EU drängt auf Backdoor bei sozialen Netzwerken und Cloud-Anbietern

**Ghandy** · 04. 08. 2012, 11:11

Das Europäische Institut für Telekommunikationsnormen (ETSI) entwickelte für die EU technische Standards, damit Polizei und Geheimdienste in Echtzeit über eine Backdoor Zugriff auf alle Cloud-Dienste und soziale Netzwerke erhalten. Betroffen wären unabhängig vom Standort Cloud-Anbieter wie Amazon, Telekom, Microsoft aber auch Facebook, Twitter, Google Mail, LinkedIn und viele mehr.

zur News

**nickNr5** · 04. 08. 2012, 11:23

Wird wohl Zeit auf nen VPN-Anbieter umzusteigen.

**dontlikemondays** · 04. 08. 2012, 11:27

es wird zeit dem Internet abzuschwören und der Wirtschaft einen schlag in die Magengrube zu versetzen!
Gehts der Wirtschaft nicht gut muss sich die Politik was überlegen und die Lösung wäre wieder weg von der Überwachung!

VPN Dienst sind sicherlich auch nicht mehr sicher, bzw bald nicht mehr legal!

Stasi ist ein Scheiß gegen den Wahnsinn der heute gemacht wird!

**ottaku** · 04. 08. 2012, 11:42

Also theoretisch würde es auch nichts bringen, wenn man beispielsweise auf Dropbox ein TrueCrypt Volume lädt, da sie direkt bei der Übertragung abhören, oder?

oliverlauta · 04. 08. 2012, 11:43

Zitat von dontlikemondays

Stasi ist ein Scheiß gegen den Wahnsinn der heute gemacht wird!

Traurig aber wahr.

Was heutzutage abgeht ist kaum noch zu glauben. Mirrors Edge wird immer realer...

**Zeddicius** · 04. 08. 2012, 11:51

Man will in der EU doch nicht hinter China und dem Iran hinterherhinken.

Gibt es denn schon Pläne ob das ganze einem Richtervorbehalt unterliegt?

Ganz geheuer ist mir das ganze sowieso nicht. Welchem Recht unterliegen eigentlich Geheimdienste? Da sich Teile des Geheimdienstes verselbständigt haben, finde ich diese Nachricht von Ghandy nicht sehr beruhigend.

**Caarcrinolas** · 04. 08. 2012, 12:41

Zitat von ottaku

Also theoretisch würde es auch nichts bringen, wenn man beispielsweise auf Dropbox ein TrueCrypt Volume lädt, da sie direkt bei der Übertragung abhören, oder?

Was? Wieso?
Ein Truecrypt Container wird sofern der Zeitstempel keinen Sync auslöst partiell übertragen. Was ich in meinen Container lagere kann auch Mickey Mouse nicht abfangen

**Breakerzeus** · 04. 08. 2012, 12:41

Zitat von ottaku

Also theoretisch würde es auch nichts bringen, wenn man beispielsweise auf Dropbox ein TrueCrypt Volume lädt, da sie direkt bei der Übertragung abhören, oder?

Jop. Es ist in diesem Fall völlig egal, wie gut dein Storage verschlüsselt ist weil die Befehle und Informationen vom Storage zu deinem PC unverschlüsselt, Plain verschickt werden und somit alles mitgelesen werden kann.

EDIT: Hm mein Vorredner meinte man kann es nicht auslesen. Ich habe meine Platten zwar selbst auch mit TrueCrypt verschlüsselt aber bisher habe ich nicht bemerkt dass man ohne TrueCrypt keinen Zugriff darauf hätte. Da ich mir da nicht zu 100% sicher bin, dass man es auslesen kann, lese ich mich da mal nicht fest. Also es ist durchaus möglich dass man es doch nicht Auslesen kann.

EDIT2: Ok, beim 2. lesen habe ich dein Anliegen erst richtig verstanden, sorry

Wenn du ein TC-Volume verschlüsselt auf Dropbox legst, dann kann da keiner mitlesen. Die Verschlüsselung selbst wird ja erst bei dir auf dem Rechner aufgehoben, die Daten selbst werden verschlüsselt von TC über die Leitung geschickt. Somit sieht der Abfänger nur ein Haufen Datenmüll^^

Aber es ist schon erschreckend wie man hier versucht die Bürger zu "hacken". Sicherlich ist es momentan lediglich ein Abhören der Leitung aber spätestens seit dem Staatstrojaner sollte jedem bewusst sein, dass der Staat bzw. die Behörden immer mehr herausnehmen als was sie eigentlich befugt sind. Und wenn sie schon per Man-in-the-Middle agieren, ist es an sich auch kaum ein problem Schadsoftware dazwischen zu schieben und die verdächtigen PCs zu infizieren. Ich hoffe mal dass für soetwas der Hackerparagraph greift und der Staat nichts dagegen machen kann. Sonst wird in zukunft jeder mit Proxys rumrennen müssen (eigene, kein outsourcing) wenn er dem Spionagewahn des Staates entgehen will.

**a_d_s** · 04. 08. 2012, 12:58

Man sollte alle Anbieter von Cloud-Diensten zur Implementierung einer private Cloud zwingen. Dann kann jeder Nutzer seine Daten - egal welche Daten, egal welche App - auf seinem persönlichen Online-Store (siehe OwnCloud & Co.) ablegen.

**widarr** · 04. 08. 2012, 13:03

In dem Dokument steht mit keinem Wort erwähnt, wie sie SSL brechen wollen. Entweder hat hier jemand völlig übertrieben, oder das ganze riecht danach, dass sie einfach nur Unsicherheit streuen wollen.

MitM ist leicht gesagt, aber implementier das mal.

**Breakerzeus** · 04. 08. 2012, 13:12

Zitat von widarr

In dem Dokument steht mit keinem Wort erwähnt, wie sie SSL brechen wollen. Entweder hat hier jemand völlig übertrieben, oder das ganze riecht danach, dass sie einfach nur Unsicherheit streuen wollen.

MitM ist leicht gesagt, aber implementier das mal.

Naja laut dem Artikel soll das ja so funktionieren, dass du bis zum Provider mit nem vorgetäuschtem HTTPS/SSL/TSL rennst und ab dem Provider dann halt Plain. Der MitM setzt sich da dann dazwischen und kann alles schön mitlesen weil der rest bis zum Empfänger ja Plain ist. Selbst wenn beide Seiten per SSL/TSL verschlüsselt sein sollten, kann der MitM trotzdem per Schlüsseltausch (siehe Wiki) die Daten abfangen.
Also rein technisch funktioniert das schon.

**a_d_s** · 04. 08. 2012, 13:23

Zitat von widarr

In dem Dokument steht mit keinem Wort erwähnt, wie sie SSL brechen wollen. Entweder hat hier jemand völlig übertrieben, oder das ganze riecht danach, dass sie einfach nur Unsicherheit streuen wollen.

"Lawful interception" - die Anbieter werden gezwungen, auf ihrer Seite entsprechende Schnittstellen und Zugangsmöglichkeiten bereitzustellen.

**Mr_J** · 04. 08. 2012, 13:28

...

**widarr** · 04. 08. 2012, 13:38

Zitat von Breakerzeus

....

So leicht geht das auch wieder nicht. Die einzige möglichkeit, die man da in betracht ziehen könnte, wären gefälschte X.509-Zertifikate, die in deinem Browser eingebaut werden müsste. (Was angeblich in Syrien passiert ist)
Aber da hängt selbst noch der CCC drüber um zu verstehen was da genau passiert sein soll.

**schnuerstiefel** · 04. 08. 2012, 14:24

Es gibt unter Umständen eine Möglichkeit den Backdoor zu umgehen.
Fingerprints von den Zertifikaten vergleichen?

Oder beim Anmelden bei einem Chat bekommt man den Schlüssel per Mail (GnuPG verschlüsselt) zu gesendet. Geht aber nur wen der Server nicht im Bereich/Zugriff der Schnüffler ist. Das müsste allerdings programmiert werden. Den GnuPG können sie noch nicht brechen.

Noch mal zum Verständnis. Die Provider sollen beim ersten Anzeichen einer SSL Verschlüsselung den Datenstrom auf einem anderen Server (Proxy) umleiten der dann die Zertifikate fälscht. VPN gehört dann auch dazu.

**Nwabudike** · 04. 08. 2012, 15:50

Zitat von Breakerzeus

Also rein technisch funktioniert das schon.

Dazu müsste die Authentifizierung ebenso versagen.

**Sempralon** · 04. 08. 2012, 18:25

Wie ich schon schrieb, Soziale Netzwerke = Terror Netzwerke!

Also, per SSL wird nur der Inhalt des VPN gegen den Zugriff zwischen Client und Server gesichert, da es sich, zumeist, um ein statisches Zertifikat handelt, ist es möglich, das der Server einen zweiten Client, auf dem z.B. Wireshark läuft (oder sie läuft gleich auf dem Server, ist sicherer *harharhar*), "gestattet" einen bestimmten Datenstrom zu überwachen, wegen der Privatsphäre (Datenschutz) versteht sich!
Also, die Übertragung ist geschützt, nicht die Daten auf dem Server und bei einem statischen Zertifikat, ist auch der Datenstrom nicht wirklich sicher, er ist verschlüsselt, aber mit dem Zertifikat bzw. mit direktem Zugriff auf den Server (der das Zertifikat dem Client übergibt und den Weg vom und zum Client verschlüsselt) isset nicht mehr Sicher ... ab da möchten die Herrlichkeiten zugreifen/abgreifen und evtl. ergänzen!
Was? Naja, was man zum Beweisen braucht, Bombenbauanleitungen, subversive Texte usw. ...
Wieso?
Man ist unbeliebt und muss politisch weg, man hat mit der Frau vom Kommissar gepennt und muss weg, man braucht Terroristen und ist entbehrlich!
Wie letzteres im Übertragenen Sinne läuft, hat man ja bei der NSU gesehen ... die Nazis waren es, aber die Opfer waren angeblich in terroristischen/mafiösen Seilschaften verstrickt und wurden innerhalb dieser Organisationen, wegen Internas getötet!
Nachweisen konnte man dieses ja nicht, weil die VDS ja nicht angewendet werden durfte und man die terroristischen/mafiösen Seilschaften deswegen nicht überwachen konnte!

Gut, hat man was zu verbergen, verschlüsselt man die Daten bevor diese auf den Server schaufelt ... aber dann macht man sich verdächtig und wer verdächtig ist, bekommt den Staatstrojaner auf den Rechner, damit die Geheimdienste die Unschuld des vermeintlichen Verbrechers beweisen dürfen ... hat er hingegen (lokal verschlüsselt) Raubmordkopieen verschlüsselt auf z.B. Dropbox hochgeladen, so wird er zuerst über die Überwachungsmaßnahme informiert, bevor ihn die Staatsanwaltschaft wegen einem quasi geheimdienstlichen "Zufallsfund" inhaftiert!

Alles etwas überspitzt? Ist das was ich machen kann, warum nicht auch diese Leute?

**Metal_Warrior** · 04. 08. 2012, 21:35

SSL hat sich langsam wohl überlebt - bzw. das Zertifizierungssystem. Wenn jetzt die Provider einknicken, sind wir verratzt.

Ab wann ist eigentlicht der Artikel 20 Abs. 4 GG gültig? Verklagen kann man die Pisser ja nicht, einsperren geht auch nur, wenn man den Staat vollständig übernimmt - offenbar löst nur Blei diese Probleme...

**modercol** · 04. 08. 2012, 22:00

Also verstehe ich dass dann richtig, dass Online-Banking dann auch gestorben ist? Ich mein, wenn generell HTTPS umgeleitet wird, ums schön auszulesen, öffnet dass ja Tür und Tor für zwielichte Gestalten.
Oder wird dann eine extrige EU-Gruppe damit beauftragt, Seiten aufzulisten, die keine Daten und Kommunikationen über terroristische, KiPo oder Bombenanleitung Themen/Dateien zulässt, und somit von der HTTPS-Umleitung ausschließt. Das ist doch lächerlich, so wie immer.

**Sempralon** · 04. 08. 2012, 22:35

Zitat von modercol

Also verstehe ich dass dann richtig, dass Online-Banking dann auch gestorben ist?

Spoiler:

Ich mein, wenn generell HTTPS umgeleitet wird, ums schön auszulesen, öffnet dass ja Tür und Tor für zwielichte Gestalten.
Oder wird dann eine extrige EU-Gruppe damit beauftragt, Seiten aufzulisten, die keine Daten und Kommunikationen über terroristische, KiPo oder Bombenanleitung Themen/Dateien zulässt, und somit von der HTTPS-Umleitung ausschließt. Das ist doch lächerlich, so wie immer.

Nnnicht ganz, die Banken melden ja schon "verdächtige" Transaktionen an die Obrigkeiten, was sie gern möchten, um bei den Banken zu bleiben, ist eine Schnittstelle direkt am/im Bankingportal, also schon hinter dem Interface, das bedeutet, die SSL-Verbindung zwischen deinem Rechner und deiner Bank bzw. deren Page wird nicht kompromittiert ... aber die Büttel der Obrigkeit sollen Zugriff auf den ab Bankingportal nicht mehr verschlüsselten Datenstrom zum internen Netzwerk erlangen dürfen!
Also das stellt sich dann so dar:

Client <-- Verbindung SSL verschlüsselt --> Bankingportal <-- (gewünschte Schnittstelle für den Zugriff) unverschlüsselt, da gesichertes internes Netzwerk der Bank --> z.B. Datenbankserver

Kannst du noch Folgen?
Zumindest wäre es eine aktuell praktikable Vorgehensweise ... das ginge bei Twitter, Facebook oder Dropbox ähnlich, selbst wenn per User ein eineindeutiger Schlüssel (Zertifikat) zum verschlüsseln der Datenbankzelle bzw. des Webspace verwendet wird, kann das verschlüsselnde System angewiesen werden, das selbige Zertifikat gleichzeitig und mehrfach zuzulassen ... somit nutzt der User sein Zertifikat und die Büttel der Obrigkeit ebenfalls zum ver- und entschlüsseln ...