Wikileaks: Spionage(abwehr) für Dummies

WikiLeaks hat am 1. Dezember einen ganzen Haufen neuer Dokumente veröffentlicht. Die Spy Files zeigen, welche Möglichkeiten Behörden und Geheimdienste haben, um ihre Bürger zu überwachen — mehr oder weniger gesetzeskonform, mehr oder weniger gründlich. Die Dokumente sind offenbar zu einem guten Teil Präsentationen, die Unternehmen auf einer der ISS-Konferenzen (Intelligence Support Systems for Lawful Interception, Criminal Investigation and Intelligence Gathering) gezeigt haben. Sie geben Aufschluss darüber, welche Fähigkeiten die von den Unternehmen angebotenen Produkte auf jeden Fall haben.

Laut der Karte gibt es einige Unternehmen, die auch Verbindungen nach Deutschland haben. Von besonderem Interesse dürfte dabei die Firma DigiTask sein, die in den letzten Monaten oft in Verbindung mit dem deutschen „Staatstrojaner“ genannt wurde. Dieser, auch „Quellen-Telekommunikationsüberwachung“ und „Bundestrojaner“ genannt, wird auf dem Computer der zu überwachenden Person installiert und hat die Aufgabe, den Behörden das Abhören von verschlüsselten Nachrichten zu gestatten, indem er diese vor dem Verschlüsseln oder nach dem Entschlüsseln abfängt. Der deutsche „Chaos Computer Club“ (CCC) hat sich mit einer älteren und einer neueren Variante des Staatstrojaners beschäftigt und darin einige eklatante Sicherheitslücken gefunden: „Wir waren überrascht und vor allem entsetzt, daß diese Schnüffelsoftware nicht einmal den elementarsten Sicherheitsanforderungen genügt. Es ist für einen beliebigen Angreifer ohne weiteres möglich, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen“ sagte ein CCC-Sprecher. Der detaillierte Bericht ist sehr lesenswert:

Wir sind hocherfreut, daß sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze keine fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb.

Mittlerweile erkennen viele Antivirenprogramme die erste veröffentlichte Version als Schadprogramm und blocken es.

In den Veröffentlichungen von WikiLeaks sieht man nun, wie die Firma DigiTask sich und ihre Abhörprogramme vorgestellt hat. DigiTask hat den Konferenzteilnehmern (Behördenvertreter etc.) offenbar wirklich ein System präsentiert*, das angeblich mit AES (Advanced Encryption Standard) verschlüsselt. Der CCC hat dann herausgefunden, dass zwar der Datenverkehr vom Trojaner zum Server verschlüsselt wird (und noch dazu über einen Server in den USA läuft), der Trojaner aber selbst die Befehle mehr oder weniger unverschlüsselt empfängt, was eine Sicherheitslücke darstellt. Interessanterweise geht die Präsentation auch explizit auf die Möglichkeit ein, weitere Programmbestandteile nachzuladen und „verbotene“ Funktionalitäten der Software zu sperren.

Was nützt es, das zu wissen?

Wir erhalten Informationen darüber, was den Behörden beim „gewöhnlichen“ Abhören von Datenverbindungen Probleme bereitet. Darunter sind…

  • Informationen, die zwar entschlüsselt werden könnten, aber nicht gesammelt werden können
    • TOR (auch verschlüsselt)
    • Verwendung von Internetcafés, Hotspots usw.
  • verschlüsselte Informationen, die nicht entschlüsselt werden können
    • verschlüsselte Instant Messenger
    • per TLS oder SSL verschlüsselte Verbindungen zu Mailservern
    • mit PGP/GnuPG verschlüsselte E-Mails
    • Websites, die HTTPS verwenden
    • VPN-Verbindungen
  • Informationen, die trotz Beschlagnahme (von Datenträgern) nicht erhalten werden können
    • verschlüsselte Festplatten und andere Datenträger

Das sind also jene Dinge, die man als Computernutzer tun kann, um zu verhindern, dass es Hacker/Geheimdienste/Industriespione usw. allzu leicht haben. Natürlich ist die Quellen-Telekommunikationsüberwachung genau darauf ausgerichtet, diese Probleme zu umgehen. Die Software dazu muss aber zuerst auf den Computer gelangen — und das ist einiges an Arbeit, weil es mitunter physischen Zugriff auf den Computer erfordert.

 

*kleines Glossar:

RFS: remote forensics software
LI: lawful interception

Wie man mit Hilfe der Uni Wien einigermaßen sicher in WLANs surft

Vor ein paar Tagen ist das Firefox-Add-On Firesheep (Bericht) auf einer Konferenz vorgestellt worden. Firesheep untersucht den Datenverkehr in drahtlosen Netzen (WLAN) auf Pakete, die unverschlüsselt an Dienste wie zum Beispiel Twitter oder Facebook gesendet werden. Aus diesen Paketen filtert Firesheep jene heraus, die  Session Cookies enthalten. Session Cookies werden dazu verwendet, einen eingeloggten Benutzer gegenüber einer Website zu indentifizieren. Firesheep ermöglicht es, mit Hilfe der Session Cookies die Session des anderen Benutzers zu kapern und so zum Beispiel dessen Facebook-Account zu verwenden.

Dabei ist es egal, ob man sich in einem verschlüsselten oder unverschlüsselten WLAN befindet. In beiden Fällen können die in diesem WLAN eingeloggten Benutzer die Session Cookies mitlesen.

Websites, die für alle Vorgänge (also nicht nur zur Übertragung des Passworts) eine per SSL verschlüsselte Verbindung verwenden, sind von diesem Problem nicht betroffen. Leider verwenden viele Websites (z.B. Facebook) SSL nur für die Übertragung des Passworts beim Login-Vorgang.

Wie kann ich verhindern, dass jemand meine Accounts verwendet?

Ein VPN (Virtual Private Network) verwenden. VPN sind ursprünglich dafür gedacht, mehrere private LANs über das Internet zu verbinden oder es einem Benutzer zu ermöglichen, von überall auf der Welt über das Internet auf ein privates LAN (z.B. das Firmennetzwerk) zuzugreifen. Die Verbindung vom Client (z.B. dem Notebook im Internetcafé) zum VPN-Endpunkt (z.B. einem Server der Firma) ist verschlüsselt, der weitere Weg der Pakete vom VPN-Endpunkt zum Empfänger (z.B. Facebook) nicht unbedingt.

Uni Wien

Die Uni Wien stellt einen VPN-Server zur Verfügung, der auch dazu gedacht ist, Online-Angebote von Zeitschriften wie z.B. Nature von daheim aus über den Zugang der Universität Wien nützen zu können. Jeder, der einen gültigen Mailbox-Account (für Mitarbeiter) oder unet-Account (für Studierende) hat, kann diesen VPN-Server verwenden. Wie das geht, steht hier (VPN via Klient), genauere Anleitungen für einige verschiedene Betriebssysteme findet man hier. Wenn die Verbindung aufgebaut ist, ist der eigene Computer Teil des Datennetzes der Uni Wien.

Wegen des Rechenaufwands und der nötigen Bandbreite sind VPN-Verbindungen langsamer als direkte Verbindungen. Im eigenen Interesse sollte man die VPN-Verbindung nicht für bandbreitenintensive Dienste wie z.B. Youtube oder illegale Dinge wie z.B. Filesharing verwenden, sondern nur Dinge tun, die den Benützungsbedingungen des Uni Wien-Datennetzes entsprechen.

Andere

Viele andere Unis und Arbeitgeber bieten VPN-Zugänge an–Fragen schadet nicht. Außerdem gibt es einige Anbieter von kostenpflichtigen VPN-Endpunkten, die zum Teil auch Nutzer anwerben, die regional begrenzte Dienste wie z.B. Hulu von außerhalb verwenden möchten.

Die Tweets über den Club 2 zum Mitlesen

Es ist immer wieder witzig, am späten Mittwochabend auf ORF 2 den Club 2 zu sehen und gleichzeitig auf Twitter die Meinungen einiger Zuseher zu verfolgen. Der Club 2 dieser Woche (am 5.5.2010) war da keine Ausnahme, das Thema „Macht uns das Internet dumm?“ sorgte für viele Tweets. Da die Sendung aufgezeichnet war, konnten auch Gastgeberin Corinna Milborn und Mitdiskutant Luca Hammer gemeinsam mit einem Teil der Club 2-Redaktion mittwittern.

Für all jene, die die Sendung nicht im Fernsehen und auf Twitter mitverfolgen konnten habe ich eine Möglichkeit gefunden, die Tweets zum Thema nachzulesen: den Club 2 mit Twitter-Untertiteln! Mehr lesen

Von Postkarten und e-Mails

Obwohl E-Mails allgegenwärtig sind, machen sich nur sehr wenige AnwenderInnen Gedanken über die Sicherheit dieser Kommunikationsform. Zwei Beispiele aus eigener Erfahrung:

Magistrat der Stadt Wien: Hoffentlich liest keiner mit…

Vor der Bundespräsidentenwahl habe ich die Website des Magistrat der Stadt Wien benützt, um eine Wahlkarte zu beantragen. Früher ging das per Bürgerkarte, diesmal musste ich ein Online-Formular ausfüllen. Neben Name und Adresse wollte die MA62 auch Geburtsdatum, Geburtsort und die Daten eines Dokuments (in meinem Fall die Nummer des Reisepasses) haben. Das ganze lief über eine SSL-Verbindung, war also hinreichend abhörsicher.

Mehr lesen

e-Voting: Abschied mit Freude

Über das vom Wissenschaftsministerium unter Johannes Hahn begonnene e-Voting-Projekt bei den Hochschülerschaftswahlen habe ich hier in diesem Blog schon kritisch berichtet (e-Voting und die ÖH-Wahlene-Voting, die zweiteÖH-Wahlen: Zum StartBesser wählen mit BürgerkarteÖH-Wahlen: Wie geht’s weiter?).

Umso mehr freut es mich, dass Hahns Nachfolgerin Beatrix Karl sich dazu entschlossen hat, das e-Voting-Projekt nicht mehr weiterzuführen. In einem Interview, das sie dem Standard Anfang April gegeben hat, kommt zwar klar hervor, dass sie die demokratischen Defizite in der Umsetzung des e-Voting-Systems nicht kapiert hat („Es gibt keine Sicherheitsbedenken.„, „…vom System her hat es ja funktioniert.„), aber man kann sich ja mal über das Ergebnis freuen.

Mehr lesen