1 Punkte von GN⁺ 2025-01-01 | 1 Kommentare | Auf WhatsApp teilen
  • AT&T, Verizon und Lumen Technologies haben bestätigt, dass von der chinesischen Regierung unterstützte Hacker Zugriff auf ihre Systeme hatten. Damit weitet sich die Salt-Typhoon-Kompromittierung zu einem nationalen Sicherheitsproblem für die US-Telekommunikationsnetze insgesamt aus
  • Das Weiße Haus erklärte, China habe durch den Einbruch die Fähigkeit erlangt, Millionen von Menschen zu orten und Telefonate nach Belieben aufzuzeichnen; in einem Fall ermöglichte die Kompromittierung eines Administratorkontos den Zugriff auf mehr als 100.000 Router
  • AT&T und Verizon erklärten, es seien nur wenige Kunden betroffen gewesen; Lumen teilte mit, es gebe keine Hinweise auf Zugriff auf Kundendaten, und ein unabhängiges Forensikunternehmen habe die Entfernung der Angreifer bestätigt
  • Viele Personen waren von Auswirkungen auf Standortdaten und Telefon-Metadaten betroffen, doch die tatsächlichen Ziele der Erfassung von Anrufen und SMS waren weniger zahlreich und könnten bei unter 100 Personen liegen
  • Die FCC treibt einen Regelvorschlag voran, der Telekommunikationsanbieter zu grundlegenden Cybersicherheitspraktiken verpflichtet; auch Senator Ron Wyden brachte einen Gesetzentwurf ein, der verbindliche FCC-Regeln zur Telekommunikationssicherheit fordert

Immer mehr US-Telekommunikationsanbieter bestätigen Kompromittierungen

  • AT&T, Verizon und Lumen Technologies bestätigten, dass von der chinesischen Regierung unterstützte Spione Anfang dieses Jahres auf Teile ihrer Systeme zugegriffen hatten
  • Das Weiße Haus teilte mit, die Zahl der von Salt Typhoon betroffenen Telekommunikationsanbieter sei von bislang 8 auf 9 gestiegen
  • T-Mobile hatte zuvor Spionageaktivitäten erwähnt, die mit Aufklärungsversuchen von Salt Typhoon „konsistent“ seien, stellte aber klar, nicht zu den neun von der Regierung genannten Telekommunikationsanbietern zu gehören

Was AT&T, Verizon und Lumen zu den Schäden bestätigt haben

  • AT&T erklärte, ausländische Spione hätten im Rahmen einer Spionagekampagne eine kleine Zahl von Kunden kompromittiert; die Akteure seien inzwischen aus dem Netzwerk entfernt worden
    • Derzeit werden im Netzwerk keine Aktivitäten staatlicher Akteure festgestellt
    • Man geht davon aus, dass China eine kleine Zahl von Personen ins Visier nahm, die für ausländische Nachrichtendienste von Interesse sind
    • In den relativ wenigen Fällen, in denen persönliche Daten betroffen waren, habe man mit Strafverfolgungsbehörden zusammengearbeitet und die Benachrichtigungspflichten erfüllt
    • Die Untersuchung läuft gemeinsam mit Regierungsvertretern, anderen Telekommunikationsanbietern und Cybersicherheitsexperten weiter
  • Verizon bestätigte, dass chinesische Eindringlinge Zugriff auf eine kleine Zahl hochrangiger Kunden aus Regierung und Politik hatten
    • Diese Kunden seien benachrichtigt worden; zudem habe man den durch die Bedrohung eines staatlichen Akteurs verursachten Cybervorfall eingedämmt
    • Auch ein nicht namentlich genanntes, „hoch angesehenes“ Cybersicherheitsunternehmen bestätigte die Eindämmung
    • Verizon arbeitete mit Bundes-Strafverfolgungsbehörden, nationalen Sicherheitsbehörden, anderen Telekommunikationspartnern und Sicherheitsunternehmen zusammen
    • Verizons Chief Legal Officer Vandana Venkatesh erklärte, im Verizon-Netzwerk seien seit einiger Zeit keine Aktivitäten des Bedrohungsakteurs mehr festgestellt worden
  • Lumen Technologies entfernte die chinesischen Angreifer aus seinen Systemen und fand keine Hinweise auf Zugriff auf Kundendaten
    • Ein unabhängiges Forensikunternehmen bestätigte, dass Salt Typhoon nicht mehr im Netzwerk sei
    • Auch Bundespartner hätten keine davon abweichenden Informationen geteilt, so Lumen

Wie das Weiße Haus Umfang und Methode des Einbruchs einschätzt

  • Anne Neuberger, stellvertretende nationale Sicherheitsberaterin des Weißen Hauses für Cyber- und neue Technologien, sagte, der Einbruch sei als „der schlimmste Telekommunikations-Hack in der Geschichte der USA“ bezeichnet worden
  • Die chinesische Seite verschaffte sich Netzwerkzugang und erlangte „breiten und vollständigen Zugriff“; dadurch erhielt sie die Fähigkeit, Millionen von Menschen zu orten und Telefonate nach Belieben aufzuzeichnen
  • In einem Fall drangen die Spione in ein Administratorkonto ein, über das sie Zugriff auf mehr als 100.000 Router hatten
    • Neuberger erklärte, China habe durch die Kompromittierung dieses Kontos weitreichende Zugriffsrechte im gesamten Netzwerk erhalten
    • Ein solcher Zustand bleibe hinter dem Cybersicherheitsniveau zurück, das zur Abwehr staatlicher Akteure erforderlich sei

Zahl der Betroffenen und Umfang der Daten

  • Das Weiße Haus kennt die Gesamtzahl der Opfer noch nicht
  • Von Auswirkungen auf Standortinformationen und Telefon-Metadaten ist eine große Zahl von Personen betroffen
  • Die tatsächlichen Ziele der Erfassung von Telefonaten und SMS sind weniger zahlreich; die Zahl der betroffenen Personen könnte bei unter 100 liegen

Telekommunikationssicherheit verlagert sich in Richtung Regulierung

  • Das Weiße Haus betonte nach dem Einbruch, dass freiwillige Cybersicherheitsmaßnahmen gegen Bedrohungen durch staatliche Akteure nicht ausreichen
  • Die FCC startete einen öffentlichen Regel-Vorschlag, der Telekommunikationsanbieter zu grundlegenden Cybersicherheitspraktiken verpflichten soll
    • Die Kommissare sollen bis zum 15. Januar über die Regeln abstimmen
  • Senator Ron Wyden brachte einen Gesetzentwurf ein, der die FCC verpflichten würde, verbindliche Regeln für Telekommunikationssysteme zu erlassen
  • Die CEOs aller neun kompromittierten Telekommunikationsanbieter nehmen am 60-tägigen Enduring Security Framework der Regierung teil
    • Diese öffentlich-private Initiative zielt darauf ab, minimale Cybersicherheitspraktiken festzulegen, auf die sich Nachrichtendienste, CISA, FBI und Experten für Telekommunikationssicherheit einigen

1 Kommentare

 
GN⁺ 2025-01-01
Hacker-News-Kommentare
  • Hätten Unternehmen Datenminimierung umgesetzt und Kundendaten, die niemand einsehen muss, Ende-zu-Ende verschlüsselt, wären solche Angriffe seltener gewesen
    Denn dann gäbe es keinen Anreiz zum Eindringen, aber Geheimdienste bestehen darauf, Zugriff auf die Gespräche unschuldiger Bürger haben zu müssen

    • Es liegt nicht nur an den Geheimdiensten, auch Unternehmen wollen für solche Maßnahmen kein Geld ausgeben
      In der Praxis gibt es keine wirklich abschreckenden Strafen oder Bußgelder, und der Schutz kurzfristiger Gewinne wird höher gewichtet als der Schutz von Nutzerdaten. Bis ein Vorfall für ein Unternehmen zu einem schweren finanziellen Schaden führt, wird man die Folgen weiter nach dem Muster „Entschuldigung, hier ist ein Kreditüberwachungsdienst“ auf die Nutzer abwälzen. Auch in der Softwareentwicklungs- und Engineering-Branche gibt es nicht viele, die Datensicherheit wirklich ernst nehmen; es wird viel darüber geredet, aber in der tatsächlichen Umsetzung im Geschäftsbetrieb sind die Praktiken oft miserabel
    • Apple sagt seit Jahren, dass staatliche Backdoors zur Umgehung von Verschlüsselung auch von böswilligen Akteuren genutzt werden können, aber die Regierung hat immer nur behauptet, das sei schon in Ordnung
      Jetzt werden genau diese vorgeschriebenen Backdoors zur Umgehung der Privatsphäre von böswilligen Akteuren genutzt, und das FBI empfiehlt allen wegen der von ihm mitverursachten Lage nun, Ende-zu-Ende-verschlüsselte Apps zu verwenden. Aber sobald diese Katastrophe vorbei ist, wird man wieder zu Aussagen wie „Verschlüsselung ist schlecht, Sicherheit ist schlecht, gebt uns einen einfachen Weg an die Daten“ zurückkehren
    • Ganz korrekt ist das nicht. FCC911 und verschiedene Gesetze verlangen von Telekommunikationsanbietern, auf Standortdaten zugreifen zu können und Anrufe sowie SMS zur Vollstreckung von Durchsuchungsbeschlüssen zu protokollieren
      Das Problem ist, dass hier sowohl Regulierung als auch kommerzielle Interessen miteinander verflochten sind. Es ist unrealistisch zu erwarten, dass die Öffentlichkeit oder der Staat echte Privatsphäre bei Mobiltelefonen akzeptieren würden. Menschen wollen, dass Polizei oder Feuerwehr kommen, wenn sie den Notruf 911 wählen, und sie wollen, dass organisierte Kriminalität oder schwere Verbrechen aufgedeckt und strafrechtlich verfolgt werden
    • Es gibt bisher kaum öffentliche Informationen, anhand derer sich beurteilen ließe, ob dieser Vorfall mit gespeicherten personenbezogenen Identifikationsdaten oder rechtmäßiger Überwachung zusammenhängt. Bekannt ist nur, dass der Standort von Teilnehmern bestimmt wurde
      Das SS7-Protokoll ermöglicht es festzustellen, mit welchem RNC/MMC ein Telefon zu einem bestimmten Zeitpunkt verbunden ist; das ist ein wesentlicher Bestandteil des Netzbetriebs. Wenn ein hinreichend ausgefeilter Angreifer weitreichenden Zugriff auf Telekommunikationsausrüstung hat, kann er diese Protokollbefehle direkt senden und so den Standort ermitteln
    • Etwas am Rande, aber gibt es Materialien dazu, wie man Ende-zu-Ende-Verschlüsselung für Apps entwirft und implementiert, in denen Nutzer gemeinsam genutzte „Team“-Daten haben?
      Die Grundprinzipien für einen einzelnen Nutzer verstehe ich, aber ich würde gern mehr darüber erfahren, wie gemeinsam genutzte Ende-zu-Ende-verschlüsselte Gruppenchats wie bei Facebook Messenger umgesetzt werden
  • Es ist merkwürdig, dass US-Banken, Venmo, PayPal und andere für die Authentifizierung immer noch eine „echte“ Telefonnummer verlangen
    Venmo akzeptiert keine VoIP-Nummern, aber ich konnte sofort SMS empfangen und mich registrieren, nachdem ich mich bei Tello angemeldet und im Ausland eine eSIM aktiviert hatte. Die Hürde lag bei gerade einmal 5 Dollar, was für eine großartige Sicherheit

    • Das ergibt sich aus der Anforderung, Nutzer auf überprüfbare Weise identifizieren zu können. Das sind rechtliche und regulatorische Vorgaben, und sie sollen Finanzdienstleistungen tatsächlich gegen Straftaten wie Betrug, Diebstahl, Geldwäsche, Schwarzmärkte und Terrorismusfinanzierung absichern
      Am Ende ist die wirksamste Methode, zu wissen, wer die Parteien einer Transaktion sind. Bei manchen Unternehmen sind die Standards für Know Your Customer niedriger, aber mit der Zeit werden sie zu Kanälen, die Kriminalität begünstigen, und geraten unter die Beobachtung von Regulierungsbehörden und Staat. Die USA sind im Vergleich zu Singapur, Kanada, Japan und der zunehmend strengeren EU relativ locker; in vielen Rechtsräumen braucht man biometrische Verifizierung, Fotoidentifikation und manchmal sogar ein Video-Gespräch mit einem Mitarbeiter, bei dem Dokumente vorgezeigt werden müssen
    • Meine Google-Voice-Nummer wird mir wahrscheinlich nicht so leicht weggenommen, aber stattdessen soll ich eine „echte“ Telefonnummer verwenden, die übernommen werden kann, wenn man einem Ladenmitarbeiter Bargeld in die Hand drückt
      Ein Unternehmen hat später sogar rückwirkend VoIP-Nummern gesperrt, was wirklich dumm war
    • Das Problem ist die pauschale Ablehnung
      Es sollte ein Verfahren geben, mit dem geprüft und erlaubt wird, dass eine Nummer nicht für Betrug genutzt wird. Wenn jemand seit Jahren Kunde ist, diese Nummer durchgehend verwendet und auf der Plattform ohne Probleme Transaktionen über Tausende von Dollar abgewickelt hat, sollte das doch als Entscheidungsgrundlage reichen
    • Verlangt Tello Know Your Customer? Mich würde also interessieren, ob die eSIM mit einer realen Identität verknüpft ist
      Zumindest in Europa ist genau das unter PSD2 der Kern dafür, dass eine Telefonnummer als Mittel für die Zwei-Faktor-Authentifizierung anerkannt wird
    • Manche Unternehmen verweigern Geschäfte mit mir, weil das Geschäftskonto der Familie auf den Namen meines Vaters läuft. Dabei kenne ich alle richtigen Informationen, die ich bräuchte, um mich als mein Vater auszugeben
      Der einzige Grund, warum ich nicht ans Telefon gehe und sage „Ich bin …“, ist, dass ich ehrlich bin. Einen böswilligen Nutzer, der ohnehin schon alle abgefragten Informationen kennt, kann man nicht aufhalten; er wird einfach lügen und behaupten, der Geschäftsinhaber oder Kontoinhaber zu sein
  • Ich arbeite im Sicherheitsbereich, und dieser Vorfall war überraschend. Weniger die Tatsache, dass Unternehmen gehackt wurden, sondern dass der Umfang der Angriffe gleichzeitig an mehreren Fronten stattfand und koordiniert wirkte
    Mehrere Unternehmen gleichzeitig zu kompromittieren, sagt etwas über die Ziele der chinesischen Seite aus. Dabei geht man das Risiko ein, mehr „Lärm“ zu erzeugen, daher frage ich mich, warum man nicht Mitarbeitende bestochen hat, um hochrangige Ziele abzuhören, statt alles gleichzeitig anzugehen und damit sogar eine Reaktion auf Präsidentenebene auszulösen. Es fühlt sich an, als wäre das von Image und Politik getrieben, und der moderne Kalte Krieg besteht aus Angriffen auf Infrastruktur

    • Das ist nicht besonders überraschend, sondern normal. Es wirkt nur koordiniert, weil die Werkzeuge des Teams offengelegt wurden, das speziell für Telekommunikationsanbieter zuständig war
      Nimm fast jede Branche, die dich interessiert: Unter den 50 führenden Nachrichtendiensten der Welt gibt es für diesen Bereich ein eigenes Team zum Hacken, und die meisten sind erfolgreich. Leider kennen oft selbst Leute aus der Sicherheitsbranche Umfang und Ausmaß solcher Operationen nicht wirklich, nicht einmal innerhalb der Netzwerke, für die sie verantwortlich sind. Der „Lärm“ hier wurde nicht vom Angreifer erzeugt, und auch Angreifer wollen nicht entdeckt werden, aber Fehler passieren
    • Wahrscheinlich waren es keine gleichzeitigen Angriffe. Vermutlich wurde über einen langen Zeitraum infiltriert, und die Verteidiger haben es dann auf einmal entdeckt
      Wenn man eins findet, sucht man auch nach den anderen. Mitarbeitende anzuwerben ist kompliziert und schwierig, aber SS7 aus der Ferne anzugreifen ist viel einfacher, besonders wenn mehrere Ziele überwacht werden sollen
    • Wenn man an Huawei oder die Kontroverse um Spionagekräne denkt, frage ich mich, ob sich dieser „Angriff“ gegen sämtliche Telekommunikationsausrüstung richtete oder nur gegen Ausrüstung aus China
      Telekommunikations- und Stromkabel ganz offen zu manipulieren wirkt wie ein Signal an westliche Politiker. Es gibt auch Behauptungen, Nordkorea habe Kryptowährungen gestohlen, aber dabei fehlt ebenfalls ein klar identifizierbares Opfer. Westliche Politiker versuchen gerade, unter dem Vorwand, uns vor den Ereignissen im Hier und Jetzt zu schützen, die gesamte Weltwirtschaft umzubauen, und das fühlt sich nach mehr als nur Zufall an
    • Mitten in einer Übergangsphase nach der Präsidentschaftswahl ist der perfekte Zeitpunkt für so etwas
      Unabhängig von der politischen Ausrichtung der scheidenden und der kommenden Regierung ist dann alles chaotischer, und obwohl es auffallen mag, kann es auf der To-do-Liste nach unten rutschen oder in Vergessenheit geraten
    • Die unfähigsten Kriminellen werden zuerst gefasst
      In den Angriffen, die es in die Nachrichten schaffen, steckt eine enorme Selection Bias
  • Die Beschreibung des Hacks ist unklar, daher lässt sich das nicht bestätigen, aber je mehr gehackte Telekommunikationsanbieter bekannt werden, desto wahrscheinlicher wird es, dass China über rechtmäßige Überwachung eingedrungen ist.
    Dafür kommen verschiedene Wege infrage. Etwa die Bestechung oder Erpressung von Strafverfolgungsbeamten mit Zugriffsrechten auf Systeme zur Verwaltung rechtmäßiger Überwachung, Angriffe auf die Lieferkette dieser Systeme oder das Knacken der Authentifizierung zwischen dem Netzwerk und den Verwaltungssystemen. Wenn es ein Angriff auf rechtmäßige Überwachung war, wären damit alle Netzwerke kompromittiert, die automatisierte rechtmäßige Überwachung unterstützen. Da solche Überwachung so ausgelegt ist, dass sie für Betreiber nicht leicht sichtbar wird, ist sie schwer zu erkennen und deshalb besonders unangenehm.

    • Wahrscheinlicher ist, dass nach Erlangung von Zugriffsrechten die zahlreichen verwundbaren Protokolle mitgelesen wurden, die zur Verwaltung von Netzwerkgeräten eingesetzt werden.
      Wer schon einmal im Networking gearbeitet hat, weiß, was gemeint ist. Der Zustand dieser Branche ist geradezu lächerlich schlecht. SSH wird zwar verwendet, aber Host-Keys werden nicht überprüft, Agent Forwarding wird genutzt, und es kommen Protokolle wie RADIUS oder SNMP zum Einsatz, bei denen nach einem einzigen kompromittierten Gerät fast immer alles über global gemeinsam genutzte Geheimnisse zusammenbricht. Es ist auch fraglich, ob Secure Boot sinnvoll eingesetzt wird oder Dateisysteme verifiziert werden.
      Als vor 20 Jahren jemand herausfand, dass sich mit gefälschten TCP-Resets BGP-Verbindungen trennen lassen, führte die Branche nicht BGP over TLS ein. Stattdessen wurde 1999 lediglich ein auf gemeinsam genutzten Geheimnissen basierender TCP-MD5-Hash ergänzt: https://datatracker.ietf.org/doc/html/rfc2385. Bis heute herrscht weiterhin eine Kultur, in der man sich den Einsatz von PKI kaum vorstellen kann, und ausgerollt wird es meist ohnehin nicht.
      Um diese Branche zu verstehen, reicht das schon. Statt einfach TLS zu verwenden, wurden Dinge wie https://datatracker.ietf.org/doc/html/rfc5925 geschaffen, die in realen Deployments mit demselben Shared-Tuple-Modell weiterarbeiten und damit fast genauso schlecht sind wie 2385. Selbst unter den Anbietern, die behaupten, es zu „unterstützen“, gibt es welche, die nicht das gesamte RFC implementieren. Diese Lage ist seit Jahrzehnten bekannt, aber die Hersteller haben an Sicherheitsverbesserungen fast kein Interesse gezeigt, abgesehen von Flickwerk bei peinlich aufgedeckten Problemen, und auch Sicherheitsforscher schauen sich wichtige Netzwerkgeräte kaum an.
    • Diese Schlussfolgerung ist verdächtig.
      Es heißt nicht, dass mehr Stellen gehackt wurden, sondern dass mehr Fälle entdeckt wurden, die mit demselben Hack zusammenhängen. Angreifer auf diesem Niveau verfolgen die Nachrichten und werden sich zu ihrem Vorteil passend verhalten oder das Netzwerk abschalten, bevor Indicators of Compromise zurückentwickelt werden.
      Wahrscheinlicher als ein auf rechtmäßiger Überwachung basierender Angriff ist, dass man einfach nicht sicher weiß, wie der Einstieg erfolgte. Der Großteil der CISA-Leitlinien besteht aus Standard-Best-Practices der Cybersicherheit wie Monitoring und Sichtbarkeit sowie der Reduzierung der Angriffsfläche. Die wichtigsten Änderungen scheinen die Forderung zu sein, TFTP nicht mehr zu verwenden, und Hersteller als Quelle der Referenz-Hashes zu nutzen. Ein firmwarebasierter Angriff auf den Sende- und Empfangspfad wirkt sehr plausibel.
      TFTP-Server verteilen Konfigurationen an die Endgeräte in ISP-Netzen, also an Kundenmodems, und liefern dabei auch Firmware-Images aus, jedoch ohne Authentifizierung, Autorisierung oder Auditierung. Die betreffende Hardware erschwert es schon vom Design her, Änderungen sauber zu auditieren, TR-47 wird nur selten richtig eingesetzt, und die zugehörige Verschlüsselung muss aus rechtlichen Gründen zudem abwärtskompatibel mit bereits gebrochener Kryptografie bleiben. Dazu gab es vor einigen Jahren auf der Cyphercon 6 einen guten Vortrag: https://www.youtube.com/watch?v=_hk2DsCWGXs
      Dass TLS 1.3 besonders betont wird, deutet darauf hin, dass Verbindungen herabgestuft werden oder dass Hardware bzw. Firmware in CPE-Bridges bei öffentlichen Websites transparente Man-in-the-Middle-Angriffe auf ältere Versionen ausführt. Die Betonung bestimmter DH-Gruppen könnte auch andeuten, dass es Schlüsselaustauschgruppen gibt, die offiziell noch nicht als gebrochen gelten, in Wirklichkeit aber bereits kompromittiert sind.
      Wenn Angreifer bei bereits kompromittierten sensiblen Personen spontan Schadcode in den Datenverkehr einschleusen können, können sie über diesen Traffic leicht in hochsensible Systeme eindringen. Eine noch weiter außen liegende Hypothese wäre, dass ein Verfahren zum Brechen von Feistel-Strukturen gefunden wurde. Die NSA hatte früher einmal von einem kryptografischen Durchbruch gesprochen; falls es dabei um einen Angriff auf die Feistel-Netzwerkstruktur ging, auf der ein Großteil moderner Kryptografie basiert, wäre das eine weitere mögliche Erklärung.
      In fast allen Computern sind backdoor-artige Hilfsprozessoren wie TrustZone, Management Engine oder AMD PSP eingebaut, die ohne ordentliche Audit-Trails allein durch Kryptografie geschützt werden. Das wirkt wie ein leicht erreichbares Ziel, das auf fast allen Computing-Plattformen der Welt konzentriert ist. Wenn ein Quantencomputer den einzelnen Signaturschlüssel solcher Systeme bricht, wäre das der Generalschlüssel für alles, und auf staatlicher Ebene ist das nicht völlig undenkbar. Ohne Sichtbarkeit gibt es nur indirekte Möglichkeiten, Probleme zu erkennen, darauf zu reagieren oder sie zu isolieren.
  • Frühere verwandte Diskussionen:
    PRC Targeting of Commercial Telecommunications Infrastructure
    https://news.ycombinator.com/item?id=42132014
    AT&T, Verizon reportedly hacked to target US govt wiretapping platform
    https://news.ycombinator.com/item?id=41766610

  • Noch vor ein paar Jahren forderten die Geheimdienste eine gesetzlich vorgeschriebene Hintertür, und jetzt empfiehlt das FBI für sichere Chats Signal — das wirkt schon fast wie eine Farce.
    Hoffentlich schaut sich die neue Regierung in den letzten vier Jahren auch deren E-Mails und SMS an. Ganz nach dem Motto: „Meine Privatsphäre zählt, deine nicht.“

    • Die Aussage, dass „der Angriff offenbar nicht den Breitbandanbieter selbst traf, sondern eines der Zwischenunternehmen zwischen staatlichen CALEA-Anfragen und dem Breitbandanbieter“, klingt plausibel.
      Angegriffen wurde die CALEA-Hintertür über ein ausgelagertes Unternehmen für Überwachungsmaßnahmen. Welche Firma war es?
      NEX-TECH: https://www.nex-tech.com/carrier/calea/
      Substentio: https://www.subsentio.com/solutions/platforms-technologies/
      Sy-Tech: https://www.sytechcorp.com/calea-lawful-intercept
      Welche anderen Firmen sind noch in diesem Geschäft? So viele Anbieter, die Überwachungsmaßnahmen auslagern, gibt es nicht. Verisign war wohl früher auch in diesem Bereich tätig, scheint es jetzt aber nicht mehr zu sein.
    • Philosophisch ist das kein Widerspruch. US-Strafverfolgungsbehörden sagen, dass sie Verschlüsselung mit richterlicher Anordnung brechen können sollten, und sagen jetzt nur, dass chinesische Spione das nicht können sollten.
      Technisch ist das natürlich unmöglich, aber aus Sicht der Geheimdienste ist der gewünschte Endzustand an sich durchaus nachvollziehbar.
    • Das FBI hat die seltsame Aufgabenstruktur, zugleich für Spionageabwehr und Kriminalitätsbekämpfung zuständig zu sein, und das sind ziemlich unterschiedliche Ziele.
      Es ist nicht überraschend, dass die Spionageabwehr starke Verschlüsselung will, während die Kriminalitätsbekämpfung Verschlüsselung mit möglicher Hintertür bevorzugt.
    • Will man wirklich, dass die neue antidemokratische und autoritäre Regierung die E-Mails des FBI durchsucht und daraus etwas konstruiert?
      Ich bezweifle, dass das besonders klug wäre, selbst wenn das FBI Privatsphäre nicht so respektiert, wie es sollte.
    • Es scheint sich alle paar Jahre zu wiederholen: Strafverfolgungsbehörden veröffentlichen Erklärungen darüber, wie nützlich Verschlüsselung für Kriminelle sei, und sobald dann wieder ein Datenleck passiert, rudern sie zurück.
  • Deshalb braucht es Ende-zu-Ende-Verschlüsselung über sämtliche Sicherheitsmaßnahmen des Telekommunikationsanbieters hinaus.
    Es gibt keinen Grund, warum irgendeine von mir aufgebaute Verbindung an einem anderen Punkt als beim Empfänger unverschlüsselt sein sollte.

    • Dass Ende-zu-Ende-Verschlüsselung nötig ist, stimmt, aber in diesem Fall hätte sie nicht geholfen.
      China zielte auf Metadaten darüber, wer mit wem kommuniziert, und das ist ein völlig anderes Problem.
    • Dafür gibt es einen offensichtlichen Grund. Nutzer wollen und können Schlüsselverwaltung im Allgemeinen nicht leisten.
      Schon mit Telefonnummern umzugehen ist mühsam, und dann soll man auch noch öffentliche Schlüssel hinzufügen. Man kann sie nicht einfach irgendwo notieren, und sie wären wahrscheinlich an das Gerät gebunden; verliert man das Handy und ersetzt es, könnte man keine Anrufe mehr annehmen, bis man den neuen Schlüssel irgendwie an alle verteilt hat.
      Ich denke, Ende-zu-Ende-Verschlüsselung hat sich in jedem Kontext, in dem sie versucht wurde, als nicht praktikabel erwiesen. Es gibt heute keine wirklich nützlichen echten Ende-zu-Ende-Verschlüsselungssysteme, und die Branche hat den Begriff bedeutungslos gemacht, indem sie ihn für „Pseudo-Verschlüsselung“ verwendet, bei der von Angreifern kontrollierte Software die Verschlüsselung ausführt. Da ohnehin niemand echte Ende-zu-Ende-Verschlüsselung verwendet hat, kann ich die Ingenieure, die solche Entscheidungen getroffen haben, bis zu einem gewissen Grad sogar verstehen.
  • Auch das US-Finanzministerium hat einen Einbruch durch chinesische Bedrohungsakteure bekanntgegeben.
    Demnach wurde ein Remote-Access-Key ihres „Cybersecurity-Anbieters“ kompromittiert, wodurch Angreifer auf interne Endpunkte des Finanzministeriums zugreifen konnten.

  • Soweit ich weiß, ist das für EU-Telekommunikationsanbieter wohl keine Neuigkeit. Chinesische Unternehmen betreiben dort so ziemlich alles und haben deshalb dauerhaften Zugriff auf fast alles.
    https://berthub.eu/articles/posts/5g-elephant-in-the-room/
    Ist das bei US-Telekommunikationsanbietern nicht so?

    • Zumindest kämpfen US-Telekommunikationsanbieter gegen China. Der europäische Ansatz lässt sich nicht nur freiwillig erobern, sondern bezahlt China sogar noch dafür.
      Zum Glück stehen US-Online-Dienste auf Europas Seite und arbeiten härter als alle anderen daran, Kommunikation zu schützen. Sie werden dafür in Europa nicht einmal bezahlt, und Europa bedankt sich mit Geldbußen in Milliardenhöhe. Europa hat Websites beschädigt, um die Aufmerksamkeitsökonomie zu besteuern, und den rechtlichen Schutz für Open-Source-Entwickler abgeschafft.
  • Wenn es um die „Fähigkeit geht, den Standort von Millionen Menschen zu bestimmen“, dann könnte Starlink mit seiner riesigen Direct-to-Cell-Antenne wahrscheinlich auch problemlos den Standort aller 4G-/5G-Handys über deren IMEI bestimmen.

    • Moderne Mobilfunkprotokolle legen die IMEI nicht unverschlüsselt offen.
      Es gibt ein mehrstufiges Verfahren mit temporären Kennungen, um Geräte in weiten Teilen des Netzes zu identifizieren, daher ist das nicht zwangsläufig so.
    • https://www.he360.com/ macht so etwas schon seit ziemlich langer Zeit.