image

"NSA kan versleuteld internetverkeer kraken"

donderdag 5 september 2013, 22:46 door Redactie, 28 reacties

De Amerikaanse en Britse inlichtingendiensten zijn in staat om via HTTPS versleuteld internetverkeer te kraken, daarnaast zou de NSA backdoors aan commerciële encryptiesoftware toevoegen en internationale encryptie- en beveiligingsstandaarden in het geheim beïnvloeden.

Dat laat de Guardian vanavond weten. De Britse krant baseert zich op documenten van klokkenluider Edward Snowden. Daaruit blijkt dat de inlichtingendiensten verschillende mogelijkheden hebben om versleuteld verkeer te ontsleutelen. Het gaat onder andere om "geheime maatregelen" waarbij de NSA invloed op internationale encryptiestandaarden uitoefent, het gebruik van supercomputers om middels "brute force" de encryptie te kraken en het best bewaarde geheim, de samenwerking met internetbedrijven en internetproviders.

Uit de documenten blijkt het bestaan van een 10-jarig NSA-programma dat tegen encryptie is gericht, dat in 2010 een doorbraak had en grote hoeveelheden data kon opslaan. Verder blijkt dat de NSA jaarlijks 250 miljoen dollar aan programma's uitgeeft, om onder andere in het geheim de productontwerpen van technologiebedrijven te beïnvloeden.

Doorbraak

"Het afgelopen decennium heeft de NSA een agressieve aanpak gehanteerd om veelgebruikte online encryptietechnologieën te kraken", zo staat in een document van de Britse inlichtingendienst GCHQ. "Grote hoeveelheden versleutelde internetdata die voorheen werden genegeerd, zijn nu te exploiteren." Britse analisten die de voortgang van de NSA zagen zouden "ondersteboven" zijn, aldus een interne memo.

De doorbraak van de NSA werd niet in detail beschreven, maar zou inhouden dat de inlichtingendiensten grote hoeveelheden data kunnen opslaan die via glasvezelkabels worden verstuurd en de encryptie ervan kunnen kraken, ondanks de garanties van internetbedrijven dat de gegevens versleuteld zouden zijn.

Ontwerp

Ondanks de inzet van supercomputers is de samenwerking met technologiebedrijven het belangrijkste wapen van de NSA tegen encryptie. Om welke bedrijven het precies gaat is echter onbekend. De programma's zouden onder andere bedoeld zijn om "kwetsbaarheden aan commerciële encryptiesystemen toe te voegen." Deze backdoors zouden alleen bij de NSA bekend zijn, terwijl "consumenten en andere vijanden" zouden denken dat de veiligheid van het systeem intact is, zo is in het document te lezen.

Uit een ander document komt naar voren dat de NSA in het geheim een eigen versie van een voorgestelde beveiligingsstandaard kreeg goedgekeurd door het Amerikaanse National Institute of Standards and Technology (NIST). Dit zou in 2006 zijn gebeurd. "Uiteindelijk werd de NSA de enige redacteur", zo laat het document weten.

De inlichtingendiensten zouden nog niet alle encryptietechnologieën hebben gekraakt, zo komt uit de documenten naar voren. Iets wat Snowden al in juni bevestigde. "Encryptie werkt. Goed geïmplementeerde, sterke cryptografische systemen zijn één van de weinige dingen waar je op kunt vertrouwen", aldus de klokkenluider.

Image

Reacties (28)
05-09-2013, 23:34 door Anoniem
Iets zegt me dat dit weleens FUD zou kunnen zijn. Misschien zijn ze wel in staat om https verbindingen af te luisteren maar dat komt waarschijnlijk omdat de grote CA's hun rootcertificaten 'te leen' hebben gegeven. Tja, dan is het niet zo heel erg moeilijk meer. Daarnaast krijgen ze voldoende hulp van Microsoft om in computers met Windows te kunnen inbreken. Ik verwacht dat een groot aantal anti-virus bedrijven meewerken om de achterdeuren uit de scans te houden. Het levert genoeg op en het zal verder niemand opvallen want iedereen vertrouwd de virusscanner wel.
Het is een rare wereld waar we in leven momenteel en alles waar we van dachten dat we het konden vertrouwen stort zo langzamerhand door leugens en bedrog als een kaartenhuis in elkaar tot onze eigen overheid aan toe.
06-09-2013, 01:02 door steve sh1t
Wie wist dit niet?!?

Maar je moet dit wel relativeren, want veel mensen denken dat ze een hele unieke superster in hun eigen unieke (social media) film zijn.

Maar de waarheid is: de NSA met haar PRISM* is echt niet geïnteresseerd in jouw saaie leven.
06-09-2013, 03:23 door Anoniem
In hoeverre kan ik nu SE-Linux vertrouwen?
06-09-2013, 07:17 door Anoniem
@
Door steve sh1t: Wie wist dit niet?!?

Het vermoeden is er al jaren maar er komen steeds meer 'bewijzen' naar boven dat dit ook werkelijk het geval is en gebeurd.
Dus ook jij WIST dit niet.
06-09-2013, 08:21 door Anoniem
Nee, Steve daar gaat het niet echt om.
Dat geloof ik ook niet.
Het feit is; Niets wat je via de Computer is privé.
Daar zijn een boel mensen zich niet van bewust.

Privé is alleen wanneer je het opschrijft in een schriftje.
06-09-2013, 08:50 door Anoniem
Het is niet omdat ze niets met je gegevens doen , dat het daarom maar acceptabel is.
Maar ja 'de omgekeerde wereld' draait weer rustig verder...
06-09-2013, 09:51 door Anoniem
Het komt er in elk geval op neer dat in elk geval geen enkel commercieel encryptie programma die gevestigd is in de VS nog kan worden vertrouwd.
06-09-2013, 09:54 door [Account Verwijderd]
Door steve sh1t:
Maar je moet dit wel relativeren, want veel mensen denken dat ze een hele unieke superster in hun eigen unieke (social media) film zijn.

Dit klopt, maar wanneer weet je dan als de NSA (of ander dergelijk instantie) achter je aan zit?
IMO is het toch altijd handig om encryptie te gebruiken, zoals Full Disk Encryption of in ieder geval truecrypt op belangrijke bestanden/mappen
06-09-2013, 10:27 door Anoniem
Door bbecko:
Door steve sh1t:
Maar je moet dit wel relativeren, want veel mensen denken dat ze een hele unieke superster in hun eigen unieke (social media) film zijn.

Dit klopt, maar wanneer weet je dan als de NSA (of ander dergelijk instantie) achter je aan zit?
IMO is het toch altijd handig om encryptie te gebruiken, zoals Full Disk Encryption of in ieder geval truecrypt op belangrijke bestanden/mappen

Als jij een normaal leven leidt zal er geen inlichtingendienst in je geïnteresseerd zijn. Op het moment dat jij rare/afwijkende dingen gaat doen veranderd dat. Bijvoorbeeld als het twitter account van een Samir A. gaat volgen.
06-09-2013, 10:45 door MI-10
Vlak na de onthullingen van Snowden dacht ik: " ik vertrouw niets meer, geen encryptie, niets!"

Mijn onderbuikgevoel had het dus aan het rechte eind.
06-09-2013, 11:31 door Anoniem
Waarom duurt het zo lang voordat TLS1.2 in alle browsers en webservers zit?
06-09-2013, 11:52 door hx0r3z
Door Anoniem: In hoeverre kan ik nu SE-Linux vertrouwen?

SE-Linux is alleen een besturingssysteem. Whatever jij doet ook HTTPS Tor, en VPN kunnen ze kraken.
06-09-2013, 12:29 door steve sh1t
Door Anoniem: @
Door steve sh1t: Wie wist dit niet?!?

Het vermoeden is er al jaren maar er komen steeds meer 'bewijzen' naar boven dat dit ook werkelijk het geval is en gebeurd.
Dus ook jij WIST dit niet.

Bewijzen? Snowden heeft maar drie maanden als contractor voor de NSA gewerkt, dan weet je nog niet eens een wc in NSA headquarters te vinden, waarschijnlijk heeft meneer Snowden zelf deze "bewijzen" in elkaar geknutseld.

Laat de media eerst maar eens met bewijzen komen dat dit echte documenten van de NSA zijn.
06-09-2013, 13:57 door schele
Door steve sh1t:

Bewijzen? Snowden heeft maar drie maanden als contractor voor de NSA gewerkt, dan weet je nog niet eens een wc in NSA headquarters te vinden, waarschijnlijk heeft meneer Snowden zelf deze "bewijzen" in elkaar geknutseld.

Laat de media eerst maar eens met bewijzen komen dat dit echte documenten van de NSA zijn.

Kom, nu begin je onzin te praten. Als ik 1 dag een pen test doe bij een klant en ik vind gevoelige documenten zijn het geen authentieke gevoelige documenten omdat ik de WC niet weet te vinden?

Die docs van Snowden zijn zo authentiek als maar zijn kan, en iedereen die daaraan twijfelt is een gebrainwasht popje.
06-09-2013, 14:04 door Anoniem
Door Anoniem: @
Door steve sh1t: Wie wist dit niet?!?

Het vermoeden is er al jaren maar er komen steeds meer 'bewijzen' naar boven dat dit ook werkelijk het geval is en gebeurd.
Dus ook jij WIST dit niet.

Als je zo gaat beginnen dan WEET je het nu nog steeds niet. Het punt is, encryptie breken is precies wat de NSA al decennia doet, het hele artikel is dus *weer* kansloze FUD van dezelfde bron. En weer "vergeten" de journalisten in kwestie dat deze vergaring gewoon via de interne protocollen verloopt en juridisch prima in orde is.

Ondertussen is ook al duidelijk geworden dat Snowden eerst met de entourage van wikileaks in contact kwam, en daarna pas bij een NSA contractor is gaan werken specifiek met de bedoeling om daar rond te gaan neuzen in plekken waarvoor hij geen autorisatie had.

Gezien het feit dat wikileaks praktisch een soort front voor de russische geheime dienst is geworden, zal het niemand ook verbazen dat Snowden in Hong Kong al contact heeft gehad met russische geheim agenten. (bron: Putin).

Het lijkt er dus gewoon op dat Snowden simpelweg Putin's sukkel is, dit zelf vermoedelijk niet eens doorheeft, en ondertussen zo'n beetje de meest succesvolle spionage missie van na de koude oorlog voor de Russen heeft uitgevoerd.

En ondertussen de kansloze naieve hippies in het westen maar denken dat de NSA de bad guy in dit alles. Post vooral je hele leven en vriendenkring rustig verder op facebook en twitter zou ik zeggen.
06-09-2013, 14:25 door Anoniem
Door Anoniem:
Door bbecko:
Door steve sh1t:
Maar je moet dit wel relativeren, want veel mensen denken dat ze een hele unieke superster in hun eigen unieke (social media) film zijn.

Dit klopt, maar wanneer weet je dan als de NSA (of ander dergelijk instantie) achter je aan zit?
IMO is het toch altijd handig om encryptie te gebruiken, zoals Full Disk Encryption of in ieder geval truecrypt op belangrijke bestanden/mappen

Als jij een normaal leven leidt zal er geen inlichtingendienst in je geïnteresseerd zijn. Op het moment dat jij rare/afwijkende dingen gaat doen veranderd dat. Bijvoorbeeld als het twitter account van een Samir A. gaat volgen.

De grote uitdaging achter wat vandaag normaal is kan morgen in eens abnormaal en interresant gevonden worden.
Stel je volgt Premier Rutte op twitter en deze blijkt in ene toch verbonden te zijn met een softdrugs netwerk Nederland, dan kun jij ook onverwacht interressant zijn.
06-09-2013, 14:28 door steve sh1t
Door schele:
Door steve sh1t:

Bewijzen? Snowden heeft maar drie maanden als contractor voor de NSA gewerkt, dan weet je nog niet eens een wc in NSA headquarters te vinden, waarschijnlijk heeft meneer Snowden zelf deze "bewijzen" in elkaar geknutseld.

Laat de media eerst maar eens met bewijzen komen dat dit echte documenten van de NSA zijn.

Kom, nu begin je onzin te praten. Als ik 1 dag een pen test doe bij een klant en ik vind gevoelige documenten zijn het geen authentieke gevoelige documenten omdat ik de WC niet weet te vinden?

Die docs van Snowden zijn zo authentiek als maar zijn kan, en iedereen die daaraan twijfelt is een gebrainwasht popje.

Waaruit blijkt dan dat die documenten authentiek zijn?
06-09-2013, 14:32 door Anoniem
Door steve sh1t: Snowden heeft maar drie maanden als contractor voor de NSA gewerkt, dan weet je nog niet eens een wc in NSA headquarters te vinden, waarschijnlijk heeft meneer Snowden zelf deze "bewijzen" in elkaar geknutseld.

Laat de media eerst maar eens met bewijzen komen dat dit echte documenten van de NSA zijn.
Dan heeft de man wel heel wat geknutseld aangezien het om duizenden documenten gaat. Het gedeelte van Greenwald's partner wat decrypted is waren duizenden documenten, en dat is dan geen claim van het Snowden kamp maar van het NSA kamp.

Als je vermoed dat Snowden niet de waarheid spreekt neem je denk ik ook niet dat je snel overtuigd bent door claims vanuit zijn kant. Dan zou ik zeggen: laat het NSA kamp maar bewijzen dat het geen echte documenten zijn. Voorlopig doen ze het tegenovergestelde.
06-09-2013, 15:03 door Anoniem
Door MI-10: Vlak na de onthullingen van Snowden dacht ik: " ik vertrouw niets meer, geen encryptie, niets!"

Mijn onderbuikgevoel had het dus aan het rechte eind.

Ook het geheime schriftje gaat niet werken natuurlijk. Je bent nergens veilig. Heb je je gordijnen een keer niet dicht dan kan de buurman je filmen op afstand. Wie weet heeft de loodgieter wel een cameraatje geinstalleerd in je badkamer, just for fun. Val je van je fiets dan wordt je gelijk met je giegel op Youtube geplaatst "lache man, kijk, hier spuugt hij twee tanden uit".

Zelfs KPN maakt reclame om je huisgenoten publiekelijk voor gek te zetten (Kijk mijn zoon is bang bij het parachutespringen). Eigenlijk nodigt dit filmpje uit tot je vader afschieten, en het staat ook compleet haaks op al die zodoende nogal hypocriete campagnes tegen pesten, maar goed.
Het is duidelijk dat niemand meer respect voor jouw persoonlijke levenssfeer heeft, want alles moet en kan op Internet. Verhaal halen helpt niet. Schaamte of behoefte aan privacy is voor losers.
We hebben geen Stasi nodig want we maken gewoon alles van iedereen openbaar. Waarom zou je medemens recht op privacy hebben? Dat is toch ongezellig? En het is altijd zijn eigen schuld, want als je slachtoffer bent zul je het wel verdiend hebben. Dan had je ook maar... vul maar in.

En denk eraan: ook een paranoïde mens heeft echte vijanden.
06-09-2013, 15:11 door Anoniem
@ steve sh1t
Heb je wel op de reactie van de inlichtingendiensten gelet? Als dit allemaal onzin was zouden ze nu niet in paniek zijn.
06-09-2013, 15:20 door Anoniem
Door steve sh1t: Wie wist dit niet?!?

Maar je moet dit wel relativeren, want veel mensen denken dat ze een hele unieke superster in hun eigen unieke (social media) film zijn.

Maar de waarheid is: de NSA met haar PRISM* is echt niet geïnteresseerd in jouw saaie leven.

Ik wist het ook allang, maar iedereen verklaarde me voor gek...en dan ga je op een gegeven moment toch ook aan jezelf twijfelen...of nee dat niet, maar ik hield dan maar gewoon me bek erover...

Zelfde met andere USA shit zoals de maanlanding, 911 en boston, maar zelfs nu durf ik daar nog me mening niet over uit te spreken uit een soort van "angst" dat andere me uitlachen.
Misschien juist een tip voor die "andere" om dingen niet zomaar te bestempelen als onzin en niet direct de messenger voor idioot uit te maken. Probeer zelf na te denken en als eigen geen idee hebt, zeg dat dan ook. Maar het is zo makkelijk meelullen met de rest he.
06-09-2013, 16:12 door Anoniem
Afgaande op wat er nu bekend is vermoed ik dat de NSA RC4-encrytptie kan kraken. In RC4 zijn in 2013 ernstige veiligheidsproblemen gevonden, zie https://www.security.nl/posting/40401/Onderzoekers+kraken+RC4-encryptie en https://www.security.nl/posting/40577/NCSC+waarschuwt+voor+RC4+encryptiealgoritme.

Bovendien stelt het artikel in the Guardian dat "een GCHQ team gewerkt heeft aan het ontwikkelen van manieren om toegang te krijgen tot versleuteld verkeer van de "grote vier" dienstaanbieders, genoemd als Hotmail, Google, Yahoo en Facebook."

RC4 wordt of werd gebruik door Gmail (recent verbeterd met perfect forward secrecy en 2048-bit certificaten), Outlook.com (voorheen Hotmail) (standaard onversleuteld voor zover ik weet, volledige encryptie is pas mogelijk sinds 2011 https://www.security.nl/posting/32806/SSL-encryptie+voor+Windows+Live+Mail), Yahoo! Mail (https://www.ssllabs.com/ssltest/analyze.html?d=mail.yahoo.com&s=209.191.122.42; full-session SSL is pas sinds januari dit jaar (http://nakedsecurity.sophos.com/2013/01/08/yahoo-mail-https-ssl/)) en Facebook.
06-09-2013, 16:12 door 0101
Afgaande op wat er nu bekend is vermoed ik dat de NSA RC4-encrytptie kan kraken. In RC4 zijn in 2013 ernstige veiligheidsproblemen gevonden, zie https://www.security.nl/posting/40401/Onderzoekers+kraken+RC4-encryptie en https://www.security.nl/posting/40577/NCSC+waarschuwt+voor+RC4+encryptiealgoritme.

Bovendien stelt het artikel in the Guardian dat "een GCHQ team gewerkt heeft aan het ontwikkelen van manieren om toegang te krijgen tot versleuteld verkeer van de "grote vier" dienstaanbieders, genoemd als Hotmail, Google, Yahoo en Facebook."

RC4 wordt of werd gebruik door Gmail (recent verbeterd met perfect forward secrecy en 2048-bit certificaten), Outlook.com (voorheen Hotmail) (standaard onversleuteld voor zover ik weet, volledige encryptie is pas mogelijk sinds 2011 https://www.security.nl/posting/32806/SSL-encryptie+voor+Windows+Live+Mail), Yahoo! Mail (https://www.ssllabs.com/ssltest/analyze.html?d=mail.yahoo.com&s=209.191.122.42; full-session SSL is pas sinds januari dit jaar (http://nakedsecurity.sophos.com/2013/01/08/yahoo-mail-https-ssl/)) en Facebook.
07-09-2013, 18:38 door Anoniem
Door Anoniem: Het komt er in elk geval op neer dat in elk geval geen enkel commercieel encryptie programma die gevestigd is in de VS nog kan worden vertrouwd.

Dat is dus inclusief PGP ??
09-09-2013, 15:50 door Joepf
Wil je echt zeker zijn dat je niet gehackt wordt? Stuur dan niets over Internet! Of stuur het zo dat het er uit ziet als een onschuldig bestandje, bijvoorbeeld een foto. Als je een foto in RAW formaat verstuurt, en in een paar van de minst belangrijke bits informatie verstopt, zie je dat niet op de afbeelding, het lijkt op ruis op de opname. Het is natuurlijk ondoenlijk voor de NSA om ALLE foto's die over Internet gaan, op dergelijke geheime berichten te scannen. Het is nagenoeg niet te ontdekken, en als je begint met het te versleutelen voordat je het aan de foto toevoegt, dan is het NOG moeilijker om iets te herkennen!
Dit procedé heet Steganografie: Verborgen schrijven, en is allang bekend, maar het is nagenoeg onmogelijk om het te ontdekken! Een foto is een lekker groot bestand, zeker in RAW formaat. En natuurlijk kun je beginnen met een aantal blokken pure random data, zodat het nog lastiger wordt. De ontvanger moet natuurlijk wel weten wat hij er mee moet doen, dat zou ik ook NIET over Internet doorgeven! Per telefoon is al veel veiliger. Maar persoonlijk is natuurlijk het allerbeste.
Zo is het mogelijk NSA te slim af te zijn. Ik heb zelf geen geheimen die voor de NSA interessant zullen zijn, maar ik vind het een hele sport om hun spionage te bestrijden!
Encryptie verbieden zal dan ook niet gemakkelijk zijn. Je kunt zo gemakkelijk iets over Internet doorgeven. Zelfs in een gewone leesbare tekst kan verborgen info zijn verstopt, al moet je daar wel veel moeite voor doen. Encryptie herkennen is al een probleem als deze techniek algemeen zou worden. In elke foto KAN verborgen informatie zitten, maar het hoeft niet! Alleen alles volledig onderzoeken, zou een kleine kans opleveren dat er encryptie wordt gevonden, maar daarmee zijn ze er nog niet: Het moet daarna nog ontsleuteld worden, voor ze er iets mee kunnen doen! Een aantal foto's opsturen, waarvan er maar 1 of 2 versleutelde informatie bevatten, de rest niet, dan wordt het nog lastiger.
12-09-2013, 03:52 door Anoniem
Door hx0r3z:
Door Anoniem: In hoeverre kan ik nu SE-Linux vertrouwen?

SE-Linux is alleen een besturingssysteem. Whatever jij doet ook HTTPS Tor, en VPN kunnen ze kraken.

kun jij in het kort expliciteren hoe ze TOR kraken (ik ken het bij theorie en het schijnt dat de Duitse inlichtingendienst dit al kan, zo ook de harde schijven wissen op afstand) maar van jou wil ik het mechanisme horen hoe dit precies in z'n werk gaat.

tordev.
12-09-2013, 20:42 door Anoniem
Door Joepf:
Dit procedé heet Steganografie: Verborgen schrijven, en is allang bekend, maar het is nagenoeg onmogelijk om het te ontdekken! Een foto is een lekker groot bestand, zeker in RAW formaat. En natuurlijk kun je beginnen met een aantal blokken pure random data, zodat het nog lastiger wordt. De ontvanger moet natuurlijk wel weten wat hij er mee moet doen, dat zou ik ook NIET over Internet doorgeven! Per telefoon is al veel veiliger.

bestanden die zijn bewerkt met steganografische software zijn soms te herkennen in filters. Ik zou overigens ook niet de telefoon gebruiken aangezien het publiek en masse aan den ULI tappunten is gebonden. Gebruik maken van steganografie is jezelf verdacht maken aangezien deze methode door echte terroristen is gebruikt.
26-09-2013, 10:20 door Anoniem
Ok, https is dus achterhaald. Wat betekent dat voor het TOR netwerk?

Zou de huidige Rijndael american encryption standard (AES) nog veilig zijn? En serpent/twofish?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.