Vor einiger Zeit veröffentlichte die New York Times einen Artikel, der erneut Besorgnis und viele Fragen aufwirft. Ich werde versuchen, so einfach wie möglich zu erklären, wie Computernetzwerke und das erwähnte System SORM funktionieren.

Computernetzwerke als Kommunikation zwischen Hotels

In Netzwerken werden Daten in Form von Paketen zwischen Computern übertragen (ein Telefon oder ein beliebiges anderes Gerät kann in dieser Situation als Computer betrachtet werden). Das nächste Analogon zum Paket wäre ein Papierbrief. Ein physischer Brief hat mehrere wichtige Merkmale - den Namen und die Adresse des Absenders und des Empfängers sowie sein Gewicht. Gleiches gilt für ein Datenpaket mit sehr ähnlichen Merkmalen. Insbesondere die IP-Adressen des Absenders und des Empfängers ersetzen die Postadresse, sowie der Port, eine Zahl, die die Anwendung angibt, die Daten sendet und empfängt. Es gibt auch sein "Gewicht", nämlich die Größe in Bytes.

Man kann sich das wie eine Korrespondenz zwischen den Gästen zweier Hotels vorstellen, wobei die Hoteladresse als Adresse verwendet wird und anstelle des Namens die Zimmernummer, in der sich die Person aufhält. Die Person in dieser Analogie ist ein Computerprogramm.

Das würde alles recht offensichtlich funktionieren, wenn es nicht ein recht großes Problem gäbe: die Anzahl der Adressen, die beim ursprünglichen Design der Computernetzwerke festgelegt wurden, ist um ein Zehn- oder Hundertfaches kleiner als die Anzahl der mit dem Internet verbundenen Computer. Daher verstecken Internetdienstanbieter viele Geräte hinter einer einzigen Adresse, weisen sie neu zu usw., um genügend Adressen für alle zu haben. Daher ist es ohne Daten vom Anbieter unmöglich, den Benutzer mit den Daten seines Geräts zu verknüpfen, da nur der Anbieter zu einem bestimmten Zeitpunkt weiß, welcher Portbereich (Zimmer) mit einem bestimmten Benutzer verbunden war. Natürlich speichern nicht nur Anbieter in Russland solche Informationen. Zum Beispiel um Benutzer von Torrents zu identifizieren usw.

Eine weitere wichtige Einzelheit sind textbasierte Namen wie google.com, die nur Synonyme für IP-Adressen sind und erfunden wurden, um Menschen von der Notwendigkeit zu befreien, sich große Zahlen zu merken. Deshalb kann meine Adresse entweder eine Zahlenfolge oder der Name einer Website sein.

Nun werde ich einige Beispiele dafür geben, wie das alles funktioniert:

Beispiel 1: Laden eines Bildes mit einer Katze auf einer Facebook-Seite.

Alle Bilder in der Facebook-Timeline oder auf jeder anderen Website werden als Links zu Dateien dargestellt, die sich auf einem separaten Server befinden. Zum Beispiel ein Link wie https://media.facebook.com/cute_cat.jpg

Der Browser erkennt, dass er das Bild "cute_cat.jpg" vom Server "media.facebook.com" erhalten muss. Der Port, auf den die Anfrage gesendet werden muss, wird aus dem Protokoll am Anfang des Links entnommen, nämlich "https", was dem Port 443 entspricht.

Daher sendet er ein Paket mit der Anfrage "Gib mir das Bild mit dem Namen 'cute_cat.jpg' von "media.facebook.com" auf Port 443. Als Absenderadresse wird die IP-Adresse des Computers und ein zufälliger Port verwendet, auf dem der Browser auf eine Antwortpakete wartet. Als Antwort sendet "media.facebook.com" ein Paket mit dem Bild der Katze, das dann in der Timeline angezeigt wird.

Beispiel 2: Einfacher Messenger.

Aufgrund des Adressmangels können zwei Computer nicht mehr direkt ihre Adressen austauschen und Nachrichten senden. Außerdem können Computer, die nicht im Netzwerk sind, keine Nachrichten empfangen. Um diese beiden Probleme zu lösen, wurden Nachrichtenaustauschsysteme wie E-Mail und Messenger entwickelt.

Um eine Nachricht zu senden, sendet der Computer des Absenders eine Nachricht an die Serveradresse wie "whatsapp.com" mit einem Text wie:

"Ich bin Katya, mein Passwort ist 123. Nachricht für Peter: 'Hallo, wie geht es dir?'”
Daraufhin erhält er die Antwort "Gut, Katya, deine Nachricht wurde gesendet".
Anschließend sendet der Computer von Peter eine Nachricht an dieselbe Adresse:
"Ich bin Peter, Passwort 345. Gibt es Nachrichten für mich?"
Daraufhin antwortet der Server ihm: "Ja, es gibt eine Nachricht von Katya für dich: 'Hallo, wie geht es dir?'"

SORM oder was ist das?

SORM (System of Operative Investigative Measures) ist ein Komplex von operativen Überwachungsmaßnahmen, der im Auftrag der russischen Regierung entwickelt und im Jahr 2008 bei allen Internetdienstanbietern in Russland installiert wurde.

Dieser Komplex erfasst die Header (also Informationen über Absender, Empfänger und Paketgröße) aller Pakete, die den Internetdienstanbieter passieren, und speichert sie in einer speziellen Datenbank zusammen mit dem Zeitpunkt des Versands.

Indem diese Datenbank mit den Informationen des Internetdienstanbieters darüber, wem welche Adresse zu einem bestimmten Zeitpunkt gehört hat, kombiniert wird, kann festgestellt werden, wer welche Daten gesendet und an wen.

Außerdem kann SORM den verschlüsselten Datenverkehr analysieren und Passwörter sowie andere wichtige Informationen speichern, die durch ihn fließen.

Wo ist hier die Verschlüsselung?

Leider ereignete sich ein Skandal mit den Geheimdiensten, als Snowden über ein noch beeindruckenderes Überwachungssystem berichtete, das von den amerikanischen Geheimdiensten entwickelt wurde. Danach wurde die Verschlüsselung des Datenverkehrs zur Standardpraxis. Natürlich müssen für die Zustellung eines Pakets seine Größe sowie die Adressen des Absenders und des Empfängers unverschlüsselt sein. Folglich kann SORM nichts über den Inhalt des Pakets wissen. Es weiß jedoch immer noch, wohin und wie viele Daten gesendet und empfangen wurden.

Problem mit Anrufen über Anwendungen

Um die Sprache zu übertragen, wird sie codiert und in kleinen Paketen an den Empfänger gesendet. Bei dieser Art der Kommunikation gibt es zwei Probleme: Zum einen sind solche Pakete viel größer als Textnachrichten, und zum anderen müssen sie schnell verarbeitet werden, um eine verzögerungsfreie Sprachübertragung zu gewährleisten. Hier kommt die Peer-to-Peer-Technologie ins Spiel. Bei ihrer Verwendung verbinden sich die Anrufer direkt, ohne die Server des Messengers zu nutzen. Der Dialog würde in etwa wie folgt aussehen. Ich werde eine Analogie mit Hotels und Zimmern verwenden, um es anschaulich zu machen.

Katja: Ich bin Katja, Passwort 123, ich möchte Peter anrufen. Ich bin gerade im Hotel Star, Zimmer 13.
Server zu Katja: Gut, ich werde die Anfrage an Peter weiterleiten.
Peter: Ich bin Peter, Passwort 345, gibt es etwas für mich?
Server zu Peter: Ja, Katja möchte mit dir sprechen. Wo befindest du dich gerade?
Peter: Ich bin im Hotel Sonne, Zimmer 42.
Server zu Peter: Warte auf den Anruf von Katja aus dem Hotel Star, Zimmer 13.
Server zu Katja: Peter ist im Hotel Sonne, Zimmer 42.
Katja zu Peter: Hallo, ich beginne die Übertragung der Sprachdaten.

Wie aus dem obigen Beispiel ersichtlich ist, erfolgt bei einer solchen Kommunikation eine direkte Verbindung zwischen den Computern von Katja und Peter. Da der Sprachverkehr jedoch recht charakteristische Merkmale aufweist, wie die Paketfrequenz, deren Größe und ihre Synchronität, kann SORM feststellen, dass Katja mit Peter gesprochen hat, auch ohne Zugriff auf die Daten des Messengers.

Welche anderen Aktivitäten im Netzwerk lassen sich auf diese Weise leicht erkennen?

Auf ähnliche Weise kann mit ziemlicher Sicherheit festgestellt werden, wer große Dateien heruntergeladen hat. Auch der Austausch von Audio- und Videonachrichten erleichtert den Nachweis einer Kommunikation. Da sie wie Anrufe einen charakteristisch großen Umfang haben. Zum Beispiel, wenn Peter innerhalb kurzer Zeit eine Datei mit einer Größe von 345.765 Bytes auf den Telegram-Server hochgeladen hat und Katja eine Datei mit der gleichen Größe heruntergeladen hat, ist es höchstwahrscheinlich dieselbe Datei. Textnachrichten haben eine sehr geringe Größe, daher sind sie schwieriger für eine solche Analyse zugänglich.

Ein sehr wichtiger Aspekt ist, dass für eine solche Analyse der Datenverkehr beider Benutzer erforderlich ist. Daher sollten alle, die sich in Russland oder in den freundlich gesinnten Ländern befinden, vorsichtig sein. Ich habe keine Informationen darüber gefunden, ob SORM-Komplexe in Belarus installiert sind, aber aus Sicherheitsgründen sollte man davon ausgehen, dass sie dort vorhanden sind.

Wie und warum hilft ein VPN?

Ein VPN-Server kann als ein spezielles Hotel beschrieben werden, das keine echten Zimmernummern hat, aber sie allen zur Verfügung stellt, die sie in ihrer Kommunikation nutzen möchten. Ich werde das Beispiel mit Katja und Peter erneut verwenden:

Katja (Hotel Zvezda 13) - VPN (Hotel Solnyshko 10): Ich möchte an Hotel Solnyshko Zimmer 42 schreiben: "Hallo, wie geht es dir?"
VPN (Hotel Nadezhda 167) - Peter (Hotel Solnyshko 42): Hallo, wie geht es dir?
Peter (Hotel Solnyshko 42) - VPN (Hotel Nadezhda 167): Hallo, wer bist du?
VPN (Hotel Solnyshko 10) - Katja (Hotel Zvezda 13): Antwort vom Hotel Solnyshko Zimmer 42: "Hallo, wie geht es dir?"

Wie im Beispiel zu sehen ist, findet in diesem Fall kein direkter Datenaustausch zwischen Katja und Peter statt. Da viele Menschen den VPN-Dienst nutzen und kein SORM darauf installiert ist, müssen Sie keinen VPN-Dienst von Kaspersky oder anderen offiziellen russischen Diensten verwenden, da dieser wahrscheinlich installiert ist. Daher kann SORM nicht feststellen, wer genau Nachrichten an Peter gesendet hat. Durch die Verschlüsselung sind alle Nachrichten nach dem Doppelpunkt verschlüsselt und für die Analyse nicht zugänglich.