Standort: fm4.ORF.at / Meldung: "Der Facebook-Überwachungsstandard"

Musik, Film, Heiteres

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

20. 7. 2012 - 09:00

Der Facebook-Überwachungsstandard

Das bereits praktizierte Einlesen und Speichern von Chats, privaten Postings und Webmail samt Brechen der Https-Verschlüsselung von Web-2.0-Diensten soll auch als Telekomstandard verankert werden.

"Laut nationalen Gesetzen sind auch Cloud-Anbieter dafür verantwortlich, Überwachungsmöglichkeiten für Zugang und die angebotenen Services zur Verfügung zu stellen", so heißt es in einem aktuellen Entwurf des European Telecom Standards Institute (ETSI) mit dem Titel "Überwachung von Cloud-Services" (Abschnitt 4.2)

Mit "Cloud"-Services sind Hotmail, Gmail, Facebook, LinkedIn, Twitter, Onlinechats und -videokonferenzen, "App"-Plattformen usw. gemeint. All diese Web-2.0-Dienste müssen laut Entwurf Schnittstellen einrichten, über die sie alle Aktivitäten bestimmter Benutzer und Gruppen für die Polizeibehörden irgendeines Landes auf Verlangen freischalten.

In Echtzeit, denn der Zweck ist klar: Polizei und Geheimdienste wollen bei Facebook-Chats routinemäßig live dabei sein und mitlesen können, wer da wem was auf welche "Walls" schreibt. Das Muster der Überwachung von Telefonie/SMS und E-Mail, wie es sich in den Gesetzen zur Vorratsdatenspeicherung manifestiert, soll damit auf sämtliche Kommunikationsdienste im Web ausgedehnt werden.

Das Vereinigte Königreich

Das entspricht nicht nur ziemlich genau den vor wenigen Wochen vorgestellten Plänen der britischen Regierung, die Überwachung von allen Web-2.0-Diensten im Internet auch gesetzlich festzulegen. Die technische Seite wird in Großbritannien und einer unbekannten Zahl anderer Staaten nämlich bereits umgesetzt. Dazu ist es erforderlich, die Kette der End-to-End-Verschlüsselung zu unterbrechen (siehe weiter unten).

Natürlich ist dieser kommende ETSI- Standard noch nicht per se rechtsverbindlich. In Großbritannien ist er jedoch schon dabei, das zu werden.

Die Überwachung vor allem im Mobilbereich hat erschreckende Ausmaße angenommen. Mit dem Vordringen des Internetprotokolls in diese Netze und der sukzessiven Verlagerung der Kommunikation auf "Cloud"-Anwendungen - von Facebook über Webmails bis zu Firmen-Wikis - werden die Unterschiede zu jener Zeit, als noch die Telekoms selbst alle Protokolle der Kommunikation kontrollierten, unübersehbar.

Die Überwachungstruppe

Aus dieser Richtung kommen auch die Facebook-Pläne der ETSI-Truppe "TC Lawful Interception". Dieses technische Komitee ist eine interessante Mischung aus aktiven Geheimdienstleuten, ehemaligen solchen, die nun für Ausrüsterfirmen tätig sind, und Techniker derselben. Dazu kommen Polizeibeamte aus Spezialabteilungen, Ministerialbürokraten mit einschlägigen Aufgaben sowie Vertreter internationaler Telekoms und deren Zulieferer.

Aus dieser von Briten dominierten, aber auch von US-Personal stets gut besuchten Truppe stammt das hier zitierte Überwachungsdokument, das die "Anforderungen" von Geheimdiensten und Polizei ausformuliert. Und so soll die lückenlose Überwachung funktionieren.

Die Schnittstelle

Wegen des "nomadischen Zugangs zu Diensten in der Cloud" sei es unwahrscheinlich, dass ein Internet-Zugangsprovider alle Überwachungsanfragen bedienen könne. Um dennoch "die Überwachbarkeit zu gewährleisten, muss der Cloud-Anbieter eine Überwachungsfunktion einbauen", heißt es einen Abschnitt weiter (4.3)

Mit "nomadischem Zugang" ist gemeint, dass Facebook-Benutzer über alle möglichen Wege daherkommen können, ob es das eigene DSL ist, drahtlose Breitbanddienste oder ein offenes WLAN-Netz. Man müsste also die Daten eines Facebook-Benutzers nicht nur bei mehreren Zugangsprovidern einsammeln, was nahe an der Echtzeit unmöglich ist. Zudem würde das nur einen Teil der Informationen bringen, die an einer Schnittstelle direkt bei Facebook abgegriffen werden könnten.

Der arabische Frühling

Dieser Ansatz hat allerdings zwei gewaltige Haken und beide haben mit Verschlüsselung zu tun. Nachdem die Angriffe durch die Geheimdienste der Mubaraks, Ben Alis und Al-Gaddafis auf Soziale Netzwerke während des arabischen Frühlings ein nachgerade epidemisches Ausmaß erreicht hatten, setzten Facebook und Co. auf verschlüsselte Verbindungen mit "https".

Dabei handeln sich der Browser des Benutzers und die entsprechende Applikation im Sozialen Netzwerk einen temporären Schlüssel aus, der User kommuniziert mit Facebook ab da durch einen sicheren Tunnel.

Revision der Sicherheit

Verlangt wird nun, dass diese Sicherheitsmaßnahme gegen die Totalüberwachung der persönlichen Kommunikation von den Betreibern der sozialen Netzwerke selbst wieder "aufgebohrt" werden muss.

Die Https-Verschlüsselung aber schützt nicht nur Hassan und Nayla vor den Bütteln ihres lokalen Diktators, sondern auch Kevin und Sandra Normalbenutzer vor den allgegenwärtigen Betrügern, die sie von Facebook auf gefälschte Websites umleiten wollen. Bis zu einem gewissen Grad: Der Browser warnt dann immerhin vor unbekannten Zertifikaten, die nicht zur betreffenden Website passen.

An die Bereitschaft von Mark Zuckerberg und Co., eine für ihr Geschäftsmodell essentielle Sicherungsmaßnahme rückgängig zu machen, glauben die Autoren des Standardentwurfs offenbar selbst nicht recht.

Plan B als Parallelaktion

Also nutzt man parallel dazu die zweite Möglichkeit, in den Https-Tunnel einzudringen und setzt beim Internetprovider des jeweiligen Benutzers an. Der dafür nötige ETSI-Sub-Standard nennt sich "Dynamic Triggering" und ist bereits in seiner Finalisierungsphase.

Es handelt sich um eine Art Früherkennungsystem für verschlüsselte Verbindungen, beim ersten Anzeichen des Aufbaus einer solchen Verbindung leitet das System diesen Verkehr auf einen speziell ausgestatteten Rechner im Datenzentrum um. So strukturierte Angriffe sind altbekannt, sie nennen sich "Man-in-the-Middle"-Attacken. Neu sind die aktuellen Anwendungsgebiete dieser Angriffsform..

Dieses Diagramm aus dem zitierten Dokument ETSI DTR 101 567 von TC LI zeigt die Struktur des Angriffs auf die verschlüsselte Kommunikation eines Handys mit einer Web-2.0-Anwendung. Sie ähnelt dem Umsetzungsentwurf für die Überwachung der verschlüsselten Kommunikation über Blackberry-Smartphones auffällig. Auch dort wird beim Aufbau der Verschlüsselung durch eine Mittelsmann-Attacke eingegriffen.

ETSI Schema

ETSI

Kevin und die Mittelsmänner

Dieser elektronische Mittelsmann "lügt" in beide Richtungen des Https-Tunnels: Für Kevins Browser ist er die Facebook-Applikation und umgekehrt. Dafür muss er allerdings zu drastischen Mitteln greifen, über die nur professionelle Schadsoftware der Oberklasse verfügt: die Fähigkeit, Sicherheitszertifikate einer offiziellen Zertifizierungsstelle zu fälschen.

Auf der Integrität dieser Zertifikate aber basiert die gesamte Https-Verschlüsselung und damit die Sicherheit des elektronischen Finanzwesens, vom Onlinebanking angefangen bis hin zur Sicherheit von Firmennetzen.

Mit gefälschten Zertifikaten tarnte sich der berüchtigte "Flame", eine militärische Schadsoftware für Spionageangriffe per gefälschtem Zertifikat als von Microsoft beglaubigte Software. Der Angriffsvektor, eine Schwachstelle im Windows-Signaturprozess, wurde von zivilen Kryptografieforschern bereits 2008 bekannt gemacht. Was damals theoretisch zu Demonstrationszwecken gezeigt wurde, war bei "Flame" 2012 in der Praxis beobachtbar. Die Sicherheitslücke war nicht behoben worden.

Nicht Zukunft sondern Praxis

Wer da nun meint, dies alles sei sozusagen noch "akademisch" und würde, wenn überhaupt, irgendwann in der Zukunft schlagend werden, liegt völlig falsch. Was im Standardisierungsgremium TC LI des ETSI da nämlich in einen Standard gegoѕsen wird, ist in Großbritannien und einer ganze Reihe anderer Länder bereits tägliche Praxis.

Generell werden bei immer mehr Providern bereits "Deep Packet Inspection"-Systeme (DPI) eingesetzt, die selbstverständlich "Dynamic Triggering" beherrschen. Diese Tiefeninspektion des eintreffenden Datenstroms ermöglicht es, den ersten Anzeichen des Aufbaus einer verschlüsselten Verbindung eine Mittelsmann-Attacke mit gefälschten Zertifikaten entgegenzusetzen. Ebenso lässt sich etwa Tauschbörsenverkehr im Flug identifizieren.

Tiefeninspektion mit Tücken

Erst am 30. Juni ist die DPI-Produktpalette der Firma Cyberoam durch eine Zertifikatspolitik aufgefallen, die Sicherheitslücken aufriss. Durch einen krassen Designfehler in der Verschlüsselungsroutine kam es, dass auf allen ausgelieferten (Hardware)-Systemen ein- und derselbe Originalschlüssel eingesetzt wurde.

Der zugehörige ETSI Draft Technical Report DTR 101 657 v.0.0.5 kann im Original hier eingesehen werden. Daraus stammen alle Zitate im Haupttext. Dasselbe Dokument als schlankeres PDF.

Im Fall der BlackBerrys sowie bei allen professionellen Sicherungssystemen arbeitet das Smartphone zum Beispiel nicht mit seinem originalen Geheimschlüssel sondern mit einem nur temporär gültigen Derivat davon.

Spion gegen Spion

Wer über ein solches DPI-System von Cyberoam verfügte, konnte daraus Zertifikate produzieren, die von allen Browsern der übrigen Cyberoam-Benutzer als echt anerkannt wurden. Damit stand deren Infrastruktur temporär für Angriffe von "Eingeweihten" offen, ob die Geräte in London oder Bangalore, in Baku, Baschkiristan oder Bangui in Datenzentren liefen. Da solcherlei Gerätschaft nun einmal dazu da ist, die abgegriffenen Kommunikationen von welchen Benutzern auch immer an irgendwelche regionalen Behörden zu übermitteln, ist klar, dass da wieder einmal "Spion gegen Spion" gespielt wurde.

Die nahe Zukunft

"Deep Packet Inspection wird wahrscheinlich ein konstituierendes Element dieses Systems sein", heißt es denn auch unter 4.3 im ETSI-Dokument unter den "Herausforderungen der Anforderungen" "("Requirement Challenges"). Darüber wird als nächstes ebenso berichtet werden, wie über die Szenarien der staatlich sanktionierten Angriffe auf Skype, VoIP und Tauschbörsen, denen sämtlich sogenannte Peer-To-Peer-Protokolle zu Grunde liegen.

Haftungsausschluss

Die ORF.at-Foren sind allgemein zugängliche, offene und demokratische Diskursplattformen. Die Redaktion übernimmt keinerlei Verantwortung für den Inhalt der Beiträge. Wir behalten uns aber vor, Werbung, krass unsachliche, rechtswidrige oder beleidigende Beiträge zu löschen und nötigenfalls User aus der Debatte auszuschließen. Es gelten die Registrierungsbedingungen.

Forum

Zum Eingabeformular Kommentieren

  • hanslblasta | vor 824 Tagen, 18 Stunden, 22 Minuten

    was machen die diversen Dienste mit den enormen Datenmengen,

    die bei ständiger Überwachung von Kevin und Jaqueline Normalverbraucher anfallen? Irgendwo muß ja ein Mensch am Ende der Leitung sitzen, dem wahrscheinlich dauerschummrig ist wegen der vielen völlig banalen Einträge, die über den Bildschirm flimmern; und egal, ob mit Filtersoftware oder ohne, verdächtige Wörter werden ja von Profiterroristen vermieden - also müssen zB alle Geburtstagsgrüsse an alle Erbtanten dieser Welt genauestens untersucht werden ...

    Auf dieses Posting antworten
    • tantejutta | vor 824 Tagen, 17 Stunden, 32 Minuten

      Menschen kommen erst ganz am Ende

      zum Zug. Die Softwares sind schon weitgehend autonom, was Profilerstellung z.B. angeht. Hier muss längst keiner mehr laufend mitlesen, das wird alles in Datenbankfelder gekippt, dann kommt ein Interessensprofil dazu, Bewegungen (Smartphone), Gewohnheiten, Vorlieben Gruppenaffiliationen. Das Absurde an der ETSI-Story ist, dass Freiheitskämpfer/innen aus dem arabischen Raum unter Einsatz ihres Lebens für alle User weltweit die HTTPS-Absicherung ihrer Kommunikation via FB, Twitter & Co erkämpft haben. Europäische Geheimdienste und Cops wollen das nun rückgängig machen...

    • evro | vor 824 Tagen, 17 Stunden, 6 Minuten

      wird es auch uns am Ende nicht erspart bleiben unter...

      ...Einsatz unseres Lebens ...q

      ... für unsere Freiheit zu kämpfen?

    • prom000 | vor 818 Tagen, 10 Stunden, 57 Minuten

      naja der frieden der in westlichen welt dauert eh schon zu lange ein kleiner kreig in europa und maybe ein 2. amerikanischer bürgerkreig aka agression des nordens um wieder auf weltnivau zu kommen.

  • georgietee | vor 824 Tagen, 18 Stunden, 22 Minuten

    zum Kotzen

    Liebe tantejutta, danke fürs Recherchieren und Artikel Schreiben. Auch wenn die Entwicklung vorherzusehen war, erzeugt das Lesen das oben angedeutete Würgen im Hals.

    Auf dieses Posting antworten
  • vollpfosten | vor 824 Tagen, 18 Stunden, 37 Minuten

    tipp:

    mehrere accounts anlegen - mail, fb, youtube, google, twitter,...

    dann laufen sie schön im kreis

    Auf dieses Posting antworten
  • vollpfosten | vor 824 Tagen, 18 Stunden, 38 Minuten

    Überraschung?

    war meiner meinung nach ziemlich vorhersehbar.

    cheers to privacy

    Auf dieses Posting antworten
  • senf1 | vor 824 Tagen, 19 Stunden, 35 Minuten

    George Orwell lässt grüßen !

    Auf dieses Posting antworten
  • witzbold49 | vor 824 Tagen, 19 Stunden, 44 Minuten

    Von Tag zu Tag wird offenkundiger,

    daß von staatlich konstruierten Mafia-Behörden die übelste Terror-Gefahr ausgeht! Widerstand wird zur 1. Bürgerpflicht !

    Auf dieses Posting antworten
  • cyana | vor 824 Tagen, 23 Stunden, 49 Minuten

    Danke für den wie immer

    fundierten und super recherchierten Artikel! Irgendwann wird man zur Verschlüsselungsmethoden der Urzeit zurückgreifen, wo man den private key persönlich austauscht, die Dokumente offline verschlüsselt und dann schickt. Oder Quantenkryptographie - die erkennt man-in-the-middle Attacken sofort.

    Auf dieses Posting antworten
    • tantejutta | vor 824 Tagen, 22 Stunden, 51 Minuten

      TNX!

      Die meiste Arbeit bestand - wie immer- in der Übersetzung aus dem technischen Rotwelsch dieser Telco Heads. TCP/IP via drahtloses Breitband, also Internet über ein Circuit Switched Network, heißt bei denen tatsächlich "Multi Media Subsystem" oder MMs. ROTFL!

    • tantejutta | vor 824 Tagen, 22 Stunden, 41 Minuten

      Wobei dieses "Subsystem" gerade dabei

      ist, das alteingesessene "Signalisierungsystem" der Telekoms sozusagen von innen her aufzufressen. TCP/IP rulez ok ;)

  • paradeiser | vor 825 Tagen, 9 Minuten

    Gestapo,Stasi....

    Auf dieses Posting antworten
    • prom000 | vor 818 Tagen, 10 Stunden, 56 Minuten

      eh so weit sind wir noch nicht.