Erstellt am: 21. 5. 2013 - 10:45 Uhr
FBI verlangt "Hintertür" für Soziale Netze
Vor den jüngst wiederholten Forderungen des FBI nach automatisiertem Zugriff auf sämtliche Internetservices, die den Benutzern irgendeine Form der Kommunikation ermöglichen, hat nun eine akademische Expertengruppe eindringlich gewarnt.
Die Ausweitung der seit 1995 für Telefonie in den USA gültigen Überwachungsvorschriften auf Internetkommunikation werde schwere Sicherheitsrisiken und entsprechende Konsequenzen für Wirtschaft und nationale Sicherheit der USA mit sich bringen, warnen die 20 prominenten Unterzeichner des Gutachtens.
Vom Erfinder der Verschlüsselungssoftware PGP, Phil Zimmermann, über die Mathematikerin Susan Landau, nach der ein Algorithmus benannt ist, oder Edward Felten (Universität Princeton) und Bruce Schneier (British Telecom) ist in diesem Komitee alles vertreten, was in der IT-Sicherheitsforschung seit Jahren Rang und Namen hat.
Die Kritik der Experten konzentriert sich auf einen einzigen Aspekt dieser umfassenden Überwachungspläne, der völlig neu ist.
etsy.com
Schnittstellen beim Endbenutzer
Hinter den Kulissen wird in den USA offenbar allen Ernstes erwogen, die zur "gesetzesmäßigen Überwachung" ("Lawful Interception") erforderlichen Schnittstellen für Facebook-Chats und Internettelefonie, Tauschbörsen usw. zwangsweise in die Software der Endbenutzer zu integrieren.
Technisch gesehen gebe es nur zwei Möglichkeiten, die Forderungen des FBI nach einem Überwachungszugang über eine einheitliche, fernbedienbare Schnittstelle umzusetzen, schreiben die Sicherheitsexperten. Zum einen sei das über einen zentralen, definierten Punkt im Netzwerk des jeweiligen Internetproviders möglich, an dem die Kommunikationsinhalte abgegriffen werden.
Wie das funktioniert
Diese hierorts schon mehrfach beschriebene Methode wird im European Telecom Standards Institute seit mehr als zwei Jahren zu einer Norm entwickelt. Verkürzt gesagt funktioniert diese in Großbritannien schon seit 2010 angewendete Methode so:
Die sogenannte "Communications Data Bill" in Großbritannien, die den FBI-Plänen zum Verwechseln ähnlich sieht,sei keineswegs gestorben, sondern in der "Queen's Speech" genannten Regierungserklärung enthalten gewesen, sagte Simon Davies (LSE) vor einer Woche zu ORF.at
Sobald ein Kunde, gegen den ein Durchsuchungsbefehl vorliegt, versucht, einen verschlüsselten Zugang (https) aufzubauen, wird er beim Internetprovider auf einen speziellen Rechner umgeleitet. Die Verschlüsselung geht vom Browser des Kunden nicht bis zum Rechner von Facebook oder des Onlinebanking-Systems, sondern nur bis zu diesem Server, den die staatlichen Überwacher unter ihrer Kontrolle haben.
Dort können von Facebook-Chats bis zu Banküberweisungen alle Kommunikationsinhalte mitgeschnitten und an die Strafverfolger abtransportiert werden, ohne dass der Überwachte etwas davon merkt.
Sicherheitsnormen, Firmennetze
Schon dieser Vorgang ist per se gefährlich, zumal er die rund um die Welt gebräuchlichen Sicherheitsnormen für Firmen- und Behördennetze aushebeln kann. Obendrein muss zu Methoden gegriffen werden, die organisierte Internetkriminelle verwenden, um an die Logindaten ihrer Opfer zu kommen: Es handelt sich dabei um gefälschte Sicherheitszertifikate, die dem Browser untergejubelt werden, der Verschlüsselungsaufbau wird beim Provider dann so manipuliert, dass mitgelesen werden kann.
Wie das in der Praxis funktioniert, wurde hierorts bereits detailliert beschrieben. Hinzugesagt werden muss, dass die Standardisierung vergleichsweise noch in der Anfangsphase ist, während derartige Formen der Internetüberwachung in einigen EU-Staaten bereits praktiziert werden.
Dieser per se fragwürdige Ansatz, die Internetprovider zu zwingen, zur Unterstützung der Polizeiarbeit Methoden der organisierten Kriminalität anzuwenden, hat obendrein zwei große Haken.
Wer was wann bemerkt
Einigermaßen versierte Benutzer, die sich von fern etwa in ihr eigenes Virtual Private Network einloggen, können diese Manipulation sichtbar machen. Zum anderen funktioniere diese Überwachungsform etwa nur noch bei älteren Systemen zur Internettelefonie, schreiben die Experten. Bei neueren Formen, die auf den offenen Protokollen ZRTP und DTLS-SRTP aufbauen, greife diese Überwachungsform ins Leere.
Das Signalling, also der Verbindungsaufbau bei VoIP-Telefonie läuft in dem Fall zwar über den "zentralen Punkt" beim Internetprovider, Verschlüsselungsaufbau und Kommunikation finden aber "weit draußen" im Internet statt und kommen über verschiedene Routen wieder herein.
Unterschiedliche Schlüsse
Zu dieser Ansicht ist offenbar auch das FBI gelangt, die daraus gezogenen Konsequenzen sind allerdings diametral unterschiedlich. Während die Sicherheitsforscher ein "Fall zu Fall"-Vorgehen empfehlen und vor jeglicher Automatisierung der Internetüberwachung warnen, versucht das FBI genau Letzteres durchzusetzen.
Die Überwachungsnormierer im ETSI sind ebenfalls der Ansicht, dass "Cloud-Anbieter" - von Facebook abwärts alle Internetplattformen, auf denen Benutzer auf irgendeine Art kommunizieren - eine Überwachungsschnittstelle anbieten müssen. Diese ETSI-Standards betreffen aufgrund der Dominanz der GSM-basierten Mobilfunknetze etwa 75 Prozent der Überwachungszugriffe in den USA,
"Communications Assistance"
"CALEA 2" auf Software und Geräte beim Endbenutzer ausdehnen zu wollen, werde Kommunikationssysteme noch verwundbarer gegen Angriffe machen, als sie jetzt schon seien, schreiben die US-Experten.
Das Gutachten "CALEA II: Risks of Wiretap Modifications to Endpoints" wurde vom Center for Democracy and Technology" am Freitag veröffentlicht).
CALEA ist der "Communications Assistance Law Enforcement Act", ein US-Gesetz von 1994/5, das alle Betreiber von digitalen Telefonienetzen verpflichtet, Schnittstellen einzurichten, an die das FBI direkt andocken kann.
Mittlerweile ist diese Telefonieüberwachung vollständig automatisiert, Verkehrsdaten, aber auch Gespräche aus den Telefonienetzen können nahe an Echtzeit zur Überwachung an irgendein Monitoring Center des FBI freigeschaltet werden. Dasselbe stellt man sich nun für die Kommunikation im Internet vor, nur dass die Schnittstelle eben kein zentraler Punkt eines Telekomnetzes, sondern im Browser oder einer anderen Software des jeweiligen Endbenutzers sitzt.
Bewusst eingebaute Schwachstelle
Eine solche Schnittstelle, an der die Überwachung des Rechners von fern freigeschaltet werden kann, sei deswegen von "einzigartiger Gefährlichkeit", weil sie von vornherein für verdeckten Zugang eingerichtet sei, schreiben die Sicherheitsexperten. Wer diese Schnittstelle angreifen könne, der habe auch alle Möglichkeiten, gestohlene Daten unentdeckt abzuziehen.
Will heißen: Während Kriminelle ihren Opfern jetzt noch Trojaner unterjubeln müssen, können sie dann versuchen, diese Schnittstellen, die ja bewusst eingebaute Schwachstellen sind, anzugreifen.
An sich könne sich dieses "Feature" nur im Webbrowser befinden, denn über diesen wird die Überzahl der Cloud-Dienste in der Regel angesteuert, ob es nun Facebook, Twitter oder ein Anbieter von verschlüsselten Virtual Private Network Services ist.
Was nicht thematisiert wurde
Wie es bei der Vielzahl von Browsern wie Firefox oder Google Chrome, deren Quellcode offen liegt, möglich sein sollte, eine solch geheime Schnittstelle zu installieren, stehe ebenfalls in den Sternen, so das Gutachten abschließend.
Interessanterweise haben die Autoren überhaupt nicht thematisiert, dass in diesem Fall ja auch die großen Cloud-Anbieter, die fast allesamt amerikanische Unternehmen sind, gezwungen werden könnten, auf ihrer Seite solche Schnittstellen zur automatisierten Überwachung seitens der US-Behörden freizuschalten. Das wäre weitaus einfacher und naheliegender.
Convenience an der Drehtür
Es ist nicht allein die "Convenience", Facebook-Chats und Internettelefonie auf Knopfdruck von ferne freizuschalten, die das FBI veranlasst, nun CALEA 2 voranzutreiben. Rund um dieses Überwachungsgesetz für telefonbasierte Dienste hat sich seit Mitte der 90er Jahre eine millionenschwere Industrie gebildet.
Aus dem Akronym für ein Überwachungsvorhaben von 1994 ist mittlerweile ein eingetragenes Warenzeichen geworden. CALEA ist zu einer Art von Ausbildungs-, Trainings- und Akkreditierungszentrum der US-Polizeibehörden geworden.
Wie in den USA üblich, wurde so viel an Dienstleistungen, Services und Überwachungstrainings privatisiert, wie irgendwie möglich war. Die Führungspositionen im Telefoniebereich CALEA 1 sind dabei weitgehend mit verdienten Beamten aus dem polizeilichen Überwachungskomplex der USA besetzt.
Das gedenkt man nun für den weitaus komplexeren Internetbereich in weitaus größerem Rahmen zu replizieren. Nach diesem "Drehtürprinzip" - der verdiente Beamte kehrt sofort nach seiner Frühpensionierung als Projektleiter einer Privatfirma ins Überwachungsbusiness zurück - funktioniert der gesamte militärisch-elektronische Komplex der USA. Es ist eine "Business Public Partnership", die im offiziellen US-Sprachgebrauch eben "Public Private Partnership" genannt wird. Letzteres entspricht dem tatsächlichen Geldfluss, denn die Bezahlung erfolgt seitens der öffentlichen Hand.