MUSCULAR: So verschafft sich die NSA Zugang zu Yahoo und Google

documentsblauEs gibt neue Dokumente aus Snowdens Fundus. Die Presse hat lange überlegt, wie sich die NSA Zugang zu den Clouds bzw. den Benutzerdaten von Google und Yahoo verschafft. Ob eine enge Kooperation zwischen den Unternehmen und der NSA besteht, oder nicht. Veröffentlichungen der Washington Post bringen nun etwas Licht ins Dunkel. MUSCULAR nennt sich das Programm, mit dem NSA und GCHQ den internen Datenverkehr zwischen den Rechenzentren von Yahoo und von Google abhören, speichern und entschlüsseln. Da diese Datenzentren über verschiedene Kontinente verteilt sind, operiert die NSA mit wesentlich größerer Freiheit, als z.B. beim Prism Programm. Das Geheimdienstgericht hat z.B. keine Aufsicht über Aktivitäten, die unter der Executive Order 12333 ausgeführt werden – wie MUSCULAR.

GOOGLE-CLOUD-EXPLOITATION1383148810Durch das MUSCULAR Programm hören NSA und GCHQ den Datenverkehr direkt innerhalb des Cloud-Netzwerkes von Yahoo oder Google ab, da dieser unverschlüsselt und in eigenen Glasfaser-Netzwerken übertragen wird. Wie man in der Grafik sieht, verbinden sogenannte „Google Front-End Server“ die Google Cloud mit dem restlichen Internet. Google fing erst diesen September damit an den Cloud-Datenverkehr in den eigenen Cloud-Glasfasernetzen zu verschlüsseln. So sagte Eric Grosse, Vize-Präsident für Security-Engineering bei Google, dass es sich um ein Wettrüsten handele.

It’s an arms race. We see these government agencies as among the most skilled players in this game.

Das MUSCULAR Programm sendete z.B. im Januar dieses Jahres über 181 Millionen Datensätze aus den Clouds von Google und Yahoo nach Fort Meade. „Datensatz“ kann hier alles bedeuten – Verbindungsdaten, Mail-Inhalte, Chat-Protokolle oder schlichtweg alles, was einer Person zugeordnet werden kann. All die Daten, an die die NSA nicht über Prism (und dessen Restriktionen durch FISA und Patriot Act) herankommt, werden sich anscheinend durch MUSCULAR einverleibt. So sagte auch ein ehemaliger NSA Analyst gegenüber der Washington Post, dass die NSA unzähliger Anwälte beschäftigt, um die rechtlichen Grenzen möglichst geschickt auszulegen.

Look, NSA has platoons of lawyers and their entire job is figuring out how to stay within the law and maximize collection by exploiting every loophole. It’s fair to say the rules are less restrictive under Executive Order 12333 than they are under FISA.

Letztlich zeigen die neuen Dokumente, wie aggressiv NSA und GCHQ bei der Suche nach möglichst vielen Daten vorgehen. Selbst wenn der Datenverkehr innerhalb der Clouds bisher – leider (!) – unverschlüsselt ist und Google erst jetzt auf verschlüsselten Datenverkehr umstellt, handelt es sich hier um einen Einbruch in ein privates Kommunikationsnetzwerk durch NSA und GCHQ. Alles mit der Rechtfertigung, dass man so viele Daten wie möglich braucht, um die Arbeit zu erledigen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

26 Ergänzungen

  1. Damit bewahrheitet die ursprünglich gemachte und von Google zurückgewiesene Behauptung, die NSA könne direkt auf Googles Systeme zugreifen. Daß Google und Yahoo die Clouds nicht verschlüsselt haben, ist allerdings unabhängig davon mindestens fahrlässig.

    1. Ich versteh die schon. Warum soll ich einen Datenstrom verschlüsseln, der nie mein Rechenzentrum verlässt und über ein Kabel läuft, das nur zu diesem Zweck existiert? Da kann ja gar niemand ran. Außer er wedelt halt mit einem NSL.
      Allerdings ist Verschlüsselung mittlerweile so schnell, dass es tatsächlich keinen Unterschied machen dürfte.

  2. Aus dem Washington Post Artikel: „Two engineers with close ties to Google exploded in profanity when they saw the drawing.“ :)

    1. Warum, sollte man eher Fragen. Vermutlich weil sie die waren, die den Schüssel für das TL abgegeben haben. Man sollte im Augenblick sehr aufpassen wer was warum sagt. Guck Dir mal das Bild an genauer an. „SSL added and removed“ Geht dies ohne Hilfe von Google?

      1. Naja, SSL removed heißt ja erstmal nur, dass die Verschlüsselung dort aufhört, weil die Google Cloud angeblich unverschlüsselt ist. ich hab ein bisschen Probleme, alles was auf diesen Slides ist für bare Münze zu nehmen, insbesondere wenn nicht klar ist, wie bestimmte Dinge ausgehebelt werden sollen, die eigentlich gerade dazu designed wurden, solche Art von Spionage zu unterbinden (z.b. bei der Behauptung, dass VPNs geknackt werden können). Unabhängig von der ernste Dimension der ganzen Sache fand ich den Kommentar aber lustig.

      2. Achja, und wir hätten beide mal den Artikel genauer lesen sollen, da steht nämlich drin, dass das Anzapfen der Daten nicht auf den Front-End Servern passiert, sondern an den Leitungen zwischen den Datencentern in der unverschlüsselten Cloud. Also ohne Hilfe von Google.

      3. Trotzdem sehr dumm von google. Für so etwas gibt es schon länger Hardware …

        a) Die haben die zw. den DC nicht genutzt (Doof, anzeigen!)
        b) Die hatten so etwas und diese Hardware hat … Probleme?

  3. Technische Lösungen müssen her …

    … und die gibt es auch.

    Das ganze heißt Ende-zu-Ende-Verschlüsselung und wird vom BSI in technischen Richtlinien bereits jetzt vorgeschrieben, wie man hier für Smart Meter Gateways lesen kann:

    https://www.bsi.bund.de/DE/Themen/SmartMeter/TechnRichtlinie/TR_node.html

    Da schreibt das BSI vor, dass die Zählerdaten eben nicht nur über TLS zu verschicken sind. Da müssen die Inhaltsdaten mit einem weiteren Schlüssel bearbeitet werde. Dazu kommt dann noch ein dritter Schlüssel für die Signatur. Das ist selbst für die NSA so gut wie nicht mehr zu knacken.

    Und wenn man sich jetzt mal überlegt, dass dieser ganze Sicherheitsaufwand betrieben wird, nur um meinen Stromzählerstand zu meinem Energieversorger zu transportieren …

    Es wird also gerade in Deutschland eine Infrastruktur aufgebaut, um Stromzählerstände sicher zu versenden. Aber dass wir Bürgerinnen und Bürger mal unbelauscht EMail austauschen können – da fehlt einfach der politische Wille, dieses Web 3.0 auch durchzusetzen:

    http://wagnisdemokratie.wordpress.com/2013/09/08/web-3-0-die-ruckeroberung-der-freiheit/

  4. wenn man sich vergegenwärtigt, wie wenig hier noch kommentiert wird, kann man daraus den schluss ziehen, dass der nsa-skandal das gros der leserschaft nicht sonderlich tangiert, im sinne von umtreibt. auch abzulesen an den mickrigen teilnehmerzahlen der bisherigen demos und mahnwachen.

    1. Oder es ist die Schere im Kopf … Ich wollte eigentlich einen alten Link aus dem Google Blog posten, habe es aber gelassen, da er zu mehrdeutig ist und ich kein Tor nutze.

      1. Zu spät. Du hast schon hier gepostet. Wer weiss vielleicht reicht das in 10 Jahren schon um dich abzuholen.

    2. Wir haben beim dem Thema immer 2 Probleme:
      1. Müssen wir netzaffinen „Fachidioten“ uns fragen, ob bei diesen Themen und Inhalten die Nicht-netzaffinen, die Nicht-Onliner und die Nicht-Computer-Freaks überhaupt verstehen, um was es geht? Den Text hier würde z.B. Tante Jutta oder die Rosi von der Supermarktkasse völlig kalt lassen, weil sie gar nicht begreifen, was das ganze soll?
      2. Haben wir Netzaffinen (und z.B. auch die Piratenpartei) dabei völlig versagt, den Bürgern zu erklären, warum und wie jeder einzelne persönlich davon betroffen ist. Dem konservativen Spießer und CDU-Wähler kann man z.b. mit Bürgerrechten und -freiheiten gar nicht kommen, weil ihn sowas völlig egal ist und er sich vom Todschlagargument „Sicherheit“ einlullen lässt. Wenn man ihm aber klarmacht, dass dadurch auch deutsche Unternehmen den Interessen ausländischer Staaten ausgeliefert sind, massiv Wirtschafsspionage betrieben wird und der Standort Deutschland und damit Arbeitsplätze gefähret sind, horcht plötzlich auch der sonst bei dem Thema völlig ignorante auf und macht sich Gedanken. Es geht also darum, das Thema aus der Sichtweise der anderen zu betrachten.

      1. > Tante Jutta oder die Rosi von der Supermarktkasse
        haben nichts dagegen, wenn us-agenten Ihre katzenbilder-uploads sich ungefragt ebenfalls anschauen. das problem hat jemand — ich weiß nicht mehr, wer — vor ein paar wochen ausgemacht: solange der lebensgefährte von glenn greenwald der einzige ist, der unter dem medialen fallout des nsa-skandals zu leiden hatte (im transit-bereich von heathrow), wird die problematik der ausspähung nicht evident. es finden sich schlicht keine geschädigten, die als opfer in den medien sich artikulieren. selbst die abgehörte handvoll staatschefs ist summa summarum eher zurückhaltend. china sieht die sache sportlich, schaut neidisch aufs know-how und die kapazitäten der us-behörden.

      2. Ihr „netzaffinen Computer-Freaks“ und „progressiven Spießer und Piratenpartei-Wähler“ habt vor allem das Problem, daß Ihr selber bis heute nicht begreift, was das „Netz“ eigentlich ist. Ihr glaubt, es habe etwas mit „Freiheit“ und so zu tun, und verwechselt den Massenkommunikationshype mit der heißgeliebten Demokratie. Dabei ist es zu 99,9 Prozent eine rein kommerzielle Veranstaltung. Die Infrastruktur ist privat, die Inhalte auch. Nichts anderes als die Werbeplakate im öffentlichen Raum oder die Werbepause in der Glotze. Ein Auswuchs der Konsumgesellschaft. Nur, daß die Pause für manche jetzt lebenslang dauert.

        Und die restlichen 0,1 Prozent des „Netzes“, also der Teil, der nicht unmittelbar dem Profit von Großkonzernen dient, dient eben dazu, die Freiheit zu unterdrücken und die kleine Minderheit, die aufbegehren könnte, in Zaum zu halten. Die Überwachung gefährdet nicht das „Netz“, sondern das „Netz“ ist die Grundvoraussetzung und das Mittel zur effizienten Überwachung. Wenn Leute, die ständig mit einem Sender in der Hand durch die Weltgeschichte rennen oder die die Besucher ihrer Website zu Flattr, Twitter, Google, Ivwbox und Doubleklick schicken, sich darüber beklagen, überwacht zu werden, kann ich im übrigen eigentlich nur lachen.

  5. Nur um Missverständnissen vorzubeugen: Die ominöse Zahl von „181 Millionen Datensätzen“ bezieht sich auf jene Daten, die die NSA tatsächlich haben will. Im WaPo-Artikel heißt es:

    „In the preceding 30 days, the report said, field collectors had processed and sent back 181,280,466 new records.“

    Was heißt „processed“? „[…] the data are sent through a series of filters to “select” information the NSA wants and “defeat” what it does not. PowerPoint slides about the Google cloud, for example, show that the NSA tries to filter out all data from the company’s “Web crawler,” which indexes Internet pages.“

    Kann man das oben vielleicht noch klarstellen? Und in Zukunft bis Seite 3 des Artikels lesen? Danke!

  6. NSA bespitzelt Internet-Riesen: Warum haben Yahoo und Google nichts gemerkt?

    Auf einem simplen Post-it erklärt die NSA, wie sie die Verschlüsselung von Daten knackt. Über den Google-Server verschafft sich der Geheimdienst Zugang zu den Inhalten, markiert die Aktion mit einem Smile (mi). Die „Washington Post“ veröffentlichte diese Skizze am Mittwoch.

    31.10.2013 — 08:40 Uhr

    Wie viel kommt da noch?

    Bundeskanzlerin Angela Merkel, der Papst und jetzt auch Yahoo und Google. Kein Tag ohne Bekanntwerden eines weiteren Opfers der Spitzeleien der US-Regierung.

    In Kalifornien ist man empört. Hochgradig! So hat Google hat mit scharfen Worten auf das mögliche Anzapfen seiner Datenleitungen durch den US-Geheimdienst NSA reagiert.

    „Wir sind aufgebracht darüber, wie weit die Regierung scheinbar gegangen ist, um Daten aus unseren privaten Glasfaser-Netzwerken abzugreifen“, erklärte Chefjustiziar David Drummond. „Und das unterstreicht die dringende Notwendigkeit für eine Reform.“

    Zuvor hatte die „Washington Post” unter Berufung auf Dokumente aus dem Fundus von Edward Snowden berichtet, dass die NSA sich in die Leitungen einklinke, die die Rechenzentren von Google untereinander verbinde.

    Dadurch könne die NSA die Daten Hunderter Millionen Nutzerkonten abgreifen. Auch Yahoo sei betroffen. NSA-Chef Keith Alexander erklärte, nur den gesetzlich vorgeschriebenen Weg beim Sammeln von Informationen zu gehen.

    Warum haben Yahoo und Google nichts gemerkt?

    Laut Drummond ist Google allerdings schon länger besorgt, dass es zu derartigen Schnüffeleien durch die Hintertür kommen könne – weshalb immer mehr Verbindungen und Dienste verschlüsselt würden, insbesondere für die in diesem Fall aufgezeigten.

    Auf einem Dokument, das die Zeitung veröffentlichte und der NSA zuschrieb, waren Googles E-Mail-Dienst Gmail, die Online-Büroprogramme Docs und der Kartendienst Maps aufgeführt.

    Nach Angaben der Zeitung stehe in den NSA-Papieren vom 9. Januar dieses Jahres, dass die Behörde täglich Daten von internen Google- und Yahoo-Netzwerken in Datenzentren beim NSA-Hauptquartier schicke. In den vorangehenden 30 Tagen seien damals mehr als 181 Millionen neue Aufzeichnungen registriert worden.

    Dabei habe es sich um Absender- und Empfängerdaten bis hin zu Inhalten wie Text, Tonaufnahmen und Videos gehandelt, schreibt die Zeitung.

    Die NSA betreibe gemeinsam mit dem britischen GCHQ ein „ungewöhnlich aggressives“ Werkzeug mit dem Namen „Muscular“, dass die Daten erschließe.

    Es unterscheide sich von einem Geheimgericht genehmigten Spähprogramm „Prism“, das den US-Behörden direkten Zugang zur Internetkommunikation über verschiedene Anbieter ermögliche.
    Es sei bislang nicht bekannt gewesen, dass die NSA auch routinemäßig gegen US-Unternehmen vorgehe.

    Sie nutze dabei aus, auf Verbindungen zu Datenzentren außerhalb der USA zuzugreifen, was juristisch einfacher sei. Google etwa betreibe sie in Irland, Finnland, Belgien, Chile oder Singapur.

    NSA streitet alles ab

    „Wir haben keinen Zugang zu Google-Servern, Yahoo-Servern und so weiter”, sagte NSA-Chef Alexander kurz nach Bekanntwerden des Berichts auf einer Internetsicherheits-Konferenz in Washington. Die NSA besorge sich einen Gerichtsbeschluss. „Es sind auch nicht Millionen, es geht um Tausende. Und fast alle richten sich gegen Terrorismus und andere solche Dinge.“

    Google gehört zu den größten Kritikern der NSA-Spionage. Google verlangt zusammen mit anderen Unternehmen des Silicon Valley wie Yahoo, Facebook und Microsoft, mehr Details über geheimdienstliche Anfragen veröffentlichen zu dürfen.
    Die großen US-Internetkonzerne fürchten sonst, Nutzer zu verlieren. „Wir gewähren keiner Regierung, die US-Regierung eingeschlossen, Zugang zu unseren Systemen“, erklärte Chefjustiziar Drummond. Selbiges hatte auch Yahoo der „Washington Post“ versichert.

    Quelle: Bild.de

  7. So würde es auch bei der Vorratsdatenspeicherung laufen.

    Technisch gesehen gibt es keine Grenze zwischen den Servern der Provider und den Staatsservern, die sind per Glasfaser miteinander verbunden. Die Providerserver wären Teil des Staatsapparats.

    Rechtlich kann es auch keine wirksame Schranke geben. Wenn irgendwo ein Auto gestohlen wird, wird der Staat alle Daten von allen Providern in ganz Deutschland auf seine Server kopieren, denn das Auto könnte ja überall sein. Das kann er jeden Tag, jede Woche, jeden Monat machen, auch gestückelt.

    Und für den Staat gilt die Löschfrist nicht! Dann hat der Staat alle Metadaten inkl. der Aufenthaltsorte von allen Deutschen in jeder Sekunde für Jahrzehnte.

    1. Gibt übrigens unerwarte Hilfe von Seiten der Union. Bosbach führt als Argument für die Vorratsdatenspeicherung an, dass die Metadaten und Ortsdaten ja bei den Providern bleiben würden, und nicht etwa beim Staat.

      Mal abgesehen davon, dass dieses Argument ganz offensichtlich falsch ist (s.7.), so äußert er doch damit die Befürchtung vieler, dass der Staat diese Daten missbrauchen würde.

      Vielen Dank Herr Bosbach für Ihre Unterstützung im Kampf gegen die Vorratsdatenspeicherung.

  8. Die ersten, die die deutschen Vorratsdaten abgreifen werden, sind die Amis und die Chinesen. Schlecht für Firmen wie etwa Siemens, wenn die anderen wissen, mit welchen potentiellen Käufern die Verkäufer von Siemens gerade in Verkaufsverhandlungen sind (einfach zu ermitteln über die Telefonnummern und die E-Mail-Adressen).

    Aber ich denke – wie SPD, CDU und CSU auch -, massive Schäden für die deutsche Wirtschaft sind im Kampf gegen Terrorismus und Kinderpornografie hinzunehmen.

  9. Diese News, wie sie derzeit verbreitet wird, ist völlig unglaubwürdig – und zwar hinsichtlich des extra ‚Hackens‘ der NSA…

    Lt. PRISM Papiere zählen Google, Microsoft, Facebook und Apple zu den etablierten Partnern im PRISM-Programm. Da muss sich niemand reinhacken. Die NSA i s t da drin, und die Firmen müssen die Daten liefern, ob sie wollen oder nicht.

    Angesichts der PRISM-Leaks kann die Veröffentlichung nur als ein Greenwashing-Versuch eingeordnet werden, eine Reinwasch-Kampagne. Man will die Öffentlichkeit in Sicherheit wiegen: als müsste sich die NSA in Daten reinhacken, auf die ihnen Google keinen Zugriff sonst gewähre. Tja, wären da nicht die PRISM-Präsentations-Folien der NSA….

    Demnach muss die NSA nix Hacken und hat per se Zugriff. Und zwar auf alles und direkt über die Firmen – vertraglich bzw. per behördlichem Zwang gesichert…
    http://t3n.de/news/prism-nsa-fbi-haben-angeblich-471360/prism_2/

    Lt. NSA-Schulungsfolien und rücksichtlich der Security-Letters (siehe Lavabit) kann die NSA a l l e s direkt bei den Firmen abschnorcheln. Warum also ein Hack, den sie gar nicht brauchen!? Na, um uns jetzt weisszumachen, die Firmen könnten durch eine SSL-Verschlüsselung wieder den Tresor dichtmachen, so dass man ihnen wieder vertrauen könnte … während die NSA aber einfach nur da weitermacht, wie es ihre eigenen Folien präsentieren: direkt und sauber alles direkt und von den Quellen weiter abschnorcheln – und zwar in den Netzwerken der Firmen mit deren Wissen und Beihilfe.

    In diesem Sinne sind die jüngsten Kampagnen z.B. von Facebook und Google, um uns einen gewissen Widerstand und Seriösität der Firmen unterzujubeln, uns gegenüber noch hinterhältiger und abstrafungswürdiger als die Klarheit vorher. Die berauben uns unserer bürgerlichen Rechte und verarschen uns auch noch. Dabei widerlegen ihre eigenen Schulungsfolien die derzeitigen Greenwashing-Kampagnen… .

    Und nur noch einmal zur Erinnerung, wie uns dieses Pack lt. eigener Schulungs-Folien bewertet: In Unterlegung des Apple-1984 Werbespots erläutert die NSA auf den iPhone-Location-Service. Der NSA-Kommentar dazu: „Wer hätte 1984 geahnt, dass dies “Big Brother” ist … und dass die Zombies zahlende Kunden sein würden?“
    https://netzpolitik.org/2013/wer-haette-1984-geahnt-dass-dies-big-brother-ist-und-dass-die-zombies-zahlende-kunden-sein-wuerden/

    Die Zombies – das sind wir alle aus der Sicht dieser Verbrecher…
    Und leider ist Apple Teil des Ganzen – also eine Firme, die in völkerrechtlich verbrecherische Aktivitäten hinterhältigster Art verwickelt ist und sie weitreichend unterstützt. Apple hat seine gesamte Kundschaft an eine verbrecherisch agierende Behörde verraten. iAgent auf höchstem Niveau. Zynisch genug, dass man es sich von einer verratenen Kundschaft noch teuer zahlen lässt. Äh, schrieb ich ‚Kundschaft‘?!? Natürlich heißt es ‚Zombies‘. Wir wollen doch korrekt im NSA-Sprachgebrauch bleiben…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.