Grote Chinese firewall ook in Nederland
De Chinese overheid filtert en manipuleert het internationale internetverkeer met oorsprong en bestemming buiten China, dat beweert het Delftse beveiligingsbedrijf Fox-IT. Sinds begin dit jaar bestaan er aanwijzingen dat internationaal internetverkeer, met bijvoorbeeld eindbestemming Japan, door de Volksrepubliek China wordt gefilterd, aangepast of omgeleid. De beveiliger merkt op dat dit vermoedelijk per ongeluk gebeurt.
Gisteren werd duidelijk dat enkele Internetgebruikers in Chili en Californië geen verbinding meer konden leggen met Facebook, Twitter, Youtube en Falunggong-gerelateerde websites. Uit onderzoek blijkt dat dit door de Chinese infrastructuur werd veroorzaakt die het verkeer voor deze websites naar niet bestaande bestemmingen omleidde.
Dat China het internetverkeer van Amerikanen en Chilenen manipuleert is nieuw. "Hieruit blijkt dat de “great firewall of China” ook is aangesloten op internationale backbones", aldus de beveiliger. Die noemt het ernstig, omdat dit soort omleidingen niet alleen zijn te gebruiken voor censuur, maar ook voor het naar China toetrekken van internationaal internetverkeer. Dat heeft ook gevolgen voor Nederlandse gebruikers. "Het is dus theoretisch mogelijk dat een mailtje tussen slagerijvandervalk.nl en restaurantvanderbosch.nl door toedoen uit het buitenland wordt omgeleid, afgeluisterd of gemanipuleerd."
De kans dat China het internetverkeer in Nederland kan beïnvloeden is klein. In de meeste gevallen worden hier Europese root servers gebruikt. Toch is het mogelijk dat het verkeer via China wordt vervoerd, of mogelijk zelfs direct vanuit China wordt beantwoord.
Geen opzet
Door de aard van de in Chili en Californië waargenomen manipulatie is het volgens Fox-IT zeer onwaarschijnlijk dat dit een bewuste handeling is geweest. "De uitvoering is dermate onsubtiel en opvallend dat dit geen heimelijke actie kan zijn." De beveiliger noemt het waarschijnlijker dat de Chinese firewall per ongeluk is op een internationale verbinding is aangesloten.
Reacties (21)
25-03-2010, 14:04 door
cjkos
Toch wel een eng idee dat dit kan. Dit brengt China, de VS en ik weet niet welk ander land dat het niet zo serieus neemt met de privacy vast wel op idee-en. De meeste uitvindingen worden door stom toeval uitgevonden of ontdekt.
Ouwe koek. Filteren en/of manipuleren doen ze in zoveel landen. Alles wat via netwerken in de USA gaat komt in "zwarte kamers" van de NSA terecht en in Finland hebben ze The Swedish National Defence Radio Establishment. Inspecteert of blokt ook alles. In Duitsland timmeren ze ook lekker aan de censuur weg en Europa is bijna hardop bezig de regels omtrent kinderporno filters te "harmoniseren".
Lekker China bashen terwijl we zelf ook slapend een surveillance maatschappij binnen zijn gelopen. Het is gewoon kinderlijk.
Lekker China bashen terwijl we zelf ook slapend een surveillance maatschappij binnen zijn gelopen. Het is gewoon kinderlijk.
25-03-2010, 15:24 door
fd0
"De uitvoering is dermate onsubtiel en opvallend dat dit geen heimelijke actie kan zijn."
Het geeft te denken dat er nu zo gedacht wordt.
<cynisch>
Het onsubtiele, opvallende, is misschien wel een bedoelde actie om critici om de tuin te leiden
</cynisch>
25-03-2010, 15:56 door
vimes
Mischien is het een idee om de chinese DNS servers los te koppelen van het de overige dns-servers?
@vimes: Dit heeft niks te maken met de eindbestemming (DNS) maar met de routering van je internetverkeer. De routers kunnen jouw verkeer routeren via een ander land, terwijl de bestemming nog steeds in nederland is.
Ja dat is bekend van de Chinese overheid,de oveheid wil natuurlijk ook de Chinese mensen die wonen en werken in Europa monitoren.
Althans dat vermoeden heb ik.
Ik heb eem jongere broer in China wonen voor een lange tijd voor zijn werk hij wrekt voor eren Duits bedrijf, en mijn schoonzus is Chinese.
Nu heb ik met hem een netwerk dat hij met zijn private key versleuteld gebruik kan maken van mijn ip addres voor bepaalde dingen,om de great firewall in China te kunnen omzeilen.
dus dan moet hij vanuit China op mijn pc in loggen.
Nu heb ik ook een bepaald programma op de achtergrond draaien om te kunnen monitoren of er Chinese provinciale netwerken proberen bij mij binnen komen,zo zie ik in de bloklist een heleboel Chinese sites voorbij komen dat het mogelijk monitoren door de Chinese overheid dus verdacht maakt.
Alleen enkel mijn broer zijn ip addres staat op de white list.
Dus daarmee concludeer ik dat mijn broer in China ook door de overheid gemonitort wordt op bepaalde punten.
Ook mede omdat hij redelijk vaak naar Europa moet per jaar voor zijn werk,dat vind de Chinese overheid vast interresant.
Althans dat vermoeden heb ik.
Ik heb eem jongere broer in China wonen voor een lange tijd voor zijn werk hij wrekt voor eren Duits bedrijf, en mijn schoonzus is Chinese.
Nu heb ik met hem een netwerk dat hij met zijn private key versleuteld gebruik kan maken van mijn ip addres voor bepaalde dingen,om de great firewall in China te kunnen omzeilen.
dus dan moet hij vanuit China op mijn pc in loggen.
Nu heb ik ook een bepaald programma op de achtergrond draaien om te kunnen monitoren of er Chinese provinciale netwerken proberen bij mij binnen komen,zo zie ik in de bloklist een heleboel Chinese sites voorbij komen dat het mogelijk monitoren door de Chinese overheid dus verdacht maakt.
Alleen enkel mijn broer zijn ip addres staat op de white list.
Dus daarmee concludeer ik dat mijn broer in China ook door de overheid gemonitort wordt op bepaalde punten.
Ook mede omdat hij redelijk vaak naar Europa moet per jaar voor zijn werk,dat vind de Chinese overheid vast interresant.
Waarom grijpt de organisatie dat internet beheerd niet in?!
Ik heb al vaker gezegd, sluit China af van het internet.
Er komt alleen maar troep vandaan.
Te ziek voor woorden dit.
Een vorm van internet terreur!
Internet terrorisme.
Ik heb al vaker gezegd, sluit China af van het internet.
Er komt alleen maar troep vandaan.
Te ziek voor woorden dit.
Een vorm van internet terreur!
Internet terrorisme.
En Amerika doet dit niet........
Vroeger waren de Russen de Bad Guys...nu de Chinezen.
Vroeger waren de Russen de Bad Guys...nu de Chinezen.
Door Anoniem: Ouwe koek. Filteren en/of manipuleren doen ze in zoveel landen. Alles wat via netwerken in de USA gaat komt in "zwarte kamers" van de NSA terecht en in Finland hebben ze The Swedish National Defence Radio Establishment. Inspecteert of blokt ook alles. In Duitsland timmeren ze ook lekker aan de censuur weg en Europa is bijna hardop bezig de regels omtrent kinderporno filters te "harmoniseren".
Lekker China bashen terwijl we zelf ook slapend een surveillance maatschappij binnen zijn gelopen. Het is gewoon kinderlijk.
Lekker China bashen terwijl we zelf ook slapend een surveillance maatschappij binnen zijn gelopen. Het is gewoon kinderlijk.
Op zich ben ik het wel met je eens, maar wat ik zo gevaarlijk(naïef/kinderlijk) vind is dat China altijd als de plaatselijke restaurant houder bekeken wordt... en dat is het NIET !
Als je onze achterlijke wereld wil vergelijken met die van hun moet je meer denken aan een patiënt met een milde vorm van Dyslexie en een losgeslagen sociopaat..... wij houden geen (politieke/religieuze) gevangenen achter de hand als levende orgaan donor magazijnen, wij bestelen, martelen en verkrachten niet grootschalig en beleidsmatig ...
China is het allergrootste gevaar, kijk anders maar eens hier naar; http://www.korubo.com/TIBETDOC/tibet.htm
Door Anoniem: @vimes: Dit heeft niks te maken met de eindbestemming (DNS) maar met de routering van je internetverkeer. De routers kunnen jouw verkeer routeren via een ander land, terwijl de bestemming nog steeds in nederland is.
In het Artikel van Fox-IT staat dat het de root servers betreft. Wat bedoel jij?
26-03-2010, 04:15 door
mathijsk
"Het is dus theoretisch mogelijk dat een mailtje tussen slagerijvandervalk.nl en restaurantvanderbosch.nl door toedoen uit het buitenland wordt omgeleid, afgeluisterd of gemanipuleerd."
Wat een BS! Een mailtje tussen slagerijvandervalk.nl en restaurantvanderbosch.nl komt helemaal niet bij China langs.
Ervanuit gaande dat beide mailservers in Nederland staan wat ook de bedoeling is als je naar de voorbeelden kijkt, gaat het als volgt in zijn werk:
Slagerij van der valk drukt op versturen in de mail client, mail wordt verstuurd naar smtp server van de hoster of de eigen provider.
smtp server doet dns request naar mx record, via de dns server wordt dit wanneer niet gecached door sidn root server beantwoord.
De mailserver stuurt nu het bericht naar het IP dat het net terug heeft gehad.
Of de hosters hebben een private peering met elkaar, of het gaat waarschijnlijk via de AMS-IX.
Mailtje komt binnen bij de hoster van restaurant van der Bosch en wordt opgeslagen in de mailbox.
Restaurant van der Bosch haalt nu de mail op en download het mailtje.
China heeft hier geen enkele kans gehad om het mailtje om te leiden, het dataverkeer is Nederland niet uit geweest.
Wanneer je nu een bedrijf in Japan zou mailen, heb je wel kans dat het dataverkeer langs een chinese exchange komt, dan heb je er wel kans op. Maar wat er nu in het artikel geblaat wordt, gaat nergens over.
26-03-2010, 09:41 door
spatieman
@Mathijsk
er staat, theoretisch...
en zelf DNS records van smtp servers kunnen worden gemanipuleerd.
er staat, theoretisch...
en zelf DNS records van smtp servers kunnen worden gemanipuleerd.
Door mathijsk:
En natuurlijk óók als je gebruik maakt van gmail of een cloudtoestand. da's nu jammer voor alle hype verkopers....
"Wanneer je nu een bedrijf in Japan zou mailen, heb je wel kans dat het dataverkeer langs een chinese exchange komt, dan heb je er wel kans op. Maar wat er nu in het artikel geblaat wordt, gaat nergens over.
En natuurlijk óók als je gebruik maakt van gmail of een cloudtoestand. da's nu jammer voor alle hype verkopers....
En dat hebben de chinezen helemaal zelf gedaan?
Overigens misschien het punt om globaal gpg te gaan gebuiken allemaal?
(dan kunnen ze de mails in ieder geval niet meer lezen, hoewel ik dat nog betwijfel door die vreemde taal van hun)
Overigens misschien het punt om globaal gpg te gaan gebuiken allemaal?
(dan kunnen ze de mails in ieder geval niet meer lezen, hoewel ik dat nog betwijfel door die vreemde taal van hun)
Toen dit in januari van 2010 gebeurde in oa de regio Oceania werden dit soort dingen ook afgedaan als foutjes, maar het was toen ook al vrij selectief. Mensen die dit niet geloven moeten maar eens gaan zoeken bij nieuwssite van oa Nieuw Zeeland.
26-03-2010, 16:26 door
mathijsk
@spatieman:
Het voorbeeld trekt gewoon nergens op. DNS gegevens kunnen worden gemanipuleerd ja, alleen komt het dns verkeer in dit voorbeeld ook Nederland niet uit als alle betrokken partijen in Nederland hosten.
Daarom vind ik het voorbeeld waardeloos en enkel bedoeld om het artikel aan te dikken voor lezers hier zonder enig verstand van zaken wat betreft deze materie. Dat is iets wat hier jammergenoeg wel vaker voor komt.
In het gestelde voorbeeld is het in plaats van "theroretisch mogelijk" eerder "onwaarschijnlijk". Oftewel, "geblaat"!
De kop is dus ook zwaar onzin.
Het voorbeeld trekt gewoon nergens op. DNS gegevens kunnen worden gemanipuleerd ja, alleen komt het dns verkeer in dit voorbeeld ook Nederland niet uit als alle betrokken partijen in Nederland hosten.
Daarom vind ik het voorbeeld waardeloos en enkel bedoeld om het artikel aan te dikken voor lezers hier zonder enig verstand van zaken wat betreft deze materie. Dat is iets wat hier jammergenoeg wel vaker voor komt.
In het gestelde voorbeeld is het in plaats van "theroretisch mogelijk" eerder "onwaarschijnlijk". Oftewel, "geblaat"!
De kop is dus ook zwaar onzin.
@MathijsK:
Het verhaal is wel onwaarschijnlijk en vergezocht, maar je uitleg en stelling dat ook DNS verkeer Nederland niet uitkomt is niet helemaal juist. Of in elk geval niet 100% gegarandeerd.
Bijna altijd zal de query inderdaad niet (ver) buiten Nederland komen,maar het kan zo af en toe wel.
SIDN is geen root server, maar een (cc) TLD (country code Top Level Domein). De NS servers van .nl worden gevonden door een query aan de root DNS servers ( de . ) .
De .nl TLD servers (waarvan er 1 trouwens in Frankrijk staat) geven weer de NS records voor het slagerijvandervalk.nl voorbeeld. En die DNS servers geven dan de MX naam. (niet noodzakelijkerwijs meteen ook het A record van de MX naam. dat kan nog een query nodig hebben).
De resolver (van je hoster of ISP) gaat dus zo af en toe naar de root servers toe voor de NS records van .nl .
Er zijn 13 rootserver netwerken, maar die worden ge-anycast. Er zijn dus een hoop meer dan 13 rootserver instances.
(anycast : netwerk prefix op meerdere plekken announcen).
Een query richting een bepaalde rootserver komt automagisch uit op de (routing technisch) "dichtsbijzijnde" instance ervan.
In elk geval 1 instance (van i.root-servers.net) staat echt in China.
Het is echt niet waarschijnlijk dat een query in Nederland naar i-root op de Chinese instance uitkomt, maar het zou soms kunnen, als andere prefix injecties net even klapperen of down zijn, maar voor de afstand (fysiek en netwerk technisch) tussen NL en CN zal dat zelden of nooit gebeuren. Vanuit landen die dichter bij China liggen komt het dus blijkbaar wel voor dat de Chinese i-root instance gekozen wordt.
Dit is allemaal normaal en valide.
Op dat moment is een DNS query dus buiten Nederland, als die inderdaad op de Chinese i-root instance uitkomt zou die in China door de firewall gemanipuleerd kunnen worden.
Hypothetisch om een andere NS voor .nl terug te geven, die een ander ip en naam (in China) geeft als NS en daarna MX voor slagerijvandervalk.nl
Inderdaad heel vergezocht voor de situatie tussen in .nl gehoste domeinen en nameservers.
Maar DNS resolution , ook voor "allemaal NL namen" gaat zo af en toe via een root-server die "erg vaak", maar niet 100% gegarandeerd, uitkomt op een root instance "dichtbij";
(nu bv komt een query naar d-root vanuit NL voor mij uit in umd.edu op 100 msec. En g-root in Duitsland op 50 msec).
Kortom, ja onwaarschijnlijk, ja erg onwaarschijnlijk voor een voorbeeld van .nl naar .nl , maar nee, een stukje DNS verkeer komt wel degelijk (ook voor .nl naar .nl ) zo af en toe buiten Nederland, wanneer een resolver de NS records voor .nl moet refreshen en dat via een root server doet waarbij de betreffende root uitkomt bij een instance die buiten NL staat.
Het verhaal is wel onwaarschijnlijk en vergezocht, maar je uitleg en stelling dat ook DNS verkeer Nederland niet uitkomt is niet helemaal juist. Of in elk geval niet 100% gegarandeerd.
Bijna altijd zal de query inderdaad niet (ver) buiten Nederland komen,maar het kan zo af en toe wel.
SIDN is geen root server, maar een (cc) TLD (country code Top Level Domein). De NS servers van .nl worden gevonden door een query aan de root DNS servers ( de . ) .
De .nl TLD servers (waarvan er 1 trouwens in Frankrijk staat) geven weer de NS records voor het slagerijvandervalk.nl voorbeeld. En die DNS servers geven dan de MX naam. (niet noodzakelijkerwijs meteen ook het A record van de MX naam. dat kan nog een query nodig hebben).
De resolver (van je hoster of ISP) gaat dus zo af en toe naar de root servers toe voor de NS records van .nl .
Er zijn 13 rootserver netwerken, maar die worden ge-anycast. Er zijn dus een hoop meer dan 13 rootserver instances.
(anycast : netwerk prefix op meerdere plekken announcen).
Een query richting een bepaalde rootserver komt automagisch uit op de (routing technisch) "dichtsbijzijnde" instance ervan.
In elk geval 1 instance (van i.root-servers.net) staat echt in China.
Het is echt niet waarschijnlijk dat een query in Nederland naar i-root op de Chinese instance uitkomt, maar het zou soms kunnen, als andere prefix injecties net even klapperen of down zijn, maar voor de afstand (fysiek en netwerk technisch) tussen NL en CN zal dat zelden of nooit gebeuren. Vanuit landen die dichter bij China liggen komt het dus blijkbaar wel voor dat de Chinese i-root instance gekozen wordt.
Dit is allemaal normaal en valide.
Op dat moment is een DNS query dus buiten Nederland, als die inderdaad op de Chinese i-root instance uitkomt zou die in China door de firewall gemanipuleerd kunnen worden.
Hypothetisch om een andere NS voor .nl terug te geven, die een ander ip en naam (in China) geeft als NS en daarna MX voor slagerijvandervalk.nl
Inderdaad heel vergezocht voor de situatie tussen in .nl gehoste domeinen en nameservers.
Maar DNS resolution , ook voor "allemaal NL namen" gaat zo af en toe via een root-server die "erg vaak", maar niet 100% gegarandeerd, uitkomt op een root instance "dichtbij";
(nu bv komt een query naar d-root vanuit NL voor mij uit in umd.edu op 100 msec. En g-root in Duitsland op 50 msec).
Kortom, ja onwaarschijnlijk, ja erg onwaarschijnlijk voor een voorbeeld van .nl naar .nl , maar nee, een stukje DNS verkeer komt wel degelijk (ook voor .nl naar .nl ) zo af en toe buiten Nederland, wanneer een resolver de NS records voor .nl moet refreshen en dat via een root server doet waarbij de betreffende root uitkomt bij een instance die buiten NL staat.
27-03-2010, 11:13 door
[Account Verwijderd]
[Verwijderd]
27-03-2010, 17:43 door
mathijsk
Ok, bedankt voor de verbetering en duidelijke uitleg, maar dan nog blijft het zo onwaarschijnlijk dat mijn standpunten ten opzichte van de kop van het artikel en het voorbeeld ongewijzigd blijven.
Gut ZÉGT Men Hiér Iets Over China en de ROL van Westerse veiligheidsdiensten wordt Men wég gecensureert ???
Ìs security.nl Wél ZÒ secure Èn NL ???
`K GÀ jullie Eens Lekker Over Internet Rollen Wánt Áls ZÓ ìets Wordt wég gehááld Is hét Tót NÚ Àltijd Prijs Gewéést !
Ìs security.nl Wél ZÒ secure Èn NL ???
`K GÀ jullie Eens Lekker Over Internet Rollen Wánt Áls ZÓ ìets Wordt wég gehááld Is hét Tót NÚ Àltijd Prijs Gewéést !
Niet in de VS????
Lees dit eens: de door J.D. Rockefeller ingediende bill s.773 --> cybersecurity act
http://www.govtrack.us/congress/billtext.xpd?bill=s111-773
There are a bunch of cybersecurity bills trickling through Congress right now; some of them several years in the making. Senator Rockefeller’s Cybersecurity Act of 2010(S.773) is deemed the most likely to get voted on by the Senate as it was just unanimously passed through the Senate Committee that he chairs, Commerce Science and Transportation.
(...) would allow the president to "declare a cybersecurity emergency" relating to "non-governmental" computer networks and do what's necessary to respond to the threat. Other sections of the proposal include a federal certification program for "cybersecurity professionals," and a requirement that certain computer systems and networks in the private sector be managed by people who have been awarded that license.
Lees dit eens: de door J.D. Rockefeller ingediende bill s.773 --> cybersecurity act
http://www.govtrack.us/congress/billtext.xpd?bill=s111-773
There are a bunch of cybersecurity bills trickling through Congress right now; some of them several years in the making. Senator Rockefeller’s Cybersecurity Act of 2010(S.773) is deemed the most likely to get voted on by the Senate as it was just unanimously passed through the Senate Committee that he chairs, Commerce Science and Transportation.
(...) would allow the president to "declare a cybersecurity emergency" relating to "non-governmental" computer networks and do what's necessary to respond to the threat. Other sections of the proposal include a federal certification program for "cybersecurity professionals," and a requirement that certain computer systems and networks in the private sector be managed by people who have been awarded that license.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
