Geheimdienst Überwachung -- Provider ausgeschaltet

Die neue Art der Totalüberwachung der Türoeffner für eine gaaaanz üble Zukunft. Wir werden dann "geführt", genau wie Agenten.

PSYOP ein Wirtschaftszweig, NOCH MEHR ALS JETZT (Werbung/911/Wahlen/IraqWMD).

Natuerlich ist es einfacher Leute zur INAKTIVITÄT zu bringen.. ERLERNETE HILFLOSIGKEIT ist ein FAKTUM!

Beispiele

• Ihr dürft ein neues Parlament wählen... aber es ändert sich nix.
• Der Präsident gibt illegale Befehle zum Morden, aber keiner klagt ihn an.
• Die Presse berichtet über völlig unhaltbare Zustände, aber die obersten Stellen pumpen mehr Energie in das sinnlose System.

Der Internet-Überwachungsplan der Polizei

Nach Informationen, die ORF.at vorliegen, diskutiert das Innenministerium derzeit mit den Providern über Maßnahmen für eine österreichische "Branchenlösung" zur Internet-Überwachung. Dabei verlangen die Dienste unmittelbaren Zugriff auf die Netzwerke der Anbieter. Auch bei verschlüsselten Skype-Telefonaten kann die Polizei mittlerweile mitlauschen.



Merkwürdig: Seit Tagen bekommt Ihr Rechner immer ein und dieselbe IP-Adresse im ADSL-Netz zugewiesen, obwohl in den Geschäftsbedingungen ihres Providers ausdrücklich von dynamisch vergebenen, also stets wechselnden IP-Adressen die Rede ist.
Wenn dann auch noch Ihr Notebook vom UMTS-Anbieter bei jeder Einwahl ebenso mit stets derselben IP-Adresse versehen wird, dann liegt das nicht an plötzlich geänderten Geschäftsbedingungen. Mit hoher Wahrscheinlichkeit werden vielmehr Ihre Internet-Zugänge polizeilich überwacht.



Die "Branchenlösung"
Die Zuweisung von fixen IP-Adressen ist nämlich Teil einer "Branchenlösung", die vor allem vom Innenministerium betrieben wird. Anders als bei der Telefonie, für die es verbindliche Normen des European Telecom Standards Institute [ETSI] gibt, die hierzulande in der Überwachungsverordnung [ÜVO] von 2003 festgeschrieben sind, ist das Abgreifen des Internet-Verkehrs in Österreich nicht normiert.
Die Strafprozessordnung schreibt zwar die Zusammenarbeit von Internet-Providern mit den Behörden vor, allein: Die Vorgangsweise und technische Umsetzung sind nicht geklärt.



Die Überwachungsverordnung
Die Standards zur Integration des Internet-Verkehrs in die Überwachungsschnittstellen sind im ETSI längst im Standard ES 201 671 Version 3.1.1. erstellt worden.
Damit sie auch für die Branche in Österreich verbindlich sind, müsste die Überwachungsverordnung von 2003, die noch die Vorgängerversion ES 201 671 Version 2.1.1. vorschreibt - Telefonie, ohne Internet -, novelliert werden. Doch dazu fehlt momentan ganz offensichtlich der politische Wille.



Sitzung im Arsenal

Da es derzeit keine Terroranschläge gebe, sei die Möglichkeit einer raschen Umsetzung nicht gegeben, erklärte ein Vertreter des Innenministeriums ganz unverblümt Ende Juni bei einer Diskussionsveranstaltung im Wiener Arsenal.
Dort waren Vertreter von Innenministerium [BMI] und Regulierungsbehörde RTR mit Anbietern von Breitbanddiensten aus Festnetz und Mobilfunk zusammengetroffen, um eine "nationale, österreichische Lösung" zur Überwachung des Internet-Verkehrs zu diskutieren.



Aus dem Protokoll

Der Ansatz des BMI gehe davon aus, dass einem Teilnehmeranschluss eine feste IP-Adresse zugewiesen werde, heißt es dazu im Protokoll der Veranstaltung.
Und weiters: "Auf Ebene des IP-Layer werden in weiterer Folge alle relevanten Datagramme eines IP-Stroms dupliziert und die Kopie entweder auf einem Medium zwischengespeichert oder über entsprechende Verbindungen [z. B. IP-VPN] direkt an die überwachende Behörde übertragen. Als Trigger soll allein die fest zugewiesene IP-Adresse dienen."
Geeignete Geräte ["Sniffer"] seien auf dem Markt verfügbar und könnten bei Bedarf auch vom BMI bereitgestellt werden.



Bridges und Sniffer

Der Fahrplan des BMI sieht weiters "kleine Schritte" in Richtung der angestrebten Lösung vor: Im Netz jedes Providers befindet sich an zentraler Stelle eine vom Innenministerium zertifizierte "Network Bridge", die den Datenverkehr dupliziert und an einen BMI-Rechner vor Ort weitergibt, auf dem eine Sniffer-Software läuft.
Die in dieser Verkehrsanalyse "erschnüffelten" Datensätze sollen dann über eine sichere VPN-Verbindung ins Ministerium übermittelt werden.



An dieser Stelle der Diskussion im Arsenal kam es freilich zu Umutsäußerungen. "Wir hängen sicher bei uns kein Kistl ins Netz, das nicht von uns abgenommen ist", war seitens eines der größten Provider zu hören, auch der wenig schmeichelhafte Begriff "Frickelkiste" fiel.
Wie der Diskussion weiter zu entnehmen war, setzen ein führender UMTS-Anbieter bzw. ein großer Breitband-Provider schon jetzt ganz ähnliche Lösungen mit "Network Bridges" ein. Abgegriffen werden die Verkehrsdaten der Kunden am Konzentrator-Network-Switch bzw. am UMTS-Konzentrator.



Provider ausgeschaltet

Zurzeit werden die Verkehrsdaten in der Regel noch per Anfrage ermittelt, das heißt, der Provider liefert auf Anordnung eines Richters die Logfiles des betreffenden Kunden an die Polizei.
Bis die Installation der österreichischen Lösung" an den Konzentrator-Switches erfolgt ist, rücken die Beamten, mit "Bridges" und "Frickelkisten" ausgerüstet, zum Provider aus.
Bei beiden Lösungen wird der Provider ausgeschaltet, da die Filterung der Daten hinter der "Bridge" durch einen Rechner des BMI passiert. Für den Netzbetreiber ist so nicht nachvollziehbar, nach welchen Daten der innenministerielle Sniffer sonst noch snifft.



Das NSA-Prinzip

Das Prinzip "Kopiere den gesamten Datenverkehr an zentraler Stelle und filtere dann das Gesuchte aus" ist natürlich keine österreichische Erfindung.
Der US-Supergeheimdienst NSA arbeitet nach demselben Muster, allerdings nicht mit vergleichsweise primitiven Bridges und schon gar nicht mit "Frickelkisten".
An den Glasfaserverbindungen zwischen den Core-Routern des Netzbetreibers AT&T wird der gesamte Datenverkehr vermittels eines - zugegebenermaßen noch primitiveren - "Splitters" kopiert und an einen monströsen 10-Gigabit-Switch weitergeleitet.



"Tiefe Paketinspektion"

Der funktioniert wie eine superschnelle Mülltrennungsanlage, mittels "Deep Packet Inspection" werden obsolete Verkehrsdaten aussortiert, die übrigen werden nach den verwendeten Protokollen [HTTP, POP3, SMTP, Tauschbörsen etc.] sortiert und auf eine Kaskade von Analyseservern verteilt.



Skype kein Problem mehr

Interessanterweise war in der Auskunftsveranstaltung zu erfahren, dass die Überwachung von verschlüsselten Telefonaten via Skype zwar nicht ganz trivial sei, aber kein wirkliches Problem mehr darstelle.
Noch vor wenigen Monaten war die angeblich nicht knackbare Skype-Verschlüsselung eines der hauptsächlichen Argumente des Innenministeriums für den Einsatz des "Bundestrojaners" gewesen.

Echtzeit-Überwachung des Netzverkehrs

Bis zu 16 Server pro Überwachungseinheit analysieren für den US-Militärgeheimdienst NSA pro Sekunde bis zu zwei Gigabyte an Daten von internationalen Carriern. Unerwünschte Datenströme lassen sich zudem mittels neuester Monitoring-Tools bremsen oder auch komplett stoppen.

Die Beteuerungen der von der NSA-Überwachungsaffäre betroffenen US-Telekoms AT&T, Verizon und BellSouth, sie hätten keinesfalls Daten ihrer Kunden an den Geheimdienst weitergegeben, entsprechen tatsächlich dem Sachverhalt.
Eine Weitergabe war auch gar nicht nötig, die NSA holt sich die Daten nämlich selber ab.
Die genannten US-Telekoms hatten den US-Militärgeheimdienst bis in das Allerheiligste jedes Netzwerkers vordringen lassen - zu den zentralen Core-Switches, die den gesamten Datenverkehr an der - "Backbone" genannten - Datenschlagader kontrollieren.
Einfache Kopie der Datenströme
Dort werden die Datenströme schlicht und einfach auf eine zweite Glasfaserleitung kopiert und dann an die neu errichteten, NSA-eigenen Serverparks unweit der Datenzentren weitergeleitet und verteilt.
Das entspricht den Aussagen des abgesprungenen AT&T-Technikers Mark Klein, der die Affäre ins Rollen brachte.
Streitwert 200 Mrd. Dollar
Die Aussagen Kleins, auf denen mittlerweile Klagen gegen die genannten Telekoms im Gesamtstreitwert von 200 Milliarden Dollar basieren, haben geheime NSA-Überwachungszentralen, die an so genannte Glasfaser-Splitter bei AT&T und anderen angeschlossen sind, zum Inhalt.
In Kleins Liste der Ausrüster findet sich zwar unter anderem die Firma Narus, allerdings ist von deren Überwachungssystem nicht sehr viel mehr bekannt, als dass es den in Großrechenzentren mittlerweile üblichen Datenverkehr von 10 GBit/s nahe an Echtzeit analysieren kann.
Anmerkung zu den Grafiken
ORF.at liegt nun eine Powerpoint-Präsentation einer Firma namens Force10 Networks für ein Hochleistungs-Überwachungssystem von Datenzentren vor, das am 6. Juni im Hauptquartier der NSA in Fort Meade präsentiert wird [siehe weiter unten].
Bei den den folgenden Bildern handelt es sich um Ausschnitte bzw. Screenshots aus einer 31 Folien umfassenden, offiziellen Produktpräsentation von Force10 Networks.

Abgreifen an der Glasfaser

Die vom Hersteller als "Sicherheitsinnovation" gepriesene "P-Serie - hochperformante Inspektions- und Vorbeugungsanwendungen", die auf einem "gehärteten Linux" laufen, greifen den Datenverkehr nämlich direkt an der Glasfaser zwischen den zentralen Switches in den Daten-Centers ab.



Force10 Networks www.force10networks.com/

"Taps" = "Splitter" = Anzapfung
Über einen Splitter wird der gesamte Paketverkehr in Echtzeit dupliziert auf einen Server-Cluster verteilt, der - pro Einheit - bis zu 16 Rechner umfassen kann.




Dort werden die Daten weggeschrieben und nahe an Echtzeit analysiert. Da eine Einheit der P-Series auf beiden Ports insgesamt 20 GBit/s verarbeiten kann, fallen - in Speicherplatz gerechnet - pro Sekunde Datenmengen zwischen ein und zwei Gigabyte zur Verarbeitung und Analyse an.


"High Speed Security"
Was unter "High Speed Security" verstanden wird, listet die Präsentation auch sehr klar auf. Um der "gesetzeskonformen Überwachung" zu entsprechen, heißt es in der Produktpräsentation von Force10, sei eben "nicht entdeckbares Netzwerk-Monitoring" in Echtzeit der kritische Punkt.

Da die Force10-Switches hinter den Splittern eben nicht im Netz des jeweiligen Datenzentrum-Betreibers hängen, sondern parallel dazu geschaltet werden, ist eine Beeinträchtigung des regulären Verkehrs ausgeschlossen: Für den Fall, dass sich die Überwachungsanlage einmal überfrisst und in der Folge mit dem Filtern ins Hintertreffen gerät, kann sie das Netzwerk selbst nicht bremsen

Ahnungslose Internet-Provider
Dazu kommt, dass weder Internet-Provider noch Firmen, die direkt an die zentralen Internet-Exchanges angebunden sind, bemerken, dass ihr gesamter Datenverkehr analysiert wird

Hardware mit 224 Ports pro Rack

Die National Security Agency scheint in der Kundenliste von Force10 Networks offiziell zwar nicht auf, auf seiner Website verweist das Unternehmen jedoch auf eine Produktaufstellung am 6. Juni. Die findet im Rahmen der "NSA SIGINT Technology Exposition" im Gebäude "OPS2B" des NSA-Hauptquartiers in Fort Meade im Bundesstaat Maryland statt.



Die wichtigsten Features sind im Ausriss der Force10-Präsentation linkerhand als JPEG zu sehen. "CALEA" bezeichnet den "Communications Assistance Law Enforcement Act", ein US-Gesetz von 1994, das mit einem von einem unabhängigen Gericht unterzeichneten Durchsuchungsbefehl vergleichbar ist. "Government surveillance" hingegen steht für das Filtern kontrolliert durch die Geheimdienste.
NSA an den Schlagadern der Telekoms
Milliardenklage gegen Verizon
NSA-Lauschangriff kocht hoch
Der Link zur NSA
Schwerpunkte der Ausstellung von Spionagegerät sind Systeme von der Art, wie sie im Überwachungsskandal bei AT&T und Verizon zum Einsatz kommen.
Besonderes Interesse widmet die Agency etwa "target selectors in meta-data and content, automated analysis, large volume data processing" und anderen Features, die sowohl die Überwachungs-Suites von Narus wie jene von Force10 Networks zu Eigen haben.
"Gehärtetes Linux"
Die Techniker von Force10-Networks wiederum können sich mit jenen der NSA dort über "gehärtetes Linux" austauschen - die dominierende Distribution heißt SE-Linux und ist eine Entwicklung aus Fort Meade, made by NSA.
NSA SIGINT Technology Exposition, 6. und 7.Juni 2006
NSA-Lauschangriff kocht hoch
Der Lauschangriff des Militärnachrichtendienstes NSA auf weite Teile der US-Bevölkerung zieht immer weitere Kreise. In Medien wie CNN und "USA Today" kritisiert nun der US-Kongress den Datenskandal gigantischen Ausmaßes.
Die National Security Agency [NSA] steht seit Monaten wegen der Spionage gegen die eigenen Bürger in der Kritik.
Im Zuge des Anti-Terror-Kampfs seit dem 11. September wurden "im Interesse der nationalen Sicherheit" Milliarden an Telefondaten - wer mit wem, wann und wie oft telefoniert - von Millionen US-Bürgern gesammelt.
Pauschales Abhören ohne Verdacht
Nach einem Bericht in der "USA Today" reagiert nun auch der US-Kongress mit heftigem Protest.
"Will mir jemand erzählen, dass zig Millionen Amerikaner etwas mit El Kaida zu tun haben?", so der demokratische Senator Patrick Leahy [Vermont] gegenüber CNN. "Dies sind zig Millionen Amerikaner, die für rein gar nichts verdächtig sind".
Bush verteidigt Aktion im TV
Auch Präsident George W. Bush sah sich nach dem Bericht in "USA Today" zu einer von den großen US-Fernsehsendern direkt übertragenen Stellungnahme gezwungen.
Die Privatsphäre des normalen Amerikaners werde bei allen Aktivitäten strikt geschützt, so Bush. Im Kampf gegen El Kaida seien lediglich Auslandsgespräche abgehört worden.
"In Einklang mit Gesetzen"
"Die Geheimdienstaktivität, die ich genehmigt habe, befindet sich im Einklang mit den Gesetzen. Die zuständigen Kongressmitglieder - Republikaner und Demokraten - wurden über sie unterrichtet", so Bush. "Die Privatsphäre der einfachen Amerikaner wird bei all unseren Handlungen aufs Schärfste verteidigt. Wir graben nicht im Privatleben von Millionen unschuldiger Amerikaner."
Anhörung der Telekoms
Der Vorsitzende des Rechtssauschusses im Senat, der republikanische Senator Arlen Spector, kündigte eine Anhörung der betroffenen Telefongesellschaften in dem Gremium an.
"Das ist die größte Datenbank, die jemals auf der Welt erstellt wurde", zitierte die "USA Today" einen der Experten, die die Redaktion mit Informationen versorgt hatten.
Mit der NSA haben demnach AT&T, Verizon und BellSouth zusammengearbeitet, die zusammen auf mehr als 200 Millionen Kunden kommen. Unter den großen Konzernen habe sich lediglich Qwest geweigert, die Daten seiner 14 Millionen Kunden weiterzugeben.
Hayden bald CIA-Chef?
Das Überwachungsprogramm der National Security Agency [NSA] begann unter der Verantwortung des ehemaligen NSA-Chefs General Michael Hayden. Hayden führte die NSA von 1999 bis 2005.
Ohne richterliche Genehmigung
US-Präsident George W. Bush wurde bereits im Dezember 2005 wegen zahlreicher Lauschangriffe der NSA vom US-Kongress heftig kritisiert.
Bush verteidigte die richterlich nicht abgesegneten Lauschangriffe mit dem Kampf gegen den Terrorismus.
Auch republikanische Volksvertreter bezeichneten dieses Vorgehen als verfassungsrechtlich sehr problematisch.
NSA an den Schlagadern der Telekoms
Die von der NSA für die Überwachung des Internets eingesetzte Technologie zur Datenanalyse verarbeitet den 10-Gigabit-Verkehr von Hochleistungs-Rechenzentren hart an der Echtzeit. Am Freitag wurde nach AT&T auch die US-Telekom Verizon wegen Datenweitergabe an die NSA ohne Gerichtsbeschluss geklagt.
Kaum ein Tag vergeht ohne neue Enthüllungen und Dementis seitens der US-Regierung wegen der Überwachungsaffäre. Am Freitag wurde die US-Telekom Verizon wegen der unautorisierten Weitergabe von Millionen Datensätzen ihrer Kunden an die National Security Agency [NSA] auf 50 Milliarden US-Dollar geklagt.
Der hohe Streitwert resultiert aus der Vielzahl der von der Überwachung betroffenen US-Staatsbürger, es handelt sich um eine der im US-Justizsystem gebräuchlichen Sammelklagen.
Der künftige CIA-Direktor
Danach trat der Ex-Direktor der NSA, derzeitig General der Air Force und designierter CIA-Chef, Michael Hayden erneut vor die Kameras, um zu beteuern, dass der NSA-Rasterangriff auf die größten Telefon- und Datennetze der USA ohne Gerichtsbeschluss in Einklang mit den US-Gesetzen stehe.
Seit Jänner läuft eine Klage der US-Bürgerrechtsorganisation Electronic Frontier Foundation gegen AT&T.
Dürfen nicht, müssen schon
An sich dürfen die Militärs des Auslandsnachrichtendienstes NSA US-Staatsbürger nicht überwachen, andererseits müssen sie das tun - aus technischen Gründen.
Nicht nur müssen jene US-Anschlüsse überwacht werden, von denen Telefonate in bestimmte Länder geführt werden, auch mischt sich in den Datenzentren von Verizon und AT&T nationaler und internationaler Telefonie- und D
Mustersuche statt Abhören
"Überwachung" bedeutet hier nämlich nicht, dass vor allem Telefonate abgehört werden. Vielmehr werden Statistiken erstellt, die auf Knopfdruck etwa zu grafisch dargestellten Kommunikationsprofilen von Privatkunden und Firmen werden. Seitens der Netzbetreiber und Nachrichtendienste wird zwar stets betont, dass vor allem nach Verhaltensmustern gesucht werde, also gewissermaßen "anonymisiert".
Ein einfacher Eingabebefehl des Operators genügt jedoch, dass statt einer bloßen Anschlussnummer nicht nur der Name des Inhabers aufscheint, sondern alle Daten seiner häufigsten Gesprächspartner und eine Kommunikationshistorie des Anschlusses betreffend Auslandstelefonate. Eine Liste, die um fast beliebige Details anzureichern ist, die Daten sind alle im System vorhanden.
Einblick in die Carrier-Klasse
Analog zu den seit den 90ern immer mehr perfektionierten "Monitoring Centers" für Telefonnetze - die z. B. in Sekundenschnelle die letzten zehn Telefonnummern auswerfen, von denen aus mit Kirkuk im Irak telefoniert wurde - haben die großen Telekoms und Carrier auch ihre TCP/IP-Netze für den Internet-Verkehr "sicherheitstechnisch" hochgerüstet.
Der Telekom-Riese A&T, der im Dezember 2005 als erstes Unternehmen wegen der Überwachungsaffäre geklagt wurde, steht auf der Referenzkunden-Liste der Firma Narus ganz oben. Die ist spezialisiert auf Programme zur Netzwerküberwachung der so genannten Carrier-Class, also der größten Netzbetreiber.
Einblick in die Carrier-Klasse
Analog zu den seit den 90ern immer mehr perfektionierten "Monitoring Centers" für Telefonnetze - die z. B. in Sekundenschnelle die letzten zehn Telefonnummern auswerfen, von denen aus mit Kirkuk im Irak telefoniert wurde - haben die großen Telekoms und Carrier auch ihre TCP/IP-Netze für den Internet-Verkehr "sicherheitstechnisch" hochgerüstet.
Der Telekom-Riese A&T, der im Dezember 2005 als erstes Unternehmen wegen der Überwachungsaffäre geklagt wurde, steht auf der Referenzkunden-Liste der Firma Narus ganz oben. Die ist spezialisiert auf Programme zur Netzwerküberwachung der so genannten Carrier-Class, also der größten Netzbetreiber.