Security Professionals - ipfw add deny all from eindgebruikers to any

Sta ik onder overheids surveillance?

05-01-2015, 14:16 door sloepie, 43 reacties
Sinds gisteren krijg ik bij een bepaalde (https) site https://max-portal.elv.de opeens een certificaat fout melding. ssl_error_bad_cert_domain

In eerste instantie dacht ik dat hun certificaat verlopen was maar dat is nog tot 2018 geldig. Toen ik het vervolgens via mijn 4g KPN internet aansluiting probeerde kreeg ik daar echter ook een certificaat fout.

Maar toen ik het daarna bij een van mijn buren probeerde kreeg ik daar geen certificaat fout! En ook de website zelf zegt dat niemand anders een dergelijk probleem heeft gemeld.

Dat begint voor mijn gevoel toch wel enigszins op een op mij persoonlijk gerichte man-in-the-middel attack te lijken.

Dit des te meer omdat de certificaat fout niet alleen via Mobiel Internet maar ook via mijn normale internet provider (Tele2) en via mijn VPN provider (Private Internet Acces), zowel via Linux, Windows en Android met Firefox, Chromium en Internet Explorer optreedt.

Drie verschillende (persoonlijke) infrastructuren, drie verschillende OS'en en drie verschillende Browsers en allemaal geven ze een certificaat fout. Maar bij mijn buurman met een andere provider treedt de certificaat fout niet op!

Maar websites, zoals o.a. mijn bank en security.nl, die ik gewoonlijk gebruik geven geen certificaat fouten!

Zouden een aantal mensen hier ook eens kunnen kijken of zij misschien ook een certificaat fout krijgen? De website is: https://max-portal.elv.de

Als verder niemand een een certificaat fout krijgt lijkt het wel heel erg op een op mij persoonlijk gerichte man-in-the-middle attack door een overheids instantie omdat het 3 verschillende infrastructuren betreft.

Ook zou het kunnen dat de website zelf gehackt is. Maar waarom ben ik dan de enige die dit probleem heeft?

Iemand enig idee of er nog ander oorzaken voor dit probleem zouden kunnen zijn? Want waarom geeft mijn bank bijvoorbeeld geen certificaat fout? Of het moet zijn dat ik al langer ben gecompromitteerd, maar is me dat niet eerder opgevallen.
Reacties (43)
05-01-2015, 14:32 door Anoniem
Check het common name veld van het certificaat. Dan zal je zien dat het certificaat alleen voor https://www.max-portal.elv.de geldig is. Waarschijnlijk proberen je buren het met www en jij niet.
05-01-2015, 14:32 door Anoniem
Ik krijg die melding ook. Niks aan de hand, het certificaat is alleen geldig voor: https://www.max-portal.elv.de
Dus www ervoor zetten ;)
05-01-2015, 14:33 door Anoniem
Het lijkt er op dat de beheerder van de website max-portal.elv.de niet helemaal snapt hoe ie dat het beste kan regelen. Als ik
https://max-portal.elv.de doe krijg ik idd de de foutmelding. Na even gelezen te hebben wat mijn browser voor een mening had.... https://www.max-portal.elv.de geprobeerd en zonder problemen veder gekomen. Hoogstwaarschijnlijk is het certificaat alleen op het laatste geregistreerd is en niet op het eerste ...........
05-01-2015, 14:34 door Anoniem
Ik krijg de site wel te zien
geen problemen
05-01-2015, 14:40 door Anoniem
Krijg ook de foutmelding.. dus je staat niet onder surveillance -_-
05-01-2015, 14:41 door Anoniem
Een 'gaar' certificaat:

max-portal.elv.de uses an invalid security certificate.
The certificate is only valid for www.max-portal.elv.de (Error code: ssl_error_bad_cert_domain)

www.max-portal.elv.de gaat wel goed.
05-01-2015, 14:41 door Anoniem
Probeer eens https://www.max-portal.elv.de/ in plaats van https://max-portal.elv.de/.
05-01-2015, 14:42 door Anoniem
Ik denk eerder dat je buurman zijn beveiliging vrij open heeft staan, ik krijg ook de melding
van ongeldig certificaat ;-)

------------------------------------------------------------------------------------------------------------------------
max-portal.elv.de gebruikt een ongeldig beveiligingscertificaat.
Het certificaat wordt niet vertrouwd, omdat er geen uitgeversketen is aangeboden.
Het certificaat is alleen geldig voor www.max-portal.elv.de
(Foutcode: sec_error_unknown_issuer)
------------------------------------------------------------------------------------------------------------------------
05-01-2015, 15:00 door sloepie
Hallo Mensen,

Iedereen heel erg bedankt. Het zit hem inderdaad in het ontbreken van www.

Stom van me dat ik daar zelf niet aan heb gedacht en ook niet beter bij de foutmelding heb gelezen. Compleet over dat www.max-portal heen gekeken.

Maar ik ben er inmiddels zo aan gewend om websites zonder www te gebruiken en dat gaat 999 van 1000 keer goed. Vandaar dat ik helemaal niet meer aan die mogelijkheid heb gedacht. Bovendien hebben verreweg de meeste websites ook de optie voor ssl zonder www ingesteld.

Dus nogmaals: Bedankt!
05-01-2015, 15:03 door Anoniem
Nu ben ik nog wel erg benieuwd waarom je denkt dat een "overheids instantie" je zou bekijken en waarom je denkt dat dit dan zou opvallen.
05-01-2015, 16:48 door Anoniem
Ik krijg de melding niet. Waarschijnlijk omdat ik, net als de buurman, verlopen certificaten negeer in mijn browser config ? ;)
05-01-2015, 17:16 door sloepie
Door Anoniem: Nu ben ik nog wel erg benieuwd waarom je denkt dat een "overheids instantie" je zou bekijken en waarom je denkt dat dit dan zou opvallen.

Heel simpel: Omdat er drie verschillende infrastructuren zijn die door mij beheerd worden, te weten mobiel, kabel en VPN (hoewel dat ook via de kabel gaat) zijn er in feite 3 totaal verschillende service providers. En mijn certificaat fout trad bij alle drie de infrastructuren op en ook nog eens bij verschillende OS'en en Browsers.

Als dat slechts bij 1 van de infrastructuren, OS'en of browsers was gebeurd, en bij de andere 2 niet, dan had ik me wel gerealiseerd dat de certificaat fout wel ergens bij mij moest zitten. Maar doordat de fout consequent wel in alle drie mijn eigen infrastructuren optrad, maar bij mijn buurman niet, werd ik volkomen op het verkeerde been gezet.

Immers, een MITMA bij 1 van de providers is op zich nog door een "gewone" hacker te doen, hoewel dat ook niet echt simpel is. Je moet dan wel toegang hebben tot de juiste router van de service provider. Maar 2 providers? Laat staan 3 providers? Terwijl bij mijn VPN ook nog eens de encryptie gekraakt moet worden, of ik geprofileerd moet worden bij de uitgang van de VPN (er gaan bij mijn VPN veel meer gebruikers naar buiten dan ik alleen).

Voor een normale hacker ben ik absoluut niet interessant (of hij moet bij toeval bij me terecht zijn gekomen) laat staan dat hij dat bij alle drie de infrastructuren zou (kunnen) doen.

Daar staat tegenover dat de NSA duidelijk heeft aangegeven dat ze iedereen op de hele wereld willen kunnen volgen en dat Opstelten en Teeven bij voorbaat vinden dat iedere Nederlander een crimineel is en daarom gehackt mag worden.

Ook heeft de NSA al eens gezegd dat je al verdacht bent als je alleen al belangstelling voor Tor hebt, laat staan als je Tor gebruiker bent (gebruik ik slechts zelden) en ik bovendien default VPN in mijn modem altijd aan heb staan, had dat dus wel eens de reden kunnen zijn geweest om mij te hacken.

Van NSA en consorten is immers bekend dat zij op grote schaal toegang hebben tot allerlei knooppunten in de internet infrastructuur van veel providers en dan is de MITMA de optimale methode om iemand ongemerkt af te kunnen luisteren.

In principe ongemerkt, maar er kunnen natuurlijk altijd fouten gemaakt worden bij het instellen daarvan, zoals bijvoorbeeld het niet juist doorgeven van de credentials. En dat is wat ik dacht dat er mogelijk was gebeurd.

Niet dat ik de illusie heb dat ik me echt voor NSA en consorten verborgen kan houden, maar wat hen betreft heb ik iets van "Waarom zou ik het jullie makkelijk maken als het moeilijk kan?" Hoe meer mensen zich zo opstellen, hoe meer moeite ze moeten doen, wat ze weer tijd, computercapaciteit en geld kost.

Nee de belangrijkste reden dat ik me zoveel mogelijk afscherm is bedoeld om hackers en bedrijven zo veel mogelijk op afstand te houden. En wat de bedrijven betreft: het gaat ze geen flikker aan wat ik allemaal op internet uitspook.

Ik heb er weinig behoefte aan om het dubbele voor een vliegticket te moeten betalen als mijn buurman om het simpele feit dat ze weten dat ik meer dan mijn buurman verdien. Of alleen informatie voorgeschoteld krijg waarvan Google vindt dat alleen die informatie voor mij van belang of geschikt is. Ik heb al vaak genoeg meegemaakt dat exact dezelfde zoekvraag op twee verschillende computers van twee verschillende gebruikers totaal verschillende zoekresultaten gaven.

Daarom dus.
05-01-2015, 18:09 door Anoniem
Niet lullig bedoeld maar als je dit soort vragen hier moet stellen ben je echt niet interessant voor de 3-letter diensten. Hooguit voor het UWV ;)
05-01-2015, 19:17 door sabofx
Door Anoniem: Niet lullig bedoeld maar als je dit soort vragen hier moet stellen ben je echt niet interessant voor de 3-letter diensten. Hooguit voor het UWV ;)

len("AIVD") = 4
05-01-2015, 20:04 door Anoniem
@sloepie: 3 verschillende infra's en browsers, maar systemen waarmee je wel dezelfde sites bezoekt en misschien zelfs wel dezelfde apps op hebt danwel dat ze ooit met elkaar in verbinding staan.
Als het niet gewoon het certificaat was geweest zou ik eerder aan malware hebben gedacht dan aan een overheidsinstantie. Helemaal omdat als ze al zo krachtig zijn om dat te doen, ze ook wel zorgen dat het niet opvalt.

Loadbalancers of round-robin DNS-verzoeken kunnen dit soort dingen trouwens ook af en toe verklaren (dat je net toevallig met 3 apparaten 1 brakke server raakt), mocht iemand ooit in de toekomst nog eens dezelfde gedachte hebben en dit artikel via big brother Google vinden.
05-01-2015, 23:43 door sloepie - Bijgewerkt: 06-01-2015, 02:04
Door Anoniem: Niet lullig bedoeld maar als je dit soort vragen hier moet stellen ben je echt niet interessant voor de 3-letter diensten. Hooguit voor het UWV ;)

Ook niet lullig bedoeld hoor, maar er zijn altijd wel anonieme losers die zo arrogant zijn te denken altijd alles over alles te weten van; en oracle, en mysql, en mariadb, en postgresql, en db2, en java, en python, en c++ en php, en perl en zfs, en ufs, en nfs, en ext4, en grub, en ssh en ssl + certificaten, en cryptografie, en jails, en Apache en Nginx en ipf, en ipfw en iptables en csf en bash, en tcsh, en terminal commando's, en drupal, en pkg management, en load balancing, en virtualisatie en san's om maar eens wat te noemen.

En in hun arrogantie denken die losers iedereen altijd maar af te kunnen zeiken omdat ze zich zo geweldig verheven boven iedereen voelen. Wel anoniem uiteraard, want stel je voor dat je door de mand zou vallen.

Niet dat ik denk dat jij nu zoveel weet hoor, want als je maar een fractie van de bovenstaande materie goed zou beheersen, let wel goed, niet eens perfect, zou je je tijd hier niet verdoen met zulk stompzinnig commentaar.

Ik neem dus aan dat je zelf bij het UWV staat ingeschreven dat je denkt zo goed op de hoogte te zijn van alles?
06-01-2015, 00:03 door Anoniem
Tijd dat de website owner een WILDCARD cert aanvraagt of simpelweg een CNAME aanmaakt voor www wat verwijst naar het domein. Zodat je altijd op www.domein.de uitkomt.
06-01-2015, 00:07 door sloepie - Bijgewerkt: 06-01-2015, 00:33
Door Anoniem: @sloepie: 3 verschillende infra's en browsers, maar systemen waarmee je wel dezelfde sites bezoekt en misschien zelfs wel dezelfde apps op hebt danwel dat ze ooit met elkaar in verbinding staan.
Als het niet gewoon het certificaat was geweest zou ik eerder aan malware hebben gedacht dan aan een overheidsinstantie. Helemaal omdat als ze al zo krachtig zijn om dat te doen, ze ook wel zorgen dat het niet opvalt.

Hoewel ik malware uiteraard niet uit zou kunnen sluiten, lijkt me dat toch ook weer niet zo heel snel te gebeuren omdat ik met Linux werk met daarop Windows in een virtuele machine alleen om zaken te kunnen testen.
Android heb ik al helemaal op geen enkele wijze aan mijn (werk) systemen gekoppeld en gebruik daarom ook nooit Wifi, ook thuis niet. En de meeste (Google) apps heb ik zo veel als mogelijk is met een firewall van het net afgescheiden c.q. geblokkeerd. En ik gebruik CyanogenMod, waardoor er ook nauwelijks troep op mijn telefoon staat.
Desondanks heb ik echt niet de illusie dat ik 100% veilig ben, maar zoals gezegd; waarom zou ik het voor een aanvaller makkelijker maken dan nodig is. Je hoeft dit soort zaken maar een keer in te stellen en vervolgens van tijd tot tijd te onderhouden. Zoveel werk is dat nu ook weer niet.

Ik vroeg me slechts af of ik slachtoffer was geworden van de sleepnet methode omdat ik altijd gebruik maak van een VPN en van tijd tot tijd ook van Tor daar bovenop. Zo vreemd is dat toch niet gezien dit soort artikelen? http://www.wired.com/2014/07/nsa-targets-users-of-privacy-services/ en ook de Nederlandse Politie, al dan niet in combinatie met AIVD, graag wil weten wat er zich op het diepe web afspeelt.

En je wil toch niet beweren dat bij dat soort organisaties nooit fouten worden gemaakt of dat zaken soms onjuist staan ingesteld?
06-01-2015, 01:10 door Anoniem
Door alle spionage actvititeiten die door/sinds Snowden aan het licht zijn gekomen, worden de Alu-hoedjes vervangen door Alu-helmen, en alweer blijkt dat een hoed voldoet.

Ben je slachtoffer van het sleepnet van de NSA (of een andere vergelijkbare instantie, ze zijn niet de enige)? Waarschijnlijk wel, in de zin dat er info van jou bij hun terecht is gekomen. Net als de info van het gros van de internet gebruikers overigens. Als je geen vreemde dingen via TOR en/of VPN doet denk ik niet dat ze de info over jou lang zullen bewaren. Doe je wel vreemde dingen dan heb je wellicht een ander -groter- probleem ;) maar da' s niet mijn zaak. Desalniettemin biedt TOR/VPN, al dan niet in combinatie, toch enige mate van bescherming. Via betreffende diensten googlen op "bom" zal er -als het uberhaubt gezien wordt- niet toe leiden dat je persoonlijk gevolgd wordt. Zouden ze daar wel de mankracht voor hebben, dan zou je het waarschijnlijk niet eens merken.

Je loopt/leest al een tijdje op security.nl mee, dit had je best zelf kunnen oplossen door te lezen en begrijpen welke info een error terugggeeft. Enig wantrouwen is gezond, blinde paniek wat minder :)
06-01-2015, 07:19 door choi - Bijgewerkt: 06-01-2015, 07:19
Only the paranoid survive eh?
06-01-2015, 11:28 door Erik van Straten
05-01-2015, 14:16 door sloepie: Sinds gisteren krijg ik bij een bepaalde (https) site https://max-portal.elv.de opeens een certificaat fout melding. ssl_error_bad_cert_domain

In eerste instantie dacht ik dat hun certificaat verlopen was maar dat is nog tot 2018 geldig. Toen ik het vervolgens via mijn 4g KPN internet aansluiting probeerde kreeg ik daar echter ook een certificaat fout.

Maar toen ik het daarna bij een van mijn buren probeerde kreeg ik daar geen certificaat fout! En ook de website zelf zegt dat niemand anders een dergelijk probleem heeft gemeld.

Dat begint voor mijn gevoel toch wel enigszins op een op mij persoonlijk gerichte man-in-the-middel attack te lijken.

Dit des te meer omdat de certificaat fout niet alleen via Mobiel Internet maar ook via mijn normale internet provider (Tele2) en via mijn VPN provider (Private Internet Acces), zowel via Linux, Windows en Android met Firefox, Chromium en Internet Explorer optreedt.
Prima dat je dit soort zaken meldt! Ook ik trek regelmatig voorbarige en soms totaal verkeerde conclusies, maar niet zelden blijkt er meer aan de hand te zijn bij https websites die "suboptimaal" zijn geconfigureerd.

06-01-2015, 00:03 door Anoniem: Tijd dat de website owner een WILDCARD cert aanvraagt of simpelweg een CNAME aanmaakt voor www wat verwijst naar het domein. Zodat je altijd op www.domein.de uitkomt.
Een wildcard cert is niet nodig, de gebruikelijke oplossing is een Subject Alternate Name (zie https://en.wikipedia.org/wiki/SubjectAltName).

Aangezien het certificaat een SHA1-based signature gebruikt en geldig is tot in maart 2018, is dit certificaat binnenkort toch "aan de beurt" om te worden vervangen (zie bijv. https://community.qualys.com/blogs/securitylabs/2014/09/09/sha1-deprecation-what-you-need-to-know).

@sloepie: je zou de site-owners een mailtje kunnen sturen en ze vragen, zodra ze het certificaat vernieuwen (met een SHA-2 hash), meteen een Subject Alternate Name te laten opnemen.
06-01-2015, 14:10 door Anoniem
Die site is uberhaupt brak met zn TLS 1.0 Ik vertrouw enkel nog sites met TLS 1.2
06-01-2015, 14:32 door sloepie
Door Erik van Straten:

Een wildcard cert is niet nodig, de gebruikelijke oplossing is een Subject Alternate Name (zie https://en.wikipedia.org/wiki/SubjectAltName).

@sloepie: je zou de site-owners een mailtje kunnen sturen en ze vragen, zodra ze het certificaat vernieuwen (met een SHA-2 hash), meteen een Subject Alternate Name te laten opnemen.

Kijk zulk commentaar heb je tenminste wat aan. En je leert, naast van je eigen fouten, ook nog eens wat. Nooit geweten dat dat ook met SAN ingesteld kan worden. Ik heb ook altijd gedacht dat dat alleen met CNAME kon.

Kunnen SAN en CNAME trouwens door elkaar gebruikt worden? Want zit met SAN e.e.a. niet "hard" in het certificaat ingebakken? En wat is het voordeel van SAN t.o.v CNAME? SAN kan toch ook alleen maar voor subdomains worden gebruikt? Is CNAME dan niet wat flexibeler?

En ik zal de site-owners zeker een mailtje sturen, zowel over de SHA-2 hash als over een Subject Alternate Name c.q. CNAME

Bedankt Erik.
06-01-2015, 15:54 door Erik van Straten - Bijgewerkt: 06-01-2015, 15:59
06-01-2015, 14:32 door sloepie: Nooit geweten dat dat ook met SAN ingesteld kan worden. Ik heb ook altijd gedacht dat dat alleen met CNAME kon.
Een CNAME "redirect" werkt niet bij https. De reden daarvoor is dat de browser (om security redenenen) vereist dat:

- De ingevoerde domainname in de URL balk niet wijzigt totdat het certificaat is gevalideerd;

- Na een lookup van bijv. "whatever.example.com", de DNS server CNAME's mag roepen tot ie een ons weegt, als deze ook maar een geldig IP-adres teruggeeft;

- De webbrowser een SSL/TLS verbinding kan maken met dat IP-adres op poort 443 (of afwijkend poortnummer indien gespecificeerd);

- Een moderne webbrowser zal daarbij, tijdens de (onversleutelde) "Client Hello", SNI (Server Name Indication) gegevens meesturen, in dit geval whatever.example.com. Nb. SNI maakt het mogelijk om meerdere sites = verschillende domainnames (met verschillende content) op 1 IP-adres te draaien;

- De server moet een certificaat naar de browser sturen waarin "whatever.example.com" als subject en/of als SAN (Subject Alternate Name) is opgenomen.

Pas als dat allemaal is goedgegaan, kan de server informatie naar de webbrowser sturen die ervoor zorgt dat de webbrowser verbinding(en) maakt met een (of meer) andere site(s).

Effectief schakelt https de security-risico's van DNS helemaal uit. Zonder de bovenstaande implementatie zou een DNS-aanvaller je simpel kunnen doorsturen van https://www.rabobank.nl/ naar https://bankieren.rabobank.nl.rabonederland.net/ (een http phishing site in Rusland - waarbij de eigenaars dan wel een certificaat voor die domainname zouden moeten regelen om https -zonder foutmelding- mogelijk te maken, maar dat dit hen lukt voor *.*.rabonederland.net kun je niet uitsluiten).

Nb. een DNS aanvaller kan je natuurlijk een vals IP-adres teruggeven voor www.rabobank.nl, maar -als het goed is- zal de server achter dat valse IP-adres geen geldig certificaat voor www.rabobank.nl kunnen presenteren, en voor een ongeldig certificaat moet de browser een certificaatfoutmelding tonen.

06-01-2015, 14:32 door sloepie: SAN kan toch ook alleen maar voor subdomains worden gebruikt?
Nee hoor, willekeurige hostnames zijn mogelijk, zelfs wildcards. Zie bijv. https://www.security.nl/posting/403185/support_microsoft_com+bugje%3F#posting403521 (PS een wildcard certificaat werkt maar voor 1 "hop", bijv. whatever.example.com matcht op *.example.com, maar www.whatever.example.com matcht niet).

Overigens heeft https://ajax.aspnetcdn.com/ ondertussen wel een SHA-2 certificaat (SHA-256 om precies te zijn).
06-01-2015, 16:28 door Anoniem
Hoor je ook een klikje als je belt? Het zou kunnen dat je afgeluisterd wordt...
Verder zou ik zeker mn auto checken, onder de rechter achteras zitten meestal de GPS trackers, behalve bij de chinezen, die doen m links. Zet je auto wel even op de brug dan weet je het zeker.

Edward Snowden heeft meer kapot gemaakt dan je lief is.

Je haalt twee dingen door elkaar denk ik.
Een CNAME is een DNS-record om dezelfde resource op een andere manier aan te spreken
Een SAN is certificaat met meerdere namen buiten hetzelfde rootdomain.(anders wildcard)

1 SAN certificaat kan voor
fietstas.diepvries.nl
koelkast.sluisdeur.nl

worden aangevraagd. Wildcard kan alleen voor *.sluisdeur.nl of *.diepvries.nl
Een cname record naar bijvoorbeeld 1.1.1.1 kan bijvoorbeeld fiets.diepvries.nl zijn of koelkast.sluisdeur.nl
Bij beide URLS kom je op dezelfde servert uit.
06-01-2015, 20:43 door Anoniem
Zijn jullie debiel ofzo, het hele idee van sleepnetsurveillance is dat _iedereen_ onder surveillance staat dus JA je word afgetapt door de overheid want IEDEREEN word afgetapt. Er zijn alleen categorieen waar je in geplaatst wordt die bepalen wat er precies wordt opgeslagen (en je hoeft helemaal niet 'veel' te doen om aangemerkt te worden voor permanente / volledige surveillance. Als je Linux fanaat bent wordt al snel _al_ je verkeer opgeslagen, zie linuxjournal.com bijvoorbeeld)

Maar je metadata ben je sowieso kwijt (bewaarplicht). Sinds kort weten we ook dat de GCHQ/NSA (en waarschijnlijk dus ook de MIVD/AIVD) metadata bijhouden van iedereen's SSL/HTTPS verbindingen (dus cipher suites, session resumption tickets etc) .

Dus: ja je wordt afgeluisterd. Niet omdat je SSL gemitmt wordt en je foutmeldingen krijgt (zou ook wel erg raar zijn als dat de 'modus operandi' zou zijn zoals ze het zelf altijd zo mooi kunnen brengen -- ze kunnen je browser gewoon exploiten als je een http-website bezoekt via QuantumInsert, waarbij de gehackte router van je ISP of buren je een exploit voor je bakkes gooit.

Wanneer dringt dit nou eens door?
07-01-2015, 07:29 door Sledge Hammer
Modus Operandi is een term die de handelswijze van een crimineel beschrijft, niet die van de opsporings/inlichtingendiensten.
Ik vind het altijd wat arrogant om te denken dat opsporings/inlichtingendiensten in jouw data gaan zitten snuffelen. MIVD/AIVD zijn zwaar onderbemand dus hoop daar maar niet op.
Die hebben wel wat beters te gaan doen dan exabytes irrelevante informatie doorspitten.
07-01-2015, 09:15 door superglitched - Bijgewerkt: 07-01-2015, 09:29
Door Sledge Hammer: Modus Operandi is een term die de handelswijze van een crimineel beschrijft, niet die van de opsporings/inlichtingendiensten.
Ik vind het altijd wat arrogant om te denken dat opsporings/inlichtingendiensten in jouw data gaan zitten snuffelen. MIVD/AIVD zijn zwaar onderbemand dus hoop daar maar niet op.
Die hebben wel wat beters te gaan doen dan exabytes irrelevante informatie doorspitten.
Dat hoeft niemand te denken, want dat is gewoon bekend, en gebeurd via automatiseringsprojecten, opsporingsdiensten snuffelen echt door ook uw data heen:
http://webwereld.nl/beveiliging/78311-regering-bevestigt-tapprojecten-aivd-en-mivd

Hoe dat precies gebeurd, en op welke schaal doet niet ter zake in deze. Nu kan iemand wel denken dat het niet gebeurd en anderen wat arrogant vinden, maar diegene zou dan behoorlijk mis zitten.

Tegenwoordig hoef je geen aluminium hoedje meer op te hebben om hierover te praten. Het zijn de mensen die alles maar wegwuiven als het valt wel mee, waar de maatschappij nu langzaam aan bang voor begint te worden vrees ik. Of misschien is dat wishful thinking.
07-01-2015, 09:57 door Anoniem
Door Anoniem: Door alle spionage actvititeiten die door/sinds Snowden aan het licht zijn gekomen, worden de Alu-hoedjes vervangen door Alu-helmen, en alweer blijkt dat een hoed voldoet.

Ben je slachtoffer van het sleepnet van de NSA (of een andere vergelijkbare instantie, ze zijn niet de enige)? Waarschijnlijk wel, in de zin dat er info van jou bij hun terecht is gekomen. Net als de info van het gros van de internet gebruikers overigens. Als je geen vreemde dingen via TOR en/of VPN doet denk ik niet dat ze de info over jou lang zullen bewaren. Doe je wel vreemde dingen dan heb je wellicht een ander -groter- probleem ;) maar da' s niet mijn zaak. Desalniettemin biedt TOR/VPN, al dan niet in combinatie, toch enige mate van bescherming. Via betreffende diensten googlen op "bom" zal er -als het uberhaubt gezien wordt- niet toe leiden dat je persoonlijk gevolgd wordt. Zouden ze daar wel de mankracht voor hebben, dan zou je het waarschijnlijk niet eens merken.

Je loopt/leest al een tijdje op security.nl mee, dit had je best zelf kunnen oplossen door te lezen en begrijpen welke info een error terugggeeft. Enig wantrouwen is gezond, blinde paniek wat minder :)

Ik weet het niet hoor, maar ik heb toch echt op verschillende bronnen gelezen dat
- Iedereen die TOR gerelateerde paginas bezoekt/TOR gebruikt verdacht is. je hoeft dus geen vreemde dingen te doen met TOR, TOR gebruiken is op zichzelf al een vreemd en verdacht ding.
- Als je naar Linuxjournal.com gaat ben je verdacht
- Als je naar tails.boum.org gaat ben je verdacht
- en zonder twijfel nog in veel meer gevallen

en als je verdacht bent, dan kom je in de database van XKeyscore.
En dan is je verbinding onderhevig aan DPI.
en dat je daar bij onschuld zo weer uit bent lijkt me naief. Men wil van zoveel mogelijk mensen zoveel mogelijk verkeer monitoren en daarvoor is de schijn van verdenking reeds genoeg voor een permanente monitor.

Oftewel, er is meer aanleiding om te veronderstellen dat iedereen hier onderhevig is aan actieve surveillance, dan slechts een pan-dragende enkeling.
07-01-2015, 12:31 door sloepie - Bijgewerkt: 07-01-2015, 12:42
Door superglitched:
Hoe dat precies gebeurd, en op welke schaal doet niet ter zake in deze. Nu kan iemand wel denken dat het niet gebeurd en anderen wat arrogant vinden, maar diegene zou dan behoorlijk mis zitten.

Wat ik nog veel arroganter vindt is dat dit soort figuren vaak ook nog eens denken alle wijsheid in pacht te hebben en ze zich daarom kunnen permitteren je af te zeiken en te schofferen of je weg te zetten als alu-hoedje.

Wel anoniem natuurlijk!

Zoals dit figuur:
Door Anoniem: Niet lullig bedoeld maar als je dit soort vragen hier moet stellen ben je echt niet interessant voor de 3-letter diensten. Hooguit voor het UWV ;)

of dit figuur:
Door Anoniem: Door alle spionage actvititeiten die door/sinds Snowden aan het licht zijn gekomen, worden de Alu-hoedjes vervangen door Alu-helmen, en alweer blijkt dat een hoed voldoet.

of dit figuur:
Door Anoniem: Hoor je ook een klikje als je belt? Het zou kunnen dat je afgeluisterd wordt...
Verder zou ik zeker mn auto checken, onder de rechter achteras zitten meestal de GPS trackers, behalve bij de chinezen, die doen m links. Zet je auto wel even op de brug dan weet je het zeker.

Uiteraard hoeft iemand het niet met je eens te zijn, maar waarvoor is het in vredesnaam nodig om op de man te spelen, in plaats met onderbouwde argumenten te komen waarom iemand het mis zou hebben.

Maar zelfs al wordt met wel onderbouwde argumenten aangetoond dat de overheden op grote schaal de bevolking bespioneren en je bij voorbaat al verdacht bent zoals hier terecht wordt gesteld

Door Anoniem:
Ik weet het niet hoor, maar ik heb toch echt op verschillende bronnen gelezen dat
- Iedereen die TOR gerelateerde paginas bezoekt/TOR gebruikt verdacht is. je hoeft dus geen vreemde dingen te doen met TOR, TOR gebruiken is op zichzelf al een vreemd en verdacht ding.
- Als je naar Linuxjournal.com gaat ben je verdacht
- Als je naar tails.boum.org gaat ben je verdacht
- en zonder twijfel nog in veel meer gevallen

en als je verdacht bent, dan kom je in de database van XKeyscore.
En dan is je verbinding onderhevig aan DPI.
en dat je daar bij onschuld zo weer uit bent lijkt me naief. Men wil van zoveel mogelijk mensen zoveel mogelijk verkeer monitoren en daarvoor is de schijn van verdenking reeds genoeg voor een permanente monitor.

Oftewel, er is meer aanleiding om te veronderstellen dat iedereen hier onderhevig is aan actieve surveillance, dan slechts een pan-dragende enkeling.

en het ook op security.nl barst van de artikelen hierover en zelfs een nu.nl zich nu toch ook over de met een nieuwe wet aangekondigde sleepnet methode enigszins zorgen begint te maken. http://www.nu.nl/weekend/3940233/groot-wordt-sleepnet-van-nederlandse-inlichtingendiensten.html

Zelfs dan blijven ze nog altijd in hun arrogantie volharden!

Ik vraag me dan ook werkelijk af wat deze figuren hier op security.nl komen doen, aangezien ze deze artikelen blijkbaar nooit lezen, maar wel direct klaar staan om iemand met hun zogenaamd "deskundige" opinie hierover te trollen.
07-01-2015, 15:33 door Anoniem
Dit is trouwens de bron van dat Xkeyscore, die ben ik blijkbaar vergeten erbij te vermelden:
http://daserste.ndr.de/panorama/aktuell/nsa230_page-1.html
08-01-2015, 09:04 door Sledge Hammer - Bijgewerkt: 08-01-2015, 09:16
Het is ook niet de vraag of je wordt getapt, maar wat er mee gebeurt. Start voor de gein eens wireshark op, en monitor jezelf.Beetje veel data niet? Je kunt je voorstellen dat er dus alleen gerichte onderzoek plaatsvindt. Niet zozeer naar personen meer naar gedrag.

Of zoals mijn grootvader aan de muur had hangen "En wat dan nog"
08-01-2015, 09:51 door Anoniem
08-01-2015, 09:04 door Sledge Hammer: Het is ook niet de vraag of je wordt getapt, maar wat er mee gebeurt. Start voor de gein eens wireshark op, en monitor jezelf.Beetje veel data niet? Je kunt je voorstellen dat er dus alleen gerichte onderzoek plaatsvindt. Niet zozeer naar personen meer naar gedrag.
Regelmatig zoekt onze overheid, waaronder de AIVD, data specialisten die software schrijven om te zoeken naar patronen of juist "anomalies" in enorme hoeveelheden data (zie bijv. http://www.nationaleberoepengids.nl/ICT_Specialist_AIVD).

Als jij bij big data analyses "toevallig" komt bovendrijven, ofwel door bepaalde sites die je bezoekt, locaties waar je bent geweest, contacten die je mogelijk gehad hebt, ofwel door fouten en/of verkeerde aannames in die (behoorlijk fuzzy) software, word jij onderwerp van gericht onderzoek.

Zowel mensen als bedoelde software maken beoordelingsfouten. Van mensen weten we dat al zolang intelligente mensen bestaan (en nog gaat dit regelmatig fout). Maar met bedoelde software (die vandaag de dag heus nog ontwikkeld wordt) hebben we, zeker gezien t.o.v. menselijke beoordelingen, nog verwaarloosbare ervaring. Het risico is daardoor levensgroot dat mensen, die zelf nooit software hebben ontwikkeld en/of zich onvoldoende laten informeren over de betrouwbaarheid van die software, onjuiste conclusies trekken uit informatie die door dergelijke analysesoftware wordt geproduceerd.

08-01-2015, 09:04 door Sledge Hammer: Of zoals mijn grootvader aan de muur had hangen "En wat dan nog"
Als het zo is dat jij verdachte wordt op het moment dat je toevallig op hetzelfde moment als een topcrimineel in een restaurant gegeten hebt en er wellicht nog wat toevalligheden zijn, kunnen software+mensen verkeerde conclusies trekken. Bekend is ook dat mensen, onder druk tijdens verhoren, zaken bekennen die ze niet gepleegd hebben. Ook vandaag zitten er mensen onterecht in de bak. Dat kan mij maar ook jou overkomen, je zult het maar zijn.

Ik vind dat niet "En wat dan nog".

Dit alles nog even los van het feit dat al die informatie wordt verzameld door en in systemen waar bevoegde-, en bij minder dan 100% beveiliging ook onbevoegde-, mensen bij kunnen. Helaas, niet alle bevoegde mensen zijn 100% betrouwbaar en sowieso bestaat 100% beveiliging niet.
08-01-2015, 13:26 door Anoniem
Beste achterdochtige medelanders,

Het vergaren van inlichtingen is niet nieuw. Dit gebeurde al in de oudheid. Toen via mensen, nu ook via het digitale theater.
Deze digitale inlichtingen worden vergaart door overheden en bedrijven. Veel sites, servers en applicaties geven data door. De meeste zelfs nog als je het allemaal uitzet. Vergeet je mobiele telefoon en je bankpassen niet in dit verhaal.

Op de digitale snelweg wordt er inderdaad META-data verzameld door overheden. En als er aanleiding voor is ook de content. Het is echter onmogelijk (en onbetaalbaar) om alle data te verzamelen. De opslag en rekencapaciteit is simpelweg niet voorhanden. Dus maken vele organisaties gebruik van algoritmes, blacklist/whitelist en patronen. En ja, als je door deze technieken komt bovendrijven krijg je wat extra aandacht.

Voor iedereen hier die denkt dat als je TOR of LINUX gebruikt je een mogelijk doelwit bent van deze diensten, keer terug naar de werkelijkheid. De gemiddelde TOR gebruiker doet dit om te downloaden en niets meer. Het is niet de AIVD die geinterresseerd is in uw film collectie. Dat is BREIN. En die kijkt weer niet mee.
08-01-2015, 15:01 door Reinder
Zonder op de technische details in te mogen gaan kan ik je vertellen dat als je verkeer daadwerkelijk in opdracht van justitie afgetapt wordt, je dit zelf niet kan detecteren.
08-01-2015, 18:11 door Anoniem
Beste security.nl forum gebruikers; overheden beschikten in 1969 bij het "echelon" systeem al over de 386 processor die wij pas eind jaren tachtig in de winkel konden kopen en dat is een feit (ik ga niet eens de moeite nemen om nog url`s te posten , google zelf maar)
Wat denkt u nu zelf dat die quantum computers die alles lezen en kraken nog in ontwikkeling zijn?
Droom lekker verder.
vr.gr.
08-01-2015, 18:14 door Anoniem
Daarnaast is er al sinds de jaren 70 GEEN TELEFOON BESCHIKBAAR (vaste lijn toestellen) op de markt die niet op een of andere manier een gleufje of direct aan de open lucht ingebouwde microfoon.
Geen fabrikant mag iets maken zonder backdoor, en verder zeg ik niks.
08-01-2015, 18:29 door Anoniem
Door Anoniem: Beste achterdochtige medelanders,

Het vergaren van inlichtingen is niet nieuw. Dit gebeurde al in de oudheid. Toen via mensen, nu ook via het digitale theater.
Deze digitale inlichtingen worden vergaart door overheden en bedrijven. Veel sites, servers en applicaties geven data door. De meeste zelfs nog als je het allemaal uitzet. Vergeet je mobiele telefoon en je bankpassen niet in dit verhaal.

Op de digitale snelweg wordt er inderdaad META-data verzameld door overheden. En als er aanleiding voor is ook de content. Het is echter onmogelijk (en onbetaalbaar) om alle data te verzamelen. De opslag en rekencapaciteit is simpelweg niet voorhanden. Dus maken vele organisaties gebruik van algoritmes, blacklist/whitelist en patronen. En ja, als je door deze technieken komt bovendrijven krijg je wat extra aandacht.

Voor iedereen hier die denkt dat als je TOR of LINUX gebruikt je een mogelijk doelwit bent van deze diensten, keer terug naar de werkelijkheid. De gemiddelde TOR gebruiker doet dit om te downloaden en niets meer. Het is niet de AIVD die geinterresseerd is in uw film collectie. Dat is BREIN. En die kijkt weer niet mee.
Het is uit NSA documentatie gebleken dat mensen die zich oa in TOR of tails interesseren als verdacht worden gekenmerkt, en onderworpen worden aan deep packet inspection. Dit is geen paranoia, maar procedure.

En opslagcapaciteit is er ook zeker wel, laten we eens een klein sommetje maken en stellen dat gemiddeld in Nederland mensen
- 20 paginas bezoeken met gemiddelde paginalengte van 60 tekens
- 2 emails schrijven met gemiddelde berichtlengte van 1000 tekens
- 10 SMS berichten schrijven met gemiddelde berichtlengte van 100 tekens
- 20 jabber berichten schrijven met gemiddelde berichtlengte van 100 tekens
- 10 IRC berichten schrijven met gemiddelde berichtlengte van 100 tekens
- 3 x bellen met gemiddelde belduur van 3.33 minuten
- en dat er zo'n 50 tekens per event worden gebruikt voor de opslag
De audio slaan we op in 8 kbps, dus dat wordt 560 KB per 10 minuten, de tekst, plus totale overhead is zo'n 11 KB, dus bij elkaar genereert een burger zo'n 571 KB aan communicatie per dag (wat extreem veel meer is dan de werkelijkheid, maar nog steeds ruim binnen de grenzen van het maken van mijn punt valt.)
571 KB x de hoeveelheid mensen in Nederland is zo'n 9.64 TB per dag, en zo'n 3.5 PB per jaar.
Cartesius heeft er 7.
en als je dit ook nog een beetje op relevantie weet te filteren kan die opslag weer vele malen kleiner.
en als we de telecommunicatie niet mee tellen zitten we dus slechts op 11 KB per persoon per dag, en dat komt slechts neer op zo'n 67 TB per jaar per 16.877.351 burgers.
08-01-2015, 20:29 door Anoniem
Maar zelfs als we doen alsof daadwerkelijk alle verkeer moet worden opgeslagen, en we dus geen filter hanteren voor (bekend veilige) mediacontent, dan is het nogsteeds prima te hanteren binnen het defensiebudget van de verschillende machten.
Laten we zeggen dat icm zo'n 300MB mobiele content, het totale gemiddelde gebruik per burger op 30 GB per maand ligt (educated guess), dan genereren we met z'n allen in Nederland zo'n 500 PB per maand, en zo'n 6 EB per jaar.
Op dit moment is de (consumenten)prijs per GB zo'n 3 dollarcent.
De opslag van een maand kost dus zo'n 15 miljoen dollar aanschaf
De opslag van een jaar kost ongeveer 182 miljoen dollar aanschaf
Een hd moet ten minste 5 jaar functioneel zijn, dus
De opslag per maand kost 3 miljoen dollar per jaar.
De oplsag per jaar kost 37 miljoen dollar per jaar
(excl beheer)
1999: $30 per GB
2004: $1,50 per GB
2009: 7 cnt per GB
2014: 3 cnt per GB
2019: 1cnt? per GB

Als na 5 jaar de opslag wordt vervangen kost dit ongeveer
5 miljoen dollar voor maandopslag aanschafkosten
61 miljoen dollar voor jaaropslag aanschafkosten
en dat is
1 miljoen per maand
vs
21 miljoen dollar per jaar

en hoeveel kost zo'n amper vliegend amerikaanse schietschijf waar wij er een stuk of 40 van hebben gekocht?
en hoeveel kost de opleiding van zo'n schietschijfpiloot?

oftewel, de kosten van absolute dataopslag vallen in het niets van een zelfs klein tot gemiddeld defensiebudget, laat staan die van amerika.
09-01-2015, 10:03 door Anoniem
Overigens past de totale internetbevolking monitoren ook prima binnen het jaarlijkse defensiebudget van bv Amerika (~462 miljard) of China (~136 miljard).
Geschat wordt dat zo'n 3 miljard mensen internet hebben.
3 miljard x 30 GBpm = 90 EB totale opslag per maand x 3 cnt = 2.7 miljard dollar aanschafkosten opslagruimte voor 1 maand, of 32.4 miljard dollar voor de aanschaf van opslag van een jaar, of 324 miljard dollar voor de opslag van 10 jaar.
Na 5 jaarse afschrijving heeft dit igv een maand opslagcapaciteit 540 miljoen dollar per jaar gekost, en 6.48 miljard per jaar igv een opslagcapaciteit van een jaar, en 64.8 miljard igv 10 jaar.
Een opslagcapaciteit van een jaar ongefilterde data van iedere internetter ter wereld kost amerika dus slechts 1.4% van hun defensiebudget, en van 10 jaar slechts 14%.

Natuurlijk zijn dit wel heel simpele sommen waarbij zowel personeel als infrastructuur ed niet zijn meegeteld, alsook geen schatting is gemaakt van de hoeveelheid data die verifieerbaar niet opgenomen hoeft te worden in databases.
De meeste data wordt gegenereert door media, en die is tevens het vaakst verifieerbaar oninteressant. (de zoveelste 1080p download van de legomovie hoeft bv bij voorbaad niet opgeslagen te worden.)
09-01-2015, 10:46 door Anoniem
Het is een stompzinnige vergelijking om defensie budgetten te vergelijken met budgetten van bijvoorbeeld de AIVD. De aanschaf van een JSF wordt over een 25 jaar afgeschreven IT apparatuur over maximaal 5 jaar. Ook zal een defensie budget nooit ingezet worden voor dit soort zaken.

Tevens vergeet je de echt dure apparatuur. Namelijk de TAPS en de netwerkapparatuur om deze data te kunnen transporteren naar de dataopslag. Ook wordt in de opsomming van "20:29 door Anoniem" ook vergeten dat er heel veel zakelijk verkeer is en uiteraard ook inkomend verkeer naar Nederland.

Hiernaast komt een klein probleem in logistiek. Hoe en waar wil je deze data aftappen? Bij alle TIER 2-3 ISP's? Dit is onmogelijk. Deze zullen dan hierop netwerkinfrastructuur moeten aanpassen om dit te moeten faciliteren. Dit houdt in dat ze waarschijnlijk grotere routers moeten aanschaffen etc. Dus blijft over de TIER 1 ISP's. En dan mis je een groot deel van de data. Immers zal ZIGGO hun verkeer tussen ZIGGO klanten niet omhoog routeren.

Lees je eens in in gedragsanalyse technieken. Dan ga je begrijpen dat je payload niet nodig hebt. Pas in geval van twijfel / argwaan is dit noodzakelijk. En META data is veel efficienter voor opslag en analyse dan full packets. Zie het als op Schiphol. Daar wordt je koffer gescand. Pas als de scanner alarmeert, gaat men de koffer openmaken. Kan ook niet anders met meer dan 50 miljoen passagiers....
09-01-2015, 12:12 door Anoniem
Het was ook meer een reactie op:
"Het is echter onmogelijk (en onbetaalbaar) om alle data te verzamelen. De opslag en rekencapaciteit is simpelweg niet voorhanden. "

Je hebt natuurlijk verder compleet gelijk, logistisch komt er wel wat meer bij kijken en loopt ook niet alle data langs een mogelijk aftappunt. (althans, als je (evt geheime) verplichtingen van ISPs niet meerekent enzo.)

Maar los van deze beperkingen is opslag dus geen enkel probleem meer, zelfs niet in het meest extreme voorbeeld van alle internetters + alle data.
10-01-2015, 15:42 door Anoniem
Los van dat certificaat: ja, je staat onder Roverheidssurveillance. Net als iedereen in het 'vrije' westen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.