WinPage

Windows, Web, Software, Hardware & Co

Hersteller vom SIM Karten von NSA gehackt

Kommentar verfassen

Dass die Geheimdienste scharf darauf sind, die Kommunikation auf Smartphones mitzuhören ist klar. Der normale Weg wäre nun, einen richterlichen Beschluss zu erwirken, was aber recht zweitaufwendig und hoffentlich nur in begründeten Verdachtsfällen möglich ist. NSA und der britische GCHQ haben es sich einfacher gemacht und den größten Hersteller von SIM Karten gehackt. Das geht laut “The Intercept” aus Dokumenten den Whistleblowers Edward Snowden hervor.

Encryption

Demnach sind also der amerikanische Geheimdienst NSA und sein britisches Pendant GCHQ in das interne Computernetzwerk der Firma Gemalto eingedrungen und sind so an die Verschlüsselung der SIM Karten gelangt. Gemalto ist in 85 Ländern der Welt tätig und liefert pro Jahr rund zwei Milliarden SIM Karten aus. Zu den Kunden gehören neben zahlreichen Mobilfunkanbietern wie AT&T, T-Mobile, Deutsche Telekom, Verizon und Sprint auch zahlreiche Banken, die österreichische Bürgerkarte oder Anbieter von Zugangssystem für Gebäude.

Durch den Zugriff auf die internen Daten von Gemalto waren NSA und GCHQ einfach und bequem in der Lage, einen großen Anteil der Mobilfunkkommunikation mitzulesen – sowohl Gespräche als auch Daten. “Wenn man die Schlüssel hat, ist die Entschlüsselung von Datenverkehr einfach”, sagt Christopher Soghoian, Technik-Experte bei der American Civil Liberties Union, dem Online-Magazin “The Intercept”.

Wie kann man sich schützen? Eigentlich nur, indem man seine Kommunikationswege nochmals zusätzlich verschlüsselt. Für Telefonate bietet sich die App “Signal” an, für Android “RedPhone“.

Verschlüsselung wie SSH, SSL oder VPN kein Problem für NSA

Kommentar verfassen

Wenig überraschend aber doch beängstigend, für den US-Geheimdienst NSA und den britischen GCHQ sind gängige Verschlüsselungssysteme kein sonderlich großes Problem. Dies wurde auf dem jährlichen Treffen des Chaos Computer Clubs berichtet.

In einem Vortrag des Journalisten und Netzaktivisten Jacob Appelbaum auf dem “31. Choas Communication Congress” (31C3) in Hamburg wurde berichtet, welche Verschlüsselungsverfahren noch sicher und welche von der NSA bereits geknackt wurden. Als Quelle dienen wohl die Dokumente des Whistleblowers Edward Snowden. Bei SPIEGEL International gibt es ebenfalls einen Bericht zu dem Thema.

Demnach sind Secure-Sockets-Layer-Technologie (SSL), sowie deren Weiterentwicklung TLS vom Geheimdienst geknackt. Beides wird unter anderem zur sicheren Datenübertragung auf Webseiten eingesetzt, Stichwort HTTPS. Auch VPN- und SSH-Verbindungen sind eine leichte Beute. Das für die VPN-Verbingung eingesetzte PPTP-Protokoll kann vollständig entschlüsselt werden. Das IPSec Protokoll, welches ebenfalls für die VPN-Verschlüsselung eingesetzt wird, ist zwar noch nicht geknackt, es gibt aber eine Angriffsmöglichkeit, mit der die Schlüssel entwendet werden können.

Andere Dienste hingegen bereiten dem Geheimdienst nach wie vor Probleme und können daher noch als Sicher angesehen werden. Am Anonymisierungsnetzwerk TOR, an der Email Verschlüsselung “Pretty Good Privacy” (PGP) oder an Trucrypt beißen sich die Jungs noch die Zähne aus.

WhatsApp für Android bekommt sichere Verschlüsselung

Kommentar verfassen

Hmmm, was ist denn heute los. Erst überrascht Nokia mit einem Android Tablet, jetzt bringt WhatsApp eine End-to-End Verschlüsselung. Und zwar nicht irgendeine, sondern die Referenz in Sachen sichere Verschlüsselung. So wird WhatsApp praktisch über Nacht zu einem der sichersten Messenger überhaupt.

Encryption

Dafür hat man sich mit Open WhisperSystems zusammengetan und die Verschlüsselung implementiert, die auch in deren Messenger TextSecure eingesetzt wird. TextSecure und das dazugehörende Protokoll sind als freie Software verfügbar. Das von Moxie Marlinspike entwickelte Protokoll gilt als Referenz in Sachen sichere Verschlüsselung. Laut Angaben von WhatsApp erfolgt die Ver- und Entschlüsselung außerdem direkt auf den Endgeräten, eine Entschlüsselung durch WhatsApp oder Facebook ist demnach nicht möglich. Auch bei Vorlage eines Gerichtsbeschlusses ist eine Offenlegung der Nachrichten für WhatsApp demnach nicht möglich. Da der Code von Whatsapp aber weiterhin nicht offen zugänglich ist, bleibt ein wichtiger Kritikpunkt zwar bestehen, eine unabhängige Prüfung ob die Verschlüsselung auch wirklich das tut, was sie soll. Aber trotzdem schon mal ein Schritt in die richtige Richtung.

Wie die Jungs von Open WhisperSystems selbst berichten, bedeutet die Zusammenarbeit aber nicht das Ende des eigenen TextSecure Messengers. Er soll weiterhin als eigenständiger Messenger bestehen bleiben. Das Update für WhatsApp mit End-to-End Verschlüsselung für Android befindet sich aktuell noch im Rollout. Über eine Implementierung für die iOS Plattform ist aktuell noch nichts bekannt. Aktiv wird die Verschlüsselung automatisch dann, wenn man mit einem Partner kommuniziert, dessen WhatsApp Client ebenfalls schon die Verschlüsselung unterstützt. Aktuell werden jedoch nur Textnachrichten Verschlüsselt, keine Gruppen-Chats oder Nachrichten mit Multimedia Inhalten. Hier soll aber in Kürze nachgebessert werden.

Informationen