und gibt den Blackberry-Dienst BBM (eine Art Instant-Messenger) zur Überwachung durch indische Behörden frei.

Sicher erinnert ihr euch an Skype oder die immer wiederkehrenden Debatten um default-Hintertüren, die auch in den USA und Deutschland geführt werden. Der Vorgang zeigt einmal mehr: Man darf sich nicht auf kommerzielle Systeme verlassen. Verschlüsselung muss man selbst in die Hand nehmen.

August 13 2010

Blackberry und die nationalen Sicherheiten

Schon 2007 fing man in der Vereinigten Arabischen Emirate (VAE) an, sich über Blackberry-Mobiltelefone als nationales Sicherheitsrisiko zu beschweren, weil deren Emails direkt auf ausländische Server übertragen und dort verwaltet werden. Dies habe Konsequenzen für die rechtliche, soziale und nationale Sicherheit, weil einige dieser Dienste missbraucht werden könnten. Der Verdacht, dass es der VAE nicht um die Speicherung im Ausland, sondern um die verschlüsselte Übertragung dorthin ging, lag nahe. Er erhärtete sich, als der Telefon-Provider Etisalat ein ‘Update’ für Blackberry-Geräte anbot, das Spyware-Zugriff auf die Email-Funktion mit einschleuste. Der Hersteller RIM bot umgehend einen Fix an, und die VAE kündigte die Sperrung des verschlüsselten Blackberry Email-Services ab 11. Oktober diesen Jahres an.

Etwas zackiger ging Saudi-Arabien vor: Kurzfristig wurde angekündigt, dass in ein paar Tagen gesperrt würde, RIM reagierte laut Associated Press (AP) mit der Verlegung der Server nach Saudi-Arabien, und schwieg zu dem Thema, das plötzlich einfach vom Tisch war.

Zeitgleich fing Indien an, sich zu melden, und verlangte von RIM, indischen Behörden ab dem 31. August 2010 Zugriff auf die verschlüsselten Emails einzuräumen. Andernfalls werde man sperren. Und RIM reagierte angeblich mit der Ankündigung von Zugeständnissen: Indische Behörden sollten Zugriff auf die letzten 15 Tage bekommen. Bisher ist dies jedoch anscheinend noch nicht geschehen, und RIM dementiert die Ankündigung.

Ähnliche Vorgänge zeichnen sich in Russland und China ab.

Rebellengruppe mit Blackberries - Foto von Toufeeq Hussain, Lizenz CC-BY-SA

Rebellengruppe mit Blackberries - Foto von Toufeeq Hussain, Lizenz CC-BY-SA

Aber was soll das eigentlich?

Wie der Sicherheitsexperte Bruce Schneider betont, kann so gut wie jedes internetfähige Gerät verschlüsselt mit Email-Servern im Ausland kommunizieren – Zum Beispiel mit GMAIL über SSL (dabei ist die Nachricht selbst aber längst nicht ‘verschlüsselt’, genau so wenig wie beim Blackberry!). Solche Dienste sind aber nicht an Hardware-Anbieter gebunden, die gerne ihre Geräte verkaufen wollen. Die Regierungen fordern also zum Staring Contest heraus: Sie wollen natürlich nicht die bösen Blackberry-Blocker werden, und RIM möchte auch gerne weiter am Markt bleiben.

Der nahe liegende – nennen wir es Kompromiss – ist es dann natürlich, die Angst des Staates vor “Rebellengruppen” mit Blackberries zu mindern. Dafür kann man die relevanten Server ins jeweilige Land holen, wo sie dann “nachsichtigeren” Gesetzen unterliegen, oder vielleicht auch eine kostengünstigere Methode finden, indem man Direktzugriff auf bestehende Infrastruktur gewährt.

Der falsche Schluss aus dieser Geschichte wäre es aber nun RIM als “die Guten” zu sehen. Verschlüsselung ist Vertrauenssache, und gute Krypto lässt einen die Schlüssel selber machen, wie es zum Beispiel bei GPG für Email und OTR für Instant Messaging der Fall ist. Im Übrigen findet beim Blackberry ja auch nur die Kommunikation mit dem Server verschlüsselt statt, nicht etwa die Übertragung der gesamten Nachricht von Absender zu Empfänger. Für ‘Terroristen’ ist sowas gänzlich ungeeignet. Nicht zuletzt Innenminister Thomas de Maizière warnt Mitglieder der Regierung vor der Nutzung von proprietären Verschlüsselungssystemen, bei denen der Zugangsstandard nicht selbst bestimmt wird. Eine guten Überblick zu Überwachung und Verschlüsselung bietet dieses Interview mit Sunil Abraham vom Bangalore Centre for Internet and Society.

Reposted bymondkroetevervic
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl