Archiv

Archiv für die Kategorie ‘1984’

Threema: Jetzt mit Empfehlung durch den Verfassungsschutz

5. Februar 2016 1 Kommentar
No Gravatar

Gute Software, im Sinne von Datensicherheit, ist Software für mich dann, wenn Sicherheitsbehörden sie zu einem Problem erklären. Und genau das macht Thüringens Verfassungsschutz gerade mit Threema:

Sicherheitsbehörden können Chats auf Diensten wie Threema nicht umfassend überwachen, beklagt Thüringens Verfassungsschutzchef. Deswegen müsse geklärt werden, wie Behörden Zugriff bekommen und „Hintertüren wären die einzige Möglichkeit“.

Quelle: Heise

Ich will an der Stelle gar nicht darauf eingehen was für ein gefährlicher Vorstoß das wieder einmal ist. Ich will einfach die Gelegenheit nutzen Euch zu motivieren, von WhatzApp auf Threema umzusteigen. Ihr werdet nichts vermissen. Dafür aber viel Sicherheit gewinnen.

Plus: Ihr könnt mit Leuten kommunizieren, denen Ihr nicht Eure Rufnummer oder Mail-Adresse geben müsst. Meine Threema-ID findet Ihr rechts in der Seitenleiste.

Kategorien1984, technik Tags:

Von Terroristen und Selbstmördern

21. Januar 2016 Kommentare ausgeschaltet
No Gravatar

Im Intercept gibt es einen sehr interessanten Artikel, warum eine IT-gestützte Suche nach Terroristen wenig erfolgversprechend ist. Allerdings lernte ich gerade aus dem Artikel auch noch etwas komplett anderes:

The briefing suggested that the algorithm Facebook uses to spot and prevent possible suicides might be a helpful model for a technology to locate terrorists, asking: “Are there other areas where online providers have used technology to identify harmful content and remove it? … Something like Facebook’s suicide process flow?”

Also Facebook leitet aus dem Verhalten seiner Nutzer ab ob sie selbstmordgefährdet sind?

Diese Technik kann also mit 65% Wahrscheinlichkeit ermitteln, ob jemand sich das Leben nehmen möchte. Und natürlich kann man sagen, dass das helfen könnte Menschen davor zu bewahren sich umzubringen. Man kann allerdings auch die Frage stellen ob Facebook in irgendeiner Form das moralische Recht hat, eine Analyse der psychischen Verfassung seiner Kunden vorzunehmen. Oder anders ausgedrückt: bei einer so niedrigen Wahrscheinlichkeit kommt es zwangsläufig zu False-Positive-Meldungen – was das für Folgen haben kann, kann man sich vorstellen.

Ebenso kann man sich vorstellen, welche Gruppen Interesse an solchen Daten hätten: Versicherungen, Arbeitgeber, …

Und ich stelle mal die Vermutung an das den wenigsten Facebook-Nutzern klar ist, dass im Hintergrund Software darüber entscheidet in welcher mentalen Verfassung sie sich möglicher Weise gerade befinden.

Wow. Krass.

Kategorien1984, infos, soziologie Tags:

Du hast nichts getan – trotzdem beobachten wir Dich!

21. Januar 2016 Kommentare ausgeschaltet
No Gravatar

In der Welt ist ein Artikel erschienen, der eine andere Aussage hat, als man zunächst vermuten würde.

Vordergründig geht es um „Islamisten“ und darum, dass man in der EU keine einheitliche Vorstellung davon hat, was ein islamistischer Gefährder eigentlich ist. Allerdings hat der Artikel einen zweiten Inhalt, der wesentlich beunruhigender ist als die Frage woran man denn einen gemeingefährlichen Islamisten nun erkennt – oder auch nicht.

Der zweite Aspekt ist der des Gefährders:

Unter dem Sammelbegriff [Gefährder, Anmk. des Autors] werden in Deutschland Personen zusammengefasst, denen die Umsetzung einer erheblichen Straftat zugetraut wird. (…)

Demnach ist ein Gefährder „eine Person, bei der bestimmte Tatsachen die Annahme rechtfertigen, dass sie politisch motivierte Straftaten von erheblicher Bedeutung, insbesondere solche im Sinne des Paragrafen 100a der Strafprozessordnung (StPO), begehen wird“. (…)

Regelmäßig wird ihr Aufenthaltsort festgestellt. Immer wieder werden sie auch observiert.

Wir reden hier nicht von Menschen die für eine Tat bestraft wurden. Wir reden hier von Menschen von denen man animmt, dass sie vielleicht in Zukunft eine Straftat begehen könnten oder wollen. Und solche Gefährder gibt es natürlich nicht nur im Bereich des Islamismus.

Für mich ist das nur sehr schwer mit meinem Verständnis von Rechtstaat in Einklang zu bringen. Darf der Staat Menschen, die sich nichts zu schulden haben kommen lassen, aus Verdachtsgründen so behandeln? Es gibt ja eine Theorie, dass wenn man jemanden nur lang genug beobachtet, das man ihn dann zwangsläufig auch bei Rechtsverstößen erwischt.

Und was mir auch nicht klar ist: Gibt es eine unabhängige Stelle (Richter?) der prüft ob solche Maßnahmen überhaupt zulässig sind und nicht vielleicht nur willkürlich? Werde ich eigentlich informiert, wenn man mich für einen Gefährder hält?

Laut Wikipedia gibt es dafür die sogenannte „Gefährderansprache„:

Als Gefährder werden im Zusammenhang mit der öffentlichen Sicherheit und Gefahrenabwehr Personen bezeichnet, bei denen kein konkreter Hinweis vorliegt, dass sie eine Straftat planen, aber bei denen „bestimmte Tatsachen die Annahme der Polizeibehörden rechtfertigen, dass sie Straftaten von erheblicher Bedeutung, insbesondere solche im Sinne des § 100a der Strafprozessordnung (StPO)[1], begehen“ werden.

(…)

Die Polizei kann bei bekannten Gefährdern eine Gefährderansprache durchführen, um deren weiteres Verhalten zu beeinflussen. Die individuelle Ansprache soll signalisieren, dass „polizeiliches Interesse an seiner Person besteht, die Gefährdungslage bei der Polizei registriert wird und die Lage ernst genommen wird“.

(übrigens verwendet die Welt vermutlich nur zufällig die gleiche Formulierung wie Wikipedia *kicher*)

Ich fasse also zusammen: Es gibt bei der Polizei jemanden der annimmt, ich könnte etwas böses im Schilde führen. Damit lande ich in einer Datenbank und werde unter Umständen angesprochen nach dem Motto: „Wir beobachten dich…“. Na super. Danach ist das Leben ja mit Sicherheit total entspannt, weil man ja gut beweisen kann, dass man etwas NICHT tun wird.

Vielleicht sehe ich das zu negativ. Aber ist die Verhinderung von Straftaten durch intensives Beobachten von Menschen von denen man annimmt, dass sie möglicherweise mal eine Straftat begen an der Stelle nicht ein wenig too much?

Kategorien1984, politik Tags:

Gut, dass wir nicht paranoid sind.

21. Januar 2016 Kommentare ausgeschaltet
No Gravatar

Ich lese manchmal Nachrichten und wünschte mir, dass es Enten wären. Ich möchte aufwachen und feststellen, dass alles nur ein wirrer Traum war.

So wie heute morgen, als ich beim Spiegel folgendes las:

Ein zehn Jahre alter muslimischer Junge aus der englischen Grafschaft Lancashire ist von der Polizei befragt worden, weil er in einem Schulaufsatz schrieb, er lebe in einem „Terroristenhaus“. Das berichtet die BBC. Der Junge habe sich verschrieben und eigentlich Reihenhaus gemeint („terraced house“ statt „terrorist house“).

Die Lehrer hätten das nicht als Schreibfehler erkannt und den Jungen daher den geltenden Anti-Terror-Gesetzen zufolge der Polizei gemeldet. Der Counter-Terrorism and Security Act 2015 fordert Lehrer auf, Verdächtiges zu melden.

Laut BBC befragten Ermittler den Sohn und untersuchten einen Computer im Haus der Familie.

Das ist so dermaßen absurd, dass man zunächst glauben möchte, dass sich das gar nicht zugetragen haben könnte. Das das gar nicht sein kann, ich meine weder kann man so bescheuert sein, noch kann eine zivilisierte Gesellschaft so denunziatorisch werden und so panisch in ihrer Angst, dass selbst kleine Kinder nicht mehr außen vor gelassen werden.

Leider aber erinnert mich die Nachricht an eine von vor wenigen Tagen, als ich bei der Washington Post folgendes las:

A 10-year-old girl received a pat-down in a North Carolina airport after she left a Capri Sun juice pouch in her bag, according to her father, who filmed the incident and posted footage on YouTube.

Sehr schön übrigens die Erklärung, man habe ja nur Regel befolgt:

But a TSA spokesman said that the pat-down followed agency guidelines.

Ich meine, mal ehrlich und unter uns: Bin ich wirklich der einzige, den das massivst beunruhigt, was gerade passiert? Und nein, es ist nicht der Terrorismus, vor dem ich hier Angst habe. Es ist unsere Bereitschaft, vor einer selbst geschaffenen Angst zu kapitulieren und alle Werte über Board zu werfen – für eine vermeintliche Sicherheit vor einem vermeintlichen Feind.

Kategorien1984, gedanken, politik, soziologie Tags:

Die Welt als Terror-Tollhaus

13. Januar 2016 3 Kommentare
No Gravatar

Es ist kaum auszuahlten – und so bizarr vorhersehbar. Scheinbar gesteuert von einer derzeit herrschenden Allmachtsphantasie wird alles und jeder genutzt, um mehr Überwachung, mehr Krieg, mehr irgendwas durchzusetzen. Und die Muster sind immer die gleichen:

In Paris will ein mit einem Messer(!) bewaffnerter Mann in eine Polizeistation und wird wenig überraschen erschossen. Gut, eigene Schuld, bitte die Geschichtsbücher schließen, der Typ war irre. Auf die eine oder andere Art und Weise.

Heute aber muss er ein Terrorist sein.

Und welch glückliche Fügung, dass er angeblich eine SIM-Karte aus Deutschland im Handy hatte. Denn das rechtfertigt doch sofort wieder den Ruf nach der Vorratsdatenspeicherung. An deren Daten endlich auch die Geheimdienste wollen. Wann sie wollen. Natürlich sind hier die Hardliner der CDU ganz vorne. Aber als ob die SPD nenneswert dagegen halten würde :-/

Dabei alleine bleibt es nicht. Denn sofort wird in Recklinghausen jeder Flüchtling mit dem „Attentätter“ über einen Kamm geschert. Und man nennt das euphemistisch „Sicherheitsabfrage zu jedem Flüchtling„. Ich nenne das Racial Profiling.

Und kaum kommt es zu einem Attentat in Istanbul ist sofort klar: Es muss ISIS gewesen sein. Logisch, damit hat die NATO den perfekten Grund in sich noch militärischer zu geben. Für die USA wären jetzt schon alle Hemmungen gefallen.

Dann noch Deutsche unter den Toten? Das wird ja immer „besser“. Und schon titelt sogar der öffentlich rechtliche Rundfunk leicht panisch-paranoid „Selbstmordattentat in Istanbul – Gezielter Angriff auf Deutsche?“ und man fragt sich: wozu?

Muss hier ein äußerer Feind gestärkt in die Wahrnehmung, damit wir unsere internen Probleme vergessen? Zum Beispiel die Welle von politisch rechts motiviertem Terror der gerade über unser Land zieht?

Während dessen wird darüber diskutiert ob und wann man die Nationalität von Straftätern veröffentlichen soll. Könnten wir uns vielleicht darauf einigen, dass Nationalitäten und Religionen keine Straftaten direkt begehen, sondern Menschen? Es ist doch vollkommen egal, ob ein Deutscher, Niederländer, Türke oder Syrer eine Straftat begeht: Die Strafe muss für alle die gleiche sein, im gleichen Rechtsraum. Und der einzige Grund die Nationalität oder Abstammung zu nennen ist doch einen bestimmten Eindruck forcieren zu wollen.

Ähnlich schwachsinnig wie „unter den Toten 6 Deutsche, davon 2 Frauen und ein Kind“. Ein Toter ist ein Toter. Ein tragischer Verlust. Der nicht mehr wert wird, wenn er ein bestimmtes Alter, Geschlecht oder eine Nationalität hat. Es ist völlig egal ob ein Syrer in der Türkei Deutsche getötet hat: ein Täter hat eine abscheuliche Tat begannen bei der Menschen ums Leben kamen. Punkt.

Könnten wir uns also vielleicht alle wieder ein wenig beruhigen? Wieder vor der eigenen Tür kehren? Und aufhören uns ständig irgendwelche Feindbilder (Der Syrer, Der Afrikaner, Der Moslem, Der Katholik) zu bauen?

Einfach mal wieder… wie intelligente und vernunftbegabte Menschen handeln?

Denn wo das endet, wenn wir es nicht schaffen, sieht man sehr schön in den USA. Wo jetzt der falsche Name schon verhindert, Computerspiele spielen zu können.

Ausspähen unter Freunden, das geht gar nicht

5. Januar 2016 Kommentare ausgeschaltet
No Gravatar

Manchmal…

… ist es so kurios.

Also…

Nachdem raus kam, dass Merkel von den Amerikanern bespitzelt wurde, hat Obama sie und andere unter einen besonderen Schutz gestellt. Spionage gegen andere Menschen ist okay, gegen Merkel nicht. Alles klar.

Certain allies, including German Chancellor Angela Merkel and French President François Hollande, were added to a so-called protected list, making their communications off-limits to the NSA.

Dann aber hat Obama erlaubt, die engsten Vertrauten von Merkel abzuhören. Also wenn Merkel mit ihren Beratern sprach war das kein Abhören von Merkel, sondern nur Zufall.

As a workaround, however, the White House authorized the NSA to target the communications of a select group of those leaders‘ top advisers.

Warum?
Weil man gerne wissen wollte, was Mama Angela mit Herrn Putin so spricht.
In the case of Ms. Merkel, U.S. intelligence veterans feared losing access to her private communications with Russian President Vladimir Putin.
Jetzt muss man wissen, dass das quasi Notwehr gewesen ist, weil man sich sicher war, dass der BND die Amerikaner ausforscht.
(…)especially given their belief that the intelligence agencies of many close U.S. allies, including Germany’s BND federal intelligence service, spy on the White House.
Okay…
Allerdings muss man Obama zu Gute halten, dass das Ausspionieren schon früher begann, nämlich wohl 2002.
The NSA started eavesdropping on the communications of friendly heads of state long before Mr. Obama came to office in 2009.
Da war allerdings Merkel auch noch nicht so richtig das Ziel. Sondern Schröder. Und es ging auch gar nicht um Putin, sondern um die deutsche Position zur „Einführung westlicher Werte und Demokratie“ im Irak.
The spy agency zeroed in on Ms. Merkel’s predecessor, Gerhard Schröder, when he was chancellor around 2002 in response to his government’s opposition to then-President George W. Bush’s plans to invade Iraq, former U.S. officials say.
Gut, bei Merkel war es auch nicht nur Putin.
The Bush administration wanted to better understand Ms. Merkel’s position on international negotiations designed to curtail Iran’s nuclear program, former officials said.
Und letztlich muss man den Amerikanern auch irgendwie ökonomisches Handeln unterstellen, denn schließlich nutzten sie ja beim Wechsel von Schröder auf Merkel einfach bestehende Technologie weiter, statt sie verkommen zu lassen.
When Ms. Merkel took over in Germany, there was little hand-wringing about whether to target her. „The machinery was in place. The machinery never stops,“ a former Bush administration official said.
Ich glaube man muss wirklich den ganzen Artikel auf Nsadaq.com 1 bis 20 mal gelesen haben um die verquere Logik zu verstehen, die hinter den „Sicherheitsbehörden“ steht. Und dann bliebt eigentlich nur eine einzige Analogie:
Kategorien1984, infos, politik Tags:

George Torwell erklärt das Internet

1. Januar 2016 Kommentare ausgeschaltet
No Gravatar

Kategorien1984, internettes Tags:

Freihandels abkommen sind gut. Lobpreiset sie!

7. November 2015 Kommentare ausgeschaltet
No Gravatar

Gelegentlich findet man sie ja wirklich: Die echten Befürworter von „Freihandelsabkommen“, die derzeit „beschlossen“ werden. Diese Menschen ignorieren alle Anzeichen dafür, dass dabei nix gutes heraus kommen kann, wenn Industrie und Politik hinter verschlossenen Türen verhandeln.

Und die Vertragstexte dann sogar noch nach Unterschrift vor dem Volk geheim gehalten werden.

Jetzt sind glücklicher Weise die geheimen Unterlagen zu TPP geleakt. Und was soll ich sagen: Es wird nicht so schlimm wie befüchtet.

Es wird schlimmer.

Der Guardian hat das sehr schön aufbereit und ihr solltet es dringend lesen: „The Clock is Ticking“

Kategorien1984, infos, ökonomisch, politik Tags:

VPN-Schnäppchen: Cyberghost Jahreslizenz für nur 25€

29. Oktober 2015 2 Kommentare
No Gravatar

Ich selbst nutze ja seit einigen Jahren Cyberghost-VPN um die Datenverbindungen meines Internetrechners, Handys und Tablets sicher zu verschlüsseln. Was mir besonders gut gefällt ist, dass ich nicht nur das jeweilige Exit-Land bestimmen kann (wichtig für Geoblocking), sondern vor allem die Geschwindigkeit:

In kaum einem Fall kann ich eine deutliche Verzögerung des Datentransfers feststellen.

Dabei ist Cyberghost über die letzten Jahre auch mit erstaunlich wenig Ausfallzeiten daher gekommen und die waren für die jeweiligen Server auch angekündigt.

Heute empfehle ich den Dienst einem Freund und stelle fest, dass über Halloween die Jahreslizenz von 49,99€ auf 24,99€ gesenkt wurde. Das bedeutet, dass Ihr im Monat knapp 2 Euro für sicheren Datenverkehr zahlt.

Und die zwei Euro sollte es Euch wert sein, der Vorratsdatenspeicherung und anderen Widrigkeiten ein Schnäppchen zu schlagen 🙂

__

Disclaimer: Vor 2 Jahren bat mich Cyberghost, ihre Software kostenlos zu testen. Dafür habe ich eine Jahreslizenz bekommen, die seit dem regelmäßig kostenlos verlängert wurde. Cyberghost hat mich allerdings nicht gebeten über das aktuelle Angebot zu schreiben.

Leonardo-Hotels: wie man Internet nicht macht

12. Oktober 2015 1 Kommentar
No Gravatar

Ich bin ja Träumer. Zum Beispiel träume ich, dass Anno 2015 im Zeichen von Snowden und NSA-Skandal der Begriff IT-Sicherheit mit Leben gefüllt wird.

 

ich sehe hier auch in erster Linie Anbieter in der Pflicht. Denn diese müssen meine Daten schützen und ich als Nutzer sollte wenig bis gar nicht darüber nachdenken müssen.

 

Auf der anderen Seite ist Kontrolle bekanntlich oft besser als Vertrauen. Und leider notwendig.

 

Schönes Beispiel dafür die Leonardo Hotels:

 

Dort bekommt man als Gast WLAN. Dummer Weise teile ich das nicht nur mit allen anderen Hotel-Nutzern, sondern mit der Welt: das WLAN ist nämlich unverschlüsselt.

 

Das ist ja per se nicht schlimm, denn egal ob ohne Verschlüsselung oder mit einer, die ich mir mit n anderen Gästen teile: ich kann ja VPN nutzen.

 

Jetzt liegt in den Zimmern ein Fyler mit einem QR-Code für die „Club Card“ rum.

 

Erster Fail: der QR-Code führt nicht auf die Club-Card-Seite, sondern auf die Homepage. Dort fällt als erstes auf, dass es sich um eine http, nicht https-Verbindung handelt.

 

Und auch auf der Unterseite für die Club-Card wird leider keine Verschlüsselung der persönlichen Daten angeboten:

image

Jet könnte man sagen, das ist im normalen Internet schon Mist. In einem geteilten und fremden WLAN ist es sogar ein Albtraum.

 

Leonardo setzt aber noch einen drauf: sie blocken nämlich aktiv auch noch VPN-Gateways:

image

Ehrlich? Das verschlägt mir die Sprache. Man erwartet ernsthaft, dass ich diverse persönliche Daten in einem unverschlüsselten Netz über eine unverschlüsselte Verbindung sende und verhindert sogar digitale Notwehr in Form von VPN?

 

Bemerkenswert ist: der Zimmerpreis ist gut. Das Zimmer auch. Und nur durch eine solche Schlamperei verhindert man, dass ich wiederkomme.

Und das völlig(!) unnötig

 

 

Kategorien1984 Tags:

Homeland Season 5

6. Oktober 2015 Kommentare ausgeschaltet
No Gravatar

Ich war kein Fan von Homeland – was vor allem daran liegt das mir die Hauptdarstellerin auf den Senkel ging – wenn die CIA wirklich Schlüsselstellen mit solchen labilen Persönchen besetzt, dann gute Nacht.

Jetzt läuft gerade die 5. Staffel und schon die erste Folge hat mich ziemlich kalt erwischt:

Nicht nur, dass die Geschehnisse in Berlin beginnen. Abgesehen von der dilletantischen Darstellung sind nämlich die aktuellen politischen Themen (Gewaltbereiter Islam, Überwachung durch NSA etc) tief in die Geschichte verwoben und verwischen die Grenze zwischen Schauspiel und Realität.

Insgesamt startet die 5. Staffel also (für mich, ggf. uns in Deutschland) mit einem ziemlichen Kracher.

P.S. Wenn das  mit dem Hacken der CIA übrigens wirklich so leicht geht und man nur ein paar Webserver für Sex-Streaming braucht, wundert mich vieles gar nicht mehr 😉

Kategorien1984, film Tags:

Qivicon-Server sind down und ich schüttel mit dem Kopf

29. September 2015 Kommentare ausgeschaltet
No Gravatar

Ich gebe zu, ich habe mich noch nie richtig mit „Heimautomation“ beschäftigt. Schlicht aus der Perspektive heraus, dass es sich um Investitionen in eine sich noch entwickelnde Technik handelt, die ich nicht brauche.

Das Höchste der Heimautomation in meiner Bude sind die per Notebook programmierbaren Steuerungen der Heizung.

Jetzt verfolge ich das Thema natürlich auch nicht. Und werde gerade auf eine Art und Weise damit konfrontiert, bei der ich nicht weiß ob ich lachen oder weinen soll. Denn auf Heise lese ich:

Das Smart-Home-System Qivicon der Deutschen Telekom ist seit einigen Stunden ausgefallen. Laut einer Mitteilung im Forum der Qivicon Community liegt ein Problem im Rechenzentrum vor, das zunächst dazu führte, dass die Internetseite nicht erreichbar war, Nutzer keinen Zugriff auf den Bereich „Mein QIVICON“ hatten und die App nicht mehr funktionierte.

Ich verstehe das richtig?

Statt einer lokalen Lösung, vertrauen die Menschen die Steuerung ihres Heims einem Webdienst an und dann auch noch der Telekom?

Bin ich wirklich der Einzige, dem das wie aus einem Horrorfilm vorkommt, wenn nicht nur die Steuerung meines Haushalts vom externen Internet und einem Unternehmen abhängt? Sondern dieses Unternehmen damit de facto auch sehr viel sehr genaue Daten über mich hat? Fragt demnächst die Polizei vor der Hausdurchsuchung bei der Telekom nach ob auch jemand da sei? Mal völlig abgesehen von den möglichen Angriffsszenarien auf die Steuerung meiner Haustechnik?

Ich fasse es nicht. Echt nicht.

Kategorien1984, technik Tags: , ,

Verraten. Von einem Küchengerät

25. August 2015 Kommentare ausgeschaltet
No Gravatar

Ich bin scheinbar in einem Alter, in dem aus dem Technik-begeisterten Nerd ein Technologiekritiker wird. Immer öfter ertappe ich mich dabei, dass ich mir denke „muss das sein“, „brauchen wir das“  oder „wollen wir das“. Das bezieht sich nicht nur auf Facebook und die Tatsache, dass ich E-Mails immer noch als Plaintext ohne TOFU bevorzuge.

Dann sind da aber auch die Momente in denen ich mich bestätigt fühle. Manchmal mit einer sehr humoristischen Note. Zum Beispiel beim Internet der Dinge:

Ich bin absolut nicht der Meinung, dass jedes noch so dämliche Gadget sich selbst ins Internet einwählen muss. Wenn überhaupt kann man  über zentrale Schaltstellen nachdenken, aber bei vielen Dingen denke ich: Nö. Muss nicht.

Das Fernseher heute online gehen ist ja schon normal. Das soll das einen Mehrwert bringen, welchen habe ich noch nicht genau heraus gefunden. Auf der anderen Seite allerdings übermitteln die Fernseher natürlich auch beliebig Daten, die ich nicht kontrollieren kann. Ah, der Herr hat den Schulmädchenreport nach dem Musikantenstadl geschaut. Nun ja.

Jetzt drängen natürlich auch die „intelligent appliance“ ins Leben. Zum Beispiel der Kühlschrank. Der könnte ja, statt eines herkömmlichen Kalenders aus Papier auch einen auf LCD mit sich bringen. Wäre ja was. Jetzt könnte sich so ein Kalender natürlich seine Daten von einem zentralen Server im Haus holen. Aber das ist vermutlich für den Großteil der Kunden zu aufwändig und ein Single Point of Failure. Also wird Intelligenz in der Form hinter das Display gegossen, dass der Kühlschrank selbst mit dem Internet und darüber mit z. B. dem Google-Kalender aufnimmt.

Und es kommt, was kommen muss:

Samsung hat den ersten intelligenten Kühlschrank, der so unintelligent programmiert ist, dass er leider das Google-Passwort herausposaunt:

Researchers at Pen Test Partners took up the challenge to hack a smart fridge at Defcon’s IoT Village, and discovered that they could man-in-the-middle your Google login credentials from Samsung fridges.

Quelle: BoingBoing

Das ist so Postillon-Like, dass ich erst mal nachschauen musste ob der nicht wirklich dahinter steckt. Steckt er aber nicht. Und im Ergebnis bleibt die Frage, ob wirklich jedes Gerät ins Internet funken muss. Und ob wir das wirklich brauchen…

 

(*) mir ist klar, dass auch ein zentraler Service-Provider z. B. im Router Gefahren birgt. Mir ist auch klar, dass das Schadenspotential u. U. höher ist. Auf der anderen Seite richten sich solche Produkte wie der Kühlschrank hier aber an Menschen die sich keine Gedanken machen können und wollen. Und das ist die eigentliche Gefahr. Denn welcher Otto-Normal-User rechnet denn bitte damit, dass sein Kühlschrank das Zeug hat, eine echte Gefahr für die eigenen Daten darzustellen?

Kategorien1984, technik Tags:

Ich wäre gerne Du: Warum man keiner E-Mail trauen sollte…

18. August 2015 Kommentare ausgeschaltet
No Gravatar

Gestern abend, eine beliebige Kneipe (ok, „Zur Kutsche“) in einer beliebigen Stadt (ok, Voerde). Ein paar Männer und Frauen diskutieren über alles mögliche – auch über Computer und Datensicherheit. Irgendwie kommt das Thema auf E-Mail.

„Ja, da muss man halt gucken, von wem die kommt!“

„Nein, das ist total egal, was da steht – das hilft Dir kein bisschen!“

„Doch, Du kannst ja nicht einfach meine Mail übernehmen!“

„Kann ich wohl!“

„Kannst Du nicht!“

„Kann ich sogar mit dem Handy!“

„Beweis!“

„Okay!“

Wer in dem Dialog ich war, ist selbsterklärend. Und so habe ich den Beweis angetreten, dass ich sogar mit einem iPhone ohne Jailbreak so tun kann, als wäre man jemand anderes. Dafür habe ich einfach mal den Namen meines Tischnachbarn genommen und eine E-Mail unter seinem Namen an einen weiteren Freund geschickt. Die Überraschung war besonders groß, weil man zunächst dachte, dass ich zwar den angezeigten Namen manipulieren kann, aber doch nicht die E-Mail-Adresse. Um so größer das Erstaunen, als beim Anklicken der E-Mail auch noch die „echte“ E-Mail-Adresse auftauchte.

Ich hatte etwas Mühe zu erklären, woran das lag. Denn die andere Seite war ja sehr überzeugt davon, dass das nicht sein kann. Nachvollziehbares Argument: Wenn man sich bei einem Dienstleister mit einer bereits vergebenen Adresse versucht anzumelden, geht das ja nicht.

Ich habe dann versucht zu erklären, dass das ein Problem ist, wenn man E-Mail eigentlich nur aus dem Browser kennt. Denn, vereinfacht gesagt, funktioniert E-Mail ja viel trivialer:

Um eine Mail zu versenden, melde ich mich an einem Postausgangsserver. Früher brauchte man dafür oftmals nicht einmal Zugangsdaten, heute habe ich i. d. R. einen Usernamen und ein Kennwort. Dann erwartet der Mailserver von mir eine gültige Adresse für eine Empfänger. Und das war es.

Ab da kann, stark vereinfacht, wirklich alles mögliche kommen. Es kommen dann zum Beispiel Informationen zum Absender, die ich völlig frei wählen kann. Es kommen auch noch so Meta-Informationen wie das Subjekt und dann der Text. Einzig wichtiges Merkmal ist eine Kombination von „Steuerzeichen“, die das Ende der Mail signalisieren.

E-Mail ist damit erstaunlich flexibel. Das ist auf der einen Seite gut, weil sich Mehrwertdienste (Spamfilter, spezielle „Dienste“ wie z. B. bei Outlook/Exchange) integrieren lassen, ohne das andere E-Mail-Programme aus dem Tritt kommen. Auf der anderen Seite öffnet das natürlich dem Betrug Tür und Tor.

Das man eine Mail von einer fremden Adresse bekommt, ist dabei gar nicht mal so unwahrscheinlich. Erst beim Klick auf Antworten sieht der Empfänger unter Umständen, dass die Mail an eine andere Adresse zurück geht (Reply to) als man erwarten würde. Aber dazu muss es gar nicht kommen.

Denn ich wette, wenn ich Euch eine E-Mail schicke und mich als Bekannter ausgebe und Euch bitte, auf diesen super coolen Link zu klicken, was macht Ihr dann? Zumal wenn auf den ersten Blick ja Name und angezeigte E-Mail-Adresse zu stimmen scheinen? Eben. Und schon habe ich u. U. die Kontrolle über Euren Rechner.

Am iPhone ist mir auch kein Weg bekannt, in die Kopfdaten einer E-Mail zu schauen. Denn hier wäre ersichtlich, wenn jemand zu offensichtlich mit dem Absender trickst. Am PC geht das, aber mal ehrlich: Wer von Euch weiß wo er an den Quelltext seiner Mail kommt? Eben!

Abhilfe schafft, wie sollte es anders sein, eine gültige Signatur z. B. mit PGP/GnuPG. Denn damit sehe ich sofort, ob eine Mail von dem Absender ist, der behauptet hat sie geschrieben zu haben. Und ob sie ggf. unterwegs verändert wurde, beispielsweise von einem verseuchten Router.

Es ist um so erschreckender, wie wenig Menschen heute über die Technik wissen, der sie so blind vertrauen. Es ist aber genau so erschreckend, wie stark nach wie vor die Hemmschwelle ist, sich mit Signaturen und Verschlüsselung vertraut zu machen. Ich gestehe, dass z. B. auf einem iOS-Gerät es nicht trivial ist, solche Technik zu installieren. Aber es geht und wenn es ein Mal gemacht ist, ist auch gut.

Und vor allem am PC ist es überhaupt kein nennenswerter Mehraufwand, seine Mails zu signieren und eingehende Mails zu prüfen. Denn nur dann kann man wirklich sicher sein, dass in der Mail steht, was in der Mail stehen soll.

Aber vielleicht ändern solche Präsentationen wie gestern ja was? Wenn man merkt, dass es nicht einmal spezielle „Hackertools“ braucht, um so hinter Licht geführt zu werden…

Kategorien1984, technik Tags: , ,

2015: Der neue (digitale) Leichtsinn

16. August 2015 Kommentare ausgeschaltet
No Gravatar

Ich werd ja gerne für einen Spinner gehalten, wenn ich versuche Menschen für mehr Selbstdatenschutz zu sensibilisieren. Wer sollte mich beobachten, wer sollte mich ausforschen und überhaupt: Ich habe doch gar nichts zu verbergen.

Lasst mich kurz am Beispiel von X. erklären, warum das ein Problem ist.

X. und ich, wir kennen uns nicht. Was X. nicht weiß ist, dass er am Freitag im Zug gut 2h neben mir gesessen hat. X. ist in Essen zugestiegen und war bis Bielefeld mein Nachbar. In Essen war er bei einem Kunden, denn X. ist nicht nur in der Kirche aktiv, sondern macht auch irgendwas mit Web und einer größeren Gewerkschaft. In Essen hat er eine Website die er betreut. Oder – wäre ich ein Bösewicht – betreute. Denn die Zugangsdaten für die Website hab jetzt ich. Oder hätte ich jetzt, denn natürlich ist das hier rein fiktiv und ich habe nichts ernsthaft mitgeschrieben. Hätte ich das gemacht, hätte ich seinen Kunden erst über die Schlampigkeit informiert und dann natürlich hervorragend eine eigene Beratungsleistung verkaufen können.

Wieso ich die Zugangsdaten gehabt hätte? X. ist als erstes online gegangen. Mit seinem schicken MacBook, aber leider ohne VPN. Das ist in einem geteilten und noch dazu fremden Netz dumm. Das ist noch dümmer in einem öffentlichen Netz, dass die Kommunikation von WLAN-Devices untereinander erlaubt. Mit meinem Notebook statt Handy hätte ich seinen gesamten Datenverkehr mitschreiben können. Ein professioneller IT-Dienstleister darf sich sowas nicht erlauben!

IMG_6011

Das ist schon nicht so prickelnd. Vor allem, da die Website die er betreut kein HTTPS verwendet, also alle Daten im Klartext über das Netz schickt. Die Administration erfolgt über ein sehr beliebtes „CMS“.

Daneben hat X. dann natürlich auch noch Mails bearbeitet. Zum Beispiel die korrigierte Rechnung von Z., dem ich natürlich jetzt ein Angebot machen könnte, das deutlich unter den Preisen von X. liegt. Aber man muss X. zu Gute halten, dass er die Rechnung sofort an einen Kollegen zur Zahlung weitergeleitet hat.

IMG_6009

X. hat übrigens auch eine junge Tochter, die „Youtube-Stars“ mag. Ich weiß das, weil er sie in ein Fortbildungskonzept für die Jugendarbeit eines kirchlichen Trägers einarbeiten möchte. In Berlin, vermutlich war er gerade auf dem Weg dorthin. Woher ich das alles weiß?

Logischer Weise, weil X das alles in gut lesbarer Größe in sein MacBook tippt. Das sich dank hervorragend blickwinkelstabilem Display auch super aus extremen Winkeln angucken läßt. Was bei Videos ein Traum ist, mag bei Arbeiten im Zug schnell zum Albtraum werden. Ich muss ja nicht mal lange auf das Display schauen, hier und da ein Blick reicht ja.

Übrigens verschlüsselt X. Mails natürlich auch nicht und er signiert sie genau so wenig. Mit den Informationen die ich über ihn hätte sammeln können, hätte ich in seinem Namen auch ganz schön viel Unsinn anrichten können. Ich könnte unter seinem Namen jetzt beliebig Mails versenden – weil er seinen Kunden keinerlei Möglichkeit gibt, die Authenzität des Absenders zu prüfen… Und ich weiß sogar mit welcher Floskel er sich verabschiedet.

Ihr seht also: Selbst wenn man sich nicht einmal bemüht, man kann ganz schön viel aus zufälligen Beziehungen saugen. Und so stellt sich natürlich die Frage, was X. hätte besser machen können.

1. Er hätte vielleicht kluger Weise im Zug gar nicht gearbeitet. Sondern entspannt. Aber wenn er schon arbeiten muss oder will:

2. Es gibt Blickschutzsysteme für Notebooks (z. B. von 3M) die ich zwingend verwenden sollte, wenn ich vertrauliche Informationen bearbeite. Und meine Kunden sind vertraulich.

3. VPN, VPN und VPN: Wann immer ich kabellos in einem Netz bin, dass ich mir mit anderen Teile, gilt es besonders vorsichtig zu sein. Bei LTE/UMTS geben sich die Netzbetreiber schon Mühe, ein Ausspähen von Daten möglichst schwer zu machen. Aber im WLAN? Egal ob verschlüsseltes oder unverschlüsseltes WLAN, grundsätzlich haben alle Teilnehmer im gleichen Netz Zugriff auf meine Daten! Das bedeutet, dass egal was ich tue, meine erste Handlung ist das aktivieren von VPN. Zwar bieten heute viele Websites mit HTTPS und auch Maildienste mit Transportwegsicherung einen gewissen Schutz. Aber dieser Schutz ist nicht überall gegeben und selbst wenn, bietet VPN einen weiteren Sicherheitslayer (den man übrigens auch bei LTE/UMTS nutzen sollte….)

Der Punkt 3 gilt übrigens nicht nur für Daten-Nomaden die unterwegs arbeiten. Sondern für jeden von Euch!

Natürlich hätte X. auch einfach ein bisschen aufmerksamer sein können. Statt im Hintergrund das Staffelfinale von Battlestar Galactica zu gucken, hätte er einfach mal seine Umgebung beobachten können. Dann wäre ihm sicherlich auch aufgefallen, wenn ich auf seinen Bildschirm schaue und wenn ich sogar mein Handy in der Hand direkt neben sein Notebook halte.

Das Problem ist: X. ist kein Einzelfall. Auf jeder Zugfahrt finde ich einen oder mehrere wie X. und das Alphabet hat nicht genug Buchstaben. Und auch außerhalb des Zugs:

Im Cafe, im Bahnhof, schlicht überall sind Menschen unterwegs die unfassbar sorglos mit ihren Daten umgehen. Das kann daran liegen, dass man in Zeiten des NSA-Skandals ziemlich abgestumpft ist. Und sicherlich auch daran, dass man gar nicht vermutet, dass jemand anderes Interesse an den eigenen Daten haben könnte.

Nur leider… die Welt ist schlecht.

Das was ich hätte machen können und nicht gemacht habe: Seid ihr sicher, dass der nächst der kommt ebenfalls darauf verzichtet? Oder sich vielleicht doch den „Spaß“ gönnt mal zu sehen obs ich nicht ein paar € aus Euren Daten gewinnen lassen?

 

Disclaimer: Einen Teil der Dinge die ich weiß, weiß ich gar nicht. Ich habe mich bemüht so wenig wie möglich mitzubekommen und ich betone noch mal: mein iPhone ist nicht in der Lage Daten mitzuschreiben. Ein Notebook dagegen ist nicht abhängig von der Software im AppStore und wer möchte kann ja mal gucken, was z. B. Cain&Abel zu tun vermögen. Ich wollte Euch aber eindringlich klar machen, wie viel man auf einer Bahnfahrt u. U. von sich preis gibt.

Nachtrag: sehr schöner Artikel „Welcome to The Internet of Compromised Things“

Kategorien1984, arbeiten, internettes, technik Tags: