|
|||||||||||||||
Home Themenübersicht / Sitemap Webmaster | |||||||||||||||
Wie können Telefonate (und andere Kommunikation) abgehört werden?
Autor: Philipp Schaumann - Letzte Ergänzungen: Dez. 2021
2021: NSA spähte Merkel (und viele andere) mithilfe des dänischen Geheimdiensts ausEnde Mai 2021 gibt es Veröffentlichungen zu neuen Details der Snowden-Enthüllungen. Es war bereits 2013 klar, dass der US-Nachrichtendienst NSA weltweit Untersee-Glasfaserleitungen anzapft. Dazu brauchen sie die Hilfe von anderen Staaten. Jetzt wurde bekannt, dass neben Deutschland auch Dänemark geholfen hat. So wurden wohl die deutschen Politiker durch dänische Hilfe abgehört, der BND in Deutschland half beim Abhören anderer Länder. Zum Einsatz kam dabei des Selektionsprogramm XKeyscore (siehe weiter unten). Das Programm den Zugriff auf "fast alles, was ein typischer Nutzer im Internet so macht" und unterstützt eine Selektion auf Schlüsselworte.
2020: Wird mit 5G alles sicherer??Leider nein. Während in der Öffentlichkeit beim Thema 5G entweder die mögliche Schädigung durch Strahlung oder durch die Ausrüster von Huawei diskutiert wird gehen nach meiner von Bruce Schneier die wirklichen 5G-Probleme unter.
Zitate aus Golem.de: Ein zweites Problem ist laut Schneier die Rückwärtskompatibilität. Da 5G auf 4G aufbaut und in den meisten Installationen untrennbar miteinander vermengt sei, könnten Angreifer beispielsweise 5G-Systeme dazu zwingen, anfälligere 4G-Protokolle zu verwenden. "Drittens haben die 5G-Standardkomitees viele Gelegenheiten zur Verbesserung der Sicherheit verpasst", erklärt Schneier. Viele der neuen Sicherheitsfunktionen seien optional, die Netzbetreiber könnten sich dafür oder dagegen entscheiden, sie zu implementieren. Das sei bereits bei 4G so gemacht worden und habe dazu geführt, dass Netzbetreiber zum Teil auch obligatorische Sicherheitsmerkmale nicht implementiert hätten, weil dies zu teuer gewesen sei. "Schlimmer noch: Bei 5G wurden Entwicklung, Leistung, Kosten und Markteinführungszeit über die Sicherheit gestellt, die als nachträgliche Maßnahme behandelt wurde", kritisiert Schneier.
Ergänzungen 2019 Die Edward Snowden MemoirenEdward Snowden veröffentlichte seine Memoiren und zu dem Anlass gibt es interessante Rückblicke, z.B. Looking back at the Snowden revelations des renomierten Kryptographie-Experten Matthew Green. Ein US-Gericht hat aber dann ziemlich bald die Erlöse des Buches beschlagnahmt, weil Snowden vor der Veröffentlichung nicht um Erlaubnis gefragt hatte (wie sein damaliger Arbeitsvertrag verlangte). Der vorige Link verlinkt dann auch noch auf eine ausführliche und recht kritische Zusammenfassung in 2 (oder 3) Folgen. Der Autor der Zusammenfassung ist wohl recht bewandert in Geheimdienstkreisen und verlinkt auf viele weitere Dokumente.
2016 in Deutschland: ein detaillierter Text Wie E-Mail-Überwachung in Deutschland funktioniert. Wer muss wen überwachen, was macht dabei die Sina-Box und andere Details. Und Eilverfahren: Bundesrat winkt BND-Netzüberwachung im NSA-Stil durch.
Es gibt einige Versuche, eine Systematik der Snowden-Veröffentlichungen zu schaffen, z.B. EFF: Links auf Original-Dokumente, ACLU: Links zu unterschiedlichen NSA-Dokumenten, Links zu diesen und anderen Dokumenten, Wikipedia: Global surveillance disclosure, anders aufgebaut ist die deutsche Wikipedia-Seite (geordnet nach NSA-Programmen).
Sept. 2015: Nov. 2016
NSA-Zugriffe auf unsere Daten bei US-Anbietern und die GCHQ-Zugriffe auf den internationalen DatenverkehrJuli 2013 wird offiziell aufgedeckt was für viele keine große Überraschung war: Dass im Rahmen des PRISM-Programs der NSA und des Tempora Programes des britischen Geheimdiensts GCHQ zahlreiche Geheimdienste direkten Zugriff auf die Daten der großen Dienstanbieter und die Datenflüsse im Internet haben, auch ohne Richterbeschluss und ohne konkreten Verdacht gegen eine Person. Ein Mitarbeiter eines Zulieferers der NSA (die einschlägig bekannte Firma Booz Allen Hamilton) hat eine entsprechende Präsentation an die Presse weitergeleitet. Mittlerweile (2014) ist ziemlich klar, in wie weit die Aktion hinter der Rücken der Firmen ablief, d.h. wie weit die Firmen in den Stellungnahmen der letzten Jahre "nicht die volle Wahrheit" gesagt haben. Es geht dabei hauptsächlich um Microsoft, Google, Facebook, Apple, Youtube, Skype, Paltalk, AOL und Yahoo, Dropbox, die wohl recht enge Kooperationen hatten - auch wenn die Firmenchefs vermutlich nicht immer die ganze Wahrheit gewusst und den vollen Umfang gekannt haben. In wie weit der jetzige Protest der Firmen bei Obama gegen die mittlerweile aus geschäftsschädigend erkannten Praktiken leicht scheinheilig sein könnte, diskutiere ich an anderer Stelle und der Stichwort Public-Private-Partnership. Interessant ist, dass Twitter nicht dabei ist, sie wehren sich anscheinend am effektivsten. Zu den eher freudig kooperierenden Firmen gehören wohl (im Rahmen von anderen Abhörprogrammen auch Telecoms wie Verizon, Vodafone, British Telecom, usw.). Vodaphone hat Mitte 2014 einen Bericht vorgelegt und sagt, dass sie in 29 Ländern Zugriff zu den Daten gewähren müssen - d.h. die NSA ist nicht allein. In zumindest sechs Staaten, die Vodafone nicht namentlich benennt müssen TK-Anbieter Direktzugriffe gewähren (d.h. ohne Richtbeschluss). In Albanien, Ägypten, Indien, Malta, Katar, Rumänien, Südafrika, Türkei und Ungarn darf zudem nicht darüber berichtet werden. Nach Berichten waren es ca. 50 Firmen, die mehr oder weniger freiwillig ausgefilterte Daten der NSA für deren Auswertungen zur Verfügung stellen, darunter neben Webmailern und Social Networks auch viele Kreditkartenunternehmen, die für die NSA sehr wichtig sind (Stichwort: "Follow the Money"). Ob bei diesen 50 bereits die kommerziellen Daten-Aggregatoren dabei sind, von denen die NSA (und andere) die Datenprofile kaufen, ist nicht klar. Rechtsgrundlage ist dabei in den meisten Fällen FISA (Foreign Intelligence Surveillance Act), auf das ich weiter unten nochmals eingehe. Die FISA-Orders werden oft kombiniert mit einem National Security Letter (NSL) in dem normalerweise drin steht, dass die Firmen über die Überwachung keine Auskünfte geben dürfen. Großzügige erhebliche finanzielle Entschädigungen haben sie für ihre Mühen aber sehr wohl erhalten, man spricht von hunderten Millionen Dollar. Die Daten-Übermittlung läuft danach ungefähr so ab: die NSA hat PRISM-Server, die NSA-Mitarbeiter loggen dort ein, geben den Umfang der FISA-basierten Anfragen ein und bekommen (nach mehr oder weniger Prüfung durch die Rechtsabteilung der Firmen) dann diese Daten automatisiert auf diesem Server zur Verfügung gestellt. In wieweit dabei noch manuelle Eingriffe der Betreiber notwendig sind ist unklar, es könnte auch sein, dass Suchanfragen dann direkt gegen die "Master-Daten" der Betreiber ausgeführt werden und die Ergebnisse dann auf dem Server der NSA erscheinen. Diese stehen vermutlich in dem neuen großen NSA Data Center in Utah. Dies deckt sich eigentlich mit einem früheren NY Times Artikel Tech Companies Concede to Surveillance Program: Normalerweise beziehen sich FISA Anfragen eigentlich auf die Daten einzelner Personen, können aber auch allgemeinere Anfragen zu Datenverkehr mit bestimmten Suchbegriffen sein oder auch die Kommunikation der Kontakte dieser Personen, bzw. auch die Kommunikation von deren Kontakten. Alle Inhalte von FISA-Anfragen sind geheim, selbst innerhalb der betroffenen Diensteanbieter. Angeblich hat die EU versucht, in die geplante neue EU-Datenschutzverordnung einen Schutzmechanismus vorzusehen, der eine Anti-FISA-Klausel gewesen wäre. Der Schutzmechanismus sei jedoch im Jänner 2012 von Kommissionsbeamten verworfen worden. Die meisten EU-Kommissare waren der Zeitung zufolge gegen eine solche Maßnahme: Da die meisten Server, auf denen Daten von EU-Bürgern gespeichert sind, ohnehin in den USA stünden, brächte eine solche Klausel nichts, hätten sie argumentiert. Zur Zusammenführung der Datenmengen gibt es, wie jetzt bekannt wird, eine Software namens Boundless Informant. Zitate aus dem Artikel:
Das heißt, dass die NSA irgendwie Zugang zu solchen Datenmengen auch aus ziemlich entfernten Ländern hat. Dies könnte entweder über ein Anzapfen von Internet-Switchen (siehe unten - dort gibt es auch eine Graphik die zeigt, wie die globalen Datenströme fließen) geschehen, oder durch "Horch-Posten" an anderen Stellen. Einen Hinweis auf solche anderen Stellen gibt der Whistleblower der NSA-Papiere in einem Interview mit einer Hongkonger Tageszeitung South China Morning Post:
Vermutlich wird bei Boundless Informant eine Indizierung und Bewertung analog zu den Google Suchmaschinen verknüpft mit AI-Implementierungen wie "IBM Watson", einem System, das auch mit dem verqueren Denken von typischen Menschen klarkommt. Die Überwachung läuft offenbar so ab: Aus den Filtern in den Internet-Switchen findet ein NSA-Mitarbeiter irgendeine Textstelle, die ihm verdächtig erscheint. Er kennt aber nur diese kleine Textstelle, er kann dann über PRISM die gesamte Mailbox für diese Mail-Adresse anfordern, evtl. dazu gehörige Facebook-Pages, Kreditkarten- und andere Finanzdaten, etc. Das heißt, die Überwachung der Datenströme liefert Hinweise, denen dann im Detail nachgegangen werden kann. Offen ist, wie viel von den globalen Datenströmen archiviert wird und nachträglich ausgewertet werden kann. Eine andere Veröffentlichung zu diesem Thema: Massenüberwachung von Verizon-Mobilfunkkunden. Dabei geht es darum, dass bekannt wurde, dass der Telefonnetzbetreiber Verizon durch geheimen Gerichtsbeschluss gezwungen wurde, täglich alle seine "Meta Daten" an die NSA zu liefern (Mehr zu Meta Daten weiter unten). Heute wissen wir, dass das alle US-Telefongesellschaften betrifft, bzw. auch alle anderen mit US-Beteiligungen oder früherer US-Beteiligung (siehe weiter unten). Die Datenbank die AT&T zur Verfügung stellt enthält die Details aller Anrufe ihrer Kunden seit 1987 (Die CIA zahlt für den Zugriff immerhin $10 Mio pro Jahr dafür). Google scheinen nicht die einzigen zu sein, die NIE Daten löschen. AT&T hat eine lange Tradition der Kooperation mit der US-Regierung, siehe weiter unten) Meta Daten sind die Stammdaten der Kunden mit Bankverbindung und ähnlichem und alle Gesprächsdaten wie wann, von welchem Ort, wen und wie lange. Ausgenommen von diesem Gerichtsbeschluss sind (zumindest theoretisch und auch nur für US-Bürger) die einzigen Daten, die bisher in den USA wirklich den Beschluss eines ordentlichen Gerichts benötigten, das sind die Gesprächsaufzeichnungen selbst (Aktualisierung 16.6.: Die NSA soll die Telefongespräche von bis zu einer Million Menschen, die auf einer Verdächtigen-Liste stehen, standardmäßig aufzeichnen). Man kann davon ausgehen, dass auch andere US-Telefongesellschaften ihre Daten täglich abliefern müssen, diese vollständige und tägliche Datenübertragung von Verizon begann einige Tage nach dem Attentat in Boston. CNET berichtet dann am 16.6., dass auf der Basis der FISA-Gesetzes für das Abhören von nationalen und internationalen Telefongesprächen, sowie das Lesen von E-Mails, SMS oder Instant-Messages nicht einmal richterliche Anordnungen durch das Geheimgericht FISC notwendig sind sondern jederzeit durch NSA-Mitarbeiter selbständig durchgeführt werden. Ebenso zugänglich sind die Daten, die aus den Internet-Backbones abgezweigt werden. Laut Jerrold Nadler, einem Mitglied des US-Repräsentantenhauses, kann jeder Analyst der NSA sich bei Verdacht Zugang zu diesen Informationen beschaffen.
Es werden Zahlen über die Größenordnungen der Anfragen berichtet. Für das 2. Halbjahr 2012 berichtet Facebook über Anfragen zu 18.000 bis 19.000 Profilen (davon wurden angeblich 79% beantwortet), Microsoft Anfragen zu 6.000 bis 7.000 Nutzern. In beiden Fällen werden die Anfragen zu lokalen kriminellen Aktivitäten und "nationaler Sicherheit" zusammen gemeldet und es ist unklar, ob dabei einige Formen der Datenabfragen exkludiert sind. Google hatte bereits (so wie Microsoft) einen Transparenz-Report veröffentlicht, sie warten auf eine Freigabe, spezifischere Daten veröffentlichen zu dürfen. Apple berichtet von 9.000 bis 10.000 betroffenen Kundenkonten. Yahoo berichtet von "bis zu 13.000 Anfragen von US-Sicherheitsbehörden", sie haben nicht gesagt, wie viele Personen davon betroffen sind. In 2012 gab es für alle Dienstleister zusammen 1.850 FISA Requests (die jeweils gleich sehr viele Leute betreffen können, bis hin zu einem ganzen Land in 1 Request) und 15.000 NSLs (National Security Letter). Aus den Slides geht aber hervor, dass derzeit (2013) 100.000 Personen in Echtzeit überwacht werden. Ich weiß nicht, ob dabei bereits eingerechnet ist, dass die NSA "2 degrees of separation" von verdächtigen Personen überwacht. D.h. überwacht wird, wer mit jemandem Kontakt hatte, der Kontakt hatte mit einem Verdächtigen, z.B. von diesem per Email angeschrieben wurde. Die Behörden legen übrigens großen Wert darauf, dass alle PRISM-Überwachungen nur gegen Ausländer und nicht gegen US-Bürger gerichtet sind (aber diese Behauptung hat sich dann auch als ziemlich falsch herausgestellt: Alle werden überwacht und ihre Daten ausgewertet.) Die (inkorrekte) Aussage, dass US-Bürger nicht betroffen seien, ist eine Folge des anderen Privatsphäre-Schutz-Konzepts nach US-Recht - siehe Kasten rechts. Nicht-US-Bürger (die keinen Schutz unter den US-Gesetzen genießen) sind natürlich wir alle hier in Europa mit unseren Gmail-, G+, Facebook, iTunes, iCloud und Hotmail-Accounts und den Suchanfragen über Google oder Bing. Es gab in 2012 sogar Verhandlungen zwischen den USA und der EU, die EU-Bürger von FISA-Überwachungen auszunehmen, aber "Obama administration convinced EU to drop measure that would have blocked NSA spying". Außerdem haben wir ja unsere eigenen Sicherheitsbehörden; der Spiegel berichtet, dass der bundesdeutsche BND seine Überwachungen ausweiten will und der österreichische Heeres-Nachrichtenamtes (HNA oder HNaA) bestätigt seine Zusammenarbeit mit anderen Diensten.
|
|||||||||||||||
Gibt es sichere Messaging-Dienste? (Messenger-Dienste) (Stand Sommer 2021)JA! Es gibt, Stand Sommer 2021 eine ganze Reihe von Messaging Diensten, die Ende-zu-Ende verschlüsseln und als "sicher geben Abhören" bezeichnet werden können. Einen sehr guten Ruf hat Signal von der gemeinnützigen Signal-Stiftung. Viele andere Messenger verwenden ebenfalls das Signal-Protokoll. Der Qellcode von Signal ist "open source", d.h. er kann und wird auf Unsicherheiten kontrolliert. Ebenfalls einen sehr guten Ruf hat der Schweizer Messenger Threema, der den Vorteil hat, dass er im Gegensatz zu den meisten anderen Diensten nicht einmal eine Telefonnumber benötigt und einen exzellenten Ruf hat. Seit Dezember 2020 liegt der Quellcode von Threema offen und es gibt unabhängige Audits. Bei den sicheren und datenschonenden Diensten ist auch noch Matrix zu erwähnen. Dies ist eine quell-offenes Kommunikationsprotokoll für das es viele unterschiedliche Programme, z.B. Element auf vielen unterschiedlichen Geräten, nicht nur Smartphones. Das System gilt als sehr sicher, kann modifiziert werden und wird von einigen Behörden, z.B. der Bundeswehr und allen französischen Ministerien und Behörden auf nationaler Ebene eingesetzt. Bei Telegram kann ausgewählt werden, ob eine Zwischenspeicherung in Klartext oder Ende-zu-Ende-Verschlüsselung genutzt werden soll. Ein Standort für Entwicklung wird nicht angegeben, die Gründe stammen aus Russland und bezeichnen sich als 'digitale Nomaden'. Telegram wird auf Grund der Vermarktung als vermeintlich sicherer Dienst unter anderem auch von Aktivistengruppen, Rechtsextremen, Terroristen, Pädophilen genutzt. Seine wirkliche Sicherheit kann nicht geprüft werden, weil sein Quellcode nicht offen liegt. WhatsApp wurde 2014 von Facebook gekauft. Die Sicherheit gegen Abhören ist mittlerweile wohl recht gut was die Inhalte der Messages betrifft, aber die sog. Metadaten, d.h. wer hat wann mit wem kommuniziert wird mit den gesamten Facebook-Profildaten abgeglichen und integriert. D.h. Sicherheit gut, Datenschutz schlecht. Auch hier liegt kein Quellcode offen. Skype (seit 2011 Microsoft) hatte im Zuge der Snowden Veröffentlichungen keine gute Presse. So wurde bekannt, dass es eine chinesische Version von Skype gibt, die Verbindungsdaten an die Behörden übertragen kann. Die anderen Versionen kommunizieren verschlüsselt, aber Microsoft behält sich (wie alle die großen US-Firmen) in den AGB grundsätzlich vor, alle anfallenden Daten zu nutzen. Gerüchte über Zusammenarbeit mit Behörden (Hintertüren) gibt es mindestens seit 2009. Dies ist auch Thema der Snowden Leaks. iMessage von Apple funktioniert nur zwischen Apple-Kunden, was die Reichweite etwas einschränkt. Die technischen Details sind geheim, aber die Inhalte werden wohl Ende-zu-Ende verschlüsselt.
|
|||||||||||||||
QUANTUM und QUANTUMCOOKIE - die Angriffswerkzeuge der NSANachdem die NSA in der Lage ist, mehr oder weniger beliebig die Knotenpunkte im Internet anzuzapfen, haben sie an diesen Knotenpunkten Rechner aufgestellt, die zum sog. QUANTUM Programm gehören. Das Programm ist recht clever und eignet sich nicht nur für Abhören, sondern auch für die Übernahme der Zielrechner. Der erste Schritt ist die Identfizierung des Datenverkehrs der Zielpersonen. Dafür wird der gesamte Datenverkehr der über die Schnittstellen läuft mittels Programmen wie TURMOIL oder XKEYSCORE in Bezug auf Schlüsselworte analysiert. Wenn dann eine Zielperson identifizert ist, so beginnt der Angriff mittels Packet Injection (dies wird auch Man-on-the-Side Angriff genannt). Der QUANTUM-Rechner der NSA steht "neben" dem Datenstrom, d.h. er unterbricht ihn nicht wie bei einem Man-in-the-Middle Angriff, er fügt in den Datenstrom von der legitimen Website zum Browser des Opfers zusätzliche Datenpakete ein. Dies kann z.B. zusätzlicher HTML-Code sein, der den Browser auf andere Websites lenkt.
Ein ganz wichtiger Aspekt ist die Nutzung von Cookies von Google (oder Facebook, Yahoo!, Microsoft, LinkedIn, Slashdot, etc). Dazu muss das Opfer nicht selbst auf eine dieser Websites gehen, der QUANTUM-Rechner bringt den Browser des Opfers dazu, eine (oder mehrere) dieser Domainen aufzurufen (z.B. durch Abruf einer Werbung von Google Adwords die auf ganz vielen Websites integriert ist) und dabei sendet der Browser automatisch den entsprechenden Cookie mit, bei Google z.B. den PREF Cookie. Auf diese Weise kann die mitlauschende NSA den Cookie auch auslesen und das Opfer ist nicht mehr anonym, sondern seiner Google- oder Facebook-ID zugeordnet. Wenn die NSA dann neugierig auf diese Person geworden ist, so dringen sie mit dieser Technik auch in den Rechner ein. Dafür wird der Browser des Benutzers auf einen FOXACID Server weitergeleitet der dann einen QUANTUMINSERT durchführt. Die Technik ist wieder das Einschieben von zusätzlichen Datenpaketen in den Datenstrom zum Browser. Das geht z.B. mittels einer modifizierten Version des Google Analytics Scripts ga.js, das immer dann aktiv wird, wenn das Opfer irgendeine der vielen Websites besucht, die Google Analytics verwenden. Oder der Browser wird dazu gebracht, dass er ein geeignetes "böses" Java-Applet runterlädt, mit dessen Hilfe dann eine Software wie die FinFisher Spyware installiert wird. Die Identifikation funktioniert aber nur wenn der Benutzer einen Cookie einer dieser Websites gespeichert hat und er funktioniert auch nur, weil noch nicht alle diese Dienste auf zwingendes HTTPS umgestellt sind. Dann wäre die Identifizierung der Opfer über diesen Angriff in dieser Form nicht mehr möglich - immer noch möglich wäre jedoch das Einfügen von unverschlüsselten Schadsoftware-Aufrufen in den verschlüsselten Datenstrom (maximal gäbe es dabei eine Browserwarnung). Und das Ganze funktioniert natürlich mit Smartphones genauso. Seit Frühjahr 2014 kennen wir die Erweiterung TURBINE, mit deren Hilfe solche Infektionen nicht nur gezielt, sondern auch flächendeckend eingesetzt werden können. Mit Hilfe von TURBINE können mehrere Millionen Implants auf fremden Rechnern installiert und verwaltet werden. Mehr dazu weiter unten unter CNE durch TAO und der SpyWare-Katalog
|
|||||||||||||||
MUSCULAR - Abfangen des internen Datenverkehrs von Google und Yahoo (und vermutlich auch allen anderen)Ende Oktober wird bekannt, dass die NSA mit viel technischer Unterstützung durch den britischen GCHQ es geschafft hat, die privaten "dedicated" Lichtleiter anzuzapfen, über die internationale Cloud Provider die Daten zwischen ihren weltweiten Rechenzentren synchonisieren. Die Zeichnung rechts zeigt, dass der Datenverkehr von den Nutzern zur Google Infrastruktur (heute) sauber mit SSL verschlüsselt ist, aber Google bisher den Datenverkehr zwischen seinen Rechenzentren oft unverschlüsselt gesendet hat. Die Berichte erwähnen nur Yahoo und Google als Opfer dieser Aktivität, aber wir müssen heute in diesem Zusammenhang immer mit der Schlimmsten rechnen. Das bedeutet aber auch ziemlich sicher, dass PRISM weitgehend "Schein" ist. Die NSA hat die Daten bereits, die sie über den FISA-Court dann offiziell und aktentauglich anfordert. Oder nur "Schein" war, falls jetzt wirklich die Industrie großflächig starke Verschlüsselungen erzwingt und MUSKULAR dann hoffentlich nichts mehr bringt. Auf diese Weise kommt die NSA an die gesamten Datenbestände, z.B. alle Mails die in der Gmail-Mailbox gespeichert sind. Diese Vorgehensweise ist ein juristischer Trick: Innerhalb der USA wären die Zugriffe auf die Daten von US-Bürgern nicht erlaubt, aber die Gesetze sind ziemlich alt und gehen davon aus, dass die Daten der Bürger eines Landes innerhalb der Grenzen dieses Landes bleiben, im Ausland ist der NSA so ziemlich alles erlaubt. Das wird hier ausgenutzt. Für uns als Europäer ändert sich durch diese Veröffentlichung nicht wirklich viel: Unsere Daten waren unter den US-Gesetzen immer von vogelfrei. Die Veröffentlichung macht jedoch deutlich, mit welcher Datengier die NSA (und andere Geheimdienste vorgehen). Google hatte bereits vor einigen Monaten angefangen, diese Synchronisierungsströme zu verschlüsseln, aber die Geräte die diese Bandbreiten verschlüsseln können sind ziemlich teuer, sie sind nicht flächendeckend im Einsatz. Wir haben hier das große Dilemma aller Cloud-Dienste: Cloud heißt immer "meine Daten auf einem fremden Rechner". Das kann als sicher betrachtet werden, wenn die Daten bereits vor dem Absenden an den Cloud-Provider lokal, mit einem nur lokal verfügbaren Schlüssel verschlüsselt werden.
|
|||||||||||||||
Handys geben den Aufenthaltsort und Smartphones mit Spielen wie Angry Birds geben noch viel mehr preisIm Dezember 2013 wird veröffentlicht, dass unter dem Stichwort CO-TRAVELLER täglich 5 Milliarden Handy-Locations (Standortdaten) gesammelt und analysiert werden. Dies geschieht wohl durch den Zugang den die NSA hat zu den Datenverbindung zwischen den Mobilfunk-Providern. Dabei scheint es so zu sein, dass diese, um das Roaming technisch so einfach wie möglich zu gestalten, sich gegenseitig weitgehende Zugriffsrechte in die Datenbank der bei ihnen eingebuchten Geräte zu geben ("flat trust model"). Dadurch muss die NSA gar nicht alle Zugriff auf alle Provider zu haben um an deren Kundendaten zu kommen. Aus Sicht der NSA sind die Standortdaten eine Goldgrube. Daraus ergeben sich über jeden Einzelnen bereits so sensible Informationen wie Besuche bei Kirchen oder Moscheen, Krankenhhäuser, Versammlungsorte von Parteien oder Organisationen, Orte bei denen es zu Demonstrationen kam, etc. Noch viel ergibiger ist die mathematisch komplexe Analyse der anderen Handys, die für einige Zeit am gleichen Ort waren. Dabei gibt es natürlich viele "false positives" (alle Mitfahrer in der gleichen U-Bahn), aber wenn das Netz der Verkehrsmittel damit kombiniert wird so fallen alle heraus, die auch bei mehrmaligem Umsteigen zusammen reisen, bzw. die dann gemeinsam an einem Ort aufhalten. Daraus werden Netzwerke gebildet, die mit anderen Erkenntnissen überlagert werden, z.B der Surf-History im Internet, den Kontaktdaten in Social Networks, den Adressbüchern im Smartphone, dem Kaufverhalten bei Webshops. Auf diese Weise entstehen auch neue "Verdächtige". Genauso wie jeder verdächtig wird, der seine Emails verschlüsselt, so fallen auch alle Personen auf, die ihre Handys immer nur kurz einschalten um zu telefonieren. Ebenso wird ausgewertet, wann ein Handy (eine SIM-Karte) zum letzten mal genutzt wurde (und dann nie wieder). Die Rechner suchen dann nach einem anderen Gerät das kurze Zeit später zum ersten mal eingeschaltet wurde und verknüpfen die beiden, zusammen mit einem großen Ausrufezeichen. Januar 2014 - Nicht mehr furchtbar überraschend: NSA hat täglich fast 200 Millionen SMS ausgewertet. Es gibt bei den SMS auch einiges, was recht privat ist - Zitat: Auch Textnachrichten von Banken an ihre Kunden wurden den Berichten zufolge ausgewertet, um an Kreditkartennummern zu gelangen. Das Programm läuft unter dem Namen DISHFIRE. Dabei geht es gar nicht so sehr um die Texte die die Benutzer eintippen. Viel interessanter sind eher strukturierte Texte, z.B. die Benachrichtungen über entgangene Anrufe und hinterlassene Sprachnachrichten (Vernetzungen), Nachrichten über Roaming-Gebühren die auf Auslandsaufenthalte hinweisen, alles was Banken und Kreditkartenfirmen verschicken, inkl. der mTANs mit Betrag und Empfängerkonto. Auch interessant sind die elektronischen Businesscards, die mittels SMS ausgetauscht werden. Präsentationen der NSA und des GCHQ verraten auch eine große Begeisterung gegenüber anderen Smartphone-Funktionen. Das Hochladen eines Fotos in ein Social Network gibt tonnenweise Daten, die EXIF-Infos im Foto bis zu den Freunden, mit denen es geteilt wird. Angry Birds von Rovio wird in vielen Präsentationen als Beispiel genutzt. Mit angeblich 1,7 Milliarden Downloads arbeitet Rovio eng mit den großen Werbenetzwerken wie Google und Burstly zusammen. Aber speziell ihr Partner Millenial Media betont, dass seine Nutzerprofile neben dem Namen, Haushaltsgröße, Haushaltseinkommen, dem jeweiligen Standort, etc. auch noch ethnischen Hintergrund, Beziehungsstatus und sexuelle Orientierung enthalten. Rovio war für das intensive Datensammeln von Angry Bird bereits früher kritisiert worden. Die Geheimdienste machen es sich einfach: sie fangen den unverschlüsselten Datenverkehr aus Angry Birds und anderen Apps einfach App. So ist es für alle am einfachsten, die NSA hat keine zusätzlichen Mühen und die Firmen können jegliches Wissen abstreiten. Diese Apps, zu denen auch Farmville von Zynga und Call of Duty von Activision gehören, werden von NSA und GCHQ als "leaky" bezeichnet. Für alle, die glaubten, sie könnten durch Ausschalten des Geräts ungetrackt bleiben haben die Präsentationen auch eine Information: GCHQ berichtet von Tools, mit denen sie ein Mikrophon einschalten können, bzw. auch ein ausgeschaltetes Smartphone aktivieren. Vermutlich ist nur das Entfernen der Batterie ein wirklich sicherer Schutz gegen Tracking - wie die iPhone Nutzer das hin bekommen, ist noch offen. ;-)
|
|||||||||||||||
Deutschland und ÖsterreichUnter welcher besonderen "Betreuung" Deutschland dabei steht, zeigen einige Zahlen die der Spiegel veröffentlicht hat:
Aber das Ganze funktioniert auch umgekehrt: In einem anderen Spiegel-Artikel wird berichtet, dass der BND Abhör-Technologie aus den USA bekommt und heftig mit der NSA zusammenarbeitet:
Im Rahmen der Berichte über die PRISM-Affäre gibt es Schätzungen über den Umfang der Überwachung der großen Switche in Deutschland durch deutsche Behörden: Internet-Austauschknoten als Abhörziele:
Der Artikel geht auch auf die Situation von US-Firmen in Europa ein:
Wenig unerwartet ist es in Österreich ähnlich, es gibt Meldungen über enge Zusammenarbeit und die NSA hat auch in Wien eine Niederlassung. Wie sehr die Behörden auch in Deutschland unsere Spuren im Internet nutzen zeigt die Zahl von "etwa 7 Millionen Abfragen [zur Identitätsfeststellung] jährlich und bis zu 70.000 Abfragen pro Tag" die über die über die Bundesnetzagentur ausgeführt werden. Das sind überraschende 9% der Bevölkerung, die da ausgeforscht werden sollen, eine erschreckend hohe Zahl, kaum erklärbar mit dem Kampf gegen Terrorismus.
Juni 2014:
Juli 2014:
Sept. 2014:
März 2015:
März 2015:
|
|||||||||||||||
Der britische Geheimdienst GCHQ und die britische PolizeiEine weitere Enthüllung aus den Snowden Papieren wird in diplomatischen Kreise für einige Aufregung sorgen: beim G20 Gipfel in 2009 in London wurden die Telefone von Teilnehmern überwacht und im "Internet-Café" der Konferenz PCs mit Key-Logger (zum Erfassen der Passworte für Webmail) und Spionage-Software eingesetzt (z.B. den Datenverkehr im Festnetz und WLAN mitgeschnitten). Man sei in Blackberrys und andere Smartphones der Delegierten eingedrungen und NSA-Mitarbeiter hätten rund um die Uhr verfolgt, wer wen anruft (das klingt nach IMSI-Catcher). Zitat:
Der britische Geheimdienst GCHQ unterhält seit 2012 offiziell das Projekt Tempora, mit dessen Hilfe große Mengen des transatlantischen Datenverkehrs gefiltert werden können. (Aktualisierung: Ebenso der Datenverkehr von und nach dem Nahen Osten, wie dieser Artikel zeigt: UK’s secret Mid-East internet surveillance base is revealed in Edward Snowden leaks.) Der nächste Artikel erklärt dann, dass auch deutsche Netze mittels einer Kooperation mit British Telekom, Level-3, Viatel, Interoute, Verizon und Vodafone abgehört werden können, da einer großer Teil auch des innerdeutschen Verkehrs über internationale Kabel fließt. Durch Druck auf die Firmen die die Internet Exchanges ("Intercept Partners") betreiben werden diese gezwungen, entsprechende Abhörgeräte in ihre Netze zu integrieren. 2012 konnten sie von 200 Fibre-Optic Kabeln zu je 10 Gigbit 64 gleichzeitig filtern, die Kapazitäten werden ständig ausgebaut. Zitat:
Zu den Triggern: "The criteria are security, terror, organised crime. And economic well-being." Letzteres klingt stark nach Wirtschaftsspionage. Zum Umfang 2012/2013: 600 Mio Telephone Events, die Inhalte werden 3 Tage aufbewahrt, die Meta Daten 30 Tage. Es geht immer weiter: UK: Polizei überwacht Bürger in sozialen Medien. Ein 17-köpfiges Team innerhalb der britischen Metropolitan Police überwacht flächendeckend die öffentlichen Konversationen aller Bürger. Das Projekt heißt Socmint. Welche Probleme die Überwachung der Social Networks und der privaten Kommunikation selbst für ganz unschuldige Bürger bringen kann, wird an anderer Stelle diskutiert.
Juli 2014: Und dazu passend: Großbritannien: Notstandsgesetz für mehr Überwachung passiert Parlament. D.h. das bleibt alles auch weiterhin "legal". :-( Wie auch immer jeweils der "Notstand" konstruiert wird.
|
|||||||||||||||
Die brasilianischen VeröffentlichungenEnthüllungen in Brasilien Sept. 2013 geben Details zu britischen Aktivitäten unter dem Decknamen Flying Pig (Die Details finden sich in dem langen Video, gegen Ende werden viele PPT-Slides gezeigt). Der große Aufwand um Petrobras auszuspionieren ist ein gutes Beispiel, dass es sehr wohl im Wirtschaftsspionage geht, es ist unwahrschenlich, dass die NSA dort Terrroristen vermutet haben. Dies steht den ständigen Beteuerungen gegenüber, dass es wirklich nur um Terrorismus ginge - es wird gelogen, dass sich die Balken biegen, auch gegenüber Parlamentsgremien bei denen eine Wahrheitspflicht besteht. Durch die stückweisen Veröffentlichungen (und der anscheinenden Unkenntnis, welche Papiere Snowden alles hat), ist ein effektives Lügen zum Verschleiern der Wahrheit extrem schwierig. In dem Video und in dem vorher verlinkten Artikel finden sich die Details zu Man-in-the-Middle Angriffen gegen Google. Dabei werden auch Details zum "Knacken" der HTTPS (SSL)-Verbindungen erwähnt. Der Datenverkehr von "interessanten" IP-Adressen wird umgeleitet und dort wird offenbar ein gefälschtes SSL-Server-Zertifikat präsentiert ("the spy agencies have been forced to resort to so-called “man-in-the-middle” attacks to circumvent the encryption by impersonating security certificates in order to intercept data"). Ob das im Zusammenhang mit dem Diginotar-Hack steht ist nicht ganz klar. Auf jeden Fall hat Google im Chrome-Browser eine Prüfung eingebaut, die solche Angriffe verhindern soll (wenn der Benutzer mittels Chrome zu einer Google-Website geht - die Verhinderung nennt man Certificate Pinning).
|
|||||||||||||||
Der britische Angriff auf BelgacomDer Spiegel bringt die Originalfolien zum Angriff auf die Core-Infrastruktur von Belgacom. Damit haben wir jetzt ein gut dokumentiertes Beispiel für das heimliche Anzapfen von Datenübertragungs-Backbones, wie das in den USA mit Hilfe der Provider geschieht, ist weiter unten beschrieben. In den Folien steht die Abkürzung CNE für Computer Network Exploitation, d.h. die Ausspähung von Computersystemen. GRX Router sind Netzknoten, die in Mobilfunknetzen das Roaming zwischen verschiedenen Netzen ermöglichen. MiTM steht für "Man in the Middle" Angriffe, die aber nur möglich sind, wenn entweder kein HTTPS eingesetzt wird, oder aber die SSL-Zertifikate in den Apps nicht überprüft werden, was aber leider bei sehr sehr vielen Apps der Fall ist (siehe voriger Link). Im Nov. 2014 wird bekannt, dass bei diesem Angriff die Software eingesetzt wurde, die bereits 2011 von Anti-Malware-Firmen Regin genannt wurde und wohl seit 2003 im Einsatz ist. Im Dez. 2014 wird dann eine ausführliche Timeline des Belgacom-Angriffs rekonstruiert.
|
|||||||||||||||
Anzapfen der zentralen Datenübertragungs-Backbones im Internet
INCENSER, das Anzapfen der Backbone Kabel durch NSA und GCHQIm Dezember 2014 werden die Details bekannt, wie das Anzapfen der Kabel in England bewerkstelligt wird. Die Details finden sich in INCENSER, or how NSA and GCHQ are tapping internet cables. In dem Bericht kommen dann viele Aspekte wieder zusammen, z.B. TEMPORA, XKEYSCORE die an anderer Stelle in diesem Artikel beschrieben werden. Sehr hilfreich beim Anzapfen ist die britische Firma Cable & Wireless, die 2012 von Vodafone gekauft wurde. Der ausführliche Bericht erwähnt auch NARUS, das im Anschluss beschrieben wird und das die eigentliche Filterung durchführt.
Stichwort "NARUS"Eine Technik, deren illegale Nutzung in den USA bereits 2006 in den Räumlichkeiten von AT&T entdeckt wurde und die zu einiger Aufregung führte (aber trotzdem weitergeführt wird) verwendet Geräte der Firma NARUS, die auch in Daten-Backbones sehr hoher Übertragungskapazität (bis zu 10 Milliarden bits of data per second =10 Gbit/s) den Datenstrom inhaltlich analysieren kann, und dabei einzelne E-Mails oder auch Telefongespräche nach Schlüsselworten durchsuchen kann. Siehe dazu auch: Whistle-Blower Outs NSA Spy Room. Der Vorteil dieser Technik für die Überwachungsbehörden ist, dass damit nicht nur reguläre Telefonate, sondern auch VoIP-Gespräche (wie z.B. über Skype), aber auch E-Mail, Chat und Websurfen leicht überwacht werden können. Das Anzapfen der Leitungen geht am besten dort, wo sie in sog. Internet Exchanges bequem zugänglich sind. Dass aber auch Unterseekabel angezapft werden können, das erklärt der verlinkte Artikel.
Wie der Guardian berichtet 2013 wird selbst beim Verkauf von US-Telekommunikations-Unternehmen an Firmen in anderen Ländern ausgehandelt, dass die USA weiterhin Zugriff auf die Daten behalten. In allen US-Telekommunikations-Unternehmen (und ihren Töchtern im Ausland) sind NSA-Mitarbeiter eingestellt. Einen großen Teil des Abfangens der Daten übernimmt der britische Geheimdienst GCHQ. Er unterhält seit 2012 offiziell das Projekt Tempora, mit dessen Hilfe große Mengen des transatlantischen Datenverkehrs gefiltert werden können. Ebenso der Datenverkehr von und nach dem Nahen Osten, wie dieser Artikel zeigt: UK’s secret Mid-East internet surveillance base is revealed in Edward Snowden leaks. Ein kanadischer Wissenschaftler hat untersucht, mit welchem Aufwand der gesamte Internet-Verkehr der USA abgehört werden könnte. Er findet dabei heraus, dass es nur 18 Punkte sind, durch die 99% des Datenverkehrs fließen. An diesem Stellen können solche Systeme wie NARUS angeschlossen werden und dann ist der gesamte Internetverkehr, soweit er über die USA läuft, zugänglich. Die ursprüngliche Idee, dass der Datenverkehr im Internet immer die optimale Route verwendet, ist längst Geschichte. Der Datenverkehr ist gut reglementiert und kontrolliert.
CNE durch TAO und der SpyWare-KatalogIn Snowden Papieren wird auch dargestellt, wie die NSA an einen großen Teil des Internet-Datenverkehrs kommt. Sie verwenden dabei eine Technik, die sie Computer Network Exploitation (CNE) nennen. Die Unterlagen zeigen, dass sie damit (ca. 2012) an 50 000 Knotenpunkten des Datenverkehrs direkten Zugriff haben. Diesen Zugriff bekommt die NSA, indem ihre "Hacking Abteilung" mit dem Namen TAO (Tailored Access Operations) gezielt diese System angreift, Schwachstellen sucht und die Kontrolle übernimmt. Auch Belgacom ist nur einfach einer dieser 50 000 Knotenpunkte. Der (unter TAO) verlinkte Spiegel Artikel geht sehr ausführlich auf diese Spezialistentruppe ein. Die Truppe war 2004 gegründet worden, und verwaltete anfangs nur ca 100 bis 150 infizierte Rechner. TAO benutzt sehr unterschiedliche Techniken, von einfachen Phishing-Mails mit Links zu Schadsoftware bis hin zu den QUANTUM-Tricks, die weiter unten beschrieben werden. Eines der Papiere besagt, dass die Einheit zu diesem Zeitpunkt Zugriff auf 85 000 Computer weltweit hatte. Januar 2014- US-Geheimdienst hat inzwischen 100 000 Computer infiziert. Der folgende Spiegel Artikel verlinkt auf einen weiteren, der über die Unterabteilung ANT (Advanced oder Access Network Technology) berichtet. Dies sind die Handwerker, die einen 50-seitigen Katalog anbieten, indem sie beschreiben, welche Tools sie alle entwickelt haben.
Infektionen auf dem Transportweg oder später online
Diese NSA-Einheit hat auch "Implants" für die Harddisks von Western Digital, Seagate, Maxtor und Samsung. Einige der in diesen Artikel genannten Firmen dementieren, aber DELL macht die kryptische Aussage: DELL "respects and complies with the laws of all countries in which it operates." Das kann alles bedeuten. Seit Frühjahr 2014 kennen wir die Erweiterung dieses Programms namens TURBINE, mit deren Hilfe seit ca. 2010 solche Infektionen nicht nur gezielt, sondern auch flächendeckend eingesetzt werden können. Mit Hilfe von TURBINE können mehrere Millionen Implants auf fremden Rechnern installiert und verwaltet werden. TURBINE wird als Teil der Aktivität "Owning the Net" geführt. Einige der nun bekannt gewordenen Implants sind z.B. CAPTIVATEAUDIENCE mit dessen Hlfe man beim infizierten Rechner das Mikrofon aktiviert und die Gespräche im Umfeld aufnimmt, GUMFISCH, das die Webcam aktiviert und Fotos macht oder FOGGYBOTTOM das die Browing-History, komplett mit Benutzernamen und Passworten zurücksendet. Passworte werden mittels GROK aufgezeichneit (Keylogger) und SALVAGERABBIT zieht Daten von USB-Sticks ab. (die Details in How the NSA Plans to Infect ‘Millions’ of Computers with Malware). HAMMERCHANT und HAMMERSTEIN werden gegen Router eingesetzt und können z.B. VPN-Verbindungen (virtual private network) abhören. So werden wohl auch die VoIP-Verbindungen wie Skype abgehört. QUANTUMSKY blockiert sein 2004 den Zugriff der Zielperson zu bestimmten Websites und QUANTUMCOPPER verhindert seit 2008 korrekte Filedownloads. WILLOWVIXEN war eine ältere Methode um die Rechner von Zielpersonen mittels Spam-Mails zu infizieren, dies klappt jedoch heute kaum noch. Daher seit 2010 QUANTUMHAND als Man-on-the-Side Technik das eine sichere Infektion erlaubt (siehe oben). Seit 2012 kann SECONDDATE “influence real-time communications between client and server” und “quietly redirect web-browsers to NSA malware servers called FOXACID” (mit dem auch TOR angegriffen werden kann). (Mehr Details darüber, wofür TOR gut ist und wofür nicht, in diesen 2 Artikeln hier: Tor users: Do not expect anonymity and end-to-end security und "Real World Use Cases for High-Risk Users".) 2015 wird bekannt, dass die NSA sogar die Firmware in allen gängigen Magnetplatten überschreiben kann und durch eine Version ersetzen, die ihnen einen Speicherbereich bietet, der für das Betriebssystem und die Virenscanner nicht sichtbar ist. Außerdem haben sie sich die Schlüssel von vielen (oder einigen? oder allen?) SIM-Karten der Handys und Smartphones besorgt. Die NSA hat auch einen Trojaner, der im BIOS eines Mainboards steckt und das RAM auslesen kann.
"I hunt sys admins"
März 2014: Juristisch pikant ist dabei, dass bei den Sys Admins nicht wirklich gefragt wird, ob er/sie US-Bürger ist. Denn diese sind ja eigentlich für die NSA "off-limits". Die Begründung für die Vorgangsweise im Zitat:
In einem Artikel auf FM4 des ORF wird ein interessanter Gedanke aufgeworfen: Es kann nicht wirklich im Interesse der Geheimdienste wie z.B. NSA sein, die Cyberkriminellen und ihre Botnetze vollständig vom Netz zu nehmen. Die Aktivitäten der Kriminellen, z.B. mit ihren DoS-Attacken geben den Geheimdiensten eine gute Gelegenheit, ihre eigenen Aktivitäten dahinter zu verstecken. Und die Geheimdienste werden wohl in ihren Datenbanken der Sys Admins auch die Passworte der kriminellen Admins haben und könn(t)en auf diese Weise, bei Bedarf, z.B. für einen Angriff auf die russische Referendumswebsite auf der Krim, ohne großen Aufwand zu nutzen. Ob dies bereits der Fall war entzieht sich meiner/unserer Kenntnis.
|
|||||||||||||||
Das HACIENDA-Programm zum Sammeln von Angriffswerkzeugen
Sept. 2014:
RETRO und MYSTIC - die "Zeitmaschine" der NSA
März 2014: Das ist für die Analytiker sehr bequem: Wenn eine neue Zielperson bekannt wird, so können dessen Telefonate (und die seiner Kontaktpersonen) bis zu 30 Tage zurück nachträglich "abgehört" werden. Die NSA sagt nicht, welche Länder dies derzeit betrifft.
Mai 2014:
Das neue (2012) NSA Data CenterWired berichtet März 2012 über eine riesige Baustelle: NSA Is Building the Country’s Biggest Spy Center (Watch What You Say). Ziel ist, den gesamten Datenverkehr der Welt zu speichern und zu entschlüsseln und dann mittels Data Mining auszuwerten. Zitat eines ehemals Beteiligten, der mittlerweile "kalte Füße" bekommen hat und ausgestiegen ist:
Und das ist dann der wirklich perfekte totalitäre Staat, der wirklich alles über seine Bürger weiß, weil er die gesamte Kommunikation analysieren kann (derzeit alles bis auf Gespräche Face-to-Face im Café) und alle ihre Transaktionen (d.h. das Kaufen von Reisetickets, alle Geldtransaktionen die nicht über Bargeld laufen, etc). Kriminelle haben vermutlich viel weniger Probleme, dieser Überwachung zu entgehen als der Normalbürger. Die NSA hat zu dem Artikel in Wired Stellung genommen: NSA Chief Denies, Denies, Denies Wired’s Domestic Spying Story. Ein Artikel in der Futurezone berichtet ebenfalls über die neue Überwachungswelle in den USA. Leider betrifft das aber nicht nur die US-Bürger, sondern natürlich auch alle, die hotmail- oder gmail-accounts haben, oder die zur Suche im Web eine der US-Suchmaschinen benutzen (gibt es überhaupt eine nicht-US Suchmaschine?).
|
|||||||||||||||
Die politischen Angriffe der NSA gegen Verschlüsselungsalgorithmen
Sept. 2013:
Diese Aktivitäten sollen es der NSA (und GCHQ) ermöglichen, HTTPS-Verbindungen und IPSec VPN-Verbindungen zu entschlüsseln. Unklar ist derzeit, was dieser Satz bedeutet. Die meisten Experten gehen davon aus, dass auch die NSA mit ihren Resourcen nicht in der Lage ist, ALLE VPN-Verbindungen und alle HTTPS-Verbindungen abzuhören. Zitate:
Gleichzeitig gibt es Artikel, die nahe legen, dass die NSA in alle Handys reinschauen könne. Dagegen hält dieser Autor, dass die Gesetze der Physik auch für die NSA gelten: No, the NSA can't spy on arbitrary smartphone data. Er beschreibt dann viele der Angriffe und warum sie nicht flächendeckend einsetzbar sind (ich stimme mit dem Autor an den Stellen nicht überein, wo er schreibt "requires complicity with the carrier, which is near impossible" - das sehe ich bei US-Dienstleistern, die auch in Europa ihre Töchter haben, als kein Problem für die NSA). Außerdem gibt es neben der Mithilfe der Netzbetreiber für die Handynetze noch die Möglichkeit, die die Briten offenbar gegen Belgacom eingesetzt haben (siehe weiter unten). Eines der erklärten Ziele gegen war das Abhören von Handyverbindungen mittels Man-in-the-Middle Angriffen, was aber nur möglich ist, wenn entweder kein HTTPS eingesetzt wird, oder aber die SSL-Zertifikate in den Apps nicht überprüft werden, was aber leider bei sehr sehr vielen Apps der Fall ist (siehe Link). Aber in ein einzelnes gezielt ausgesuchtes Smartphone (oder einen PC) kann die NSA genauso gut wie die meisten anderen Geheimdienste auch, targeted attacks sind immer möglich. Was bedeutet das nun für alle, die ihre Daten nicht bereitwillig der NSA zur Verfügung stellen wollen. Bruce Schneier schreibt dazu im Guardian:
Das heißt, gezielte Angriffe gegen Einzelne sind immer möglich, indem der Endpoint, d.h. der PC oder das Smartphone gezielt infiziert wird. Flächendeckende Überwachung verschlüsselter Verbindungen ist ziemlich sicher auch für die NSA sehr aufwendig. Sonst wären sie ja nicht das Risiko eingegangen und hätten die unverschlüsselten Daten von Google, Apple, Microsoft, Facebook und allen anderen angefordert. D.h. mit längeren Schlüsseln und dem Vermeiden von Algorithmen die geschwächt wurden und dem Vermeiden von Closed-Source Software, speziell wenn sie aus den USA kommt, machen wir es der NSA immer noch schwer. Für die IT-Security-Profis unter den Lesern gibt Bruce Schneier auch gleich Hinweise über die Algorithmen und Schlüssellängen, die er immer noch für sicher hält. Außerdem wird in Post-Snowden Zeiten PFS immer wichtiger: Perfect Forward Secrecy. Dabei geht es um Implementierungen von Public Key Encryption, bei der die symmetrischen Schlüssel für die eigentliche Verschlüsselung der Datensätze so ausgehandelt werden, dass eine Aufbewahrung der verschlüsselten Daten für spätere Zeiten in denen die NSA die evtt. verwendeten Private Keys in ihrem Besitz gebracht hat, witzlos ist, weil die symmetrischen Schlüssel sich daraus nicht rückrechnen lassen. Hier ein weiterer Artikel über die Krypto-Aspekte. Für die Nicht-Profis gibt es weiter hinten Tipps und Tricks. Für die Profis hier noch interessante Links aus einem sehr guten Blog A Few Thoughts on Cryptographic Engineering. Hier aus dem Artikel On the NSA, Zitat.
Und der allerleichteste Angriff ist vermutlich in den meisten Fällen die Infektion des Geräts des Benutzers (egal ob PC, Mac, Tablett oder Smartphone). [Der Blog enthält auch eine sehr gute Erklärung von elliptic curve encrption und wie man das angreifen könnte.] Über eine (derzeit noch) reine Spekulation berichte ich an anderer Stelle: Die Möglichkeit, schon bei der Produktion von Computer-Chips eine Backdoor einzubauen. In einem ausführlichen und recht technischen Artikel untersucht ein Verschlüsselungsspezialist die Möglichkeiten die die NSA hat um Verschlüsselungen zu knacken.
|
|||||||||||||||
Handys orten und vielleicht auch abhören, wie geht das?
Z.B. mit einem IMSI CatcherBisher wurde, was Handys betrifft, hauptsächlich über die Metadaten gesprochen, d.h. wer hat wen um welche Zeit und von welchem Ort angerufen. Diese Daten geben wenn sie systematisch aufgezeichnet werden sehr viel über eine Person preis. Um an die eigentlichen Gesprächsdaten zu kommen oder um überhaupt festzustellen, wer sich an einem bestimmten Ort (z.B. einer Demonstration) aufhält gibt es ein paar zusätzliche Tricks. Wenn die Überwacher bereits in den Datennetzen sind, so können die Gespräche in den Datennetzen abgefangen werden, was für haben (z.B. weil dafür ein Richterbeschluss notwendig wäre), so kann der Zugriff auf Handys auch über die sog. Luftschnittstelle stattfinden. Dafür werden sog. IMSI-Catcher eingesetzt (auch "Cell Site Simulators" (CSSs) genannt). Mobiltelefone müssen sich, um funktionieren zu können, in eine sogenannte Funkzelle einloggen (auch Basis-Station, Base Station genannt). Das heißt, sie melden sich in einer Basissation an. Dabei werden die Gerätenummer (IMEI) und die Telefonkartennummer (IMSI) übertragen. Anhand der IMSI kann der Mobilfunkbetreiber u.a. feststellen, welche Telefonnummer dem angemeldeten Nutzer zuzuordnen ist und wer er ist. Dieses Prinzip nutzt der IMSI-Catcher. Ein IMSI-Catcher besteht aus einer Antenne zum "Fangen" und einem Laptop mit einer bestimmten Ergänzungssoftware. Der IMSI-Catcher täuscht vor, selbst eine Funkzelle eines bestimmten Providers zu sein. Wenn diese Funkzelle eine höhere Leistung als die anderen Funkzellen bietet melden sich alle aktiven Handys dieses Mobilfunkproviders (+ die ausländischen wegen Roaming) bei dieser trojanischen Funkzelle an. Generell buchen sich Handys in die stärkste umliegende Zelle ein. Der Radius der Zellen beträgt nur wenige Kilometer, in Innenstädten teilweise nur einige hundert Meter. Der Mitschnitt der über diese eingeloggten Handy-Geräte ist nun nur noch ein Kinderspiel. Da die Anlage nicht sehr viel Platz verschlingt, kann sie mobil in Autos eingesetzt werden. Viel mehr Details sind in dem Link im linken Block. Befindet sich der IMSI-Catcher nur im Fangmodus, kann niemand mit dem betroffenen Handy Gespräche führen oder empfangen. Selbst Notrufe zu Polizei, Feuerwehr oder Rettungsdienst sind von keinem der in der neuen Funkzelle eingebuchten Handys möglich. Im Abhörmodus wird beim Verbindungsaufbau die Verschlüsselung ausgeschaltet, so daß die Gesprächsinhalte zwar nach wie vor in digitaler Form, jetzt aber unverschlüsselt und mit entsprechender Software abhörbar vorliegen und aufgezeichnet werden können. Solange das Abhörgerät in diesem Modus arbeitet, kann mit keinem gefangenen Handy im Einflußbereich des Abhörgerätes eine Verbindung aufgebaut werden. Lediglich abgehende Gespräche des abgehörten Handys sind möglich.
Oktober 2007:
Weitere (traurige) Aktualisierung Dez. 2007:
Okt. 2007:
Dez. 2012:
AURORAGOLDIm Dez. 2014 wird ein Dokument publik, das ausführlich über das NSA Program AURORAGOLD berichtet. Das Ziel von AURORAGOLD scheint es zu sein, jedes Handy der Welt potentiell abhören zu können. 2 wichtige Abteilungen sind das "Wireless Portfolio Management Office" das die Abhörstrategien entwickelt, unterstützt vom "Target Technology Trends Center" das verhinert, dass die NSA von neuen und nicht überwindbaren Sicherheitstechnologien überrascht wird. AURORAGOLD nutzt u.a. aus, dass wie weiter oben beschrieben wurde, die NSA Zugänge zu einer sehr großen Zahl von Telekommunikationsanbietern hat (70%) (der verlinkte Artikel zeigt eine Karte auf der dargestellt ist, wie weit die Abdeckung reicht). Ein ganz wichtiger Aspekt der in dem Artikel behandelt wird, ist das Schwächen von Verschlüsselungsalgorithmen auf der politischen Ebene und das bewusste Einbringen von Verwundbarkeiten die das Abhören erleichtern. Ergebnis ist, dass nicht nur die NSA leicht abhören kann, sondern jeder der die entsprechenden Schwächen findet.
|
|||||||||||||||
Nutzung der integrierten Abhörfunktionen der zentralen Telefon-SwitcheWie bei den Profis Telefongespräche abgehört werden, ob Festnetz oder im Mobilnetz, das zeigt dieser sehr interessante technische Artikel in der IEEE Fachzeitschrift zum Abhörskandal in Griechenland in 2005. Bei dem Abhörskandal in Griechenland wurde die standardmäßige Funktionalität zum legalen Abhören nach Richterbeschluss ("wiretap") verwendet, jedoch ohne die dafür normalerweise verwendete Steuersoftware (IMS - Interception Management System in den Geräten von Ericsson), das eine Protokollierung der Überwachungen und damit eine Auditierung erlaubt. Dabei wird im zentralen Switch für die selektierten Rufnummern ein zweiter Datenstrom erzeugt, der auf ein Telefon weitergeleitet wird, wo eine Aufzeichnung stattfinden kann. Dabei werden alle Gespräche für diese Rufnummern oder von diesen Rufnummern dupliziert. Diese Funktionalität musste ab 1994 auf Grund des "CALEA -Communications Assistance for Law Enforcement Act" in alle US-Telefonswitches eingebaut werden. Kurze Zeit später 2006 wurde aus Italien ein ähnlicher Abhörskandal berichtet. Dass keine weitere Skandale bekannt wurden heißt nicht, dass diese Funktionalität nicht öfters außerhalb der Legalität genutzt wurde. 2015 tauchen Hinweise auf, dass die NSA damals in Griechenland die eingebauten Abhörfunktionen aktiviert hatte um die griechische Regierungsmitglieder abhören zu können. Die griechische Regierung hat 2015 einen internationalen Haftbefehl für einen CIA Mitarbeiter ausgestellt der angeblich die Schlüsselfigur dabei war.
Sehr ähnlich etwas später in Italien 2008: Telecom Italia spying probe. Ein ähnliches Problem wurde im Mai 2013 bekannt: chinesische Hacker griffen 2012 Google und andere Provider an und und konnten dann sehen, gegen welche ihrer Spione untersucht wird. Dafür haben sie evtl. die Überwachungsinterfaces von Google genutzt: U.S. enables Chinese hacking of Google. Hier ein weiterer Artikel mit Hintergrundinfo: China: Google attack part of widespread spying effort. Die Angreifer drangen in Systeme ein, die Google, Adobe und 32 anderen Firmen erlaubte, die Auskunftsersuchen der US-Behörden zu erfüllen. Chinesische Angreifer nutzen diese System für Recherchen zu chinesischen Kritikern. Ein ausführlicher Artikel aus 2019 mit der Position des Sicherheitsexperten Bruce Schneier zur grundsätzlichen Problematik von solchen Backdoors, die aktuell mal wieder heftigst gefordert werden. Der Artikel erklärt recht ausführlich, was die Problematik ist und verlinkt auf weitere Infos.
|
|||||||||||||||
Wie kann man sich gegen solche Überwachungen schützen?Dieser Abschnitt ist jetzt an anderer Stelle als eigener Artikel zu Schutz im Internet.
|
|||||||||||||||
Zeitleisten, lesenswerte Kommentare und Zusammenfassungen zur NSA-Snowden AffäreHier ist Kommentar von einem Ex-Chief Privacy Advisor von Microsoft Caspar Bowden, der mittlerweile ziemlich verunsichert ist, da er von diesen Aktivitäten nichts mitbekommen hätte. Er nutzt heute so weit wie möglich Open-Source Software. Er schreibt, dass Demokratie kaum noch möglich ist, wenn alle Politiker wissen, dass über jeden von ihnen ein Dossier vorliegt, das ihr gesamtes Internetverhalten aufzeigt und viele von ihnen erpressbar machen könnte (selbst Harmlosigkeiten wie Porno-Surfen kann für einen Politiker in christlichen Umfeld ein Karriereproblem sein). Zitat:
Ein wichtiger Anlass dieses Kapitels sind die extrem guten und ausführlichen Kommentare und Analyse von Bruce Schneier, die er im Rahmen seiner Monatlichen Newsletter sehr schön zusammenstellt und durch viele relevante Links ergänzt. Die Kommentare zu NSA und den Snowden Leaks begannen im Bruce Schneier Newsletter Juni Ausgabe. Er fasst deren Inhalte folgendermaßen zusammen:
Bruce Schneier schreibt in einem Artikel für The Atlantic What We Don't Know About Spying on Citizens: Scarier Than What We Know was alles an Abhörtechniken bekanntermaßen im Einsatz ist (eine lange erschreckende Liste, gut verlinkt), aber er spekuliert auch darüber, was wir alles noch nicht wissen, und das erschreckt ihn noch mehr. Und am Ende ruft er Mitarbeiter bei diesen illegalen Aktivitäten auf, selbst als Whisteblower aktiv zu werden. Dafür verlinkt er auf Anleitungen, wie man sicher solche Informationen an die Presse bekommt, Stichwort Strongbox vom New Yorker. Bruce Schneier macht noch einige weitere gute Bemerkungen:
Eine interessante literarische Verarbeitung des Themas des Vollständig-überwacht-Seins gelingt Andrea Maria Dusl im Standard: Offener Brief an die NSA: Mein digitales Ich. Bruce Schneier Newsletter Ausgabe Juli 2013:
Bruce Schneier Newsletter Ausgabe August 2013 setzt diese ausgezeichneten Kommentare fort (und verlinkt auf seine Quellen):
Bruce Schneier Newsletter Ausgabe September 2013 (weiterhin mit vielen weiterführenden Links):
Bruce Schneier Newsletter Ausgabe Oktober 2013 (mit vielen weiterführenden Links):
Ein interessantes Zitat von Richard Stiennon in Forbes. Botschaft an die NSA:
|
|||||||||||||||
Historisches und ältere Nachrichten zum Thema Abhören und Überwachen
Unschöne Entwicklungen in 20102010 war (auch) kein gutes Jahr für das Thema vertrauliche Kommunikation. Bruce Schneier fasst die Problematik und die aktuellen Entwicklungen sehr gut zusammen: Web snooping is a dangerous move. Indien, die Arabischen Emerite und Saudi Arabien verlangen von RIM, dass deren Blackberry-Smartphones, die bisher DIE Empfehlung für Firmen waren, die mit ihren Mitarbeitern sicher Emails austauschen wollen, abhörbar werden. Dafür müssen in den jeweiligen Ländern Server stehen, durch die alle Kommunikation geführt wird und in denen die entsprechenden Schlüssel für die Entschlüsselung verfügbar sind. In den USA verlangt die Administration von President Obama, dass ALLE Internet-Kommunikation abhörbar wird. Dies bedeutet zum Einen, dass der Datenverkehr vollständig durch zentrale Kontrollstellen geführt werden muss und dass verschlüsselnde Kommunikationsprodukte wie Skype eine Hintertür brauchen. Das mit den zentralen Kontrollstellen widerspricht dem derzeitigen Konzept von Skype das wie die meisten dieser Produkte "peer-to-peer" arbeitet. Dies bedeutet dass die eigentliche Chat- und Sprachverbindung direkt von den Endgeräten der Benutzer abläuft. D.h. wenn ein Kunde von UPC mit einem anderen Kunden von UPC "skyped" dann bleibt der Verkehr im lokalen UPC Sub-Netz in dem sich beide Endstellen aufhalten. Ein Abhören von Skype und ähnlichen Diensten (z.B. Microsoft Messenger) ist nur auf den Endgeräten selbst möglich. Als nächstes werden dann die verschlüsselten SSL-Verbindungen geöffnet werden müssen, dies scheint in einigen arabischen Ländern bereits geprobt zu werden. Derzeit muss für ein Abhören verschlüsselter Verbindungen eine Trojaner-Software auf dem Gerät installiert werden (der sog. Bundestrojaner), denn auf der Datenstrecke ist der Verkehr (noch) sicher. Das stört die Behörden in vielen Ländern, deswegen diese Forderungen. Aber was geht uns das an was andere Regierungen fordern? Sehr viel. - Wir nutzen nämlich die gleichen Produkte und wenn Skype und Blackberry und MS Messenger und alle anderen Kommunikationssysteme abhörbar, d.h. inherent unsicher werden so wird das sehr bald auch von unseren Behörden genutzt werden.
Unschöne Entwicklungen in 2011Da ist einmal auf den fortschreitenden Einsatz von Vorratsdatenspeicherung zu verweisen, sehr schön dokumentiert bei den Reisen des Herrn Spitz. Juli 2011: die englische Boulevardpresse hat jahrelang fremde Telefone (bzw. wohl korrekter) Sprachboxen, abgehört. Hier ein Test von Kevin Mitnick dazu: Kevin Mitnick shows how easy it is to hack a phone. Im Herbst berichtet die britische Guardian über eine Beschaffung bei der Londoner Polizei: Met police using surveillance system to monitor mobile phones. Dieses Gerät hört zwar keine Gespräche ab, aber spielt wohl "Base Station" und nimmt Kontakt mit bis zu 1000 Mobilfunkgeräten auf und ortet ihren Standort. Identifiziert werden sie an Hand von IMSI und IMEI, der Kennung der Sim-Karte und des Telefons selbst. Auf diese Weise kann die Bewegung einzelner Personen in einer Menschenmenge aufgezeichnet werden. Wie weit Technologie heute gehen kann zeigt ein NYT Artikel: Software That Listens for Lies. Der Artikel berichtet über das automatisierte Erkennen von Emotionen das u.a. dafür verwendet werden soll, Lügen zu erkennen. Aber natürlich kann diese Technik für viele andere Zwecke genutzt werden.
Unschöne Entwicklungen in 2012März 2012 (NSA Spy Center) und August 2012 (TrapWire: Wikileaks schürt Überwachungsängste) und im Sept. ähnliche Vorschläge in Europa: Clean IT. Telefonate, Faxe und ein großer Teil des Internetverkehrs wird abgehört. Darin wird z.B. erklärt, dass die USA, Großbritannien und Australien weltweit verteilte Abhörstationen betreiben, die z.B. die meisten Gespräche abhören, die auf Richtfunkstrecken laufen. Dies geschieht mit Hilfe von sehr tief am Horizont stehenden Satelliten, die die Strahlung empfangen, die an der Empfangsantenne vorbei geht. Aber auch Handy-Telefonate, die zwar verschlüsselt sind, sind alles andere als sicher. Aus dem Standard (siehe unten): Bei Telefonaten mit einem üblichen Handy nutzen Abhörer eine Schwachstelle der technische Abläufe im Mobilfunksystem GSM (Globales System für Mobile Kommunikation). So kann das Funknetz ein Mobiltelefon anhand der "International Mobile Subscriber Identity" (IMSI) zweifelsfrei erkennen und in das Netz einbuchen. Das Handy ist jedoch nicht in der Lage, die Echtheit einer Funkzelle zu verifizieren. Geheimdienste und andere benutzen deshalb so genannte IMSI-Catcher, die in der Regel aus einem Laptop und einer Funkantenne bestehen (Mehr zu diesem Geräten etwas weiter unten). Sie klemmen sich zwischen das Handy und das eigentliche Mobilfunknetz. Dem "gefangenen" Mobiltelefon wird eine eine echte Funkzelle vorgegaukelt. Hier der Chaos Computer Club, auf den sich der Artikel bezieht.
TrapwireAugust 2012:
Clean ITSept. 2012: "Demnach sollen gesetzliche Bestimmungen aufgehoben werden, die das Filtern und Überwachen von Internetanschlüssen von Mitarbeitern in Firmen verbieten. Unternehmen wollen die Beteiligten, zu denen Vertreter von Justiz- und Innenministerien Deutschlands, Großbritanniens, Belgiens, der Niederlande und Spaniens sowie Europol gehören, die Verwendung von "Upload-Filtern" nahelegen, damit einmal entfernte illegale Inhalte nicht erheut hochgeladen werden können. Für Betreiber sozialer Netzwerke sind besondere Auflagen zum Aufbau von Sperr- und Verwarnsystemen vorgesehen." Hier dazu von Digital Civil Rights in Europe. Der Juristentag in Deutschland macht ähnliche Vorschläge. Hier noch mal zu Clean IT und ihren Zensurplänen.
|
|||||||||||||||
Weitere InformationenEin sehr verwandtes Thema ist die Überwachung der Kommunikationsströme durch Auswertung der sog. Verkehrsdaten. Dazu findet sich mehr unter: Die Nadel im Heuhaufen finden: Data Mining. Hier gibt es ganz viele andere Beispiele für die Zunahme der Überwachungsmöglichkeiten und den Verlust an Privatsphäre. Mit Handys lassen sich aber auch noch andere Abhöraktionen durchführen, z.B. durch eine kleine Umprogrammierung. Dann lässt sich das Handy zum Abhören von Gesprächen einsetzen. Hier ein sehr guter Text zum Hintergrund der technischen Herausforderung von Telefonüberwachung generell und VoIP-Überwachung im Speziellen (engl. PDF, 2,1MB). Hier noch ein Artikel in heise.de, bei dem es um ein Projekt "elektronische Schnittstelle Behörden" geht. "In den Spezifikationen dieser Schnittstelle, die derzeit bei vier großen Providern getestet werden soll, wird zwischen einer "Vollausleitung IP" und einer "Vollausleitung VoIP" unterschieden. Möglicherweise werden so auf Vorrat die Telekommunikationsinhalte von Teilnehmern mitgeschnitten, die im Rahmen einer regulären Telefonüberwachungsmaßnahme abgehört werden." Und noch ein Artikel in heise.de über Internet-Ausforschung. GSM, das heute in Europa meistgenutzte Verfahren für Mobilfunknetze, war das erste solche Netz das ein vernünftiges Sicherheitskonzept mit Verschlüsselung im Handy selbst eingesetzt hat. Der verwendete Algorithmus heißt A5 und ist nie veröffentlicht worden. Ein sehr technisches Papier Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication (pdf) beschreibt einen Angriff, mit dessen Hilfe ein Strom von GSM-Daten recht schnell entschlüsselt werden kann. Dieser Angriff ist aber für die Überwachung durch Polizei u.ä. nicht wirklich relevant, weil für den Angriff wieder um die Voraussetzung gilt, dass der Angreifer in der räumlichen Nähe des Handys sein muss und die Behörden sehr wohl auch IMSI-Catcher einsetzen können. Nicht zum Abhören im engeren Sinne, aber doch zur Überwachung gehört natürlich die Voratsdatenspeicherung. Es ist kein Abhören weil ja nicht die Inhalte, sondern die sog. Verkehrsdaten aufgezeichnet werden, d.h. wer mit wem und wann und von welchem Ort.
|