Government Spyware through ISP

Heyho i guesss i have a pretty strange question :sweat_smile: ^^.

I live in Germany and since last month a new law came in to force that the police can force the ISP to reroute your request / download to a server from finspy which will manipulate your download and insert an spyware on it.

So for example i download chrome the download will be rerouted to the finspy server they will add the spyware in to the download and when i open the downloaded file to install it or whatever it automaticly will install the spyware with it.

The Police can force the ISP without any judge or anything and you dont have to be a criminal they can do it just on suspicion and without any proof.

My question is now is it with this method still safe to install through the package manager? Will the md5 check be enough to cancel?

All packages from the repo are signed and have a checksum. If they don’t match, you know the package is either corrupt or modified.

7 Likes

Could you please provide evidence for that statement - especially the highlighted law part?

I know of companies creating software for law enforcement agencies - those exist in many countries.

I also know that some shady governments use it to control their own population and human rights activists.

But I am quite certain that it requires a warrant and judge approval in most countries.

only german sources.

the only english one im finding atm.

another english source about the topic.

And when we are at the topic this is also intresting,

eu law, about chat scanning.
Messenger provider can are allowed scan the chats (automaticly) to find pedophiles/terrorism and stuff and are than forced to report the police.
The article writes that in autumn a new law is coming that will force the messenger provider to scan the chat.

Here the official document.
https://dserver.bundestag.de/btd/19/265/1926541.pdf#page=37

the intresting part:
"
Die pr√§ventive Telekommunikations√ľberwachung soll hier eine Erkenntnisl√ľcke der Bundespolizei schlie√üen und
sich gegen Personen richten, gegen die noch kein Tatverdacht begr√ľndet ist und daher noch keine strafprozessuale
Ma√ünahme nach ¬ß 100a StPO angeordnet werden kann. √úberdies erm√∂glicht eine Telekommunikations√ľberwachung neben der Erlangung inhaltlicher Erkenntnisse zu dem geplanten Vorhaben, dass neben der bereits anvisierten Zielperson weitere Beteiligte bekannt werden"

deepl translation:
Preventive telecommunications surveillance is intended to close a information gap in the Federal Police’s intelligence and targets
persons against whom no suspicion of a crime has yet been established and therefore no criminal procedural
measure pursuant to Section 100a of the German Code of Criminal Procedure (StPO). Moreover, in addition to obtaining information about the content of the planned operation, telecommunications surveillance makes it possible to find out about other parties involved in addition to the person already targeted.

looked over the deepL translation and it looks for me correct :slight_smile:

1 Like

Eine wichtige und grunsätzliche Frage ist ja, wie eine solche Software auf Deinen Computer kommen könnte.
Du vermutest offenbar, daß der ISP das durch Umleitung der DNS Anfragen bewerkstelligen könnte.

@Yochanan hat ja schon erklärt warum das nicht fliegt.
Immerhin bist Du derjenige, der Zeug installiert - das geht nicht von selbst.

Man k√∂nnte Dich zwar umleiten - aber Du w√ľrdest es recht einfach bemerken und die Signatur der zu installierenden Software ist auf diesem Wege nicht zu umgehen.
Eine einfache Methode die Umleitung Durch Deinen ISP ins Leere laufen zu lassen
(obwohl das allein ja ohnehin nicht ausreichen w√ľrde)
ist die Verwendung eines anderen DNS Servers.

DNS Server √§ndern w√ľrde nicht helfen weil deine Anfrage dennoch zu aller erst durch den ISP l√§uft von irgendwoher ‚Äúkommt‚ÄĚ dein Internet ja :stuck_out_tongue:

bei 3:10 (hab die Stelle im Link) wird erklärt wie es läuft.
Es ist auch keine Vermutung sondern der ISP wird zusammenarbeiten m√ľssen .
Eine Weitere erlaubte Methode sind auch 0day‚Äôs also das stinknormale ‚Äúhacking‚ÄĚ.

1 Like

… was der da beschreibt ist genau das Umleiten via DNS des Providers
was sich einfach verhindern läßt … siehe oben
Und https Verbindungen, die heutzutage Standard sind, machen es nicht gerade einfacher sowas unbemerkt zu tun …

… glaube es oder nicht - besser wäre aber, Du informierst Dich, wie das Internet funktioniert, dann mußt Du nicht glauben, dann weißt Du :wink:

Die Pr√ľfsummen lassen sich damit nicht umgehen - da stehst Du bzw. das Betriebssystem im Wege.
Es sei denn Du insistierst auf der Installation obwohl Du echte Schwierigkeiten bekommst wenn Du versuchst ein solches Paket zu installieren.
Tust Du es dennoch … dann ist es Deine Schuld :man_shrugging:

0-days sind, besonders in rolling distributions, eher kurzlebig
aber: das Leben ist eben lebensgefählich :sunglasses:

Wenn Du so wichtig bist, da√ü man sich die M√ľhe macht, ohne Dein Wissen direkt an Deiner Hadware zu manipulieren ‚Ķ dann kann Dich kein Betriebssystem, so gut es auch sei, sch√ľtzen.

Tut mir ja ein bischen leid, daß ich dem oberflächlichen, von Halbwahrheiten durchsetzten Alarmismus dieses Youtubers nicht zustimmen kann.

1 Like

Nein der Weg verläuft so mit einer Third party DNS.

Ich geb google.de ein
die Ip wird vom third party dns angefragt (216.58.190.0)
dein Gerät fragt bei deiner ISP nach 216.58.190.0
Dein ISP holt die Daten von 216.58.190.0

und genau dieser letzte Step ist nicht mit einer DNS √§nderung verhinderbar welche Daten der ISP holt ist f√ľr dich als Nutzer nicht mehr einsehbar.

Ist nat√ľrlich stark vereinfacht aber letzten endes ist dein ISP immer die letzte Instanz.

… und wenn er sie nicht von dort holt … bricht die Kette
https bricht
Deine initiale Frage war zu den Pr√ľfsummen - die lassen sich durch sowas auch nicht umgehen.

1 Like

You can just use VPN, it doesn’t let your ISP know and trace where and when you are using network traffic. :wink:

1 Like

Genau und die Frage wurde auch beantwortet :).
Wollte nur nochmal Klarstellen das simples DNS ändern da nicht hilft da die Datenmanipulation nach der DNS anfrage passiert und nicht während der Anfrage.
Aber du hast auch recht das 0Days bei einer Rolling-Distro nicht langlebig sind (und wahrscheinlich auch nicht das Hauptziel da Nutzerschaft zu klein) es ist dennoch erschreckend das der Staat quasi Sicherheitsl√ľcken sucht nur um sie selbst zu verwenden(und dazu vom Gesetz legitimiert sind) anstatt beim fixen des Problems sich zu beteiligen.

Linus Neumann vom CCC hat dazu auch gesagt das man sich 2x √úberlegt ob man etwaige Sicherheitsl√ľcken dem BSI meldet oder nicht .

EDIT: Yes an VPN is definetly helping :),

I’d rather trust my ISP than a random-too-cheap-to-be-true VPN to handle all my traffic.

Keep your system updated with the checksums and signatures and think what you download and run as root.
Most likely, your custom Manjarobox will not be targeted anyway but your horribly outdated Android phone.

2 Likes

Da hast Du nat√ľrlich recht.
Ein anderer DNS war ja nur eine Möglichkeit, die Effektivität von sowas einzuschränken.
Wegen https fällt das aber trotzdem sofort auf.

@Zesko nannte ja VPN …

Now that is scary - I am so glad I am not using Windows - and in contrast using an Open source distribution - with signed packages and that alone requires a lot more effort to interrupt than a Windows.exe.

Even so - we should not rest confident that this cannot be circumvented - if the motivation is big enough.

It reminds me of another news alert a couple of days ago - concerning Apple implementing a scanning algorithm on the device scanning for - in this case - child pornography (allegedly only US) - but as Snowden commented - quoted from memory

child pornography today - what about tomorrow

Agreed - the possible abuse is infinite - but so are the criminals - they use what ever means to satisfy themselves - what we need is a universal trustworthy government - but as it - within this system of things - is a human affair - this will never happen.

And if it does - it will break sooner or later.

‚ÄúPower tends to corrupt, and absolute power corrupts absolutely. Great men are almost always bad men.‚ÄĚ - Lord Acton 1887

4 Likes

And that’s why Tutanota implemented a backdoor for the German government. It’s really sad to see the evolution of Internet globally …

Where did you read that?

Last year, don’t remember where exactly but you can check here. It’s not really a backdoor at all but the German law forced them to have access on mail (not the encrypted part of Tutanota for the moment). I use Tutanota for 3 years and I will continue but yes, German government wants to control some things.

Yes, there is an element of trust with the too-cheap-to-be-true VPNs, but there are plenty of options, including getting server space and installing you own.

yea germany really tries to get control over the data of the people.
There is even a new law in draft (i hope it gets rejected^^) that want to force operating system developer to implement an age filter and that people have to verificate to be over 18 or they wont be able to open porn sites.
I mean its basicly technicly not possible every os would have to implement this and websites have to say for which age they are made (if they dont they get blocked) and if they say a wrong age they get a penalty.

That could be a problem for Manjaro since - at least the corporate entity - is based in Germany.

But for the community - that would be impossible to implement.