NSA indsamler e-mail-kontakter i enorm skala uden kontrol

Nye afsløringer fra Edward Snowdens læk af NSA-dokumenter viser, at efterretningstjenesten indsamler kontaktlister fra e-mail og chat-klienter. Sidste år skete det omkring 182 millioner gange.

Hvem er venner med hvem? Og hvem skriver sammen med hvem?

De oplysninger vil den amerikanske efterretningstjeneste NSA gerne have fat i, og det er blandt andet sket ved at samle oplysninger ind om kontaktlister for e-mail og chat hos et meget stort antal mennesker. Det skriver Washington Post i en ny afsløring baseret på de dokumenter, som Edward Snowden smuglede ud fra den hemmelige tjeneste.

Ved at overvåge klodens internettrafik i mange af nettets knudepunkter, for eksempel oversøiske kabler og hos store teleselskaber verden rundt, har NSA høstet information fra adressebøgerne, som de fleste e-mail-programmer bruger, samt listen over venner i chatprogrammer.

Disse informationer bliver sendt over internettet til brugeren, når man for eksempel synkroniserer en mobiltelefon med sin e-mail-konto eller chat-klient.

På bare én dag sidste år indsamlede NSA 444.743 adressekartoteker fra Yahoo, 105.068 fra Hotmail, 82.857 fra Facebook, 33.697 fra Gmail og 22.881 fra andre udbydere, viser en intern powerpoint-præsentation fra NSA.

Typisk bliver der indhentet en halv million af disse oplysninger på en dag, fremgår det af dokumenterne. Det svarer til omkring 182 millioner indsamlede adressekartoteker om året.

Indsamlingen foregår ved, at NSA søger efter e-mail-adresser eller lignende, der er på listen over interessante mål. Dukker sådan en 'selector', som det kaldes hos NSA, op i et adressekartotek, bliver alle oplysninger indsamlet, inklusive alle de ekstra data, der kan være gemt her, for eksempel telefonnumre og fysiske adresser.

Dermed adskiller dette program sig også fra NSA's indsamling af metadata om alle telefonopkald i USA, fordi der kan indgå mange flere informationer, og nogle gange også selve indholdet i en chat-besked eller e-mail, i denne datastrøm.

NSA har ikke tilladelse til at indsamle så store mængder data om amerikanske statsborgere, så for at komme uden om de regler, foregår al indsamling uden for USA, skriver Washington Post. Vil en analytiker hos NSA søge i oplysningerne, skal det være efter en person under mistanke, lyder forklaringen fra de amerikanske myndigheder. Men da indsamlingsprogrammet foregår uden for USA, er der ingen juridisk kontrol med oplysningerne.

De store e-mail-udbydere som Yahoo, Microsoft og Google er ikke involveret i indsamlingen af disse data, fordi de foregår ved at tappe internettrafikken direkte. At Yahoo tilsyneladende er overrepræsenteret i statistikken, kan skyldes, at Yahoo ikke som standard krypterer trafikken, når disse oplysninger overføres.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund

Det er ikke en 100% garanti, men det vil gøre NSA's "arbejde" meget sværere.

NSA's næste angrebsvektor kan meget vel blive falske SSL certifikater for at MiTM-angribe HTTPS forbindelser. Tillid til CA-kartellet er ikke nok. Vi skal have en uafhængig web-of-trust validering af certifikater i kombination med den traditionelle CA validering. Der er flere gode projekter i gang, og de kan supplere hinanden.

Ansvarlige websites bør overveje hvordan de beskytter serverens private nøgle, så NSA ikke kan forlange den udleveret. Tænk Lavabit her.

Er det realistisk at køre en webserver med privat nøgle på et crypto token?

  • 5
  • 0
Hans Schou

Ansvarlige websites bør overveje hvordan de beskytter serverens private nøgle, så NSA ikke kan forlange den udleveret. Tænk Lavabit her.


Mest almindeligt er det at have den private nøgle liggende på serveren uden password, så ved genstart af webserveren, kommer den selv op uden at nogen personer skal gøre noget.

Er det realistisk at køre en webserver med privat nøgle på et crypto token?

Så skal det være en crypto token hvor payload data bliver sendt igennem, og det på ingen måde er muligt at vriste den private nøgle ud af dimsen.

Hvis man tror på at man opdager hvis ens system bliver kompromiteret, så kunne man nøjes med have den private nøgle på en USB-storage, og sætte den i når webserveren starter, og dernæst fjerne den igen.

  • 0
  • 0
John Vedsegaard

Man skulle vel tro der er kode i operativsystemerne som sørger for udlevering af de data automatisk.

Især Linux folk må have mulighed for at opdage sådan noget, da de andre er gemt bag en mur af uigennemskuelige filer.

Søgning i Linux, ville jeg selv have gjort, hvis jeg var inde i det system, men det vil tage år at finde gennem det når man skal begynde helt forfra.
Yderligere kan det være svært, da der ofte ligger udokumenteret, eller dårligt dokumenteret kode i systemerne, lige fra ren maskinkode til assembler og anden kode.

Selvfølgelig skulle man tro det ville være nemmere at gå via routerne, men så er det ikke sikkert man kan komme helt uden om kryptering, det kan man på den anden måde.

  • 1
  • 1
Jesper Lund

Hvis man tror på at man opdager hvis ens system bliver kompromiteret, så kunne man nøjes med have den private nøgle på en USB-storage, og sætte den i når webserveren starter, og dernæst fjerne den igen.

Lavabit var godt klar over at deres system var kompromitteret (den private nøgle udleveret til staten), men retten havde pålagt Lavabit tavshedspligt om sagen.

Jeg vil være mere tryg ved løsninger som giver en teknisk beskyttelse, så den private nøgle ikke kan være hos Lavabit og hos staten på samme tid.

  • 0
  • 0
Log ind eller Opret konto for at kommentere