Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 02 2014

Der Überwachungskatalog der NSA

Seit dem 30c3-Talk “To Protect and Infect” von Jacob Applebaum und der Veröffentlichung des Katalogs der NSA durch den Spiegel sind wir mit einer neuen Stufe der Überwachung konfrontiert. Wenn wir früher gesagt haben, die NSA liest jeden Brief mit, muss es nun lauten: Die NSA legt in jeden Brief (mindestens) eine Wanze. Der Katalog der bis dato nicht bekannten NSA-Abteilung ANT ließt sich wie ein Wunschzettel für Geheimagenten:

NSA-Arsenal-3

Problemloses Überwachen von Räumen

Der NSA steht eine Auswahl spezifischer Hardware-Implantate zur Verfügung, um geschlossene Räume diskret aus der Entfernung zu überwachen Raumgeräusche und Stimmen (LOUDAUTO, 30$), Monitorsignale (RAGEMASTER, 30$) oder Tastaturabschläge (SURLYSPAWN, 30$) werden aufgenommen und von den Implantaten als analoge Signale wieder ausgesendet. Um diese Signale auszuwerten, benutzte die NSA bis 2008 noch durchweg den Radarsender CTX4000 (Kosten unbekannt), welcher nun durch das NSA/GCHQ-Gemeinschaftsprojekt PHOTOANGELO (40.000$) eingemottet und ersetzt wurde. Über diesen Sender können die Signale dieser ANGRYNEIGHBOUR-Wanzen im Frequenzbereich zwischen 1 bis 4 GHz abgestrahlt, und ihre Aufnahmen aus sicherer Entfernung über das zurück geworfene Radarsignal rekonstruiert werden. Laut den internen NSA-Dokumenten wissen wir, dass diese Wanzen unter anderem bei der Bespitzelung der Vertretung der Europäischen Union in Washington eingesetzt wurden. 

Mobiltelefonie

Weiterhin gibt es Implantate für Mobiltelefone. SIM-Karten können zum Beispiel mit den Software-Implantaten GOPHERSET (0$) und MONKEYCALENDER (0$) Über ersteres ist ein freier Zugriff auf das Telefonbuch, vorhandene SMSe und das Anrufprotokoll möglich, über zweiteres kann das Mobiltelefon unbemerkt Standortdaten verschicken. Ferner kann die NSA auch mit konkreten Handytypen als Ziel arbeiten: Die Standortdaten und weitere User-Informationen im Satellitentelefon Thuraya 2520 werden beispielsweise über das Windows-Implantat TOTECHASER (?$) auslesbar. Geräte von Windows (TOTEGHOSTLY 2.0, 0$) und Apple (DROPOUTJEEP, 0$) können über entsprechende Implantate komplett ferngesteuert werden. Gerade auf die Erfolgsquote (100%) bei Apple-Produkten ist die NSA stolz. Der ungehinderte Zugriff auf SMSe, Kontaktlisten, GPS, das Mikrophon oder die Kamera wird nur dadurch gekrönt, dass aus der Entfernung heraus frei Dateien auf das Telefon aufgespielt oder heruntergenommen werden können.

Und wem das eigene Handy noch nicht Tracking-Device genug ist, kann auch ein eigenes NSA-Phone unter dem Label PICASSO (2000$) ordern. Hier fanden sich 2008 insgesamt vier Handytypen (Das Eastcom Modell 760+ sowie die drei Samsung-Modelle E600, X450 und C140) zur Weitergabe an Informaten und ermöglichten die Komplettüberwachung der Besitzer und ihres Umfeldes, räumlich wie visuell, über GSM-Netze. Es ist anzunehmen, dass sich das Repertoire der NSA in den letzten 6 Jahren nicht verkleinert hat.

Telefon-”Stolperdrähte” und falsche Funkzellen

Ferner benötigt die NSA nicht einmal direkten Zugriff auf Handys. Im Katalog findet sich ein ganzes Sammelsurium an Geräten, die sich als Funkantennen tarnen können. CANDYGRAM (40.000$), der “Telefon-Stolperdraht”, sendet automatisch stille SMS an Handys von Zielpersonen in seiner Reichweite und leitet die daraus gewonnene Standortdaten sofort an die Kommandozentrale weiter. Für das Abhören von Mobiltelefonen gibt es auch für alle Frequenzbereiche Funkzellensimulatoren wie das CYCLONE HX9 (70.000$, 900 MHz), EBSR (40.000$, 900/1800/1900 MhZ), TYPHON HX (?$, 850/900/1800/1900 MHz) oder NEBULA (900/2100 MHz). In kleineren Maßstäben ermöglichen Geräte wie WATERWITCH (?$) die direkte Lokalisierung von Zielpersonen “auf der letzten Meile” oder GENESIS (15.000$) die Überwachung des lokalen Frequenzspektrums.

Fernbedienungen für Computer

Für die direkte Überwachung und Steuerung von Computern hat die NSA auch eine größere Auswahl an Tools und Implantaten zur Verfügung. Dabei werden Programme wie SWAP (0$) direkt in die BIOS implementiert und laden jedes Mal beim Start, bevor das eigentliche Betriebssystem hochfährt, NSA-Software nach. IRATEMONK (0$) ersetzt dagegen den Master Boot Record (MBR) und über SOMBERKNAVE (50.000$) werden nicht verwendete WLAN-Schnittstellen verwendet um direkt beim Remote Operations Center der NSA anzuklopfen und den Computer komplett unter deren Regie zu stellen. Und mit NIGHTSTAND kann aus bis zu 12,8 Kilometern Entfernung ein W-LAN Netz infiltriert und angeschlossene Computer mit Schadsoftware infiziert werden. NIGHTSTAND wird Jacob Applebaum zufolge auch schon in Drohnen verbaut.

Server und Firewalls


NSA-Arsenal-2
Ähnlich sind Server und Firewalls durch die NSA kompromittiert worden. Für HP (IRONCHEF, 0$) und Dell-Server (DEITYBOUNCE, 0$, GODSURGE 500$ für Kauf und Installation) gibt es jeweils BIOS- bzw. Hardware-Implantate, die der NSA einen Direktzugriff auf die Server ermöglichen, in den Hardware-Firewalls von Cisco werden durch die Software JETPLOW (0$) regelmäßig stabile Hintertüren integriert.

Die Gadgets der der NSA funktionieren unter anderem deshalb so gut, weil sie eine Vielzahl von der NSA bekannten Schwachstellen in Hardware wie Software großer Unternehmen ausnutzen können, wobei unklar ist, wer von den entsprechenden Firmen die backdoors in Rücksprache mit der NSA installiert hat (lassen).

Bei den im Katalog genannten Unternehmen kam mittlerweile auch zu Reaktionen:

Im Fall von Apple wird die Zusammenarbeit mit der NSA zur Erstellung von backdoors vehement abgestritten, genauso verhält es sich mit der Kenntnis von Programmen wie DROPOUTJEEP. Im gleichen Statement nennen sie die NSA indirekt “malicious hackers”.

Der Firewall-Hersteller Cisco hingegen hat nach Einsicht der veröffentlichten Informationen am Dienstag eine Untersuchung zu den von der NSA genutzten Schwachstellen angekündigt. Zu keinem Zeitpunkt habe Cisco, wie auch Dell in einer Erklärung angab, mit der Regierung zusammen gearbeitet um Sicherheitslücken in die eigenen Produkte einzubauen.

Bei Hewlett-Packard sieht man hingegen keine Anzeichen für einen Fremdzugriff auf die eigenen Server, noch auf eine Kompromittierung der eigenen Sicherheitsstandards.

Es ist eine unangenehme Situation, die sich in der NSA-Debatte zum wiederholten Male zeigt: Entweder haben führende Unternehmen bewusst mit der NSA zusammengearbeitet und Sicherheitslücken in die eigenen Produkte eingebaut, oder größere Sicherheitslücken blieben über Jahre hinweg unentdeckt. Beides ist gefährlich.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 21 2013

Endlich nachgewiesen: Die NSA überwacht sämtlichen Internet-Verkehr, der über amerikanisches Gebiet geht

WSJ-BlarneyDie NSA hat Zugriff auf große Teile des Internet-Verkehrs, der über ihr Staatsgebiet geht und verarbeitet diese Datenmengen in ihren eigenen Systemen. Das berichtet das Wall Street Journal unter Berufung auf eine Reihe von Beteiligten. Jede Internet-Kommunikation über amerikanische Server landet demnach höchstwahrscheinlich bei der NSA – nur ein bisschen rein amerikanische Kommunikation wird wohl rausgefiltert.

Auch wenn die Snowden-Leaks verschiedene Programme zur Massenüberwachung der NSA enthüllt haben: die systematische Überwachung weiter Teile des gesamten Internet-Verkehrs analog zum britischen Program Tempora konnte noch nicht nachgewiesen werden. Vor zwei Monaten hatten wir berichtet, dass die NSA sehr wohl die Nervenzentren der Internet-Kommunikation anzapft, uns dabei aber auf ältere Informationen bezogen. Das Wall Street Journal schließt jetzt diese Lücke und berichtet über die massenhafte Überwachung großer Teile des über die USA fließenden Internet-Verkehrs.

prism-upstreamAuf der Basis von Interviews mit Beamten aus Diensten und Regierung sowie Mitarbeitern der Firmen, die Überwachungstechnologien bauen, erklärt das WSJ die von uns bereits genannten Programme “Blarney, Fairview, Oakstar und Stormbrew” sowie ein neues: “Lithium”. Diese stehen für Deep Packet Inspection Hardware, die an mehr als einem Dutzend zentraler Internet-Knotenpunkte steht und große Teile des Internet-Verkehrs an die NSA weiterleitet.

Blarney ist demnach das Programm, dass Datenströme vom Telekommunikationskonzern AT&T ausleitet. Schon vor den Anschlägen vom September 2001 wurde damit der Internet-Verkehr von interkontinentalen Glasfaser-Leitungen abgehört. 2006 wurde bekannt, dass AT&T den gesamten Internet-Verkehr ihres Knotenpunkts in San Franciso an die NSA weiterleitet. Laut einem ehemaligen Offiziellen wurde eine ähnliche Einrichtung in einem AT&T-Gebäude in New Jersey errichtet.

Als zweite Firma nennt der Artikel Verizon, die Abhör-Schnittstellen in den größten US-Metropolen errichtet haben.

Mit diesen Systemen hat die NSA Zugriff auf weite Teile des Internet-Verkehrs, der über die amerikanisches Gebiet geht. Der Artikel spricht von 75 Prozent, betont aber immer wieder, dass Inhalte zwischen US-Bürgern schon weggefiltert werden. Man sollte also davon ausgehen, dass sämtliche Internet-Inhalte, die zwischen den USA und anderen Staaten übermittelt werden, in den Datenbanken der NSA landen.

Dazu fordert die NSA von den Telekommunikationsanbietern “verschiedenen Ströme von Internet-Verkehr” an, die ihrer Ansicht nach “wahrscheinlich Geheimdienstinformationen über das Ausland enthalten”. Also wohl sämtliche Kommunikation mit Stellen in anderen Staaten. Diese riesigen Datenmengen werden an die NSA geleitet, die sie in einem zweiten Schritt filtert. Das kann nach einzelnen E-Mail-Adressen passieren oder nach ganzen Blöcken von IP-Adressen, also etwa ganze Länder. Diese Inhalte kann die NSA speichern und nach Belieben angucken oder rastern.

Diese Abhörschnittstellen gab es schon vor 9-11, zunächst vor allem bei ausländischen Internet-Providern. Laut ehemaligen Offiziellen gibt es solche Vereinbarungen weiterhin unter anderem im Nahen Osten und in Europa. Seit 9-11 wurde das System auf amerikanische Provider ausgedehnt.

Als Technik kommt dabei mal wieder Deep Packet Inspection Hardware von Narus zum Einsatz, aber auch von Cisco, Juniper und anderen.

WSJ-Blarney-590

Die rechtliche Basis für diese Komplettüberwachung des Internet-Verkehrs sind mal wieder Anordnungen des Foreign Intelligence Surveillance Court, das geheime Gericht, dass aufgrund geheimer Gesetzes-Interpretationen geheime Entscheidungen trifft und dabei in 33 Jahren nur 11 von über 33.900 Überwachungs-Anordnungen abgelehnt hat.

Die wirklichen Entscheidungen, was überwacht wird, trifft die NSA selbst:

Die NSA hat Spielraum für die Einstellung der Filter, und das System setzt deutlich auf Selbstkontrolle. Das kann zu unzulässigen Datensammlungen führen, die jahrelang andauern.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 13 2013

Edward Snowden: “We hack network backbones”

Die “South China Morning Post” hat den amerikanischer Whistleblower Edward Snowden interviewen können. Auch wenn der daraus entstandene Artikel insgesamt wenig neue Inhalte zu PRISM liefert, gibt es doch einen Satz von Snowden der aufhorchen lässt:

“We hack network backbones – like huge internet routers, basically – that give us access to the communications of hundreds of thousands of computers without having to hack every single one,” he said.

Was Snowden hier beschreibt ist das Hacken von riesigen Knotenpunkten im Internet. Die Frage ist aber, wie die NSA Zugriff auf diese Knotenpunkte bekommt. Die eine Möglichkeit wäre, dass die NSA gezielt sogenannte Zero-Day-Exploits nutzt. Dabei werden bewusst neu entdeckte Schwachstellen eines Systems ausgenutzt. Die Entwickler der betroffenen Software werden meist nicht über solche Schwachstellen informiert um die Lücke im System länger nutzen zu können. Solche Schwachstellen sind leider bei Herstellern wie Cisco keine Seltenheit.

Es gibt aber auch noch eine zweite Möglichkeit, wie die NSA Zugriff auf die Knotenpunkte erlangt: durch gezielt eingebaute Hintertüren in den Backbones durch die Hersteller. Auch das ist keineswegs eine Seltenheit. In den USA scheint ein jeder solcher Knotenpunkte, egal ob für das Internet oder Handynetz, mit einer solchen Hintertür ausgestattet zu sein, damit amerikanische Strafverfolgungsbehörden jederzeit Zugriff auf die gesamte Kommunikation der Bürger haben. Cisco als amerikanisches Unternehmen ist auch in diesem Geschäft gut vertreten. Es ist also keineswegs auszuschließen, dass solche Hintertüren auch in weltweit vorhandenen Knotenpunkten des Internets vorhanden sind und so dem NSA Zugriff auf sämtliche Kommunikation im Internet verschafft.

Das Cisco es mit Menschenrechten manchmal nicht so ernst nimmt hat auch das Engagement in China gezeigt, wo Cisco maßgeblich mit an dem Aufbau der chinesischen Netzzensur gearbeitet hat.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl