Mitternachtshacking

Die Bezeichnung “Perfect Citizen” der NSA für ein Bürgerüberwachungs- und -bespitzelungsprogramm (die NSA bezeichnet es als “Forschungsprogramm”) ist behördlicher Neusprech allererster Güte. Der “Perfekte Bürger” ist aus Sicht der Behörden schließlich der obrigkeitshörige, verdummte, kritiklos alles mit sich machenlassende Bürger. George Orwell wäre stolz auf diese Verwendung.

Anscheinend bastelt die NSA zusammen mit Raytheon an einem Programm, das potentielle Cyberkriminelle erkennen kann. Der Nachteil: offensichtlich muß man dafür viele Bürger und deren gesamte Kommunikation überwachen, um die Bösen zu finden. Oder wie Raytheon das in einer internen E-Mail bezeichnet: “Perfect Citizen ist Big Brother”. Basic Thinking hat einen ganz netten Artikel zum Thema.

Ich versuche mal ein paar Links zum Thema zusammenzustellen:

• WSJ: U.S. Program to Detect Cyber Attacks on Infrastructure
• Bruce Schneier: In what creepy backroom do the come up with these names?
• CNet: NSA offers explanation of Perfect Citizen
• Dissident Voice: Are you a “Perfect Citizen”?
• The Register: NSA setting up secret “Perfect Citizen” spy system
• Network World: NSA “Perfect Citizen” is only one piece of the cyber security puzzle
• ReadWriteWeb: Do private enterprises need the NSA to protect them from cyber attacks?

Ich kann die Bedenken der Leute gut verstehen. Die NSA möchte zur Erkennung und Abwendung von Cyberangriffen Sensoren in den privaten Netzwerken der Unternehmen installieren. Die befinden sich normalerweise hinter Firewalls und sind daher für die NSA nicht direkt zugänglich. Im Gegensatz zum restlichen Internet, das bei den Providern gut überwacht werden kann. Im ersten Schritt ist die Teilnahme freiwillig und vermutlich werden tatsächlich nur Angriffe wie mit einem IDS analysiert. Aber was ist im zweiten Schritt? Ich kann mit gut vorstellen, dass für alle Anbieter von “kritischer Infrastruktur” die Teilnahme irgendwann verpflichtend wird und dass spätestens nach dem nächsten Terrorangriff nicht mehr nur Cyberangriffe sondern alle möglichen Daten abgehört und ausgewertet werden.

Und irgendwie erinnert mich das ganze an die Überwachung der Behördenkommunikation durch das BSI.

Nur ein Link, damit ich den wiederfinde.

• http://www.thememoryhole.org/new.htm
• http://www.thememoryhole.org/nsa/bibs.htm

Stichwörter dazu: NSA, CIA, NRO, DOJ

Wo Rauch ist, ist auch Feuer, heißt es im Volksmund. Manchmal dient viel Rauch aber möglicherweise auch dazu, vom eigentlichen Feuer abzulenken. Bei den zerstörten Seekabel im Nahen Osten wäre das zumindest theoretisch denkbar.

Inzwischen sind anscheinend schon sechs Kabel beschädigt:

• Das SeaMeWe-4 South East Asia-Middle East-Western Europe-4 nahe Penang Malaysia
• Das FLAG Europe-Asia bei Alexandria
• Das FLAG ab der Küste von Dubai
• Das FALCON bei Bandar Abbas Iran
• Das SeaMeWe-4 ebenfalls Alexandria
• Das Kabel zwischen Qatar und United Arab Emirates von Qtel

Die Ägyptische Regierung hat zumindest in einem Fall behauptet, das könnte nicht durch ein Schiff passiert sein, in einem anderen Fall wurde ein tonnenschwerer Anker geborgen, der direkt auf dem Kabel lag und es durchtrennt hat. Nur, wie leicht und oft verliert ein Schiff so einen Anker?

Nehmen wir einmal an, ich wäre daran interessiert, den kompletten Datenverkehr abzuhören, der über diese Kabel übertragen wird. Und nehmen wir einmal an, ich würde auch über geeignete Technologien (wie z.B. ein U-Boot) verfügen, um an die Kabel heranzukommen. Dann wäre es doch sicher interessant, in so ein Glasfaserkabel eine Abhöreinrichtung einzubauen.

Leider werden solche wichtigen Datenleitungen gut überwacht. Das Auftrennen einer solchen Faser mit Einbringen eines Spleiß und anschließendem wieder Verkleben führt naturgemäß zu einer Unterbrechung die sofort vom Betreiber bemerkt wird. Mit verschiedenen Techniken kann man die Entfernung zum Kabelbruch bestimmen und weiß, wo man nachsehen muß.

Was aber, wenn das Kabel sowieso schon defekt ist und man auch weiß, wo die defekte Stelle ist? Niemand überwacht dann noch das Kabel. Nichts einfacher also, als an einer Stelle das Unterseekabel bewußt mit einem Anker den man “zufällig” verliert zu zerstören und dann an einer ganz anderen Stelle mit einem U-Boot geschickt die Abhöreinrichtungen einzubringen. Das wäre nichts neues, die Engländer haben vergleichbares bereits im 1. Weltkrieg gebracht. Die USA verfügen mit der Jimmy Carter, einem Spezial-U-Boot, sogar über die benötigten Schiffe, eine Trockenkammer auf dem Meeresgrund abzusetzen um an einem Unterseekabel zu arbeiten.

Wenn die USA also demnächst mit ganz neuen Erkenntnissen über den Iran oder  Saudi Arabien oder Bin Laden auftrumpfen und sich niemand erklären kann, wie sie an diese Informationen gekommen sind … dann denkt an diesen Artikel

Quellen und Ideen:

• Schall und Rauch: Weitere Kabel wurden durchtrennt
• The Galloping Beaver: Where is the USS Jimmy Carter?
• ABC News: Ships did not cut Internet cables: Egypt
• ZDNet: Spy agency taps into undersea cable

Bildnachweis: Wikipedia

Nachtrag:

Ich vergaß zu erwähnen: Bielefeld gibt es nicht.

von Bruce Schneier auf Wired.com

NIST-Standards haben die Tendenz, für Firmen die Software an US-Behörden verkaufen zu wollen, leider verpflichtend zu sein … unabhängig davon wie gut der Standard ist oder nicht. Insbesondere um FIPS (Federal Information Processing Standard)  Standards der NIST kommt man in der Praxis nicht herum.

Die NSA steht jetzt unter Verdacht, in den NIST Standard SP800-90 (PDF), genauer in einen der dort beschriebenen Zufallszahlengeneratoren eine Hintertür eingebaut zu haben. Ein Vortrag auf der Crypto 2007 deutet darauf hin:

“What Shumow and Ferguson showed is that these numbers have a relationship with a second, secret set of numbers that can act as a kind of skeleton key. If you know the secret numbers, you can predict the output of the random-number generator after collecting just 32 bytes of its output. To put that in real terms, you only need to monitor one TLS internet encryption connection in order to crack the security of that protocol. If you know the secret numbers, you can completely break any instantiation of Dual_EC_DRBG.”

Ich  muß zugeben … wenn das stimmt ist es sehr sehr clever gemacht. Das erinnert mich ein wenig an die Geschichte der Schweizer Crypto AG oder den Clipper Chip.

Heise berichtet auch.

Immer wieder interessant, wer sich alles berufen fühlt Sicherheitsanleitungen zur Verfügung zu stellen. Ich fange hier mal eine kurze Zusammenstellung an, vielleicht wächst die im Laufe der Zeit noch etwas. Wäre jedenfalls nicht schlecht. Kommentare sind selbstverständlich erwünscht.

Unix

• Linux Security
• Sun Solaris Security

Microsoft Windows

• Security Guidance
• Security Guidance for Windows 2000 Server
• Security Guidance for Windows XP
• Security Guidance for Windows Server 2003
• Windows Vista Security Guide
• Security Guidance for Office
• Security Guidance for ISA Server

Deutsche Behörden

• BSI IT-Grundschutz
• BSI Schutz kritischer Infrastrukturen
• BMI Nationaler Plan zum Schutz der Informationsinfrastrukturen

Europäische Union

• ENISA Publikationen

US-Administration

• NIST Computer Security Special Publications
  • 800-113 Guide to SSL VPNs
  • 800-98 Guidelines for Securing Radio Frequency Identification (RFID) Systems
  • 800-83 Guide to Malware Incident Prevention and Handling
  • 800-61 Computer Security Incident Handling Guide
  • 800-58 Security Considerations for Voice Over IP Systems
  • 800-42 Guideline on Network Security Testing
  • 800-41 Guidelines on Firewalls and Firewall Policy
  • 800-40 Creating a Patch and Vulnerability Management Program
• NSA Security Configuration Guides
  • Applications
  • Database Servers
  • Operating Systems
  • Routers
  • Supporting Documents
  • Switches
  • VoIP and IP Telephony
  • Vulnerability Technical Reports
  • Web Servers and Browsers
  • Wireless

Gibt es weitere wichtige Veröffentlichungen?

Update:  Aus den Kommentaren

• Berghels “Better-than-Nothing Security Practices™ for Securing Windows XP Professional”:
  http://berghel.net/btnsp/XP/index.php
• Auch noch einige nützliche Registry-Tweaks:
  http://www.microsoft.com/germany/technet/sicherheit/topics/serversecurity/tcg/tcgch00.mspx

Soso, die Franzosen haben es auch schon gemerkt:

“Grund sei die Tatsache, dass alle Blackberry-Daten über Server in den USA und in Großbritannien laufen. Paris fürchte, dass der US-Geheimdienst NSA, der weltweit Kommunikationswege überwacht, damit Zugriff auf geheime Regierungsdaten bekomme.”

schreibt die ARD dazu. Ok, das stimmt zwar nicht ganz, weil die Server in Kanada stehen und nicht in den USA aber so groß ist der Unterschied auch nicht.

Wer erinnert sich eigentlich noch an President Clinton? Der hat 1997 den US-Geheimdiensten ein größeres Engagement bei der Wirtschaftsspionage verordnet. Seither wissen wir im Grunde, daß Echelon nicht gegen Russland sondern gegen die großen europäischen Wirtschaftsunternehmen wie z.B. Airbus Industries und Panavia eingesetzt wird. Aber der Blackberry ist ja so ein schönes Managementspielzeug, da will keiner drauf verzichten. Und die Risiken werden einfach ausgeblendet.

Das Bundesamt für Sicherheit in der Informationstechnik ist 2005 schon zum gleichen Ergebnis gekommen. Die Studie wurde kurz in der Öffentlichkeit gezeigt und ist dann ganz schnell wieder verschwunden. Und FX hat auf dem 2005 CCC ebenfalls ein paar nette Lücken aufgezeigt.

Wie Blackberry funktioniert sieht man in diesem Artikel bei Heise. Ich finde ja, die Exchange-Anbindung gehört zu den größten Risiken. Aber wenn’s scheee macht?