Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 06 2014

Kein Nein ist auch fast ein Ja – Hört NSA auch US-Kongressmitglieder ab?

Unabhängiger US-Senator Bernie Sanders CC-NC-SA 2.0 via Flickr/350org

Der unabhängige US-Senator Bernie Sanders CC-NC-SA 2.0 via Flickr/350org

Ich schreibe Ihnen heute, um eine sehr einfache Frage zu stellen. Hat die NSA Mitglieder des US-Kongresses oder andere amerikanische gewählte Amtspersonen ausspioniert oder tut das im Moment?

Mit dieser simplen Frage in einem Brief an den  Direktor der NSA, General Keith Alexander, vom 3. Januar  hat Senator Bernie Sanders es geschafft, die NSA in Erklärungsnot zu bringen. In einer Stellungnahme, die – leider nur in Auszügen – von The Guardian veröffentlicht wurde, heißt es, dass die NSA bei der Sammlung von Geheimdienstinformationen Vorkehrungen zum Schutz der Privatsphäre von US-Personen treffe und dass diese Vorkehrungen auch für die Kongressmitglieder gälten.

Woran liegt es aber, dass die NSA derartig um den heißen Brei herumredet, wo man doch sonst immer mit Statements wie “Es gibt keine massenhafte Überwachung amerikanischer Bürger” schnell bei der Hand ist?

Grund dafür dürfte eine geschickte Präzisierung von Sanders sein. Er schloss seiner Frage eine Definition des Terms “ausspionieren” an:

“Ausspionieren” würde die Sammlung von Metadaten über Anrufe, die von dienstlichen oder privaten Telefonen durchgeführt wurden, von Inhalten besuchter Webseiten oder von gesendeten E-Mails oder jeglichen anderen Informationen, die nicht öffentlich verfügbar sind, mit einschließen.

Das widerspricht dem Verständnis von Überwachung, hinter dem sich die NSA versteckt – quasi ein Definitionsproblem. Für sie fängt das Spionieren erst da an, wo die gesammelten Daten abgerufen und ausgewertet werden, auch Mike Rogers, Vorsitzender des US-Geheimdienstausschusses, verwies am 17. Dezember des letzten Jahres darauf, dass die Kenntnis einer Telefonnummer noch nicht bedeute, man höre auch die Gespräche des Besitzers ab. Dass Gespräche aber ganz schnell in den Fokus rücken können, wenn irgendwo in der Peripherie des Bekanntenkreises jemand in ein Raster fällt, wird wohlwollend ignoriert.

Nach dem Bekanntwerden des Abhörens von Telefonen mehrerer Regierungschefs wie bei dem Kanzlerinnenhandy verwundert es nicht besonders, dass auch die Kongressmitglieder überwacht werden könnten. Der Unterschied, der das Ganze jedoch eine Nummer brenzliger macht, ist, dass der US-Kongress mit der Geheimdienstaufsicht betraut ist. Es würden also die Überwacher ihre eigenen Überwacher überwachen.

Aber keine Sorge: Der FISA-Gerichthof hat letzten Freitag zum mittlerweile 36. Mal die Berechtigung der NSA verlängert, Telefonmetadaten zu sammeln. Also: Alles geht mit rechten Dingen zu …

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

December 13 2013

“SWEDUSA”: Schwedischer Geheimdienst attackiert im Programm “Quantum” mit NSA und GCHQ fremde Rechnersysteme

Wappen des schwedischen Geheimdienstes

Wappen des schwedischen Geheimdienstes “National Defence Radio Establishment” (Bild: Wikipedia, Lokal_Profil, CC-BY-SA-2.5)

Der Schwedische Geheimdienst FRA ist nicht nur mit der Abwehr von Cyberangriffen befasst, sondern attackiert selbst fremde Computer. Dies geht aus Recherchen der Journalisten Sven Bergman, Fredrik Laurin und Joachim Dyfvemark zurück, die sich nach eigenen Angaben in Rio de Janeiro mit Glenn Greenwald getroffen haben. Ihre Ergebnisse haben sie auf dem Portal des Senders Uppdrag Granskning veröffentlicht.

Die drei schreiben etwa über die Erfolgsmeldung des schwedischen Dienstes, Zugang zu “Kabeln” nach Russland zu haben. Wie deutsche Partnerdienste habe die FRA auch Zugriff auf das Spionageprogramm XKeyscore. Es kann überwacht werden, welche Rechner bestimmte Webseiten besuchen.

Berichtet wird zudem von einem streng geheimen Programm namens “WINTERLIGHT”, das von dem US-Geheimdienst NSA initiiert worden sei. Im April diesen Jahres habe es dazu ein hochrangiges Treffen in den USA gegeben. Eine schwedische Delegation des Swedish National Defence Radio Establishment, wie das FRA genannt wird, wurde vom NSA-Chef Keith Alexander zu einer “strategischen Planungskonferenz” empfangen. Die Kooperation firmiert demnach unter dem Namen “SWEDUSA”.

Exakt neutral

In einem US-Dokument, das offensichtlich wenige Tage vor der Konferenz erstellt wurde, ist die Beziehung der US-amerikanischen Dienste mit schwedischen Partnern ausführlicher beschrieben. Demnach begann die Zusammenarbeit mit Großbritannien und den USA 1954 unter dem “UKUSA agreement”. Das britische GCHQ war demzufolge für das Abhören der Kommunikation (“COMINT information”) zuständig, während die NSA den Austausch zum Abhören elektronischer Quellen (“ELINT exchange”) übernahm. 2004 wurde diese Aufteilung allerdings über den Haufen geworfen. Die Kooperation ging aber unverdrossen weiter, seitens der NSA heißt es dazu:

NSA’s relationship with the FRA, an extremely competent, technically innovative, and trusted Third Party partner, continues to grow. The FRA provided NSA with access to its cable collection in 2011, providing unique collection on high-priority Russian targets such as leadership, internal politics, and energy.

Zukünftig hat die NSA ohne Umweg über das GCHQ Zugang zu von Schweden abgehörter Kommunikation. Diese Abkommen müssten laut der NSA aber unbedingt geheim bleiben, da sich Schweden offiziell als politisch neutral darstellt.

Gelobt wird, dass der Auslandsgeheimdienst seit Januar 2013 seine Zusammenarbeit mit dem Inlandsgeheimdienst SAPO verbessert habe. Die FRA verfüge über etliche Anlagen, die eine “ganze Bandbreite an Kommunikation” erfassen könnten. Bald könnte die FRA überdies für die staatliche “Cyberabwehr” zuständig sein. Erfreut zeigt sich die NSA, dass die FRA in ganz Europa gegen den “Terrorismus” aktiv sei. So hätte der Dienst auch schwedische Analysten zur NSA nach Darmstadt entsandt, wo diese im “European Cryptologie Center” (ECC) bei der Auswertung abgehörter schwedischer Sprachverkehre helfe.

“WINTERLIGHT” als “man in the middle”-Angriff

“WINTERLIGHT” gehört laut einem geleakten Dokument zum US-Projekt “Quantum”, mit dem die NSA fremde Systeme hackt. “Quantum” wiederum ist eines der Werkzeuge für die NSA-Abteilung für “maßgeschneiderte Operationen” (“Tailored Access Operations”). Das System filtert den Internetverkehr offenbar nach jenen IP-Adressen, deren Systeme infiltriert werden sollen. Deren Verkehre werden auf Server der Geheimdienste umgeleitet, um in die Computer einzudringen – ein “man in the middle”-Angriff. Der Journalist Ryan Gallagher beschreibt “Quantum” folgendermaßen:

Quantum inserts is a kind of hacking where they can infect a computer with a kind of malware, or a kind of spyware, in order to get access to their computer and take control of their data and then exfiltrate that data. You would normally see these kind of tactics being adopted by criminal hackers. But spy agencies use it for a different purpose; they use a similar tactic to infiltrate computers to gather intelligence. Usually particular targets – people. That’s what this quantum process is.

Attackiert würden laut Uppdrag Granskning jene “Ziele”, die eine Gefahr für die Sicherheit Schwedens oder der USA darstellten. Um welche es sich handelt ist unklar. Die Rede ist nicht nur von “Terroristen”, sondern auch von der Ausforschung des TOR-Netzwerkes.

Die Infektion wird in den Dokumenten als “Shots” beschrieben. Daraus geht ebenfalls hervor, dass die benötigten Server zum Umleiten des Traffic vom britischen Geheimdienst GCHQ betrieben werden:

Last month, we received a message from our Swedish partner that GCI-IQ received FRA QUANTUM tips that led to 100 shots, five of which were successfully redirected to the GCHQ server.

Ryan Gallagher beschreibt die Bedeutung des Wortes “tip off” als Infizieren der Zielsysteme und Auslesen von Informationen. Dass der schwedische Geheimdienst dies selbst vornahm, und nicht nur half, bestätigt den Journalisten auch Bruce Schneier:

The fact that Sweden is involved in these programmes means that Sweden is involved in active attacks against internet users. It is not just passive monitoring. This is an active attack. […] Yeah, without any doubt! That document shows that the FRA is doing active attacks.

“Cyberübungen” mit USA und Deutschland

Ausweislich einer anderen Folie ist Schweden Mitglied eines Geheimdienstnetzwerks namens “SSEUR”. Dabei handelt es sich vermutlich um die sogenannten “14 Eyes”, an denen auch Deutschland beteiligt ist. Im Dokument ist die Rede von “Trainings” im Rahmen des “SSEUR”, die aber nicht näher benannt werden.

Auf diese Übungen angesprochen werden die schwedischen Dienste vermutlich behaupten, diese dienten lediglich der Abwehr von “Cyberangriffen”, keinesfalls aber eigenen Attacken. Wie beim Militär wird mit diesem Begriff einer “Verteidigung” aber unterschlagen, dass die derart erlangten Fähigkeiten genauso defensiv wie offensiv genutzt werden können. So sind auch die zahlreichen “Cyberübungen” der Europäischen Union und der NATO grundlegend für den Aufbau entsprechender Kapazitäten.

Schweden, aber auch Deutschland nahm gerade an der US-Übung “Cyberstorm IV” teil. Federführend ist zwar das Heimatschutzministerium, beteiligt sind aber alle Teilstreitkräfte samt ihrer Geheimdienste, darunter natürlich auch die NSA. In der Antwort auf eine Kleine Anfrage behauptet die Bundesregierung, wie schon bei “Cyberstorm III” lediglich an einem nicht-militärischen “Strang” teilgenommen zu haben. Dort wurden auch Angriffe mit Schadsoftware trainiert, natürlich lediglich zur Verteidigung.

Die Bundesregierung behauptet, bei derartigen Trainings noch nie ein “Einspielen von Schadsoftware” vorgenommen zu haben. Stattdessen würde hierfür “marktverfügbare Schadsoftwaresimulation” eingesetzt. Welche Hersteller und Produkte gemeint sind, bleibt unklar.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 30 2013

NSA hat die heiße Kartoffel an Frankreich und Spanien zurückgegeben

Kennt ihr das Spiel mit der heißen Kartoffel? Kinder laufen in einem Raum umher und haben einen Löffel mit einer heißen Kartoffel in der Hand. Nun gilt es, die Kartoffel so schnell wie möglich loszuwerden.

Das Spiel passt gut, um die NSA-Verwicklungen zu verbildlichen, nur dass hier mittlerweile mehrere Kartoffeln im Umlauf sind. Der eine versucht dem anderen das Thema zu übergeben und sich selbst aus der Rolle desjenigen zu stehlen, der aktiv in den Skandal involviert ist. Die Übergabe findet dann mit Statements wie “Davon haben wir nichts gewusst” statt oder schlicht dadurch, auf das baldige Herannahen der nächsten Enthüllung zu warten, die eine andere Regierung, Person, Organisation oder ein anderes Unternehmen in den Fokus rückt.

Überproportional häufig landet die Kartoffel bei der NSA. Zuletzt u.a. durch die Berichte von überwachten Telefonen in Frankreich und Spanien. Das hat die NSA laut NY Times und Wall Street Journal nun wieder zurückgegeben. Denn nicht sie hätten die Bürger überwacht, sondern die europäischen Staaten selbst, und dann ihre Informationen in die USA weitergeleitet – so General Keith Alexander. Und die Dokumente, die von El Mundo und Le Monde veröffentlicht wurden und die die Zahlen enthalten, was ist mit denen?

Alles Fehlinterpretation, sagen US-Vertreter. Denn eigentlich zeigen die Zahlen nur die Datensätze, die Frankreich und Spanien selbst gesammelt haben. Und außerdem seinen die nicht im Inland gesammelt worden, sondern von primär außereuropäischen Zielpersonen, man bespitzelt ja keine eigenen Bürger…

Die große Frage beim Kartoffel-Spiel ist, wer die Kartoffel in der Hand hat, wenn die Musik ausgeht, denn derjenige hat sich verbrannt. Auch wenn sich hier der Verdacht einschleicht, dass am Ende jeder seine Brandblasen davontragen wird.

Von  General Alexander und Geheimdienstdirektor James Clapper offiziell verteidigt wurde jedoch die Abhörung europäischer Regierungsvertreter. Die politischen Ansichten und Pläne der Staatsleute seien schließlich wichtige Informationen. Clapper sagte vor dem House Intelligence Committee aus:

Das ist eines der ersten Dinge, die ich in 1963 der Geheimdienstausbildung gelernt habe. Das ist eine Grundvoraussetzung.

 

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 25 2013

“What does it mean to be commander of the US cyber command and the director of the NSA?”

Keith B. Alexander official portraitWas bedeutet es, Commander des US Cyber Commands und Direktor der NSA zu sein?

So lautet die erste Frage im Interview mit Keith B. Alexander, das gestern vom US-Verteidigungsministerium ins Netz gestellt wurde. Momentan bedeutet diese Position wohl primär, Kritik von allen Seiten einstecken zu müssen. Seit #merkelphone und einem Artikel des Guardian, in dem von insgesamt 35 abgehörten Regierungschefs die Rede ist, hat diese Kritik nochmals zugenommen und Frau Merkel bemerkte in ihrer Stellungnahme nonchalant: “Ausspähen unter Freunden – Das geht gar nicht“.

Was also tun, um sein Image wieder aufzupolieren? Die Lösung lautet: Bloß keine Entschuldigungen, sondern alles verteidigen, was man selbst oder die NSA tut. Dazu ein wenig beruhigende Musik und Museumskulisse im Hintergrund, die den aufmerksamen Zuschauer wohlig einlullen. In einem halbstündigen Quasi-Monolog versucht Keith Alexander, die Geschichte wieder gerade zu rücken:

Die Menschen sagen, die spionieren Amerika aus. Das ist vollkommen falsch. Wir gehen mit diesen Programmen Terroristen nach. Wir schützen Bürgerrechte und die Privatsphäre (sic!).

Außerdem klärt er darüber auf, dass “Spähprogramme” eine vollkommen unzutreffende Bezeichnung ist. Es heißt nämlich “Business Records FISA Program, oder Section 215, und das andere heißt FISA Amendment Act 702 oder PRISM.” Danke dafür.

Wer es sich zumuten will, das gesamte Interview anzuschauen, findet es hier. Und wer dann noch nicht genug hat, dem sei der dazugehörige Blogbeitrag auf “Armed with Science“, dem Blog des US-Verteidigungsministeriums, ans Herz gelegt.

 

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 05 2013

Lesestoff für’s Wochenende: Was übrig blieb

Diese Woche sind hier bei netzpolitik.org, aber teilweise auch allgemein in den deutschsprachigen Medien einige Themen zu kurz gekommen. Eine kleine Auswahl:

Glyn Moody beschäftigt sich auf techdirt mit den Plänen der Betreiber des Amsterdamer Internetknotens AMS-IX, die in die Vereinigten Staaten expandieren wollen. Hauptfrage: Ist dabei eine rechtliche Konstellation möglich, die einen NSA-Zugriff auf AMS-IX verhindert (ungeachtet der Frage, wer im Moment Zugriff hat oder haben könnte):

As a result, it’s hard to see how anyone in Europe can really trust AMS-IX again if it goes ahead with this proposed move to open a US office, which means it could lose a lot of its current and future business. That seems a heavy price for a European organization to pay for something that will largely benefit US companies.

Springer-Chef Mathias Döpfner, dem bei der Bundestagswahl vermutlich für weitere 4 Jahre ein Initiativrecht über Bande eingeräumt wurde, will für seine Belange gerne ein eigenes Ministerium – nach “britischem Vorbild”. Henry Steinhau hat bei irights.info die wichtigsten Zitate eingesammelt:

In wenigen Sätzen verdeutlichte der Springer-Chef seine diesbezüglichen Motive und Ziele. Etwa, dass auf die Agenda des neuen Ministeriums die Reform des Urheberrechts gehöre, damit Verlage ihre Rechte auch im Internet gegen die kostenlose Nutzung ihrer Angebote durchsetzen könnten. Dafür würde das jüngst in Kraft getretene Leistungsschutzrecht für Presseverlage (LSR) – auf dessen Zustandekommen ja die Axel Springer AG besonders vehement drängte – noch nicht ausreichen. Weitere Arbeitsfelder für das neue „Kreativministerium“, wie es in einzelnen Meldungen tituliert wird, seien unter anderem die Umbrüche in den Medienwelten und das Vordrängen großer „Netzgiganten“ in die Medienbranche.

Ladar Levison, der seinen Mail-Dienst Lavabit nach Druck durch US-Behörden geschlossen hatte (wir berichteten), hat seit Mitte der Woche dank einer Gerichtsentscheidung die Möglichkeit, sich ein wenig freier zu den Vorgängen, die zur Schließung führten, zu äußern. Die New York Times berichtete, auf deutsch gibt es die Geschichte u.a. auch bei sueddeutsche.de:

Levison war demzufolge sogar bereit, den Behörden, die ihm richterliche Anordnungen präsentierten, Zugriff auf Snowdens Mails zu geben – so, wie es das Gesetz vorsieht. Die Agenten aber wollten Zugriff auf sämtliche Daten, auf alle E-Mails aller seiner Kunden und auf seine Sicherheitstechnik. Diesen Verrat wollte Levison nicht begehen.

Angela Gruber hat für Zeit Online Astrid B. getroffen, für die das Internet während ihrer Obdachlosigkeit zu einem Zufluchtspunkt wurde:

Das Netz kann ein Ort der Teilhabe für Obdachlose sein, es bedarf dazu wenig: kostenlose WLAN-Netze in den Städten, leicht zugängliche Computer. Spricht man mit Berliner Sozialarbeitern, die Obdachlose betreuen, hört man, dass Internetzugang stark gefragt ist. Viele Wärmestuben, Tagesaufenthaltsstätten oder Notübernachtungen in Berlin bieten deshalb mittlerweile kostenloses Internet für ihre Gäste an, das rege genutzt wird.

Adobe hat 2,9 Millionen Kundendaten und dazu noch ein bißchen Quellcode verloren. Ausführlich berichtet u.a. heise.

Wie das Unternehmen jetzt in einer Stellungnahme zugab, sollen Angreifer in das Adobe-Netzwerk eingedrungen sein und sich den Sourcecode von ColdFusion, Adobe Acrobat und möglicherweise anderen Programmen beschafft haben. Darüber hinaus hatten die Angreifer Zugriff auf Userdaten wie User-IDs und verschlüsselte Passwörter. Betroffen sein sollen auch rund 2,9 Millionen verschlüsselte Kreditkartendaten von Kunden.

NSA-Chef Keith Alexander wird nicht vor dem EU-Parlament aussagen. Seine Absage hat die Abgeordnete Sophie in’t Veld veröffentlicht. Die u.a. auch durch das Fernbleiben des GCHQ-Chefs eher unbefriedigende letzte Anhörung beschreibt u.a. Marin Majica (Zeit Online):

Kundendaten seien bei der Operation nicht abgegriffen worden, versicherte Generalsekretär Lybaert wieder und wieder. Was dort für den Angreifer Interessantes liegen könne, wenn wirklich keine Kundendaten kopiert und keine Telefongespräche mitgehört wurden, erkundigte sich die den Ausschuss leitende Abgeordnete Sophia in‘t Veld. Die Antwort von Belgacom: “Wir wissen es nicht.”

Mehr Informationen als die Anhörung selbst bringt Erich Moechels Artikel (fm4.orf.at):

Es braucht überhaupt keine Phantasie, um dahinterzukommen, welchen hochrangigen Zielen ein solcher staatlich finanzierter Tarnkappenangriff über “MiTM-Attacken” in Brüssel galt. Es wurden nur die wichtigsten Ziele umfassend ausspioniert, also ausgewählte Parlamentarier, die Schlüsselrollen einnehmen, um nur einige mögliche Ziele zu nennen.

Constanze Kurz schreibt in der FAZ über die Beschwerde, die sie zusammen mit britischen NGOs beim Europöischen Gerichtshof für Menschenrechte eingereicht hat:

Es geht letztlich um die grundsätzliche Frage, ob das britische Recht und die Geheimdienstpraxis zum Massenabhören internationales Recht bricht. Erstmals werden also dem Europäischen Gerichtshof für Menschenrechte Fragen vorgelegt, die sich nach den Enthüllungen von Edward Snowden zwingend stellen.

Simbabwe hat die Enthüllungen von Edward Snowden zusammengefasst und als Gesetz verabschiedet:

This week the Zimbabwean government gazetted new legislation that will monitor phone calls, text messages and emails of citizens as well as the websites they visit. The details collected will be recorded and stored in the national database for use on demand by the state’s security agencies.

Und zu guter Letzt: Der Schriftsteller und Journalist John Lanchester hat Einblick in das Material des Guardians bekommen. In einem ausführlichen Artikel gibt er zunächst eine Einordnung der Überwachungsarbeit, um dann insbesondere auch auf die gesellschaftlichen Folgen von dem, was er sieht, einzugehen:

When the Guardian offered John Lanchester access to the GCHQ files, the journalist and novelist was initially unconvinced. But what the papers told him was alarming: that Britain is sliding towards an entirely new kind of surveillance society

Trotz allem ein schönes Wochenende!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 09 2013

NSA: 90% der Admins werden entlassen – für mehr Sicherheit

inside-the-threat-operations-center-at-the-nsa-data

Quelle: abc.net.au

Wie Reuters gestern berichtete, hat Gen. Keith Alexander – seines Zeichens Direktor der NSA – auf einer Sicherheitskonferenz in New York gesagt, dass man vielen Systemadministratoren bei der NSA kündigen wird. Übergeordnetes Ziel sei es, durch Automatisierung mehr Sicherheit zu erlangen. Zur Zeit kümmern sich wohl rund 1000 Administratoren um Wartung und Ausbau des NSA-Netzwerkes. Um die Chance für zukünftige Leaks, wie die Edward Snowdens, zu minimieren, sollen 90% der Stellen gestrichen werden.

What we’re in the process of doing – not fast enough – is reducing our system administrators by about 90 percent.

Gen. Keith Alexander ist der Überzeugung, dass ein grundsätzlicher Fehler der NSA war, auf Menschen statt Maschinen und Algorithmen zu setzen. Das soll nun korrigiert werden.

What we’ve done is we’ve put people in the loop of transferring data, securing networks and doing things that machines are probably better at doing.

Er verspricht sich dadurch ein “sichereres, besser zu verteidigendes und schnelleres” Überwachungsnetzwerk. Außerdem sollen NSA-Angestellte in Zukunft nur noch zu zweit Daten abfragen können. Laut Gen. Keith Alexander wurden diese Maßnahmen schon vor Edward Snowdens Veröffentlichungen in die Wege geleitet, nun wird der Prozess allerdings beschleunigt. Er soll auf der Sicherheitskonferenz wohl auch nochmal betont haben, dass kein NSA-Angestellter absichtlich oder wissentlich Bürgerrechte verletzt hätte.

No one has willfully or knowingly disobeyed the law or tried to invade your civil liberties or privacies. There were no mistakes like that at all.

Interessanterweise sagt er nicht, dass es nicht geschehen ist – kann er ja auch nicht, sonst würde er wieder lügen. Es ist beängstigend, dass die NSA als Konsequenz aus der “Snowden Affäre” zieht, dass sensible Daten besser Algorithmen statt Menschen anvertraut werden sollten.

At the end of the day it’s about people and trust.

Ach, wirklich.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 02 2013

Def Con und Black Hat: Hacker und Geheimdienste treffen sich in Las Vegas

bh

Quelle: Black Hat Events

So ziemlich jeder hat drüber berichtet – NSA General Keith Alexanders Keynote zum Start der Black Hat 2013 in Las Vegas. Im ersten Moment mag man denken, dass das Timing nicht hätte besser schlechter sein können – nur wenige Stunden zuvor hatte Glenn Greenwald neue Folien zu XKeyscore veröffentlicht, die darlegen, dass die Amerikaner wesentlich mehr abhören, als sie bisher zugaben. So müsste es doch ein Spießrutenlauf gewesen sein, wenn der NSA General vor einer Meute Hacker sitzt und über das größte Überwachungsprogramm in der Geschichte der Menschheit redet!? Nicht wirklich. Zum einen saßen im Raum vor allem professionelle, meist auf die ein oder andere Art und Weise vom Staat bezahlte, Sicherheits-Experte und -analysten. Somit war es für Gen. Keith Alexander eher wie ein Heimspiel – kein “Fort Meade Heimspiel”, aber zumindest recht nah dran.

Im Gegensatz zur Def Con ist die Black Hat eher die Recruiting-Platform für Geheim- und Sicherheitsdienst. So ist es auch verständlich, dass es Keith Alexander recht leicht fällt, den Diskurs zu verschieben. Dies Ausgangslage: Die NSA überwacht massenhaft und verdachtsunabhängig alle Menschen – einschlielich US Amerikaner. Nachdem Gen. Keith Alexander die Bühne verlässt: Jeder einzelne NSA-Analyst gibt sein Bestes für die Sicherheit des Landes und den Gleichzeitigen Schutz der Privatsphäre des Einzelnen. Wie hat er das geschafft?

1. Geheimdienstmitarbeiter setzen ihr Leben aufs Spiel, um die US Streitkräfte mit wichtigen Informationen zu versorgen.

I believe these are the most noble people we have in this country.

2. FISA Court hat die Aufsicht über jede Abhörmaßnahme und mit den Richtern ist nicht zu spaßen.

I’ve heard the court is a rubber stamp. I’m on the other end of that table, against that table of judges that don’t take any—I’m trying to think of a word here—from even a four-star general. They want to make sure what we’re doing comports with the constitution and the law, I can tell you from the wire brushings I’ve received, they are not a rubber  stamp.

3. Bisher gab es die wildesten Anschuldigungen, aber wenn die NSA mal wirklich überprüft wurde, wurde nie etwas gefunden.

But when people check what the NSA is doing, they’ve found zero times that’s happened. And that’s no bullshit. Those are the facts.

4. Das System ist bei weitem nicht perfekt, aber zur Zeit das beste, was es gibt. Die NSA ist auf die Hilfe der Community angewiesen, um es stetig zu verbessern.

The whole reason I came here was to ask you to help you to help us make it better. And if you disagree with what we’re doing, you should help us twice as much.

Mit diesen argumentativen Schritten hatte es Gen. Keith Alexander relativ souverän geschafft, den Diskurs zu verschieben. Es geht nicht mehr um grundsätzliche Fragen bzgl. Überwachungsstaat und Freiheit, sondern es geht darum, dass gerade Kritiker helfen sollten das System zu verbessern, da es Leben rettet. Zweifel an der Notwendigkeit und Rechtmäßigkeit dieses Überwachungssystems wurden somit beiseite geschoben und im Fokus steht nur noch: Wie können wir es besser machen? Mit der Rede im Hinterkopf ist es nicht mehr so verwunderlich, dass Jeff Moss – (ehemailder) Gründer der Black Hat und Def Con – dieses Jahr die Geheimdienstbehörden gebeten hat, von der Def Con wegzubleiben.

Zum Glück gab und gibt es auf beiden Konferenzen allerdings mehr zu sehen und zu berichten, als nur Keith Alexanders Rede. Ein paar der “Highlights“:

  • Brandon Wiley, Mitbegründer der Freenet-Platform und derzeitiger Entwickler beim Tor-Projekt, hat ein Tool entwickelt, das das Muster von Datenverkehr beliebig verändern kann. Jegliche Art von Datenverkehr hat bestimmte Muster. So sieht Mail-Verkehr “anders aus”, als ein Video-Stream oder Bit-Torrent. Deep packet Inspection analysiert u.a. diese Muster, um SSL-Verkehr, VPN-Tunnel oder Bit-Torrent zu blockieren. Mittels Wileys Tool namens ‘Dust’ ist es nun möglich das Muster z.B. eines VPN-Tunnels vor dem Versenden zu ändern, um von Deep Packet Inspection nicht erkannt zu werden. Das würde z.B. Menschen in authoritären Regimen ermöglichen sicher und verschlüsselt zu kommunizieren, selbst wenn DPI-Equipment eingesetzt wird.
  • Industrial Control Systems (IES) bezeichnet Steuercomputer z.B. in Heiz- oder Wasserkraftwerken, Atomkraftwerken und vielem mehr. Es war lange bekannt, dass diese Systeme oft nur unterdurchschnittlich gesichert sind. So gab es auf der Black Hat gleich 3 Präsentation, die Sicherheitslücken in diesen Systemen aufgedeckt haben.

One demonstration today will spray the audience with water from a replica water plant component forced to overpressurize. Another will show how wireless sensors commonly used to monitor temperatures and pressures of oil pipelines and other industrial equipment could be made to give false readings that trick automatic controllers or human operators into taking damaging action. A third talk will detail flaws in wireless technology used in 50 million energy meters across Europe that make it possible to spy on home or corporate energy use and even impose blackouts.

  •  Distributed Denial-of-Service (DDoS) Attacks über simple Werbe-Netzwerke. Ein anderer Vortrag auf der Black Hat hat gezeigt, wie Javascript Ads genutzt werden können, um einen Webserver in die Knie zu zwingen. Durch einen manipulierten Werbebanner haben es die Sicherheitsexperten geschafft ein bestimmtes Bild auf einem Test-Webserver so oft von 100.000 Besuchern laden zu lassen, dass der Webserver schlichtweg zusammengebrochen ist. Effektv wäre es einer Botnet-Attacke gleichzusetzen. Allerdings ist fraglich, wie effektiv diese Attacke gegen Websites ist, die DDoS Mitigation-Tools einsetzen.
  • Außerdem gab es noch gehackte iPhone-Ladegeräte, die root-Zugriff ermöglichten oder Sicherheitslücken in medizinischen Geräten, wie Herzschrittmacher u.ä.

Leider wird es von den wenigsten Präsentationen Streams geben. Letztlich sind Def Con und Black Hat aber, wie jedes Jahr, zu gleichen Teil Spielplatz, Hype-Maschine und “the place to be.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl