Welcom #Bullrun

Was die Namensfindung angeht, kann man der NSA keine fehlende Kreativität vorwerfen. Der Begriff geht wohl auf eine Gegend zurück die im Bürgerkrieg eine Rolle gespielt hat. Aber auch bei der Durchsetzung ihrer Bestrebungen das Internet möglichst lückenlos zu überwachen, scheint man ordentlich kreativ geworden zu sein.
Wie wir heute Nacht erfahren haben – immer noch durch die von Hr. Snowden veröffentlichten Dokumente – ermöglicht das Programm Bullrun der NSA, verschlüsselte Verbindungen anzugreifen. Dabei scheint nicht so sehr die Verschlüsselung an sich das Angriffsziel zu sein… auch wenn die Berichterstattung derzeit etwas anderes vermuten lässt. Ich schicke es gleich mal vorweg – eine ordentliche Verschlüsselung in Verbindung mit sicheren Zertifikaten oder starken Passwörter dürfte die Agentur immer noch vor große Probleme stellen.

Aber was passiert denn nun? Anscheinend wird die Verschlüsselung an den Endpunkten angegriffen. Wenn ich mich bei Facebook per Browser anmelde, erfolgt das über eine verschlüsselte Verbindung die mein Browser mit dem Server von Facebook aufbaut. Die Verschlüsselung basiert auf dem Austausch von Zertifikaten und der dynamischen Übergabe von Passwörtern. Wenn es mir als Angreifer gelingt den Server von Facebook unter meine Kontrolle zu bringen oder aber die verwendeten Techniken bzw. Zertifikate zu kompromitieren, kann ich in Echtzeit oder im nachhinein den verschlüsselten Datenstrom mitlesen. Das ist ein Problem! Andererseits keines von dem man nicht schon angenommen hat das es existiert. Immerhin ist das amerikanische Militär immer wieder die treibende Kraft hinter der Neuentwicklung von Verschlüsselungen. Aber genau dieser Umstand macht es auch extrem unwahrscheinlich das die eigentlichen Techniken das Angriffziel sind. Die NSA scheint wahnsinnig viel Geld für Bullrun aufzubringen. Das ist nicht allein dadurch zu erklären das man die Infrastruktur damit bezahlen müsste. Eher ist davon auszugehen, das mit dem Geld Einfluss – um es mal diplomatisch auszudrücken – auf die Entwicklung von entsprechenden Techniken genommen wird. Aber auch eine „Unterstützung“ der großen Internetfirmen ist vorstellbar. Für ihre Aufwände die entstehen, wenn man der NSA Zugang zu sicheren Bereichen des eigenen Unternehmen gibt.

Die im Moment verbreitete Aussage das die Kommunikation im Internet nicht mehr sicher sei, halte ich für übertrieben. Wer Systeme nutzt in denen man die vollständige Kontrolle über Authentifizierung und Sicherheit hat, ist wohl immer noch sicher. Hingegen darf man annehmen, das eine über Google verschickte Mail mitgelesen werden kann. Auch wenn die Verbindung zum Webinterfacec oder dem Mailserver ursprünglich verschlüsselt war. Gleiches würde ich mal für alle großen Portale oder Dienste annehmen. Im weiteren dürfte man bei der NSA wohl Techniken entwickelt haben, die das ausnutzen von Schwachstellen in Protokollen oder Programmen stark vereinfacht. Und natürlich darf man getrost davon ausgehen, das die Technik vorhanden ist um großflächige Angriffe auf Passwörter zu fahren.

Aber was bedeutet das für den einzelnen? Ich denke nicht, das die Kommunikation mit der Bank per SSL verschlüsselter Browserverbindung gefährdet ist. Gegen Man-in-the-Middle Szenarien sind moderne Browser wenigstens rudimentär abgesichert. Und selbst wenn die signierenden Zertifikate als nicht mehr sicher gelten dürfen – das Zertifikat der Bank lässt sich dann zwar fälschen – aber die eigentliche Kommunikation mit dem echten Server der Bank ist weiterhin sicher. Wenn man sich denn sicher sein kann das es auch wirklich der Server der Bank ist…
Gleiches dürfte für Anbieter von Webdienste wie E-Mail innerhalb von Europa – England nehme ich hier explizit aus – gelten. Ich hoffe darauf, das diese Anbieter sich nicht so leicht ins Boot holen lassen wie ihre amerikanischen Kollegen. Die Übertragung einer Mail an GMX zum Beispiel, sollte nach wie vor sicher sein. Und die Übertragung dieser Mail von GMX zu T-Online demnächst auch wenn die Anbieter ihr Versprechen der gesicherten Übertragung untereinander wahr machen.
Im besonderen gehe ich aber davon aus, das selbst gemachte Verschlüsselung sicher ist sofern sich nicht irgendwelche Anwenderfehler eingeschlichen haben oder es ein grundsätzliches Problem mit dem Design gibt. Truecrypt beispielsweise ist Open Source. Ich unterstelle das absichtlich eingebrachte Schwachstellen eher früher als später auffallen würden. Der genutzen Verschlüsselung vertraue ich. Meinem Passwort das irgends hinterlegt ist, ebenfalls.
Etwas vollkommen anderes sind geschlossene Systeme deren Techniken nicht einfach kontrolliert werden können. Hardware-basierte Verschlüsselung ist ein Beispiel dafür. Niemand kann mir versprechen, das es nicht einen eingebauten Schwachpunkt gibt. Und die Vergangenheit hat gezeigt das es unheimliche viele dieser Schwachpunkte gegeben hat. Im einfachsten Fall waren das „Wartungs-Accounts“ für den Support die immer das gleiche Passwort verwendeten. Aber auch in der Hardware wurden schon Hintertüren gefunden. Und die lassen sich meistens nicht durch ein Software-Update beheben. Wenn ein solches System an der eigenen Verschlüsselung beteiligt ist, hat man ein Problem. Und realistisch betrachtet gibt es keine Chance zu erkennen wann ein solches System beteiligt ist.

Durch die neuen Enthüllungen ist wieder ein bisschen klarer geworden, was man uns bei der Nutzung des Internets wegnimmt. Es ist klarer geworden, das die beteiligten Agenturen nicht die geringste Hemmung haben, alle Möglichkeiten zu nutzen die technisch zu verfügung stehen… und anscheinend auch noch ein paar einzuführen wenn es sie noch nicht geben sollte. Um so bedauerlicher ist es, das für unsere Regierung das Thema kein Thema mehr zu sein scheint. Alle Fragen wurden ja angeblich beantwortet. Jetzt frage ich mich, ob unsere Militärs so begeistert von der Aussicht sind, das ihre Cryptosysteme – die ohne Frage ziemlich teuer und ziemlich amerikanisch sein dürften – einen „Wartungszugang“ der NSA mitbringen. Aber Hr. Profalla hat sich bestimmt versichern lassen – schriftlich wahrscheinlich – das solche Zugänge nicht genutzt werden. Dann ist ja alles gut…
Für den normalen User ändert sich nichts… weiterhin gilt wohl der Grundsatz das man, solange man nicht unangenehm auffällt, vielleicht einfach durch die Maschen fällt. Bedauerlicher weise scheint es nicht all zu schwer zu sein, unangenehm aufzufallen. In diesem Fall muss angenommen werden, das sämtliche Kommunikation mit eher geringem Aufwand belauscht werden kann. Insbesondere scheint das zu gelten wenn man sich auf Dienste von Dritten verlässt. Kommerzielle VPNs beispielsweise. Dropbox und SkyDrive als Beispiele für Datenspeicherdienste. Und und und. Immer wenn es in dem System eine zentrale Stelle gibt, muss man befürchten das der Dienst doch nicht so sicher ist wie versprochen.

In Ausnahmen gilt das auch für nicht zentrale Angebote. Trauriges Beispiel ist hier TOR. Forscher haben jetzt veröffentlicht, das ein TOR-User recht leicht zu identifizieren ist. Vorausgesetzt man hat ausreichend großen Zugriff auf die Netz-Infrastruktur. Aber das dürfen wir mal voraussetzen. Grundsätzlich gilt aber – offen ist immer besser. Offen entwickelte Systeme werden von vielen Entwicklern begleitet. Die Gefahr das sich hier Lücken „einschleichen“ ist geringer als wenn eine einzelne Firma so was entwickelt. Sicherlich nicht ausgeschlossen aber geringer. Im Falle von TOR ist das Problem aber kein Fehler im Design sondern liegt in der Struktur der Protokolle begründet. Niemand hat damit gerechnet das die Fähigkeiten der Geheimdienste so weit gehen… Man wird sehen wie die Macher von TOR darauf reagieren.
Für Internetnutzer im allgemeinen gilt – wenn ihr verschlüsseln wollt macht es selbst. Verlasst euch nicht auf Anbieter die euch Sicherheit versprechen. Wählt Hard- und Software gut aus. Bleibt wo immer es möglich ist innerhalb Europas mit euren Daten. Und hofft jeden Tag darauf das die lokalen Anbieter nicht genauso leicht umfallen wie die jenseits des großen Teichs.
Was wir heute Nacht erfahren haben ist ein weitreichender Angriff auf die Vertrauensstruktur des Internets. Und ich befüchte das es nicht das letzte Mal war das wir uns mit dem Thema beschäftigen müssen… Aber angesichts der Verweigerung unserer Politik das für uns zu tun, bleibt uns wohl nichts anderes übrig…

Benny

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.