Fiberspionerne

Den seneste lille afsløring viser at NSA havde ret da de pralede af at have "direkte adgang" til serverne hos Google, Microsoft, Facebook og andre.

Det er utroligt sigende at ingen, heller ikke jeg, havde tænkt på hvordan de gjorde et: Aflyt fibrene imellem datacentrene.

Indtil nu har vi intet hørt fra Snowden og Greenwald om de store fiber-backbones, men jeg håber det kommer, for de ligner mere og mere ederkoppen i midten af spion-spinnet.

Historien om lange kabler er fyldt med interessante personer og flotte tekniske stunts, men i de seneste 25-ish år har der været mange småskumle detaljer som hver for sig ikke har været alarmerende, men som nu hvor NSAs afsløringerne kommer for dagen, ikke længere nøjes med at være småskumle.

For IT-sikkerhedsfolkene er læren simpel:

Der tydeligvis ikke skyggen af nogen "tele-hemmelighed": De dage hvor man kunne stole på at {K|J|F}TAS ikke snagede i ens SNA traffik er ovre: Hvis firmaet har to eller flere afdelinger forbundet over leased lines, skal der krypteres, ligesom hvis det gik over internettet: IPSEC eller anden VPN teknologi, nu.

For politikerne er det rigtigt speget.

Præcis hvor sikre er I på at skåltalerne i det såkaldte "teleberedskab" der blev indført som erstatning for "NALLA" har nogen som helst substans ?

Hvis man fiberleverandørene gladeligt sælger kopier af trafikken på privatlejede fiberkredsløb i fredstid, hvorfor skulle man så stole på at de vil være loyale overfor det danske samfund i krisetid ?

Er deres netværk faktisk fysisk lavet så "teleberedskabet" er helt og holdent under dansk lovgivning ?

Hvad hvis nogen der ikke er vores venner, bryder ind i alle de bagdøre som Venner-Af-Ministeren har fået installeret ?

Og for netværksbranchen mere abstrakt dukker der nogle meget ømme spørgsmål op:

Det var f.eks de store backbones der kastrerede IPv6 så den bare blev blev til en fem-dørs IPv4.

Var det tilfældigt, eller var nogen bange for at teknologier som Any Cast, Multi Homing og Ephemeral Addresses ville gøre det for svært at aflytte trafikken ?

Kuppet imod det "mellemfolkelige" IANA er bestemt også interessant set i bakspejlet og historien om hvordan VeriSign opnåede næsten-monopol ser pludselig også rigtig, rigtig skummel ud.

Edward Snowden bør få en Turing pris, for at have lavet mere om på telekommunikation, end nogen anden person, inklusive A.G.Bell.

phk

PS: Her er en rigtig interessant lille analyse fra Sverige

Kommentarer (38)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik K. Jensen

Nu skriver du "i fredstid", men Danmark er faktisk i krig og har været det et stykke tid. Jeg har et par gange læst artikler hvor ministre er blevet spurgt om de udvidede aflytnings beføjelser så er trådt i kraft, men det har de ikke ønsket at svare på.

  • 13
  • 1
Ove Larsen

De 'danske' teleselskaber er ejet eller en del af store koncerner og vi må regne med, at de alle er en del af disse koncerners infra-struktur. Derfor er det bekymrende at de forsikringer vi får fra teleselskaberne om at de lognings-data de opsamler på statens vegne er forsvarligt opbevaret, hvis de bliver sendt over fiber til andre dele af koncernen ved f.eks. backup eller andre system processer, for der kan de åbenbart samles op hvis 'nogen har tilstrækkelig stor kapacitet.

Men teleindustriens brancheforening mener åbenbart ikke at det er noget vi skal bekymre os om. Det kunne være rart med troværdige forsikringer fra den kant.

Vi kan kun håbe på at disse lognings-data alligevel er så ubrugelige for alle som de er for de danske myndigheder.

  • 5
  • 0
Thomas Stidsen

For kort tid siden (vist ca. et år) var der et større slagsmål om hvem der skulle styre internettet ... og en række lande ville flytte styringen fra ICANN til ITU (under FN). Det ville være yderest bekymrende, for der er lande som Kina, Iran, Syrien osv. som MEGET gerne vil have mere kontrol med internettet ... Heldigvis vandt "de gode" og det skete ikke.

Men hvad med idag ? Risikere vi ikke at næste gang det bliver forsøgt vil det lykkes, fordi USA netop har undergravet sin egen troværdighed helt enormt ???

  • 4
  • 0
Frithiof Andreas Jensen

... for der kan de åbenbart samles op hvis 'nogen har tilstrækkelig stor kapacitet.


Det er vel per-design. Hvis data helt "af sig selv" läkkes overalt kan "man" jo ikke have et kendskab til - eller ministeransvar for - om der også foregår en "ulovlig" aflytning?

Der skal ikke bare krypteres för transport. Det er måske også en god ide at man "gör det selv" og ikke blot overlader dette til en NSA-rooted VPN-box på kanten af nettet?

PS:
At NSA også har snitterne i backbone er måske lidt af et rögslör?

I fölge FISA-lovgivningen skal NSA o.s.v. have direkte adgang til data i Amerikanske datacentre på forlangende, de involverede parter må ikke udtale sig om dette, adgangen "reguleres" af en hemmelig domstol (FISC) med hemmeligt referat og hvis noget bliver opdaget kan man bare lyve kongressen lige op i ansigtet.

NSA's grund til også at aflytte backbones kan väre at "un"-"intentional" indsamling af data formodentligt er ganske lovligt i fölge "FISA Amendments Act of 2008" så man kan komme til at sätte et null-filter og derved slippe for gummistemplet FISC.

  • 1
  • 0
Martin Kofoed

Jeg må indrømme, at jeg syntes, det var ret pjattet, da vores biks vedtog en "SSL overalt"-politik. Det vil sige, når trafik forlader en app server for at ramme en databaseserver i cirka det samme rack, skulle der sættes SSL og mutual trust op mellem serverne. Et stort arbejde, når det involverer forskellige operativsystemer, dbms'er, app servers og så videre.

I mellemtiden er datacentre flyttet lidt rundt, der er kommet et nyt til, og der er forskellige lokationer. Resultatet er, at trafik flyder imellem servers på forskellige centre på forskellige geografiske lokationer.

Beslutningen dengang for 4-5 år siden var i virkeligheden meget fremsynet.

  • 15
  • 0
Niels Wind

Det er utroligt sigende at ingen, heller ikke jeg, havde tænkt på hvordan de gjorde et: Aflyt fibrene imellem datacentrene.

Jeg kan anbefale Twit's Security Now Podcast. 12. juni havde de den første episode om NSA http://twit.tv/show/security-now/408 .
Der resonerede Steve Gibson sig frem til præcis dette, samt at det må være derfor de valgte navnet PRISM - for en prisme deler jo lyset.
På den måde ville NSA kunne 'optage' hele datastrømmen fra lyslederne uden adgang onsite hos de store internet-firmaer.

  • 7
  • 0
Jesper Lund

Vi kan kun håbe på at disse lognings-data alligevel er så ubrugelige for alle som de er for de danske myndigheder.

Sessionslogningen er ubrugelig i den nuværende form. Anvendelse i forbindelse med et snollet netbankindbrud er det blevet til på 5 år.

Hvis staten fik adgang til det hele uden dommerkendelse mod den enkelte mistænkt, og kunne lave NSA-style data-mining analyser, kunne der måske komme noget ud af det. Det vil næppe stoppe terrorisme, al den stund at der ikke rigtig er noget terrorisme i Danmark, men man kunne lave nogle undringslister over folk der besøger suspekte hjemmesider (IP adresser), og man kunne levere et par navne til DHS' no-fly liste.

At det vil være en massiv krænkelse af danskernes ret til privatliv er en detalje, som kun kan have betydning for dem som har noget at skjule, og dem der trækker gardinerne for til soveværelset om natten.

Det er ikke lige meget hvor logningsdata ligger. Nogle har sammenlignet den danske logning med NSA's indsamling af opkaldslister via Section 215 i Patriot Act. Men i USA har staten data, og kan lave data-mining analyser.

En af grundene til at IT-Politisk Forening er modstander af sessionslogningen, og telelogningen i det hele taget, er at vi forventer en glidebane mod ovenstående scenarie i løbet af et par år. Omtalt i afsnittet "Fremtidig brug af sessionslogningen" i dette høringssvar fra primo 2013
http://itpol.dk/notater/hoeringssvar-revision-logning-2013

  • 3
  • 0
Lars Nielsen

kan jeg kun anbefale at du ser eller læser dette oplæg af Gregory Bell, direktør for Energy Sciences Network (ESnet).

https://events.nordu.net/display/ndn2012web/Network+as+Instrument%3A+the...
Specielt side 11, 18 og 28.
Men at se hele oplægget er anbefalelsesværdigt.

Når nu emnet er fiberledninger, så er GÉANT (www.geant.net) bestemt også et besøg værd, især:
http://www.geant.net/Network/The_Network/Pages/Terabit-Network.aspx
og nyhedsbrevet Connect: http://issuu.com/danteprm
(abonnér på nyhedsmails via http://geant.us5.list-manage2.com/subscribe?u=e8a13b8bcd69e9795240b0743&... da de er vist gået over til mailchimp frem for at bruge: https://mail.geant.net/mailman/listinfo)

  • 0
  • 0
Thomas Peter Berntsen

Tak for et godt indlæg.

Apropos teletrafikkens flow rundt i verden, husker jeg, at jeg for et par år siden opdagede, at min datatrafik fra 3G-dongles (fra firmaet 3) involverede svenske DNS-servere.

Et par websites tolkede mig også som værende svensk, når de forsøgte at præsentere mig for geografisk afgrænsede informationer, hvorfor selve trafikken nok også må være blevet ledt den vej forbi.

Dette er i og for sig ikke så odiøst, hvis ikke lige Sverige havde efterretningstjenesten FRA, som angiveligt har mandat til at foretage en gennemgribende overvågning af al den datatrafik, som krydser landets grænser (https://en.wikipedia.org/wiki/FRA_law).

:-)

  • 2
  • 0
David Konrad

Jeg er ked af at sige det, men du brygger videre på gisninger, baseret på gisninger, som igen er gisninger.

Du har absolut intet som bakker præmissen for dine påstande op.

Jeg tror helt personligt at alle magter, ingen nævnt ingen glemt, har "tappet" fra sø-kablerne i årtier. Men det er jo ikke en forbrydelse.

Jeg mangler stadig eksemplet. Jeg mangler den person, virksomhed eller forening som har fået sin frihed eller ære eller integritet eller hemmeligholdelse af dit og dat krænket.

Hvor er eksemplerne? Der er livlig fantasi, og masser af paranoia, men hvor er eksemplerne på at NSA er gået over stregen?

  • 1
  • 24
Jesper Lund
  • 4
  • 1
Baldur Norddahl

TV2 News tekst-TV er ikke en valid videnskilde når det gælder NSA eller spionage.

Undskyld mig, men hvad ved historien er det som du anfægter? At han ikke må rejse til USA? Det er vist et faktum. At han ikke ved hvorfor? Det er også fakta.

Det med telefonnummeret er derimod bare et gæt. Ingen aner hvorfor USA ikke vil have ham ind. Du efterspurgte eksempler på konsekvenser af NSAs overvågning og det er lige det her. NSA fortæller aldrig hvorfor de sortlister folk. Men at de gør det er ikke en hemmelighed. Slå no fly list op: http://en.wikipedia.org/wiki/No_Fly_List

  • 12
  • 1
David Konrad

En masse stemmer mig ned, men endnu har ingen kunne svare på :

Jeg mangler stadig eksemplet. Jeg mangler den person, virksomhed eller forening som har fået sin frihed eller ære eller integritet eller hemmeligholdelse af dit og dat krænket.

  • 1
  • 21
Jesper Lund

Jeg mangler stadig eksemplet. Jeg mangler den person, virksomhed eller forening som har fået sin frihed eller ære eller integritet eller hemmeligholdelse af dit og dat krænket.

Tror du at NSA har tappet trafikken mellem Google's datacentre fordi NSA ville lave en ekstra backup, som de kunne tilbyde Google hvis de havde et uforudset disk nedbrud?

Hvilken andet formål end aflytning kan der være?

  • 10
  • 0
Jesper Lund

Er der virkelig ikke nogen som har undret sig over, at Kina aldrig er med eller inddrages som part i fantasierne?

Hvor meget af vores internettrafik tror du passerer gennem fiberoptiske kabler på kinesisk territorium? Næppe ret meget.

Selvfølgelig har Kina statsansatte hackere, der prøver at bryde ind i andres IT-systemer, ligesom NSA har den slags banditter ansat, men det er realistisk set en lille del af den samlede overvågning som kommer fra deciderede hackerangreb, som eksempelvis angrebet på Belgacom.

De lavthængende frugter, som ikke skaber konflikter med andre landes lovgivning, er at tappe fiberoptiske kabler som man har fysisk adgang til. NSA gør det, GCHQ gør det, og vores kære naboer i Sverige (FRA) gør der. Jeg er bange for at mine skattepenge også går til at folk hos FE gør det.

NSA har så et par ekstra esser i ærmet fordi USA i 2008 har vedtaget lovgivning (FISA Amendment Act) som gør at NSA kan pålægge Google, Facebook og alle andre amerikansk-ejede selskaber (også CSC DK) at udlevere alle relevante (for NSA) oplysninger om ikke-amerikanske borgere til NSA (FISA 702).

  • 7
  • 0
David Konrad

"Tror du at NSA har tappet trafikken mellem Google's datacentre fordi NSA ville lave en ekstra backup, som de kunne tilbyde Google hvis de havde et uforudset disk nedbrud?

Hvilken andet formål end aflytning kan der være?"

Og at NSA har "tappet trafikken mellem Google's datacentre" ved du fra...?

  • 1
  • 19
James Avery

En masse stemmer mig ned, men endnu har ingen kunne svare på :

Jeg mangler stadig eksemplet. Jeg mangler den person, virksomhed eller forening som har fået sin frihed eller ære eller integritet eller hemmeligholdelse af dit og dat krænket.

To offentligt kendte sager om NSAs industrispionage fra to minutters google: Airbus (en ordre på 6 milliarder USD gik fra Airbus til Boeing) og aflytning af Toyota og Nissan for at forbedre den amerikanske bilindustri.

Hvis du vil bruge lidt længere tid på at søge, er der mange, mange, mange, eksempler, primært på politisk spionage.

  • 14
  • 0
Mogens Lysemose

Kan man blokere for folk her? Nogen benægter åbenbart de overvældende indicier. Selvpræsident obama USA har kommet med offentlige retræte udmeldinger. Gad vide n om der er politiske interesser eller tilknytning til FE, PET eller lign. Der jo også har haft nogle miniature sager, bla. Var de direkte og eneste årsag til at en folkevalgt udpeget minister Sass Larsen ikke blev minister og hængt ud i presse n og befolkningen. Helt grundløst! Men efterretningsvæsnet skal da overtage magten, klar t klart... Pff...

Nå, men ud over det, var jeg så den eneste der automatisk tænke aflytning fra efterretnings væsen da denne nyhed var en notits og folk bare sagde sabotage?

http://www.avisen.dk/dykkere-taget-i-faerd-med-at-kvaele-internet_211929...

  • 0
  • 1
Jørgen Halland

Så vidt jeg har forstået har Folketinget købt en telepakke hos Telia. Ved simpel trace ser det ud til at al kommunikation via Telia passerer Sverige og dermed er underlagt svensk lovgivning, som tillader FRA at undersøge al trafik over landegrænsen.

Var valget af Telia en klog beslutning ?

  • 5
  • 0
David Konrad
"Edward Snowden bør få en Turing pris, for at have lavet mere om på telekommunikation, end nogen anden person, inklusive A.G.Bell."

Jeg er målløs. Du ved godt hvad Turing awarden gives for, ikke? Men det anfægter ikke. Bare et opmærksomhedssøgende individ, manden på gulvet, serveradministratoren, råber op - så er alting bevist og sat i system for PHK. Jeg er meget skuffet.

  • 0
  • 11
Poul-Henning Kamp Blogger

Hvor er den rygende pistol?

David,

Jeg ved ikke hvad der får dig til at tro at der ingen overvågning finder sted, til trods for den dækning der har været i verdenspressen og forskellige politiske systemer.

Du er naturligvis velkommen til at tro hvad du vil, men inden du fremturer her på v2 vil jeg erindre dig om en gammel århusvittighed vi grinede meget af dengang århusianervittigheder var moderne:

Århusianeren var på vej til København og som god og fornuftig billist lyttede han naturligvis til trafikradioen, hvorfra det pludselig lød: "ADVARSEL: Der er en idiot der kører den forkerte retning på motorvejen på Fyn". Det fik århusianeren
til at udbryde "Tovlige køvenhavnere! Har de ikke opdaget at alle andre end mig kører den forkerte vej ?"

  • 11
  • 0
Rene Madsen

Hvor er den rygende pistol?

Hvad har i at binde jeres paranoia op på? Hvad er belægget for PHK's skiv? Er i lemminger?

Faktum er at USA i mange år har været gående mod et klassisk bankerot. De er i overhængende fare for at hele landet kollapser. De har en voksende skare der stiller sig tvivlende over for deres regering/økonomi. Ledelsen er som et skræmt dyr trængt op i en krop. Det vil gør ALT, hvad der står i dets magt for at komme ud af situationen. Hvis det ikke er en rygende pistol, hvad er så?

  • 2
  • 0
Mogens Ritsholm

Dette er i og for sig ikke så odiøst, hvis ikke lige Sverige havde efterretningstjenesten FRA, som angiveligt har mandat til at foretage en gennemgribende overvågning af al den datatrafik, som krydser landets grænser (https://en.wikipedia.org/wiki/FRA_law).

Du er på rette spor.

Al den snak om aflytning af logningsdata eller anden aflytning af trafik i Danmark er ikke sandsynlig.

Uautoriseret aflytning i Danmark kan foregå. Men det er i givet fald målrettet mod enkeltpersoner.

Logningsdata sendes aldrig samlet over nettet, men indsamles drypvist fra mange enheder og gemmes oftest off-line.

  • 0
  • 0
Michael Coene

Glem det. så vidt jeg læser de sidste tyske aviser vil hun gøre det strikt modsatte. Hun vil bruge skandalen til at få de tyske efterretningstjenester med i "the club of five", samarbejdet mellem b.a. NSA og CGHQ. Så i sted for mere privatliv vil Angela også gerne en kopi af din mails i hendes indbakke...

  • 0
  • 0
Andreas Bach Aaen

Set de NSA aflyningsskandalens klare lys, så virker det skræmmende at de danske politikere ikke fik sat en stopper for danmarks overimplementering af logningsdirektivet fra EU. Man fik netop at vide, at logningerne ikke havde været brugt til at fange/overvåge terrorister. Det stod tilbage meget uklart hvad man overhovedet skulle bruge al den meta-data om stort set samtlige danskeres internet og mobilforbrug.
Mit klare bud er at PET har ladet NSA kigge i disse meta-data. Så overvågningen af samtlige danskere har været en handelsvare for PET!
Vi ved også at PET næsten er belvet en stat i staten, da seneste udredning om PET viste at PET var bevidst lemfældige med hvad de orienterede folketingets kontroludvalg om.
På den baggrund alene burde man stort set nedlææge PET og starte en ny organisation op for at sikre en sund kultur med respekt for folkestyret.

  • 1
  • 0
Log ind eller Opret konto for at kommentere