image

Britse geheime dienst wil internetprotocollen aanpassen

zondag 6 november 2016, 09:15 door Redactie, 21 reacties

De Britse geheime dienst wil internetprotocollen aanpassen om spoofing- en ddos-aanvallen te voorkomen, maar critici zijn sceptisch en stellen dat de voorstellen gevolgen voor de privacy kunnen hebben. Om de protocollen aan te passen wil het GCHQ met internetproviders gaan samenwerken.

"We denken dat we ervoor kunnen zorgen dat een Britse machine niet aan ddos-aanvallen kan meedoen", zegt Ian Levy, technisch directeur van het GCHQ Nationaal Cyber Security Centre tegenover de Sunday Telegraph. "We denken dat we de onderliggende infrastructuur middels implemenatie-aanpassingen door internetproviders en communicatieserviceproviders kunnen repareren."

Zo wil het GCHQ aanpassingen aan het Border Gateway Protocol (BGP) en Signalling System 7 (SS7) doorvoeren die voor het routeren van verkeer worden gebruikt. De Britse geheime dienst zou zo willen voorkomen dat Brits verkeer voor ddos-aanvallen wordt ingezet en ook het tegengaan van sms-spoofing wordt al reden gegeven. De Internet Service Providers Association (ISPA), vertegenwoordiger van internetproviders, is sceptisch en stelt dat de problemen niet eenvoudig te verhelpen zijn, aangezien het om een oud en complex systeem gaat.

Beveiligingsonderzoekers waarschuwen daarnaast dat de aanpassingen gevolgen voor de privacy kunnen hebben en dat de maatregelen ddos-aanvallen niet zullen kunnen voorkomen. "GCHQ geniet niet echt het vertrouwen van de industrie", zegt Steven Marchant van het University College London. Hij wijst op eerdere incidenten waarbij de geheime dienst dergelijke samenwerkingsverbanden gebruikte om de eigen surveillancemogelijkheden uit te breiden.

Reacties (21)
06-11-2016, 09:23 door Anoniem
Waarschijnlijk inclusief een 'afluister hook'.
06-11-2016, 09:59 door karma4
Los van de techniek GCHQ heeft als vriend getoond dat je met ze geen vijanden nodig hebt. Vertrouwen gaat te paard komt te voet. Als je ze wat hebben zullen ze het aan andere partijen open en bloot moeten vrijgeven in de hoop dat die er wat mee kunnen.
06-11-2016, 10:16 door Anoniem
Als GCHQ ermee komt, zou ik maar eens beginnen met het gewoon niet willen. Tot op heden was dat altijd de juiste reactie als ze eens wat voorstelden.

Nu nog ff de adder vinden - ze doen dit vast niet zonder eigen belang.
06-11-2016, 10:59 door [Account Verwijderd] - Bijgewerkt: 06-11-2016, 11:01
[Verwijderd]
06-11-2016, 11:50 door Anoniem
Simpel, je krijgt nu de keus, anders gaat het voor einde van het jaar via een gag order alsnog...
Zo werken de 21 ste eeuw Stasi's...
06-11-2016, 12:18 door Anoniem
Ik vind het een goede zaak dat er eens werk gemaakt word van source address spoofing.
"critici zijn sceptisch" maar dat zijn denk ik vooral de onwetende aluhoedjes die bij alles meteen "privacy" roepen.
Er is geen enkele reden waarom een systeem op internet verkeer zou moeten kunnen verzenden met andere source
adressen dan de destination adressen die naar datzelfde systeem gerouteerd worden, en het wordt hoog tijd dat er
op dat gebied eens grote stappen gemaakt worden.
Dit had natuurlijk door de internet providers moeten worden gedaan, maar als die collectief lamlendig zijn dan moet
ce GCHQ het maar oppakken. Ze hebben jarenlang de kans gehad, dus nu niet mekkeren!
06-11-2016, 14:38 door Anoniem
SS7 is al hartstikke lek - die juist tracking mogelijk maken door (anonieme) 3rd parties; dat is juist het probleem. En Ingress en Outgresss filtering voor IP had al 15 jaar geleden verplicht moeten worden voor upstream ISPs/Telco's op IXes. Wat dat betreft ben ik voor; de GCHQ aan BGP laten rommelen lijkt me geen goed idee nee ... het is een van de geniepigste geheime diensten van Europa die vaak ook in strijd met Europese wet handelt ...
06-11-2016, 18:17 door Anoniem
Heel aannemelijk dat ze achter bepaalde lekken aan zitten, zoals eindgebruikers informatie bij verschillende operators.

Dat betreft dan locatie lekken, privé informatie (identifiers, cryptografische sleutels, abonnement/prepaid status) en ontsleuteling van SMS en gesprekken. (SMS-en gingen we toch al afvoeren).

Dit alles zoals onze geachte anoniem van 14:38 al aangeeft bij SS7 dat lek is.

MAP berichten lekken locatie-cell,, privé info, homeroutering, authvectors, accountplan, net_homerouting_defeated_ati, net_homerouting_defeated_psi, locatie lekken. Dit met behulp van het vaststellen van de netwerk topologie, verkeerde configuraties die uitnodigen tot aanvallen om data aan te kunnen passen, het omzeilen van beveiligingsmechanismen.

Natuurlijk is deze dienst en hun zusterdiensten daar in geïnteresseerd. En dat is zeker niet in het belang van de eindgebruiker,
maar wel in het belang van een gemakkelijkere totale surveillance structuur.

Conclusie wie beveiliging van vitale infrastructuur zo laat liggen en alleen gaat investeren als de boel zowat in elkaar stort, verdient niet beter met de onbewuste eindgebruiker als het spreekwoordelijke "haasje, de sigaar ofwel de pineut".
06-11-2016, 23:26 door Anoniem
Door Anoniem: Heel aannemelijk dat ze achter bepaalde lekken aan zitten, zoals eindgebruikers informatie bij verschillende operators.

Dat betreft dan locatie lekken, privé informatie (identifiers, cryptografische sleutels, abonnement/prepaid status) en ontsleuteling van SMS en gesprekken. (SMS-en gingen we toch al afvoeren).

Dit alles zoals onze geachte anoniem van 14:38 al aangeeft bij SS7 dat lek is.

MAP berichten lekken locatie-cell,, privé info, homeroutering, authvectors, accountplan, net_homerouting_defeated_ati, net_homerouting_defeated_psi, locatie lekken. Dit met behulp van het vaststellen van de netwerk topologie, verkeerde configuraties die uitnodigen tot aanvallen om data aan te kunnen passen, het omzeilen van beveiligingsmechanismen.

Natuurlijk is deze dienst en hun zusterdiensten daar in geïnteresseerd. En dat is zeker niet in het belang van de eindgebruiker,
maar wel in het belang van een gemakkelijkere totale surveillance structuur.

Conclusie wie beveiliging van vitale infrastructuur zo laat liggen en alleen gaat investeren als de boel zowat in elkaar stort, verdient niet beter met de onbewuste eindgebruiker als het spreekwoordelijke "haasje, de sigaar ofwel de pineut".

Een artikel kan absoluut verrijkt worden door opmerkingen van deskundigen hierover. Maar wat staat hier in godsnaam? Zouden de deskundigen hun opmerkingen alstublieft in gewoon nederlands willen geven? Anders gaat het denk ik een groot deel van de lezers boven de pet. Dat geldt in ieder geval voor mij. Alvast hartelijk dank.
07-11-2016, 08:29 door Anoniem
Door Anoniem:
Door Anoniem: Heel aannemelijk dat ze achter bepaalde lekken aan zitten, zoals eindgebruikers informatie bij verschillende operators.

Dat betreft dan locatie lekken, privé informatie (identifiers, cryptografische sleutels, abonnement/prepaid status) en ontsleuteling van SMS en gesprekken. (SMS-en gingen we toch al afvoeren).

Dit alles zoals onze geachte anoniem van 14:38 al aangeeft bij SS7 dat lek is.

MAP berichten lekken locatie-cell,, privé info, homeroutering, authvectors, accountplan, net_homerouting_defeated_ati, net_homerouting_defeated_psi, locatie lekken. Dit met behulp van het vaststellen van de netwerk topologie, verkeerde configuraties die uitnodigen tot aanvallen om data aan te kunnen passen, het omzeilen van beveiligingsmechanismen.

Natuurlijk is deze dienst en hun zusterdiensten daar in geïnteresseerd. En dat is zeker niet in het belang van de eindgebruiker,
maar wel in het belang van een gemakkelijkere totale surveillance structuur.

Conclusie wie beveiliging van vitale infrastructuur zo laat liggen en alleen gaat investeren als de boel zowat in elkaar stort, verdient niet beter met de onbewuste eindgebruiker als het spreekwoordelijke "haasje, de sigaar ofwel de pineut".

Een artikel kan absoluut verrijkt worden door opmerkingen van deskundigen hierover. Maar wat staat hier in godsnaam? Zouden de deskundigen hun opmerkingen alstublieft in gewoon nederlands willen geven? Anders gaat het denk ik een groot deel van de lezers boven de pet. Dat geldt in ieder geval voor mij. Alvast hartelijk dank.


Goh, Even Bing, Google, of watnot; en je bent weer een paar termen rijker; en je ziet wellicht ineens hoe NL er voor staat qua privacy...

Bekijk bijvoorbeeld http://ss7map.p1sec.com/ (hele website is wel grappig: http://labs.p1sec.com/)


Grtz,

M.
07-11-2016, 09:56 door Anoniem
Door Anoniem: Ik vind het een goede zaak dat er eens werk gemaakt word van source address spoofing.
"critici zijn sceptisch" maar dat zijn denk ik vooral de onwetende aluhoedjes die bij alles meteen "privacy" roepen.
Er is geen enkele reden waarom een systeem op internet verkeer zou moeten kunnen verzenden met andere source
adressen dan de destination adressen die naar datzelfde systeem gerouteerd worden, en het wordt hoog tijd dat er
op dat gebied eens grote stappen gemaakt worden.
Dit had natuurlijk door de internet providers moeten worden gedaan, maar als die collectief lamlendig zijn dan moet
ce GCHQ het maar oppakken. Ze hebben jarenlang de kans gehad, dus nu niet mekkeren!

Om spoofing tegen te gaan hoef je protocollen niet aan te passen. Het volstaat met het afdwingen van anti-spoofing maatregelen bij de diverse providers.

Peter
07-11-2016, 10:06 door Anoniem
Door Anoniem:
Door Anoniem: Ik vind het een goede zaak dat er eens werk gemaakt word van source address spoofing.
"critici zijn sceptisch" maar dat zijn denk ik vooral de onwetende aluhoedjes die bij alles meteen "privacy" roepen.
Er is geen enkele reden waarom een systeem op internet verkeer zou moeten kunnen verzenden met andere source
adressen dan de destination adressen die naar datzelfde systeem gerouteerd worden, en het wordt hoog tijd dat er
op dat gebied eens grote stappen gemaakt worden.
Dit had natuurlijk door de internet providers moeten worden gedaan, maar als die collectief lamlendig zijn dan moet
ce GCHQ het maar oppakken. Ze hebben jarenlang de kans gehad, dus nu niet mekkeren!

Om spoofing tegen te gaan hoef je protocollen niet aan te passen. Het volstaat met het afdwingen van anti-spoofing maatregelen bij de diverse providers.

Peter

De providers beweren echter dat dit niet goed mogelijk is door beperkingen in de protocollen. Ze zouden zogenaamd
te veel werk moeten doen. Afleiden van source adres filters uit BGP informatie zou een goede stap zijn.
Providers hebben duidelijk aangegeven, zowel in woord als in daad, dat ze niks gaan doen aan source adres filtering
dus het wordt tijd dat het opgepakt wordt door de autoriteiten. Kans op zelfregulatie gehad en verknoeid!
(wat SS7 hier bij doet weet ik ook niet, volgens mij is dat hooguit betrokken bij caller ID spoofing)
07-11-2016, 13:10 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik vind het een goede zaak dat er eens werk gemaakt word van source address spoofing.
"critici zijn sceptisch" maar dat zijn denk ik vooral de onwetende aluhoedjes die bij alles meteen "privacy" roepen.
Er is geen enkele reden waarom een systeem op internet verkeer zou moeten kunnen verzenden met andere source
adressen dan de destination adressen die naar datzelfde systeem gerouteerd worden, en het wordt hoog tijd dat er
op dat gebied eens grote stappen gemaakt worden.
Dit had natuurlijk door de internet providers moeten worden gedaan, maar als die collectief lamlendig zijn dan moet
ce GCHQ het maar oppakken. Ze hebben jarenlang de kans gehad, dus nu niet mekkeren!

Om spoofing tegen te gaan hoef je protocollen niet aan te passen. Het volstaat met het afdwingen van anti-spoofing maatregelen bij de diverse providers.

Peter

De providers beweren echter dat dit niet goed mogelijk is door beperkingen in de protocollen. Ze zouden zogenaamd
te veel werk moeten doen. Afleiden van source adres filters uit BGP informatie zou een goede stap zijn.
Providers hebben duidelijk aangegeven, zowel in woord als in daad, dat ze niks gaan doen aan source adres filtering
dus het wordt tijd dat het opgepakt wordt door de autoriteiten. Kans op zelfregulatie gehad en verknoeid!
(wat SS7 hier bij doet weet ik ook niet, volgens mij is dat hooguit betrokken bij caller ID spoofing)

De wat professionelere ISP's doen dit wel (conform BCP 38 zie http://www.bcp38.info/index.php/Main_Page), al als Best Practice bekend sinds 2000!. En ja er zijn wat problemen met sommige specifieke protocollen.
Maar om nu het gehele routeringmechanisme (BGP) aan te gaan passen omdat enkele heel specifieke protocollen hier problemen mee hebben is de wereld op z'n kop: richt je op een verbetering van de probleemgevallen.

Overigens is dit geen oplossing voor alle ddos aanvallen, maar alleen die aanvallen waarbij het bron-adres gespoofed wordt. Als je kijkt naar de ddos met de IoT devices van meer dan een week geleden dan is dat niet per definitie een oplossing: als je voldoende clients hebt dan hoef je niet te spoofen omdat je voldoende bandbreedte kan inzetten. In zo'n situatie helpt een aanpassing van BGP niet (en ook niet van BCP38) omdat het normaal gerouteerd verkeer betreft.

Q
07-11-2016, 13:16 door Anoniem
Het huidige internet moet worden verbeterd (zijn genoeg initiatieven en technieken reeds voorhanden) en er moet een nieuwe network stack gemaakt worden door academici (genoeg initiatieven maar niet genoeg geld).

Het eerste afdwingen door de autoriteiten kan zolang het transparant is en ze alleen sturend mogen werken en zich niet met de inhoud mogen bemoeien. Het tweede mag absoluut niet door de autoriteiten worden gedaan want er is een hoge mate van belangenverstrengeling.
07-11-2016, 14:18 door Anoniem
Iedereen die iets met beveiliging of ethisch hacken wil, moet natuurlijk redelijk op de hoogte zijn met de desbetreffende protocollen. Vroeger hadden we zo´n leuk uitgevertje in Schoonhoven, die er (hand)boeken over uitgaf en soms ook nog in versies voor dummies.

De opmerking van Anoniem van 13:16 snijdt wel hout, maar mijn vraag is in hoeverre zijn tegenwoordig academici nog daadwerkelijk onafhankelijke wetenschappers. Alhoewel, ik denk niet, dat een ieder van hen zich in gaat zetten ten behoeve van een eng clubje als British Signal Intelligence aka GCHQ.

Je hoeft alleen maar de verhalen van je opa over de gevolgen van het zogenaamde "Englandspiel" in WO II voor de geest te halen, om te weten dat je deze vos niet over je kippen hoeft te laten waken. Hoeveel Nederlandse agenten hebben dit Englandspiel, handjeklap tussen de Engelse Intelligence en Duitse Abwehr, niet met de hoogste prijs moeten betalen (RIP). Velen hier kennen wel voorbeelden van Engelandvaarders/agenten uit de plaats waar ze wonen. En we weten dat de geschiedenis zich in andere vorm, tijd en op andere plaats toch steeds weer lijkt te herhalen.

Dat ISP´s de hakken in het zand zullen zetten, zodra men ze dwingt wat te investeren in `best practices` is niet eens zo verwonderlijk. Check maar bij je eigen provider en test op latency en bufferbloat (jammer, maar weer van die moeilijke Engelse termen, maar ja je ontkomt er ook niet aan in de techniek). Je kan het online opzoeken, hoor!.

Ik zit wat latency betreft op een magere E-status en kreeg laatst nog een mailtje over een storing, waarvoor mijn provider op extra capaciteit van KPN rekende, om het voor de piekuren te kunnen oplossen. Leuk, he (not)? Als de medewerkers bij telefonische contacten ook nog naar je account wachtwoorden beginnen te vragen, dan weet je wel waar de kennis en waar de onkunde is geïnvesteerd.

Mijn idee is dat GCHQ een proefballonnetje oplaat om de desinteresse/onwil bij faciliterende diensten uit te buiten om zo de structuren af te sluiten voor concurrerende derde partijen (crimineel of officieel, die IP spoofen en botnet aanvallen plegen).

Ondertussen zorgen ze dan dat de eigen achterdeurtjes stiekem in de protocollen binnensluipen. Kan het niet bewijzen, maar het zou me gezien hun reputatie niks verbazen.

Aan de andere kant verdient de markt het wel. Dit door altijd beveiliging als sluitpost op de begroting te zien en heel menselijk pas actie te nemen als het kalf verdronken is. We zullen wel zien wat er gebeurt.
07-11-2016, 14:30 door Anoniem
De discussie over de gaten in SS7 stamt van afgelopen augustus. Lees bijvoorbeeld eens hier: http://securityaffairs.co/wordpress/39409/cyber-crime/ss7-flaw-surveillance.html (vertaal met Google translate).

Heeft met afluisteren van doen. En wat doet GCHQ bij voorkeur? Het is, juist ja, een "afluisterdienst".
"Feind hört mit einander", zogezegd.
07-11-2016, 18:01 door Anoniem
Het gaat niet om ddos aanvallen, het gaat er misschien ook om dat het CGHQ precies weet wie achter een spoof-adressering zit. Dus denk even verder.....massa-surveillantie, sleepnetten en niet te vergeten iets met Snowden. Ze zullen wel zeggen dat het niet daar voor is, maar je kunt er een glas jajem op drinken dat het wel zo uitwerkt.
07-11-2016, 21:22 door Anoniem
Door Anoniem: Het gaat niet om ddos aanvallen, het gaat er misschien ook om dat het CGHQ precies weet wie achter een spoof-adressering zit. Dus denk even verder.....massa-surveillantie, sleepnetten en niet te vergeten iets met Snowden. Ze zullen wel zeggen dat het niet daar voor is, maar je kunt er een glas jajem op drinken dat het wel zo uitwerkt.
Ik vind het ook niet bar legitiem klinken dat ze internet- met sms-protocollen in verband brengen... zou de puurste zever moeten zijn.
07-11-2016, 22:14 door Anoniem
Maar met die SS7 aanvallen daar zit wel wat in.

Met name het hele gebeuren rond geo-locatie.

Ik kende destijds iemand die regelmatig ergens berichten op een forum plaatste over
het uitschakelen van geo-locatie in diverse programma's en op verschillende typen smartphones
en uiteindelijk op pretext van non-topic te posten werd verbannen.
We schreven toen het jaar 2011.
Dat is in de cybergeschiedenis zowat "een halve eeuw" geleden,
om zo maar 's uit te drukken.

ss7 locatie tracking is dus wel degelijk een belangrijk item voor CGHQ en consorten.

Iemand die er meer van weet, waarom ze zo'n belangstelling voor dit versleten protocol hebben?

Ik denk dat voor velen de geweldige omvang van de jarenlange sleepnet-surveillance
en de impact ervan voor de gemiddelde burger nog niet voldoende doorgedrongen is.
Even checken op mijn Fake-Hotspot Detector applicatie!?!
07-11-2016, 23:22 door Anoniem
Om een andere reden is het ook nog een raar verhaal.
SS7 moet nog zeker een flink aantal jaartjes mee, misschien wel tot twee decennia lang.
Er is simpelweg veel te veel in geïnvesteerd om snel zomaar wat te kunnen aanpassen.

De narigheid is dat het ofwel toegankelijk is voor cyber-criminele groepen via aanvallen en fraude
of door degenen die toegang kopen.

Er wordt dus levendig in toegang gehandeld door de diverse mobiele carriers. Een goudmijn. Adverteerders willen toegang tot sommige mobiele nummers van een andere mobiele provider voor een prijs van enkele honderden euro en bepaalde overheidsinstanties kopen toegang voor zo'n 1200 tot 1400 euro (tap).

Het aanbod van mobiele providers mag ook niet te veel in de bekende belabberde kwaliteit schelen vanwege het eigen merk belang. Alle mobiele aanbieders werken namelijk aan brand damaging control.

Het protocol heeft geen e2e en staat bijvoorbeeld open voor MiM aanvallen, waarbij ineens een andere host dan de bedoeling is mee kan luisteren. Ook staat het open voor grote data-verliezen, zoals we recentelijk vaker en vaker horen.

De belabberdste situatie vinden we in Afrika, dan in de USA, en danin Azië. Europa heeft wat dat betreft het minst verdacht verkeer te duchten. Toch is de algemene protocol situatie inherent onveilig en bedreigend.

Wat wil GHCQ nu? Alles laten overgaan op iets veiligers of SS7 echt op de schop nemen met een eigen overgooier (sorry, 'overlayer', maar het leek me wel een grappige gedachtesprong)?
08-11-2016, 13:14 door Anoniem
Door Anoniem:

De wat professionelere ISP's doen dit wel (conform BCP 38 zie http://www.bcp38.info/index.php/Main_Page), al als Best Practice bekend sinds 2000!. En ja er zijn wat problemen met sommige specifieke protocollen.
Maar om nu het gehele routeringmechanisme (BGP) aan te gaan passen omdat enkele heel specifieke protocollen hier problemen mee hebben is de wereld op z'n kop: richt je op een verbetering van de probleemgevallen.

Overigens is dit geen oplossing voor alle ddos aanvallen, maar alleen die aanvallen waarbij het bron-adres gespoofed wordt. Als je kijkt naar de ddos met de IoT devices van meer dan een week geleden dan is dat niet per definitie een oplossing: als je voldoende clients hebt dan hoef je niet te spoofen omdat je voldoende bandbreedte kan inzetten. In zo'n situatie helpt een aanpassing van BGP niet (en ook niet van BCP38) omdat het normaal gerouteerd verkeer betreft.

Q

En een hoop van die devices welke vervolgens voor DDoSen gebruikt kunnen worden (oa) kunnen dan weer mooi door de plaatselijke abuse desk opgepakt worden. Helaas word dit echter ook vaak gezien als enkel een kostenpost.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.