Prism und Co Wie funktionierts? Erklärung gesucht

[Chakky]

Hi Prism und Co steht ja überall in den Schlagzeilen was abgehört wird und so.

Ich hab nirgendswo so richtig gefunden wie es funktioniert.

Durch einige Heise Kommentaren bin ich jetzt soweit mit folgende vereinfachten verständlichen Lösungen, kann mir evtl jmd sagen ob das richtig/falsch ist oder ob das überhaupt so funktionieren kann:

Lösungsvariante 1:

An einen Backbone klingt sich die NSA ein und spiegelt einen kompletten IP-Bereich. Sammelt alle Daten ab die reinkommen und werten die irgendwie aus.
Problem die ich sehe:
Der Datentraffic ist am Backbone doppelt sogroß, das muss doch irgendwie auffallen das Datenpakete 2 richtungen nehmen...

Lösungsvariante 2:
Am Backbone werden alle Daten mit MITM durch die NSA Infrakstruktur geschleust und durchleuchtet (Deep Packing Injection?).
Problem:
Der Server muss ja mindestens so stark sein wie der Backbone um alle Daten aufnehmen zu können ohne das es spürbare Verbindungseinbrüche gibt. Sollte aber diese Variante nicht beim Anpingen oder so auffallen oder bei Pingzeiten?

Lösungsvariante 3:
Die NSA hat überall (d.h. bei den größten ISP Weltweit) eine Api zur Verfügung um gezielt in den Datenbanken rumzuschnüffeln.
Problem:
Viele NSA anfragen + "normale User" Anfragen würden doch die Server der ISP zusammenbrechen lassen?


Jemand eine Idee wo meine Denkfehler sind bzw wie es gemacht werden könnte?

 

[bitmuncher]

Grundlegend erläutert wird es in den Slides: NSA slides explain the PRISM data-collection program - The Washington Post

Genutzt werden u.a. Sicherheitslücken, die z.B. Microsoft erst an den NSA kommuniziert, bevor sie gefixt werden. DPI spielt sicherlich auch eine grosse Rolle, was durch direkten Zugriff auf diverse Netzknoten möglich ist. Und man kann wohl davon ausgehen, dass der NSA noch einige Exploits im Ärmel hat, für die es bisher keine Patches gibt. Wenn die auf Cisco-Hardware keinen Zugriff bekommen würden, würde mich das sehr wundern und damit hätten sie Zugriff auf grosse Teile der Internet-Infrastruktur.

Dennoch sollte man bedenken, dass die Zahlen, die bisher an's Licht gekommen sind, recht wenig aussagen. Wenn eine halbe Milliarde Internet-Verbindungen von Deutschen abgehört wurden, dann dürfte das bereits durch Facebook-Zugriffe aus Deutschland abgedeckt sein.

 

[Chromatin]

Ich denke eine sehr "einfache" Möglichkeit ist es, dass die NSA hinter Firmen steht, die sich, am DE-CIX angeschlossen, als Pering Partner für Transit Netze anbiedern. Das kann ja durchaus ein gewinnorientiertes Unternehmen sein. Ich weiss nicht, ob die NSA auch immer als solche auftreten.

So kann man zumindest erhebliche Teile an Traffic abgreifen und in aller Ruhe filtern.

 

[bitmuncher]

Dass die NSA eher selten als diese auftritt sondern grossteils unter irgendwelchen Namen von Firmen agiert, ist ja spätestens seit die Praxis der "Economic Hitman" bekannt wurde, nichts neues. Auch Snowden arbeitete für eine solche Firma.

Ich denke dass dieser Slide auch ausreichend aussagt:

Man beachte hier vor allem den Hinweis "A targets phone call, e-mail or chat will take the cheapest path...". Das impliziert ja schon, dass man einfach preiswertes Peering anbietet um die Routen über die USA schmackhaft zu machen.

 

[Chromatin]

@peering

Ein dokument von einem William Binney, der seit 2001 nicht mehr fuer die NSA arbeitet, hat das in diesem Dokument bereits angedeutet.
Das Paper ist aus 2012 und bietet ebenfalls schon Hinweise auf PRISM.

Hier noch ein Interview mit dem techniker Mark Klein, der lange für AT&T gearbeitet hatte. Er berichtet von Besuchen der NSA im Unternehmen. Dazu auch dieser Artikel aus 2006 zu AT&T und die NSA.

Wenn man sieht wo AT&T überall seine ExchangePoint hat, macht das durchaus Sinn.

Auf IXmaps.ca liest man auch:

What are NSA listening posts?
The U.S. National Security Agency (NSA), is strongly suspected of having installed ‘splitter rooms’ in 15-20 major internet exchange points.
View a summary of the evidence supporting our claims regarding NSA splitter locations.

Von dem Zeug gibts noch Haufenweise. Die Theorie des peerings ist also vielversprechend.

Vielleicht kriegt hier einer ein paar AS Numbers heraus?

 

[Mechanius]

ich hab gerade diesen Artikel gelesen Jimmy Carter soll Glasfaserkabel anzapfen. Nun frage ich mich kann man ein Glasfaserkabel nur abhören oder auch unterwegs Nachrichten rein schieben? Ich stelle mir das naiv so vor, man wertet die die Nachrichten mit DPI aus, kopiert das interessante Material. Speist es danach, wenn gerade "Müll" durchs Kabel geht, einfach ein paar mal mit geänderter Empfängeradresse (z.B. der eigenen) nochmals ein. In der Hoffnung das trotz möglicher Kollisionen einer der Versuche bei mir ankommen. Sind solche Eingriffe prinzipiell bzw. praktisch möglich??

 

[Chromatin]

Bei entsprechender Zugriffsmoeglichkeiten, wie einem tiefseetauglichen unterwasser-tap sicher denkbar.

Allerdings ist die "peering Theorie" doch sehr viel einfacher und kostengünstiger.

 

[@night@]

PRISM soll eine umfassende Überwachung von Personen innerhalb und außerhalb der USA ermöglichen

Ich denke eine sehr "einfache" Möglichkeit ist es, dass die NSA hinter Firmen steht, die sich, am DE-CIX angeschlossen, als Pering Partner für Transit Netze anbiedern.

Durchgeleitet wird beim Peering auch nicht jeglicher Traffic, sondern nur der Traffic, der im Netzwerk des anderen ISPs endet. Allerdings ist egal, von wo der Traffic kommt. Für alles andere muss man seinen Traffic über “Transit” beziehen.

Ich stelle mir das gerade so vor:
Der Ziel-ISP kriegt eine Routing Tabelle von der NSA, in welcher steht, dass das Zielnetzwerk innerhalb des Netzes der NSA liegt. Daraufhin würde der ISP die Pakete logischerweise kostenlos (weil Peering) an den Schein-ISP der NSA weiterleiten, welche die Pakete analysieren und per Transit weiterleiten.
Aber ist das nicht irgendwie auffällig, wenn ein ISP aus den USA vorgibt eine IP aus Deutschland/XYZ-Land zu besitzen?
Oder sie bieten sehr günstig Transit an, aber auch das sollte doch irgendwie auffallen(?). Schliesslich wird es doch kaum günstiger für einen deutschen Provider sein, Pakete deren Ziel Deutschland ist erst über den Atlantik zu schicken und wieder zurück.

 

[Chromatin]

Aber ist das nicht irgendwie auffällig, wenn ein ISP aus den USA vorgibt eine IP aus Deutschland/XYZ-Land zu besitzen?
Oder sie bieten sehr günstig Transit an, aber auch das sollte doch irgendwie auffallen(?). Schliesslich wird es doch kaum günstiger für einen deutschen Provider sein, Pakete deren Ziel Deutschland ist erst über den Atlantik zu schicken und wieder zurück.

Man muss Pakete auch nicht zwangsweise über den Atlantik schicken - im physikalischen Sinn. Letztendlich steht das ganze Zeug entweder direkt im De-CIX in Racks oder aber im näheren Umkreis in RZs, die da angeschlossen sind.

Zudem würden bewusst "schlechte" oder ineffiziente Routing Tables auffallen - auch anderen Netzbetreibern, die Traffic tracen.

Es wird auch nicht so sein, dass die NSA selbst als ISP auftritt. Wenn Du meine Links gelesen haettest: Es ist berichtet, dass die NSA eigene Splitternetze in den RZs wie bei AT&T hat.

Habe ich Kontakt zu AS (Autonomous Systems) Betreibern, die 1. sehr viele AS betreiben, 2. stark vernetzt sind und 3. zentrale Teile einer Backbonestruktur bereitstellen, so kann ich an relativ wenigen Knotenpunkten (relativ zur Anzahl der AS insgesamt) einen großen Teil des Traffics abgrasen.

Schlieszlich geht es um Geld und wenn ich andere Carrier durch Preise und Deals (wie auch google es macht) an meine Netze anbinde und Traffic mit diesen tausche, wächst das Volumen - und meine Chance immer mehr Leute/Traffic überwachen zu können. Zusätzlich kann man gezielt peering partner besonders attraktiv machen, etwa durch kickback Programme oder Effizienz.

Für "gaming" bzlg. peerings kann ich die Studie über das RBN empfehlen wo sehr deutlich wird wie geschickt man in dieser (peering)Welt agieren kann.

 

[serpent]

CR191 Die großen Brüder - Chaosradio Podcast Network