Diskussionsforum
Menü

Zentrale NGN Infrastruktur


19.03.2014 22:30 - Gestartet von kammann
Leider begünstigt die von Telekom & Co installalierte NGN Infrastruktur ein zentraler Mitschnitt aller Telefonate: Während früher beispielsweise Ortsgespräche immer in der Ortsvermittlungsstelle vermittelt wurden, wird die NGN-IP Telefonie heute über wenige zentrale Knoten abgewickelt - Ein Telefonat zum Nachbarn läuft dann gerne über eine zentrale Vermittlung am anderen Ende des Landes - da ist es natürlich einfach, an diesen zentralen Knoten die kompletten Gespräche "auszuleiten".
Würde man stattdessen ein IP-Telefonnetz nach freien Standards (SIP+Enum) aufbauen, dann würden zumindest die Gesprächsinhalte direkt per IP zwischen den beteiligten Endgeräten abgewickelt. Im Falle eines Anrufs zum Nachbarn würden (wenn beide Teilnehmer den gleichen DSL Anbieter nutzen) die Daten gerade mal über den nächstgelegen IP-Router (in dergleichen Stadt) laufen. Ein Abhören an wenigen zentralen Stellen wäre somit nicht möglich.
Stattdessen werden bei den meisten NGN Betreibern jedoch sämtliche Gesprächsinhalte über zentrale Knoten übertragen - das ist ein grundlegender Design-Fehler, wenn man das zentrale Abhören verhindern möchte!
Menü
[1] IMHO antwortet auf kammann
20.03.2014 10:27
Benutzer kammann schrieb:
Stattdessen werden bei den meisten NGN Betreibern jedoch sämtliche Gesprächsinhalte über zentrale Knoten übertragen - das ist ein grundlegender Design-Fehler, wenn man das zentrale Abhören verhindern möchte!
Und dann? Dann gibt es eben dezentrales Abhören. In diesem Fall kann man den Abhörtraffic wiederum leichter verschleiern.
Wir wissen doch beide, dass es IP-Spoofing und tausend andere MITM-Techniken gibt, eine IP-zu-IP-Verbindungen per Umleitung über Abhörknoten zu routen. Die IP-Adresse ist doch nur dafür gut, dass der Traffic !unter anderem! auch den legitimen Empfänger erreicht.
Es gibt doch überhaupt keine Mittel zu verhindern, dass die IP-zu-IP-Verbindung unterwegs mehrfach gesplittet und kopiert werden. Die NSA setzt Abhör-"Implantate" in alle möglichen Endgeräte hinein, die eine Software haben und in Massenproduktion hergestellt werden. VoIP-Router haben Scheunentore und Pseudozufallsgeneratoren zur Schlüsselerstellung werden schon ab US-Chip-Werk korrumpiert.
Eine sauber implementierte Verschlüsselung kann helfen, aber nur wenn kein US-Betriebssystem verwendet wird. Also weder Android noch Apple noch Microsoft.

NGN ist eine tarifpolitische Geiselnahme des Kunden, damit er einen NGN-Router (möglichst ohne Programmiermöglichkeit für alternative SIP-Anbieter) braucht und seine Telefonate nicht so leicht über konkurrierende SIP-Anbieter abwickelt.
Aber kryptographisch ist es doch auch schon wurscht. Entweder ein sauberes oder ein "dreckiges" System. Ein bisschen putzen hilft da nicht.
Menü
[1.1] Leiter Kundenverarsche³ antwortet auf IMHO
20.05.2014 21:11
Benutzer IMHO schrieb:
NGN ist eine tarifpolitische Geiselnahme des Kunden, damit er einen NGN-Router (möglichst ohne Programmiermöglichkeit für alternative SIP-Anbieter) braucht und seine Telefonate nicht so leicht über konkurrierende SIP-Anbieter abwickelt. Aber kryptographisch ist es doch auch schon wurscht. Entweder ein sauberes oder ein "dreckiges" System. Ein bisschen putzen hilft da nicht.

Ja, da hast absolut recht! Nichtsdestotrotz hat aber auch er recht. Eine zentrale NGN-Infrastruktur ist die beste Einladung zum Abhören, die man sich denken kann...
In keiner anderen denkbaren Konstellation ist der Lauschangriff so simpel.
Menü
[1.1.1] IMHO antwortet auf Leiter Kundenverarsche³
21.05.2014 08:51
Benutzer Leiter Kundenverarsche³ schrieb:

Ja, da hast absolut recht! Nichtsdestotrotz hat aber auch er recht. Eine zentrale NGN-Infrastruktur ist die beste Einladung zum Abhören, die man sich denken kann...
In keiner anderen denkbaren Konstellation ist der Lauschangriff so simpel.

Zwischenzeitlich sind zwei Monate vergangen und es ist gerade raus, dass das gesamte Bahamas-PLMN abgehört wurde. NGN-Zentralisierung erleichtert den Angriff, da man "nur" in ein gesichertes Rechenzentrum einbrechen braucht. O.k..

Für die Dimension "ausländischer Geheimdienst macht was er will", frage ich mich nur, wie die es schaffen, alles was sie abgehört haben zur Auswertungseinheit zu kurbeln. Die NSA wird ja ihre Mystic/Somalget-Server weiterhin in den USA stehen haben. Die NSA muss dann eine erhebliche Datenmenge in die USA transferieren. In diesem Zusammenhang *glaube* ich, dass sowas bei dezentralem Abhören leichter versteckt werden kann.

Um diese Hausnummer geht es mir: Alle schreien "was abgehört?" und keiner fragt wie diese riesigen Datenmengen ""unbemerkt"" nach Utah oder nach Ford Meade kommen.
Über das Niveau "ein einzelnes Gespräch wird abgehört", sind wir schon lange drüber weg. Die NSA macht Verkehrsdatenanalysen ganzer Länder! Die braucht nur ihren Auswertungscomputer fragen: Als 201.202.203.204 ein Gespräch begonnen hat, wer hat zu diesem Zeitpunkt ein Gespräch angenommen? Und schon gibt es Daten!!! Die Bahamas sind der bekannte Einzelfall, bei dem auch alle Inhalte mitgeschnitten worden sein soll.
NGN ohne Traffic-Verschlüsselung ist dann genauso witzlos wie SIP ohne Verschlüsselung oder so lächerlich wie SRTP-SIP ohne Vorkehrungen gegen MITM.

Und wenn man dann endlich SRTP-SIP mit gesichertem Schlüsselaustausch (mal lese ich MKey mal TLS) benutzt, hat man proprietäre Software und hinterläßt trotzdem auswertbare Verbindungsdaten!

Und http://heise.de/-2187510 berichtet mit der Überschrift:
"Ex-NSA-Chef: "Wir töten auf Basis von Metadaten""
dass die NSA genau dieses macht. Alleine auf Grund von Metadaten wird todbringend geschossen und die Gesamthandlung als kriegerische Tätigkeit bezeichnet.
Ohne die Erklärung "Kriegseinsatz der Drohne" wäre sowas Tötung mit Heimtücke aka Mord.

Wo sich jetzt die Metadaten leichter abschöpfen lassen, bei einem gesicherten Rechenzentrum, das außerhalb der USA gelegen nicht automatisch der US-Rechtssprechung untersteht oder über die Verknüpfung von ENUM-Auskünften und NSA-Implantaten in Cisco-Routern kann ich nicht beurteilen. Ich glaube die NSA macht einfach beides.

Beim Inhalte-Abhören in NGN-Rechenzentren wird der Datenstrom auffällig groß, wenn zusätzlich 100 Geprächs-Durchschläge nach Utah gekurbelt werden.
Es sei denn man hat den Rechenzentrumsbetreiber im "rechtlichen" Würgegriff [FISA etc.] Dass die NSA zur Metadaten-Ausspähung sich auf NGN-Rechenzentren verlässt, bezweifle ich. Dann würden ihr die User entgehen die verschiedenen Kommunikationskanäle parallel benutzen, also die die irgendwie Telefonieren, ihren politischen Freund aber nur über Instagramm oder über Viber kontaktieren. Aber in deren Rechenzentren sitzt die NSA wahrscheinlich auch schon drin. (Ich unterstelle KEINE Kooperation der Betreiber]

Ach' es ist zum kotzen. Und ich habe auch keine Lösung zur Hand. DUS.net bietet seit Jahr und Tag SRTP-SIP. Nachdem es aber niemand im Bekanntekreis nutzt, ist es bei irgendeinem FB-Update wieder von der Box verschwunden.
Hast Du einen konstruktiven Vorschlag?