Staatliche Datenmanipulation per Deep Packet Inspection (DPI)

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34121
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Staatliche Datenmanipulation per Deep Packet Inspection (DPI)

Beitrag von doelf » 12 Mär 2018, 17:01

Bei der "Deep Packet Inspection" (DPI) sehen sich staatliche Stellen und Internetanbieter den Netzwerkverkehr nicht nur ganz genau an, sie können diesen auch nach Belieben manipulieren. Aktuelle Vorfälle aus der Türkei und Ägypten unterstreichen, dass der flächendeckende Einsatz von HTTPS und ein rigoroses Vorgehen gegen Zertifikatsmissbrauch inzwischen unumgänglich ist.

Die kanadische Forschungseinrichtung "Citizen Lab", welche als Teil der "Munk School of Global Affairs" zur "University of Toronto" gehört, hat staatliche Angriffe auf den Datenverkehr in der Türkei und Ägypten untersucht. Offenbar wurde PacketLogic-Hardware von Sandvine (bis 2017 unter dem Namen "Procera Networks" bekannt) vom türkischen Internetanbieter Türk Telekom genutzt, um den Datenverkehr zu manipulieren und den Internetnutzern staatliche Trojaner unterzuschieben. Bei der Telecom Egypt kamen die auch als Middleboxes bekannten Geräte zum Einsatz, um Internetnutzer auf Webseiten mit Werbung und Mining-Code für Kryptowährungen umzuleiten.

Erdogan verteilt Staatstrojaner
Türk Telekom ist das größte Telekommunikationsunternehmen in der Türkei, es ist 1995 aus der Privatisierung der staatlichen Post PTT hervorgegangen. Obwohl Türk Telekom inzwischen mehrheitlich der privaten Firma Oger Telecom gehört, hält auch das türkische "Staatssekretariat für Schatzwesen" noch 30 Prozent des Unternehmens. Sich diesem staatlichen Einfluss beugend hat die Türk Telekom legale Downloads beliebter Windows-Programme, darunter Avast Antivirus, CCleaner, Opera und 7-Zip, abgefangen und auf manipulierte Installationspakete umgeleitet. Diese enthielten zunächst eine staatliche Spionagesoftware von FinFisher und später eine Spyware, welche an die StrongPity-APT-Angriffe aus dem Jahr 2016 erinnert. Durch grenzüberschreitende WLAN-Netze sind auch syrische Benutzer entlang der türkischen Grenze betroffen.

Ägypter suchen das schnelle Geld
Die Telecom Egypt scheint in erster Linie finanzielle Interessen zu verfolgen. Über die Middleboxes werden Benutzer auf Webseiten umgeleitet, die mit Werbung zugepflastert sind. Auf einigen dieser Seiten findet sich auch Javascript-Code, mit dem im Webbrowser Kryptowährungen geschürft werden. Dies führt auf den Computern der Internetnutzer zu einer hohen CPU-Last und somit auch zu einem hohen Stromverbrauch. Während der staatlich gesteuerte Angriff in der Türkei nur Windows-Rechner im Visier hatte, funktioniert diese Art der Monetarisierung über Werbung und Kryptowährungen auch mit anderen Betriebssystemen und Plattformen.

Und zensiert wird obendrein
Das primäre Einsatzgebiet von DPI ist die Suche nach illegalen Inhalten und somit auch die staatliche Zensur. Diese findet sowohl in Ägypten als auch in der Türkei statt. Laut Citizen Lab blockieren die Ägypter über ihre Middleboxes Zugriffe auf Dutzende von Internetseiten aus den Bereichen Nachrichten, Menschenrechte und Politik. Unerwünscht sind im Land der Pyramiden beispielsweise Human Rights Watch, Reporter ohne Grenzen, Al Jazeera, Mada Masr und HuffPost Arabic. Die Türkei nutzte DPI, um Wikipedia zu sperren und den Zugriff auf den öffentlich-rechtlichen Rundfunk der Niederlande (NOS) sowie das Internetangebot der kurdischen Arbeiterpartei PKK zu unterbinden. Während die PKK seitens der Türkei als terroristische Organisation betrachtet wird, erklärte Präsident Recep Tayyip Erdogan die Niederländer im Frühjahr 2017 zu "Überbleibseln der Nazis".

Ausweg: HTTPS
Auch wenn HTTPS kein Allheilmittel ist, stellt die verschlüsselte Übertragung dennoch eine hohe Hürde dar. Bei einer unverschlüsselten Übertragung, also über HTTP, können die Middleboxes die Daten nach Belieben manipulieren, ohne dabei Verdacht zu erregen. Die Middleboxes führen also einen typischen Mittelsmann-Angriff durch. Damit dies auch bei HTTPS gelingt, muss der Mittelsmann über manipulierte Zertifikate verfügen oder den Zielserver selbst kontrollieren. Geht es nicht um den Zugriff auf das Internet, sondern um direkte Datenübertragungen, empfiehlt sich indes der Einsatz eines VPN-Tunnels (Virtual Private Network).

Quelle:
https://citizenlab.ca/2018/03/bad-traff ... key-syria/
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten