Wir überwachen Überwacher

Der Facebook-Überwachungsstandard

Hauptkategorie: B-N-D Artikel Kategorie: Überwacher überwachen! Erstellt am 24. Juli 2012
Geschrieben von Michael Ellerhausen

Das bereits praktizierte Einlesen und Speichern von Chats, privaten Postings oder Webmail samt Brechen der Https-Verschlüsselung von Web-2.0-Diensten soll auch als Telekom-Standard verankert werden.

"Laut nationalen Gesetzen sind auch Cloud-Anbieter dafür verantwortlich, Überwachungsmöglichkeiten für Zugang und die angebotenen Services zur Verfügung zu stellen", so heißt es in einem aktuellen Entwurf des European Telecom Standards Institute (ETSI) mit dem Titel "Überwachung von Cloud-Services" (Abschnitt 4.2)

Mit "Cloud"-Services sind Hotmail, Gmail, Facebook, LinkedIn, Twitter, Online-Chats und -Videokonferenzen, "App"-Plattformen usw. gemeint. All diese Web-2.0-Dienste müssen laut Entwurf Schnittstellen einrichten, über die sie alle Aktivitäten bestimmter Benutzer und Gruppen für die Polizeibehörden irgendeines Landes auf Verlangen freischalten.

In Echtzeit, denn der Zweck ist klar: Polizei und Geheimdienste wollen bei Facebook-Chats routinemäßig live dabei sein und mitlesen können, wer da wem was auf welche "Walls" schreibt. Das Muster der Überwachung von Telefonie/SMS und E-Mail, wie es sich in den Gesetzen zur Vorratsdatenspeicherung manifestiert, soll damit auf sämtliche Kommunikationsdienste im Web ausgedehnt werden.

Das Vereinigte Königreich

Das entspricht nicht nur ziemlich genau den vor wenigen Wochen vorgestellten Plänen der britischen Regierung, die Überwachung von allen Web-2.0-Diensten im Internet auch gesetzlich festzulegen. Die technische Seite wird in Großbritannien und einer unbekannten Zahl anderer Staaten nämlich bereits umgesetzt. Dazu ist es erforderlich, die Kette der End-to-End-Verschlüsselung zu unterbrechen (siehe weiter unten).

Natürlich ist dieser kommende ETSI- Standard noch nicht per se rechtsverbindlich. In Großbritannien ist er jedoch schon dabei, das zu werden.

Die Überwachung vor allem im Mobilbereich hat erschreckende Ausmaße angenommen. Mit dem Vordringen des Internetprotokolls in diese Netze und der sukzessiven Verlagerung der Kommunikation auf "Cloud"-Anwendungen - von Facebook über Webmails bis zu Firmen-Wikis - werden die Unterschiede zu jener Zeit, als noch die Telekoms selbst alle Protokolle der Kommunikation kontrollierten, unübersehbar

Die Überwachungstruppe

Aus dieser Richtung kommen auch die Facebook-Pläne der ETSI-Truppe "TC Lawful Interception". Dieses technische Komitee ist eine interessante Mischung aus aktiven Geheimdienstleuten, ehemaligen solchen, die nun für Ausrüsterfirmen tätig sind, und Techniker derselben. Dazu kommen Polizeibeamte aus Spezialabteilungen, Ministerialbürokraten mit einschlägigen Aufgaben sowie Vertreter internationaler Telekoms und deren Zulieferer.

Aus dieser von Briten dominierten, aber auch von US-Personal stets gut besuchten Truppe stammt das hier zitierte Überwachungsdokument, das die "Anforderungen" von Geheimdiensten und Polizei ausformuliert. Und so soll die lückenlose Überwachung funktionieren.

Die Schnittstelle

Wegen des "nomadischen Zugangs zu Diensten in der Cloud" sei es unwahrscheinlich, dass ein Internet-Zugangsprovider alle Überwachungsanfragen bedienen könne. Um dennoch "die Überwachbarkeit zu gewährleisten, muss der Cloud-Anbieter eine Überwachungsfunktion einbauen", heißt es einen Abschnitt weiter (4.3)

Mit "nomadischem Zugang" ist gemeint, dass Facebookbenutzer über alle möglichen Wege daherkommen können, ob es das eigene DSL ist, drahtlose Breitbanddienste oder ein offenes WLAN-Netz. Man müsste also die Daten eines Facebook-Benutzers nicht nur bei mehreren Zugangsprovidern einsammeln, was nahe an der Echtzeit unmöglich ist. Zudem würde das nur einen Teil der Informationen bringen, die an einer Schnittstelle direkt bei Facebook abgegriffen werden könnten.

Der arabische Frühling

Dieser Ansatz hat allerdings zwei gewaltige Haken und beide haben mit Verschlüsselung zu tun. Nachdem die Angriffe durch die Geheimdienste der Mubaraks, Ben Alis und Al-Gadafis auf soziale Netzwerke während des arabischen Frühlings ein nachgerade epidemisches Ausmaß erreicht hatten, setzten Facebook und Co. auf verschlüsselte Verbindungen mit "https".

Dabei handeln sich der Browser des Benutzers und die entsprechende Applikation im sozialen Netzwerk einen temporären Schlüssel aus, der User kommuniziert mit Facebook ab da durch einen sicheren Tunnel.

Revision der Sicherheit

Verlangt wird nun, dass diese Sicherheitsmaßnahme gegen die Totalüberwachung der persönlichen Kommunikation von den Betreibern der sozialen Netzwerke selbst wieder "aufgebohrt" werden muss.

Die Https-Verschlüsselung aber schützt nicht nur Hassan und Nayla vor den Bütteln ihres lokalen Diktators, sondern auch Kevin und Sandra Normalbenutzer vor den allgegenwärtigen Betrügern, die sie von Facebook auf gefälschte Websites umleiten wollen. Bis zu einem gewissen Grad: Der Browser warnt dann immerhin vor unbekannten Zertifikaten, die nicht zur betreffenden Website passen.

An die Bereitschaft von Mark Zuckerberg und Co., eine für ihr Geschäftsmodell essentielle Sicherungsmaßnahme rückgängig zu machen, glauben die Autoren des Standardentwurfs offenbar selbst nicht recht.

Plan B als Parallelaktion

Also nutzt man parallel dazu die zweite Möglichkeit, in den Https-Tunnel einzudringen und setzt beim Internetprovider des jeweiligen Benutzers an. Der dafür nötige ETSI-Sub-Standard nennt sich "Dynamic Triggering" und ist bereits in seiner Finalisierungsphase.

Es handelt sich um eine Art Früherkennungsystem für verschlüsselte Verbindungen, beim ersten Anzeichen des Aufbaus einer solchen Verbindung leitet das System diesen Verkehr auf einen speziell ausgestatten Rechner im Datenzentrum um. So strukturierte Angriffe sind altbekannt, sie nennen sich "Man-in-the-Middle"-Attacken. Neu sind die aktuellen Anwendungsgebiete dieser Angriffsform..

aktuellen Anwendungsgebiete dieser Angriffsform..

Dieses Diagramm aus dem zitierten Dokument ETSI DTR 101 567 von TC LI zeigt die Struktur des Angriffs auf die verschlüsselte Kommunikation eines Handys mit einer Web-2.0-Anwendung. Sie ähnelt dem Umsetzungsentwurf für die Überwachung der verschlüsselten Kommunikation über Blackberry-Smartphones auffällig. Auch dort wird beim Aufbau der Verschlüsselung durch eine Mittelsmann-Attacke eingegriffen.

Kevin und die Mittelsmänner

Dieser elektronische Mittelsmann "lügt" in beide Richtungen des Https-Tunnels: Für Kevins Browser ist er die Facebook-Applikation und umgekehrt. Dafür muss er allerdings zu drastischen Mitteln greifen, über die nur professionelle Schadsoftware der Oberklasse verfügt: Die Fähigkeit, Sicherheitszertifikate einer offiziellen Zertifizierungsstelle zu fälschen.

Auf der Integrität dieser Zertifikate aber basiert die gesamte Https-Verschlüsselung und damit die Sicherheit des elektronischen Finanzwesens, vom Onlinebanking angefangen bis hin zur Sicherheit von Firmennetzen.

 

Mit gefälschten Zertifikaten tarnte sich der berüchtigte "Flame", eine militärische Schadsoftware für Spionageangriffe per gefälschtem Zertifikat als von Microsoft beglaubigte Software. Der Angriffsvektor, eine Schwachstelle im Windows-Signaturprozess, wurde von zivilen Kryptografieforschern bereits 2008 bekannt gemacht. Was damals theoretisch zu Demonstrationszwecken gezeigt wurde, war bei "Flame" 2012 in der Praxis beobachtbar. Die Sicherheitslücke war nicht behoben worden.

Nicht Zukunft sondern Praxis

Wer da nun meint, dies alles sei sozusagen noch "akademisch" und würde, wenn überhaupt, irgendwann in der Zukunft schlagend werden, liegt völlig falsch. Was im Standardisierungsgremium TC LI des ETSI da nämlich in einen Standard gegoѕsen wird, ist in Großbritannien und einer ganze Reihe anderer Länder bereits tägliche Praxis.

Generell werden bei immer mehr Providern bereits "Deep Packet Inspection"-Systeme (DPI) eingesetzt, die selbstverständlich "Dynamic Triggering" beherrschen. Diese Tiefeninspektion des eintreffenden Datenstroms ermöglicht es, den ersten Anzeichen des Aufbaus einer verschlüsselten Verbindung eine Mittelsmann-Attacke mit gefälschten Zertifikaten entgegenzusetzen. Ebenso lässt sich etwa Tauschbörsenverkehr im Flug identifizieren.

Tiefeninspektion mit Tücken

Erst am 30. Juni ist die DPI-Produktpalette der Firma Cyberoam durch eine Zertifikatspolitik aufgefallen, die Sicherheitslücken aufriss. Durch einen krassen Designfehler in der Verschlüsselungsroutine kam es, dass auf allen ausgelieferten (Hardware)-Systemen ein- und derselbe Originalschlüssel eingesetzt wurde.

Im Fall der BlackBerrys sowie bei allen professionellen Sicherungssystemen arbeitet das Smartphone zum Beispiel nicht mit seinem originalen Geheimschlüssel sondern mit einem nur temporär gültigen Derivat davon.

Spion gegen Spion

Wer über ein solches DPI-System von Cyberoam verfügte, konnte daraus Zertifikate produzieren, die von allen Browsern der übrigen Cyberoam-Benutzer als echt anerkannt wurden. Damit stand deren Infrastruktur temporär für Angriffe von "Eingeweihten" offen, ob die Geräte in London oder Bangalore, in Baku, Baschkiristan oder Bangui in Datenzentren liefen. Da solcherlei Gerätschaft nun einmal dazu da ist, die abgegriffenen Kommunikationen von welchen Benutzern auch immer an irgendwelche regionalen Behörden zu übermitteln, ist klar, dass da wieder einmal "Spion gegen Spion" gespielt wurde.

Die nahe Zukunft

"Deep Packet Inspection wird wahrscheinlich ein konstituierendes Element dieses Systems sein", heißt es denn auch unter 4.3 im ETSI-Dokument unter den "Herausforderungen der Anforderungen" "("Requirement Challenges"). Darüber wird als nächstes ebenso berichtet werden, wie über die Szenarien der staatlich sanktionierten Angriffe auf Skype, VoIP und Tauschbörsen, denen sämtlich sogenannte Peer-To-Peer-Protokolle zu Grunde liegen.

Aus Gründen der Wichtigkeit und des guten Überblicks übernommen von

Erich Moechel

Erstveröffentlichung bei: http://fm4.orf.at/stories/1701899/

Kommentar schreiben


Sicherheitscode
Aktualisieren


Kennst du deine Rechte?


www.grundgesetz-gratis.de


Du möchtest mehr erfahren?
Informiere dich!
Die Bundeszentrale
für politische Bildung
ARBEITSBLÄTTER
Grundgesetz
für Einsteiger
und Fortgeschrittene




>> oder lies sie! <<

Schuldenuhr

Besucher

Heute19
Gestern61
Woche215
Monat348
Insgesamt839178

Aktuell sind 49 Gäste und keine Mitglieder online


Kubik-Rubik Joomla! Extensions


Datenschutz Meine Daten gehören mir

Nachrichten-Seiten

k-networld.de/
mmnews.de
Radio-Utopie.de
gulli.com
infokriegernews.de
politonline.ch
taz.de
heise online
sein.de
gegenfrage.com
jjahnke.net
Grenzwissenschaft Aktuell
PolizeiBericht.ch
julius-hensel.com

Info-Seiten

fehler-der-wissenschaft.de
verfassungen.de

abgeordnetenwatch.de
vorratsdatenspeicherung.de
netzwerkrecherche.de
krisen-info-netzwerk.com
gesundheitlicheaufklaerung.de
justizskandale.de
Chaos Computer Club
lobbypedia.de
lobbycontrol.de
foodwatch.de
Das Master Key Sytem

wissendeslebens.de

Alles über Sonnenstürme

Center f. Disaster Management

deNIS - Das deutsche Notfallvorsorge-Informationssystem

Grünbuch Öffentliche Sicherheit zum Download

World Angels

  


CASTOR

Organisationen/Gruppen

Lubmin niXda
BI Lüchow-Dannenberg
YouTube-Channel der BI
Bäuerliche Notgemeinschaft
Widersetzen
X-tausendmal quer
Ermittlungsausschuss
Castor.de
ContrAtom
Greenpeace
Robin Wood
BUND
.ausgestrahlt
Campact
AG Schacht Konrad
Anti Atom Berlin
Info-Göhrde-Blog

Anti-Atom-Aktionen zum Castor 2011

Infopunkt Dannenberg
Castor-Südblockade
Castor? Schottern!

Anti-Atom-Aktionen, allgemein

Atomausstieg ins Grundgesetz
Gorleben 365
Abschalten-TV
Sortir du Nucleaire
Anti-Atom-Demo

Medien

Anti Atom Aktuell
PubliXviewinG
Graswurzel TV
Randbild
Subkontur
Wendland-Net

zaunreiter.org

Institutionen

Bundesamt f. Strahlenschutz

Stuttgart 21

stuttgart-21-kartell.org
bei-abriss-aufstand.de
parkschuetzer.de
parkwache-ak.org
kopfbahnhof-21.de
fluegel.tv
infooffensive.de
unsere-stadt.org
baumpoeten.wordpress.com
geologie21.de
Juchtenkäfer gegen S21

Erde / Umwelt Info

Cosmo-Biowetter
Die Erde - realtime

Erdbeben allg.

Erdbeben Meldungen Europa

Magnetospäre

Vulkane

Wetter

K-Index Diverse Messstationen

Magnetosphäre RealTime (JP)

heliophysisch

Institut für Astrophysik Göttingen

NASA Aktuelle Bilder der STEREO Satelliten

Satellitenbilder allg.

Mondkalender

Cosmo-Biowetter

Entwicklung des Sonnenzyklus 24

FERMI - Gamma Rays

Magnetic Storm Forecast RU

Farside Images

NOAA Geomagnetic K-Indices

Current Solar Data

The Sun Today

Integrated Space Weather Info

NASA SOHO

NASA STEREO

Sternenhimmel aktuell

Solar System Simulator

 

Blogs

Polit-Profiler

stevenblack

R[e]volution 2012 Blog

z-e-i-t-e-n-w-e-n-d-e


Video-/Stream-Seiten

bewusst.tv
alpenparlament.tv
videogold.de
cropfm.at

wahrheitsbewegung.net
nuoviso.de
kanalb.org
fernsehkritik.tv
Nexworld TV


Mitreden & Diskutieren

WIRgemeinsam
Auf zur Wahrheit
unser neues Deutschland
freigeistforum.com
attac Forum
Außenpolitikforum
Bündnis für die Zukunft
JuraForum
erwerbslosenforum.de
grundrechteforum.de

info.kopp-verlag.de