Deep Packet Inspection (DPI)

Pro & Contra

Pro

  • Bandbreiten-Management
  • Spambekämpfung
  • Virenbekämpfung
  • Einbruchserkennung

Contra

  • Inhaltliche ITK-Überwachung parallel zur oder nach der Vorratsdatenspeicherung
  • Analyse und Überwachung des Inhalts von E-Mails, Instant Messaging, Webchats, SMS im Rahmen personen- und gruppenbezogener Überwachungsmaßnahmen oder allgemeiner Überwachungsprogramme der Geheimdienste
  • Filterung / Zensur, Blockierung von E-Mails, Instant Messages, Webchats, SMS, Webseiten
  • Drosselung, Blockierung, Erkennung von P2P-Anwendungen, Filesharing, Anonymisierungsdiensten, Web-Proxys
  • Generierung von Benutzer- und Kundenprofilen, personenbezogener Werbung

Verschlüsselung

Die DPI Analyse des Inhalts der Nutzdaten der Datenpakete wird durch ihre Verschlüsselung unterbunden, sofern sichere Verschlüsselungsalgorithmen, Verschlüsselungsimplementierungen und Schlüssellängen verwendet werden. Die DPI Analyse kann aber zumindest die Anwendung und Existenz von Verschlüsselung aufdecken und auswerten, um z. B. anschließend den Transport verschlüsselter Datenpakete zu blockieren oder sie für Versuche zur Entschlüsselung zu spiegeln.

Anonymisierung

Sofern Anwendungen oder Netzwerke (z. B. VPN, Tor, I2P), die für die Anonymisierung genutzt werden, sichere Verschlüsselungsmethoden integrieren, treffen die Aussagen wie unter Verschlüsselung zu.

Hersteller

DPI Kontext

  • Russia tries more precise technology to block Telegram messenger
    Telegram, which has 200 million global users and has been popular in countries including Russia and Iran, has been banned in Russia because it refused to comply with a court order to give security services access to users’ encrypted messages. Since Aug. 6, Russian state communications watchdog Roskomnadzor and state security agency the FSB have been testing systems designed to allow more precise blocking of individual services, according to the minutes of a meeting between officials to discuss the plan. The systems being tested now use a technology called Deep Packet Inspection. However, executives at two of the companies invited to take part said initial tests were not successful, because services other than the ones being targeted were still being blocked unintentionally. They said the testing was scheduled to conclude by Aug. 20, but the deadline has now been pushed back. According to the document, a copy of which was seen by Reuters, nine Russian technology firms were invited to submit their Deep Packet Inspection technology for testing. A source close to Roskomnadzor and one of the executives at a company invited to take part said the aim was to choose the most effective technology, refine it if necessary, and then install it on the networks of all Russian telecoms operators. reuters, 30.08.2018
  • IETF-Streit über Verschlüsselung: Darfs ein bisschen weniger sein?
    Bei der Internet Engineeering Task Force (IETF) schwelt ein Streit um die Konsequenzen der fortschreitenden Verschlüsselung der Datenströme im Netz. Ob bei der Entwicklung des TCP-Nachfolgers QUIC oder beim neuen TLS-Standard TLS 1.3, überall werden in den Arbeitsgruppen der IETF Vertreter von Netzbetreibern vorstellig. Die Verschlüsselung nicht nur von Paketinhalten, sondern zunehmend auch von Daten aus den Paketheadern würde ihnen die Suche nach Fehlerursachen, das Netzmanagement und dafür notwendige Messungen unmöglich machen. Während die Netzbetreiber-Fraktion, die von US-amerikanischen Unternehmen dominiert wird, in den betroffenen Arbeitsgruppen bislang noch wenig erfolgreich war, könnte ein abseits der Arbeitsgruppen diskutiertes Dokument ihnen mindestens einen Teilerfolg bescheren. Ein seit 2015 heftig umstrittener RFC-Entwurf soll die widersprüchlichen Interessen "ausbalancieren". Auf Seiten der IETF-Teilnehmer, die für die klare Priorisierung von Vertraulichkeit und Verschlüsselung eintreten, spricht man derweil schon von einer Art Erpressung, der die IETF nicht nachgeben sollte. Viele der im RFC Entwurf "neutral" dokumentierten Mechanismen, auf die die Netzbetreiber verzichten müssten, seien technisch und ethisch fragwürdig. Dazu gehören etwa Deep Packet Inspection für staatlich verordnetes Content Filtering, das Einpflanzen von Supercookies in HTTP-Header oder Fingerprinting, das laut dem Entwurf für die Abwehr von DDoS-Attacken wichtig sei. heise, 14.11.2017
  • Cybersecurity Pros Will Soon Patrol Computer Networks Like Agents in 'The Matrix'
    Thanks to a new virtual reality tool built by the Colorado-based startup ProtectWise, cybersecurity professionals may soon be patrolling computer networks — like real world beat cops — inside a three-dimensional video game world. Scott Chasin, CEO and co-founder of ProtectWise, sees a future in which companies might even have war-rooms of Oculus Rift-wearing security analysts who patrol their networks in VR. Their ProtectWise Grid product is launching a virtual reality user interface tool called Immersive Grid where each connected asset in a company — a server, PC, mobile device, whatever — is represented as a building inside a virtual city. The analysts can then monitor and patrol those buildings, which convey information about data traffic and security threats related to that device. The shape of the building — perhaps it’s round or square — designates what type of device it is; the height represents the IP network traffic; and the width indicates how much bandwidth is going to the device. If a building turns red or orange, an analyst would know there’s an elevated level of risk or unusual activity associated with that particular asset. All this almost sounds like a vision straight from science fiction — like Neuromancer, where hackers prowl the virtual reality “cyberspace” for corporate and military targets, or Ender’s Game, where a youthful, games-savvy generation are used to create real-world consequences through their gameplay. singularityhub, 08.05.2017
  • IT-Sicherheit: Koalition will Deep Packet Inspection und Netzsperren
    In einer Nacht- und Nebelaktion haben die Regierungsfraktionen ohne öffentliche Debatte den Weg freigemacht für eine umfangreiche Änderung des Telekommunikationsgesetzes (TKG), mit dem Provider künftig bei auftretenden Netzstörungen eine abgespeckte Variante der umstrittenen "Internet-Nacktscanner" in Stellung bringen und damit eine "Deep Packet Inspection light" (DPI) durchführen dürften. Die Regierungsfraktionen betonen zwar nun gleich zweimal, dass "Kommunikationsinhalte" nicht erfasst werden dürften. Zur Analyse freigeben wollen sie aber die "Steuerdaten", mit denen im OSI-Modell für Netzwerkprotokolle auf der vergleichbar hohen "Sitzungsschicht" die Prozesskommunikation zwischen zwei Systemen aufrechterhalten werden soll. Zugleich will die große Koalition den Anbietern von Telekommunikationsdiensten gestatten, "Datenverkehr bei Vorliegen einer Störung einzuschränken", auf Warnseiten umzuleiten "oder zu unterbinden". Ferner soll es den Diensteanbietern zur Abwehr von Cyberangriffen erlaubt werden, den Datenverkehr zu filtern und dabei "legitime von maliziöser Kommunikation" zu trennen. Den federführenden Innenausschuss des Bundestags hat die Initiative bereits Ende März still und leise passiert, sie soll in der nächsten Sitzungswoche am 27. April kurz vor 23 Uhr vom Plenum ohne weitere Korrekturen verabschiedet werden. heise, 13.04.2017
  • Nationales Cyber-Abwehrzentrum
    Das Nationale Cyber-Abwehrzentrum (Cyber-AZ) ist ein Thema der Antwort der Bundesregierung (18/10839) auf eine Kleine Anfrage [NB: "Cyber-Sicherheitsstrategie der Bundesregierung"] der Fraktion Die Linke (18/10682). Wie die Bundesregierung darin darlegt, soll das Cyber-AZ unter Federführung des Bundesinnenministeriums "zu einer Institution weiterentwickelt werden, die ressortgemeinsam handelt, erforderliche Aktivitäten koordiniert und das IT-Krisenmanagement für Deutschland übernimmt". hib, 31.01.2017
  • Innenministerium plant drei neue Internet-Eingreiftruppen
    Bundesinnenminister Thomas de Mazière will die Behörden komplett umbauen, die digitale Angriffe erkennen und abwehren sollen. Das geht aus einem vertraulichen Plan namens "Cybersicherheitsstrategie für Deutschland 2016" hervor. Auf 33 Seiten beschreibt der Plan die neue Cyberstrategie. Ihr Kern: Das BSI und das Cyberabwehrzentrum des Bundes in Bonn werden stark ausgebaut. Außerdem soll eine weitere Institution gegründet werden, um sofort auf eventuelle Angriffe reagieren zu können: ein Computer Emergency Response Team (CERT). Der Plan des Innenministeriums sieht außerdem vor, dass drei Behörden jeweils eine digitale Eingreiftruppe aufbauen, die jederzeit ausrücken kann. Das Bundesamt für Verfassungsschutz, das Bundeskriminalamt und das BSI sollen nun jeweils eine Quick Reaction Force bekommen. Kritisch ist die Idee, dass das Innenministerium zusammen mit den Providern die "Sensorik im Netz ausbauen" will, um Cyberangriffe und Infektionen besser erkennen zu können und laufende Angriffe abzuschwächen. Der Katalog der Straftaten, bei denen der Paragraf 100 a der Strafprozessordnung greife, müsse erweitert werden. Die Cyberstrategie sagt dazu lediglich, es müssten jene Straftaten berücksichtigt werden, "die online und konspirativ verübt werden". Die neue Cyberstrategie sieht auch eine "Anpassung" der Mitwirkungspflichten von Unternehmen vor, etwa bei der Identifizierung von Nutzern. Im Innenministerium soll außerdem eine zentrale Stelle entstehen, die Cyberwaffen beschafft und entwickelt. Die Cybersicherheitsstrategie erwähnt den Zitis-Plan nirgendwo, aber sie fasst diese beiden, sich widersprechenden Forderungen in einem Satz zusammen: "Die deutsche Kryptostrategie umfasst Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung." zeit, 07.07.2016
  • Startup ProtectWise Deploys 'Time Machine' Security Approach
    Picture an IT system, then imagine a DVR unit recording everything that happens in that system, so that there's a complete record of all activity as it trudges along each day. That fictional DVR would be a fair description of Denver-based startup ProtectWise, which exited stealth mode in March following two years of development and has started a lot of talk among industry people for its singular, data science-oriented approach to security. ProtectWise is, in effect, a time machine; it can go back in time, check to see the events leading up to a data breach or other business issue, and provide a real-time report and clear insight on chains of events as they happen. Here's more detail on how ProtectWise works: A virtual camera records everything that happens on a network; ProtectWise compresses the video, streams it into its software package and then processes it in real time. It is then infused with threat detection software and stored for a year; this allows ProtectWise to view network activity at a time when most breaches aren't discovered for more than 200 days, Chasin said. eweek, 24.07.2015
  • Communication Security Establishment's cyberwarfare toolbox revealed
    Top-secret documents obtained by the CBC show Canada's electronic spy agency has developed a vast arsenal of cyberwarfare tools alongside its U.S. and British counterparts to hack into computers and phones in many parts of the world, including in friendly trade countries like Mexico and hotspots like the Middle East. The CSE toolbox includes the ability to redirect someone to a fake website, create unrest by pretending to be another government or hacker, and siphon classified information out of computer networks, according to experts who viewed the documents. cbc, 23.03.2015
  • Die geheime Überwachungswunschliste des BND
    Der BND will für 300 Millionen Euro Technik kaufen. Einiges davon braucht der Nachrichtendienst. Manches aber ist gefährlich. ZEIT ONLINE erklärt die geheime Liste. zeit, 13.11.2014
  • Meet the shadowy tech brokers that deliver your data to the NSA
    These so-called "trusted third-parties" may be the most important tech companies you've never heard of. With permission from their ISP customers, these third-parties discreetly wiretap their networks at the behest of law enforcement agencies, like the Federal Bureau of Investigation (FBI), and even intelligence agencies like the National Security Agency (NSA). Under the 1994 law, the Communications Assistance for Law Enforcement Act (CALEA), any company considered a "communications provider" has to allow government agencies access when a valid court order is served. On a typical day, these trusted third-parties can handle anything from subpoenas to search warrants and court orders, demanding the transfer of a person's data to law enforcement. They are also cleared to work with classified and highly secretive FISA warrants. A single FISA order can be wide enough to force a company to turn over its entire store of customer data. Neustar, like other trusted third-parties, are granted full technical access to the network of its ISP customer, either by way of the company's own wiretap equipment or technology provided by the trusted third-party. Once a FISA warrant is issued, so-called "tasking" orders, which contain selectors — like a phone number or an email address — are often sent electronically to the ISP. These tell the ISP or phone company, or third-parties like Neustar, exactly where to wiretap and what data to collect to hand back to the requesting authority. By acting as middlemen, companies like Neustar, Subsentio, and Yaana often liaise with the targeted ISP or phone company, and the law enforcement agency to act as a channel in which intercepted data can flow. Thomas said that Subsentio, unlike Neustar, is not a formal "custodian of records," but it interacts with both parties to ensure the correct records and the right amount of data is transferred from the company to the law enforcement agency. The company typically handles pen registers for real-time recording of phone numbers made from a particular line, full-content wiretap orders, and FISA warrants. Subsentio provides more than simply the legal vetting procedures for determining whether a lawful intercept can go ahead. It's not unusual for Subsentio to provide the actual wiretap device itself, should its customer need one. Thomas said trusted third-parties are "not a regulated industry" and that there is no external party reviewing such work. He said that the company does not undergo any audits that would examine how they do their jobs. zdnet, 05.09.2014
  • Schrodinger's Cat Video and the Death of Clear-Text
    While there has been much discussion about the use of software described as ‘implants’ or ‘backdoors’ to perform targeted surveillance, this report is about the less well understood method by which most targeted surveillance is delivered: network injection. Taking advantage of security flaws in major web presences, vendors have started selling turnkey solutions that enable easy installation of targeted surveillance software at scale. This report provides a detailed analysis of two products sold for facilitating targeted surveillance known as network injection appliances. These products allow for the easy deployment of targeted surveillance implants and are being sold by commercial vendors to countries around the world. Compromising a target becomes as simple as waiting for the user to view unencrypted content on the Internet. While the technology required to perform such attacks has been understood for some time, there is limited documentation of the operation of these attacks by state actors. This report provides details on the use of such surveillance solutions including how they are built, deployed, and operated. citizen lab, 14.08.2014
  • Edward Snowden: The Untold Story
    One day an intelligence officer told him that TAO had attempted in 2012 to remotely install an exploit in one of the core routers at a major Internet service provider in Syria, which was in the midst of a prolonged civil war. But something went wrong, and the router was bricked instead — rendered totally inoperable. The failure of this router caused Syria to suddenly lose all connection to the Internet — although the public didn’t know that the US government was responsible. The last straw for Snowden was a secret program he discovered while getting up to speed on the capabilities of the NSA’s enormous and highly secret data storage facility in Bluffdale, Utah. Potentially capable of holding upwards of a yottabyte of data, some 500 quintillion pages of text, the 1 million-square-foot building is known within the NSA as the Mission Data Repository. (According to Snowden, the original name was Massive Data Repository, but it was changed after some staffers thought it sounded too creepy — and accurate.) The massive surveillance effort was bad enough, but Snowden was even more disturbed to discover a new, Strangelovian cyberwarfare program in the works, codenamed MonsterMind. The program would automate the process of hunting for the beginnings of a foreign cyberattack. Software would constantly be on the lookout for traffic patterns indicating known or suspected attacks. When it detected an attack, MonsterMind would automatically block it from entering the country — a “kill” in cyber terminology. Programs like this had existed for decades, but MonsterMind software would add a unique new capability: Instead of simply detecting and killing the malware at the point of entry, MonsterMind would automatically fire back, with no human involvement. wired, 13.08.2014
  • Meet MonsterMind, the NSA Bot That Could Wage Cyberwar Autonomously
    The NSA whistleblower says the agency is developing a cyber defense system that would instantly and autonomously neutralize foreign cyberattacks against the US, and could be used to launch retaliatory strikes as well. The program, called MonsterMind, raises fresh concerns about privacy and the government’s policies around offensive digital attacks. Although details of the program are scant, Snowden tells WIRED in an extensive interview with James Bamford that algorithms would scour massive repositories of metadata and analyze it to differentiate normal network traffic from anomalous or malicious traffic. Armed with this knowledge, the NSA could instantly and autonomously identify, and block, a foreign threat. The second issue with the program is a constitutional concern. Spotting malicious attacks in the manner Snowden describes would, he says, require the NSA to collect and analyze all network traffic flows in order to design an algorithm that distinguishes normal traffic flow from anomalous, malicious traffic. Blaze says the algorithm scanning system Snowden describes sounds similar to the government’s recent Einstein 2 and Einstein 3 programs, which use network sensors to identify malicious attacks aimed at U.S. government systems. Although MonsterMind does resemble the Einstein programs to a certain degree, it also sounds much like the Plan X cyberwarfare program run by Darpa. wired threat level, 13.08.2014
  • Deutsche im Visier des US-Geheimdienstes: Von der NSA als Extremist gebrandmarkt
    Es ist eines der empfindlichsten Geheimnisse der NSA, der Motor der weltweiten Überwachungsmaschine: der Quelltext des Programms XKeyscore, dem umfassendsten Ausspähprogramm des US-Auslandsgeheimdiensts. NDR und WDR liegen Auszüge des Quellcodes vor [NB: http://daserste.ndr.de/panorama/aktuell/NSA-targets-the-privacy-conscious,nsa230.html]. In dem vorliegenden Quellcode geht es um die Ausspähung der Infrastruktur und der Nutzer des Tor-Netzwerks. Die Berichterstattung des "Guardian" über Powerpoint-Präsentationen aus dem Snowden-Archiv hat im vergangenen Jahr gezeigt, dass das Tor-Netzwerk der NSA ein besonderer Dorn im Auge ist [NB: https://pinboard.in/u:kraven/t:software_tor/t:anonymisierung_anti/t:geheimdienst_us_nsa_xks_xkeyscore/]. Nutzer, die sich mit dem Tor-Netzwerk verbinden, greifen automatisch auf einen der neun "Directory Authorities" zu, um die neueste Liste herunterzuladen. Alle diese Zugriffe werden von der NSA markiert und landen nach Recherchen von NDR und WDR anschließend in einer speziellen NSA-Datenbank. Ironischerweise sind es nach den speziellen Regeln, die NDR und WDR vorliegen, also ausgerechnet Personen mit dem Wunsch nach Anonymisierung, die zum Ziel der NSA werden [NB: ?, natürlich]. In den Augen des Geheimdienstes: Extremisten. Das ist keine Rhetorik, keine journalistische Zuspitzung. Der Begriff befindet sich sogar in der Kommentarspalte des Quelltexts, notiert von Programmierern der NSA. Was die Regeln des Quellcodes ebenfalls verraten: Die NSA beobachtet im großen Stil die Suchanfragen weltweit - auch in Deutschland. Allein schon die einfache Suche nach Verschlüsselungssoftware wie "Tails" reicht aus, um ins Raster der NSA zu geraten. Sein Sitznachbar hat die Webseite des Tor-Projekts geöffnet. Auch seine Verbindung zu dieser Webseite ist nun markiert und in einer Datenbank abgelegt. Denn die gesamte Webseite des Tor-Projekts ist unter Beobachtung. Werden E-Mails zur Verbindung mit dem Tor-Netzwerk genutzt, dann werden laut Programmierbefehl auch die Inhalte, der sogenannte E-Mail-Body, ausgewertet und gespeichert. Das entsprechende Zitat aus dem Quellcode lautet: "email_body('https://bridges.torproject.org/' : c++ extractors:" [NB: Tja, miese "Get Bridges" Strategie des Tor Projekts]. tagesschau, 03.07.2014
  • Encrypted Web Traffic and Apple’s Mobile Messaging Vulnerable to Statistical Snooping
    New research suggests that the U.S. National Security Agency, or any other organization capable of collecting large quantities of Web traffic, could extract private information from encrypted communications by searching for patterns in that data stream. That research focuses on an approach known as traffic analysis, which involves using statistical techniques to find patterns in encrypted communications. Researchers at the University of California, Berkeley, and Intel developed a particularly effective version targeted against HTTPS. The technique involves having software visit the websites of interest and using machine-learning algorithms to learn the traffic patterns associated with different pages. Those patterns are then looked for in a victim’s traffic trace. On average, the technique was about 90 percent accurate at identifying Web pages. A paper on the Berkeley research will be presented at the Privacy Enhancing Technologies Symposium in Amsterdam next month. Corporations with access to Internet traffic might also have motivation to use it, says Brad Miller, the PhD candidate at Berkeley who led the research. For example, an ISP might want to gain information about its customers’ online activity that could be used to target ads, even if those customers have encrypted their browsing or communications. An operator that did want to defend against traffic analysis would likely find it expensive. Researchers, including Coull and the team at Berkeley, have tested ways to “pad” encrypted data to hide giveaway patterns from traffic analysis, but transferring extra data isn’t free. technology review, 19.06.2014

Presse & Medien

Pressemitteilungen / PR

Verweise auf aktuelle Seite