Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

May 21 2013

FBI fordert erweitertes Abhörgesetz: keine gute Idee

Die Art, wie Menschen miteinander kommunizieren, hat sich durch das Internet grundlegend verändert. Und diese Veränderungen sind noch längst nicht abgeschlossen. Immer mehr Informationen werden über das Internet auf dem Handy oder verschiedene “Peer-to-Peer”-Anwendungen, wie beispielsweise Skype, ausgetauscht. Was dem Menschen eine scheinbar größere Freiheit bietet, scheint für einige Strafverfolgungsbehörden aber zum Problem zu werden. Zuletzt forderte das FBI größere Befugnisse beim Abhören der Bürger. Insbesondere wurde gefordert, dass jede Software und jedes Kommunikationsgerät eine versteckte Schnittstelle zum Abhören der Kommunikation beinhalten müsse. Firmen die diese technischen Hintertüren nicht anbieten, würden mit Geldstrafen belegt werden. In einem Artikel mit dem Namen “CALEA II: Risks of Wiretap Modifications to Endpoints” treten 20 renominerte Sicherheitsexperten und Kryptographen diesen Forderungen des FBI entgegen, indem sie darlegen das solche Überwachungsmaßnahmen ein enormes Sicherheitsrisiko darstellen.

Die Autoren der Studie legen erst einmal die momentane rechtliche und technische Situation dar. Erläutert wird hierbei unter anderem der “Communications Assistance for Law Enforcement Act”, kurz CALEA. Dieses Gesetz sieht vor, dass sämtliche Telekommunikationsanbieter, seien es Festnetz-, Mobilfunk-, oder Internetanbieter, ihre Infrastruktur so aufbauen müssen, dass nationale Strafverfolgungsbehörden jederzeit Zugriff auf die Kommunikation der Nutzer haben. Es werde ausgenutzt, dass alle Kommunikation durch einen Knotenpunkt läuft und von dort abgegriffen und mitgehört werden kann. Dieses alles geschehe ohne das der Nutzer etwas davon mitbekomme.

Durch neue Kommunikationsmedien sei die Überwachung allerdings nicht mehr so effektiv:

Now, however, users are increasingly mobile and use services from a variety of service providers at an increasingly large number of access points, making it more challenging to predict how a user will be connected at a given moment. As we understand the government’s problem, the geographically-limited routing facilities that had previously been the focal point of interception no longer provide access to all a target’s communications.


Doch nicht nur die geographische Unvorhersagbarkeit ist ein Problem für Behörden, auch die Nutzung von “Peer-to-Peer”-Anwendung sei ein Problem, da die Kommunikation nicht mehr über einen zentralen Punkt laufe, wo sie von den Behörden mit gelesen werden kann. Als Beispiel wird das Netzprotokoll SIP genannt, welches häufig in der IP-Telefonie Anwendung findet. Die einzige Möglichkeit solche Kommunikation zu überwachen sei es, Überwachungstechnologie direkt in die Software oder aber die Kommunikationsgeräte zu implementieren.

These technical limitations of centralized monitoring have led to suggestions that instead monitoring should be provided at the endpoints. That is, end-user software should be modified to support monitoring. When monitoring is desired, the feature is activated and the software starts delivering copies of its keys, traffic, or both to some monitoring point. This may or may not be achievable in a way that is undetectable to the user.

Dieses sei allerdings gefährlich, würde es die Sicherheit dieser Software und Geräte erheblich gefährden:

A wiretap design mandate on communications tools is, plainly put, an opportunity for increased exploitation.[...], extending CALEA to endpoint software and devices will make communications systems, products and services even more vulnerable.

Doch sehen die Autoren nicht nur ein ernstzunehmendes Sicherheitsrisiko in der direkten Überwachung des Endgeräts. Auch sei die Umsetzung nicht praktikabel, wie sie mit Blick auf Open-Source Software näher erläutern:

It is important to understand that because these systems are built on open standards, modified software without lawful intercept capability will be able to interoperate with systems with the intercept capability and with unmodified systems. To take an extreme example, say that all U.S.-made Web browsers support CALEA II, thus allowing wiretapping of any WebRTC session. Two users who desire unmonitorable communications need only download secure foreign-made versions of one of the major browsers and they can make secure calls using exactly the same infrastructure as those that must use compliant versions. We should expect that any user who is concerned about monitoring —
including many potential monitoring targets — would obtain and use an unmonitorable version of a given product or service.

Der Vorstoß des FBI, aber auch anderer Behörden außerhalb der USA die nach immer mehr Überwachung rufen, scheint ein weiterer Schritt zur totalen Überwachung der Bürger zu sein. Und wie so oft scheinen die Behörden vor lauter Gier nach Daten, die Praktikabilität, ebenso wie die Verhältnismäßigkeit ihres Vorstoßes, komplett außer acht gelassen zu haben. Der gesamte Artikel ist als pdf hier zu finden.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

February 16 2012

Polizeibehörden nutzen immer mehr “computergestützte Ermittlungsmethoden”, Details sind aber geheim

Wie Evgeny Morozov in seinem Buch The Net Delusion ausgeführt hat, eignet sich die schöne neue Digitalwelt auch hervorragend zur Überwachung und Repression.

Auch die deutschen Polizeibehörden und Geheimdienste nutzen immer mehr “computergestützte Kriminaltechnik”. Das geht aus einer Antwort der Bundesregierung auf eine kleine Anfrage der Bundestags-Fraktion der Linkspartei hervor.

Damit gibt es erstmals einen systematischen Einblick, wie die Behörden des Bundes mit den neuen Überwachungsmöglichkeiten umgehen. Darunter fallen Bundeskriminalamt, Bundespolizei, Zollkriminalamt, Bundesamt für Verfassungsschutz, Bundesnachrichtendienst, Militärischer Abschirmdienst, Generalbundesanwalt und Bundesnetzagentur.

Zur Erinnerung: Abgeordnete haben das Recht, über kleine Anfragen Auskunft von der Regierung zu erhalten. Sie sind ein Instrument der parlamentarischen Kontrolle der exekutiven Staatsgewalt durch das Parlament. Daher ist es bemerkenswert, dass die Antworten auf ganze 31 der Fragen geheim gehalten werden:

Die Informationen, die in den Antworten zu den Fragen [lange Liste, Red.] enthalten sind, sind geheimhaltungsbedürftig und wurden von den Verfassern daher mit dem Geheimhaltungsgrad „GEHEIM“ eingestuft, da durch das Bekanntwerden dieser Information das Staatswohl gefährdet werden könnte oder den Interessen der Bundesrepublik Deutschland oder eines der Länder schwerer Schaden zugefügt werden kann.

Die Antwort enthält demnach nur die Informationen, die uns die Regierung auch zugesteht. Dennoch findet sich auch darin so manch Interessantes:

Telekommunikationsüberwachung

Die ersten Fragen behandeln das Mitwirken bundesdeutscher Behörden an internationalen Arbeitsgruppen und Gremien zur Standardisierung von Überwachungs-Schnittstellen. Erstmals wird bekannt, dass allein das Bundeskriminalamt im letzten Jahr fast 400.000 Euro für Abhörmaßnahmen ausgegeben hat.

Ob Anbieter wie Facebook, Skype, Google, Twitter oder StudiVZ die Herausgabe von Daten schon einmal verweigert haben, können Zollverwaltung, BKA und Bundespolizei nicht sagen. Verfassungsschutz, BND, MAD und Generalbundesanwalt hingegen sind noch keine Daten verweigert worden.

Funkzellenauswertung

Die Funkzellenauswertung erfreut sich auch bei den Bundesbehörden an Beliebtheit. Seit 2006 hat das BKA über 50 solcher Massen-Handy-Überwachungen vorgenommen. Die Terror-Ermittler beim Generalbundesanwalt haben allein letztes Jahr neun solcher Abfragen gemacht, unter anderem bei den Brandanschlägen auf Bahnanlagen im Oktober 2011. Der dort betroffene Bereich um den Berliner Hauptbahnhof dürfte auch dazu führen, dass einige Handys von Politikern im Regierungsviertel in dieser Maßnahme erfasst worden sind.

Ob auch der Verfassungsschutz Funkzellenauswertungen vorgenommen hat, ist, wie so vieles in der Antwort, geheim.

W-LAN-Catcher

Interessant ist, dass die Behörden auch W-LANs überwachen. Thomas Stadler beschreibt W-LAN-Catcher so:

Gerät zur Erfassung kabelloser Datenströme. Dient der Ermittlung der exakten geographischen Ausbreitung des versorgten Bereichs eines W-LANs und der Identifizierung aller eingeloggten Endgeräte sowie der Überwachung/Aufzeichnung des Datenverkehrs.

In den letzten fünf Jahren hat das BKA dieses Mittel bereits 16 Mal eingesetzt. Wie die W-LAN-Catcher funktionieren, ist ebenfalls geheim.

Auch die Antworten zur stillen SMS, IMSI-Catchern und GPS-Empfängern in Handys und Navis geben nicht viel her. Immer wieder wird auf die Geheimhaltung verwiesen.

Der Überwachungs-Industrielle Komplex

Im zweiten Teil des Dokuments werden Hersteller und Software-Produkte von Datenbanken und “Vorgangs- und Fallbearbeitungssystemen” behandelt. Einen Einblick in diesem Markt bilden Dokumente bei Wall Street Journal, WikiLeaks und Bugged Planet.

Besonders wird auf die Firma rola Security Solutions eingegangen, die bundesweit mehrere Behörden beliefert. Auch die Software zur Auswertung von Funkzellenabfragen, Koyote und InfoZoom wird von rola vertrieben.

In einer Anlage werden 70 Datenbanken aufgeführt, die allein die Abteilung für schwere und organisierte Kriminalität beim BKA mit der Software von rola betreibt.

Beweissicherungs- und Dokumentationskraftwagen

Die letzte Frage zielt auf Überwachungs-Autos mit dem schönen deutschen Kürzel BeDoKw. Details dazu hat Matthias Monroy auf Telepolis:

Das Spähfahrzeug ist mit einem bis zu 4 Meter hoch ausfahrbaren Kameramast ausgestattet, auf dem eine bewegliche Einheit aus Videokamera mit Zoomfunktion, aber auch ein Richtmikrofon fixiert ist. Die Mercedes-Fahrzeuge werden vom italienischen Finmecchanica-Ableger Elettronica gefertigt und sollen aktuelle Lageinformationen visuell und akustisch aufzeichnen sowie computergestützt weiterbearbeiten. Die aufbereiteten Video- und Audio-Daten werden an die Lagezentren übermittelt. Zwei “Operateure” sind an ihrem Arbeitsplatz entweder für Kamerabedienung, Mastbedienung und Aufzeichnung oder Video- und Bildbearbeitung zuständig.

Die Polizeibehörden der Länder haben kürzlich 52 solcher Autos erhalten. Informationen über Produkte, Ausstattung, Verfahren und Fähigkeiten sind jedoch, richtig: geheim.

Fazit

Die anfragenden Bundestags-Abgeordneten Andrej Hunko und Jan Korte kommentieren die Antworten der Bundesregierung mit den Worten:

Die Vision des früheren Innenministers Schäuble ist umgesetzt: Der von Innenministern der Europäischen Union verheißungsvoll erwartete digitale Tsunami ist Realität geworden.

Vor der Forderung nach einer besseren Ausstattung der Behörden sollten wir daher zunächst eine Auskunft über alle zur Verfügung stehenden Mittel sowie eine solide Inventur und Überprüfung verlangen.

November 19 2011

Das Arsenal der digitalen Überwachung

Seit 2001 ist der Markt für Überwachungstechnologien explodiert und generiert nun 5 Milliarden Dollar pro Jahr. Klassentreffen der Branche, auf dem die Firmen ihre Produkte an die Behörden verkaufen, ist die internationale Konferenz ISS (Intelligent Support Systems) World, mit Veranstaltungen in Dubai, Prag und Washington, D.C..

Das Programm ist sehr erhellend. So gibt es Tracks zu Telekommunikationsüberwachung, Vorratsdatenspeicherung, Deep Packet Inspection, Semantik, Data Mining, staatliches Hacking und Trainings für Behörden.

Dabei ist man gerne unter sich. So darf man nur teilnehmen, wenn man Telekommunikations-Anbieter, Regierungsvertreter, Strafverfolgungsbehörde, Privatdetektiv oder Hersteller von Überwachungstechnologie ist. Der Aktivist Jacob Appelbaum wurde dieses Jahr rausgeschmissen. So ist leider die öffentliche Berichterstattung über die dort angebotenen Produkte wenig ausgeprägt.

Das Wall Street Journal hat jetzt über 200 Marketing Dokumente von 36 Firmen bekommen und diese veröffentlicht: The Surveillance Catalog – Where governments get their tools. Dazu gibt es einen Überblicks-Artikel und ein Video:

Einen großen Teil von Konferenz und Dokumenten nimmt staatliches Hacken ein, das auch “remote control”, “offensive security”, “offensive intelligence” oder einfach “hacking” genannt wird. Vorn dabei in den Dokumenten sind die Firmen FinFisher (unterstützt von Deutschland), Vupen (Frankreich) und Hacking-Team (Italien).

Da es in den Staaten noch keinen Staatstrojaner-Skandal gab, berichtet das WSJ breit über diese zweifelhafte Fähigkeit von Firmen und Behörden. Vupen beschreibt freizügig, wie man ihren Trojaner entweder mit Zugriff auf die Hardware (wie bisher in Deutschland bekannt) oder auch mittels noch unbekannter Sicherheitslücken aus der Ferne auf Zielrechner bekommt:

While social engineering or physical access is often used by law enforcement agencies and investigators to gain access to computer systems and install monitoring and interception tools on target PCs or mobile devices, using 0-day exploits taking advantage of previously unknown software vulnerabilities can help investigators in speeding up the process while covertly and remotely installing payloads on PCs and mobiles.

FinFisher gibt weitere Details. Mit ihrem Tool FinFly-ISP funktioniert das wohl, in dem man sich direkt beim ISP in den Traffic des Überwachungsziels einklinkt:

FinFly ISP is able to infect files that are downloaded by the Target on-the-fly or infect the Target by sending fake Software Updates for popular Software. The new release now integrates Gamma’s powerful remote infection application FinFly Web to infect Targets on-the-fly by just visiting any website.

Und ein Beispiel aus der Praxis:

FinFly ISP was deployed in the main Internet Service Provider networks of the country and was actively used to remotely deploy a Remote Monitoring Solution on Target Systems.

Vupen will Exploits für Software von Microsoft, Adobe, Sun, Apple, Oracle, Novell und anderen haben.

Aber auch die anderen Themenkomplexe sind spannend und beunruhigend zugleich. Beliebt in diesem Jahr war die Überwachung massiver Datenströme, beispielsweise von ganzen ISPs oder gar Staaten. So brüstet sich Net Optics (Kalifornien) damit, dass ein Mobilfunk-Betreiber in China mit ihrem Equipment den gesamten Traffic in Echtzeit überwachen und filtern kann. Auch im arabischen Raum sind diese Fähigkeiten begehrt, obwohl in diesem Jahr die Konferenz in Dubai wegen der politischen Unruhen weniger statt mehr Besucher verzeichnete.

Eine weitere beteiligte Firma aus Deutschland ist ipoque, Teil des Elektronik-Konzerns Rohde & Schwarz. Dort ist man auf “Deep Packet Inspection” spezialisiert. Von den angebotenen sechs Produkten ist DPX Network Probe speziell für Telekommunikationsüberwachung. Die Beschreibung klingt wie eine Rede von Uhl: “Der anonyme Informationsaustausch ist so einfach wie nie zuvor und damit eine ideale Grundlage für Kriminalität und Terrorismus.”

Weitere Funde aus den Dokumenten nehmen wir gerne in den Kommentaren entgegen.

Natürlich betonen alle Firmen, sich an die jeweiligen Gesetze zu halten. Einfacher und wohl auch ehrlicher ist da der Organisator der Konferenz Jerry Lucas: “We don’t really get into asking, ‘Is this in the public interest?’”

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl