Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

October 08 2013

Report: Was die US Regierung mit den Daten ihrer Bürger macht

BrennanReportDas Brennan Center for Justice der New York University School of Law hat heute einen sehr detaillierten Bericht veröffentlicht, in dem Rachel Levinson-Waldman sehr genau analysiert auf welche Arten die USA an die Daten von US Bürgern gelangt und wie diese dann abgespeichert und ausgewertet werden. Der Report fokussiert hierbei bewusst auf Daten von US Bürgern, die nicht unter Verdacht stehen. Levinson-Waldman kommt u.a. zur Erkenntnis, dass zum einen nicht unterschieden wird, ob es sich um Daten eines Verdächtigen handelt, oder nicht – beide werden durch die Behörden gleich behandelt. Außerdem werden Daten bis zu 75 Jahre gespeichert und ausgiebig zwischen den verschiedenen Behörden und privaten Unternehmen ausgetauscht. Konkret werden fünf Maßnahmen analysiert, die dazu führen, dass Daten von US Bürgern erfasst, abgespeichert und ausgewertet werden:

  1. Suspicious Activity Reports
  2. Assessments (FBI)
  3. National Security Letters (FBI)
  4. Electronic Searches at the border (DHS untersucht alle elektronischen Geräte)
  5. NSA (siehe Snowdens Veröffentlichungen)

brennanDer Bericht des Brennan Center for Justice schafft es sehr gut, die bisherigen Enthüllungen in einen Kontext zu setzen, die verschiedenen Institutionen und Programme zu verbinden und das (bisher bekannte) Ausmaß der Datenerfassung und -analyse aufzuzeigen. Außerdem gibt er einen Einblick in die Historie der US amerikanischen ‘Sammelwut’. Es ist sehr begrüßenswert, dass in den letzten Monaten immer mehr akademische Studien und Berichte zur Überwachung, ihrem Ausmaß und Auswirkungen auf die Gesellschaft veröffentlicht wurden. So endet Levinson-Waldman auch mit 5 Empfehlungen zur Reform bisheriger Gesetze in den USA.

  1. Die Gesetze über den Datenaustausch zwischen Behörden müssen transparent und einsehbar sein.
  2. Persönliche Daten sollten nur gespeichert und ausgetauscht werden, wenn ein tatsächlicher, begründeter Verdacht eines Verbrechens vorliegt.
  3. Überarbeitung des US Privacy Act von 1974 und Einrichtung unabhängiger Kontrollgremien.
  4. Das National Counterterrorism Center muss unter öffentlicher Aufsicht stehen.
  5. Alle Behörden die mit entsprechenden Daten umgehen müssen regelmäßigen und ernsthaften Kontrollen unterliegen.

Vor allem gegen die ständigen Vorwürfe, Snowdens Veröffentlichungen würden die einzelnen Maßnahmen und Programme aus dem Kontext reißen und der Debatte nicht weiterhelfen, ist dieser Bericht Gold wert. Sehr lesenswert.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bydarksideofthemoon darksideofthemoon

September 11 2013

Barrett Brown: womöglich 105 Jahre Gefängnis für das Teilen eines Links

Barrett Brown im Jahr 2007. Bild: Karen Lancaster

Barrett Brown im Jahr 2007. Bild: Karen Lancaster

Der amerikanische Journalist und Aktivist Barrett Brown sitzt seit über einem Jahr im Gefängnis. Er sieht sich mit Anklagen konfrontiert, welche ihn in Addition der einzelnen Strafmaße für 105 Jahre ins Gefängnis bringen würden. Sein Verbrechen: er veröffentlichte einen Link zu einer Reihe geheimer Daten, welche enge Beziehungen zwischen der amerikanischen Regierung und privaten Sicherheitsfirmen aufzeigten.

Die New York Times beschreibt Barrett Brown als einen Journalisten der die “Konflikte und Widersprüche des Journalismus in der digitalen Ära” aufzeigt. Brown schrieb unter anderem für Vanity Fair, die Huffington Post und den Guardian. Mindestens so sehr wie als Journalist sei Brown jedoch auch als Aktivist aktiv gewesen. Unter anderem war er in der Vergangenheit Sprecher von Anonymous. Seine Interesse war jedoch immer dasselbe, egal ob als Journalist oder Aktivist: die Verwicklungen amerikanischer Sicherheitsbehörden mit Unternehmen aus der Privatwirtschaft aufzeigen und anprangern.

Die Grenzen zwischen Journalismus und Aktivismus scheinen bei Barrett Brown fließend gewesen zu sein, wie die New York Times anmerkt:

He was known to call some of his subjects on the phone and harass them. He has been public about his struggles with heroin and tends to see conspiracies everywhere he turns. Oh, and he also threatened an F.B.I. agent and his family by name, on a video, and put it on YouTube, so there’s that.


Das Youtube-Video veröffentlichte Brown im Jahr 2012, nachdem das FBI seine Mutter wegen Behinderung der Justiz anzeigte. Sie hatte bei einer Durchsuchung ihres Hauses, indem Barrett Brown zu der damaligen Zeit mir ihr wohnte, versucht den Laptop ihres Sohnes zu verstecken. Brown war nach der Anzeige durch das FBI so aufgebracht, dass er das besagte Video aufnahm. Zitat aus dem Video:

I don’t say I’m going to kill him, but I am going to ruin his life and look into his (expletive) kids.

Auch wenn dieses Drohvideo nun gegen ihn verwendet wird, es ist nicht der Hauptgrund für die Anklage gegen ihn. Barrett Brown gründete ihm Jahr 2010 die Gruppe “Project PM”, die als “verteilter Think-Tank” für Online-Recherchen gedacht war. Wenn Anonymous und Co. neue Datenberge veröffentlichte, dann war es “Project PM” die sich daran machten die Daten zu analysieren.

So auch im Dezember 2011 als Anonymous rund 5 Millionen E-Mail von Stratfor Global Intelligence erbeutet hatte und diese an Wikileaks weitergab. Die E-Mails enthielten unter anderem auch Kreditkartendaten und Sicherheitscodes und zeigten die engen Verbindungen der US-Regierung zu der Privatfirma auf. Brown postete in einem Chatroom von “Project PM” einen Link zu den Daten, was ihm zum Verhängnis wurde.

The credit card data was of no interest or use to Mr. Brown, but it was of great interest to the government. In December 2012 he was charged with 12 counts related to identity theft. Over all he faces 17 charges — including three related to the purported threat of the F.B.I. officer and two obstruction of justice counts — that carry a possible sentence of 105 years, and he awaits trial in a jail in Mansfield, Tex.

In der Anklageschrift heißt es:

[Mr. Brown] provided access to data stolen from company Stratfor Global Intelligence to include in excess of 5,000 credit card account numbers, the card holders’ identification information, and the authentication features for the credit cards known as the Card Verification Values (CVV), and by transferring and posting the hyperlink, Brown caused the data to be made available to other persons online without the knowledge and authorization of Stratfor Global Intelligence and the card holders.

Festzuhalten bleibt aber, dass Barrett Brown nicht an der Beschaffung der Daten beteiligt war – wofür er auch nicht angeklagt wurde – sondern dass es den Anklägern einzig um die Veröffentlichung des Links ging. Die New York Times hebt jedoch hervor, dass es sich hierbei um normale journalistische Arbeit handelt, die zur Zeit auch intensiv mit den Snowden-Dokumenten betrieben wird.

Journalists from other news organizations link to stolen information frequently. Just last week, The New York Times, The Guardian and ProPublica collaborated on a significant article about the National Security Agency’s effort to defeat encryption technologies. The article was based on, and linked to, documents that were stolen by Edward J. Snowden [...].

Alexander Zaitchik hat Barrett Brown für einen ausführlichen Bericht des Rolling Stone im Gefängnis besucht. Zaitchik schreibt Brown so “schockierend entspannt” für jemanden der einer 105-jährigen Gefängsnisstrafe entgegenblickt. Brown sagte zu ihm:

I’m not worried or panicked. It’s not even clear to me that I’ve committed a crime.

Auch wenn Brown nicht an der Beschaffung der Daten beteiligt gewesen war, sind einige Parallenen zum Fall Aaron Swartz ersichtlich, der sich im Januar diesen Jahres das Leben nahm. Aaron Swartz wurde im Jahr 2011 festgenommen, nachdem er über das öffentliche Netzwerk der MIT rund 4 Millionen akademische Dokumente aus dem JSTOR-Archiv geladen hatte. Hintergrund waren jedoch keine finanziellen sondern Swartzes Einsatz für die Open-Access-Bewegung. Ihm wurde jedoch Überweisungsbetrug und Manipulation von Computern vorgeworfen. Zu diesem Zeitpunkt drohten im 35 Jahre Haft und eine Geldstrafe von 1 Millionen US-Dollar. Auch dieses Strafmaß wurde als viel zu hoch und unangemessen kritisiert.

Und auch bei Barrett Brown scheint die Anklage ganz auf Abschreckung zu setzen. Besonders auch im Vergleich zu den 10 Jahren Haftstrafe die Jeremy Hammond bevorstehen, der an dem tatsächlichen Einbruch in das Stratfor-Computersystem beteiligt war, wirft die maximale Strafhöhe von 105 Jahren Fragen auf. Besonders in Bezug auf den 1. Zusatzartikel zur Verfassung der Vereinigten Staaten der die Meinungs- und Pressefreiheit in den USA garantieren soll und eigentlich umfassender ist als in den meisten anderen Staaten.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 15 2013

US-Senat beginnt Untersuchung zu virtuellen Währungen

Das Thema “virtuelle Währungen” und Bitcoin scheint derzeit von besonderem Interesse zu sein. Erst Anfang der Woche hatte eine amerikanische Richterin Bitcoin den Status einer regulären Währung zugesprochen. Und heute berichtete heise von einem Entwurf zu einer EU-Richtlinie, welche das anonyme Bezahlen mit virtuellen Währungen verbieten würde. Und nun berichtet die Washingtoner Zeitung The Hill, dass sich auch der US-Senat mit dem Thema auseinandersetzt. Demnach wurde eine Untersuchung gestartet, mit dem Ziel die Gefahren von Bitcoin zu untersuchen und mögliche Regulierungsmaßnahmen zu ergreifen.

In einem Brief vom “Homeland Security and Government Affairs”, einem Komitee des US-Senats, an sieben staatliche Behörden, gibt der Vorsitzende des Komitees, Tom Carper, an, bereits erste “Expertengespräche” innerhalb der Regierung und in Unternehmen geführt zu haben. Ziel der Gespräche sei es gewesen, mögliche Risiken von Bitcoin und anderen virtuellen Währungen näher zu beleuchten. Durch die immer größere Verbreitung von virtuellen Währungen, sei ein Rahmen zur Regulierung nötig, wie er in dem Brief schreibt:

The expansive nature of this emerging technology demands a holistic and whole-government approach in order to understand and provide a sensible regulatory framework for their existence. As with all emerging technologies, the federal government must make sure that potential threats and risks are dealt with swiftly; [...].


Insbesondere sei eine Regulierung notwendig, da Bitcoin insbesondere durch seinen dezentralen Aufbau und die Möglichkeiten zur anonymen Geldüberweisung Kriminelle anlocken würden:

[...] their anonymous and decentralized nature has also attracted criminals who value few things more than being allowed to operate in the shadows.

Wie heise berichtet, macht sich scheinbar auch das US-Repräsentantenhaus Gedanken über die Nutzung von Bitcoin durch Kriminelle. Demnach wird das FBI in einem “umfassenden Gesetzespaket” aufgefordert einen Bericht über die Gefahren von Bitcoin zu erstellen.

Ob nach den Untersuchungen des “Homeland Security and Government Affairs”-Komitees weitere Schritte unternommen werden ist zur Zeit noch nicht absehbar. Dennoch sind die Bemühungen der Regierung, virtuelle Währungen zu kontrollieren, deutlich zu erkennen. Erst am Sonntag berichtete das Wall Street Journal, dass die US-Finanzaufsicht Einsicht in die Geschäftsbücher von 22 Unternehmen fordert, die Geschäfte mit Bitcoin abwickelt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 12 2013

Lavabit-Gründer: “Wenn ihr über E-Mails wüsstet was ich weiß, könntet ihr sie auch nicht mehr nutzen”

Letzte Woche gab Ladar Levison bekannt, seinen E-Maildienst Lavabit zu schließen. Nun hat er sich in einem Interview mit dem Forbes Magazine erstmals zu Wort gemeldet. Das Interview beleuchtet dabei die Hintergründe zur ehemaligen Gründung von Lavabit, Levisons Einstellungen zu Strafverfolgungsbehörden und Überwachung und warum er Lavabit nicht von einem anderen Land aus betreibt.

Levinson stellte dabei auch nochmal klar, dass der Schritt Lavabit zu schließen ausschließlich dem Schutze seiner Nutzer diente:

This is about protecting all of our users, not just one in particular. It’s not my place to decide whether an investigation is just, but the government has the legal authority to force you to do things you’re uncomfortable with.[ ...] The fact that I can’t talk about this is as big a problem as what they asked me to do.

Levison zog Parallelen zum Fall Aaron Swartz und sagte, dass auch er von Behörden eingeschüchtert wurde. Dabei ist Levison nach eigener Aussage nicht daran interessiert, die Arbeit der Strafverfolgungsbehörden zu erschweren.

He says he’s received “two dozen” requests over the last ten years, and in cases where he had information, he would turn over what he had. Sometimes he had nothing; messages deleted from his service are deleted permanently. “I’m not trying to protect people from law enforcement,” [...]. “If information is unencrypted and law enforcement has a court order, I hand it over.”


Das Problem in diesem Fall sei jedoch, dass jegliche Informationen und Auskünfte der Behörden geheim gehalten werden müssen. Da er sich daran nicht halten wollte, schloss er Lavabit.

Zur Zeit fokussiert sich Levinson darauf, das Recht auf eine Veröffentlichung der Geheimdienstanfrage zu erwirken. Sein ins Leben gerufener “Lavabit’s legal defense fund” hat bis zum Samstagmorgen rund 90.000 US-Dollar eingenommen. Ob er Lavabit in dieser oder ähnlicher Form wiederbeleben werde, koppelt er an die Bedingung, dass die Geheimdienste und Strafverfolgungsbehörden ihre Methoden grundlegend ändern.

It needs to be clear that the government can’t do what they’re trying to do. Otherwise the same request is going to come right back at us. Other big names aren’t able to shut down in protest. I’m one person without a bunch of employees to support. If we win, we win for everyone.

Einen Umzug von Lavabit ins Ausland, um sich dem Einfluss amerikanischer Behörden zu entziehen, schloss Levinson aus, da er die USA nicht verlassen wolle und der logistische Aufwand so nicht zu bewältigen sei.

“Even if I found somewhere secure overseas, it would be hard logistically. My life is here in the States. It would be hard for me to move to another city let alone another country.”

Zur Zeit nehme Levinson aber sowieso eine “Auszeit” von E-Mails, auch wegen des Wissens, welche er über die Methoden der Behörden erlangt hat. Er gab an, dass alle die die selben Informationen hätten wie er, sicherlich ebenfalls von der Nutzung von E-Mails absehen würden.

“I’m taking a break from email. If you knew what I know about email, you might not use it either.”

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 07 2013

FBI “hilft” US Internet Providern gerne bei der Datenüberwachung mit “Port Reader”

fbicrest_610x392

Quelle: Getty Images

Wie CNET berichtete, hat die US Amerikanische Bundespolizei – das Federal Bureau of Investigation (FBI) – dank der sogenannten “pen register and trap and trace order” (PRTT) die Möglichkeit jegliche Meta-Daten direkt beim Internet Service Provider abzufangen. Per Verordnung kann das FBI den ISP schon bei dem kleinsten Verdacht oder Hinweis beauftragen diese Daten eines Kunden abzuspeichern. Falls die Infrastruktur des ISPs dies nicht erlaubt, will das FBI eigene Blackboxes und “Port Reader Software” installieren. Hier wehren sich – zum Glück – einige Provider und wollen weder Software noch Blackboxes in ihre Systeme integrieren.

Hier gibt es zwei grundsätzliche Probleme: Zum einen verlangt die “pen register and trap and trace order” (PRTT) nur minimale richterliche Schranken. So “winkt” der Richter diese Anträge einfach durch, da lediglich überprüft wird, ob alle Formalien erfüllt sind und nicht, ob genügend Verdacht besteht. So wurden laut CNET 2010 rund 900 dieser Anträge ausgestellt – 2011 waren es schon über 1600.

Judges have concluded in the past that they have virtually no ability to deny pen register and trap and trace requests. “The court under the Act seemingly provides nothing more than a rubber stamp,” wrote a federal magistrate judge in Florida, referring to the pen register law. A federal appeals court has ruled that the “judicial role in approving use of trap and trace devices is ministerial in nature.”

Außerdem schreibt die Electronic Frontier Foundation in ihrem “Surveillance Self-Defense” Projekt zu den PRTTs, dass es nichtmals Fakten oder Indizien geben muss, sondern das FBI dem Gericht nur beteuern muss, dass sie glauben, die Daten würden den laufenden Ermittlungen behilflich sein.

The police don’t even have to state any facts as part of the Electronic Communications Privacy Act of 1986 — they just need to certify to the court that they think the dialing information would be relevant to their investigation. If they do so, the judge must issue the pen/trap order.

Zum anderen ist unklar, was für das FBI alles unter Meta-Daten fällt. Niemand, außer des FBIs, hat Einsicht in die “Port Reader Software” oder die Blackboxes. So weiß man nur, dass in einem Gerichtsurteil von 2006 (Washington D.C.) beschlossen wurde, dass alles einer E-Mail analysiert werden darf – außer Betreff und Inhalt. Das Gesetz ist hier recht weit auslegbar, da es nur von “dialing, routing, addressing, signaling information” spricht.

The term “pen register” means a device or process which records or decodes dialing, routing, addressing, or signaling information transmitted by an instrument or facility from which a wire or electronic communication is transmitted (18 USC § 3127)

CNET liegen allerdings Informationen vor, dass das FBI zumindest auch Paketgröße, Portname und IPv6 Flussdaten analysiert. Wie so oft bei staatlicher Überwachung ist man auf Insider-Informationen angewiesen, um zumindest Hinweise auf die eigentlichen Wirkungsweisen und Tragweite zu erhalten. So kritisiert auch Alan Butler des Electronic Privacy Information Center, dass es keine offiziellen Aussagen über die genaue Funktionsweise dieses “Harvesting Programs” gibt:

Can you get things like packet size or other information that falls somewhere in the grey area between traditional pen register and content? How does the judge know the box is actually doing? How does the service provider know? How does anyone except the technician know what’s going on?

So ist sich Hanni Fakhoury sicher, dass das FBI die Grenzen des gesetzlich erlaubten ausreize und vielleicht sogar überschreite, falls die Blackboxes auch Informationen speichern und nicht nur weiterleiten.

The bigger fear is that the boxes are secretly storing something, or that they’re doing more than just simply allowing traffic to sift through and pulling out the routing information. For the Feds to try to push the envelope is to be expected. But that doesn’t change the fact that we have laws in place to govern this behavior for a good reason.

Als Randnotiz: Selbst in Twitters Transparency-Report tauchen PRTTs auf. So basierten etwa 5% der richterlichen Verfügungen, die Twitter im ersten Halbjahr 2013 erhielt auf PRTTs.

Nach Veröffentlichung des Artikels bei CNET hat das FBI Declan McCullagh kontaktiert, allerdings lediglich mit einer Null-Aussage:

Pen Register and Trap and Trace orders grant law enforcement the authority to collect dialing, routing, addressing, or signaling information associated with a target’s communications. This information includes source and destination IP addresses and port numbers. In circumstances where a provider is unable to comply with a court order utilizing its own technical solution(s), law enforcement may offer to provide technical assistance to meet the obligation of the court order.

Letztlich ist es sehr bedenklich, dass das FBI verstärkt diese Möglichkeit zur Überwachung und Analyse von Meta-Daten benutzt. Aus Sicht des FBI ist es sehr verständlich, da sie im Gegensatz zu Abhöranträgen (wiretaps) weder verdacht begründen, noch Beweise liefern müssen. Das Gesetz hinkt hier der Realität stark nach – wie viele der amerikanischen Experten anmerkten – es auf der Überlegung beruht, dass Meta-Daten wesentlich weniger über einen Benutzer aussagen. Diese Annahme ist jedoch heutzutage nur noch bedingt richtig, dann Meta-Daten geben heutzutage dank Netzwerk-Analyse und Visualisierung von z.B. Bewegungsgraphen sehr viele Möglichkeiten für Rückschlüsse. So hat Matthew Cole, Journalist bei NBC News, erst letzte Woche auf der Black Hat gezeigt, dass nur anhand von Meta-Daten eine geheime und illegale CIA-Operation in Italien aufgedeckt wurde.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 05 2013

Tor Browser Bundle: Sicherheitslücke in Firefox 17 gefährdet Anonymität im Tor-Netzwerk

Tor-logo-2011-flatAm Wochenende machte die Nachricht die Runde, dass Eric Eoin Marques, einer “der größten Vermittler von Kinderpornografie auf dem Planeten” vom FBI verhaftet wurde. Marques ist Gründungsmitglied des Internet-Hosters Tor Freedom Hosting, der Webspace anbietet, welcher sich für “Hidden Services” im Tor-Netzwerk nutzen lässt. Marques wird nun vorgeworfen, die Verbreitung von Kinderpornographie über diese “Hidden Services” wissentlich begünstigt zu haben, da er sie verschlüssele und verschleiere. Seit Sonntag mehren sich nun die Indizien, dass das FBI nach der Verhaftung von Marques die Server von Freedom Hosting kompromittierte um eine aktive Sicherheitslücke im Tor Browser Bundle aus zu nutzten. Durch das Ausnutzen dieser Sicherheitslücke in Firefox 17, welches im aktuellen Tor Browser Bundle eingesetzte wird, ist es scheinbar möglich, die echte Internetverbindung eines Nutzers und somit auch den Nutzer an sich zu identifizieren.

“phobos” vom Tor Project schreibt dazu im Tor Blog:

The current news indicates that someone has exploited the software behind Freedom Hosting. From what is known so far, the breach was used to configure the server in a way that it injects some sort of javascript exploit in the web pages delivered to users. This exploit is used to load a malware payload to infect user’s computers. The malware payload could be trying to exploit potential bugs in Firefox 17 ESR, on which our Tor Browser is based.


Nach ersten Erkenntnissen wurde Schadcode auf die Server von Freedom Hosting eingeschleust, welcher beim Aufruf der Server im Browser ausgeführt wurde. Ofir David, Nachrichtenchef der israelischen Internetsicherheitsfirma Cyberhat, sagte gegenüber Brian Krebs, dass die Schadsoftware überprüfe welchen Browser ein Nutzer einsetze. Sollte es sich im Firefox 17 handeln, würde der Nutzer heimlich weitergeleitet und eine sogenannte UUID würde erzeugt.

Ironically, all [the malicious code] does is perform a GET request to a new domain, which is hosted outside of the Tor network, while transferring the same UUID,” David said. “That way, whoever is running this exploit can match any Tor user to his true Internet address, and therefore track down the Tor user.

Der Sicherheitsforscher Vlad Tsrklevich hat mittlerweile mit Hilfe von Reverse-Engeneering Teile des Schadcodes konstruiert.

Er kommt zu den gleichen Ergebnissen wie Ofir David und schlussfolgert:

Because this payload does not download or execute any secondary backdoor or commands it’s very likely that this is being operated by an LEA [law enforcement agency] and not by blackhats.

Wie Dan Veditz gegenüber Brian Krebs angab, sind zur Zeit zwar alle Firefox Versionen unterhalb der Version 21 von der Sicherheitslücke betroffen. Der Schadcode auf den Servern von Freedom Hosting ziele jedoch explizit auf Version 17, wie sie im Tor Browser Bundle verwendet wird, ab:

“The vulnerability being exploited by this attack was fixed in Firefox 22 and Firefox ESR 17.0.7. The vulnerability used is MFSA 2013-53

People who are on the latest supported versions of Firefox are not at risk.

Although the vulnerability affects users of Firefox 21 and below the exploit targets only ESR-17 users. Since this attack was found on Tor hidden services presumably that is because the Tor Browser Bundle (TBB) is based on Firefox ESR-17. Users running the most recent TBB have all the fixes that were applied to Firefox ESR 17.0.7 and were also not at risk from this attack.”

Mittlerweile hat Mozilla einen Bugreport geöffnet um den Schadcode zu analysieren und die Sicherheitslücke in Firefox 17 zu schließen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 26 2013

NSA und Co. fordern anscheinend auch die Herausgabe von Passwörter von Unternehmen

Nachdem wir vorgestern berichtet haben, dass amerikanische Polizei- und Verfassungsschutzbehörden die Herausgabe von SSL-Master-Keys von Unternehmen verlangen, kann die neuste Nachricht kaum mehr überraschen. Die amerikanischen Behörden verlangen nämlich scheinbar auch Nutzerpasswörter, teilweise sogar samt Verschlüsselungsalgorithmus und Salt. Das berichtet CNET mit Bezug auf zwei anonyme Quellen aus der Industrie.

“I’ve certainly seen them ask for passwords,” said one Internet industry source who spoke on condition of anonymity. “We push back.” A second person who has worked at a large Silicon Valley company confirmed that it received legal requests from the federal government for stored passwords. Companies “really heavily scrutinize” these requests, the person said. “There’s a lot of ‘over my dead body.’”

Microsoft, Google und Yahoo wollten sich nicht dazu äußern ob sie solche Anfragen von amerikanischen Behörden tatsächlich erhalten hätten, sagten aber entschieden, niemals die Passwörter seiner Nutzer preis zu geben. Yahoo:

If we receive a request from law enforcement for a user’s password, we deny such requests on the grounds that they would allow overly broad access to our users’ private information. If we are required to provide information, we do so only in the strictest interpretation of what is required by law.


Weitere Unternehmen, darunter Facebook, Apple und Verizon, wollten überhaupt keine Stellungnahme abgeben. Ebenso wollte das FBI keine Stellungnahme abgegen.

Ähnlich wie bereits bei der Herausgabe der SSL-Master-Keys haben es die US-Behörden hier aber sicherlich auf kleinere Unternehmen abgesehen, welche nur wenige Möglichkeiten haben sich gegen die Behörden zu wehren. Und da Nutzer oftmals nur ein Passwort für eine Reihe verschiedener Dienste verwenden, besteht die Möglichkeit, dass es den Behörden reicht ein Passwort zu erhalten und damit Zugriff auf ein Vielzahl von Diensten erhält.

Eine Frage, die zum jetzigen Zeitpunkt ungeklärt scheint, ist die Frage der Rechtmäßigkeit einer solchen Anfrage auf Herausgabe des Nutzerpassworts:

“This is one of those unanswered legal questions: Is there any circumstance under which they could get password information?” said Jennifer Granick, director of civil liberties at Stanford University’s Center for Internet and Society. “I don’t know.” Granick said she’s not aware of any precedent for an Internet company “to provide passwords, encrypted or otherwise, or password algorithms to the government — for the government to crack passwords and use them unsupervised.” If the password will be used to log in to the account, she said, that’s “prospective surveillance,” which would require a wiretap order or Foreign Intelligence Surveillance Act order.

Dass die Behörden aber auch noch andere Wege haben, an die Passwörter und damit an die Daten der Nutzer zu gelangen, schildert ein Anwalt eines amerikanischen Internetkonzerns:

An attorney who represents Internet companies said he has not fielded government password requests, but “we’ve certainly had reset requests — if you have the device in your possession, than a password reset is the easier way.”

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 24 2013

US-Strafverfolgungsbehörden fordern Master-Keys für SSL von Unternehmen

SSL ist eine beliebte Verschlüsselungstechnik im Internet, wenn es darum geht verschlüsselte Verbindungen aufzubauen. Einsatz findet SSL deshalb zum Beispiel im Online-Banking aber auch beim Versand von E-Mails. Bisher galt die Verschlüsselung mittels SSL als sicher. Möglichweise ist damit ab sofort Schluss. Wie CNET berichtet, setzen amerikanische Strafverfolgungsbehörden wie die NSA, CIA oder das FBI Unternehmen unter Druck, ihnen die Master-Keys für die SSL-Verschlüsselungen ihrer Verbindungen auszuhändigen. Mit diesem Master-Keys hätten die Behörden die Möglichkeit den kompletten Datenverkehr zu entsprechenden Diensten und Webseiten der Unternehmen zu entschlüsseln.

Solch ein Master-Key kann mit einem Generalschlüssel verglichen werden. Jeder Anbieter eines Dienstes im Internet besitzt solch einen Schlüssel, mit dem jegliche Kommunikation zu seinen Diensten gesichert wird. Gerät dieser Schlüssel in falsche Hände, ist demnach die gesamte Kommunikation gefährdet. Die großen Internetkonzerne hätten die Herausgabe ihrer Schlüssel bisher mit der Begründung fehlender rechtlicher Grundlagen verweigert, doch eine Person die angeblich von der Regierung nach einem SSL Master-Key gefragt wurde, sagt gegenüber CNET, dass es die Regierung auf kleinere Unternehmen abgesehen hätte, die nicht die Kraft hätten sich zu wehren:

“The government is definitely demanding SSL keys from providers” [...]. The person said that large Internet companies have resisted the requests on the grounds that they go beyond what the law permits, but voiced concern that smaller companies without well-staffed legal departments might be less willing to put up a fight. “I believe the government is beating up on the little guys,” the person said. “The government’s view is that anything we can think of, we can compel you to do.”


Ein ehemaliger Mitarbeiter des amerikanischen Justizministeriums sagte, dass dieser Schritt notwendig sei, da immer mehr Kommunikation im Internet über verschlüsselte Verbindungen ablaufe:

“The requests are coming because the Internet is very rapidly changing to an encrypted model,” a former Justice Department official said. “SSL has really impacted the capability of U.S. law enforcement. They’re now going to the ultimate application layer provider.”

Ein Mitarbeiter des FBI wollte sich zu diesen Vorwürfen nicht äußern, da das FBI keine genauen “Strategien, Techniken und Anwendungen seiner Arbeit” nennen könne.

Die großen amerikanischen Internetkonzerne Google und Microsoft sagten auf Anfrage von CNET, dass sie keine Master-Keys an Strafverfolgungsbehörden weitergereicht hätten. Sie wollten jedoch nicht beantworten, ob es jemals Anfragen von Seiten der Behörden gab. Anderer Unternehmen, darunter Facebook, Apple, Yahoo, AOL, Verizon und AT&T wollten sich überhaupt nicht äußern. Ob bisher andere Unternehmen tatsächlich ihre Master-Keys für die SSL-Verschlüsselung an Strafverfolgungsbehörden ausgehändigt haben kann nicht mit Sicherheit gesagt werden. Doch alleine, die Anfrage amerikanischer Unternehmen lässt nichts Gutes vermuten.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 23 2013

Contract with FBI and Department of Justice: How Telekom and T-Mobile USA Commit to Electronic Surveillance

German telecommunications company Deutsche Telekom and its subsidiary company T-Mobile USA committed themselves to make communication data and contents available to American authorities. This agreement is part of a contract with the FBI and Department of Justice from 2001, which we hereby publish. Telekom comments that it of course cooperates with security services – also in other countries.

This is an English translation of the original German post.

Two weeks ago Deutsche Telekom CEO René Obermann was totally surprised by the mass-surveillance of western intelligence agencies. Yesterday, David Scharven reported on WAZ.de about an “surveillance contract of Deutsche Telekom with US authorities”.

We are hereby publishing this contract exclusively: PDF, Text (bad OCR, sorry.)

Commitment to Electronic Communications Surveillance

Logo während des Übergangs von VoiceStream zu T-Mobile USA.

Logo during the transition of VoiceStream to T-Mobile USA.

The contract is between Deutsche Telekom AG and VoiceStream Wireless (which became T-Mobile USA in 2002) on one side and the Federal Bureau of Investigation and the US Department of Justice on the other. The 27 page document was signed in December 2000 and January 2001 – before 9/11.

After recitals and definitions, Article 2 of the contract describes “Facilities, Information Storage and Access”. T-Mobile USA commits to operate its infrastructure for “all Domestic Communications” “in the United States”. The communication has to flow through a facility in the US “from which Electronic Surveillance can be conducted”. Deutsche Telekom further commits to “provide technical or other assistance to facilitate such Electronic Surveillance”.

Access to this data is granted on the basis of “Lawful U.S. Process”, “orders of the President in exercise of bis/her authority under § 706 of the Communications Act of 1934″ or “National Security and Emergency Preparedness rules”.

Any Wire Communications or Electronic Communications

The types of data to be stored are “stored Domestic Communications”, “any Wire Communications or Electronic Communications”, “Transactional Data and Call Associated Data”, “Subscriber Information” and “billing records”. These data must be “stored in a manner not subject to mandatory destruction under any foreign laws”. Billing records shall be stored “for at least two years”. Other legal obligations for data retention remain unaffected by this contract.

We include the full article 2 at the bottom of this post. Further articles commit Deutsche Telekom/T-Mobile USA to security instructions. They shall not disclose this data to foreign parties, especially foreign governments. Every three months Deutsche Telekom “shall notify DOJ in writing of legal process or requests by foreign non governmental entities”. Furthermore FBI and DOJ insist on 24/7 “designate points of contact” “to conduct Electronic Surveillance”.

On FBI or DOJ demand, Deutsche Telekom “shall provide access to Information concerning technical, physical, management, or other security measures and other reasonably available information”. The institutions can, “upon a reasonable notice and during reasonable hours”, visit and inspect any part of Deutsche Telekoms “Domestic Communications infrastructure and security offices”. Further Deutsche Telekom is committed to “submit to the FBI and the DOJ a report assessing DT compliance with the terms of this Agreement” every year.

United States would suffer irreparable injury

Hans-Willi Hefekäuser. Quelle: neue musikzeitung.

Hans-Willi Hefekäuser.

Last but not least “Deutsche Telekom AG agrees that the United States would suffer irreparable injury if for any reason DT failed to perform any of its significant obligations under this Agreement”.

The contract was signed in December 2000 and January 2001 by Hans-Willi Hefekäuser (Deutsche Telekom AG), John W. Stanton (VoiceStream Wireless), Larry R. Parkinson (FBI) and Eric Holder (DOJ).

Questions to Deutsche Telekom

This revelation raises multiple questions, which we have asked Deutsche Telekom:

  • Is this contract still in force? Was the contract changed since 2001?
  • How much data was transferred to US authorities by this or other contracts?
  • Did CEO René Obermann know about this contract, when he said two weaks ago: “We are not cooperating with foreign intelligence services”?

Which other countries with such contracts?

A spokesman from Deutsche Telekom confirmed to WAZ:

A spokesman of Deutsche Telekom explained, such surveillance contracts with foreign intelligence services are also in place “in other countries”. Telekom could not say in which countries surveillance duties are regulated by such contracts. It will be checked, they said.

Deutsche Telekom AG weltweit. Bild: Peeperman. Lizenz: Creative Commons BY-SA 3.0

Deutsche Telekom AG worldwide. Picture: Peeperman. License: CC BY-SA 3.0.

Deutsche Telekom AG is active in dozens of countries, including China and Russia. Did Telekom sign surveillance contracts in these states as well?

A spokesman of Deutsche Telekom commented to netzpolitik.org:

This contract essentially says that the American subsidiary of Deutsche Telekom AG abides American law.

Of course Deutsche Telekom cooperates with intelligence services, when obliged by law to do so.

Frank Rieger, a spokesperson of Chaos Computer Club told netzpolitik.org:

Deutsche Telekom, as well as any other telecommunications companies, must reveal all secret agreements with domestic and foreign intelligence services. These providers have to decide where to put their loyalty: their customers or the intelligence services.


Here is the full paragraph 2 of the contract:

ARTICLE 2: FACILITIES, INFORMATION STORAGE AND ACCESS

2.1 Except (to the extend and under conditions concurred in by the FBI and the DOJ in writing:

(a) all Domestic Communications Infrastructure that is owned, operated, or controlled by VoiceStream shall at all times be located in the United States and will be directed, controlled, supervised and managed by VoiceStream; and

(b) all Domestic Communications Infrastructure not covered by Section 2.1(a) shall at all times be located in the United States and shall be directed, controlled, supervised and managed by a U.S. Subsidiary, except strictly for bona fide commercial reasons;

(c) all Domestic Communications that are carried by or through, in whole or in part, the Domestic Communications Infrastructure shall pass through a facility under the control of a US, Subsidiary and physically located in the United States, from which Electronic Surveillance can be conducted pursuant to Lawful U.S. Process. DT will provide technical or other assistance 1o facilitate such Electronic Surveillance.

2.2 DT shall take all practicable steps to configure its Domestic Communications Infrastructure to be capable of complying, and DT’s employees in the United States will have unconstrained authority to comply, in an effective, efficient, and unimpeded fashion, with:

(a) Lawful U.S. Process,

(b) the orders of the President in exercise of bis/her authority under § 706 of the Communications Act of 1934, as amended, (47 U.S.C. § 606), and under § 302(e) of the Aviation Act of 1958 (49 U.S.C. § 40107(b)) and Executive Order 11161 (as amended by Executive Order 11382), and

(c) National Security and Emergency Preparedness rules, regulations and orders issued pursuant to the Communications Act of 1934, as amended (47 U.S.C. § 151 et seq.)

2.3 U.S. Subsidiaries shall make available in the United States the following:

(a) stored Domestic Communications, if such communications are stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason;

(b) any Wire Communications or Electronic Communications (including any other type of wire, voice er electronic Communication not covered by the definitions of Wire Communication or Electronic Communication) received by, intended to be received by, or stored in the account of a customer or subscriber of a U.S. Subsidiary, if such communications are stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason;

(c) Transactional Data and Call Associated Data relating to Domestic Communications, if such data are stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason;

(d) Subscriber Information concerning customers or subscribers of a U.S. Subsidiary, if such information are stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason; and

(e) billing records relating to customers and subscribers of a U.S. Subsidiary for so long as such records are kept and at a minimum for as long as such records and required to be kept pursuant to applicable U.S. law or this Agreement.

2.4 U.S. Subsidiaries shall ensure that the data and communications described in Section 2.3(a) – (e) of this Agreement are stored in a manner not subject to mandatory destruction under any foreign laws, if such data and communications an: stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason. U.S. Subsidiaries shall ensure that the data and communications described in Section 2.3(a) – (e) of this Agreement shall not be stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contacted with or made other arrangements for data or communications processing or storage) outside of the United Stales unless such storage is strictly for bona fide commercial reasons weighing in favor of storage outside the United Stales.

2.5 DT shall store for at least two years all billing records maintained by U.S. Subsidiaries for their customers and subscribers.

2.6 Upon a request made pursuant to 18 U.S.C. § 2703(f) by a governmental entity within the United States to preserve any information in the possession, custody, or control of DT (hat relates to (a) a customer or subscriber of a U.S. Subsidiary, or (b) any communication of such customer or subscriber described in (a) above, or (c) any Domestic Communication, DT shall store such preserved records or other evidence in the United States.

2.7 Nothing in this Agreement shall excuse DT from any obligation it may have to comply with U.S. legal requirements for the retention, preservation, or production of such information or data.

2.8 Except strictly for bona fide commercial reasons, DT shall not route a Domestic Communication outside the United States.

2.9 DT shall comply, with respect to Domestic Communications, with all applicable FCC rules and regulations governing access to and storage of Customer Proprietary Network Information (“CPNI”), as defined in 47 U.S.C. § 222(f)(1).

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Abhör-Vertrag mit FBI und Justizministerium: Telekom und T-Mobile USA verpflichten sich zur Überwachung (Update)

Die Deutsche Telekom und ihre Tochterfirma T-Mobile USA verpflichten sich, Kommunikationsdaten und Inhalte den amerikanischen Behörden zur Verfügung zu stellen. Das geht aus einem Vertrag aus dem Januar 2001 hervor, den wir an dieser Stelle exklusiv veröffentlichen. Die Telekom kommentiert, dass man selbstverständlich mit Sicherheitsbehörden zusammenarbeitet, auch in anderen Staaten.

Vor zwei Wochen war Telekom-Chef René Obermann noch total überrascht von der Netzüberwachung westlicher Geheimdienste. Gestern berichtete David Schraven auf WAZ.de über einen “Abhör-Vertrag der Telekom mit US-Behörden”.

Wir veröffentlichen diesen Vertrag an dieser Stelle exklusiv: PDF, Text (schlechtes OCR).

Verpflichtung zur elektronischen Überwachung

Logo während des Übergangs von VoiceStream zu T-Mobile USA.

Logo während des Übergangs von VoiceStream zu T-Mobile USA.

Geschlossen wurde der Vertrag zwischen der Deutschen Telekom AG und der Firma VoiceStream Wireless (seit 2002 T-Mobile USA) auf der einen Seite und dem Federal Bureau of Investigation und dem Justizministerium der Vereinigten Staaten auf der anderen Seite. Das 27-seitige Dokument wurde im Dezember 2000 und Januar 2001 unterschrieben, also noch vor 9-11.

Nach Erwägungsgründen und Definitionen beschreiben die Vertragspartner in Artikel zwei “Einrichtungen, Informationsspeicherung und Zugriff”. T-Mobile USA wird darin verpflichtet, alle Infrastruktur für inländische Kommunikation in den USA zu betreiben. Die Kommunikation darüber muss durch eine Einrichtung in den USA fließen, in der “elektronische Überwachung durchgeführt werden kann”. Die Telekom verpflichtet sich, “technische oder sonstige Hilfe zu liefern, um die elektronische Überwachung zu erleichtern.”

Der Zugriff auf die Daten kann auf der Basis rechtmäßiger Verfahren (“lawful process”), Anordnungen des US-Präsidenten nach dem Communications Act of 1934 oder den daraus abgeleiteten Regeln für Katastrophenschutz und die nationale Sicherheit erfolgen.

Jede drahtgebundene oder elektronische Kommunikation

Die vorgeschriebenen Datentypen sind “gespeicherte Kommunikation”, “jede drahtgebundene oder elektronische Kommunikation”, “Transaktions- und Verbindungs-relevante Daten”, “Bestandsdaten” und “Rechnungsdaten”. Diese Daten dürfen nicht gelöscht werden, selbst wenn ausländische Gesetze das vorschreiben sollten. Rechnungsdaten sollen mindestens zwei Jahre gespeichert werden. Andere gesetzliche Bestimmungen zur Speicherung von Daten bleiben davon unberührt.

Den Volltext dieses Artikels haben wir unten an den Artikel angehangen. In weiteren Punkten werden Telekom/T-Mobile USA zu Sicherheits-Anforderungen verpflichtet. Die Datenberge sollen vor fremden Zugriff geschützt werden, vor allem von fremden Staaten. Mindestens alle drei Monate muss die Telekom dem Justizministerium schriftlich mitteilen, welche ausländischen Institutionen Zugriff auf die Daten verlangt haben. FBI und Justizministerium wollen dazu rund im die Uhr Ansprechpartner zur Überwachung vom Telekommunikationskonzern.

Wenn FBI oder Justizministerium es verlangen, soll die Telekom “Zugang zu Informationen über technische, physikalische, Management, oder andere andere Sicherheitsmaßnahmen und andere nach vernünftigem Ermessen verfügbare Informationen übermitteln”. Die Institutionen dürfen “nach angemessener Vorankündigung” “jeden Teil der Kommunikationsinfrastruktur und Sicherheits-Einrichtungen” besuchen und überprüfen und Angestellte befragen. Zudem liefert die Telekom jährlich einen Bericht, in dem sie darlegt, wie sie die Einhaltung dieses Vertrages garantiert.

Versäumnis wäre nicht wieder gutzumachender Schaden

Hans-Willi Hefekäuser. Quelle: neue musikzeitung.

Hans-Willi Hefekäuser.

Schließlich stimmt die Deutsche Telekom AG noch zu, “dass die Vereinigten Staaten einen nicht wieder gutzumachenden Schaden erleiden, wenn die Telekom aus irgendeinem Grund versäumt, ihre Verpflichtungen aus diesem Abkommen durchzuführen.”

Unterschrieben wurde der Vertrag im Dezember 2000 und Januar 2001 von Hans-Willi Hefekäuser (Deutsche Telekom AG), John W. Stanton (VoiceStream Wireless), Larry R. Parkinson (FBI) und Eric Holder (Justizministerium).

Fragen an die Telekom

Das wirft gleich mehrere Fragen auf, die wir auch der Telekom gestellt haben.

  • Ist dieser Vertrag noch in Kraft? Wurde er seitdem geändert?
  • Wie viele Daten werden welchen US-Behörden im Rahmen dieser und anderer Verträge übermittelt?
  • Wusste Obermann davon, als er vor zwei Wochen sagte, “Wir kooperieren nicht mit ausländischen Geheimdiensten”?

In welchen anderen Staaten gelten solche Verträge?

Zudem bestätigte ein Telekom-Sprecher gegenüber der WAZ:

Ein Sprecher der Telekom erklärte, entsprechende Abhörvereinbarungen mit ausländischen Sicherheitsdiensten gebe es auch „für andere Länder“. In welchen Ländern Abhörmaßnahmen vertraglich geregelt sind, konnte die Telekom noch nicht sagen. Dies werde geprüft, hieß es.

Deutsche Telekom AG weltweit. Bild: Peeperman. Lizenz: Creative Commons BY-SA 3.0

Deutsche Telekom AG weltweit. Bild: Peeperman. Lizenz: CC BY-SA 3.0.

Die Deutsche Telekom AG ist in dutzenden Staaten aktiv, darunter auch China und Russland. Hat die Telekom auch in diesen Staaten entsprechende Abhör-Verträge unterzeichnet?

Gegenüber netzpolitik.org kommentierte ein Sprecher der Telekom:

Dieser Vertrag besagt, dass sich die amerikanische Tochter der Deutschen Telekom AG an amerikanisches Recht hält.

Natürlich gibt es eine Zusammenarbeit mit Sicherheitsbehörden, wenn wir gesetzlich dazu verpflichtet sind.

Frank Rieger, Sprecher des Chaos Computer Club kommentiert gegenüber netzpolitik.org:

Die Telekom wie auch alle anderen Telekommunikationsunternehmen muss alle Geheimabkommen mit In- und Ausländischen Behörden und Geheimdiensten komplett offenlegen. Die Anbieter müssen sich entscheiden, wem ihre Loyalität gehört: ihren Kunden oder dem Gekungel mit den Geheimdiensten.


Hier noch der Volltext von Artikel 2:

ARTICLE 2: FACILITIES, INFORMATION STORAGE AND ACCESS

2.1 Except (to the extend and under conditions concurred in by the FBI and the DOJ in writing:

(a) all Domestic Communications Infrastructure that is owned, operated, or controlled by VoiceStream shall at all times be located in the United States and will be directed, controlled, supervised and managed by VoiceStream; and

(b) all Domestic Communications Infrastructure not covered by Section 2.1(a) shall at all times be located in the United States and shall be directed, controlled, supervised and managed by a U.S. Subsidiary, except strictly for bona fide commercial reasons;

(c) all Domestic Communications that are carried by or through, in whole or in part, the Domestic Communications Infrastructure shall pass through a facility under the control of a US, Subsidiary and physically located in the United States, from which Electronic Surveillance can be conducted pursuant to Lawful U.S. Process. DT will provide technical or other assistance 1o facilitate such Electronic Surveillance.

2.2 DT shall take all practicable steps to configure its Domestic Communications Infrastructure to be capable of complying, and DT’s employees in the United States will have unconstrained authority to comply, in an effective, efficient, and unimpeded fashion, with:

(a) Lawful U.S. Process,

(b) the orders of the President in exercise of bis/her authority under § 706 of the Communications Act of 1934, as amended, (47 U.S.C. § 606), and under § 302(e) of the Aviation Act of 1958 (49 U.S.C. § 40107(b)) and Executive Order 11161 (as amended by Executive Order 11382), and

(c) National Security and Emergency Preparedness rules, regulations and orders issued pursuant to the Communications Act of 1934, as amended (47 U.S.C. § 151 et seq.)

2.3 U.S. Subsidiaries shall make available in the United States the following:

(a) stored Domestic Communications, if such communications are stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason;

(b) any Wire Communications or Electronic Communications (including any other type of wire, voice er electronic Communication not covered by the definitions of Wire Communication or Electronic Communication) received by, intended to be received by, or stored in the account of a customer or subscriber of a U.S. Subsidiary, if such communications are stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason;

(c) Transactional Data and Call Associated Data relating to Domestic Communications, if such data are stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason;

(d) Subscriber Information concerning customers or subscribers of a U.S. Subsidiary, if such information are stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason; and

(e) billing records relating to customers and subscribers of a U.S. Subsidiary for so long as such records are kept and at a minimum for as long as such records and required to be kept pursuant to applicable U.S. law or this Agreement.

2.4 U.S. Subsidiaries shall ensure that the data and communications described in Section 2.3(a) – (e) of this Agreement are stored in a manner not subject to mandatory destruction under any foreign laws, if such data and communications an: stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contracted or made other arrangements for data or communications processing or storage) for any reason. U.S. Subsidiaries shall ensure that the data and communications described in Section 2.3(a) – (e) of this Agreement shall not be stored by a U.S. Subsidiary (or any entity with which a U.S. Subsidiary has contacted with or made other arrangements for data or communications processing or storage) outside of the United Stales unless such storage is strictly for bona fide commercial reasons weighing in favor of storage outside the United Stales.

2.5 DT shall store for at least two years all billing records maintained by U.S. Subsidiaries for their customers and subscribers.

2.6 Upon a request made pursuant to 18 U.S.C. § 2703(f) by a governmental entity within the United States to preserve any information in the possession, custody, or control of DT (hat relates to (a) a customer or subscriber of a U.S. Subsidiary, or (b) any communication of such customer or subscriber described in (a) above, or (c) any Domestic Communication, DT shall store such preserved records or other evidence in the United States.

2.7 Nothing in this Agreement shall excuse DT from any obligation it may have to comply with U.S. legal requirements for the retention, preservation, or production of such information or data.

2.8 Except strictly for bona fide commercial reasons, DT shall not route a Domestic Communication outside the United States.

2.9 DT shall comply, with respect to Domestic Communications, with all applicable FCC rules and regulations governing access to and storage of Customer Proprietary Network Information (“CPNI”), as defined in 47 U.S.C. § 222(f)(1).

Update: Die Telekom bittet uns, Falschaussagen zu korrigieren. Wir hängen den Korrekturwunsch hier einfach mal an, damit sich jede/r selbst ein Bild zwischen der Darstellung von uns und der der Telekom machen kann:

In Ihrem Artikel sind falsche Aussagen enthalten, bitte stellen Sie diese richtig. Die korrekten Aussagen hatte ich Ihnen ja geschickt.

Weder die Telekom noch T-Mobile USA verpflichten sich zur Überwachung. T-Mobile USA ist verpflichtet, sich an amerikanisches Recht zu halten und die Deutsche Telekom mischt sich nicht ein. Das besagt das CFIUS-Abkommen.

Ich habe zudem nie gesagt, dass wir selbstverständlich mit Sicherheitsbehörden zusammenarbeiten, sondern dass wir uns an das jeweilige nationale Recht halten. Das gilt selbstverständlich auch für T-Mobile USA.

Sie veröffentlichen das Abkommen auch nicht exklusiv, es ist längst im Netz abrufbar und wurde von uns vor mehr als zehn Jahren kommuniziert sowie von der Presse aufgegriffen.

Stellen Sie diese falschen Aussagen bitte umgehend richtig.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 01 2013

PRISM: neue Folien gewähren tieferen Einblick ins Spionageprogramm

Nicht nur der Spiegel hat dieses Wochenende neue Details rund um PRISM und die Spionage der NSA bekannt gegeben, auch die Washington Post hat am Samstag vier neue Folien der NSA veröffentlicht. Diese Folien veranschaulichen einige interne Vorgänge der NSA und deuten darüber hinaus an, dass die NSA Anwender in Echtzeit überwachen kann.

prism-slide-6

Die erste neuen Folie liefert einen Überblick darüber, wie Analysten der NSA bei der Überwachung von Anwendern vorzugehen haben. Demnach muss ein Analyst für jedes neue Ziel eine Genehmigung bei einem Vorgesetzten einholen. Dabei muss mit “51%-prozentiger” Sicherheit klar sein, dass es sich um ein ausländisches Ziel handelt. Hierbei wird unter anderem auch eine Datenbank des FBI durchsucht, um eine Überwachung amerikanischer Ziele auszuschließen. Auf der Folie ist ebenso zu erkennen, dass das FBI mit eigener Technik Daten bei einer Reihe großer amerikanischer Unternehmen, wie Google, Yahoo oder Microsoft, sammelt. Diese Daten werden auf Anfrage der NSA ohne vorherige Überprüfung vom FBI an diese weitergegeben.


prism-slide-7

Die zweite Folie gewährt einen kleinen Einblick in die Verarbeitung der gesammelten Daten innerhalb der NSA. Links oben ist noch einmal das FBI als eigentlicher Sammler der Daten zu sehen. Das FBI gibt die Daten auf Anfrage dann an verschiedene Behörden weiter, darunter auch die NSA. Dort laufen die Daten durch eine Reihe automatisierter Systeme, welche die Daten filtern und sortieren. Das erste System mit dem Codenamen PRINTAURA nimmt eine grobe erste Sortierung und Klassifizierung vor. Die Washington Post beschreibt das System als “Bibliothekar” und “Verkehrspolizist”. Die nächsten Systeme SCISSORS und “Protocol Exploitation” nehmen dann eine feinere Sortierung vor, indem sie die Inhalte der Daten analysieren und sie an spezielle Analysesysteme für Audio (NUCLEON), Video (PINWALE), Telefongespräche (MAINWAY) und Internetverkehr (MARINA) weiterleitet. Erst dann werden die nun extrahierten Daten an den Analysten weitergeleitet. Die Zeit von einer Anfrage eines Analysten bis zu dem Zeitpunkt an dem er die Daten erhält, liegt laut Washington Post zwischen einigen Minuten und einigen Stunden. Die genauen Abläufe innerhalb der NSA hat die Washington Post noch mal auf einer eigenen Seite detailliert erklärt.

prism-slide-8

Diese Folie liefert Grund zu der Annahme, dass die NSA nicht nur Zugriff auf gespeicherte Daten der großen Konzerne hat, sondern darüber hinaus auch bestimmte Ereignisse in Echtzeit verfolgen kann. Hierzu gehört das Empfangen und Verschicken von E-Mails oder Nachrichten in Chats oder das Ein- und Ausloggen auf Webseiten. Möglich sind beispielsweise Szenarien, in denen die NSA das Einloggen einer Zielperson bei Skype registriert und daraufhin live das Gespräch mitschneidet (nach Folie 2 wäre hierfür dann beispielsweise das System NUCLEON zuständig).

prism-slide-9

Die letzte Folie zeigt einen Screenshot einer Datenbank, welcher am 5. April erstellt wurde. Er zeigt, dass zu diesem Zeitpunkt 117.675 Ziele unter direkter Beobachtung standen, wie die Washington Post schreibt. Es gibt aber keine weiteren Informationen, weder von der Washington Post, noch auf den Folien, ob es sich hierbei tatsächlich um 117.675 individuelle Ziele handelt, oder ob dieses die Zahl der bisher durchgeführten Überwachungen ist.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bylydschibrightbytevauteeradaetyki

June 14 2013

Sicherheits- und Terror-Experte Richard Clarke: Why you should worry about the NSA

In den 80ern war Richard Clarke Staatssekretär für politisch-militärische Angelegenheiten im US-Außenministerium, später dann unter Bill Clinton und George W. Bush verantwortlich für Terrorismusabwehr. In den New York Daily News schreibt Clarke nun, was das gefährliche an den bekannt gewordenen Überwachungsmaßnahmen der NSA ist.

Einerseits seien die Gesetze, unter denen erst Bush und nun Obama agierten, nicht dafür bestimmt der Regierung Aufzeichnungen aller Telefongespräche zu ermöglichen. Vielmehr sollten die Gesetze dazu dienen, bei konkreten Fällen konkrete Datensätze anfordern zu können.

I am troubled by the precedent of stretching a law on domestic surveillance almost to the breaking point. On issues so fundamental to our civil liberties, elected leaders should not be so needlessly secretive.


Das Argument, dass diese umfassende Überwachung vor Terroristen geheim gehalten werden muss, sei lächerlich. Denn es seien Terroristen, die von solchen Maßnahmen sowieso ausgehen, während nur gesetzestreue amerikanische Bürgerinnen und Bürger völlig ahnungslos gewesen sind.

Andererseits sei es ebenso beunruhigend, dass Sicherheitsbehörden und vor allem das FBI bewiesen haben, in welchen Ausmaß sie ihre Macht überschreiten und Gesetze wie den Patriot Act missbrauchen. Selbst wenn man Obama vertraue, so Clarke, wieso sollte es dennoch solche Programme und Interpretationen von Gesetzen geben, die andere oder spätere Regierung weiter missbrauchen könnten?
Die Ursache könnte beim leitenden Berater liegen:

When Obama was briefed on it, there was no forceful and persuasive advocate for changing it. His chief adviser on these things at the time was John Brennan, a life-long CIA officer. Obama must have been told that the government needed everyone’s phone logs in the NSA’s computers for several reasons.

Nach Clarke hätte ein gut informierter Verfechter von Bürgerrechten Obama sagen können, dass viele Argumente der Behörden fadenscheinig waren: Dass Telekommunikationsunternehmen bei gezielten Anfragen von Sicherheitsbehörden erfahren hätten, wer überwacht werden soll und damit Geheimhaltungsvorschriften verletzt würden, zum Beispiel. Oder dass Telkos als “Agenten” der Regierung betrachtet werden könnten und Kundinnen und Kunden sie dafür verklagen könnten. Für all das hätte es Lösungen gegeben, so Clarke:

Law already requires Internet service providers to store emails for years so that the government can look at them. An amendment to existing law could have extended that provision to telephone logs and given the companies a “safe harbor” provision so they would not be open to suits. The telephone companies could have been paid to maintain the records. If the government wanted a particular set of records, it could tell the Foreign Intelligence Surveillance Court why — and then be granted permission to access those records directly from specially maintained company servers. The telephone companies would not have to know what data were being accessed. There are no technical disadvantages to doing it that way, although it might be more expensive.

Einen solchen Verfechter von Bürgerrechten habe es jedoch nicht gegeben, weil weder Bush noch Obama einen ernannt hatten, trotz Empfehlung der 9/11-Kommission und eines vom Kongress verabschiedeten Gesetzes. Fünf Jahre habe es gebraucht, bis Obama das Privacy and Civil Liberties Oversight Board als einen solchen Berater wiederbelebt hat, und dies hat nach Clarke jede Mange Arbeit vor sich.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Tausende Firmen geben Daten an Geheimdienste: “Die Öffentlichkeit wäre überrascht, wie viel Hilfe die Regierung sucht”

Das Ausmaß, wie viele amerikanische Firmen mit den Geheimdiensten zusammenarbeiten und Informationen übermitteln, wird immer deutlicher. Bloomberg berichtet jetzt von “tausenden” Firmen und bezieht sich dabei auf vier Insider. Viele dieser Informationen dienen auch dazu, offensive Hacking-Operationen vorzubereiten und durchzuführen.

Michael Riley berichtet bei Bloomberg:

Tausende von Technologie-, Finanz- und Fertigungsunternehmen arbeiten eng mit den Sicherheitsbehörden der USA zusammen. Sie stellen sensible Informationen zur Verfügung und erhalten im Gegenzug Vorteile, zu denen auch geheimdienstliche Informationen gehören. Das haben vier Personen gesagt, die mit den Vorgängen vertraut sind.

Diese Programme übersteigen PRISM noch. Neben privaten Daten von Nutzer/innen fallen dabei vor allem Spezifikationen von Geräten an. Der Zweck:

Hersteller von Hard- und Software, Banken, Internet Security-Anbietern, Satelliten-Telekommunikations-Unternehmen und viele andere Unternehmen nehmen auch an staatlichen Programmen teil. In einigen Fällen werden die gesammelten Informationen nicht nur verwendet, um das Land zu verteidigen, sondern um dabei zu helfen, Computer von Gegnern zu infiltrieren.

Alle großen Behörden sammeln diese Daten: NSA, CIA, FBI und die Militärs wie Army, Navy und Air Force.

Microsoft gibt diesen Institutionen Informationen über Bugs in seiner Software, noch eh diese Lücken geschlossen worden. Dabei sind sie sich völlig bewusst, “dass diese Art der frühen Warnung den USA die Möglichkeit gibt, Sicherheitslücken in Software auszunutzen, die an ausländische Regierungen verkauft wird.” Deswegen fragt Microsoft lieber gar nicht nach, was damit gemacht wird.

Viele dieser Programme sind so sensibel, dass oft nur eine Handvoll Leute in einem Unternehmen davon wissen. Manchmal werden die direkt zwischen den Firmen- und Geheimdienst-Chefs beschlossen.

Auch der Antiviren-Hersteller McAfee, mittlerweile Teil von Intel, “kooperiert regelmäßig mit NSA, FBI und CIA”. Dabei fallen “Erkenntnisse über die Architektur von Informations-Netzwerken weltweit an, die für Geheimdienste, die diese anzapfen wollen, nützlich sein können.”

Eine Eingeweihter sagte:

Die Öffentlichkeit wäre überrascht, wie viel Hilfe die Regierung sucht.

new prism slideEin weiterer Punkt der PRISM-Folien ging in der bisherigen Berichterstattung ziemlich unter:

[PRISM] findet parallel zu einem weiteren Programm mit dem Codenamen BLARNEY statt, das “Metadaten” sammelt – technische Informationen über Kommunikations-Verkehr und Netzwerk-Geräte – während diese durch zentrale Knoten im Backbone des Internets fließen. Die streng geheime Zusammenfassung des Programms BLARNEY, die in der Präsentation neben Cartoon-Insignien von einem Kleeblatt und einem Kobold-Hut präsentiert wird, beschreibt es als “ein laufendes Programm zur Sammlung von Informationen, das [Nachrichtendienste] und kommerzielle Partnerschaften nutzt, um aus globalen Netzwerken Zugang zu ausländischen Informationen zu erhalten und diese auszunutzen.”

Daran knüpft Bloomberg an:

Diese Metadaten beinhalten, welche Version der Betriebssysteme, Browser und Java-Software Millionen von Geräten auf der ganzen Welt verwenden. Diese Informationen können US-Geheimdienste nutzen, um Computer oder Handys zu infiltrieren oder ihre Nutzer zu überwachen.

Glenn Chisholm, ehemaliger Chef für IT-Security beim größten australischen Telekommunikationsunternehmen Telstra, sagte:

Das sind höchst offensive Informationen.

Problem ist nur, dass Abgeordnete oft die Signifikanz solcher Metadaten nicht erkennen.

All diese Informationen reihen sich nahtlos in die offensiven Hacking-Kapazitäten und -Aktionen der USA ein:

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 12 2013

Google will Zahlen zu Anfragen der NSA veröffentlichen dürfen

Anfang Juni wurde eine Beschwerde von Google angelehnt, 19 sogenannte National Security Letter (NSL) nicht beantworten zu wollen bzw modifizieren zu können. Mithilfe der NSL kann das FBI ohne richterlichen Beschluss Zugriff auf Kundendaten fordern und die betroffenen Unternehmen dürfen nicht darüber berichten. Gestern veröffentlichte Google einen offenen Brief an Justizminister Eric Holder sowie den Direktor des FBI, Robert Mueller. Darin fordert David Drummond, Leiter der Rechtsabteilung von Google, dass es dem Konzern erlaubt sein sollte in seinen Transparenzberichten aggregierte Zahlen über NSL sowie Anfragen nach dem Foreign Intelligence Surveillance Act (FISA) veröffentlichen zu dürfen. Eine Veröffentlichung würde zeigen, dass Google auf weitaus weniger Anfragen eingeht als gestellt werden: “Transparency here will likewise serve the public interest without harming national security.”

Auch Facebook und Microsoft unterstützen die Forderungen von Google, Facebook ruft alle Regierungen dazu auf, Programme zum Schutz der Gesellschaft transparenter zu machen.

We would welcome the opportunity to provide a transparency report that allows us to share with those who use Facebook around the world a complete picture of the government requests we receive, and how we respond. We urge the United States government to help make that possible by allowing companies to include information about the size and scope of national security requests we receive, and look forward to publishing a report that includes that information.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

June 02 2013

USA: Google muss Daten auch ohne richterlichen Beschluss an das FBI geben

Google muss dem FBI Kundendaten aushändigen, auch wenn kein richterlicher Beschluss vorliegt oder Gründe genannt werden – so urteilte eine Bundesbezirksrichterin in San Francisco nun. Bereits Anfang Mai wurden Pläne für ein Gesetz bekannt, mithilfe dessen Unternehmen bestraft werden sollen, die auf Anfrage von Sicherheitsbehörden nicht kooperieren und Daten liefern. Die Richterin lehnte nun die Beschwerde von Google ab, 19 sogenannte National Security Letters (NSL) nicht beantworten zu wollen bzw modifizieren zu können. Mithilfe der NSL kann das FBI ohne richterlichen Beschluss Zugriff auf Kundendaten fordern und die betroffenen Unternehmen dürfen nicht darüber berichten. Laut Richterin Susan Illston habe sich Googles Einspruch zu sehr gegen NSL im Allgemeinen gewandt und nicht gegen die 19 konkreten Fälle. Dies könnte also eine Hintertür für einen weiteren Einspruch sein. Illston hatte im März in einem anderen Verfahren entschieden, dass die Geheimhaltungsvorschriften rund um die NSL nicht mit der Verfassung vereinbar sind.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

Reposted byminderleisterkrekkawezone02mydafsoup-01d3vil

May 29 2013

Hacktivist Jeremy Hammond bekennt sich zu Hack von Stratfor: “Ich tat, was ich für richtig halte.”

Jeremy Hammond. BIld: Jim Newberry. Lizenz: Creative Commons BY-NC 3.0.

Jeremy Hammond. Bild: Jim Newberry. Lizenz: Creative Commons BY-NC 3.0.

Der politische Aktivist Jeremy Hammond hat sich schuldig bekannt, in Computer des privaten US-amerikanischen Think Tank Stratfor eingedrungen zu sein. Seit 15 Monaten sitzt er in Haft, nun drohen ihm 10 Jahre Gefängnis und eine Millionenstrafe. Jeremy Hammond half dabei, das Konzept des “Hacktivismus” zu verbreiten – und saß bereits wegen ähnlicher Delikte im Gefängnis.

Nach dem Sommer von LulzSec (von Forbes-Reporterin Parmy Olson als Buch aufbereitet) wurde Weihnachten 2011 der private amerikanische Think Tank “Strategic Forecasting” Stratfor aufgemacht. Unter dem Label LulzXmas drangen Hacktivisten vom Label Anonymous in Stratfor-Server ein und kopierten E-Mails und Kreditkartendaten. Die Seite stratfor.com wurde defaced und mit dem Text des Essays Der kommende Aufstand versehen.

Die erbeuteten E-Mails wurden kurz darauf von WikiLeaks als Global Intelligence Files veröffentlicht.

gi-files-590

Wenig mehr als zwei Monate nach dem Hack wurde in Chicago der politische Aktivist Jeremy Hammond verhaftet. Er wurde verraten vom LulzSec-Hacker Sabu, der mit dem FBI zusammen arbeitete. Obwohl Hammond das Anonymisierungs-Netzwerk Tor verwendete, korrelierte das FBI einfach, zu welchen Zeiten sein Laptop sein WLAN verwendete mit den Zeiten, in denen sein Online-Nickname in Chatrooms war.

Nach 15 Monaten im Knast mit mehreren Wochen Isolationshaft hat Jeremy Hammond gestern zugegeben, Webseiten mit Anonymous aufgemacht zu haben, inklusive Stratfor:

Now that I have pleaded guilty it is a relief to be able to say that I did work with Anonymous to hack Stratfor, among other websites. Those others included military and police equipment suppliers, private intelligence and information security firms, and law enforcement agencies. I did this because I believe people have a right to know what governments and corporations are doing behind closed doors. I did what I believe is right.

Staatsanwalt Preet Bharara listet noch ein paar weitere Ziele:

During his guilty plea, HAMMOND also admitted his involvement in multiple additional hacks, including computer intrusions into the Federal Bureau of Investigation’s Virtual Academy, the Arizona Department of Public Safety, the Boston Police Patrolmen’s Association, and the Jefferson County, Alabama Sheriff’s Office.

Damit sieht sich Jeremy Hammond nun 10 Jahren Haft und 2,5 Millionen Dollar Strafzahlungen gegenüber. Das Urteil soll am 6. September gefällt werden.

Der 28-jährige Jeremy Hammond ist ein politischer Aktivist und “Hacktivist” aus Überzeugung. Bereits 2004 rief er auf der DefCon zu elektronischem zivilen Ungehorsam in Tradition des Electronic Disturbance Theater auf.

Wiederholt wurde er für Offline-Proteste verhaftet, darunter einen “Lärmprotest mit Trommeln” zum Parteitag der Republikaner, Reclaim the Streets Aktionen, einer Auseinandersetzung mit homophoben Demonstranten während dem Chicago Pride Parade, dem Protestieren gegen Nazis ohne Erlaubnis und der direkten Konfrontation mit Holocaustleugner David Irving.

HackThisZine6Jeremy Hammond machte direkten politischen Aktivismus aber auch im Internet ganz praktisch. Schon 2003 gründete er HackThisSite.org, einer Diskussions- und Bildungs-Community über Computer-Sicherheit. Im Kollektiv Hackbloc beteiligte er sich unter anderem an der Erstellung der selbst herausgegebenen Zeitschrift Hack This Zine.

Im März 2005 wurde er vom FBI durchsucht, weil er die Webseite der rechten Gruppe Protest Warrior (“Fighting the left… doing it right”) aufgemacht und defaced hatte. Auch hier erbeutete er Kreditkarten-Daten und kündigte an, damit an linke Gruppen zu spenden, was aber nie passierte. Dafür erhielt er zwei Jahre Haft und musste mehr als 5.000 Dollar an Protest Warrior zahlen. Wenige Tage eh er in den Knast ging, sagte er dem Chicago Magazine:

He bragged nervously about an ongoing hack that some friends were up to against the National Socialist Movement, a neo-Nazi group he had protested in Toledo in 2005. They were scanning the group’s e-mails and files looking for evidence of hate crimes; if they found anything, they were going to publicize it. He claimed he wasn’t involved and said he wouldn’t talk more about it-with good reason. It was pretty much the same stunt that was sending him to federal prison.

In einem lesenswerten Portrait im Rolling Stone aus dem letzten Dezember sagte sein Zwillingsbruder:

“There are two paths you take after you come out of prison,” says Jason Hammond. “Some people go straight and try to achieve the American dream, and others go, ‘Fuck it, the whole idea is bullshit, as is the system that created it,’ and they go in a more radical direction. And Jeremy took that path.”

Eine Soli-Gruppe vertritt die Forderung: Free Jeremy Hammond.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 22 2013

DDoS-Service arbeitet womöglich mit dem FBI zusammen

Distributed Denial of Servicc (DDoS) Attacken sind heutzutage ein beliebtes, da vergleichsweise einfaches Mittel, um Server zumindest kurzfristig vom Netz zu nehmen (wir berichteten). Dabei werden in der Regel die zu blockierenden Server mit einer enormen Anzahl an Anfragen bombardiert, bis dieser unter der Last zusammenbrechen. Rein rechtlich sind solche DDoS-Attacken verboten – in Deutschland wie in den USA – und doch gibt es eine immer größere Anzahl an Dienstleistern, welche DDoS-Angriffe unter dem Deckmantel des Stress-Tests für die eigene Webseite, anbieten. Und das mit dem Einverständnis des FBI, wie der amerikanische Sicherheits-Blogger Brian Krebs herausgefunden hat.

Alles begann mit dem Leak der Datenbank des DDoS-Anbieters Ragebooter. Über diese Datenbank ist Krebs auf den Urheber des Services gestoßen, einen Mann namens Justin Poland, und hat über Facebook Kontakt mit ihm aufgenommen. Krebs ging es in erster Linie darum, mehr über Poland und seiner Motive zu erfahren. Doch das Gespräch im Facebook Chat nahm eine interessante Wendung, als Krebs Poland fragt ob das FBI oder eine andere Strafverfolgungsbehörde jemals Daten seiner Kunden angefordert hätten.

That was when Poland dropped the bomb, informing me that he was actually working for the FBI.

“I also work for the FBI on Tuesdays at 1pm in memphis, tn,” Poland wrote. “They allow me to continue this business and have full access. The FBI also use the site so that they can moniter [sic] the activitys [sic] of online users.. They even added a nice IP logger that logs the users IP when they login.”


Tage später meldete Krebs sich erneut bei Poland, da er weitere Informationen über seine Verbindungen zum FBI erfahren wollte. Dieser schickte ihm daraufhin Kontaktdaten eines “Agent Lies” welcher angeblich für das FBI arbeitete.

The man who answered at the phone number supplied by Poland declined to verify his name, seemed peeved that I’d called, and demanded to know who gave me his phone number. When I told him that I was referred to him by Mr. Poland, the person on the other end of the line informed me that he was not authorized to to speak with the press directly. He rattled off the name and number of the press officer in the FBI’s Memphis field office, and hung up.

Just minutes after I spoke with “Agent Lies,” Justin dropped me a line to say that he could not be my ‘friend’ any longer. “I have been asked to block you. Have a nice day,” Poland wrote in a Facebook chat, without elaborating. His personal Facebook page disappeared moments later.

Das FBI wollte eine Verbindung mit Justin Poland weder bestätigen noch abstreiten. Ob es sich also nur um Prahlereien handelt wird nicht abschließend zu bestätigen sein. Doch die Sicherheitsberaterin Allison Nixon hat eine mutmaßliche Hintertür gefunden, über die das FBI zumindest in der Theorie Zugriff auf die Nutzerdaten des DDoS-Services hätte.

Oh, and that backdoor Poland claims he added for the FBI? Nixon may have found at least one of them:

“The booter has some information leakage problems too,” Nixon said. ”The victims can see the ragebooter.net username of the logged in attacker because that info is, bizzarely, sent within attack traffic.”

Nach den Nachrichten der letzten Wochen, würde eine Zusammenarbeit des FBI mit unterschiedlichen DDoS-Anbietern aber sicherlich nicht großartig verwundern.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 21 2013

FBI fordert erweitertes Abhörgesetz: keine gute Idee

Die Art, wie Menschen miteinander kommunizieren, hat sich durch das Internet grundlegend verändert. Und diese Veränderungen sind noch längst nicht abgeschlossen. Immer mehr Informationen werden über das Internet auf dem Handy oder verschiedene “Peer-to-Peer”-Anwendungen, wie beispielsweise Skype, ausgetauscht. Was dem Menschen eine scheinbar größere Freiheit bietet, scheint für einige Strafverfolgungsbehörden aber zum Problem zu werden. Zuletzt forderte das FBI größere Befugnisse beim Abhören der Bürger. Insbesondere wurde gefordert, dass jede Software und jedes Kommunikationsgerät eine versteckte Schnittstelle zum Abhören der Kommunikation beinhalten müsse. Firmen die diese technischen Hintertüren nicht anbieten, würden mit Geldstrafen belegt werden. In einem Artikel mit dem Namen “CALEA II: Risks of Wiretap Modifications to Endpoints” treten 20 renominerte Sicherheitsexperten und Kryptographen diesen Forderungen des FBI entgegen, indem sie darlegen das solche Überwachungsmaßnahmen ein enormes Sicherheitsrisiko darstellen.

Die Autoren der Studie legen erst einmal die momentane rechtliche und technische Situation dar. Erläutert wird hierbei unter anderem der “Communications Assistance for Law Enforcement Act”, kurz CALEA. Dieses Gesetz sieht vor, dass sämtliche Telekommunikationsanbieter, seien es Festnetz-, Mobilfunk-, oder Internetanbieter, ihre Infrastruktur so aufbauen müssen, dass nationale Strafverfolgungsbehörden jederzeit Zugriff auf die Kommunikation der Nutzer haben. Es werde ausgenutzt, dass alle Kommunikation durch einen Knotenpunkt läuft und von dort abgegriffen und mitgehört werden kann. Dieses alles geschehe ohne das der Nutzer etwas davon mitbekomme.

Durch neue Kommunikationsmedien sei die Überwachung allerdings nicht mehr so effektiv:

Now, however, users are increasingly mobile and use services from a variety of service providers at an increasingly large number of access points, making it more challenging to predict how a user will be connected at a given moment. As we understand the government’s problem, the geographically-limited routing facilities that had previously been the focal point of interception no longer provide access to all a target’s communications.


Doch nicht nur die geographische Unvorhersagbarkeit ist ein Problem für Behörden, auch die Nutzung von “Peer-to-Peer”-Anwendung sei ein Problem, da die Kommunikation nicht mehr über einen zentralen Punkt laufe, wo sie von den Behörden mit gelesen werden kann. Als Beispiel wird das Netzprotokoll SIP genannt, welches häufig in der IP-Telefonie Anwendung findet. Die einzige Möglichkeit solche Kommunikation zu überwachen sei es, Überwachungstechnologie direkt in die Software oder aber die Kommunikationsgeräte zu implementieren.

These technical limitations of centralized monitoring have led to suggestions that instead monitoring should be provided at the endpoints. That is, end-user software should be modified to support monitoring. When monitoring is desired, the feature is activated and the software starts delivering copies of its keys, traffic, or both to some monitoring point. This may or may not be achievable in a way that is undetectable to the user.

Dieses sei allerdings gefährlich, würde es die Sicherheit dieser Software und Geräte erheblich gefährden:

A wiretap design mandate on communications tools is, plainly put, an opportunity for increased exploitation.[...], extending CALEA to endpoint software and devices will make communications systems, products and services even more vulnerable.

Doch sehen die Autoren nicht nur ein ernstzunehmendes Sicherheitsrisiko in der direkten Überwachung des Endgeräts. Auch sei die Umsetzung nicht praktikabel, wie sie mit Blick auf Open-Source Software näher erläutern:

It is important to understand that because these systems are built on open standards, modified software without lawful intercept capability will be able to interoperate with systems with the intercept capability and with unmodified systems. To take an extreme example, say that all U.S.-made Web browsers support CALEA II, thus allowing wiretapping of any WebRTC session. Two users who desire unmonitorable communications need only download secure foreign-made versions of one of the major browsers and they can make secure calls using exactly the same infrastructure as those that must use compliant versions. We should expect that any user who is concerned about monitoring —
including many potential monitoring targets — would obtain and use an unmonitorable version of a given product or service.

Der Vorstoß des FBI, aber auch anderer Behörden außerhalb der USA die nach immer mehr Überwachung rufen, scheint ein weiterer Schritt zur totalen Überwachung der Bürger zu sein. Und wie so oft scheinen die Behörden vor lauter Gier nach Daten, die Praktikabilität, ebenso wie die Verhältnismäßigkeit ihres Vorstoßes, komplett außer acht gelassen zu haben. Der gesamte Artikel ist als pdf hier zu finden.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 08 2013

USA: Strafen für Unternehmen, die keine Daten liefern?

Erst vor wenigen Tagen wurde von einer Arbeitsgruppe der US-Regierung berichtet, die ein Gesetz zur Bestrafung von solchen Unternehmen erarbeitet, die auf Anfrage von Sicherheitsbehörden nicht kooperieren und Daten liefern. Es sei angetrieben von Bedenken des FBI, das sich nicht fähig sehe, die Kommunikation von “Terroristen und anderen Kriminellen” anzuzapfen und richte sich an solche Unternehmen, die sich weigern nach dem Wiretap Act zu handeln und Strafverfolgungsbehörden Zugang zu der Kommunikation von Verdächtigen zu ermöglichen. Zuvor wurden Pläne des US-Justizministeriums öffentlich, durch die die Netzüberwachung deutlich verschärft werden soll. Dabei ging es um die “2511 Letters”: Freibriefe, die gegenüber Unternehmen den Verzicht auf strafrechtliche Verfolgung nach dem Wiretap Act garantieren. Nun sollen also Vorkehrungen getroffen werden, falls Unternehmen sich dennoch weigern. Die NY Times berichtete gestern, dass das Weiße Haus erwägt, diese Neuerung des Wiretap Acts zu unterstützen:

While the F.B.I.’s original proposal would have required Internet communications services to each build in a wiretapping capacity, the revised one, which must now be reviewed by the White House, focuses on fining companies that do not comply with wiretap orders.

Viele Unternehmen gehen Anfragen von Sicherheitsbehörden zwar jetzt schon nach, manche können das aber nicht, weil sie zum Beispiel zu wenige Mitarbeiterinnen und Mitarbeiter haben, um Anfragen abzuwickeln. Die Strafen, die nun vorgeschlagen werden sollen, starten bei “einigen Zehntausend” – werden diese nicht innerhalb von 90 Tagen gezahlt, könnten sie sich pro Tag verdoppeln, laut Washington Post. Das Center for Democracy and Technology, eine Non-Profit-Organisation die sich für ein offenes Internet engagiert, kritisiert den Entwurf und geht davon aus, dass solche Gesetze innovative Unternehmen vertreiben würde, aus Angst vor den möglichen Strafzahlungen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

September 15 2011

FBI: Psychologische Profile der Anonymous-”Führung” (Update)

Update: Cryptome hat die Dokumente widerrufen und als “gut gemachte, aber bei genauem Blick nicht überzeugende Fälschung” bezeichnet. Es ist nicht alles echt, was leakt…

Auf Cryptome.org tauchten heute vom FBI verfasste psychologische Profile der “Führung” von Anonymous auf.

Beim Profiling (dt. Fallanalyse) versucht man, aus dem vorhandenen Wissen über einen unbekannten Täter Informationen über dessen Persönlichkeit abzuleiten und zum Beispiel den Personenkreis einzugrenzen, aus dem der Gesuchte stammt. Die wohl bekanntesten (und unrealistischsten) fiktiven Beispiele für Fallanalytiker sind wohl Hannibal Lecter und Clarice Starling.

Die Wirklichkeit sieht ein bisschen anders aus, wird aber ganz gut im Nebel gehalten, weil man den “Bösen” keine Einsichten in die eigene Arbeitsweise geben möchte. Im Fall von Anonymous haben sich die FBI-Profiler hauptsächlich auf Äußerungen im Anonymous-IRC-Chat gestützt. Der Bericht beginnt mit einem Wikipedia-Ausschnitt über Anonymous, um dann ganze 6 Anonymous-”Führer” auf 3 Seiten abzuhandeln.

Über das Mitglied Sabu gibt es dann so tiefgreifende Erkenntnisse wie “schreibt gut Englisch, scheint also englisch zu sein” und “ist bei LulzSec, hat also Ahnung von Computersicherheit. Es ist wahrscheinlich, dass er in diesem Feld arbeitet.” und – sehr überraschend – er glaubt nicht an moralische Grundsätze und zeigt nihilistische Tendenzen.

Bei Kayla, einem Mitglied, das sich als weiblich ausgibt, legen die Analytiker dann einen drauf: Die Person betreibt ein Botnetz, also ist sie ein Mann. Dass sie sich als Frau ausgibt, ist nicht etwa ein harmloser Fnord, nein, sie hat Probleme mit ihrem Geschlecht, ist womöglich bisexuell und wahrscheinlich als Kind misshandelt worden. Und Drogen nimmt sie wohl auch.

Weil Kayla recht schnell wütend wird, empfehlen die Profiler, sie möglichst oft zu reizen – in der Hoffnung, dass sie ausrastet und Fehler macht. Generell wird empfohlen, dass sich verdeckte Ermittler in die Anonymous-IRCs begeben, und versuchen sollen, die Menschen gegeneinander aufzubringen und Misstrauen zu säen. Die Beziehungen untereinander werden als der größte Schwachpunkt Anonymous’ angesehen. Dass man dort jetzt ansetzen muss steht für die Profiler außer Frage: “Ihre zunehmenden Angriffe auf Infrastruktur werden schlussendlich ernsthafte Folgen haben, die sogar zu Todesfällen führen können.”

Wie ich schon andeutete wird die operative Fallanalyse nicht so öffentlich diskutiert, wie andere psychologische und forensische Disziplinen. Ihr mutet deshalb ein bisschen die Aura des Geheimnisvollen an. Was lehrt und lernt das FBI in Quantico? Können sie wirklich aus winzigen Details des Tathergangs sicher auf den Täter schließen? Kennen sie Geheimnisse der Psychologie, von denen wir gar nichts wissen?

Nach der Lektüre dieses insgesamt 8-seitigen Berichts bin ich in der Hinsicht größtenteils beruhigt. Es ist Küchenpsychologie par excellence.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl