'NSA kan met bgp- en dns-manipulatie via buitenland legaal Amerikanen aftappen'

Onderzoekers aan de universiteiten van Amsterdam en Boston waarschuwen voor de mogelijkheid dat Amerikaanse inlichtingendiensten via manipulatie van het bgp-protocol en dns-servers Amerikaans dataverkeer zo omleiden dat zij dit legaal kunnen aftappen.

Volgens de Amerikaanse grondwet mogen Amerikaanse burgers niet massaal worden afgeluisterd door de inlichtingendiensten. Voormalig Amerikaans president Ronald Reagan ondertekende echter in december 1981 de executive order 12333. Volgens dit presidentiële besluit mogen de inlichtingendiensten Amerikanen afluisteren als er aan twee voorwaarden wordt voldaan: een afluisteroperatie mag zich niet specifiek richten op Amerikaanse burgers en de taps moeten in het buitenland worden uitgevoerd.

Onderzoekers aan de universiteiten van Amsterdam en Boston waarschuwen in een onderzoeksrapport op de gevaren van executive order 12333 waarover inhoudelijk nog relatief weinig is vrijgegeven. Niet alleen is er volgens de opstellers van het rapport onvoldoende politieke controle op de inlichtingendiensten, ook wijzen zij op een mogelijke omweg waarmee inlichtingendiensten alsnog via de sleepnetmethode grote hoeveelheden data van Amerikaanse burgers in handen kunnen krijgen. Executive order 12333 zou hun daarvoor de legale basis geven. Bovendien heeft de NSA al aangegeven dat een groot deel van hun spionagewerk berust op 12333.

Een mogelijke omweg die de onderzoekers beschrijven voor het vergaren van data van Amerikaanse burgers is het manipuleren van het bgp-routeringsprotocol. Via het border gateway protocol communiceren netwerken van internetproviders met elkaar om zo routeringsafspraken te maken. Een inlichtingendienst, zoals de NSA, zou binnenlands verkeer doelbewust via een ander land kunnen sturen. Door dit omgeleide verkeer in het buitenland af te tappen kan een geheime dienst alsnog het verkeer van Amerikanen inzamelen. Hoewel de onderzoekers nog geen harde bewijzen hebben dat de Amerikaanse inlichtingendiensten deze methode daadwerkelijk inzetten, zijn er de afgelopen jaren al wel doelbewuste bgp-manipulaties uitgevoerd.

Een andere mogelijkheid die potentieel interessant is voor Amerikaanse inlichtingendiensten is het manipuleren van dns-servers. Door internetgebruikers middels een gewijzigd dns-record naar een server te sturen die in handen is van de inlichtingendiensten kunnen web- en e-mailverkeer ingezameld worden, terwijl de internetgebruiker bijvoorbeeld zijn 'normale' Facebook-pagina krijgt te zien.

Volgens de onderzoekers bevatten diverse NSA-programma's die door klokkenluider Edward Snowden openbaar zijn gemaakt sterke aanwijzingen dat de NSA de mogelijkheden heeft om routers van derden over te nemen, terwijl de dienst ook fysieke toegang heeft tot internetapparatuur. Verder spreekt de dienst in het Seconddate-programma over exploit-technieken die zijn gericht op internetprotocollen en man-in-the-middle-aanvalsmethodieken. De onderzoekers gaan echter nog niet zover om de NSA en andere inlichtingendiensten daadwerkelijk te beschuldigen van het gebruik van bgp- en dns-manipulatie om Amerikaanse burgers te bespioneren. Wel beloven zij in een toekomstig rapport mogelijke oplossingen aan te reiken, zoals het gebruik van dnssec, rpki en encryptie om de kans op succesvol afluisteren te verkleinen. Ook wordt de politiek aangemoedigd om de verouderde wetgeving en de mazen daarin aan te pakken.

IT-banen

Reacties (46)

NEO256

30 juni 2014 17:12

Ik weet nog steeds niet helemaal wat ik hiervan moet denken.

Graag zou ik mezelf beschermen tegen dit soort praktijken als is het maar om mijn eigen privacy te beschermen, maar als ik zie wat er allemaal in handen is van dit soort diensten ben ik eerder geneigd het vanaf de andere kant aan te pakken en te gaan demonstreren dat dit soort partijen zich aan regels gaan houden waar we ons allemaal in kunnen vinden.

Kijk als je een terrorist of een andere crimineel aan het volgen bent: prima.
Maar gewoon lukraak mensen volgen en data vergaren in de hoop dat je er 1 uitpikt is gewoon wachten op problemen.

Zie ook:
http://chronicle.com/arti...y-Matters-Even-if/127461/

En dit praktische voorbeeld:
http://www.huffingtonpost...by-joint-t_n_3690806.html

En voor mijn gevoel als ze 1 beetje meer aanleiding hadden gehad of je bent al een buitenlander (non Amerikaan) die voldoet aan een (paar) extra criteria dat je gewoon verdwijnt naar Guantanamo Bay waar je niet eens word berecht, maar alleen jaren word vast gehouden.

himlims_ @NEO256 • 30 juni 2014 17:24

Tails - Privacy for anyone anywhere is een goed startpunt [faq]

[Reactie gewijzigd door himlims_ op 22 juli 2024 19:24]

fevenhuis @himlims_ • 30 juni 2014 19:21

Of terug naar het begin, P2P netwerken maar dan decentralized en met encryptie.

Er is een hoop aan de gang met nieuwe messaging platforms hoor. Ook gecentraliseerde encrypted messaging systemen, maar persoonlijk denk ik dat dit nooit als veilig alternatief moet worden gezien.

Ik denk ook dat we een zelfde soort revolutie gaan zien voor bedrijfsnetwerken.

Hier wat projecten:
https://beta.startmail.com/
http://www.futuretensecentral.com/chadder/
http://secushare.org/
http://swax.github.io/DeOps/
http://waste.sourceforge.net
https://otr.cypherpunks.ca/
http://flowingmail.com/
http://retroshare.sourceforge.net

Wat mensen ook moeten gaan leren is dat comunicatie en het web twee verschillende zaken zijn en dat sociale websites nooit veilig zullen zijn.

[Reactie gewijzigd door fevenhuis op 23 juli 2024 12:51]

Venator

@NEO256 • 30 juni 2014 17:26

Zelfde geldt ook voor het dataminen van metadata, er kan in retrospect een profiel worden opgebouwd tegen mensen die op een gegeven moment als verdacht worden aangemerkt.
Vervelende is ook dat dit executive order een escape geeft op de bewaarplicht, de data is immers dan niet in de VS verzameld noch opgeslagen waarschijnlijk. Doe je dit een beetje handig (sommige landen hebben geen of weinig regelgeving op dit gebied) dan kun je flink wat vergaren zonder er ooit verantwoording op af te leggen.

JackBol 30 juni 2014 17:27

Ze kunnen het wel doen, maar mochten ze het doen, is dat wel direct zichtbaar in de internet community...

http://www.bgpmon.net

Verwijderd @JackBol • 30 juni 2014 18:08

Zichtbaar wel. Maar vervolgens moet het iemand nog opvallen, moet deze persoon kunnen vaststellen dat het ongewenst is, en dan ook nog eens weten wat hij/zij met deze informatie moet/kan doen.

Zelf heb ik al meermalen gezien dat Deutsche Telekom met ASN's van China Telecom aan de haal gaat en tijdelijk al mijn (en dat van anderen in Europa) verkeer naar China omleid via Duitsland. (Normaal loopt het via de VS.) Ik heb echter geen idee hoe ik kan beoordelen of DT hier kwaadaardige bedoelingen mee heeft of dat ze gewoon in opdracht van China Telecom werken.

Amanoo 30 juni 2014 18:44

Weinig verbazend. De NSA zie ik er wel voor aan om zich keurig aan de Amerikaanse wet te houden door een filiaal van ze in het buitenland te laten afluisteren en de Amerikaanse gegevens weer jaar zich door te sluizen. Het enige wat de NSA ooit deed was gegevens overnemen, het afluisteren lieten ze door iemand anders doen.

ik222 30 juni 2014 20:12

Op zich kun je het internetverkeer natuurlijk in theorie aftappen middels het manipuleren via BGP maar toch zijn er wel twee dingen waardoor het in mijn ogen erg lastig is dit op grote schaal te doen.

- Het valt de internationale community snel op middels sites als bijvoorbeeld BGPMon. Bij afwijkende dingen in de wereldwijde routering van het internet krijgen enorm veel mensen direct een alert via dergelijke sites.
- Je hebt via BGP manipulatie nooit de garantie dat je al het verkeer van of naar een bepaald land, provider of persoon ziet. Verkeer tussen netwerken kan namelijk via allerlei routes maken waarbij bijvoorbeeld bepaalde private peers dermate preference krijgen dat verkeer tussen bepaalde netwerken altijd die weg kiest.

Kortom ik vind deze manier van aftappen op grote schaal niet erg waarschijnlijk.

[Reactie gewijzigd door ik222 op 23 juli 2024 12:51]

Istrilyin 30 juni 2014 17:24

Tja... Met of zonder order 12333 zullen ze het toch wel doen. ANDERS WINNEN DE TERRORISTEN! En vooraf expliciet toestemming krijgen is voor de NSA lastiger dan achteraf de boel wegwuiven.

Centelte @Istrilyin • 30 juni 2014 17:56

Ik hoop toch echt dat deze reactie sarcastisch is... Anders ben je echt extreem naïef net zoals 2/3 van Amerika.

RGAT @Centelte • 30 juni 2014 18:19

Is vrij duidelijk sarcasme, zie ook de twee halen naar de illegale en abnormale handelswijze van de NSA.
Overigens heeft hij gelijk, we denken toch niet serieus dat zonder deze executive order de NSA, AIVD, GHCQ en de rest van het clubje op zou houden met vissen met sleepnetten?

Kunnen we overigens wel bij een eventuele campagne die reclames van Greenpeace recyclen, die tegen het sleepnetten om dolfijnen en schildpadden te beschermen, maar dan ipv een vissersboot de NSA

Istrilyin @Centelte • 1 juli 2014 13:22

Tuurlijk sarcastisch.

jcamps 30 juni 2014 17:45

Oud nieuws. Al in 'wired' in 2008 gemeld dat er met BGP datastromen over internet kunnen worden gerouteerd.
http://www.wired.com/2008/08/revealed-the-in/

Oplossing is er ook al, o.a. Secure BGP.
http://www.cisco.com/web/...3/securing_bgp_s-bgp.html

Subject117 @jcamps • 1 juli 2014 08:09

Ja leuk , dat zijn die bewerkte cisco routertjes met nsa-backdoor tripping niet ? :-)
-- Sarcastic Mode

biteMark 30 juni 2014 17:20

Met list en bedrog mag het dus tóch...

CopyCatz 30 juni 2014 17:35

Aangezien de NSA nogal wat installaties bij de NSA fanclub in Duitsland heeft , hoop ik niet dat ze al dat dataverkeer daarlangs routeren. Zou toch zonde zijn van de bandbreedte hier in Europa...

Verwijderd 30 juni 2014 18:24

Als het moet zal de NSA hun centrales als buitenland verklaren om alsnog iedereen af te kunnen luisteren. Ze zijn geobsedeerd zoveel mogelijk data binnen te harken.

Ondertussen gaat Obama een half miljard aan terroristen in Syrië geven zodat ze daar ook een sharia in kunnen stellen. Die haatbaarden die terug komen zijn dan ideaal om nog meer angst uit te buiten om het land nog meer een politiestaat te veranderen.

PuzzleSolver @Eloy • 30 juni 2014 21:37

BGP manipulatie klinkt ook niet erg aannemelijk:

zijn er de afgelopen jaren al wel doelbewuste bgp-manipulaties uitgevoerd.

Uiteraard zijn die uitgevoerd, daar is het protocol voor bedoeld. Zonder routing protocollen als BGP zouden we niet een deel van een IP c-block in America kunnen hosten en een ander naburig c-block in Nederland. Het protocol verteld waar de ip adressen zich bevinden.

Het wordt ook gebruikt in het geval van bandbreedte problemen om data ergens anders heen te routeren. Een DDOS (die nog wel eens vaker voorkomt dan in het nieuws vermeld wordt) kun je op die manier afketsen naar een server die aan een bredere pijp hangt en het verkeer voor je filtert. Ook gebruiken diensten als Cloudfare het om websites op verschillende infrastructurele interessante locaties te hosten en een DDOS te verdelen over meerdere punten.

Erg fijnmazige aanpassingen (b.v. 1 ip of een groter dan ip/24) worden vaak niet toegestaan. De NSA moet dus een heel blok via het buitenland routeren en zou dus veel andere gebruikers met extra latency opzadelen. Dit zou kunnen lijden tot ontdekking van de tap (BGP tabel is redelijk openbaar) en dat wil de NSA liever voorkomen. Dus tappen ze gewoon illegaal amerikanen af (dit gebeurde ook volgens het document van Snowden).

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (46)

Sorteer op:

Weergave: