Abo
  1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Spionage: NSA wollte Android-App…

Wie ist das möglich?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie ist das möglich?

    Autor: Genie 21.05.15 - 18:11

    Kann mich jemand aufklären? Ich gehe doch davon aus, dass die Verbindung zum App-Store mit TLS verschlüsselt ist. Wenn es für die Geheimdienste so ohne Weiteres möglich ist, hier einen MITM zu starten, wozu wird dann eigentlich HTTPS so forciert? Ich dachte bisher, dass es fast unmöglich ist, TLS mit einer gescheiten Verschlüsselung zu knacken?!

  2. Re: Wie ist das möglich?

    Autor: smirg0l 21.05.15 - 18:20

    Genie schrieb:
    --------------------------------------------------------------------------------
    > Kann mich jemand aufklären? Ich gehe doch davon aus, dass die Verbindung
    > zum App-Store mit TLS verschlüsselt ist. Wenn es für die Geheimdienste so
    > ohne Weiteres möglich ist, hier einen MITM zu starten, wozu wird dann
    > eigentlich HTTPS so forciert? Ich dachte bisher, dass es fast unmöglich
    > ist, TLS mit einer gescheiten Verschlüsselung zu knacken?!

    Betonung auf "fast". Da kam doch gestern erst wieder etwas ans Tageslicht mit DH. Spannend fand ich besonders die Tatsache, dass der Zahlenraum für den Parameter fast überall gleich sein soll. Macht die Dinge u.U. viel einfacher.
    Last but not least arbeiten eine verdammte Menge schlauer Köpfe für die NSA - mit Gewissen haben es viele Wissenschaftler ja grundsätzlich nicht so sehr.
    Wenn es noch so abstruse Lücken gibt, ich bin mir sicher, die finden die.
    Und dann wären da noch die zahlreichen Versuche Verschlüsselungen schon im Ansatz zu kompromittieren. Hat ja auch mind. 1x geklappt.

  3. Re: Wie ist das möglich?

    Autor: CraWler 21.05.15 - 18:32

    Allein die NSA hat mehr als 40Milliarden $ jährliches Budget, dazu dann noch die ganzen anderen westlichen Geheimdienste die ihre Resourcen untereinander teilen. Da ist schon so einiges möglich.

    Mitlerweile gibt es ja schon eine ganze Reihe von Adware und Trojanern die SSL mittels MIM aufmachen bzw manipulieren (siehe: https://www.golem.de/news/superfish-das-adware-imperium-von-komodia-1502-112521.html).
    Wenn das schon irgendwelche zwielichtigen Adware Firmen und Cyberkriminelle schaffen SSL zu hacken dann dürfe es für den NSA und andere Dienste erst recht kein großes Problem sein SSL zu kompromitieren.

    Es sei denn man verwendet nur selbst signierte zertificate und überprüft diese bei jedem Verbindungsaufbau manuell auf veränderungen, aber wie viele Leute machen das schon ? Und erst recht bei Appstore Verbindungen die irgendwo unkontrollierbar im Hintergrund laufen dürfte das wohl nur für erfahrene Hacker möglich sein herauszufinden ob die Verbindung kompromitiert wurde oder nicht.

  4. Re: Wie ist das möglich?

    Autor: Genie 21.05.15 - 18:36

    smirg0l schrieb:
    --------------------------------------------------------------------------------
    > Betonung auf "fast". Da kam doch gestern erst wieder etwas ans Tageslicht
    > mit DH. Spannend fand ich besonders die Tatsache, dass der Zahlenraum für
    > den Parameter fast überall gleich sein soll. Macht die Dinge u.U. viel
    > einfacher.

    Ich kann mir doch fast nicht vorstellen, dass die Google-Server, die Android bedienen, für Logjam anfällig sind bzw. dass Android selbst überhaupt noch 512bit zulässt - insbesondere, wenn es mit Google kommuniziert.

  5. Re: Wie ist das möglich?

    Autor: Genie 21.05.15 - 18:40

    CraWler schrieb:
    --------------------------------------------------------------------------------
    > Mitlerweile gibt es ja schon eine ganze Reihe von Adware und Trojanern die
    > SSL mittels MIM aufmachen bzw manipulieren (siehe: www.golem.de
    > Wenn das schon irgendwelche zwielichtigen Adware Firmen und Cyberkriminelle
    > schaffen SSL zu hacken dann dürfe es für den NSA und andere Dienste erst
    > recht kein großes Problem sein SSL zu kompromitieren.

    Ja gut, setzt voraus, dass man sich Adware aufspielt. Ich gehe aber eher von einem frisch ausgepackten Android aus, dass sich das erste mal mit dem AppStore verbindet. Wenn hier schon ein MITM möglich ist, obwohl brav TLS genutzt wird, ja dann stellt sich mir eben wirklich die Frage, wozu HTTPS dann so forciert wird.

    > Es sei denn man verwendet nur selbst signierte zertificate und überprüft
    > diese bei jedem Verbindungsaufbau manuell auf veränderungen, aber wie viele
    > Leute machen das schon ? Und erst recht bei Appstore Verbindungen die
    > irgendwo unkontrollierbar im Hintergrund laufen dürfte das wohl nur für
    > erfahrene Hacker möglich sein herauszufinden ob die Verbindung
    > kompromitiert wurde oder nicht.

    Selbst nicht, aber man sollte doch meinen, dass es die AppStore-App tut...

  6. Re: Wie ist das möglich?

    Autor: smirg0l 21.05.15 - 18:41

    Genie schrieb:
    --------------------------------------------------------------------------------
    > smirg0l schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Betonung auf "fast". Da kam doch gestern erst wieder etwas ans
    > Tageslicht
    > > mit DH. Spannend fand ich besonders die Tatsache, dass der Zahlenraum
    > für
    > > den Parameter fast überall gleich sein soll. Macht die Dinge u.U. viel
    > > einfacher.
    >
    > Ich kann mir doch fast nicht vorstellen, dass die Google-Server, die
    > Android bedienen, für Logjam anfällig sind bzw. dass Android selbst
    > überhaupt noch 512bit zulässt - insbesondere, wenn es mit Google
    > kommuniziert.

    War ja nur ein, uns bekanntes, Beispiel.

  7. Re: Wie ist das möglich?

    Autor: CraWler 21.05.15 - 18:44

    >Selbst nicht, aber man sollte doch meinen, dass es die AppStore-App tut...

    Nach Snowden wird Google da sicher nachgebessert haben, vorher hat Google ja auch internen verkehr unverschlüsselt übers Netz geroutet. Evtl wird der Appstore dadurch schwerer angreifbar. Dennoch kommunizieren vermutlich viele APPs immer noch unverschlüsselt und wären dadurch evtl angreifbar. Auch möglich wäre das Google gezwungen wird die Certificate rauszugeben, an den NSA wer weiß das schon so genau.

    Auf jeden Fall bietet SSL doch etwas besseren Schutz gegen gewöhnliche kriminelle insofern sollte man es schon verwenden selbst dann wenn es gegen Staatliche Eingriffe keine 100% Sicherheit garantieren kann.

    ----------------------
    Ich bin Piratenpartei Wähler

  8. Re: Wie ist das möglich?

    Autor: Don_Melon 21.05.15 - 18:56

    Im endeffekt
    MITM vor den Update Servern == RIP

    kann google auch schwer verhindern

    da machen lt selbstbeschreibung alle Five Eyes Staaten mit == Geographiisch die ganze erde abgegriffen === "die haben die Kabel in der Hand"
    und können sich von jder CA Klitsche einfach n valides SSL Cert holen
    also chance das zu detecten ist gen 0
    weswegen man aus IT Security technischer sich davon ausgehen muss:
    Jedes gerät welches mit den Google_Playstore Servern kommuniziert ist potenziell infiziert
    was natürlich geil ist
    weil die leute stecken ihr smartphone an ihren rechner
    und die rechner ihrer freude & bekannten
    === HOLY GOLDMINE OF ACCESS

    --

    Wie ist das "trotz SSL/TLS" möglich?

    Das Endgerät vertraut ziemlich vielen "vertrauenswürdigen Zertifikatausstellern".
    Jeder dieser Aussteller, kann theoretisch ein google.com Zertifikat erstelllen. Und weil das Zertifikat wie gesagt von "einer Vertraunswürdigen endstelle" kommt, akzeptiert das Endgerät dieses ohne irgendwelche Fehlermeldungen.

    Die NSA muss also nur zu einem dieser Zertifikataussteller hingehen, nichtmal zu google selbst, sich ein zertifikat für die PlayStore_Server ausstellen lassen, und kann dann fröhlich los "Man in the middlen" ohne dass Google oder der Nutzer was davon mitbekommt.


    --

    schon geil was man sich als geheimdienst für perfide scheiße ausdenken kann



    1 mal bearbeitet, zuletzt am 21.05.15 19:06 durch Don_Melon.

  9. Re: Wie ist das möglich?

    Autor: hyperlord 21.05.15 - 19:12

    Würde da nicht certificate key pinning helfen?
    Dann müsste. Die NSA. Schon Google direkt zum Mitmachen nötigen - ist für die NSA-Junta zwar auch kein Hinderungsgrund, aber schon etwas mehr Aufwand

  10. Re: Wie ist das möglich?

    Autor: timistcool 21.05.15 - 19:12

    Don_Melon schrieb:
    --------------------------------------------------------------------------------
    > Im endeffekt
    > MITM vor den Update Servern == RIP
    >
    > kann google auch schwer verhindern
    >
    > da machen lt selbstbeschreibung alle Five Eyes Staaten mit == Geographiisch
    > die ganze erde abgegriffen === "die haben die Kabel in der Hand"
    > und können sich von jder CA Klitsche einfach n valides SSL Cert holen
    > also chance das zu detecten ist gen 0
    > weswegen man aus IT Security technischer sich davon ausgehen muss:
    > Jedes gerät welches mit den Google_Playstore Servern kommuniziert ist
    > potenziell infiziert
    > was natürlich geil ist
    > weil die leute stecken ihr smartphone an ihren rechner
    > und die rechner ihrer freude & bekannten
    > === HOLY GOLDMINE OF ACCESS
    >
    > --
    >
    > Wie ist das "trotz SSL/TLS" möglich?
    >
    > Das Endgerät vertraut ziemlich vielen "vertrauenswürdigen
    > Zertifikatausstellern".
    > Jeder dieser Aussteller, kann theoretisch ein google.com Zertifikat
    > erstelllen. Und weil das Zertifikat wie gesagt von "einer Vertraunswürdigen
    > endstelle" kommt, akzeptiert das Endgerät dieses ohne irgendwelche
    > Fehlermeldungen.
    >
    > Die NSA muss also nur zu einem dieser Zertifikataussteller hingehen,
    > nichtmal zu google selbst, sich ein zertifikat für die PlayStore_Server
    > ausstellen lassen, und kann dann fröhlich los "Man in the middlen" ohne
    > dass Google oder der Nutzer was davon mitbekommt.
    >
    > --
    >
    > schon geil was man sich als geheimdienst für perfide scheiße ausdenken kann

    Laber kein scheis.

  11. Re: Wie ist das möglich?

    Autor: smirg0l 21.05.15 - 19:19

    timistcool schrieb:
    --------------------------------------------------------------------------------
    > Don_Melon schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Im endeffekt
    > > MITM vor den Update Servern == RIP
    > >
    > > kann google auch schwer verhindern
    > >
    > > da machen lt selbstbeschreibung alle Five Eyes Staaten mit ==
    > Geographiisch
    > > die ganze erde abgegriffen === "die haben die Kabel in der Hand"
    > > und können sich von jder CA Klitsche einfach n valides SSL Cert holen
    > > also chance das zu detecten ist gen 0
    > > weswegen man aus IT Security technischer sich davon ausgehen muss:
    > > Jedes gerät welches mit den Google_Playstore Servern kommuniziert ist
    > > potenziell infiziert
    > > was natürlich geil ist
    > > weil die leute stecken ihr smartphone an ihren rechner
    > > und die rechner ihrer freude & bekannten
    > > === HOLY GOLDMINE OF ACCESS
    > >
    > > --
    > >
    > > Wie ist das "trotz SSL/TLS" möglich?
    > >
    > > Das Endgerät vertraut ziemlich vielen "vertrauenswürdigen
    > > Zertifikatausstellern".
    > > Jeder dieser Aussteller, kann theoretisch ein google.com Zertifikat
    > > erstelllen. Und weil das Zertifikat wie gesagt von "einer
    > Vertraunswürdigen
    > > endstelle" kommt, akzeptiert das Endgerät dieses ohne irgendwelche
    > > Fehlermeldungen.
    > >
    > > Die NSA muss also nur zu einem dieser Zertifikataussteller hingehen,
    > > nichtmal zu google selbst, sich ein zertifikat für die PlayStore_Server
    > > ausstellen lassen, und kann dann fröhlich los "Man in the middlen" ohne
    > > dass Google oder der Nutzer was davon mitbekommt.
    > >
    > >
    > > --
    > >
    > > schon geil was man sich als geheimdienst für perfide scheiße ausdenken
    > kann
    >
    > Laber kein scheis.

    Ist aber so :p

  12. Re: Wie ist das möglich?

    Autor: Quantium40 21.05.15 - 19:23

    Genie schrieb:
    > wozu wird dann
    > eigentlich HTTPS so forciert? Ich dachte bisher, dass es fast unmöglich
    > ist, TLS mit einer gescheiten Verschlüsselung zu knacken?!

    Ich empfehle dazu mal ein Studium eines Blogeintrages bei fefe
    > http://blog.fefe.de/?ts=aba27747

    Aktuell ist fast alles an Kryptoinfrastruktur u.a. dank der fleißigen Arbeit der Geheimdienste ziemlich im Eimer.
    Daß diese amtlich subventionierten Vollidioten dabei natürlich gleich noch nichtstaatlichen Kriminellen Tür und Tor öffnen und Onlinehandel, Onlinebanking und jegliche online angebundene Infratruktur zusätzlich gefährden, kommt natürlich extra gut.

    Trotzdem ist das bisschen Sicherheit, dass man mit HTTPS bekommt, immer noch besser als gar keine Sicherheit.

  13. Re: Wie ist das möglich?

    Autor: Don_Melon 21.05.15 - 19:31

    hyperlord schrieb:
    --------------------------------------------------------------------------------
    > Würde da nicht certificate key pinning helfen?
    > Dann müsste. Die NSA. Schon Google direkt zum Mitmachen nötigen - ist für
    > die NSA-Junta zwar auch kein Hinderungsgrund, aber schon etwas mehr
    > Aufwand


    theoretisch ja, praktisch ist die implementierung von SSL/TLS auf Mobilendgeräten eher mangelhaft und halt ne frage ob das in die Appstore/Update Apps überhaupt reingebaut wurde. Und wie sieht dann sone appstore fehlermeldung aus und wie soll der sich verhalten? Soll er das wichtige Security Update dann lieber nicht runterladen? Ich kann mir vorstellen dass um genau sone fragen zu umgehen auf Cert Pinning verzichtet wird.

    Aber wie du schon sagst, entweder zwingen sie Google dann oder klauen es sich einfach.

    Und @timistcool welcher teil der Kette ist für dich unverständlich? Also es wird halt die schwachstelle in SSL ausgenutzt, die schon immer n DesignProblem bei SSL war.

    Das ganze klappt halt nur, wenn du wirklich globalen zugriff auf die leitungen hast, aber da die Five Eyes das haben UND das ganze vorhaben schonmal zu papier gebrahct haben, gehe ich sehr stark davon aus dass das so oder so ähnlich "live" ist.



    2 mal bearbeitet, zuletzt am 21.05.15 19:38 durch Don_Melon.

  14. Re: Wie ist das möglich?

    Autor: JensM 21.05.15 - 19:38

    smirg0l schrieb:
    --------------------------------------------------------------------------------
    > timistcool schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Don_Melon schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Wie ist das "trotz SSL/TLS" möglich?
    > > >
    > > > Das Endgerät vertraut ziemlich vielen "vertrauenswürdigen
    > > > Zertifikatausstellern".
    > > > Jeder dieser Aussteller, kann theoretisch ein google.com Zertifikat
    > > > erstelllen. Und weil das Zertifikat wie gesagt von "einer
    > > Vertraunswürdigen
    > > > endstelle" kommt, akzeptiert das Endgerät dieses ohne irgendwelche
    > > > Fehlermeldungen.
    > >
    > > Laber kein scheis.
    >
    > Ist aber so :p

    Ist wirklich so. Raffe nicht wie Leute sich das ganze HTTPS eigentlich vorstellen.

  15. Re: Wie ist das möglich?

    Autor: CraWler 21.05.15 - 20:14

    Linux Distris wie Debian signieren alle Pakete mit GPG, eine manipulation während dem Download sollte also auffallen. Das wäre doch auch für einen APPstore so umsetzbar, zumindest solange wie sich die Dienste die Schlüssel dafür nicht irgendwie beschaffen können wäre es dann auf dem Transportweg ausreichend sicher.

    ----------------------
    Ich bin Piratenpartei Wähler

  16. Re: Wie ist das möglich?

    Autor: hw75 21.05.15 - 20:53

    TLS ist offen wie ein Scheunentor. Ein Man-in-the-Middle kann z.B. beim Verbindungsaufbau ansetzen, der ja unverschlüsselt ist (es muss erst zu einer Verschlüsselung kommen). Dort können bestimmte Parameter verändert werden, TLS bietet ein Fallback-Mechanismus an auf alte unsichere SSL-Versionen, der dem Benutzer nicht auffällt. Falsche Zertifikate können untergeschmuggelt werden, wie das der Gogo -Bordinternet-Provider auch gemacht hat. Usw, die Liste der Hintertüren und Schwachstellen ist endlos. Nur weil da "Secure" dransteht, ist das noch längst nicht sicher.

  17. Re: Wie ist das möglich?

    Autor: Don_Melon 21.05.15 - 21:43

    hyperlord schrieb:
    --------------------------------------------------------------------------------
    > Würde da nicht certificate key pinning helfen?
    > Dann müsste. Die NSA. Schon Google direkt zum Mitmachen nötigen - ist für
    > die NSA-Junta zwar auch kein Hinderungsgrund, aber schon etwas mehr
    > Aufwand


    ok, lt fefe tut google das scheinbar sogar von daher nehm ich das einfach mal so hin. Wobei google ja auch dann einfach sagen könnte dass sowas garnicht geht deswegen.

    Von daher bleibt immernoch klauen/erpressen oder Crypto Schwachstellen ausnutzen. Und die Folien sind ja schon relativ alt und ich glaub nicht dass das vorhaben gedroppt wurde.

  18. Re: Wie ist das möglich?

    Autor: AlexanderSchäfer 21.05.15 - 23:17

    Könnte die US Regierung nicht die Firmen gerichtlich gezwungen haben die Private Keys herauszugeben? Von Lavabit wollten sie diese doch auch.

    Ich könnte mir aber auch vorstellen, dass man sich einfach so geeinigt hat. z.B. Hilfe bei der Terrorbekämpfung durch Internetkonzerne und dafür etwas Entgegenkommen der Regierung bei Steuergesetzen oder sonstigen Regulierungen.

  19. Re: Wie ist das möglich?

    Autor: helgebruhn 22.05.15 - 08:35

    Ich verstehe das Problem nicht. GOogle und ALLE anderen US-Firmen sind gesetzlich VERPFLICHTET mit der NSA zusammenzuarbeiten, wenn die das möchten, dafür hat Bush Junior nach 9/11 gesorgt. Von daher ist es überhaupt kein Probkem, von Google selbst im eigenen Appstore entsprechende Apps zu platzieren, mit denen dann die NSA alles mögliche ausspähen kann.

    Ob die Übertragung zum Appstore verschlüsselt ist oder nicht spielt dabei nicht die geringste Rolle :-)

  20. Re: Wie ist das möglich?

    Autor: asdgeasfg 22.05.15 - 09:59

    Und ich verstehe nicht, warum die Konzerne nicht einfach ihre Standorte in andere Länder verlagern, wo so etwas nicht möglich ist. Ihre Dienste können Sie doch weiterhin in den USA anbieten ohne dort einen entsprechenden Firmensitz zu haben. Ich meine in der Zeit seit 2001 war genügend Zeit sich ein neues Land auszusuchen oder ein eigenes Land zu eröffnen, Kapital ist dazu genug da :-D

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ekom21 - KGRZ Hessen, Darmstadt, Gießen, Kassel
  2. EDAG Engineering GmbH, Wolfsburg
  3. ID Logistics über IBS GmbH, Dortmund, Weilbach, Hammersbach
  4. Stadtwerke München GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. mit Gutschein: NBBX570
  2. (u. a. Aorus Pro für 219,90€, Aorus Pro WiFi für 229,90€, Aorus Elite für 189,90€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


16K-Videos: 400 MByte für einen Screenshot
16K-Videos
400 MByte für einen Screenshot

Die meisten Spiele können nur 4K, mit Downsampling sind bis zu 16K möglich. Wie das geht, haben wir bereits in einem früheren Artikel erklärt. Jetzt folgt die nächste Stufe: Wie erstellt man Videos in solchen Auflösungen? Hier wird gleich ein ganzer Schwung weiterer Tools und Tricks nötig.
Eine Anleitung von Joachim Otahal

  1. UL 3DMark Feature Test prüft variable Shading-Rate
  2. Nvidia Turing Neuer 3DMark-Benchmark testet DLSS-Kantenglättung

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

  1. Bill McDermott: Ex-SAP-Chef wechselt zum Cloud-Anbieter Service Now
    Bill McDermott
    Ex-SAP-Chef wechselt zum Cloud-Anbieter Service Now

    Hinter dem Weggang des SAP-Chefs steckte offenbar ein anderes Job-Angebot. Bill McDermott führt nun den auf IT-Support-Management spezialisierten Cloud-Anbieter Service Now, dessen Chef zu Nike wechselt.

  2. Pixel 4: Keine 90 Hz bei unter 75 Prozent Displayhelligkeit
    Pixel 4
    Keine 90 Hz bei unter 75 Prozent Displayhelligkeit

    Das neue Pixel 4 schaltet je nach Situation von 60 auf 90 Hz um und ermöglicht so unter anderem ein geschmeidiges Scrolling. Nach welchen Kriterien Google hier die Bildrate ändert, ist nicht ganz klar - die Helligkeit hat aber definitiv Auswirkungen.

  3. Spielestreaming: Google stiftet Verwirrung über Start von Stadia
    Spielestreaming
    Google stiftet Verwirrung über Start von Stadia

    Am 19. November 2019 geht es richtig los mit dem Spielestreaming - oder doch nicht? Besteller der teuren Vorabversion von Stadia müssen laut dem Unternehmen offenbar mit Verzögerungen rechnen, im deutschen Shop verspricht Google aber "von Anfang an Zugang".


  1. 11:30

  2. 11:17

  3. 11:02

  4. 10:47

  5. 10:32

  6. 10:14

  7. 09:57

  8. 09:10