NSA tapte mogelijk glasvezelkabels die Google gebruikte
De Amerikaanse inlichtingendienst NSA heeft mogelijk de glasvezelkabels getapt die Google en Yahoo tussen hun datacentra gebruiken, om zo toegang tot de gegevens van de internetbedrijven te krijgen. Dat meldt de New York Times vandaag.
Onlangs werd bekend dat de NSA de verbindingen aftapte die tussen de datacentra van Google en tussen de datacentra van Yahoo lopen. Mensen met kennis van de infrastructuur van zowel Google als Yahoo denken dat de NSA beide bedrijven heeft overgeslagen en direct voor de glasvezelkabel ging waarover alle data loopt. De grootste verdachte is backboneprovider Level 3, die zowel aan Google als Yahoo diensten levert.
De informatie van Google en Yahoo die over de glasvezelkabels van Level 3 liep was onversleuteld en daardoor een eenvoudiger doelwit om te worden afgetapt, aldus anonieme bronnen tegenover de Amerikaanse krant. Vanwege de onthullingen hebben zowel Google als Yahoo de verbindingen tussen de datacentra versleuteld.
Overeenkomst
Level 3 wilde niet reageren op de claims dat het de NSA mogelijk toegang tot de glasvezelkabels heeft gegeven. Wel stelt het bedrijf dat het zich aan de wet houdt van de landen waar het opereert. Daarnaast laat Level 3 weten dat het een overeenkomst met het Amerikaanse Ministerie van Homeland Security, Justitie en Defensie heeft om te helpen bij zaken die betrekking op de nationale veiligheid en wetshandhaving hebben.
Welke relevantie heeft dat, buiten het opwekken van een vals gevoel van veiligheid ? De Amerikaanse overheid kan de decryption keys immers zo vorderen, met een national security letter, zonder dat deze bedrijven hier iets over bekend mogen maken. Deze maatregel is volstrekt nutteloos als middel tegen NSA surveillance.
Welke relevantie heeft dat, buiten het opwekken van een vals gevoel van veiligheid ? De Amerikaanse overheid kan de decryption keys immers zo vorderen, met een national security letter, zonder dat deze bedrijven hier iets over bekend mogen maken. Deze maatregel is volstrekt nutteloos als middel tegen NSA surveillance.
Welke relevantie heeft dat, buiten het opwekken van een vals gevoel van veiligheid ? De Amerikaanse overheid kan de decryption keys immers zo vorderen, met een national security letter, zonder dat deze bedrijven hier iets over bekend mogen maken. Deze maatregel is volstrekt nutteloos als middel tegen NSA surveillance.
Dat in ieder geval google en Yahoo weten wat er op hun netwerken gebeurd, en niet dat de NSA via een third party in de data loopt te grutten.
Iets is pas veilig als de gehele keten veilig is, en dit een schakel in die keten.
Welke relevantie heeft dat, buiten het opwekken van een vals gevoel van veiligheid ? De Amerikaanse overheid kan de decryption keys immers zo vorderen, met een national security letter, zonder dat deze bedrijven hier iets over bekend mogen maken. Deze maatregel is volstrekt nutteloos als middel tegen NSA surveillance.
Er zijn twee redenen waarom dit relevant is. In de eerste plaats zal een rechter nooit toestaan dat een key van Google wordt gevorderd waarmee al het verkeer wordt ontsleuteld. Dat zou namelijk betekenen dat de NSA ook bij informatie van Amerikanen kan komen en dat mag niet. Door bij Level 3 aan te kloppen en de tap buiten Amerika te zetten, kan de NSA (tegenover de digibeten van de Amerikaanse overheid) volhouden dat het percentage Amerikanen dat getapt wordt, minimaal is.
De tweede reden dat de versleuteling relevant is, is het gebruik van Perfect Forward Secrecy. Daarbij heeft het geen zin meer om de sleutels te kennen.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
