Share

Die NSA und angeblich sichere SSL-Technologien, Firewalls und Anonymisierungsdienste

“Bestimmte privacy/full session SSL-E-Mail-Hostingdienste wurden in den vergangenen Monaten von der NSA und verbandelten Organisationen durch private Frontmänner gekauft,” berichtete Cryptome. “Hushmail: Inzwischen vollständig im Besitz eines privaten NSA-Partners; hatte seit mehreren Jahren bereits eine Beziehung mit der NSA und lieferte der NSA Echtzeitzugriff auf Hushmails Hosting-Server.

Recentr

Die Advanced Research Projects Agency des Pentagons, welche später zu DARPA wurde, schuf das Internet. Die RAND-Corporation erfand das moderne Packet Switching. DARPA und ARPANET rekrutierten Vint Cerf von der Stanford-Universität um an TCP/IP zu arbeiten. Cerf wird als der “Vater des Internets” angesehen; oder vielleicht sollten wir es besser das NSA-Schnüffelnetzwerk nennen.

Ebenfalls haben wir erfahren, dass die NSA mehr und mehr SSL (jetzt unter dem Namen Transport Layer Security) kontrolliert, das Kryptographieprotokoll welches eine sichere Kommunikation im Internet für Browsing, E-Mail, Instant Messaging und andere Datentransfers ermöglichen soll. In anderen Worten: Die NSA liest mehr und mehr unsere E-Mails und unsere Textbotschaften die wir in ein Instant-Messaging-Programm eintippen. Alles sogar in Echtzeit; die Schnüffelbrigade liest unsere Gespräche ohne Zeitverzögerung.

“Bestimmte privacy/full session SSL-E-Mail-Hostingdienste wurden in den vergangenen Monaten von der NSA und verbandelten Organisationen durch private Frontmänner gekauft,”

berichtete Cryptome.

“Hushmail: Inzwischen vollständig im Besitz eines privaten NSA-Partners; hatte seit mehreren Jahren bereits eine Beziehung mit der NSA und lieferte der NSA Echtzeitzugriff auf Hushmails Hosting-Server.

Safe-mail.net: Sitz in Israel, ironischerweise vor mehreren Jahren von der NSA und dem US-Militär gelobt für die Implementierung von SendMail mit SSL webmail GUI frontend. Liefert inzwischen Mail-Sever-Informationen an die NSA in Echtzeit.

Guardster.com (SSH/SSL proxy): Mit der NSA verbundene Firmen haben vor wenigen Tagen volle Zugriffsrechte auf die Guardster-Server gekauft.

Das Port-Sniffing von Host-Servern bei Everyones Internet durch NSA-Partner läuft nun seit einigen Monaten.”

Für alle, die von den technischen Fachbegriffen nur die Hälfte verstehen: Dies bedeutet dass die NSA Schlüsseltechnologie aufkauft um jeden noch gravierender auszuspionieren. Wenn diese Entwicklung so weiterläuft, können wir das Internet bald NSA-Net umtaufen.

Wenn man laut den Recherchen von Cryptome außerdem Internet-Sicherheitssoftware von Zonealarm, Symantec oder McAfee verwendet, lädt man damit die NSA auf den eigenen Rechner ein.

“Alle ermöglichen Microsofts NSA-kontrollierten Remote-Admin-Zugriff über IP/TCP ports 1024 bis 1030,” ohne eine “Sicherheitswarnung” welche den Privatbenutzer über den Vorgang informieren würde.”

In Deutschland proklamieren u.a. große PC-Zeitschriften, die Privatsphäre der Bürger vor Schäuble und seiner Überwachungswut schützen zu wollen. Zu diesem Zweck werden beispielsweise Anonymisierungswerkzeuge wie TOR angepriesen.

“In der ersten Zeit von 2002 bis 2004 wurde Tor durch das United States Naval Research Laboratory mit Unterstützung des Office of Naval Research (ONR) und der Defense Advanced Research Projects Agency (DARPA), vertreten durch Paul Syverson, und basierend auf der originalen Idee des Onion Routing entwickelt.”

(Quelle)

“So ist es durch Überwachung einer ausreichend großen Anzahl von Tor-Knoten bzw. großer Teile des Internets möglich, nahezu sämtliche über Tor abgewickelte Kommunikation nachzuvollziehen. (…) Gelingt es, den ersten und letzten Knoten der Verbindung zu überwachen lässt sich mit Hilfe einer statistischen Auswertung auf den Ursprung der Verbindung schließen.”

“Egerstad geht sogar so weit, einige der von ihm untersuchten Exit-Nodes chinesischen, russischen und amerikanischen Regierungskreisen zuzuschreiben. Auch große Firmen und illegale Hackergruppen sollen eigene Exit-Nodes betreiben.”

(Quelle)

Auf den Verschlüsselungsstandard AES (Advanced Encryption Standard) verlassen sich seit 2001 nicht nur die Regierungsbehörden der Vereinigten Staaten von Amerika, sondern auch ausländische Regierungen, internationale Banken, Gesundheitssysteme, weitere Industriezweige, Hersteller von “abhörsicheren” Telekommunikationsgeräten, Online-Anoynmisierungsdienste, Whistleblower und jede Menge Bürger. Wer diesen Schlüssel mit schierer Rechenpower oder gar mit Hilfe von gezielter Ausnutzung von Schwachstellen – den klassischen Hintertüren – brechen kann, verfügt zumindest in der Theorie über ein allsehendes Auge, eine totale Informationserfassung.

Die Entwicklung eines halbwegs sicheren Algorihmus erfordert immens viel Geld und Know How, aber selbst dann ist nicht im Geringsten garantiert ob sich die Investition gelohnt hat und die verschlüsselten Daten auch wirklich sicher waren.

Maßgeblich bei der Auswahl von AES als neuen Standard für die US-Regierung bis hin zu “Top Secret”-Material war das National Institute of Standards and Technology (NIST), eine staatliche Behörde die insbesondere nach 9/11 äußerst negativ auffiel mit einem absurden Gefälligkeitsgutachten über den Einsturz von World Trade Center Gebäude 7. Das 47-stöckige Hochhaus, eine massive Konstruktion die Büros für mehrere Sicherheitsbehörden beherbergte, sei einfach durch simple Bürobrände und eine daraus resultierende “Wärmeausdehnung” am Nachmittag der Anschläge linear in Freifallgeschwindigkeit in sich zusammengestürzt.

Der alte Verschlüsselungsstandard DES war bereits über 20 Jahre im Einsatz als er innerhalb von weniger als 24 Stunden bei einem Cracker-Wetbewerb 1999 gebrochen wurde. Ein Nachfolger wurde 1997 ausgeschrieben, der verblüffenderweise kostenlos für jedermann weltweit nutzbar und überprüfbar sein sollte. Ein Geschenk an die Welt, sogar noch mit offiziellem Segen der Spionagebehörde NSA? Unknackbare Verschlüsselung ohne Lizenzkosten mit totaler Transparenz? Wenn etwas zu gut klingt um wahr zu sein, dann ist es das meistens auch.

In einem Bericht des SANS Institute von 2001 heißt es, dass das Haltbarkeitsdatum auf optimistische “20 bis 30 Jahre” vorgesehen war:

“Man kann unmöglich wissen wie lange ein Algorithmus halten wird. Ist es möglich dass ein anderes Land Triple-DES oder sogar einen der neuen vorgeschlagenen AES-Algorithmen geknackt hat? Natürlich. Es wäre naiv zu denken dass AES die gleiche Haltbarkeitsdauer wie DES haben wird. Manche Forscher erwarten eine Lebensspanne von nur 5 Jahren.”

Verschiedene AES-Versionen wurden vor dem endgültigen Urteil getestet, die auch heute noch weitläufig verwendet werden. “MARS” wurde beispielsweise von IBM entwickelt, “Serpent” gemeinsam von der Cambridge University, der Universität von Haifa in Israel und der Universität von Bergen in Norwegen. Der Kandidat “Twofish” stammt von der Sicherheitsberaterfirma Counterpane, mitbegründet durch den Kryptografieexperten Bruce Schneier der während dem Studium begonnen hatte, für das US-Verteidigungsministerium zu arbeiten und später bei dem mit der NSA verbandelten Konzern Bell Labs unterkam. Joan Daemen und Vincent Rijmen von der katholischen Universität Leuven in Belgien (die u.a. EU-Präsident van Rompuy hervorbrachte) schufen mit “Rijndael” schließlich den Sieger.

Bei keinem der Kryptografen und keiner der jeweiligen Forschungsprojekte der genannten Universitäten ist bewiesen, dass sie gezielt Schwachstellen in die AES-Algorithmen eingebaut haben um der Spionage einen Quantensprung zu verleihen, nichtsdestotrotz hätten Geheimdienste, Militärs und ausgewählte Großkonzerne danach gegiert, der ganzen Welt ein trojanisches Pferd anzudrehen. Mit Leichtigkeit sensibelste Daten abzufangen und zu lesen muss wohl als der heilige Gral betrachtet worden sein.

Im November 2007 wies Bruce Schneier im Technologie-Magazin Wired darauf hin, dass nach seiner Ansicht in einem der vier vom NIST im März 2007 veröffentlichten kryptografischen Zufallszahlengeneratoren, nämlich dem „Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG)“, möglicherweise eine Backdoor eingebaut sei. Erwähnenswert ist, dass die Auswahl dieses Generators für die Standardisierung vor allem auf Drängen der NSA erfolgt sein soll. Dieser Zufallszahlengenerator ist auch mit Service Pack 1 in Windows Vista enthalten.

Landläufig gilt AES in der zivilen Welt heute noch als unmöglich zu brechen, diverse Forscher die nicht an der Entwicklung teilgenommen hatten und mit stark begrenzten Möglichkeiten arbeiten, demonstrieren immer wieder kleinere Schwachstellen. Heise berichtete:

Ein Forscherteam hat eine erste Schwachstelle im Verschlüsselungsstandard AES entdeckt, durch die sich die effektive Schlüssellänge um 2 Bit verkürzt. Aus den üblichen Schlüssellängen 128, 192 und 256 Bit werden damit 126, 190 und 254 Bit. […] Ein Cluster mit 1 Billion PCs von denen jeder 1 Billion Schlüssel pro Sekunde durchprobieren kann, würde bei einem 128 Bit langem Schlüssel 10 Millionen Jahre rechnen. Die Verkürzung um 2 Bits verkürzt die Dauer zwar immerhin auf knapp 3 Millionen Jahre.

Angesichts des Modus Operandi des militärisch-industriellen Komplexes, des Standard Operating Procedure welches seit sehr lange Zeit hinweg von Historikern und anderen Experten analysiert wird, ist es gelinde gesagt idiotisch zu glauben, US-Behörden hätten die ganze Welt mit unknackbarer Verschlüsselung beschenkt damit die NSA es möglich schwer hat, Datenverkehr abzufangen und im Klartext mitzulesen. Die NSA unterhält seit ihrer Gründung enge Partnerschaften mit maßgeblichen Technologiekonzernen wie IBM, Microsoft, Google, Bell, Cisco oder AT&T; nichts kommt auf den zivilen Markt dass nicht den Segen des Spionagemonstrums erhalten hat. In den “Enthüllungsbüchern” von James Bamford, die überhaupt erst nur mit der “freundlichen Hilfe” der NSA zustande gekommen sind, wird viel und ausgiebig lamentiert, dass man dem weltweiten Datenverkehr einfach nicht hinterherkäme, insbesondere nicht dem verschlüsselten. Bamford arbeitete einst für den US-Marinegeheimdienst.

Außerdem gibt es inzwischen sogar bereits Quantencomputer auf dem freien Markt, also ist es sehr wahrscheinlich dass die NSA seit längerem mit dieser Technologie Verschlüsselungen brechen kann.

39 Comments on this Post

  1. ironischer Weise ist rechts unter dem Artikel ein Werbebanner von Zonealarm^^.. heißt das im Klartext, wenn ich die Port 1024 – 1030 blockiere habe ich eine Sorge weniger?

  2. bedenke, das ist nur das was durchsickert!

    cya

  3. Stecker raus. Computer aus.

    Fertig.

  4. Und was ist sicher ? Bzw privat

  5. Was du im Frontend einstellst muss nicht unbedingt Auswirkungen auf das Backend haben ;-)

  6. Normalerweise sollten die angegebenen Ports bei Standardkonfiguration eines Routers nicht durchgelassen werden (inbound). Gibt aber trotzdem Angriffsvektoren, daher ist eine Blockierung am Rechner selbst nicht verkehrt.

    Gerade bei meinem Windows 7 Enterprise die listening Ports gecheckt: keiner im Bereich 1024-1030 dabei.

    Jedoch kann mit genannter AV-Software durch Rootkit-Technologien die Offenheit der Ports verborgen werden, und unter diesen Umständen natürlich noch viel viel mehr :(

  7. die cryptome info ist 3 jahre alt. seit dem haben sich sogar einzelne punkte als ente rausgestellt.

    das problem liegt nicht an dem verfahren, sondern an dem jeweiligen zertifikatsausteller und das sein keys geheim bleibt. die technik SSL/TTL ist im grunde sicher, da mathematisch. bedenken gabs mal wegen den nicht so ganz zufaelligen zufallszahlen, aber auch das ist derweil kalter kaffee.

    wenn man beispw. mit TOR ueber eine https verbindung auf safe-mail zugreift, bekommt da keiner irgendwas mit, obwohl alle mitlesen.

    – ISP sieht nix
    – letzter TOR knoten sieht nix
    – safe-mail kennt den zugreifer nicht.

  8. http://en.wikipedia.org/wiki/Port_knocking
    damit kriegt man auch geschlossene ports auch auf…

  9. sch**** :/

  10. @Maxel

    Zitat : Stecker raus. Computer aus.

    Fertig.

    Nun ja … das ist einfach gesagt und wie informiere ich mich dann ? ;)

    Ich komme nur mit Stecker rein und Computer an auf die Webseite von Infokrieg.tv .

    ich glaub Alex+Sonja würde einen Anfall bekommen wenn ich ihn privat anrufen würde und frage was es neues gibt :D

  11. Vergesst microschrott, steigt auf ubuntu um

  12. Hallo Alexander,
    ich finde die Berichte über die Sicherheitstechnologien sehr interessant! In einer deiner letzten Live-Sendungen hast du, wenn ich es richtig verstanden habe, berichtet, dass auch der AES-Algorithmus bereits “leicht” zu knacken wäre!? Dem würde ich aber, nach meinem aktuellen Kenntnisstand, widersprechen. Hast du zum Thema AES-Verschlüsselung weiterführende Informationen? Wäre auf jeden Fall toll, wenn du auf dieses Thema nochmal eingehen könntest.

  13. @Toxi1965
    Das sollst Du natürlich nicht wörtlich nehmen sondern nur als Denkansatz, als Tendenz.

    Jede Technologie ist immer ein zweischneidiges Schwert.

    Du wirst bemerken, dass Deine Lebensqualität steigt, je weniger Zeit Du am PC/Handy/Smartphone etc. verbringst.

  14. — Ein Infokrieg-Rant —

    Inwiefern “kontrolliert” die NSA mehr und mehr SSL? Wirklich in Echtzeit? Jede beliebige Verbindung die sie in die Finger bekommen? Mir kommt es hier mehr als seltsam vor, dass hier von “kontrollieren” die Rede ist, statt von “brechen”, “knacken”, oder “entschlüsseln”. Und wie wir gleich sehen werden, hat es einen Grund, dass infokrig nicht Wörter wie “knacken” erwähnt…

    Bestimmte privacy/full session SSL-E-Mail-Hostingdienste werden aufgekauft? Das finde ich plausibel. Überprüfen kann ich es nicht. Aber das Aufkaufen wäre doch gar nicht notwendig, wenn die das SSL-Protokoll “kontrollieren”. (Simple Logik) Aha, nun ist mir klar, was Infokrieg mit “kontrollieren von SSL” in Wirklichkeit meint… Dies bedeutet nur dass die NSA die “Schlüsseltechnologie” aufkauft… Ich kann nur noch lachen. “Schlüsseltechnologie”. Das hört sich zwar ein bisschen nach IT-Sprache an, hat aber tatsächlich nicht wirklich was zu bedeuten. Die NSA kauft höchstens beliebige Dienste auf. Und die SSL-Mail-Anbeiter könnten natürlich ein Beispiel sein. Aber wie nochmal kann man da behaupten, die NSA kaufe Schlüsseltechnologie??? Der Schreiber nimmt mit diesem Wort in Kauf, dass normale Leute (nicht IT-ler) sich das Falsche unter diesem Wort vorstellen. Normale Leute könnten denken, die NSA hätte SSL/TLS aufgekauft, was Unsinn ist. SSL/TLS ist vom Begriff her zumindest eher unter Schlüsseltechnologie zu verstehen als irgendwelche SSL-Mailserver.

    Zonealarm, Symantec oder McAfee hören auf port 1024 bis 1030? Das werde ich natürlich überprüfen! Wenn die Ports offen sind ist das zwar kein Beweis für eine Hintertüre, aber ausreichend um die Schutzsoftware anzuprangern, da es keinen Grund bei den genannten Produkten für offene Ports geben sollte!

    Die Sache mit den Tor knoten ist jedenfalls absolut richtig, aber auch nichts neues. Deshab ist es wichtig, auf dem eigenem Rechner mindestens einen Entry und middle Node zu betreiben. Denn wenn man seinen eigenen entry node betreibt, dann kann der angreifer schonmal nicht mehr mein entry node UND mein exit node kontrollieren.

    Aber auch hier stellt sich mir wieder die Frage? Wenn die NSA doch SSL/TLS kontrolliert, warum müssen die dann überhaupt TOR-Server betreiben? Das was Tor verwendet ist ja schließlich auch nur SSL. Und dann könnte die NSA ja direkt alle TOR-Verbindungen abhören, ohne erst TOR-Server betreiben zu müssen.

    Meine Schlussfolgerungen:
    Die NSA kann SSL/TLS an sich nicht kontrollieren/knacken!
    Die NSA kann SSL/TLS höchstens knacken, sofern sie die Crypto-Software der Opfer manipuliert hat.
    Die NSA kann SSL/TLS höchstens knacken, wenn sich in der Crypt-Software der Opfer noch Fehler befinden
    Die NSA kann genügend Tor-Server aufstellen und so mit 100% Sicherheit so einiges deanonymisieren!
    Die NSA kann E-Mail-Anbieter aufkaufen. Ob sie es wirklich tut, können wir nicht mit Gewissheit sagen

    Fazit zu den Diskrepanzen zwischen dem Infokrieg-Artikel und meinen Schlussfolgerungen:
    Infokrieg braucht anscheinend wirklich mehr Ressourcen um zu Recherchieren ;-)
    Und deshalb empfehle ich nicht zu Spenden! Inzwischen denke ich ernsthaft nach Infokrieg den Rücken zu kehren.

    Dieser Artikel ist sowas von schlecht, dass darf einfach nicht passieren. Ich mein, von den Mainstream-Medien bin ich sowas ja gewohnt, aber im Internet muss ich so ein Müll nicht auch noch lesen.

    Vielleicht zur Abwechslung mal Informationen statt Desinformationen.

    Beispiel für einen inhaltlich akzeptablen Mini-Artikel:

    = Anfang Beispiel-Artikel =
    Ein Piratenpartei-Mitglied hat eigenen Angaben zufolge die Software für den neuen Personalausweis geknackt. Dies geschah in der Nacht nach der veröffentlichung dieser “AusweisApp”. Ein Angreifer könne den vollständigen Rechner übernehmen, wenn er es schafft, den Opfer eine Mainipulation des DNS auf seinen Angriffsserver weiterzuleiten. Mehr Infos unter: http://janschejbal.wordpress.com/2010/11/09/ausweisapp-gehackt-malware-uber-autoupdate/

    Das BSI nahm den Download zunächst ohne Kommentare vom Netz, um später zu verkündigen, dass nun geprüft werden, ob der Ausweis die angegebenen Lücken tatsächlich aufweist.

    Kritiker behaupten, diese Lücke wäre das Einfallstor für den Bundestrojaner. Infokrieg stellt klar, dass diese Ausführung unhaltbar sei, weil der Staat ja logischerweise bereits jetzt Zugriff auf den Updateserver hat.
    = Ende Beispiel-Artikel =

    So einen Artikel würden wir aber nur sehen, wenn die Sicherheitsüberprüfung von der Partei der Vernunft käme.

    Infokrieg und Technik sind zwei Dinge die leider Gottes einfach nicht zusammenpassen. Traurig aber war. Wenn ich diesen Artikel lese… Wenn die Infokrieg-Seite mal wieder nicht erreichbar ist… Wenn das Forum kaputt geht… Wenn man sich nicht gegen DDos/Hacker/Skriptkiddy-Attacken zu wehren weis. Wenn man dann stattdessen viel Geld für irgendeinen komischen DDos-Schutz ausgibt… (Weil normale Hostingangebote ja nicht mehr in Frage kämen)

    Es war glaub beim letzten Chaos-Communication-Congress des CCCs, da haben sich welche über Infokrieg lustig gemacht. Wenn jemand vom CCC diesen Artikel ließt, der wird dann von nun an immer das böse V-Wort in den Mund nehmen, wenn er von Infokrieg hört.

    Und das ist ein großes Problem! Der CCC ist im Bereich Bürgerrechte absolut unverzichtbar. Der CCC hat in der Vergangenheit viel gutes erreicht.

    Ich hoffe wirklich, dass die Qualität der Artikel nur bei Technik-Themen so schlecht und schwammig ist.

    Infokrieg ist ja eigentlich eine sehr sehr wichtige Sache, aber mit diesem Artikel möchte ich nichts zu tun haben.

    • Wenn die NSA Quantencomputer hat, wovon auszugehen ist, dann knacken die damit eh jede Kodierung in Echtzeit. Das bedeutet für uns alle, dass alle Daten, die irgendwo an ein Netz angeschlossen sind, unsicher sind. Und das ist das entscheidende.

  15. Und sorry für die ganzen Vertipper!

  16. @emarkus

    Intressant was du da schreibst…..

    Aber du mußt auch bedenken das Menschen Fehler machen , selbst wenn Alex voll daneben liegen sollte mit seinen Artikel sind seine berichte von sehr guter Qualität .

    Wenn nur 50% von dem zutrifft was Infokrieg.tv schreibt das sollte eigentlich schon reichen hellhörig zu werden ;)

    Kein Mensch kann zu 100% funktionieren .

    Und jetzt möchte ich dir mal die Berichterstattung von Spiegel,Focus und Die Welt vor Augen führen ….. da bin ich sowas von froh das Seiten gibt wie infokrieg.tv ;)

  17. Wie gesagt, die Seite Infokrieg ist wichtig. Natürlich kann kein Mensch zu 100% richtig liegen. Das kann ich nicht erwarten! Die Berichterstattung des Meinstreams sehe ich natürlich auch vor Augen, und da bin ich ja auch froh dass es Infokrieg gibt.

    Das Problem ist nur: Mein Freundeskreis besteht zum größten Teil aus Admins und Programmierern. Ich kann diesen Leuten unmöglich die Infokrieg-Seite empfehlen, solange gefühlte 90% der Informationen über technische Themen einfach falsch oder zumindest schwammig ausgedrückt sind. Wenn ich Seiten empfehle geht es schließlich auch um meine Glaubwürdigkeit.

    Man soll die Leute da abholen wo sie stehen. Und IT-Leute stehen eben mit beiden Füßen in technischen Themen. Und wenn eine Webseite oder ein Videocast tendenziell den Eindruck vermittelt, größtenteils von diesem Thema nicht nur keine Ahnung zu haben, sondern sogar bei falschinfos so tun als ob man Ahnung hätte, dann laufen einem die IT-Leute weg.

    Ich lauf noch nicht weg. Aber ich möchte nur davor warnen diese Problematik nicht ernst zu nehmen.

    Die technikbegeisterten haben genügend alternative Medien, die dann dafür aber wieder auf einem anderem Themengebeit versagen. Nur, erzähl das denen mal…

    Bei denen stößt du teilweise auf taube Ohren wenn du 911 ansprichst.

    Und bei IK stößt du auf taube Ohren, wenn es um Technik geht.

    Mein Text mag sich hart anhören, aber auch wenn es anders erscheinen mag, soll es nur hart formulierte, aber konstruktiv Kritik sein!

  18. Also um mal der Debatte noch einen konstruktiven Charakter zu verschaffen und nicht immr nur Kritik zu üben:

    Was haltet ihr von diesen F2F Netzwerken wie Retroshare usw. ???

    Da ja die kommunikation nicht über einen Server vermittelt wird, sondern direkt zwischen den Client rechnern verschlüsselt verbunden wird liegt es nur noch an den usern, ihre Rechner/Verbindungen richtig einzustellen um zumindest ein um einiges höheres Maß an anonymität gerade bei datenaustausch usw. zu gewährleisten!

    Wer hat damit schon erfahrungen gemacht oder kann alternativen nennen?

    Grüße an alle!

    p.s. emarkus –> wenn du so etwas bemerkst dann neben dem Kommentar auch sofort Mail an Alex, u.U. auch mit möglichen verweisen auf gute literatur/recourcen etc. sonst ändert das nicht allzuviel ;)

  19. Mach ich nächstes Mal.

    Leider hab ich auch nur die Mail aus dem Impressum, wo ich mir nicht sicher bin, ob die noch funktioniert.

    Naja, eine PM im Forum sollte auch seinen Zweck erfüllen.

  20. @emarkus
    selbst dein bekanntenkreis die ITerler sind können nicht alles wissen. sie glauben höchstens alles zu wissen. letztlich waren die NIE bei der entwicklung dieser ganzen verschlüsselungstechniken und übertragungstechinken dabei und werden es NIE sein. demnach wissen die auch nicht was exakt sich in diesen codes befindet.
    kann deine bedenken dennoch verstehen. du wirst warscheinlich nur hoh und spot ernten von deinen bekannten. das liegt daran weil die unfähig sind über ihren tellerrand zu blicken. sie selbst glauben alles zu wissen weil die “ja damit zu tun haben”.
    ich würd sagen die mischung machts.
    deine bekannten haben vieleicht das nötige knohow zu überprüfen obs wahr ist oder nicht. frage ist nur wie man sie dazu ermutigen kann.
    infokrieg ist mittlerweile meine infoquelle nummer eins.

  21. Mein Bekanntenkreis sagt ja auch gar nicht, dass die SSL/TLS für zweifellos sicher halten und meine Freunde kämen nicht im Ansatz auf die Idee zu behaupten, sie wüssten alles.

    Mein Bekanntenkreis war natürlich bei der Entwicklung der SSL/TLS Verschlüsselungstechniken nicht dabei. Es tut aber auch nichts zur Sache, ob mein Bekanntenkreis bei dieser Entwicklung dabei war. SSL/TLS ist ja kein geheimes Verfahren. Ist ja nicht so, wie bei Skype zum Beispiel. Die Frage ist eher, ob meine Freunde die Kompetenz haben, die verschiedenen SSL-Implementierungen zu überprüfen, die es so gibt!

    Mein Bekanntenkreis kann vielleicht nicht die komplette SSL-Programmierung überprüfen, aber meine Freunde können lesen. Und sie lesen in dem IK-Artikel, dass die NSA mehr und mehr SSL kontrolliert. Und meine Freunde versuchen über den Tellerrand hinauszuschauen und sehen dort nichts. Denn meine Freunde lesen den Artikel ganz durch, vielleicht noch ein zweites Mal und frage sich dann: Wie genau kann die NSA die SSL/TLS Verschlüsselung kontrollieren. Und nach dem Durchlesen des Textes können sie die Programmierer die Frage nur so beantworten: Die NSA hat halt E-Mail-Anbieter aufgekauft, welche halt eine Gefahr gewesen wären, weil sie eine vollständige SSL-Verschlüsselung angeboten hätten. Da kann man so viel man will über den Tellerrand schauen. Jede Organisation kann natürlich einen Mail-Anbieter aufkaufen, auch die NSA.

    Was mir jetzt doch noch einfällt, die NSA könnte vielleicht falsche Zertifikate ausstellen. Das wäre noch im Bereich des Möglichen. Aber davor kann man sich Schützen. Und damit wird auch nicht wirklich die Verschlüsselungstechnik an sich angegriffen. Denn jeder kann im Brower selber einsellen, welche Zertifizierungsstellen er vertrauen möchte.

    Aber ich glaube nicht, dass die NSA im großen Stil und in Echtzeit überall falsche SSL-Zertifikate nutzt, um uns zu Überwachen. Wenn ich mich zum Beispiel per SSL zu einem Webserver von einem Freund von mir verbinde, dann könnte ein Geheimdienst mir zwar ein falsches Zertifikat vorhalten. Aber ab und zu kontrolliere ich die Schlüssel auch manuell, sodass ich sicher sein kann, dass ich garantiert mit der richtigen Gegenstelle kommuniziere!

    Bisher ist mir persönlich noch kein Fall vorgekommen, wo das Zertifikat ausgetauscht wurde. Und ich glaube nicht, dass die NSA mich gezielt von der Permanent-Überwachung ausnimmt, nur damit ich nicht merke, dass alle überwacht werden.

    Hinweis: In dem Text habe ich mehrfach von falschen Zertifikaten gesprochen. Das war eine Vereinfachung. Ich meine eigentlich perfekte echte Zertifikate, die in jedem Brower ohne Warnung durchgehen, aber in Wirklichkeit eine Verschlüsselung anzetteln, die dann der Angreifer ganz normal entschlüsseln kann, als wäre er der normale Empfänger. (Man in the middle Attacke)

  22. Da ich selbst in dem Bereich tätig bin muss ich emarkus da auch Recht geben in Bezug auf die Struktur von Infokrieg.tv! Wenn schon auf Technik-bezogene Fachgebiete eingegangen wird, muss unbedingt auch das Fachwissen her, welches eben durch einen Fachmann verkörpert werden kann.

    Natürlich kostet der auch wieder Geld aber ganz ehrlich:

    Macht lieber erstmal wieder Radio und lasst den Stream aussen vor und gebt das Geld für eine IT Fachkraft aus. Wir wissen auch dass das leichter gesagt als getan ist, wenn man auf Spenden und Gelder von Lesen/Hörern aus dem Shop angewiesen ist aber gerade solche Fachkräfte sind unabdingbar wenn man das Internet als sein Verbreitungsmedium nutzt.

    Diese Fachkraft kann wiederum Geld einsparen durch kompetente Beratung (welche Technologie ist sinnvoll in der Anschaffung, welche nicht), Implementation von Diensten, welche sonst über Fremdanbieter bezahlt werden müssen (und meist dann auch teurer sind unterm Strich), Suchmaschinenoptmierung und damit auch verbunden villeicht bessere PR für die im Shop angebotenen Waren durch größeren Kundenkreis und eben auch Inhaltliche Kompetenz für Technik bezogene Artikel, wodurch wiederum die Seriösität / Reputation steigt und damit verbunden ebenfalls wiederum der Absatz von Waren im Shop.

    Ob das nun nur von einer Person gemacht werden soll lässt sich zwar auch bezweifeln aber unterm Strich auf längere Zeit gesehen kann man von so einer Fachkraft (oder wie viele man eben benötigt / bezahlen kann) nur profitieren!

  23. kurz: es ist nicht möglich eine mehrfach kaskadierte verschlüsselte verbindung zu knacken, auch nicht von der nsa, interna berichte zeigen dies, dass diese machtlos sind, gegen diverse onlinekriminelle, eher durch andere hinweise und ermittlungen werden ab und an welche hochgenommen, aber alleine durch eine “entschlüsselung” sicherlich auf gar keinen fall.

  24. Nur so…lol

    Natürlich werden wir tagtäglich verarscht, aber das heisst doch nicht, dass man ein Paranoiker wird und alles, und ich meine ALLES, grundsätzlich anzweifelt und immer einen Mordanschlag vermutet. Man darf doch nicht von einem Extrem ins andere fallen, von jemand der alles glaubt, in jemand der gar nichts mehr glaubt. Man muss doch in der Mitte bleiben und die Geschehnisse abwegen und kritisch nach ihrer Glaubwürdigkeit betrachten.

  25. @emarkus

    sehr guter Beitrag von Dir.

    Die von Dir aufgezeigte Schwammigkeit bei technischen Themen zieht sich allerdings wie ein rotes Band durch Infokrieg. Der letzte Beitrag über Haarp zb enthielt kaum verwertbare Fakten, dafür aber, genau wie dieser Artikel, viel diffuse Angstmache.

    Vielleicht sollte man dem technischen Laien einmal erklären, dass eine Technologie wie zB SSL garnicht aufgekauft werden kann, da die Funtionsweise dieser Technologie öffentlich bekannt ist. Und nur aus diesem Grund wird sie auch als sicher anerkannt.

    Aber hier wird bei IK Halbwissen mit Angstmache vermischt. Genau aber dieses Verhalten passt überhaupt nicht zu dem ansonsten sehr analytischem Vorgehen von IK. Spätesten an dieser Stelle sollte man sich fragen, womit wir es hier eigentlich zu tun haben. Wenn ich mir dann noch die vielen Fremdreferenzen beim Aufruf von IK anschaue (natürlich darf google analytics nicht fehlen[im Prinzip die blanke Verhöhnung jedes Seiten Aufrufers]) wird mir auch nicht gerade besser

  26. Und IHR glaubt VeriSign und wie sie alle heißen ist vertrauenwürdig bzw. dort haben die Geheimdienste nicht die Finger im Spiel?

  27. Die Kritik an diesem Artikel ist mehr als begründet.

    Ich habe dazu mal einen Thread eröffnet: http://infokrieg.tv/forum/showthread.php?1836

  28. VeriSign und wie sie alle heißen sind ein Problem. Da braucht es aber nicht Geheimdienste. Da reicht schon der Bundestag: http://blog.fefe.de/?ts=b2570a98

    Erschreckend!

    Teil-Lösung: https://addons.mozilla.org/de/firefox/addon/6415/

    Oder einfach auf alle CAs verzichten. Damit geht aber natürlich auch Komfort verloren!

  29. - das wurde aktuell von hartgeld.com verlinkt
    – gibt es zwischenzeitlich neuere Erkenntnisse zur Kompromittierung von SSL auf “uber-certificate authority”-level (= NSA)?
    – bitte Tips fuer Theorie und Praxis fuer mehr Informationssicherheit
      (Beispiel: http://www.prism-break.org)

  30. LoL, AES512 im Verbund kaskadiert ist sowas von sicher… OMG Alex der Technik-Loser – Selbst das Pentagon nutzt es, natürlich weil es unsicher ist und die Russen fleißig mitlesen… hahahahaha… krass krass…. wo gibt es das zeug zu rauchen?

    • Ja, nutz ruhig weiter AES und Co. die von der NSA oder israelischen Wissenschaftlern entwickelt wurden. Du toller Profi, kaskadier mal weiter deinen Schrott, die NSA interessiert sich eh nicht für den Schmutz in deinen versteckten TrueCrypt-Foldern.

  31. Markus

    Der Artikel ist schon ganz schön unausgwogen.

    Mal abgesehen davon, dass niemand mit Sicherheit sagen kann, welche Möglichkeiten die NSA letztendlich hat, ist es nicht ausreichend, sich darauf zu konzentrierekn, was alles nicht funktioniert, es wäre auch wichtig, zu zeigen, wo Verschlüsselung sinvoll eingesetzt weren kann.

    Das wäre besonders für absolute Laien wichtig, bei denen ohne weiteres der Eindruck entstehn kann, Verschlüsselung sei komplett nutzlos.

    Letztendlich, steht man als durchschnittlicher Bürger, eher im Visier von Cybrkriminellen und normalen Behörden. Hier ist eine Verschlüsselung der Daten absolut sinnvoll, ratsam und wichtig. Auch für die Wirtschaft, ist Verschlüsselung, entscheidend.

    Was vermutlich auch der Grund für die Freigabe von AES ist. Der Vorteil, im Bereich der Wirtschaftsspionage, überwiegt wahrscheinlich den Nachteil. Es gilt eben auch Daten zu verschlüsseln, die nicht im Visier der NSA liegen, etwa die des eigenen Militärs.

    Selbst wenn ein Big-Player wie die NSA, gängige Verschlüsselungen brechen kann und einen Tipp, an die zustände Vollzugsbehörde weitergibt, sitzt die erstmal ratlos vor einer verschlüsselten Festplatte und muss nicht nur die Computer hochfahren, um zu sehen an was man grade arbeitet.

    Auch wäre der Aufwand, um eine Kombination, aus JonDo http://anon.inf.tu-dresden.de/index_en.html und einem vertrauenswürdigen VPN-Anbieter, etwa aus der Schweiz, auszuklamüstern nur in wichtigen Fällen wirklich lohnenswert. Es ist auf jedenfall ausreichend, einen kritischen Blog zu betreiben, ohne dabei verfolgt zuwerden.

    Selbst wenn die NSA alles mitlesen kann, sollten wir unsere Daten trotzdem verschlüsseln, um die Resourcen der Geheimdienste, so weit wie möglich zu fordern.

    Auch Bezeichnungen wie “in Echtzeit mitlesen” sind irreführend. Snowden zeigt ja grade auf, dass dies so nicht der Fall ist.

    • Ich kann mir gut Vorstellen das es vor dem Fall Snowden in der NSA Zentrale an manchen Stellen etwas Lachs wurde, was die “Kontrolle” anging.

      Das Malör wird so schnell nicht mehr passieren, die Mitarbeiter, wie Ihre Zugriffsmöglichkeit auf Sensible Daten wird jetzt sicher mehr beäugt. Intern die Zügel angezogen.

      Der Unwissende Mitarbeiter der mit Fragmenten arbeitet, dessen Zusammenhänge sich Ihm nicht erschließen. Best way to keep a Secret…

      Besitzt eine Nation die Relevanten Informationen z.B. des Handelsmarktes, ist sie in einer Vorteilhaften Position.

      Wo sich jetzt alle über die NSA aufregen, haben die meisten von uns schon längst Ihr Profil Freiwillig abgegeben, bei Facebook, Twitter Google und co.

      Jede Form von Verschlüsselung wird Obsolet (in der Ebene der Besitzer des Netzes), wenn wir nur noch mit einem Personalausweis ins Netz können.

      Verschlüsselung für uns “Normalos” ist gut, dass nicht jeder sich an unseren Daten zu schaffen machen kann.
      Alles was gegen LowTech CyberCryme hilft, hilft der Sicherheitsbranche. Wir drücken darum gerne mehr für den besseren Virenscanner oder die bessere Firewall ab.

      Mit anderen Worten: Wenn ich als Schadsoftware erstellen wollte, ließe ich mich von denen bezahlen, die den Schutz anbieten. Wo ist das verbrechen? Verdient doch jeder gut an dem Brett vor unserem Kopf.

      Da gibt´s dann noch genügend die es rein zum Spaß machen und andere die auf eigene Rechnung arbeiten wollen, aber es ist ja schon Inklusive in dem Schutz drinnen und ein guter Grund das es nicht auffällt.

      Mit Zugriff auf die Rechenzentrale des TK Anbieters sowie dem Steller des BS, ist es an oberster Stelle Egal mit welcher Verschlüsselungsgröße man das Netz belastet.
      Eine Hintertür hat jeder offen und wenn nicht wird eine geöffnet oder eingefasst.

      Wer will sich aber den Aufwand für jemand machen, der kaum eine Gefahr darstellt.

  32. DIES hat nen backdoor eingebaut
    http://anon.inf.tu-dresden.de/index_en.html

    nachzulesen hier

    https://www.privacyfoundation.de/forum/viewtopic.php?f=6&t=460

    Lobt sich aber trotzdem als guter anonymer Dienst

  1. […] This post was mentioned on Twitter by metaflux, CONTRACOMA. CONTRACOMA said: Infokrieg.tv: Die NSA und angeblich sichere SSL-Technologien, Firewalls und Anonymisierungsdienste: "Bestimmte p… http://bit.ly/dtVWuF […]

  2. […] (Quelle) Posted in Allgemein « Es gibt keine freie Presse! You can leave a response, or […]

  3. […] aber es gibt schon einiges zu dem Thema zu lesen , wie hier zum Beispiel , in folgendem Artikel : Die NSA und angeblich sichere SSL-Technologien, Firewalls und Anonymisierungsdienste – recentr.com mfg McC. function show(id) { if […]

Comments are closed.