Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 39 reacties

De overheid in India zou buiten de internetproviders om aftapapparatuur hebben geplaatst om internetverkeer in de gaten te kunnen houden. Zeker negen inlichtingendiensten zouden gebruikmaken van de aftapmogelijkheden, terwijl er wellicht privacywetten worden overtreden.

Volgens de Indiase krant The Hindu maakt de overheid gebruik van eigen aftapapparatuur, naast de bestaande aftapmogelijkheden die internetproviders volgens de telecomwet verplicht aan overheidsinstanties moeten aanbieden. Terwijl laatstgenoemde aftapmogelijkheden aan juridische procedures zijn onderworpen en er toetsing moet plaatsvinden, zou de netwerkapparatuur van de overheid buiten deze regels vallen. Daarmee wordt het verkeer van 160 miljoen internetgebruikers in India in de gaten gehouden, waarbij de overheid wellicht zijn eigen privacywetten overtreedt, zo stelt de krant. De overheid heeft nog niet gereageerd op de berichtgeving.

De aftapapparatuur zou zijn geplaatst tussen de edge routers van internetproviders en de internetbackbone in het land. Via de hardware zouden inlichtingendiensten in realtime het verkeer kunnen monitoren, inclusief het beluisteren van Skype-gesprekken, het afvangen van e-mailverkeer en het gebruik van bepaalde zoektermen. Zeker negen inlichtingendiensten zouden de monitoringhardware gebruiken.

De installatie van aftapapparatuur door de Indiase overheid en het gebruik ervan zouden deel uitmaken van het central monitoring system-project. Via dit project wil de overheid meer inzicht krijgen in het telefoon- en internetverkeer in India.

Moderatie-faq Wijzig weergave

Reacties (39)

En de olievlek wordt groter en groter, en de enige slachtoffers, dat zijn wij...

Europa houdt zich stil na de onthullingen van Snowden, want Europa doet net zo hard mee, met Engeland voorop. Software producenten zijn niet meer te vertrouwen want geinfiltreerd door de NSA. Open source zou alleen al hierom een gouden toekomst tegemoet moeten gaan...
Helaas niet, open source programmas zijn zeker op productie niveau geen volwaardig alternatief of betaalde diensten en producten.

Echter zal het *aandeel* van open source in het totaal plaatje misschien wel groeien.
Open source maakt het voor NSA-achtige organisaties ook makkelijker om zaken toe te voegen....
Het is een illusie om te denken dat bij closed-software ze dat ook niet kunnen.

Open source heeft wel als voordeel dat er een grotere kanis is op ontdekken van zo een toevoegingen.
De kans is 'aanwezig' maar waarschijnlijk redelijk verwaarloosbaar. Wie snapt er uberhaubt wat er in de code gebeurd. Wie van de Linux/open source gebruikers snapt echt de code van de applicaties die hij/zij gebruikt? Als ik een backdoor inbouw middels template meta programming (in geval van C++) zijn er maar weinig mensen die uberhaubt snappen wat er gebeurd.
In hoeveel projecten wordt geaccepteerd dat je code toevoegt waarvan de andere contributers geen idee hebben wat het doet? En hoeveel van de kern-services (interessantste dingen om zo'n backdoor in te bouwen) zijn uberhaupt geschreven in C++? De kernel is in elk geval vast in C, en die doet niet aan TMP.
Dat zelfs open-source een backdoor kan hebben, is al begin 80'er jaren door Dennis Ritchie (van Unix-faam) aangetoond. Namelijk de code van su.c, die iedereen met een bepaald wachtwoord doorliet. Uiteraard kan je dat stuk code niet in de source laten zitten, dat valt een beetje op. Dus was ook de C-compiler aangepast. Als die zag dat su.c gecompileerd werd, werd automatisch de backdoor mee-ingebouwd.
Nu zat er natuurlijk een hack in de C-compiler, net zo makkelijk te vinden als in su.c natuurlijk. Dus had de compiler nog een andere hack: als deze zichzelf compileerde, werd de hack ingebouwd. Daarmee kon dus de source-code van de hack uit de compiler sources gehaald worden, waarmee deze dus geheel ontzichtbaar werd. Uiteraard controleert niemand of de executabele wel overeenkomt met de source-code.

Dus jongens, wie van jullie heeft de gcc executable gecontroleerd? Wie bouwt gcc met gcc zelf? Nou nou? ....
Bron.
Voor de geÔnteresseerden die het niet ge-Google'd krijgen: het was eigenlijk Ken Thompson :) Maar alleszins fascinerend!
@ ATS, en dat is nog letterlijk en direct
@ Rick, dat is al een stuk lastiger te vinden als je er niet al vanaf weet
@ Grimace, weer een verwoording van een principe zo oud als de weg naar rome zelf in een ander context :)

een andere vorm van een backdoor kan bijvoorbeeld simpelweg zijn om een bepaald encryptiealgoritme artificieel relatief simpel te houden
zodat je kunt garanderen dat het met huidige hardware nog in het ergste geval te brute-forcen is

zo meen ik mij vaag te herinneren dat er in china, geloof ik, zelfs wetgeving is over de mate van encryptie die toegepast mag worden
maar voor de precieze details zou ik ook even terug moeten speuren

ik denk dat m'n punt is dat er genoeg manieren zijn om op verschillende manieren eventueel te beschuldigen of zelf, zoals het heet, te exploiten
het ligt er maar net aan naar welke basis je een idee vormt of concludeert
en dan nog of het waar is of niet

een vriend van mij, een intelligente en normaal gesproken vrij nuchtere knul is al een flinke tijd bezig is met het kernel-debuggen van windows 8 in de hoop, je raad het al, tekenen van een letterlijke backdoor te vinden, juist door het idee wat er in de markt is geblazen over de macht en brutaliteit die de NSA, dan wel andere instanties, zouden hebben of vertonen
als er iets is wat mij opviel en wat ik door de tijd geleerd heb
dan is het ofwel dat veel mensen hartstikke paranoia zijn
of dat er door de vermeende boeven bewust gekozen word voor indirecte, moeilijk terug te traceren en te bewijzen logica ;)

offtopic:
ps. misschien kan er wel iemand helpen met een probleempje
http://reverseengineering...part-of-memory-as-pe-file

[Reactie gewijzigd door 500749 op 9 september 2013 17:28]

Ik ben bang dat als ik dat hier als een interessant project aanmerk, dat ik de NSA alarmeer.

Dus: dat lijkt me nu echt totaal niet interessant! :P

... heeft dat project ook een homepage? :D
Wat dan door een code-bot weer word geflagged als "malicious code", of door iemand wordt gezien.
Nou ik vraag me af wat de NSA nou daadwerkelijk kan, ik lees alleen maar berichten dat ze alles kunnen afluisteren en prive gegevens kunnen stelen. Maar wie hebben ze nou allemaal op weten te pakken met hun kennis en technieken?

Ik heb nog niks gehoort over ''terroristen'' of andere grote criminelen die opgepakt zijn met hulp van de NSA.

Het enige idee wat ik krijg is dat maffia groeperingen als de NSA mensen bang willen maken, het lijkt me stug dat ze alleen maar negatieve berichten richting hunzelf plaatsen en vervolgens zonder bewijzen komen (lees: goede daden zoals oppakken van terroristen en andere grote criminelen)

Iedereen denkt nu negatief over de NSA en is bang dat ze afgeluisterd worden (zowel de goede als slechte mensen zijn op hun privacy gesteld) terwijl ze imo ook als held kunnen worden gezien indien je berichten leest over bepaalde goede daden die ze verichtten....

Tot de tijd dat ik positieve en betrouwebare berichten lees over de NSA zal ik er ook negatief over denken..
Lijkt me ook een veel effectievere manier dan allemaal losse contracten en afspraken met providers.
Je hebt alleen veel minder aan deze gegevens in een tijdperk waar encryptie een steeds belangrijkere rol speelt. Je kunt (als het goed is) immers niks met SSL/SSH verkeer.

Als je dan direct op de bron zit (ofwel 'voor de encryptie') dan is dat veel makkelijker natuurlijk.
Het is nog maar de vraag of dat wel zo is (link). Het lijkt erop dat de geheime diensten dusdanige wiskundige kennis hebben dat (mogelijk) de basisprincipes van onze huidige encryptie al onderuitgehaald zijn. Denken wij veilig te zijn met SSL, TLS enz terwijl de geheime diensten dit verkeer bijna real-time kraken. Tel daarbij op dat de Amerikaanse diensten zonder probleem de master-key's bij de CA's kunnen opvragen, waarmee je sowieso al het SSL verkeer kunt decrypten (immers, vrijwel niemand gebruikt PFS).
@Glashelder: idd, foute redenatie van mijn kant.

[Reactie gewijzigd door Rick2910 op 10 september 2013 09:41]

Misschien ligt het aan mijn kennis van TLS maar volgens mij bestaat er niet zoiets als een 'master key' bij het systeem zoals dat op internet gebruikt wordt.

Een computersysteem dat een TLS certificaat genereert verstuurt alleen de public key naar een CA om deze te laten signen met de private key van de CA. Zo wordt de keten van certificaten controleerbaar. De private key wordt niet verstuurd.

Als de private key van het CA certificaat dan uitlekt dan heeft dit volgens mij weinig gevolgen voor een onderliggend certificaat. Die private key heeft de CA nooit gehad. En je kan die key ook niet decrypten met die private key?

[Reactie gewijzigd door Glashelder op 10 september 2013 07:20]

Denken wij veilig te zijn met SSL, TLS enz terwijl de geheime diensten dit verkeer bijna real-time kraken.
Bijna real-time kraken betekent dat je als normale burger 100% veilig bent.
Bijna real-time betekent dat je altijd net iets achterloopt en die achterstand die wordt heel snel heel erg groot als je niet al van te voren gaat filteren.
Je hebt niet opgelet begrijp ik? SSL is in elk geval voor de NSA te kraken. Goede kans dat als de NSA het kan, een ander het ook kan.
contracten
?? Denk niet dat er sprake zou zijn van een 'contract', meer van een 'verordening' ;) Het lijkt me namelijk niet zo dat een ISP eisen zou kunnen stellen.
De installatie van aftapapparatuur door de Indiase overheid en het gebruik ervan zouden deel uitmaken van het central monitoring system-project. Via dit project wil de overheid meer inzicht krijgen in het telefoon- en internetverkeer in India.
Ze zijn in ieder geval eerlijker over hun motieven. :)
Mwah, inzicht krijgen in internetverkeer is natuurlijk vrij breed/vaag omschreven. Blijkbaar valt meeluisteren/kijken met skype ook hieronder... Neigt eerder naar misleiding dan naar eerlijkheid in mijn boekje.
Ik bedoel uiteraard dat het niet zomaar weer onder terrorisme/veiligheid wordt gedumpt.
Geef het een naam, het is dezelfde verdoezeling als wat onze overheid doet mbt terrorisme en kinderporno.

Iedereen weet dat dergelijke systemen altijd voor alles gebruikt kunnen en zullen worden. En anno 2013 wordt dat ook nog eens bewezen, dat India denkt dit verhaal als geloofwaardig te kunnen verkopen vind ik verbazingwekkend...

[Reactie gewijzigd door Vayra op 10 september 2013 12:56]

"uiteraard" bedoel je iets compleets anders, waar jij noch je quote over rept. Stom van me.
Ben ik de enige die verbaast is over het "zeker negen inlichtingendiensten"?
Dat impliceerd dat er meer zijn, maar men heeft het alleen over India. Hoeveel diensten heb je nodig?

Ik zou wel eens willen zien wat voor apparatuur er nodig is om te monitoren en realtime af te luisteren...
nee hoor, verbaasd of een lichte interesse zullen meerdere mensen hebben
een carelevel hoog genoeg om het te willen bespreken blijkbaar (nog) niet :p (toen wij dit schreven)
denk dat sommige mensen zelfs langzaam genoeg hebben van het NSA verhaal en soortgelijk
daar naast denk ik dat vaagjes in onze achterhoofden de meesten mensen al langer bekend zijn met de welbekende great firewall over there zonder bad feelings

lijkt sowieso een beetje erop dat iedereen ondertussen wel uit-geklaagmuurd is dus als iedereen het nou mooi gerationaliseerd heeft voor zichzelf en er niet meer op let - dan mag het nou geÔmplementeerd worden zonder weerstand of attentie :)

[Reactie gewijzigd door 500749 op 9 september 2013 15:18]

Als je nou echt dacht dat de NSA de enige was die zich niet aan de regels hield dan is hier het bewijs. Maar eigenlijk wisten we dat allang, het is alleen de vraag nog hoelang ze dit al doen en dat het nu pas aan het licht komt. En hier lijkt het ook gewoon de overheid het te doen en niet een speciale agentcy onder leiding van.
Dan moet je of heel jong zijn of heel en heel naÔef. We wisten dit toch zeker allang voordat de media het begon te hype, want is nu gewoon hype onder de journalisten die schijnbaar zelf jaren hebben zitten slapen en alle hints in persberichten van overheden niet begrepen rond om nieuwe wetgeving.

Media gaat nu gewoon alle landen af en hebben ze weer iets te melden. Alles en iedereen luistert elkaar af dat is al zins mensen heugenis, eeuwen(millennium's), dus je moet wel heel dom zijn om te denken dat internet nu ineens als enige medium niet zou worden afgeluisterd, dat zou wel heel erg uit de pas zijn met de geschiedenis en dus niet aannemelijk, had gekund maar heel onwaarschijnlijk.

[Reactie gewijzigd door mad_max234 op 9 september 2013 15:24]

Probleem is dat het nu massaal kan ťn ook massaal gebeurd. Tuurlijk had je vroeger ook zat afluisterpraktijken, maar niet op deze gigantische schaal. Zelfs als er geen enkele reden is om een persoon te bespioneren gebeurd dat nu wel, omdat nou eenmaal iedereen wordt bespioneerd. Vroeger ging dat veel specifieker, en daar zaten dan ook veel 'onschuldigen' tussen maar een stuk minder.
Toch zijn er een aantal punten waarom ik het liever zo het dan hoe de NSA dit doet.
Ten eerste doen ze in India niet schijnheilig erover. Het is algemeen bekend dat de mensen daar in de gaten worden gehouden. Ze hebben bijvoorbeeld openlijk verzoek gedaan bij BB om een backdoor voor het Blackberry verkeer.
Bij hun is het een nationale kwestie in tegenstelling tot de NSA die juist meer op niet Amerikanen is gericht. WTF, ik heb niks met VS te maken waarom houden ze mij dan in de gaten.
En hier lijkt het ook gewoon de overheid het te doen en niet een speciale agentcy onder leiding van.
Het is altijd een instantie die dit (uit naam van de overheid) doet (in India waarschijnlijk het CBI). Waarom zou de NSA anders andere regeringsleiders afluisteren als ze die info niet door spelen naar de regering? Wie heeft er anders baat bij?
Waarschijnlijk hebben ze even contact opgenomen met hun collega's bij de Britse inlichtingendienst voor het vragen van tips en tricks: nieuws: Britse inlichtingendienst tapt petabytes aan data via backbones af
Hoeveel berichten zullen hier nog over gaan?

Lijkt mij vrij logisch dat een overheid controles uitvoert.

Het gaat er meer om WAT ze met die informatie doen.

Alle overheden doen het, ja ook Nederland
dat moet potverdrie toch wel een leuke verzameling hardware zijn om actief op zo'n schaal te kunnen abstraheren en dus onderscheid kunnen maken uit een crapton aan data
en ik denk dat we dan ook nog mogen aannemen dat er verschillende dingen voor kort of misschien zelfs lang termijn gelogged worden voor een terugblik?

wow. just... wow.

kan mij voorstellen dat je heel wat boeken kunt vullen over de processen en principes wat het mogelijk moeten maken om zoveel data actief en optimaal te interpreteren en co-relateren
lijkt mij zowel psychologisch als fysiek een behoorlijk interessant iets

[Reactie gewijzigd door 500749 op 9 september 2013 16:00]

tja als je zoveel data kan inzien....vreemd dat brein hier nog geen aanmaning naar heeft gestuurd. Hoeveelheid illegale kopieŽn overstijgt elke warez site ;)
Ik zou bijna denken dat de NSA het heeft gesponsord, zie het als een POC omgeving. Als ze dat thuis in de VS direct in "productie" proberen zou het op kunnen vallen.. en spioneren op alle amerikanen is verboden bij de wet :+

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True