Als Teil meiner persönlichen Lehren aus den Snowden Enthüllungen habe ich mal meinen alten 1024 bit GnuPG Key in den verdienten Ruhestand geschickt und mir einen neuen 4096 bit GnuPG Key gebacken.

Schlüssel ID: 74A5D6EA Fingerabdruck: 3434 E348 C15A 069D D2A6 11FB AC62 9AC8 74A5 D6EA

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG/MacGPG2 v2.0.20 (Darwin)
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=Um8Q
-----END PGP PUBLIC KEY BLOCK-----

P.S. Ja, ist jetzt auch im Impressum entsprechend geändert und der aktuelle Key verlinkt.

Die genaue Position des Abhörzentrums ist angeblich in den geleakten Dokumenten zu finden, wird aber von den Medien nicht veröffentlicht.

Wenn man sich die Karte der Unterseekabel mal ansieht dann gibt es eine Stelle die aus Sicht der Schnüffler besonders interessant ist: Alexandria und das direkt benachbarte Abu Talat in Ägypten. In Alexandria landen Unterseekabel der folgenden Netzwerke: Aletar, FLAG Europe-Asia (FEA), Hawk, IMEWE, SeaMeWe-3, SeaMeWe-4.

In Abu Talat (ca. 30 km westlich von Alexandria) landen die folgenden Netwerke: Europe India Gateway (EIG), TE North/TGN-Eurasia/SEACOM/Alexandros und in Zukunft auch Middle East North Africa (MENA) Cable System/Gulf Bridge International.

Eine andere durchaus interessante Stelle wäre im Oman, dort landen eine Vielzahl der Verbindungen aus dem Iran. Wenn man den Iran abhören will dann würde man vor allem in Oman aktiv werden.

Sachdienliche Hinweise und Kommentare nehme ich gerne per Email oder jabber entgegen. Kontaktdaten gibt unter Impressum.

Update 5.11.2013

Die italienische Zeitung L’Espresso berichtet dass die genannte GCHQ/NSA Abhörstation - mit dem Decknamen Sounder - in Zypern liegt. Genauer soll es sich um die Station Ayios Nikolaos handeln.

Wie man sehen kann haben sie da einen dieser Antennen Arrays die man Elefanten-Käfig nennt. Das ist die runde Struktur links oben im Bild. Solche ein Elephant-Cage ist ein klares Zeichen für eine Abhörstation. Wer selber nachsehen will, hier sind die Koordinaten des Elefanten Käfig: 35° 5'48.35"N 33°53'5.14"E

Da lag ich wohl mit meiner Vermutung - dass die Station in Ägypten ist - falsch, aber schön das wir das geklärt haben.

Die Drosselkom und United Internet (web.de und GMX) aktivieren nach 11 Jahren Untätigkeit endlich mal Verschlüsselung auf ihren Mailservern. Das war überfällig. Sich jetzt hinzustellen und das als großen Wurf gegen die NSA Spionage zu feiern, ist einfach nur lächerlich. Das entsprechende RFC (3207) Dokument gibt es schließlich schon seit 2002.

Ich kann auch nur empfehlen: Weg von den großen Anbietern mit eingebauten Abhörschnittstellen bei denen man mit seinen Daten bezahlt. Man muss sich immer klar machen dass man bei Diensten die umsonst angeboten werden nicht der Kunde ist, sondern die Ware welche verkauft wird. Die Kunden dieser Anbieter sind die Werbeindustrie und andere Schnüffler dieser Welt. Wer nicht Ware, sondern Kunde sein will muss bezahlen oder den Dienst gleich selber betreiben.

Wer noch eine gute Alternative zu GMX, Web.de und Gmail sucht, dem kann ich posteo.de empfehlen.

Weblinks:

• Kommentar fon fefe

• Kommentar vom CCC

• Kommentar von Netzpolitik.org

Schaut euch dieses Video an. Nachdem ihr es geschaut habt sorgt dafür dass es auch all eure Freunde, eure Familie, eure Schulfreunde, Arbeitskollegen und alle anderen ansehen. Nicht das hier jemand hinterher sagt er hätte von nichts gewusst.

Und wenn ihr jemanden trefft, der meint, wer nichts zu verbergen hat, habe auch nichts zu befürchten, dem zeigt ihr auch dieses Video. Der Permalink für dieses Video ist: http://youtu.be/iHlzsURb0WI

Ist dann doch ein etwas längerer Hntergrundartikel geworden. /~scusi

Die Volkswagen AG hat eine einstweilige Verfügung in Großbritannien gegen ein Team von IT-Sicherheitsforschern beantragt und bewilligt bekommen. Heise.de hat z.B. darüber berichtet. Die Forscher haben untersucht wie die Sicherheitssysteme (Wegfahrsperre, Alarmanlage, Entriegelung) von Nobelkarossen funktionieren. Das Ergebnis ist ernüchternd. Den Forschern gelang es die zentralen Verschlüsselungscodes des Systems herauszufinden. Im Klartext heißt das nichts anderes als dass die Sicherheitssysteme selbst der teuersten Autos auf dem Markt nicht sicher entworfen und umgesetzt wurden. Ein Sicherheitssystem, welches seine Benutzer in falscher Sicherheit wiegt ist schlimmer als gar kein Sicherheitssystem. Wenn man gar kein Sicherheitssystem hat, dann wissen wenigstens alle Beteiligten dass es keine Sicherheit gibt und sie können sich darauf einstellen. Also z.B. das Auto nur noch auf bewachten Parkplätzen und in verschlossenen Garagen abzustellen, da man weiß dass es relativ einfach ist mit dem Auto einfach weg zu fahren, egal ob man der legitime Besitzer ist, oder nicht.

Wenn man allerdings von der Autoindustrie erzählt bekommt dass es unmöglich ist den Wagen zu starten und damit weg zu fahren wenn man nicht in Besitz der echten Schlüssel ist, dann rechnet man nicht damit dass genau dass passieren könnte. Folglich verhält man sich auch nicht entsprechend. Die Folgen liegen auf der Hand. Es werden entsprechend viele Autos geklaut.

Die Autoindustrie vertritt den Standpunkt dass man einfach nur niemanden erzählen darf wie unzureichend ihre Systeme konstruiert und gebaut wurden. Dann kann ja auch niemand Autos klauen, weil niemand weiß wie es geht. Diese Auffassung ist gelinde gesagt etwas naiv, um nicht zu sagen hochgradig gefährlich und unverantwortlich.

Autodiebstahl, besonders von Nobelkarossen ist nach wie vor ein lukratives Geschäft. Wie für alle lukrativen Geschäftsfelder gilt auch hier dass sich entsprechend hohe Investitionen in dieses Geschäft durchaus lohnen können. Anders gesagt: Die Autodiebe haben sehr wahrscheinlich ein relativ großes Budget für Forschung und Entwicklung damit sie auch morgen noch lukrative Geschäfte machen. Wenn ich professioneller Autodieb wäre, würde ich mir ein paar fähige Techniker suchen und ihnen einen großen Batzen Geld geben damit sie die Sicherheitssysteme der Autos knacken und mir Werkzeuge bauen um dieses Wissen in der Praxis nutzen zu können.

Ganz bestimmt gibt es solche Initiativen und die entsprechenden Werkzeuge. Man hört immer wieder in einschlägigen Kreisen dass es solche Werkzeuge gibt und diese auch genutzt werden. Zum einen für Diebstähle von Wertsachen die im Auto zurückgelassen wurden und zum anderen um gleich das ganze Auto zu entwenden.

Die Kriminellen wissen also sowieso als eine der ersten wie die Sicherheitssysteme auszutricksen sind. Die kaufen sich einfach ein neues Model und geben es mit einem großen Koffer Geld bei ihren Technikern ab. Die Forscher die das untersucht haben wissen es auch, die haben sich auch ein Versuchsobjekt besorgt und es selber herausgefunden. Die Autoindustrie wusste es wohlmöglich ebenfalls schon lange, die haben das System schließlich entworfen und gebaut. Bei einer ordentlichen Bedrohungsanalyse (Threat-Model) wäre aufgefallen dass es da - ähm sagen wir mal konstruktionsbedingte Unzulänglichkeiten gibt.

Nur die Öffentlichkeit, also auch die Käufer und Besitzer von Produkten der Automobilindustrie sind die angeschmierten, sie wissen gar nichts und glauben zu großen Teilen die Sicherheitssysteme ihrer Autos wären hinreichend sicher.

Von dieser misslichen Lage profitieren zwei Akteure, die Autodiebe und die Autoindustrie. Die Autodiebe, weil es ihnen weiterhin einfach gemacht wird ihren lukrativen Geschäften nachzugehen. Da die Autobesitzer nicht wissen wie miserable die Sicherheitssysteme ihrer Autos sind können sich nicht entsprechend verhalten und sich auf diesen Umstand bestmöglich einrichten. Die Autoindustrie profitiert gleich im mehrfachen Sinne:

• Es entsteht kein Druck auf die Hersteller endlich richtig robuste Sicherheitssysteme zu entwickeln und in ihre Autos einzubauen, oder gar ihre ausgelieferten mangelhaften System zurück zu rufen und durch bessere zu ersetzten. Das ist für die ganze Branche bequem. Was würde passieren wenn es einen Autohersteller gäbe dessen Autos wirklich nicht unbeschadet zu öffnen oder von nicht autorisierten Personen weggefahren werden können? Wohlmöglich würde diese Tatsache beim ein oder anderen Käufer die Kaufentscheidung beeinflussen. Das würde wiederum entsprechenden Druck erzeugen die eigenen Autos auch mindestens so sicher wie die der Konkurrenz zu machen.

• Die Autodiebe sorgen mit ihren Diebstählen für neue Nachfrage. Die meisten neu gekauften Nobelkarossen sind Vollkasko versichert und werden den Besitzern von der Versicherung voll erstattet, sprich sie bekommen genau so ein Auto noch einmal. Also verkauft der Hersteller für jedes geklaute Fahrzeug ein weiteres. Wer würde unter derlei Umständen schon ein gesteigertes Interesse an wirkungsvollen Sicherheitssystemen haben.

Die dummen bei der ganzen Geschichte sind die Versicherungsnehmer, die die Mehrkosten tragen müssen, die Versicherungsunternehmen preisen die Autodiebstähle schließlich in ihre Policen ein. Die Bürger müssen für die Polizeiarbeit die wegen der Diebstähle fällig wird bezahlen. Kosten die bei guten Sicherheitssystemen bestimmt viel geringer ausfallen würden.

Das Zauberwort in dieser Debatte heißt Produkthaftung. Um das Problem schlechter Sicherheitssysteme für Autos und damit verbundene hohe Rate an Autodiebstählen nachhaltig zu lösen wäre es nötig die ökonomische Gleichung der Autohersteller dahingehend zu verändern, dass der Einbau und Vertrieb von schlechten Sicherheitssystemen für den Hersteller so teuer werden würde, dass er lieber gleich ein entsprechend überwindungssicheres System einbaut. Wenn man die Produkthaftung für Wegfahrsperren und Entriegelung entsprechend verschärfen würde, wäre kein Autohersteller mehr bereit derlei finanzielle Risiken einzugehen, die Anteilseigner (sprich Aktienbesitzer) würden schon aus Angst um ihre zu erwartende Dividende dafür sorgen dass der Hersteller bestmögliche Sicherheitssysteme einbaut.

Damit solch ein System funktionieren kann wäre allerdings unabdingbar dass unabhängige Forscher ihre Ergebnisse auch veröffentlichen können, da ansonsten die verschärfte Produkthaftung nicht greifen könnte. Genau deshalb versucht die Autoindustrie alles in Abrede zu stellen was längst bewiesene Tatsachen sind.

Das Problem betrifft übrigens nicht nur Wegfahrsperren und die Entriegelung von Autos. Es betrifft auch alle anderen Systeme die heutzutage in Autos verbaut werden, das ist alles nicht hinreichend sicher. Da kann man über ein manipulierte MP3 Datei auf einer CD, die man in den CD-Player des Autos steckt den gesamten Board Computer übernehmen. Der wiederum hängt an einem zentralen Datenbus, an den sämtliche Sensorik und Steuereinheiten des Autos angeschlossen sind. Bei modernen Fahrzeugen wird mittlerweile so gut wie alles elektronisch gesteuert. Das heißt im Umkehrschluß das man ein Auto komplett aus der Ferne kontrollieren kann.

Kostprobe gefällig? Bitte!

Das folgende Video hatte auch fefe kürzlich erwähnt, es stammt ursprünglich aus diesem Forbes Artikel. Charlie Miller und Chris Valasek wurden von der DARPA gefragt ob sie sich nciht mal für 80.000 US Dollar anschauen können was man alles mit einem modernen Auto anstellen kann aus der Sicht eines Hackers. Nunja, seht selbst.

Falls das Video nicht angezeigt wird - einige Browser unterbinden das weil es nicht über https verfügbar ist, wie diese Seite - es steht hier.

Wer sich noch etwas genauer informieren möchte wieviel Angriffsfläche so ein Auto eigentlich bietet dem empfehle ich das Paper mit dem schönen Titel: Comprehensive Experimental Analyses of Automotive Attack Surfaces sowie Experimental Security Analysis of a Modern Automobile beide im PDF Format.

Und das ist der Grund warum ich ein altes Auto fahre, wo alles schön mechanisch läuft, kein Boardcomputer, kein Brems- oder Einparkassistent, kein Autoradio oder Entertainment-System welches am CANBus hängt. Keine Servolenkung, kein ABS oder anderen Schnickschnak den man nicht braucht.

Ich möchte euch an dieser Stelle einen Text von Patrick Breyer mit dem Titel “Brauchen wir Geheimdienste, die bei Straftaten bloß zusehen?" zum lesen empfehlen.

Da sollten wir mal drüber nachdenken und die richtigen Schlüsse draus ziehen.