ScusiBlog

background emmission of scusi.

Wo Ist Die UK-USA Abhörstation Im Nahen Osten?

Wie u.a. heise.de berichtet betreiben die britische und amerikanische Stasi ein gemeinsames Abhörzentrum im Nahen Osten, über welches sie einen Großteil der Kommunikation aus und in diese Region abfangen können. Es scheint sich dabei ebenfalls wie bei den europäischen Unterseekabeln um einen sog. ‘full take’ zu handeln.

Die genaue Position des Abhörzentrums ist angeblich in den geleakten Dokumenten zu finden, wird aber von den Medien nicht veröffentlicht.

Wenn man sich die Karte der Unterseekabel mal ansieht dann gibt es eine Stelle die aus Sicht der Schnüffler besonders interessant ist: Alexandria und das direkt benachbarte Abu Talat in Ägypten. In Alexandria landen Unterseekabel der folgenden Netzwerke: Aletar, FLAG Europe-Asia (FEA), Hawk, IMEWE, SeaMeWe-3, SeaMeWe-4.

In Abu Talat (ca. 30 km westlich von Alexandria) landen die folgenden Netwerke: Europe India Gateway (EIG), TE North/TGN-Eurasia/SEACOM/Alexandros und in Zukunft auch Middle East North Africa (MENA) Cable System/Gulf Bridge International.

Eine andere durchaus interessante Stelle wäre im Oman, dort landen eine Vielzahl der Verbindungen aus dem Iran. Wenn man den Iran abhören will dann würde man vor allem in Oman aktiv werden.

Sachdienliche Hinweise und Kommentare nehme ich gerne per Email oder jabber entgegen. Kontaktdaten gibt unter Impressum.

Update 5.11.2013

Die italienische Zeitung L’Espresso berichtet dass die genannte GCHQ/NSA Abhörstation - mit dem Decknamen Sounder - in Zypern liegt. Genauer soll es sich um die Station Ayios Nikolaos handeln.

Wie man sehen kann haben sie da einen dieser Antennen Arrays die man Elefanten-Käfig nennt. Das ist die runde Struktur links oben im Bild. Solche ein Elephant-Cage ist ein klares Zeichen für eine Abhörstation. Wer selber nachsehen will, hier sind die Koordinaten des Elefanten Käfig: 35° 5'48.35"N 33°53'5.14"E

Da lag ich wohl mit meiner Vermutung - dass die Station in Ägypten ist - falsch, aber schön das wir das geklärt haben.

Drosselkom Und United Internet Machen Sich Lächerlich!

Die Drosselkom und United Internet (web.de und GMX) aktivieren nach 11 Jahren Untätigkeit endlich mal Verschlüsselung auf ihren Mailservern. Das war überfällig. Sich jetzt hinzustellen und das als großen Wurf gegen die NSA Spionage zu feiern, ist einfach nur lächerlich. Das entsprechende RFC (3207) Dokument gibt es schließlich schon seit 2002.

Ich kann auch nur empfehlen: Weg von den großen Anbietern mit eingebauten Abhörschnittstellen bei denen man mit seinen Daten bezahlt. Man muss sich immer klar machen dass man bei Diensten die umsonst angeboten werden nicht der Kunde ist, sondern die Ware welche verkauft wird. Die Kunden dieser Anbieter sind die Werbeindustrie und andere Schnüffler dieser Welt. Wer nicht Ware, sondern Kunde sein will muss bezahlen oder den Dienst gleich selber betreiben.

Wer noch eine gute Alternative zu GMX, Web.de und Gmail sucht, dem kann ich posteo.de empfehlen.

Weblinks:

Was Ist Ein Überwachungsstaat? - Damit Wirklich Jeder Versteht Was Auf Dem Spiel Steht

Schaut euch dieses Video an. Nachdem ihr es geschaut habt sorgt dafür dass es auch all eure Freunde, eure Familie, eure Schulfreunde, Arbeitskollegen und alle anderen ansehen. Nicht das hier jemand hinterher sagt er hätte von nichts gewusst.

Und wenn ihr jemanden trefft, der meint, wer nichts zu verbergen hat, habe auch nichts zu befürchten, dem zeigt ihr auch dieses Video. Der Permalink für dieses Video ist: http://youtu.be/iHlzsURb0WI

IT-Sicherheit Und Die Automobilindustrie.

Ist dann doch ein etwas längerer Hntergrundartikel geworden. /~scusi

Die Volkswagen AG hat eine einstweilige Verfügung in Großbritannien gegen ein Team von IT-Sicherheitsforschern beantragt und bewilligt bekommen. Heise.de hat z.B. darüber berichtet. Die Forscher haben untersucht wie die Sicherheitssysteme (Wegfahrsperre, Alarmanlage, Entriegelung) von Nobelkarossen funktionieren. Das Ergebnis ist ernüchternd. Den Forschern gelang es die zentralen Verschlüsselungscodes des Systems herauszufinden. Im Klartext heißt das nichts anderes als dass die Sicherheitssysteme selbst der teuersten Autos auf dem Markt nicht sicher entworfen und umgesetzt wurden. Ein Sicherheitssystem, welches seine Benutzer in falscher Sicherheit wiegt ist schlimmer als gar kein Sicherheitssystem. Wenn man gar kein Sicherheitssystem hat, dann wissen wenigstens alle Beteiligten dass es keine Sicherheit gibt und sie können sich darauf einstellen. Also z.B. das Auto nur noch auf bewachten Parkplätzen und in verschlossenen Garagen abzustellen, da man weiß dass es relativ einfach ist mit dem Auto einfach weg zu fahren, egal ob man der legitime Besitzer ist, oder nicht.

Wenn man allerdings von der Autoindustrie erzählt bekommt dass es unmöglich ist den Wagen zu starten und damit weg zu fahren wenn man nicht in Besitz der echten Schlüssel ist, dann rechnet man nicht damit dass genau dass passieren könnte. Folglich verhält man sich auch nicht entsprechend. Die Folgen liegen auf der Hand. Es werden entsprechend viele Autos geklaut.

Die Autoindustrie vertritt den Standpunkt dass man einfach nur niemanden erzählen darf wie unzureichend ihre Systeme konstruiert und gebaut wurden. Dann kann ja auch niemand Autos klauen, weil niemand weiß wie es geht. Diese Auffassung ist gelinde gesagt etwas naiv, um nicht zu sagen hochgradig gefährlich und unverantwortlich.

Autodiebstahl, besonders von Nobelkarossen ist nach wie vor ein lukratives Geschäft. Wie für alle lukrativen Geschäftsfelder gilt auch hier dass sich entsprechend hohe Investitionen in dieses Geschäft durchaus lohnen können. Anders gesagt: Die Autodiebe haben sehr wahrscheinlich ein relativ großes Budget für Forschung und Entwicklung damit sie auch morgen noch lukrative Geschäfte machen. Wenn ich professioneller Autodieb wäre, würde ich mir ein paar fähige Techniker suchen und ihnen einen großen Batzen Geld geben damit sie die Sicherheitssysteme der Autos knacken und mir Werkzeuge bauen um dieses Wissen in der Praxis nutzen zu können.

Ganz bestimmt gibt es solche Initiativen und die entsprechenden Werkzeuge. Man hört immer wieder in einschlägigen Kreisen dass es solche Werkzeuge gibt und diese auch genutzt werden. Zum einen für Diebstähle von Wertsachen die im Auto zurückgelassen wurden und zum anderen um gleich das ganze Auto zu entwenden.

Die Kriminellen wissen also sowieso als eine der ersten wie die Sicherheitssysteme auszutricksen sind. Die kaufen sich einfach ein neues Model und geben es mit einem großen Koffer Geld bei ihren Technikern ab. Die Forscher die das untersucht haben wissen es auch, die haben sich auch ein Versuchsobjekt besorgt und es selber herausgefunden. Die Autoindustrie wusste es wohlmöglich ebenfalls schon lange, die haben das System schließlich entworfen und gebaut. Bei einer ordentlichen Bedrohungsanalyse (Threat-Model) wäre aufgefallen dass es da - ähm sagen wir mal konstruktionsbedingte Unzulänglichkeiten gibt.

Nur die Öffentlichkeit, also auch die Käufer und Besitzer von Produkten der Automobilindustrie sind die angeschmierten, sie wissen gar nichts und glauben zu großen Teilen die Sicherheitssysteme ihrer Autos wären hinreichend sicher.

Von dieser misslichen Lage profitieren zwei Akteure, die Autodiebe und die Autoindustrie. Die Autodiebe, weil es ihnen weiterhin einfach gemacht wird ihren lukrativen Geschäften nachzugehen. Da die Autobesitzer nicht wissen wie miserable die Sicherheitssysteme ihrer Autos sind können sich nicht entsprechend verhalten und sich auf diesen Umstand bestmöglich einrichten. Die Autoindustrie profitiert gleich im mehrfachen Sinne:

  • Es entsteht kein Druck auf die Hersteller endlich richtig robuste Sicherheitssysteme zu entwickeln und in ihre Autos einzubauen, oder gar ihre ausgelieferten mangelhaften System zurück zu rufen und durch bessere zu ersetzten. Das ist für die ganze Branche bequem. Was würde passieren wenn es einen Autohersteller gäbe dessen Autos wirklich nicht unbeschadet zu öffnen oder von nicht autorisierten Personen weggefahren werden können? Wohlmöglich würde diese Tatsache beim ein oder anderen Käufer die Kaufentscheidung beeinflussen. Das würde wiederum entsprechenden Druck erzeugen die eigenen Autos auch mindestens so sicher wie die der Konkurrenz zu machen.

  • Die Autodiebe sorgen mit ihren Diebstählen für neue Nachfrage. Die meisten neu gekauften Nobelkarossen sind Vollkasko versichert und werden den Besitzern von der Versicherung voll erstattet, sprich sie bekommen genau so ein Auto noch einmal. Also verkauft der Hersteller für jedes geklaute Fahrzeug ein weiteres. Wer würde unter derlei Umständen schon ein gesteigertes Interesse an wirkungsvollen Sicherheitssystemen haben.

Die dummen bei der ganzen Geschichte sind die Versicherungsnehmer, die die Mehrkosten tragen müssen, die Versicherungsunternehmen preisen die Autodiebstähle schließlich in ihre Policen ein. Die Bürger müssen für die Polizeiarbeit die wegen der Diebstähle fällig wird bezahlen. Kosten die bei guten Sicherheitssystemen bestimmt viel geringer ausfallen würden.

Das Zauberwort in dieser Debatte heißt Produkthaftung. Um das Problem schlechter Sicherheitssysteme für Autos und damit verbundene hohe Rate an Autodiebstählen nachhaltig zu lösen wäre es nötig die ökonomische Gleichung der Autohersteller dahingehend zu verändern, dass der Einbau und Vertrieb von schlechten Sicherheitssystemen für den Hersteller so teuer werden würde, dass er lieber gleich ein entsprechend überwindungssicheres System einbaut. Wenn man die Produkthaftung für Wegfahrsperren und Entriegelung entsprechend verschärfen würde, wäre kein Autohersteller mehr bereit derlei finanzielle Risiken einzugehen, die Anteilseigner (sprich Aktienbesitzer) würden schon aus Angst um ihre zu erwartende Dividende dafür sorgen dass der Hersteller bestmögliche Sicherheitssysteme einbaut.

Damit solch ein System funktionieren kann wäre allerdings unabdingbar dass unabhängige Forscher ihre Ergebnisse auch veröffentlichen können, da ansonsten die verschärfte Produkthaftung nicht greifen könnte. Genau deshalb versucht die Autoindustrie alles in Abrede zu stellen was längst bewiesene Tatsachen sind.

Das Problem betrifft übrigens nicht nur Wegfahrsperren und die Entriegelung von Autos. Es betrifft auch alle anderen Systeme die heutzutage in Autos verbaut werden, das ist alles nicht hinreichend sicher. Da kann man über ein manipulierte MP3 Datei auf einer CD, die man in den CD-Player des Autos steckt den gesamten Board Computer übernehmen. Der wiederum hängt an einem zentralen Datenbus, an den sämtliche Sensorik und Steuereinheiten des Autos angeschlossen sind. Bei modernen Fahrzeugen wird mittlerweile so gut wie alles elektronisch gesteuert. Das heißt im Umkehrschluß das man ein Auto komplett aus der Ferne kontrollieren kann.

Kostprobe gefällig? Bitte!

Das folgende Video hatte auch fefe kürzlich erwähnt, es stammt ursprünglich aus diesem Forbes Artikel. Charlie Miller und Chris Valasek wurden von der DARPA gefragt ob sie sich nciht mal für 80.000 US Dollar anschauen können was man alles mit einem modernen Auto anstellen kann aus der Sicht eines Hackers. Nunja, seht selbst.

Falls das Video nicht angezeigt wird - einige Browser unterbinden das weil es nicht über https verfügbar ist, wie diese Seite - es steht hier.

Wer sich noch etwas genauer informieren möchte wieviel Angriffsfläche so ein Auto eigentlich bietet dem empfehle ich das Paper mit dem schönen Titel: Comprehensive Experimental Analyses of Automotive Attack Surfaces sowie Experimental Security Analysis of a Modern Automobile beide im PDF Format.

Und das ist der Grund warum ich ein altes Auto fahre, wo alles schön mechanisch läuft, kein Boardcomputer, kein Brems- oder Einparkassistent, kein Autoradio oder Entertainment-System welches am CANBus hängt. Keine Servolenkung, kein ABS oder anderen Schnickschnak den man nicht braucht.

Merkels Vollstes Vertrauen Für Friedrich Und Pofalla

Laut Spiegel.de hat Kanzlerin Merkel auf der Sommer-Pressekonferenz Friedrich und Pofalla ihr vollstes Vertrauen ausgesprochen. Ich zietiere mal aus dem Spiegel Artikel die relevante Stelle:

Auch mögliche personelle Folgen der Affäre schloss Merkel mit Blick auf den wenig souveränen Innenminister Hans-Peter Friedrich aus. Dieser genieße ihr “vollstes Vertrauen”. Gleiches gelte für Ronald Pofalla, den Chef des Kanzleramtes, der die Geheimdienste koordiniert.

Das kann ja nun nicht mehr lange dauern für Friedrich und Pofalla, alle anderen denen Merkel ihr ‘vollstes Vertrauen’ ausgesprochen hat waren kurz später weg vom Fenster. Wir werden sehen.

Mailänder CIA Entführer Verhaftet.

Robert Seldon Lady (59) soll in Panama verhaftet worden sein, meldet RussiaToday. Landy war Stationschef der CIA in Mailand, Italien und ist maßgeblich für die aussergesetzliche Verschleppung von Hassan Mustafa Osama Nasr im Jahr 2003 verantwortlich. Nasr wurde nach Ägypten verschleppt und dort gefoltert. Ein italienisches Gericht hat ihn in Abwesenheit zu 9 Jahren Haft verurteilt.

Robert Landy verteidigt sich mit der schon von den Nazis bekannten Ausrede, er sei nicht schuld er habe nur Befehle befolgen müssen. Ich bin gespannt ob der saubere Herr Landy seine gerechte Strafe jetzt in Italien absitzen wird.

Update | Fr 19 Jul 2013 22:41:04 CEST

Und schon ist er wieder frei und sitzt in einem Flugzeug in die USA.

EU Parlament Will - Wieder Mal - Websperren Einführen

Diesmal nicht wegen Dokumentationen sexuellen Missbrauchs an Kindern sondern diesmal gegen Online Glücksspiel.

Wenn begreifen unsere Volksvertreter endlich dass Websperren quatsch sind? Das EU Parlament täte gut daran die Freiheit des Internet zu bewahren und zu fördern statt das Netz weiter zu balkanisieren.

Wenn China oder Iran das Internet zensieren und blockieren dann ist das schlimm. Wenn Schweden, Italien und die Briten derlei Dinge tun dann ist das wahlweise Kinderschutz, Suchtprävention, oder eine Maßnahme gegen Terrorismus. Was für ein unfähiges und verlogenes Pack unsere Politiker doch sind.

Etwas mehr dazu gibt es bei heise.de unter http://heise.de/-1914309

In Italien gibt es auch Websperren gegen Glückspielseiten, scusiblog berichtete. Im aktuellen deutschen Glücksspiel Staatsvertrag wollten deutsche Politiker auch Websperren verankern, haben es sich allerdings aufgrund der Erfahrungen mit Zensursula nochmal anders überlegt.

Ich glaube wir müssen da einigen Leuten in Brüssel die Faxgeräte zum glühen bringen und ihre Inbox fluten damit die wieder zu Sinnen kommen.

Update: Ein großes Danke an netzpolitik.org für die relevanten Daten um seinen Unmut Luft zu machen.

Cybersecurity Vortrag an Der Viadrina

Gestern am 08.07.2013 war ich auf einer Podiumsdiskussion an der Europaunversität Viadrina in Frankfurt (Oder). Geplant war eine Diskussion mit Günther Verheugen über die Cybersicherheitspolitik der EU.

Herr Verheugen war leider kurzfristig verhindert und konnte nicht an der Veranstaltung teilnehmen da er - so wurde gesagt - dringend nach Brüssel musste. Aus aktuellem Anlass ging es natürlich nicht nur um die Cybersicherheitspolitik der EU, sondern auch um die Konsequenzen und Auswirkungen der aktuellen Enthüllungen um PRISM und TEMPORA.

Vor der Veranstaltung habe ich mit Jörg Tadeusz vom RBB gesprochen. Den Beitrag als podcast beim rbb kann man im Internet hören.

Die Veranstaltung selber war gut besucht und hatte ein interessiertes und sich mit Fragen einbringendes Publikum. Die andere Expertin auf dem Podium war Annegret Bendiek von der Stiftung Wissenschaft und Politik, einem ThinkTank der Bundesregierung. Einen Mitschnitt gibt es leider nicht soweit ich weiß.