Blogarchiv 2007

Eine Reihe von Blog­gern sind auf dem Chaos Com­mu­ni­ca­ti­on Con­gress vor Ort und be­rich­ten re­gel­mä­ßig vom Ort des Ge­sche­hens - und damit be­deu­tend aus­führ­li­cher, als ich es kann. Allen voran zu nen­nen sind hier die Blogs futur:plom und Mit­ter­nachts­hacking (Edit: ich er­gän­ze mal noch CSS Pe­tals und Un­in­for­ma­ti­on) - die Au­to­ren be­rich­ten in se­pa­ra­ten Bei­trä­gen zu den von ihnen be­such­ten Vor­trä­gen.

24C3-Logo

Bei der Er­öff­nung war na­tür­lich die Vor­rats­da­ten­spei­che­rung ein gro­ßes Thema; da die Le­gis­la­ti­ve das Ge­setz durch­ge­nickt hat, läge es nun an den Bür­gern, durch Ver­wen­dung von An­ony­mi­sie­rungs­diens­ten, etc. die VDS zu "ha­cken" und so ihre Sinn­lo­sig­keit zu de­mons­trie­ren.

Be­züg­lich des Be­triebs von TOR-Nodes waren po­si­ti­ve Stim­men zu hören: Man könne kein sys­te­ma­ti­sches "Tod­kla­gen" von TOR-Nodes be­ob­ach­ten; viel­mehr sei der Um­gang mit den Er­mitt­lungs­be­hör­den meist recht un­kom­pli­ziert:

"Die meis­ten Er­mitt­ler wür­den der­zeit vor allem aber eine schrift­li­che Be­stä­ti­gung er­hal­ten wol­len, dass sie auch bei einer ge­nau­en Durch­su­chung von Tor-Ser­vern "nichts fin­den wür­den", er­läu­ter­te Mit­ten­zwei. Es gehe ihnen darum, eine Akte damit mög­lichst rasch schlie­ßen zu kön­nen."

Es hilft also, den Er­mitt­lern die Funk­ti­on von TOR glaub­wür­dig und aus­rei­chend de­tail­liert (aber nicht zu kom­pli­ziert) er­klä­ren zu kön­nen. Viel­leicht baut da ja je­mand mal ein "Exe­cu­ti­ve Sum­ma­ry for In­ves­ti­ga­tors"?

Ok, der Ar­ti­kel Warum Dr. Billy Bay­pack heute Nach­mit­tag sein Radio öf­fent­lich und fach­ge­recht zer­stö­ren wird von Te­le­po­lis hat mir die Nach­mit­tags­lau­ne ge­ret­tet! Ein Ak­ti­ons­künst­ler mel­de­te die fik­ti­ve Figur Billy Bay­pack bei den Wer­be­lis­ten von Pay­back, Mc­Do­nalds, Beate Uhse, Happy Di­gits und der Rewe Han­del­grup­pe. Ir­gend­wann er­hielt diese Per­son Post von der GEZ - ein Schelm, der Arges dabei denkt, wie die GEZ wohl an diese Adres­se kam!?

Das Ser­vice Pack 1 für Vista steht ja in Bälde ins Haus; un­längst wurde über ekla­tan­te Män­gel im Zu­falls­zah­len­ge­ne­ra­tor der Win­dows-Sys­te­me ge­spro­chen, und aus Red­mond hörte man Bes­se­rungs­ge­löb­nis­se... und was lese ich bei Bruce Schnei­er am Wo­chen­en­de? Mi­cro­soft in­te­griert einen neuen Zu­falls­zah­len­ge­ne­ra­tor "Du­al_EC-DRBG" in Vista SP1 - genau das Ver­fah­ren, das unter star­kem Ver­dacht steht, eine NSA-Back­door zu ent­hal­ten!

Wer er­in­nert sich noch an "Samy is my hero"? Ana­lo­ges pas­siert wohl im Au­gen­blick bei Googles So­ci­al Net­work Orkut: Mo­men­tan gras­siert dort ein XSS-Wurm durch die Be­nut­zer­pro­fi­le.

Vor lau­ter On­line-Durch­su­chung und Vor­rats­da­ten­spei­che­rung ist es ruhig ge­wor­den um den im Som­mer ver­ab­schie­de­ten "An­ti-Ha­cker-Pa­ra­gra­phen" 202c. Waren die ers­ten Re­ak­tio­nen eher sym­bo­li­scher Natur, kann man bei Mit­ter­nachts­hacking von den sehr kon­kre­ten Schwie­rig­kei­ten lesen: Der Ver­such, ein Pen­test-Tool zu kau­fen, wurde mit einer freund­li­chen E-Mail be­ant­wor­tet, daß die­ses Pro­dukt auf­grund der neuen Ge­set­zes­la­ge nicht mehr nach Deutsch­land ver­kauft wird.

Es war ja vor­her­zu­se­hen: Die Stu­di­VZ Ltd. ist kein Wohl­tä­tig­keits­ver­ein, das Be­trei­ben der Platt­form kos­tet Geld - es muß Sorge ge­tra­gen wer­den, daß Geld in die Kas­sen flie­ßen kann. Und das hat Stu­di­VZ mit einer Än­de­rung der AGBs ver­sucht. Die bei­den es­sen­zi­el­len Punk­te: Ähn­lich wie bei Face­book ver­sucht man, "in­no­va­ti­ve" Wer­be­ka­nä­le zu öff­nen - bei Stu­di­VZ Wer­bung via SMS und In­stant Mes­sen­ger. Au­ßer­dem will man das wahre Ka­pi­tal von Stu­di­VZ - die Be­nut­zer­da­ten - schüt­zen: Das Ab­mel­den von der Platt­form be­deu­tet nun nicht mehr, daß die ei­ge­nen Daten ge­löscht wer­den; sie sind ab so­fort nur nicht mehr öf­fent­lich er­reich­bar. Das ist der Ver­such, eine per­ma­nen­te Spei­che­rung der Daten zu er­mög­li­chen.

Amü­sant finde ich die Zi­ta­te aus den An­schrei­ben bei netz­po­li­tik.​org, wel­che den Stu­di­VZ-Nut­zern die neuen AGBs schmack­haft ma­chen sol­len. Da hat sich ein Wer­be­tex­ter si­cher aus­to­ben dür­fen! Auch Chris von F!XMBR fin­det eine Menge sar­kas­ti­scher Worte zu der Ak­ti­on. Nüch­tern be­trach­tet ist aber das ein­zi­ge, was man Stu­di­VZ vor­wer­fen kann, die töl­pel­haf­te und un­ge­schick­te Vor­ge­hens­wei­se - als Firma sind sie (nach gän­gi­ger ju­ris­ti­scher Mei­nung) sogar ge­setz­lich an­ge­hal­ten, ihren Be­trieb mit Ge­winn­ab­sicht zu be­trei­ben. Aber zum einen sind die Än­de­run­gen so prä­sen­tiert wor­den, daß das Me­di­en­echo ein­fach schlecht sein mußte. Zum an­de­ren hege ich Zwei­fel, ob die Än­de­run­gen ju­ris­tisch ver­tret­bar sind; zu­min­dest nach deut­schem Recht gilt der Grund­satz der mi­ni­ma­len Da­ten­hal­tung, und spä­tes­tens eine Spei­che­rung der Pro­fil­da­ten über die Kün­di­gung des Ac­counts hin­aus wi­der­spricht die­sem wohl deut­lich. Oder hat man hier­für eine an­de­re Lö­sung ge­fun­den? Die Rechts­form "Li­mi­ted", mit der sich Stu­di­VZ schmückt, gibt es an sich nur in Eng­land...

"Sa­la­mi­tak­tik" nennt man das Vor­ge­hen, in klei­nen Schrit­ten mög­lichst un­merk­lich ein Vor­ha­ben durch­zu­set­zen. Um sich dies be­wu­ßt zu ma­chen, hat der CCC Ulm eine Samm­lung der Er­eig­nis­se seit dem 11. Sep­tem­ber in sei­nem Wiki zu sam­meln (bis dato lei­der ohne gro­ßes Feed­back). Aber auch an an­de­ren Stel­len fin­det man the­men­ver­wand­te Zu­sam­men­stel­lun­gen: Heise News sam­melt auf die­ser Seite alle Ar­ti­kel zum "Schäu­b­le-Ka­ta­log". Auf der Seite des Film­wett­be­werbs "Das Pan­op­ti­sche Prin­zip" fin­det man eine stich­wort­ar­ti­ge Zu­sam­men­stel­lung der Ent­wick­lung nach 9/11. Und Netz­po­li­tik weist heute auf die­ses Pa­pier des wis­sen­schaft­li­chen Diens­tes hin, in dem die Maß­nah­men zur Ter­ror­be­kämp­fung seit dem 11. Sep­tem­ber auf­ge­lis­tet sind.

Die Weih­nachts­fei­er­ta­ge haben gleich aus zwei­er­lei Hin­sicht Po­ten­ti­al für Si­cher­heits­pro­ble­me: Zum einen haben viele Ad­mins frei, zum an­de­ren haben auch die "krea­ti­ven Quer­den­ker" freie Zeit, um ihr (Un)wesen zu trei­ben. Auf diese Tat­sa­che wei­sen ei­ni­ge Mit­ar­bei­ter der PGP Cor­po­ra­ti­on be­son­ders nett mit die­sem Lied hin:

Die Ana­lo­gie vom Frosch im hei­ßen Was­ser wurde ja schon oft her­an­ge­zo­gen - nun gibt es sie auch als Video auf­ge­ar­bei­tet. 90 Se­kun­den, die es wert sind, wei­ter­ge­zeigt zu wer­den!

Kai hatte die­sen TV-Tip ge­ge­ben und auf die Sen­dung "das Ende der In­ti­mi­tät" ver­wie­sen. Die Sen­dung ist in­zwi­schen aus­ge­straht und hat ihren Weg in fünf Tei­len zu YouTube (Teil 1, 2, 3, 4, 5) ge­fun­den. Die Sen­dung be­leuch­te­te zwei As­pek­te: Die wach­sen­den Über­wa­chungs­wün­sche der Po­li­tik ei­ner­seits, die frei­zü­gi­ge Selbst­in­sze­nie­rung im In­ter­net an­de­rer­seits.

Im Jahr 2006 wur­den ins­ge­samt 460.000 Te­le­fo­na­te, Brie­fe und Faxe ab­ge­hört - so be­rich­ten N24 und Focus. Das sind (laut Aus­sa­ge des par­la­men­ta­ri­schen Kon­troll­gre­mi­ums für die Ge­heim­diens­te) 25 Mal mehr als noch 2004.

Un­längst wurde der Zu­falls­zah­len­ge­ne­ra­tor von Win­dows ana­ly­siert und als mitt­le­re Ka­ta­stro­phe be­fun­det. Heute kam die Mel­dung, daß auch der Zu­falls­zah­len­ge­ne­ra­tor von FreeBSD unter Um­stän­den den in­ter­nen Zu­stand preis­gibt. Ein kur­zer Blick auf den Patch zeigt je­doch, daß es sich hier­bei le­dig­lich um einen pro­gram­mier­tech­ni­schen Lap­sus han­delt. Im Ge­gen­satz zu Win­dows (des­sen of­fen­sicht­lich selbst ge­koch­tes Ver­fah­ren man nur als br0ken be­zeich­nen kann) kommt bei FreeBSD der pu­bli­zier­te und er­forsch­te Yar­row-Al­go­rith­mus zur Er­zeu­gung von Pseu­do­zu­falls­zah­len zum Ein­satz. Eben­falls im Ge­gen­satz zu Win­dows wurde so­fort ein ent­spre­chen­des Up­date be­reit­ge­stellt...

Der Bun­des­rat hat heute mit­tag die Vor­rats­da­ten­spei­che­rung ab­ge­nickt; im­mer­hin hat sich der Rat gegen einen Aus­kunfts­an­spruch der Ur­he­ber­rechts-Ver­bän­de aus­ge­spro­chen - an­de­rer­seits wer­den hier­für ja be­reits al­ter­na­ti­ve recht­li­che Kon­struk­te dis­ku­tiert. Wie Kai an­hand einer Stel­lung­nah­me der Bun­des­re­gie­rung zum ver­ab­schie­de­ten Ge­setz zeigt, ist hier mit wei­te­ren Scheib­chen­schnei­den an der VDS-Sa­la­mi zu rech­nen.

Den Bun­des­län­dern gehen die Zu­griffs­mög­lich­kei­ten nicht weit genug - durch einen ge­schick­ten Win­kel­zug (das Ge­setz zur Vor­rats­da­ten­spei­che­rung selbst wird nicht ge­än­dert, in einem zwei­ten Ge­setz wer­den ent­spre­chen­de Re­ge­lun­gen ver­an­kert) sol­len unter an­de­rem die Rech­te­inha­ber zum Zwe­cke zi­vil­recht­li­cher Ver­fol­gung etwa von Ur­he­ber­rechts­ver­let­zun­gen Zu­gang zu den Daten be­kom­men - ohne, daß dies rich­ter­li­cher Kon­trol­le un­ter­lä­ge. Da ist er schon, der viel­be­schwo­re­ne Damm­bruch - und noch frü­her als be­fürch­tet. Noch per­fi­der: Soll­te das Ge­setz kom­men, haben die Con­tent-Ver­wer­ter im Prin­zip alle In­stru­men­te für die le­gi­ti­mier­te Selbst­jus­tiz zu­sam­men.

In der ab­schlie­ßen­den Pres­se­kon­fe­renz der BKA-Ta­gung zum Thema "Tat­ort In­ter­net" hat BKA-Prä­si­dent Ziercke be­stä­tigt, daß die ge­for­der­te Quel­len-TKÜV (der "Bun­de­stro­ja­ner") vor allem wegen der Sky­pe-Te­le­fo­nie be­nö­tigt wird - gleich­zei­tig aber ein­ge­räumt, daß man noch nicht ein­mal bei der Firma Skype wegen einer Ab­hör­mög­lich­keit an­ge­fragt hätte. Die Kom­bi­na­ti­on die­ser bei­den Äu­ße­run­gen hat im Netz (z.B. Slash­dot, The Re­gis­ter) für leich­te Er­hei­te­rung ge­sorgt.

Bei Face­book schla­gen die Wogen ge­ra­de hoch: Face­book will an­ge­pa­ß­te Wer­bung ein­blen­den, und zwar nicht nur auf die Web­sei­te, son­dern auch in die rest­li­che Kom­mu­ni­ka­ti­on wie z.B. in Chats. Em­pör­te Be­nut­zer for­mie­ren sich in der Face­book-Grup­pe Stop in­va­ding my pri­va­cy!

Der Be­trei­ber eines sol­chen so­zia­len Net­zes be­sitzt einen um­fas­sen­den Da­ten­be­stand, der ein ge­fun­de­nes Fres­sen für Data Mi­ning ist. In den Pro­fi­len geben die Leute ihre Hob­bies und In­ter­es­sen di­rekt an. Be­kannt­schaf­ten sind ja das Kil­ler-Fea­ture von sol­chen Platt­for­men und daher di­rekt aus der Da­ten­bank aus­zu­le­sen; da Be­kannt­schaf­ten fast immer einen "com­mon ground" be­sit­zen (selbe In­ter­es­sen, sel­bes Stu­di­um, etc.), las­sen sich auch hier­über In­for­ma­tio­nen ab­lei­ten; und zu guter Letzt be­steht die Mög­lich­keit, Chats und Foren aus­zu­wer­ten: Wer ant­wor­tet wem und wel­che Be­grif­fe wer­den hier häu­fig ver­wen­det. All das be­kommt der Be­trei­ber auf dem Sil­ber­ta­blett ser­viert - dies sind nur die ein­fachs­ten Tech­ni­ken des Data Mi­nings.

Goog­le ex­tra­hiert schon seit lan­gem sol­che In­for­ma­tio­nen sehr er­folg­reich aus einer dif­fu­se­ren Da­ten­men­ge (be­such­te Web­sei­ten) - das ganze dürf­te also her­vor­ra­gend funk­tio­nie­ren. Im Ge­gen­satz zu Goog­le wird bei Face­book aber nicht nur de­zent Wer­bung am Sei­ten­rand ein­ge­blen­det: Neu ist, daß es auch Wer­be­mit­tei­lun­gen in der Kom­mu­ni­ka­ti­on, also im Chat und in Foren geben soll. Die Idee ist (nüch­tern be­trach­tet) ge­ni­al: Ge­ziel­te Wer­bung, an­ge­pa­ßt nicht auf eine Per­son, son­dern an die Schnitt­men­ge der In­ter­es­sen der be­tei­lig­ten Per­so­nen - oder (noch bes­ser) zu­sätz­lich an das Ge­sprächs­the­ma des Chats. Man stel­le sich vor: Zwei Leute chat­ten mit­ein­an­der, das Sys­tem er­kennt an­hand der Da­ten­bank, daß beide im sel­ben Stu­di­en­gang sind und er­kennt am Text, daß es um Ma­the­ma­tik geht. Flugs folgt eine Ein­blen­dung für Mathe­bü­cher und -skrip­te beim On­line­buch­händ­ler der Wahl.

Ich habe eben in die AGBs von Stu­di­VZ ge­se­hen (oder bes­ser: Ver­sucht. Stu­di­VZ ist ge­ra­de down, ich habe den Goog­le Cache ge­le­sen): Hier fin­det man unter 4.2 den Pas­sus: "Au­ßer­dem be­hält sich der Be­trei­ber vor, künf­tig an­ge­mes­se­ne Wer­bung zu schal­ten.". Für eine sol­che Da­ten­ana­ly­se müs­sen die Daten nicht an drit­te wei­ter­ge­ge­ben wer­den (5.3) - alle Vor­aus­set­zun­gen für Wer­bung a la Face­book sind also ge­ge­ben.

Das ganze ist so lu­kra­tiv, daß es imho keine Frage des "ob", son­dern nur eine Frage des "wann" (wann be­kom­men sie es tech­nisch hin) ist, bis Stu­di­VZ hier nach­zieht.

Qbi hat auf zwei Ver­öf­fent­li­chun­gen hin­ge­wie­sen, in denen die Zu­falls­zah­len­ge­ne­ra­to­ren von Win­dows und Linux un­ter­sucht wur­den. Linux schnitt hier­bei sehr brauch­bar ab, bei Win­dows 2000 hin­ge­gen wur­den ekla­tan­te Schwach­stel­len ent­deckt. Die­sel­ben Pro­ble­me hat Mi­cro­soft nun auch für Win­dows XP be­stä­tigt. Al­ler­dings hält man die An­ge­le­gen­heit für so un­kri­tisch, daß das Pro­blem erst mit dem nächs­ten Ser­vice­pack im ers­ten Halb­jahr 2008 be­ho­ben wer­den soll.

Das NIST (Na­tio­nal In­sti­tu­te of Stan­dards and Tech­no­lo­gy) hat im März die­sen Jah­res eine Ver­öf­fent­li­chung mit emp­foh­le­nen Al­go­rith­men zur Er­zeu­gung (kryp­to­gra­phisch star­ker) Pseu­do-Zu­falls­zah­len her­aus­ge­ge­ben. Die vier ver­schie­de­nen Ver­fah­ren ba­sie­ren auf un­ter­schied­li­chen, be­kann­ten und wohl­un­ter­such­ten kryp­to­gra­phi­schen Ba­sis­pri­mi­ti­ven (Hash­funk­tio­nen, HMAC, Block­zif­fern, el­lip­ti­sche Kur­ven). Eines der Ver­fah­ren fällt aus der Reihe: Es ist lang­sa­mer als die an­de­ren und scheint nur des­halb ent­hal­ten zu sein, weil es der Fa­vo­rit der NSA ist. In einem Ar­ti­kel bei Wired be­rich­tet Bruce Schnei­er von der Ver­mu­tung, daß die­ses Ver­fah­ren mit einer Hin­ter­tür be­haf­tet sein könn­te.

Der Ham­bur­ger Wahl­stift ist end­gül­tig vom Tisch. Die kom­men­de Bür­ger­schafts­wahl wird rein ma­nu­ell statt­fin­den; ob der Wahl­stift in Zu­kunft als Wahl­hil­fe oder Wahl­ge­rät Ver­wen­dung fin­den wird, ist je­doch noch nicht ge­klärt. Damit liegt die 4,5 Mil­lio­nen Euro schwe­re In­ves­ti­ti­on erst­mal auf Eis - und wan­dert (hof­fent­lich) in die Müll­ton­ne der Ge­schich­te. Nicht un­er­heb­lich zu die­ser Ent­schei­dung bei­ge­tra­gen haben die Re­cher­chen des CCC, die ver­schie­de­ne An­griffs­sze­na­ri­en er­ge­ben haben, wie Wah­len mit dem Wahl­stift ma­ni­pu­liert wer­den kön­nen.

Eng­land hat seit sechs Wo­chen ein Ge­setz, mit wel­chem man die Ent­schlüs­se­lung oder die Her­aus­ga­be von Schlüs­sel­ma­te­ri­al unter An­dro­hung von bis zu fünf Jah­ren Haft er­zwin­gen kann. Das Ge­setz kam nun erst­ma­lig zur An­wen­dung - aber nicht gegen Ter­ro­ris­ten oder or­ga­ni­sier­te Kri­mi­na­li­tät: Auf dem Lap­top einer Tier­schüt­ze­rin wurde eine PGP-ver­schlüs­sel­te Datei ent­deckt, die sie nun ent­schlüs­seln soll.

Über ein wei­te­res Bei­spiel für die ge­rin­ge Sach­kennt­nis von Er­mitt­lungs­be­hör­den und Rich­tern be­züg­lich des Net­zes (ins­be­son­de­re von Tor) be­rich­tet Kai Raven in sei­nem Ar­ti­kel "Ein deut­scher Tor Rou­ter Admin und die deut­sche Jus­tiz". Einem Be­trei­ber einer deut­schen Tor-Exit-Node wurde ein Straf­be­fehl zu­ge­stellt - er habe über sei­nen Ser­ver eine web.​de-Adres­se unter An­ga­be fal­scher Per­so­na­li­en ("Iden­ti­täts­dieb­stahl") an­ge­legt und mit die­ser einen Ama­zon-Gut­schein über 51 Euro be­stellt (und nicht be­zahlt).

Ich bin kein Freund der Serie "24". High-Tech-Gim­micks auf der einen Seite, him­mel­schrei­en­de Igno­ranz ge­gen­über (tech­ni­scher) Rea­li­tät auf der an­de­ren Seite, ge­paart mit auf­ge­setz­ter Story und aus­gie­bi­ger Ge­walt­dar­stel­lung - das kann auch das (in der 1. Staf­fel noch neue) Kon­zept des "Echt­zeit-Kri­mis" nicht wett­ma­chen.

Zwei Tief­schlä­ge gegen die Pri­vat­sphä­re in­ner­halb von 24 Stun­den: Zu­erst ver­ab­schie­de­te der Bun­des­tag die Zen­t­ral­da­tei der Steu­er­zah­ler, mit wel­cher jede Per­son von der Ge­burt bis 20 Jahre nach dem Ab­le­ben eine ein­deu­ti­ge Per­so­nen­kenn­zif­fer (näm­lich die Steu­er­num­mer) er­hält; unter die­ser Num­mer wer­den in einem zen­tra­len Re­gis­ter die Lohn­steu­er­da­ten von Ar­beit­ge­ber und -neh­mer ge­spei­chert. Kurz dar­auf wurde - wie be­fürch­tet - das Ge­setz zur Vor­rats­da­ten­spei­che­rung und TK-Über­wa­chung be­schlos­sen. Die all­ge­mei­nen Be­den­ken und Pro­tes­te wur­den ge­flis­sent­lich igno­riert. Wie­der ein­mal wird es wohl die Auf­ga­be des Bun­des­ver­fas­sungs­ge­richts sein, Ver­nunft in die An­ge­le­gen­heit zu brin­gen - der AK Vor­rats­da­ten­spei­che­rung sam­melt be­reits Adres­sen für eine Sam­mel-Ver­fas­sungs­be­schwer­de.

Bei der de­zen­tra­len Demo ges­tern waren trotz wid­ri­ger Wit­te­rung bun­des­weit mehr als 10.000 Leute auf der Stra­ße, um gegen die Vor­rats­da­ten­spei­che­rung zu de­mons­trie­ren. Trotz die­sem und vie­ler wei­te­rer mah­nen­der Si­gna­le hat der Rechts­aus­schuß des Bun­des­tags den Ge­setz­ent­wurf ab­ge­seg­net. Es ist davon aus­zu­ge­hen, daß der Bun­des­tag das Ge­setz eben­so durch­win­ken wird.

Heisses Netzteil

Im Fe­bru­ar die­sen Jah­res in­for­mier­te mich ein Be­kann­ter (der die iden­ti­sche Rech­ner­kon­fi­gu­ra­ti­on zu­sam­men mit mir ge­kauft hatte), daß bei ihm das Netz­teil plötz­lich in Flam­men auf­ge­gan­gen sei - glück­li­cher­wei­se war er ge­ra­de zu­fäl­lig im Haus, sein Rech­ner läuft meist rund um die Uhr (flei­ßi­ger dis­tri­bu­ted.​net-Rech­ner). Im Au­gust quol­len plötz­lich Rauch und klei­ne Flämm­chen aus mei­nem Rech­ner - ein Glück kein Da­ten­ver­lust...

Ges­tern ruft mich mein Be­kann­ter an, daß auch sein Aus­tau­sch­netz­teil Rauch­zei­chen von sich gab! Wenn sowas pas­siert, wäh­rend man nicht im Zim­mer ist, hat man Ruck­zuck einen Woh­nungs­brand - vom dro­hen­den Da­ten­ver­lust mal ganz zu schwei­gen. Das stärkt nicht ge­ra­de mein Ver­trau­en in die Zu­ver­läs­sig­keit der Netz­tei­le - be­kommt man dort nur "Va­por­wa­re", Ware, die sich in Rauch auf­löst?

Edit: An­fang des Jah­res hatte Goog­le noch nichts re­le­van­tes zum Thema ge­fun­den, aber in­zwi­schen gibt es eine Reihe Fo­ren­be­rich­te, wel­che ähn­li­che Pro­ble­me haben... man hat dort den Ein­druck, daß sich in jüngs­ter Zeit die Vor­fäl­le bei den Be­Quiets häu­fen :-(

Edit 2: Mei­nem Be­kann­ten hat der Laden das Netz­teil na­tür­lich er­setzt - al­ler­dings nicht streng nach Ga­ran­tie­vor­schrift (Er­satz­ge­rät glei­chen Typs), er hat jetzt statt­des­sen ein Power­Mas­ter-Netz­teil... der Laden hat wohl aus leid­vol­ler Er­fah­rung die Pro­dukt­li­nie ge­än­dert.

(Foto von Vi­va­Ant­arc­tica)

FreiheitStattAngst-Dezentral.jpg

Noch­mal ganz kurz zu­sam­men­ge­fa­ßt (wer's aus­führ­li­cher will, lese die­sen Ar­ti­kel), worum es geht: Ab 1.1.08 sol­len für 6 Mo­na­te fol­gen­de In­for­ma­tio­nen ge­spei­chert wer­den:

  • Wer hat sich wann (und mit wel­cher IP-Adres­se) ins In­ter­net ein­ge­wählt
  • Wer hat wann E-Mails ab­ge­ru­fen
  • Wer hat wann an wen eine E-Mail ver­schickt
  • Wer hat wann mit wem wie lange te­le­fo­niert
  • Wer hat wann an wen eine SMS ge­schickt
  • Bei Han­dys (Te­le­fon­ge­spräch/SMS) wird zu­sätz­lich der Auf­ent­halts­ort ge­spei­chert

Die Daten kön­nen von Po­li­zei, LKA/BKA, der Staats­an­walt­schaft und den Nach­rich­ten­diens­ten ab­ge­ru­fen wer­den; al­ler­dings gibt es ein in­ter­na­tio­na­les Ab­kom­men, nach dem auch 52 wei­te­re Staa­ten (dar­un­ter Russ­land, die USA, aber auch Län­der wie Azer­bai­jan!) diese Daten an­fra­gen kön­nen.

In drei Tagen ent­schei­det der Bun­des­tag über das Ge­setz - heute ist also die letz­te Chan­ce, ein Zei­chen da­ge­gen zu set­zen. Wer also etwas Zeit er­üb­ri­gen kann - und sei es nur eine halbe Stun­de: Hin­ge­hen!

Manch­mal ist es hilf­reich, die Per­spek­ti­ve einer drit­ten, un­be­tei­lig­ten Per­son ein­zu­neh­men, um ein Thema ob­jek­ti­ver be­trach­ten zu kön­nen. Wer das tun will, soll­te sich die­sen Ar­ti­kel der Los An­ge­les Times über die On­line­durch­su­chung in Deutsch­land durch­le­sen. Deutsch­land wird be­reits in der Über­schrift als eine "Na­ti­on mit einer Ge­schich­te öf­fent­li­cher Über­wa­chung" ge­nannt; ein Volk, das die Be­spit­ze­lung durch die Ge­sta­po und die Stasi er­lebt hat - also ein Land, das es ei­gent­lich bes­ser wis­sen soll­te.

Kurze Notiz: Das BGH stellt bei sei­ner Ent­schei­dung zur Auf­he­bung des Haft­be­fehls gegen den Ber­li­ner So­zio­lo­gen fest: Ver­schlüs­se­lung von E-Mails be­grün­det kei­nen drin­gen­den Tat­ver­dacht. Aus dem Um­stand, daß ver­schlüs­sel­te Mails ver­sen­det wür­den, dürfe nicht ge­schlos­sen wer­den, daß diese straf­ba­re Hand­lun­gen ent­hal­ten wür­den.

Die gest­ri­ge Sen­dung von Fron­tal21 hat auch über die Vor­rats­da­ten­spei­che­rung be­rich­tet (Bei­trag als Video in der ZDFme­dia­thek). An­hand von meh­re­ren In­ter­view­part­nern wird auf die dras­ti­schen Aus­wir­kun­gen hin­ge­wie­sen: Die stän­di­ge Sorge, man könn­te in eine Such­ab­fra­ge mit hin­ein­fal­len und so un­schul­dig ver­däch­tigt wer­den. Der Schritt zum "In­be­griff des Prä­ven­ti­ons­staats". Die Ein­schrän­kun­gen der Pres­se­frei­heit und die Sorge der Jour­na­lis­ten um ihre In­for­man­ten.

Der Mo­dera­tor hat die Kon­se­quenz für Eu­ro­pas Bür­ger schön zu­sam­men­ge­fa­ßt: (Die Daten von) "Eine halbe Mil­li­ar­de Ver­däch­ti­ger: Ohne be­son­de­ren Anlaß - und auf Vor­rat."

Bild von jasoneppink

Der Zu­gang zum Fracht­be­reich (und an­de­ren Flug­ha­fen­be­rei­chen) er­folgt le­dig­lich über Ma­gnet­kar­ten. Kri­mi­nel­le nut­zen diese Me­tho­de laut Aus­sa­ge eines In­for­man­ten be­reits seit lan­gem: Ent­we­der wer­den alte Kar­ten wei­ter­ver­wen­det (of­fen­sicht­lich wer­den die Kar­ten nach Aus­schei­den eines Mit­ar­bei­ters nicht ge­sperrt), oder aber man ko­piert eine Mit­ar­bei­ter­kar­te - so ge­langt man tief ins In­ne­re des Flug­ha­fens. Das Ko­pie­ren er­folgt mit stan­dar­di­sier­ten Ma­gnet­kar­ten­schrei­bern, es gibt keine spe­zi­el­len Schutz­vor­rich­tun­gen - noch nicht ein­mal ein pro­prie­tä­res For­mat, was zu­min­dest ein ge­rin­ges Hin­der­nis dar­stel­len würde.

Auf der Bühne des Se­cu­ri­ty Thea­ters wer­den die Pas­sa­gie­re mit ver­schie­dens­ten Si­cher­heits­prü­fun­gen ge­gän­gelt: Durch­leuch­tung des Hand­ge­päcks, Kon­trol­le des auf­ge­ge­be­nen Ge­päcks, Pa­ß­kon­trol­len, Per­so­nen­kon­trol­le mit Hand­scan­ner, Aus­zie­hen der Schu­he, Ver­bot von Flüs­sig­kei­ten, sogar das Ver­bot von Na­gel­sche­ren und Na­gel­knip­sern.

Back­stage, hin­ter den Ku­lis­sen sieht alles an­ders aus: Hier kom­men an­ti­quier­te Me­cha­nis­men zur Zu­gangs­kon­trol­le zum Ein­satz, Per­so­nen­kon­trol­len gibt es nicht. So ge­lang­ten die Re­por­ter di­rekt an die Luft­fracht, ohne auch nur ein ein­zi­ges Mal an­ge­spro­chen zu wer­den. Kri­mi­nel­len wäre es so ein leich­tes, Ge­päck mit bri­san­tem In­halt an den wei­te­ren Kon­trol­len vor­bei­zu­schleu­sen. Il­le­ga­le Ware kann so an den Po­li­zei­kon­trol­len vor­bei­ge­bracht wer­den, um­ge­kehrt soll­te es auch kein Pro­blem dar­stel­len, wei­te­re Ge­päck­stü­cke (wer jetzt an Bom­ben oder ähn­li­ches denkt, schreit laut "hier!") in den Bauch eines Flug­zeugs zu schmug­geln.

Die Sa­ti­ri­ker von "Neues aus dem Schlacht­hof" haben in ihrer letz­ten Sen­dung quasi als "Zu­ckerl" fest­ge­stellt, daß man die Na­gel­sche­re, die einem Ein­gangs ab­ge­nom­men wird, im Flug­zeug aus dem Bord-Shop kau­fen kann.

Bra­in­dead, com­ple­te­ly bra­in­dead. Etwas an­de­res fällt mir zu sol­chen Zu­stän­den nicht mehr ein.

(Bild von ja­so­nep­pink)

Die Web­sei­te ist die Au­ßen­dar­stel­lung von Fir­men und In­sti­tu­tio­nen - so­zu­sa­gen die vir­tu­el­le Emp­fangs­hal­le. Aus Kom­fort­grün­den dient sie häu­fig so­wohl für Be­su­cher als auch für Mit­ar­bei­ter als Platt­form; und auch die Ge­stal­ter und Re­dak­teu­re be­nö­ti­gen in ir­gend­ei­ner Form Zu­griff, um Ak­tua­li­sie­run­gen vor­neh­men zu kön­nen. Eine ent­spre­chen­de Kon­fi­gu­ra­ti­on ist leicht zu er­stel­len, doch bie­ten diese leicht­sam eine Ein­falls­schnei­se für un­ge­be­te­ne Be­su­cher; auf ei­ni­ge Pro­ble­me möch­te ich in die­sem Ar­ti­kel am Bei­spiel des Apa­che-Web­ser­vers hin­wei­sen.

Ok, ich weiß: Tell news. Trotz­dem finde ich das eine krea­ti­ve Idee: Ein tro­ja­ni­sches Pferd gibt sich als Strip-Pro­gramm aus, um den Be­nut­zer Capt­chas er­ken­nen zu las­sen. Capt­chas sind die ver­zerr­ten Buch­sta­ben­fol­gen, die eine au­to­ma­ti­sche Er­ken­nung durch Com­pu­ter ver­hin­dern sol­len. Das tro­ja­ni­sche Pferd miß­braucht hier­für wie­der arg­lo­se User, die gerne nack­te Haut sehen wol­len - sex sells, of­fen­bar auch hier. Die Idee ist nicht ganz neu (es wurde be­reits 2004 auf Bo­ing­Bo­ing über diese Mög­lich­keit spe­ku­liert), aber dies ist die erste reale Um­set­zung, die mir be­kannt ist.

Invalid key, got A, expected B

Man mußte hier nicht mal ein "1337 hax0r" sein: Der naive, aber fin­di­ge User stell­te fest, daß seine Li­zenz ab­ge­lau­fen war, und er doch bitte die Li­zenz­da­tei mit einer neuen Li­zenz er­set­zen solle. Ein Blick in die Datei zeig­te ihm das ge­wohn­te Bild: Sie ent­hielt ein Ab­lauf­da­tum und einen Schlüs­sel.

Of­fen­sicht­lich ist ein Bot­net aus­ge­zo­gen, root-Ac­counts via ssh zu su­chen: Letz­ten Sonn­tag Nacht (von 4-6 Uhr MEZ) dröp­pel­ten die ers­ten Ver­su­che her­ein, seit ges­tern Nach­mit­tag (ab 15 Uhr) kom­men die Ver­su­che im dut­zend bil­li­ger - bis dato von über 250 ver­schie­de­nen Rech­nern aus.

An einer Schu­le in Eng­land sol­len nun RFID-Chips in die Schul­uni­for­men ein­ge­näht wer­den, um so die Ab­we­sen­heit von Kin­dern vom Un­ter­richt fest­zu­stel­len. El­tern wer­den dann via SMS über das Feh­len be­nach­rich­tigt und sind ver­pflich­tet, um­ge­hend den Grund der Ab­we­sen­heit mit­zu­tei­len. Auf Kri­tik hin, das Sys­tem würde die Pri­vat­sphä­re der Schü­ler ver­let­zen, stell­te der Di­rek­tor klar, daß es sich nur um ein Mi­ß­ver­ständ­nis han­de­le: Es han­de­le sich dabei kei­nes­wegs um ein Big-Bro­ther-Sys­tem.

kevinmitnickdefaced.jpg

Kevin Mit­nick ge­hört zu den pro­mi­nen­ten Ha­cker­na­men - spä­tes­tens seit den "Free Kevin!"-Ak­tio­nen nach sei­ner Fest­nah­me (wel­che von du­bio­sem Ver­hal­ten sei­tens der Er­mitt­lungs­be­hör­den be­glei­tet war). In­zwi­schen ist Mit­nick Lei­ter einer Si­cher­heits­be­ra­tungs­fir­ma. Ei­gent­lich soll­ten ge­ra­de die Ah­nung von der sau­be­ren Rech­ne­r­ad­mi­nis­tra­ti­on haben - aber wie ge­sagt, per­fek­te Si­cher­heit gibt es ein­fach nicht.

Fefe ver­weist auf die­sen Blog, in dem an­geb­lich eine Be­trof­fe­ne das Leben unter Be­ob­ach­tung durch das Kri­mi­nal­amt be­schreibt (wieso "an­geb­lich"? Siehe wei­ter unten). Sie ist laut Aus­sa­ge der Seite die Le­bens­part­ne­rin des Wis­sen­schaft­lers, der im Som­mer wegen Ver­dachts auf Bil­dung einer ter­ro­ris­ti­schen Ver­ei­ni­gung ver­haf­tet wurde (der Ver­dacht be­grün­de­te sich auf die Ver­wen­dung be­stimm­ter Fach­aus­drü­cke in Ver­öf­fent­li­chun­gen und der Be­nut­zung der Uni­ver­si­täts­bi­blio­thek).

Ir­gend­wann hatte es Bern­hard mir ge­sagt - aber ich habe die ent­spre­chen­de Notiz ein­fach nicht mehr ge­fun­den (pas­siert, wenn man ein­fach nach den fal­schen Stich­wor­ten sucht): "Baron Sa­me­di" heißt ei­gent­lich nicht "Baron Sa­mé­di", son­dern "Baron Sam'di" - eben wie das fran­zö­si­sche Wort für Sams­tag.

Die Po­li­zei­ge­werk­schaft ist wegen der Ter­ror­ge­fahr gegen Per­so­nal­ab­bau. Gut, es ist der Job einer Ge­werk­schaft, gegen Per­so­nal­ab­bau zu sein, aber in die­sem Fall spre­chen sie mir aus der Seele: Die­ses Land hat eine prima funk­tio­nie­ren­de Po­li­zei; gebt ihr ver­nünf­ti­ge Aus­bil­dung in Bezug auf neue Me­di­en wie dem In­ter­net, viel­leicht ein wenig mo­der­ne­re Tech­nik (wie di­gi­ta­len, ver­schlüs­sel­ten Sprech­funk) und streicht ihr die Stel­len nicht weg - und wir brau­chen uns wegen Ter­ro­ris­mus oder an­de­rer Kri­mi­na­li­tät mo­men­tan keine allzu gro­ßen Sor­gen ma­chen; auch ohne Bun­de­stro­ja­ner & Co.

"Ter­ro­ris­ten neh­men keine Rück­sicht auf un­se­re De­bat­ten", so zi­tiert Fu­tuz­re­Zo­ne un­se­ren In­nen­mi­nis­ter. Man könne es sich nicht leis­ten, auf das Karls­ru­her Ur­teil zu war­ten - im üb­ri­gen schätzt er des­sen Stel­len­wert oh­ne­hin nicht allzu hoch ein: "Karls­ru­he schreibt Ur­tei­le, keine Ge­set­ze".

Mit dem Kopf durch die Wand, ohne Rück­sicht auf Ver­lus­te und ohne sich um­zu­se­hen - sonst hätte er mög­li­cher­wei­se das In­ter­view mit Wer­ner Gro­ß­mann, einem der Sta­si-Obe­ren ge­se­hen; sogar die­ser be­ob­ach­tet die stei­gen­de Über­wa­chung mit Sorge: "das kann man auch nicht al­lei­ne mit dem Kampf gegen den Ter­ro­ris­mus be­grün­den".

Youtube: Stasi-Chef über Videoüberwachung heute

Klar, als nicht mehr be­tei­lig­ter hat man leicht reden, aber den­noch soll­te einem das zu den­ken geben.

ct-bundestrojaner.jpg

Sehr gut paßt dazu die Schlag­sei­te der ak­tu­el­len c't - der Bun­de­stro­ja­ner ist für die An­ti­vi­ren- und Fire­wall-Soft­ware ein­deu­tig an der Deut­scher-Mi­chel-Müt­ze zu er­ken­nen :-)

...​das BKA in Dei­ner Ab­we­sen­heit da war - und die­sen Vor­druck an Dei­ner Haus­tür hin­ter­las­sen hat.

...​Du auf dem Weg zu einem Ter­min einen Au­to­un­fall hast und beim Anruf bei der Po­li­zei Deine Be­schrei­bung des Un­fall­or­tes nur mit einem ge­lang­weil­ten "ja, ich weiß..." kom­men­tiert wird.

...​Deine Kin­der nach schnel­le­rem DSL quän­geln, weil die Mo­viez-Down­loadz plötz­lich so lang­sam sind.

...​sich die Be­woh­ner einer WG ge­gen­sei­tig be­schul­di­gen, wer denn die DSL-Lei­tung die ganze Zeit dicht­macht.

Ok, genug Un­sinn für heute :-)

In der FAZ er­schien an­lä­ß­lich des Pro­zess­be­ginns ein Kom­men­tar über den Streit um die On­line-Durch­su­chung - und zwar in einer haar­sträu­ben­den Art und Weise, die ich einer re­no­mier­ten Zei­tung wie der FAZ nicht zu­ge­traut hätte.

Was bitte hat die Dis­kus­si­on über die Grund­rech­te (Recht auf Pri­vat­sphä­re, Un­ver­letz­lich­keit der Woh­nung, Kern­be­reich des Pri­vat­le­bens, etc.) mit der man­geln­den Si­cher­heit ver­brei­te­ter Rech­ner­kon­fi­gu­ra­tio­nen zu tun? Oder ist der Ar­ti­kel so zu ver­ste­hen, daß es ja be­reits hun­der­te ver­schie­de­ner Tro­ja­ner gibt - da sol­len sich die Leute wegen einem mehr oder we­ni­ger (der oben­drein von den "guten" kommt) nicht so an­stel­len? Hallo, geht's noch?

Es gibt tau­send Dinge, die wich­ti­ger sind und mehr Leute be­tref­fen - dabei "sol­len On­line-Durch­su­chung nur in we­ni­gen Fäl­len ein­ge­setzt wer­den", und auch die ra­pi­de wach­sen­de An­zahl an Te­le­fon­über­wa­chun­gen wird mit der stei­gen­den Zahl an Han­dys (jeder Bun­des­bür­ger hat im Schnitt mehr als eines) klein­ge­re­det. Oh, wie ich diese Krei­de­fres­ser und Nach­plap­pe­rer ver­ab­scheue.

Tja, dann paßt mal alle auf, daß in eurer Web­an­wen­dung "litt­le bobby ta­bles" nicht Un­heil stif­tet :-)

Ok, es ist die alte Leier: "Ich habe doch nix zu ver­ber­gen". Vä­ter­chen Staat hat schon immer gut für uns ge­sorgt, dem kön­nen wir un­se­re Daten an­ver­trau­en. Es gibt ja schar­fe Ge­set­ze und strik­te Auf­la­gen, wie diese zu ver­wen­den sind. Und der Fall, daß sich un­se­re De­mo­kra­tie in einen bösen Schur­ken­staat wan­delt, der diese Da­ten­ban­ken dann gegen seine Bür­ger ver­wen­det, ist ja so un­wahr­schein­lich, daß man ihn aus­schlie­ßen kann.

Also ich kann mich des Ein­drucks nicht er­wäh­ren, daß das eine Ver­zweif­lungs­tat ist: Der BND sucht über die Bun­des­agen­tur für Ar­beit In­for­ma­ti­ker (lo­ka­le Kopie) zum (Zitat) "Ent­wurf, Pla­nung und Auf­stel­lung von über­grei­fen­den Kon­zep­ten zur Op­ti­mie­rung der Tech­ni­schen In­for­ma­ti­ons­ge­win­nung, unter Be­rück­sich­ti­gung der ak­tu­el­len Auf­trags­la­ge und der vor­han­de­nen Res­sour­cen". Die Stel­le läuft bei der Ar­beits­agen­tur unter der Ka­te­go­rie "Ein­satz­be­reich für Lo­gis­tik, Be­schaf­fung, Ma­te­ri­alw." - "Be­schaf­fung" dürf­te da wohl das Schlag­wort sein *rotfl*

Die An­stel­lung wäre in Pul­lach, mit ge­plan­tem Umzug nach Ber­lin ca. 2012. Man er­wünscht sich vom Be­wer­ber neben Vor­kennt­nis­sen über die "welt­weit ein­ge­setz­ten mo­der­nen Über­wa­chungs- und Kom­mu­ni­ka­ti­ons­for­men" auch eine aus­ge­präg­te Fä­hig­keit im Er­fas­sen kom­ple­xer tech­ni­scher Sach­ver­hal­te, eben­so wie sehr gute Kennt­nis­se in der Nach­rich­ten­tech­nik (von Mo­du­la­ti­on über Ko­die­rung bis zu den Pro­to­kol­len).

Kurz vor der Ver­hand­lung über die Ver­wen­dung von "re­mo­te fo­ren­sic soft­ware" vor dem Ver­fas­sungs­ge­richt be­rich­tet der Spie­gel (be­reits vorab am vor­gest­ri­gen Sams­tag), daß der Zoll und das bay­ri­sche LKA Soft­ware auf den Rech­nern Ver­däch­ti­ger zur Über­wa­chung der In­ter­net­te­le­fo­nie in­stal­liert haben sol­len. Egal ob das Durch­su­chen von Fest­plat­ten nach Stich­wör­tern oder das Aus­spä­hen der Pass­wör­ter für die Ver­schlüs­se­lung der In­ter­net-Te­le­fo­nie: Die Tech­nik ist die glei­che. Die Be­hör­den sehen ihr Vor­ge­hen durch die be­ste­hen­den Ge­set­ze zur Te­le­kom­mu­ni­ka­ti­ons­über­wa­chung (so­ge­nann­te Quel­len-TKÜV) ge­deckt.

Die Nach­richt der Er­mitt­lung des BKA gegen Be­su­cher der ei­ge­nen Web­sei­te hatte für ziem­lich Ad­re­na­lin ge­sorgt. Das fol­gen­de Ge­spräch ist sym­pto­ma­tisch für so viele, wel­che um die ak­tu­el­le Über­wa­chungs-De­bat­te gehen: Ich wurde ge­fragt, wor­über ich mich denn auf­re­ge. Zu­erst schil­de­re ich den Fall - wie­der­hol­ter Be­such der Web­sei­te führt zu einer Er­mitt­lung. Es folgt ein Kopf­ni­cken, aber die Auf­re­gung ist noch immer nicht nach­voll­zieh­bar. Ich ziehe einen Ver­gleich: "Stell' Dir vor, Du bleibst mehr­fach vor dem Schau­fens­ter eines La­dens ste­hen - und wirst schlie­ß­lich ver­haf­tet, weil im Schau­fens­ter z.B. ei­ni­ge Bü­cher mit po­ten­ti­ell grenz­wer­ti­gem In­halt lie­gen, oder weil der Be­sit­zer des La­dens aus ir­gend­ei­nem Grund po­li­zei­lich be­ob­ach­tet wird". Ein er­schreck­ter Blick bei mei­nem Ge­gen­über, dann die Re­ak­ti­on: "Das ist ja wie im drit­ten Reich, bloß nicht vor einem jü­di­sches Schau­fens­ter ste­hen­blei­ben..." Ich ziehe wei­te­re Bei­spie­le des ak­tu­el­len Über­wa­chungs­wahns heran, und ernte bei mei­nem Ge­gen­über voll­kom­me­nes Ver­stän­dis für mein Kopf­schüt­teln. Dann aber be­kom­me ich zu hören: "Reg' Dich nicht auf, Du kannst ja so­wie­so nichts än­dern".

Für die Ver­ab­schie­dung des no­vel­lier­ten BKA-Ge­set­zes ein­schlie­ß­lich der On­line-Durch­su­chung spielt die an­hän­gi­ge Ver­fas­sungs­be­schwer­de gegen den nord­rhein-west­fä­li­schen Ver­fas­sungs­schutz eine wich­ti­ge Rolle. Hier­für wur­den tech­ni­sche Gut­ach­ten in Auf­trag ge­ge­ben, deren Er­geb­nis nun vor­liegt. Allen die­sen Gut­ach­ten ist ge­mein, daß sie er­heb­li­che Zwei­fel an der tech­ni­schen Durch­führ­bar­keit der On­line-Durch­su­chung haben.

Im Som­mer mach­te Jo­an­na Rut­kow­s­ka mit der Ver­öf­fent­li­chung ihres Vir­tua­li­sie­rungs-Root­kits Schlag­zei­len: Mit Hilfe der Vir­tua­li­sie­rungs­funk­tio­nen mo­der­ner CPUs ver­schiebt die Blue Pill ein lau­fen­des Sys­tem in eine vir­tu­el­le Ma­schi­ne. Das Sys­tem, so ihre These, kann dies nicht be­mer­ken, steht aber unter Kon­trol­le der Blue Pill. For­scher haben aber nun ge­zeigt, daß das Ver­schie­ben in eine vir­tu­el­le Ma­schi­ne doch er­kannt wer­den kann ("Com­pa­ti­bi­li­ty Is Not Trans­pa­ren­cy").

Das BKA er­mit­telt gegen Be­su­cher der ei­ge­nen Web­sei­te - so be­rich­tet Focus von einem Fall, bei dem je­mand Be­such von zwei Po­li­zei­be­am­ten bekam: "Sie er­klär­ten mir, ich sei auf­fäl­lig oft auf den Sei­ten der Po­li­zei ge­surft".

Wie weit ist es in die­sem Land ge­kom­men? De­nun­zia­ti­on per Log­fi­le. Surfe zu häu­fig auf be­stimm­ten öf­fent­li­chen Sei­ten, und Du bist ver­däch­tig. Und das ohne den glo­ba­len Ab­gleich via Vor­rats­da­ten­spei­che­rung, nur durch Aus­wer­tung eines ein­zel­nen Ser­ver­logs - ich will mir gar nicht aus­ma­len, was uns die Vor­rats­da­ten­spei­che­rung be­sche­ren wird.

Nach­dem zeit­wei­se rie­si­ge Bot­net­ze mit über einer Mil­li­on Rech­nern ge­sich­tet wur­den, be­ob­ach­ten Ana­lys­ten mo­men­tan neue Trends: Die Jum­bo-Net­ze schei­nen auf dem Rück­marsch, dafür sind klei­ne­re Bot­net­ze im Trend. Die Vor­tei­le lie­gen auf der Hand: Große Netze er­zeu­gen einen Kom­mu­ni­ka­ti­ons­fla­schen­hals - noch immer ge­schieht die Kon­trol­le der Bots häu­fig über Chat­ka­nä­le, und die hohe Teil­neh­mer­zahl in einem ein­zel­nen Cha­t­raum sorgt für Netz­last und ist oben­drein auf­fäl­lig. Dazu kommt noch, daß ein ein­zel­ner Cha­t­raum für den Bot­netz-Be­trei­ber einen "sin­gle point of failu­re" dar­stellt: Wird die­ser Kon­troll­ka­nal aus­ge­schal­tet, ver­liert er sein kom­plet­tes Netz. Meh­re­re klei­ne Netze sind un­auf­fäl­li­ger, und die Ge­fahr eines To­tal­ver­lusts ist ge­rin­ger.

Wenn ich die­sen Text rich­tig ver­ste­he, gilt ab heute in Eng­land ein Ge­setz, mit dem die Po­li­zei die Her­aus­ga­be von Kryp­to-Schlüs­seln (oder zu­min­dest das Ent­schlüs­seln von Daten) for­dern kann. Zu­sätz­lich kann man ver­pflich­tet wer­den, über den Vor­gang Still­schwei­gen zu be­wah­ren. Wer einem der Punk­te nicht nach­kommt, kann mit Geld­stra­fen und bis zu zwei Jah­ren Ge­fäng­nis (im Falle na­tio­na­ler Si­cher­heit: fünf Jahre) be­legt wer­den.

Bei /dev/radio gab es ges­tern eine Sen­dung über die De­mons­tra­ti­on Frei­heit statt Angst. In­ter­es­sant zu hören: Di­ver­se Mit­schnit­te von An­spra­chen auf der Demo.

  • Ein An­ru­fer be­trach­te­te die Spei­che­rung der Ver­bin­dungs­da­ten als Vor­ar­beit hin zur Kom­plettspei­che­rung von Te­le­fo­na­ten, E-Mails, etc. Das muß nicht zwin­gend so sein: Ich er­in­ne­re mich an einen Be­richt über Er­mitt­lungs­me­tho­den der Po­li­zei, bei dem ge­ra­de sol­che So­zio­gram­me (wer kom­mu­ni­ziert mit wem) als be­son­ders wich­tig her­aus­ge­stellt wur­den - mit­un­ter wich­ti­ger noch als der ei­gent­li­che Ge­sprächs­in­halt. Dies ist üb­ri­gens einer der Haupt­grün­de, wes­halb ich ge­gen­über So­ci­al Net­works so skep­tisch bin...
  • Zum Thema Pa­nik­ma­che und "was ist ei­gent­lich Ter­ror" fiel mir diese Kar­ri­ka­tur wie­der ein :-)
  • Eine Stu­die über die Ef­fek­ti­vi­tät von Ka­me­ra­über­wa­chung stammt aus Eng­land (02'2005). Hier wird fest­ge­stellt, daß die Ka­me­ra­über­wa­chung kei­nen gleich­mä­ßi­gen Ef­fekt auf die Kri­mi­na­li­täts­ra­te hat - man­che Arten von Ver­ge­hen gehen stark zu­rück, an­de­re sind na­he­zu un­ver­än­dert, bei man­chen Ver­ge­hen ver­la­gert sich durch den Ka­me­ra­ein­satz nur der Ort (in schlech­ter über­wach­te Ge­gen­den). Ein ak­tu­el­ler Be­richt bei Golem be­stä­tigt diese The­sen.
  • Stich­wort Maut­da­ten-Wei­ter­ga­be auf­grund der TKÜV: Es wurde in der Sen­dung ge­mut­ma­ßt, ob Toll Collect ein Er­brin­ger von Kom­mu­ni­ka­ti­ons­dienst­leis­tun­gen im Sinne der TKÜV ist und des­halb eine Schnitt­stel­le zur Da­ten­wei­ter­ga­be be­reit­hal­ten muß; diese Ar­gu­men­ta­ti­on wurde sei­tens der Po­li­tik anno 2003 vor­ge­bracht. Toll Collect hatte eine Da­ten­an­fra­ge da­mals ver­wei­gert und den Fall zur Klä­rung an den da­ma­li­gen Bun­des­da­ten­schutz­be­auf­trag­ten wei­ter­ge­ge­ben. Ich finde lei­der kein Er­geb­nis der An­fra­ge, gehe aber davon aus, daß wei­ter­hin die Zweck­bin­dung der Daten gemäß des Maut­ge­set­zes gilt.

Heise be­ti­telt einen neuen Ar­ti­kel mit der Über­schrift Schäu­b­le: "Ich mache den Men­schen gar keine Angst.". Na dann is' ja gut... (noch im Juli be­ti­tel­te ihn eine Zei­tung als den Angst­mach-Mi­nis­ter) Al­lein über diese Schlag­zei­le kann man (mit etwas Gal­gen­hu­mor) schon herz­haft la­chen. Das rich­ti­ge Zu­ckerl steckt aber etwas tie­fer im Ar­ti­kel (mit dem all­ge­mei­nen Wi­der­spruch der Aus­sa­ge hat sich Fefe de­tail­liert aus­ein­an­der­ge­setzt).

Bruce Schnei­er weist in sei­nem Blog auf einen Ar­ti­kel mit dem Titel "The Un­e­a­sy Re­la­ti­ons­hip Bet­ween Ma­the­ma­tics and Cryp­to­gra­phy" von Neal Ko­b­litz hin. Der Ar­ti­kel be­schreibt die ver­schie­de­nen Per­spek­ti­ven von "prak­ti­schen Ma­the­ma­ti­kern" und "ech­ten Ma­the­ma­ti­kern" - letz­te­re wer­fen den Kryp­to­gra­phen häu­fig vor, sehr gro­ßzü­gig mit Be­grif­fen wie "Be­weis" oder "ab­so­lut si­cher" um­zu­ge­hen. Dar­über hin­aus ist der Ar­ti­kel ein schö­ner Abriß über die Ge­schich­te der Kryp­to­gra­phie seit den 1970ern.

Bei der Suche nach Be­rich­ten zur Demo in Ber­lin fiel mir in den Kom­men­ta­ren ein stän­dig wie­der­keh­ren­der Text auf. Darin for­dert ein Schrei­ber, daß Leute, die auf Da­ten­schutz und Frei­heit po­chen, doch auch für "um­fas­sen­de Mei­nungs­frei­heit be­züg­lich po­li­ti­scher Fra­gen" sein mü­ß­ten. Hin­ter der ver­harm­lo­sen­den For­mu­lie­rung steckt die For­de­rung nach Ab­schaf­fungs des § 130 StGB (Volks­ver­het­zung). Ab­ge­se­hen davon, daß der Autor in na­he­zu allen Blogs or­dent­lich Kon­tra be­kom­men hat, soll­ten imho die Blog­be­trei­ber sich nicht vor die­sen brau­nen Kar­ren span­nen las­sen und zu­min­dest den Link auf die Seite des Kom­men­ta­tors ent­fer­nen - mit sol­chem Kom­men­tar­spam soll­te man sei­nen Goog­le-Rank nicht ver­bes­sern dür­fen.

Eine Rich­te­rin vom US-Bun­des­ge­richt in Port­land hat ge­ur­teilt, daß er­heb­li­che Teile des "Pa­tri­ot Act" ver­fas­sungs­wid­rig sind. Die Klage, wel­che die­ses Ur­teil zur Folge hatte, be­schreibt die ha­ne­bü­che­nen Aus­wir­kun­gen, wel­che die­ses Ge­setz hat (auf­pas­sen, daß man beim Lesen vor lau­ter Kopf­schüt­teln kein Schleu­der­trau­ma be­kommt). Das Re­su­me der Rich­te­rin:

Der Zweck des Pa­tri­ot Act sei es ge­we­sen, die Gren­zen zwi­schen Straf­ver­fol­gungs­be­hör­den und Ge­heim­diens­ten nie­der­zu­rei­ßen. Mit der Ein­füh­rung einer ober­fläch­lich un­be­deu­ten­den Ver­än­de­rung der For­mu­lie­rung sei es dann der Re­gie­rung mög­lich ge­we­sen, die Ver­fas­sung und die ge­gen­sei­ti­ge Kon­trol­le von Exe­ku­ti­ve, Le­gis­la­ti­ve und Ju­di­ka­ti­ve zu um­ge­hen, also die für eine rechts­staat­li­che De­mo­kra­tie fun­da­men­ta­le Ge­wal­ten­tei­lung aus­zu­he­beln.

Die hes­si­sche Firma N.​runs ist das Kaf­fee­satz­le­sen um den An­ti-Ha­cker-Pa­ra­gra­phen 202c leid: Zu­nächst hatte sie di­ver­se Se­cu­ri­ty-Tools von ihrer Web­sei­te ent­fernt - nun sind diese wie­der ver­füg­bar. Die­ser Schritt wurde selbst­re­dend pres­se­wirk­sam auf Mai­ling­lis­ten wie Bug­Traq und Full­Dis­clo­sure an­ge­kün­digt; auch dark­rea­ding.​com be­rich­tet dar­über. N.​runs harrt nun der Dinge, ob (und wel­che) Re­ak­tio­nen die­ser Schritt pro­vo­ziert.

Das Ulmer So­ci­al Net­work "Team Ulm" hat ver­schie­de­ne ört­li­che Po­li­ti­ker und Ex­per­ten zum Thema Bun­de­stro­ja­ner und On­line-Durch­su­chung in­ter­viewt - unter an­de­rem den Ulmer CCCler Frank Kargl. Hier die In­ter­views. Die Zu­ord­nung zu den Par­tei­en ist an­hand der Ant­wor­ten sehr ein­fach, auch ohne die An­ga­be in der Ein­lei­tung des In­ter­views :-)

Am letz­ten Sams­tag pro­tes­tier­ten rund 15.000 Per­so­nen gegen Vor­rats­da­ten­spei­che­rung, Vi­deo­über­wa­chung, On­line-Durch­su­chun­gen und ähn­li­che Be­stre­bun­gen. Eine ganze Reihe von Ver­bän­den hatte sich zu der Ak­ti­on zu­sam­men­ge­fun­den - so de­mons­trier­ten bei­spiels­wei­se Me­di­zi­ner ge­zielt gegen die ge­plan­te Ge­sund­heits­kar­te. Nach Be­rich­ten von An­we­sen­den war die Stim­mung ge­ni­al: Viele Leute, tolle Pla­ka­te und coole Bas­te­lei­en wie z.B. der Da­ten­kra­ke des Fo­e­BuD.

Sind bur­me­si­sche Mön­che mo­men­tan für die öf­fent­li­che Wahr­neh­mung so viel wich­ti­ger? Oder ist das Thema für die All­ge­mein­heit zu abs­trakt? Wie kann man die brei­te Masse (bzw. als Zwi­schen­schritt die Me­di­en) für die Pro­ble­ma­tik wei­ter sen­si­bi­li­sie­ren? Si­cher keine ein­fa­chen Fra­gen, über die man im Kon­text "und wie geht's nun wei­ter" nach­den­ken muß.

Fefe hat's schon letz­ten Frei­tag be­rich­tet, jetzt hat auch Heise die Schlag­zei­le: Ein So­zio­lo­ge aus Ber­lin ist unter dem Ver­dacht, Mit­glied einer ter­ro­ris­ti­schen Ver­ei­ni­gung zu sein, fest­ge­nom­men wor­den - An­fangs­ver­dacht war eine In­ter­net­re­cher­che, die zu wis­sen­schaft­li­chen Pu­bli­ka­tio­nen von ihm führ­te. In die­sen ver­wen­de­te er Be­grif­fe, wel­che die Po­li­zei der so­ge­nann­ten "mi­li­tan­ten Grup­pe" zu­ord­net, im wis­sen­schaft­li­chen Sprach­ge­brauch aber voll­kom­men nor­mal sind.

Und das reich­te für eine fast ein­jäh­ri­ge Ob­ser­va­ti­on incl. Vi­deo­über­wa­chung und Lausch­an­griff? Ich hoffe, die hat­ten noch mehr, an­sons­ten hoffe ich schwer, daß da je­mand mäch­tig Ärger be­kommt...

Mit 40 wird der Schwa­be 'gscheid (ich zähle jetzt mal gro­ßzü­gig Neu-Ulm mit zu Schwa­ben) - dem­nach müßte die ehe­ma­li­ge Ober­bür­ger­meis­te­rin Neu-Ulms und jet­zi­ge Jus­tiz­mi­nis­te­rin von Bay­ern Beate Merk schon seit zehn Jah­ren die Weis­heit in vol­len Zügen ge­nie­ßen kön­nen.

"Denn häu­fig ste­hen die Er­mitt­ler vor dem Pro­blem, dass sie zwar wis­sen, dass ver­bo­te­ne In­hal­te ins Netz ge­speist wer­den, aber nicht, wo der Ser­ver genau steht."

Oh my Nood­les! Glaubt ihr, daß die Ser­ver der bösen Buben mit den Er­mitt­lern Ver­steck­spie­len oder weg­lau­fen? Um bei der Kin­der­sym­bo­lik zu blei­ben: Das ist wie Hän­sel und Gre­tel - ein­fach den Brot­kru­men (sprich: Dem Tra­ce­rou­te) fol­gen... das hilft in vie­len Fäl­len. Meist haben Ser­ver näm­lich sta­ti­sche IP-Adres­sen; man muß nur nach­gu­cken, wel­cher An­bie­ter da­zu­ge­hört, und für alles wei­te­re dürf­te der Po­li­zei ein, zwei Te­le­fo­na­te ge­nü­gen.

Bitte eine Merk­bre­frei­ung für die Dame - oder eine Merk-Be­frei­ung für Deutsch­land.

Ehe die werte Hö­rer­schaft denkt, daß das Pro­jekt in der Ver­sen­kung ver­schwun­den ist, hin­ter­las­se ich hier mal eine kurze Nach­richt: Bern­hard ist im Ba­by-Streß, ich quäle mich mit di­ver­sen dring­li­chen Ter­mi­nen herum. Bern­hard hat zwar un­längst das sieb­te Ka­pi­tel fer­tig­ge­stellt, aber ich komme ge­ra­de ein­fach nicht dazu, es auf­zu­neh­men. Ein di­ckes "Sorry" hier­für!

Every step you take ist ein Film über die Vi­deo­über­wa­chung in Eng­land. Im Film kom­men ver­schie­de­ne In­ter­view­part­ner zu Wort, die die na­he­zu all­ge­gen­wär­ti­ge Ka­me­ra­über­wa­chung in Eng­land - je nach Stand­punkt - mal kri­tisch, mal po­si­tiv be­trach­ten. Der Film hatte wohl schon Pre­mie­re, ich hoffe, daß ich ihn ir­gend­wo noch zu sehen be­kom­me.

Na end­lich for­dert mal je­mand die On­line-Durch­su­chung, weil sie ein an­geb­lich un­ver­zicht­ba­res Mit­tel gegen die or­ga­ni­sier­te Kri­mi­na­li­tät ist! Es ist erst ein paar Tage her, da habe ich über die Stan­dard-Grün­de für schär­fe­re Si­cher­heits-Ge­set­ze ge­schrie­ben:

Der Film Mas­ter Plan - about the power of Goog­le be­schreibt die mög­li­chen Schat­ten­sei­ten von Goog­le - und wes­halb die Au­to­ren dem Fir­men­mot­to "don't be evil" nicht ganz über den Weg trau­en. Im Ge­gen­satz zu Epic 2015 geht es hier aus­schlie­ß­lich um Goog­le selbst und mög­li­che Ent­wick­lun­gen in der nächs­ten Zeit. Von der Optik an den Film über Trusted Com­pu­ting an­ge­lehnt, ist er so­wohl gra­fisch als auch in­halt­lich se­hens­wert (wer kein Flash hat: Hier gibt es ein zip-File mit dem Video im mp4/iPod-For­mat).

CCC Camp, 2. Tag

We­ni­ger Zeit, und dann Ton­pro­ble­me mit den Streams - damit rutscht mehr auf die Wunsch­lis­te...

Wir be­kom­men also im Zuge der Ein­füh­rung einer zen­tra­len Steu­er­da­tei eine ein­deu­ti­ge Iden­ti­fi­ka­ti­ons­zif­fer - von der Ge­burt bis 20 Jahre nach un­se­rem Tod; end­lich bringt mal je­mand Ord­nung in das Chaos! Und wenn wir ge­ra­de dabei sind, füh­ren wir auch noch die zen­tra­le Spei­che­rung un­se­rer Ge­häl­ter ein. Aus­nahms­wei­se nicht zum Kampf gegen Ter­ror und Kin­der­por­nos, son­dern zur För­de­rung der Steu­er­ehr­lich­keit (man soll ja immer po­si­ti­ve Aus­drü­cke ver­wen­den).

Nach­dem ges­tern das State­ment von Herrn Po­fal­la, der Bun­de­stro­ja­ner solle auch zum Ver­hin­dern von Kin­der­por­no­gra­phie ein­ge­setzt wer­den, es bis in die Ta­ges­schau ge­schafft hat, habe ich mir die zu­ge­hö­ri­ge Quel­le, sein State­ment bei ab­ge­ord­ne­ten­watch.​de, ein­mal nach­ge­schla­gen. Die Po­le­mik der Aus­sa­ge (erst Ter­ror, dann Kin­der­por­nos, dann or­ga­ni­sier­tes Ver­bre­chen - die Vor­wän­de sind immer gleich, le­dig­lich die Rei­hen­fol­ge än­dert sich) und die Fol­gen (hat man so ein In­stru­ment, wach­sen die Be­gehr­lich­kei­ten sehr schnell), brau­che ich wohl kaum wei­ter zu kom­men­ti­ren - nix neues an die­ser Stel­le. Aber da es mein ers­ter Be­such bei ab­ge­ord­ne­ten­watch.​de war, kann ich mir hier­zu ein paar Sätze nicht ver­knei­fen.

Ende 2005 welt­weit vor­ge­stellt, gibt es nun das iKids GPS-Han­dy bei Tchi­bo zu kau­fen. Zu den be­son­de­ren Fea­tures zäh­len ein Not­ruf­knopf, der den El­tern auch au­to­ma­tisch den Auf­ent­halts­ort über­mit­telt - aber auch die Po­si­ti­ons­er­mitt­lung durch die El­tern und die au­to­ma­ti­sche Be­nach­rich­ti­gung, wenn das Kind eine de­fi­nier­te "safe­ty zone" ver­lä­ßt.

Die Uni­ver­si­ty of Ca­li­for­nia hat drei elek­tro­ni­sche Wahl­sys­te­me nam­haf­ter Her­stel­ler auf ihre Si­cher­heit hin über­prüft. In Kennt­nis von tech­ni­schen Do­ku­men­ta­tio­nen und der Quell­tex­te der Soft­ware ver­such­ten die For­scher, als "proof of con­cept" die Sys­te­me zu kom­pro­mit­tie­ren - was ihnen auch bei allen Sys­te­men ge­lang (Be­richt hier). Das La­men­tie­ren der Her­stel­ler ließ na­tür­lich nicht lange auf sich war­ten.

Die E-Pass-Le­se­soft­ware läßt sich zum Ab­sturz brin­gen, wenn man ihr ge­eig­ne­te Daten füt­tert - so be­rich­tet Wired über den neu­es­ten Bei­trag von Lukas Grun­wald zum Thema Si­cher­heit der RFID-Aus­wei­se. Durch Ma­ni­pu­la­ti­on der Bild­da­ten konn­te die Le­se­soft­ware zwei­er Her­stel­ler re­prod­zier­bar zum Ab­sturz ge­bracht wer­den - dar­aus einen Ex­ploit zu schnit­zen, der Code ins Le­se­ge­rät ein­schleust, dürf­te mit gro­ßer Wahr­schein­lich­keit mög­lich sein.

Womit wie­der ein­mal ge­zeigt ist: Selbst wenn ein Sys­tem in der Theo­rie si­cher kon­zi­piert ist, kann eine schlam­pi­ge Im­ple­men­tie­rung immer noch alles ver­bo­cken.

(via Bo­ing­Bo­ing)

Ein Rich­ter hat eine An­fra­ge an den Pro­vi­der zur Er­mitt­lung der Be­nut­zer­da­ten einer IP-Adres­se wegen "of­fen­sicht­li­cher Un­ver­hält­nis­mä­ßig­keit" un­ter­sagt. Das dürf­te die Con­tent-In­dus­trie eher we­ni­ger freu­en :-) Ab­ge­se­hen davon, daß der Rich­ter die Flu­tung der Ge­rich­te mit "Ba­ga­tell­kri­mi­na­li­tät" mo­niert, folgt er einer Ar­gu­men­ta­ti­ons­li­nie, die viele als "ge­sun­den Men­schen­ver­stand" be­zeich­nen wür­den. Of­fen­sicht­lich be­steht also doch noch ein Rest­fun­ke Hoff­nung für die­ses Land... (Edit: In einem wei­te­ren Bei­trag mel­det Heise, daß es sol­che - teils noch schär­fer for­mu­lier­ten - Re­ak­tio­nen sei­tens der Ge­rich­te schon mehr­fach gab)

RFID is a tech­ni­cal blun­der, echauf­fiert sich Ronan Clin­ton, Lei­ter einer Firma, die RFID-Pro­duk­te ver­treibt. RFID sei ein Hype-The­ma - viele Fir­men hät­ten den "RFID-Ham­mer" in die Hand ge­nom­men, und nun sähe für diese alles wie ein Nagel aus. Es würde ver­sucht, RFID an Stel­len ein­zu­füh­ren, an denen die Tech­nik sinn­los (oder zu­min­dest nicht bes­ser als die be­ste­hen­de Tech­nik) ist - und es sei nur noch eine Frage der Zeit, bis die Leute wie­der an­fan­gen wür­den, be­züg­lich die­ses Mo­de­the­mas ra­tio­nell zu den­ken, was dann wohl das Ende der "RFID-Bla­se" wäre.

Die Schu­fa bit­tet die Ver­brau­cher, frei­wil­lig wei­te­re Daten preis­zu­ge­ben - und ver­spricht dafür ein bes­se­res Ra­ting. Die Schu­fa zählt zu den Or­ga­ni­sa­tio­nen, bei denen in Bezug auf die Pri­vat­sphä­re ein gro­ßes Fra­ge­zei­chen ge­macht wer­den muß - wer hier von sei­nen Rech­ten auf in­for­ma­tio­nel­le Selbst­be­stim­mung Ge­brauch macht (und z.B. Lö­schung sei­ner Daten ver­langt), hat plötz­lich Pro­ble­me beim An­le­gen von Kon­ten, dem ein­ge­räum­ten Kre­dit­rah­men, etc.​etc.

Mit­tels eines Brow­ser-Ex­ploits ist es mög­lich, das iPho­ne zu ka­pern. Die ei­gent­li­che Prä­sen­ta­ti­on folgt auf der Black­Hat-Kon­fe­renz, aber in einem kur­zen Video wird an­ge­ris­sen, daß durch eine bös­ar­ti­ge Web­sei­te be­lie­bi­ger Code zur Aus­füh­rung ge­bracht wer­den kann.​Hat man da ver­se­hent­lich den Sa­fa­ri-Port be­nutzt, der unter Win­dows be­reits für viel Se­cu­ri­ty-Freu­de sorg­te? Der Vor­fall zeigt ein­mal mehr deut­lich: We­ni­ge be­kann­te Si­cher­heits­pro­ble­me (womit sich App­le-Fans häu­fig brüs­ten) be­deu­tet noch lange nicht, daß die Soft­ware tat­säch­lich we­ni­ger Feh­ler ent­hält - es kann auch sein, daß die Platt­form nur noch nicht aus­rei­chend Auf­merk­sam­keit der ent­spre­chen­den Krei­se ge­noss.

(via Slash­dot)

"Wel­co­me to our com­pu­ter se­cu­ri­ty class. Each of you has an "F" in this cour­se. I have al­re­a­dy en­t­e­red your grade into the school's com­pu­ters. Good luck."

Die Stu­den­ten von Ox­ford fei­ern ihre be­stan­de­nen Prü­fun­gen mit­un­ter sehr aus­ge­las­sen - so sehr, daß dies wegen dem ent­ste­hen­den Dreck der Uni­ver­si­täts­lei­tung ein Dorn im Auge ist. Wie der Spie­gel be­rich­tet, wur­den nun ein­zel­ne Stu­den­ten für die als "Tra­shing" be­kann­ten Strei­che zur Re­chen­schaft ge­zo­gen - sie wur­den auf Fotos in Face­book von Uni­ver­si­täts­an­ge­stell­ten wie­der­er­kannt.

Eine wei­te­re TOR-Node schlie­ßt ihre Pfor­ten... äh, Ports. Ließ sich das Schlie­ßen des Ser­vers letz­tes Jahr noch durch In­ter­ven­ti­on der Pres­se ver­hin­dern (der Pro­vi­der hatte nach einer An­fra­ge des BKA dem Ser­ver­mie­ter ge­kün­digt), gibt der Be­trei­ber nun frei­wil­lig auf: Auf einen an­ony­men Tip hin, daß gegen ihn eine Te­le­kom­mu­ni­ka­ti­ons­über­wa­chung ein­ge­lei­tet wor­den sei, ver­such­te der Admin der TOR-Node unter Be­ru­fung auf das Da­ten­schutz­ge­setz Aus­kunft zu er­lan­gen.

Die gro­ßen Te­le­fon­s­pam­mer un­ter­drü­cken ihre Num­mer - oder über­tra­gen sinn­lo­se Num­mern wie "012345678". Große Te­le­fon­an­la­gen kön­nen es dank ent­spre­chen­der An­bin­dung - damit als Cal­ler-ID immer die Num­mer der Fir­men­ver­mitt­lung über­tra­gen wird. Nun bie­tet eine Firma Call-ID-Spoo­fing als Dienst­leis­tung - sogar via 0180-Num­mer für den klei­nen Mann.

(via F!XMBR)

Wohin mit den gan­zen Daten? Na­he­zu alle Me­di­en krän­keln bei der Halt­bar­keit: Dis­ket­ten stan­den schon immer in dem Ruf, schnell zu ver­ges­sen; CD- und (ins­be­son­de­re) DVD-Roh­lin­ge bie­ten oft nach we­ni­gen Jah­ren un­an­ge­neh­me Über­ra­schun­gen. Auch mit DAT-Strea­mern kenne ich viele Leute, die vom Ef­fekt des Durch­ko­pie­rens be­trof­fen waren.

"Die Un­ter­schei­dung zwi­schen Völ­ker­recht im Frie­den und Völ­ker­recht im Krieg passt nicht mehr auf die neuen Be­dro­hun­gen"

Wenn ich den ers­ten Satz rich­tig in­ter­pre­tie­re, sind wir stän­dig im Krieg; "Die Gren­zen zwi­schen in­ne­rer und äu­ße­rer Si­cher­heit sind mehr und mehr ob­so­let" (Zitat Schäu­b­le), der Kampf gegen den Ter­ror muß man im In­land wohl wie den Ver­tei­di­gungs­fall gegen eine äu­ße­re Be­dro­hung ver­ste­hen? Da muß wohl wirk­lich jedes Mit­tel her, alle Kräf­te müs­sen ge­bün­delt wer­den - und es muß dafür ge­sorgt wer­den, daß nie­mand 'drein­re­det. Also weg mit der par­la­men­ta­ri­schen Kon­trol­le!

Ein sol­ches Kon­strukt ist ein Staat im Staat, los­ge­löst von jeg­li­cher Kon­trol­le, nur noch auf dem Pa­pier an Ge­set­ze ge­bun­den (Kla­gen ist ja man­gels Mög­lich­keit zur Über­prü­fung fak­tisch sinn­los). Ich plä­die­re für die Ein­schal­tung des Ver­fas­sungs­schutz und/oder the­ra­peu­ti­sche Be­hand­lung wegen pa­ra­no­iden Zu­stän­den (wobei ich nicht der erste bin, der so etwas ver­mu­tet).

(via Fefes Blog)

Was nützt ein Werk­zeug, das kei­ner be­nut­zen kann - ent­we­der weil das Wis­sen fehlt, oder schlicht und er­grei­fend aus der Tat­sa­che her­aus, daß die be­nö­tig­ten Leute feh­len?

Wenn auch nur ein Teil die­ser Pläne um­ge­setzt wer­den, wer­den rie­si­ge Da­ten­grä­ber an­ge­häuft und Be­fug­nis­se ge­schaf­fen, die in bis­her nicht da­ge­we­se­nem Maße in das Leben jedes ein­zel­nen ein­grei­fen wer­den. Wer aber nutzt diese Daten, wer wer­tet sie aus? Da pas­sie­ren un­glaub­li­che Ge­schich­ten wie die ge­richt­li­che An­wei­sung, meh­re­re Gi­ga­byte Log­da­ten per Fax zu­zu­sen­den oder dem Ver­such, den Nut­zer einer dy­na­misch zu­ge­teil­ten IP-Adres­se via Anruf bei der Aus­kunft und Goo­g­len zu er­mit­teln. Oben­drein lese ich heute, daß in den letz­ten sechs Jah­ren rund 17.000 Stel­len bei der Po­li­zei ge­kürzt wor­den.

Was un­se­re Er­mitt­ler viel­mehr brau­chen, ist eine aus­rei­chend dicke Per­so­nal­de­cke in den neuen Fach­be­rei­chen - es kann nicht an­ge­hen, daß das lo­ka­le Po­li­zei­re­vier (wie im obi­gen Fall) mit In­ter­net-Miß­brauch kon­fron­tiert wird. An­ge­mes­se­ne Per­so­nal­stär­ke, ver­nünf­ti­ge Aus­bil­dung sowie eine zu­frie­den­stel­len­de Ent­loh­nung sor­gen für ein ver­nünf­ti­ges Ar­beits­kli­ma (das gilt nicht nur bei der Po­li­zei) - die­ses ist Vor­aus­set­zung für ein ef­fek­ti­ves Ar­bei­ten. Immer noch schwe­re­re Ka­li­ber al­lein hel­fen nie­man­dem, son­dern sind mas­siv kon­tra­pro­duk­tiv wegen der Miß­brauchs­ge­fahr. Denn: Was nützt ein Werk­zeug, wenn kei­ner in der Lage ist, es kor­rekt zu be­die­nen?

Heise be­rich­tet letz­ten Frei­tag, daß Schäu­b­le den Kon­fron­ta­ti­ons­kurs bei On­line-Durch­su­chun­gen plant. Er will das Ge­setz auch ohne Zu­stim­mung des Ko­ali­ti­ons­part­ners ins Ka­bi­nett ein­brin­gen - "ein Ge­setz ohne On­line-Durch­su­chung wird es nicht geben". Das aus­ste­hen­de Ge­richts­ur­teil be­züg­lich der On­line­durch­su­chun­gen, das bis März 2008 er­war­tet wird, könne man nicht ab­war­ten. Schäu­b­le will wohl den Schnell­schuß aus der Hüfte - mög­lichst rasch, bevor noch mehr kri­ti­sche Stim­men laut wer­den.

Goog­le droht, Goo­gle­Mail in Deutsch­land ein­zu­stel­len, soll­te ein Ge­setz zur Iden­ti­fi­zie­rung von Mail­kun­den kom­men. Der Ge­setz­ent­wurf sähe vor, daß jeder Be­sit­zer eines Mailac­counts ein­deu­tig iden­ti­fi­zier­bar sein müßte; au­ßer­dem mü­ß­ten Mail­ver­sand und -ab­ruf pro­to­kol­liert wer­den. Das muß man sich mal auf der Zunge zer­ge­hen las­sen: Goog­le, das Un­ter­neh­men, das un­längst von Pri­va­cy In­ter­na­tio­nal zu einem der Top-Da­ten­kra­ken ge­kürt wurde, wehrt sich gegen eine Ge­set­zes­in­itia­ti­ve.

Vor drei Wo­chen gab es den Be­richt, daß es in den letz­ten fünf Jah­ren le­dig­lich sechs Paß­fä­schun­gen gab. Man­gels Re­fe­ren­zen war ich da noch vor­sich­tig, doch nun ist das Er­geb­nis der Bun­des­tag-An­fra­ge schrift­lich und on­line ver­füg­bar. Ein­fach nur ha­ne­bü­chen! Klar, ein mas­si­ves Si­cher­heits­loch, wir brau­chen drin­gend die bio­me­tri­schen Pässe!

Höchst brauch­bar: Das SQL in­jec­tion cheat sheet. Wel­cher Kniff funk­tio­niert mit wel­cher Da­ten­bank? Wel­cher DB-Her­stel­ler be­nutzt wel­che Zei­chen für Kom­men­ta­re? Auf dem Cheat Sheet fin­det man diese In­for­ma­tio­nen auf einen Blick.

Ei­ni­ge Fir­men und In­sti­tu­tio­nen weh­ren sich gegen "Full Dis­clo­sure", also das kom­plet­te Of­fen­le­gen von Si­cher­heits­lü­cken (zu­min­dest nach dem Er­schei­nen des Patches). Ihr Ar­gu­ment: Mit die­ser In­for­ma­ti­on kön­nen böse Ha­cker viel ein­fa­cher einen Ex­ploit bauen und so in un­ge­patch­te Sys­tem ein­drin­gen. In einem De­mons­tra­ti­ons­film zei­gen die Leute von Sabre Se­cu­ri­ty, wie man durch Ana­ly­se eines Patches auf die Än­de­run­gen rück­schlie­ßen kann: Durch Ver­gleich von ge­patch­tem und un­ge­patch­tem Pro­gramm (und einem ge­eig­ne­ten Tool) las­sen sich ver­än­der­te und er­gänz­te Pas­sa­gen er­ken­nen. So kommt man dem ur­sprüng­li­chen Si­cher­heits­pro­bem rasch auf die Spur.

Ich habe vor rund acht Wo­chen das Track­back-Mo­dul ge­patcht, so daß es die sen­den­de Seite ei­ni­gen "Sa­ni­ty Checks" un­ter­zieht. Das ganze scheint tat­säch­lich zu funk­tio­nie­ren wie ge­plant: Na­he­zu der ge­sam­te Track­back-Spam stammt von Bot­net­zen, wes­halb die IP-Adres­se des Track­back-Sen­ders nichts mit der IP-Adres­se zu tun hat, auf wel­che die im Track­back an­ge­ge­be­ne URL auf­löst. Meine ak­tu­el­len Ein­stel­lun­gen ver­wer­fen sol­che Track­backs so­fort; bei allen an­de­ren wird die re­fe­rier­te Seite be­trach­tet, ob sie einen Link auf diese Seite ent­hält - wenn nicht, lan­det der Track­back in der Mo­dera­to­ren-War­te­schlan­ge.

Auf den Sei­ten der Ta­ges­schau gibt es ein In­ter­view mit Ernst Benda (Teil eins hier, Teil zwei hier) unter der Über­schrift: "Den Über­wa­chungs­staat wol­len wir nicht". Ernst Benda war Vor­sit­zen­der des Bun­des­ver­fas­sungs­ge­richts, als die­ses das "Volks­zäh­lungs­ur­teil" (1983) fäll­te und damit den Be­griff der der in­for­ma­tio­nel­len Selbst­be­stim­mung präg­te. Er er­läu­tert die Be­weg­grün­de von da­mals, sowie Bezug und Kon­se­quen­zen auf die ak­tu­el­len Ge­ge­ben­hei­ten. Zwar kann er die Be­weg­grün­de und Schwie­rig­kei­ten der Er­mitt­lungs­be­hör­den nach­voll­zie­hen, den­noch be­wer­tet er die Vor­rats­da­ten­spei­che­rung als höchst kri­tisch.

Ge­ra­de in der Ta­ges­schau ge­le­sen: Der Bun­des­rat hat zwar die bio­me­tri­schen Rei­se­päs­se und den zen­tra­len Zu­griff auf die Paß­bil­der ab­ge­nickt, je­doch die Ver­schär­fung der In­ter­net­über­wa­chung ab­ge­lehnt:

aktion-uberwach.jpg

Das Skript am an­de­ren Ende ver­gleicht die auf­ru­fen­de IP-Adres­se mit einer Liste von IP-Adres­sen, die staat­li­chen In­sti­tu­tio­nen ge­hö­ren - und im Falle eines Tref­fers wird der Zu­griff pro­to­kol­liert. Als Feed­back wird ein Bild mit einer grün bzw. rot blin­ken­den Über­wa­chungs­ka­me­ra an­ge­zeigt.

Meine erste Re­ak­ti­on: Coole Idee, das ist doch mal eine wit­zi­ge Ak­ti­on.

Der zwei­te Ge­dan­ke: Prima, im Prin­zip gibst Du damit In­for­ma­tio­nen über Deine Be­su­cher (näm­lich die be­such­te URL plus die IP-Adres­se) au­to­ma­tisch und ohne deren Ein­wil­li­gung an eine wei­te­re In­sti­tu­ti­on wei­ter. Auch wenn es sich in die­sem Fall um eine wohl ver­trau­ens­wür­di­ge In­stanz han­delt, ist man auf Ge­deih und Ver­derb auf das Ver­spre­chen "do no evil" ("Es wird üb­ri­gens kein Web­ser­ver-Log­fi­le ge­schrie­ben") an­ge­wie­sen.

Der drit­te Ge­dan­ke: Aber als "hip­per Blog­ger" willst Du dann doch mit­spie­len und hast brav Bil­der von Tech­no­ra­ti und Blogs­cout ein­ge­bet­tet, bei denen tech­nisch ge­se­hen genau das­sel­be pas­siert.

Eine kurze, nicht re­prä­sen­ta­ti­ve Stich­pro­be bei ei­ni­gen Uber­wach-Mit­ma­chern zeigt: Es wer­den flei­ßig Web­bugs von Goog­le Ana­ly­tics, Tech­no­ra­ti, etc.​etc. ver­wen­det. Po­li­ti­ker-Ba­shing macht Spaß, der Pro­test gegen die Ent­wick­lung Rich­tung Über­wa­chungs­staat ist auch mehr als ge­recht­fer­tigt - aber wenn's um die Po­pu­la­ri­tät der ei­ge­nen Web­sei­te geht, sind so man­che Be­den­ken ur­plötz­lich zer­streut.

Lie­ber Dirk, danke für Deine Ak­ti­on und die wei­te­re Dis­kus­si­on mit der Com­mu­ni­ty - und dafür, daß Du uns auf diese Weise auch den Eu­len­spie­gel vor­ge­hal­ten hast. Viel­leicht baue ich tat­säch­lich die Uber­wach-Ka­me­ra auf diese Seite - dann aber so, daß die Sei­ten­be­su­cher davon nicht wei­ter be­hel­ligt wer­den: Mit einem lo­ka­len Ab­gleich und einer an­ony­mi­sier­ten Sta­tis­tik (Grup­pie­rung nach Amt) trifft man nur die­je­ni­gen, die man tref­fen will - und man hat den ge­wünsch­ten pla­ka­ti­ven Ef­fekt unter Wah­rung eines ge­wis­sen Maßes an Pri­vat­sphä­re (die ein­zel­ne IP wird nicht ge­loggt). Ganz si­cher de­mon­tie­re ich aber die "ak­ti­ven Kom­po­nen­ten" von Fremd­sei­ten. Wenn wir schon über Pri­va­cy reden wol­len, dann bit­te­s­ehr kon­se­quent.

(via Qbi's Web­log)

Es klang doch viel zu schön, um wahr zu sein: Apple ver­treibt Songs auch ohne DRM - zwar nur gegen einen klei­nen Auf­preis, aber im­mer­hin. So zeig­te Apple, daß DRM-freie Musik einen Markt dar­stellt, im­mer­hin waren Kun­den be­reit, hier­für mehr Geld aus­zu­ge­ben.

Die EFF stell­te dar­auf­hin wei­te­re Un­ter­su­chun­gen an und stell­te fest, daß bei zwei iTu­nes-Down­loads die re­sul­tie­ren­den Au­dio­da­ten zwar iden­tisch waren, die Da­tei­län­ge je­doch um meh­re­re dut­zend Ki­lo­byte dif­fe­rier­te. Mög­li­cher­wei­se bet­tet Apple da noch deut­lich mehr Daten ein; die EFF schlie­ßt au­ßer­dem die Mög­lich­keit eines Was­ser­zei­chens in der Ko­die­rung nicht aus: Bei so einem Ver­fah­ren wären die de­kom­pri­mier­ten Daten zwar iden­tisch, durch die Art der kom­pri­mier­ten Dar­stel­lung könn­ten aber wie­der­um In­for­ma­tio­nen ver­steckt wer­den.

Das Un­of­fi­ci­al Apple Blog re­sü­miert: "DRM-free doesn't mean that Apple sud­den­ly sup­ports pi­ra­cy.".

Wenn das so stimmt, wäre das wohl die Ab­sur­di­tät des Tages: Laut der Web­sei­te der Ta­ges­zei­tung Junge Welt gab die Re­gie­rung Ant­wort auf eine klei­ne An­fra­ge im Bun­des­tag nach der Not­wen­dig­keit von Päs­sen mit hö­he­rer Fäl­schungs­si­cher­heit: Dem­nach wur­den in den Jah­ren 2001 bis 2006 ganze sechs Paß­fäl­schun­gen und 344 "Ver­fäl­schun­gen" re­gis­triert. Das Haupt­ar­gu­ment für die neuen E-Päs­se war die hö­he­re Fäl­schungs­si­cher­heit (wel­che an sich ja be­reits ad ab­sur­dum ge­führt ist, da die Pässe bei de­fek­tem Chip die selbe Gül­tig­keit be­sit­zen), was damit wohl auch hin­fäl­lig ist. Die An­fra­ge wurde üb­ri­gens vor der Ab­stim­mung über das neue Pa­ß­ge­setz ge­stellt, die Ant­wort kam aber da­nach - ein Schelm, der Arges dabei denkt...

"Kon­kre­te Zah­len über Pass­fäl­schun­gen lie­gen dem In­nen­mi­nis­te­ri­um zwar nicht vor, 2002 wur­den von der Grenz­schutz­di­rek­ti­on aber nur 35 Pässe und 30 sons­ti­ge Aus­wei­se wegen Ver­dacht auf Ver­fäl­schung oder fälsch­li­che Aus­stel­lung un­ter­sucht."

(via Fefes Blog)

Ges­tern abend beim An­se­hen der Ta­ges­the­men schlug meine Kinn­la­de höchst un­sanft auf der Tisch­kan­te auf: In einem In­ter­view mit Wolf­gang Schäu­b­le zu den neuen An­ti-Do­ping-Ge­set­zen for­der­te die­ser eine Ver­schär­fung des Straf­rah­mens, um (so wört­lich) "all die Er­mitt­lungs­in­stru­men­te der Straf­pro­ze­ß­ord­nung, ins­be­son­de­re die der Te­le­kom­mu­ni­ka­ti­ons­über­wa­chung, ein­set­zen" zu kön­nen.

Ich hatte ja heute früh schon auf einen Blog von je­man­dem ver­wie­sen, der die Ver­samm­lung als Gast be­ob­ach­tet hat. Sei­nen er­nüch­tern­den Be­richt kann man hier lesen - ich kenne mich mit dem po­li­ti­schen Pro­ce­de­re zu wenig aus, um end­gül­tig sagen zu kön­nen, ob da ein­fach nur ab- und weg­ge­nickt wurde, oder ob da nur eine vor­her aus­dis­ku­tier­te Po­si­ti­on amt­lich ge­macht wurte (falls letz­te­res: Wieso fin­det sowas nicht in der Öf­fent­lich­keit statt?). Aber die vie­len Dinge wie das Ab­ni­cken, das schi­zo­phre­ne Ver­hal­ten ei­ni­ger Ab­ge­ord­ne­ter (da­ge­gen sein, dafür stim­men) und die Son­der­be­hand­lung durch die Si­cher­heits­kräf­te las­sen mich den Kopf schüt­teln. Was für ein Kas­perl­thea­ter.

Vor genau 20 Jah­ren fand die letz­te Volks­zäh­lung in Deutsch­land statt - der 25.5.1987 war der Stich­tag für die Da­ten­ab­ga­be. Ur­sprüng­lich für 1983 ge­plant, wurde sie auf 1987 ver­scho­ben - auf­grund von Pro­tes­ten, Kla­gen und dem dar­aus re­sul­tie­ren­den bahn­bre­chen­den Ur­teil des Bun­des­ver­fas­sungs­ge­richt, das dabei dem "Recht auf in­for­ma­tio­nel­le Selbst­be­stim­mung" Ver­fas­sungs­rang gab. Auch bei der tat­säch­lich durch­ge­führ­ten Volks­zäh­lung 1987 kam es aus Angst vor dem Big-Bro­ther-Staat und dem "glä­ser­nen Bür­ger" zu Pro­tes­ten und Boy­kott, trotz dro­hen­dem Bu­ß­geld; Mu­ti­ge ris­kier­ten die Stra­fe, spar­sa­me Geg­ner füll­ten den Fra­ge­bo­gen be­wu­ßt falsch aus.

Du bist er­fasst

Du bist erfasstDu bist er­fasst (Bild in groß) ist eine Par­odie-Wer­bung auf die un­rühm­li­che "Du bist Deutsch­land"-Kam­pa­gne, wel­che ich eben ent­deckt habe (un­rühm­lich? Bei der Menge an Par­odi­en kann man sich zu­min­dest nicht über man­geln­den Im­pact be­kla­gen). Ich bin schier um­ge­fal­len vor La­chen - Danke an den Pan­tof­fel­punk, you made my day! (via)

Kurze Rand­no­tiz: Am kom­men­den Mon­tag sind zwei Sen­dun­gen mit zu­min­dest in­ter­es­sant klin­gen­den Teaser­tex­ten zu sehen:

Ge­ra­de mal eine Woche ist es her, da ließ das In­nen­mi­nis­te­ri­um ver­lau­ten, man halte Wahl­com­pu­ter wei­ter­hin für "hin­rei­chend ma­ni­pu­la­ti­ons­si­cher". Dar­über, wie die Rea­li­tät aus­sieht, be­rich­tet Paul As­muth in sei­nen Be­ob­ach­tun­gen von der Wahl in Neuss. Ein ech­tes must-re­ad, eben­so wie das Edi­to­ri­al der ak­tu­el­len c't! Wenn es einen Preis für Merk­be­frei­ung gäbe - dem In­nen­mi­nis­te­ri­um wäre die­ser wohl kaum noch strei­tig zu ma­chen.

Wie ges­tern in den Nach­rich­ten zu hören (und heute auf Heise zu lesen) war, ist der Kuh­han­del um die Spei­che­rung und den Zu­griff auf die Pa­ßda­ten nun per­fekt. Die Ko­ali­ti­ons­part­ner haben sich auf die Än­de­rung des Pa­ß­ge­set­zes end­gül­tig ge­eig­net: Dem­nach dür­fen Licht­bil­der "im Eil­fall" on­line ab­ge­ru­fen wer­den. Die Fin­ger­ab­drucks­da­ten wer­den nicht ge­spei­chert, son­dern nach der Er­stel­lung des Aus­wei­ses ver­nich­tet.

Spree­blick be­rich­tet von einer An­ek­do­te, bei der die Staats­an­walt­schaft allen erns­tes ge­for­dert hatte, man möge die an­ge­for­der­ten In­for­ma­tio­nen faxen - in Summe 450.000 Sei­ten Log­files. Spree­blick ist der Sache nach­ge­gan­gen und hat den zu­stän­di­gen tech­ni­schen Lei­ter in­ter­viewt. Die Aus­sa­gen schla­gen genau in die Kerbe, die ich allen Leu­ten sage: Die Er­mitt­ler brau­chen keine zu­sätz­li­chen Da­ten­quel­len, son­dern ge­schul­tes Per­so­nal in aus­rei­chen­der Menge. Zitat:

Die AACS-LA ist der An­sicht, daß eine ein­zel­ne 128 bit lange In­te­ger-Zahl ein Mit­tel zur Um­ge­hung des Co­py­rights ist und daher (laut DMCA) nicht mehr ver­brei­tet wer­den darf. Free­dom to tin­ker hält die­ser ab­sur­den An­sicht den Eu­len­spie­gel vor: Auf ihrer Web­sei­te kann man sich seine per­sön­li­che 128-Bit-Zahl ge­ne­rie­ren las­sen, wel­che - nach obi­ger Ar­gu­men­ta­ti­on - unter die­sel­ben Schutz­rech­te fällt.

Die­ser Be­richt von Ko­moTV be­schreibt, daß in Ame­ri­ka wohl ein er­heb­li­cher An­teil von Autos mit einer Art "Mi­ni-Black­box" aus­ge­stat­tet sind; die Sys­te­me nen­nen sich EDR (event data re­cor­der) oder CDR (crash data re­cor­der) und die­nen dazu, tech­ni­sche In­for­ma­tio­nen von den letz­ten Se­kun­den vor einem Un­fall auf­zu­zeich­nen. Com­pu­ter­de­fen­se hat aus die­sem Anlaß wei­ter nach­ge­hakt und zu­sätz­li­che In­for­ma­tio­nen zu dem Thema zu­sam­men­ge­tra­gen. Das Pi­kan­te an der An­ge­le­gen­heit: Das Vor­han­den­sein eines EDR ist nur we­ni­gen Au­to­fah­rern über­haupt be­wu­ßt. Ob sol­che Ge­rä­te auch in eu­ro­päi­schen Se­ri­en vor­han­den sind, ist mir nicht be­kannt.

Ich kann mich den ge­misch­ten Ge­füh­len von Spree­blick nur an­schlie­ßen. Soll­te es zum Pro­test kom­men, war dies ein Pyr­rhus-Sieg für die Co­mu­ni­ty - falls nicht, eine ge­lun­ge­ne PR-Ak­ti­on für Digg. Die grund­le­gen­de Frage ist je­doch, wieso ein sol­cher Pro­zeß über­haupt zu­stan­de kom­men könn­te - er wäre ein Zei­chen der Hilf­lo­sig­keit der AACS­LA, der im üb­rin­gen außer ex­or­bi­tan­ten Pro­ze­ß­kos­ten und Stra­fen nichts be­wir­ken würde.

On­line-Dur­su­chun­gen sind ja für den Au­gen­blick ge­stoppt wor­den - wegen feh­len­der recht­li­cher Grund­la­gen, wie der Bun­des­ge­richts­hof fest­stell­te. In einem In­ter­view mit dem Deutsch­land­funk wird von ei­ni­gen Pro­ble­men mit den ers­ten On­line-Durch­su­chun­gen be­rich­tet, die durch die Ge­heim­diens­te durch­ge­führt wur­den. Wie Fefe so schön sagt: Es ist doch schön, daß we­nigs­tens auf die In­kom­pe­tenz der Be­hör­den Ver­laß ist; und das Zu­ckerl oben­drauf: Die so er­ho­be­nen Daten sind wohl in die­ser Form vor Ge­richt nicht ver­wert­bar.

Die Ent­schei­dung von EMI, Musik ohne DRM zu ver­kau­fen, hat all­ge­mein für Wir­bel ge­sorgt. Apple bie­tet DRM-freie Songs für 30 Ct. Auf­preis an - dies zeigt, daß die Kun­den durch­aus ein Be­wu­ßt­sein für die Pro­ble­ma­tik be­sit­zen - und um­ge­kehrt DRM-freie Musik einen Markt re­prä­sen­tiert.

Der Ko­mi­ker Weird Al Yan­ko­vic hat mit "Don't down­load this song" ein wun­der­bar iro­ni­sches Lied ge­schrie­ben - das selbst­ver­ständ­lich kos­ten­los im Netz zu be­zie­hen ist.

Das re­no­mier­te Ma­ga­zin Na­tu­re be­rich­tet am ver­gan­ge­nen Wo­chen­en­de von einem er­folg­rei­chen An­griff auf eine quan­ten­kryp­to­gra­phisch ge­si­cher­te Ver­bin­dung. Das Prin­zip der Quan­ten­kryp­to­gra­phie ist an sich be­ste­chend: Es ba­siert nicht auf An­nah­men über die Re­chen­leis­tung von Com­pu­tern und den nö­ti­gen Be­re­chungs­auf­wand eines Ver­fah­rens, son­dern auf quan­ten­me­cha­ni­schen Ef­fek­ten: Man macht sich die Tat­sa­che zu Nutze, daß man einen Zu­stand nicht mes­sen kann, ohne ihn dabei zu ver­än­dern. Das Ab­hö­ren einer sol­chen Lei­tung ist also vom Emp­fän­ger be­merk­bar, der dar­auf­hin die Kom­mu­ni­ka­ti­on un­ter­bricht.

Da­ten­sam­meln ist in. Egal, ob im Web oder bei ir­gend­wel­chen For­mu­la­ren: Jeder fragt nach Name, Adres­se, E-Mail, Te­le­fon. Dabei ge­hört das Te­le­fon zu den be­son­ders sen­si­blen In­for­ma­tio­nen: Post kann ich weg­wer­fen, für E-Mail gibt's Spam­fil­ter (oder Weg­werf-Adres­sen) - das Te­le­fon hin­ge­gen will man nur un­gern ab­stel­len, aber wehe, es klin­gelt plötz­lich mit­ten in der Nacht... In jüngs­ter Zeit sind mir zwei Diens­te über den Weg ge­lau­fen, die da Ab­hil­fe schaf­fen kön­nen: Ein­mal­num­mer und der Dienst Frank geht ran.

Nicht wei­ter ver­wun­der­lich, daß es Herr Schäu­b­le mit sei­nen Äu­ße­run­gen im Spie­gel in die Nach­rich­ten ge­schafft hat - auch wenn der Amok­lauf in Ame­ri­ka und die Wah­len in Frank­reich ihm man­cher­orts Platz Eins strei­tig mach­ten. Das gest­ri­ge Heu­te-Jour­nal hatte ihn sogar als In­ter­view­part­ner. Im Bei­trag vor dem In­ter­view kri­ti­sier­te Burk­hard Hirsch Herrn Schäu­b­le, er be­nut­ze "den Ter­ro­ris­mus wie einen Uni­ver­sal­schlüs­sel dafür, um un­se­re Ver­fas­sung schritt­wei­se zu ver­än­dern und einen Staat her­bei­zu­füh­ren, der auf Knopf­druck von jedem Bür­ger alles wis­sen kann - seine Vor­lie­ben, sei­nen Auf­ent­halts­ort... und letzt­lich damit auch seine Ge­dan­ken". Und: "Wir kom­men in einen re­gel­rech­ten Über­wa­chungs­staat hin­ein, in dem es keine per­sön­li­chen Frei­hei­ten mehr gibt. Und wenn der Staat jeden Bür­ger be­han­deln will wie einen Ge­fähr­der oder einen mög­li­chen Straf­tä­ter, dann soll­te die Re­gie­rung sich ein an­de­res Volk su­chen.".

Im Zuge der Em­pö­rung um Schäu­bles Aus­sa­gen wer­den Zi­ta­te der Ge­schich­te an­ge­bracht, von denen ich hier ei­ni­ge wie­der­ge­ben will:

In einem In­ter­view mit dem Spie­gel hat In­nen­mi­nis­ter Schäu­b­le seine Pläne zur wei­te­ren Ver­schär­fung der Si­cher­heits­ge­set­ze ver­tei­digt - und gleich noch­mal einen drauf­ge­setzt: In dem In­ter­view spricht er davon, daß der Grund­satz der Un­schulds­ver­mu­tung im Kampf gegen den Ter­ro­ris­mus nicht gel­ten las­sen könne.

Edit: Auch die Ta­ges­schau be­rich­tet über das In­ter­view; was die Mehr­heit der Leser denkt, zeigt die (nicht re­prä­sen­ta­ti­ve) Um­fra­ge am Ende des Ar­ti­kels...

Damn Vul­nerable Linux ist eine Li­ve-Dis­tri­bu­ti­on, die ab­sicht­lich ver­schie­dens­te Si­cher­heits­lü­cken auf­weist. Na­tür­lich soll­te man diese Dis­tro nicht für den Hoch­si­cher­heits-Ser­ver ver­wen­den ;-) Sie dient als An­schau­ungs­ma­te­ri­al, wie Si­cher­heits­lü­cken ent­ste­hen und wie diese aus­ge­nutzt wer­den kön­nen. Ent­spre­chen­de Tu­to­ri­als sind auf der CD ent­hal­ten bzw. sind auf der Web­sei­te an­ge­kün­digt.

Nicht, daß die Vor­ha­ben wie An­ti-Ter­ror-Da­tei, On­line-Durch­su­chung und Zu­griff auf die Daten der LKW-Maut dem Faß nicht schon längst den Boden aus­ge­schla­gen hät­ten: Nun be­rich­tet die Ta­ges­schau (unter Be­zug­nah­me auf die TAZ), daß auch der Zu­griff auf die Paß­bil­der zu Fahn­dungs­zwe­cken dis­ku­tiert wird (edit: nun gibt es auch Mel­dun­gen bei Heise und Golem).

Since se­veral peop­le asked: Here is a patch (con­tai­ning my track­back sa­ni­ty checks) against the track­back mo­du­le. Mind that this is just a draft, con­fi­gu­ra­ti­on of the be­ha­viour has to be done in the sour­ce code. The pre­con­fi­gu­red be­ha­viour is to pu­blish track­backs which ful­fill the sa­ni­ty checks; all other track­back re­quests re­cei­ve an error reply. You have been war­ned ;)

In­ner­halb we­ni­ger Mi­nu­ten haben sich bei mir heute früh zwei Be­kann­te ge­mel­det - ihr Vi­ren­scan­ner (von Avira) hätte ein tro­ja­ni­sches Pferd na­mens "TR/WL­Hack.a" in win­lo­gon.​exe ge­fun­den. Schein­bar eine Epi­de­mie, denn die Home­page von Avira re­agiert nur sehr zäh; nach­dem ich end­lich nach Vi­ren­in­fos su­chen kann, stel­le ich fest, daß kein Ein­trag hier­zu exis­tiert. Fal­scher Alarm? Auf der Start­sei­te be­fin­det sich kein Hin­weis, die nor­ma­le Google­su­che fin­det nix, und Tech­no­ra­ti bringt nur den Ein­trag eines wei­te­ren Be­trof­fe­nen zum Vor­schein...

The up­date of the Mul­ti­ping mo­du­le for Dru­pal is now avail­able on this site! I've been run­ning it for three weeks now and it didn't cause any trou­ble, so I hope it will work fine on your site(s), too.

  • The ser­ver men­tio­ned in the track­back link must re­sol­ve to an IP in the same sub­net as the IP sen­ding the track­back
  • The page to which the track­back link re­fers must con­tain the URL of my site

Plea­se help me tes­ting this sche­me: Write a blog entry with a link to my page, and send a track­back here. If the track­back doesn't get through, plea­se drop a com­ment here. I'm cu­rious whe­ther this will work...

Un­ge­ach­tet des­sen, ob die so­ge­nann­te "On­line-Durch­su­chung" nun legal ist, per Ge­set­zes­än­de­rung le­ga­li­siert wird oder il­le­gal bleibt, wer­den ei­ni­ge Po­li­ti­ker nicht müde, diese neu­ent­deck­te Er­mitt­lungs­me­tho­de zu be­wer­ben. Der spöt­ti­sche Spitz­na­me "Bun­de­stro­ja­ner" scheint hier über­haupt nicht zu ge­fal­len - so ver­wehr­te sich BKA-Prä­si­dent Ziercke in einem In­ter­view mit der TAZ gegen diese Be­zeich­nung: "Die On­line-Durch­su­chung ist kein Hacking". Der ers­ten Mel­dung bei Heise setz­te der Tags dar­auf fol­gen­de zwei­te Ar­ti­kel noch eins drauf: Die On­line-Durch­su­chung sei laut Ziercke weder Hacking noch Schlepp­netz­fahn­dung, son­dern "kein Kin­der­kram", "hoch­pro­fes­sio­nell" und würde "ohne Schad­soft­ware" von stat­ten gehen.

Für jedes Forum, jeden On­line­shop, ... muß man sich einen Ac­count an­le­gen, bevor man los­le­gen kann. Was aber tun mit den dut­zen­den Pass­wör­tern, die be­nö­tigt wer­den? Auf der einen Seite soll­te man Paß­wör­ter nicht auf­schrei­ben (je­mand könn­te den Zet­tel fin­den); ein Paß­wort-Safe-Pro­gramm ist mit­un­ter um­ständ­lich und nicht immer greif­bar; letz­te­res gilt auch für den ge­si­cher­ten Paß­wort­spei­cher der Brow­ser. Ein Stan­dard­paß­wort, das man über­all ver­wen­det, kann aber eben­so fa­ta­le Fol­gen haben - ein­mal her­aus­ge­fun­den, öff­net es die (Miß­brauchs-)Pfor­te zu vie­len Sei­ten; dabei muß das Paß­wort nicht un­be­dingt "cli­ent­sei­tig" durch einen Blick über die Schul­ter oder sys­te­ma­ti­sches Aus­pro­bie­ren kom­pro­mit­tiert wer­den: Eben­so kann ein bös­wil­li­ger Web­sei­ten­an­bie­ter das Kenn­wort aus­le­sen - oder aber es fällt einem An­grei­fer in die Hände, der sich Zu­gang zum Ser­ver der Web­sei­te ver­schafft hat.

Funk­ti­ons­wei­se

Die Idee hin­ter die­sen Tools ist, ein Mas­ter-Pass­wort mit einem sei­ten­spe­zi­fi­schen Kri­te­ri­um (wie bei­spiels­wei­se einem Teil der URL) zu kom­bi­nie­ren und dar­aus ein für die Seite in­di­vi­du­el­les Kenn­wort zu ge­ne­rie­ren. Ein kryp­to­gra­phisch er­prob­tes Ver­fah­ren hier­für ist der Ein­satz eines Keyed Hash (HMAC). Hier­bei kommt eine kryp­to­gra­phisch star­ke Hash­funk­ti­on zum Ein­satz; diese ist dar­auf aus­ge­legt, den Rück­schluß auf die ur­sprüng­li­che Ein­ga­be mög­lichst un­mög­lich zu ma­chen. Da­durch bleibt das Mas­ter-Pass­wort ge­schützt. Aus dem Er­geb­nis wird an­schlie­ßend ein al­pha­nu­me­ri­sches Wort ge­ne­riert, das als Pass­wort für die Seite dient.

Pass­word Has­her und Pwd­Hash

Pass­word Has­her und Stan­ford Pwd­Hash (ent­deckt via Darknet) be­ru­hen beide auf die­sem An­satz. So be­nutzt Pwd­Hash als Hash­funk­ti­on den MD5-Al­go­rith­mus, Pass­word Has­her das SHA1-Ver­fah­ren. Beide Hash­funk­tio­nen sind für die­sen An­wen­dungs­zweck aus­rei­chend.

Pass­word Has­her

Pass­word Has­her zeigt neben jedem Paß­wort­feld eine Schalt­flä­che an, wel­che einen se­pa­ra­ten Dia­log öff­net. Hier gibt man das Mas­ter-Pass­wort ein; au­ßer­dem kann man Ein­stel­lun­gen be­züg­lich des ge­ne­rier­ten Sei­ten-Pass­worts (Länge, ver­wen­de­te Zei­chen) tref­fen. An­schlie­ßend ko­piert Pass­word Has­her das Er­geb­nis zu­rück in das Pass­wort­feld.

Pwd­Hash

Pwd­Hash ver­zich­tet auf ein se­pa­ra­tes Dia­log­fens­ter zur Ein­ga­be. Pass­wör­ter, die mit einer cha­rak­te­ris­ti­schen Zei­chen­fol­ge ("@@") be­gin­nen, wer­den als Mas­ter-Key in­ter­pre­tiert und vom Pro­gramm be­ar­bei­tet. Al­ter­na­tiv kann das Ha­shing auch durch Dü­cken von F2 aus­ge­löst wer­den. Im Ge­gen­satz zu Pass­word Hash hängt die Länge der ge­ne­rier­ten Kenn­wör­ter von der Länge des Mas­ter-Keys ab.

Ri­si­ko Mas­ter-Pass­wort

Das Wie­der­ver­wen­den eines Kenn­worts stellt na­tür­lich nach wie vor ein Ri­si­ko dar: Ist das Mas­ter-Pass­wort und das ver­wen­de­te Pro­gramm be­kannt, kann sich ein An­grei­fer die in­di­vi­du­el­len Kenn­wör­ter ge­ne­rie­ren. Ge­gen­über einem di­rekt wie­der­ver­wen­de­ten Kenn­wort re­du­ziert die­ser An­satz die An­griffs­mög­lich­kei­ten.

Wie Golem heute nacht be­rich­tet, ist es einem An­grei­fer ge­lun­gen, eine Si­cher­heits­lü­cke in den of­fi­zi­el­len Down­load von Word­press ein­zu­schleu­sen. Jeder, der in den letz­ten drei bis vier Tagen die Ver­si­on 2.1.1 von word­press.​org her­un­ter­ge­la­den hat, soll­te un­be­dingt seine In­stal­la­tio­nen ak­tua­li­sie­ren (und sein Log nach Que­rystrings "ix=" und "iz=" durch­su­chen). Eine Ver­si­on ohne der Hin­ter­tür wurde nun mit der Ver­si­ons­num­mer 2.1.2 zum Down­load be­reit­ge­stellt.

Schon ein paar Tage her, aber paßt so gut zum vo­ri­gen Ar­ti­kel: Ba­den-Würt­tem­bergs Wis­sen­schafts­mi­nis­ter Fran­ken­berg läßt alle Klä­ger gegen die neuen Stu­di­en­ge­büh­ren zen­tral sam­meln. Na­tür­lich dient das le­dig­lich der Ver­ein­fa­chung der Ver­wal­tung, und nicht der Ein­schüch­te­rung - kei­nem würde sich doch der Ge­dan­ke einer "Stu­di­ums-Black­list" auf­drän­gen...

Ein für die Black­hat-Kon­fe­renz an­ge­kün­dig­ter Vor­trag wurde wegen an­geb­li­cher Pa­tent­ver­let­zun­gen ab­ge­sagt. Der Re­fe­rent Chris Paget woll­te das Klo­nen von RFID-Chips vor­füh­ren; der Smart­card-Her­stel­ler HID (des­sen Chips schon bei frü­he­ren Vor­trä­gen von Paget zum Ein­satz kamen) droh­te nun kurz­fris­tig mit Pa­tent­kla­gen so­wohl gegen Paget als auch des­sen Ar­beit­ge­ber: An­geb­lich würde das Gerät, das Paget für die De­mons­tra­ti­on ge­baut hätte, gegen zwei Pa­ten­te der Firma ver­sto­ßen. HID ist ein nam­haf­ter Her­stel­ler von Zu­gangs­sys­te­men und hatte erst un­längst ein neues RFID-ba­sier­tes Pro­dukt zur Zu­gangs­si­che­rung vor­ge­stellt.

Dru­pal-Up­date

So, end­lich habe ich es auch ge­schafft, die Seite auf die neu­es­te Dru­pal-Ver­si­on zu ak­tua­li­sie­ren - bei der Ge­le­gen­heit habe ich auch das Lay­out über­ar­bei­tet (ich mag diese fixen Lay­outs nicht, daher habe ich das Zen Theme mo­dif­ziert), in der Hoff­nung, daß kei­ner der Brow­ser damit Pro­ble­me hat :-)

Als die Ak­ti­on mit dem Ab­gleich von Kre­dit­kar­ten­bu­chun­gen durch die Pres­se ging, hatte ich be­reits an­ge­merkt, daß die Such­kri­te­ri­en nur leid­lich prä­zi­se sind; einen "false po­si­ti­ve" hatte ich zy­nisch als "Kol­la­te­ral­scha­den" be­zeich­net. Ich hatte ein Kri­te­ri­um ver­ges­sen: Es wurde nicht über­prüft, ob die Be­las­tung der Kre­dit­kar­te auch tat­säch­lich Be­stand hatte, oder ob der Last­schrift (wegen Kar­ten­miß­brauchs) wi­der­spro­chen wurde. Genau die­ser Fall ist jetzt aber ein­ge­tre­ten: Die Po­li­zei rück­te wei­sungs­ge­mäß zur Be­schlag­nah­mung aller pri­va­ten und ge­schäft­li­chen Rech­ner an - und nur mit dring­li­chen Te­le­fo­na­ten mit der Bank konn­te der Be­trof­fe­ne diese recht­zei­tig dazu ver­an­las­sen, einen Beleg über seine Be­schwer­de und die Rück­bu­chung zu­zu­fa­xen. Dar­auf­hin brach die Po­li­zei die Durch­su­chung ab, der Be­trof­fe­ne ent­ging um Haa­res­brei­te dem wirt­schaft­li­chen Bank­rott (wenn Ge­rä­te ein­mal be­schlag­nahmt sind, kann es lange dau­ern, bis man sie zu­rück­be­kommt: im Netz hört man Zah­len zwi­schen 12 und 24 Mo­na­ten; das dürf­te wohl das end­gül­ti­ge aus für jeden Be­trieb be­deu­ten, wenn alle Fir­men­da­ten für so eine Zeit ver­schwin­den).

Der Be­richt Big Bro­ther ist wirk­lich ein Brite, den "Die Zeit" die Tage ver­öf­fent­licht hat, liest sich wie eine Gru­sel­ge­schich­te. Ge­schil­dert wer­den Aus­maß und Fol­gen der Über­wa­chung, wie man sie in Eng­land an­tref­fen kann. So wird ein Müll­sün­der (er wirft eine Fast­food-Ver­pa­ckung acht­los auf die Stra­ße) per Laut­spre­cher er­mahnt, und als er auch einer zwei­ten Auf­for­de­rung nicht Folge leis­tet, er­scheint sein Bild mit der Bitte um Iden­ti­fi­zie­rung in der Zei­tung.

Bruce Schnei­er schreibt in sei­nem Blog über Choo­sing se­cu­re Pass­words - wie finde ich ein gutes Paß­wort. Kein neues Thema, aber noch immer ein lei­di­ges. In­ter­es­sant ist der Ar­ti­kel den­noch: Er be­trach­tet die "Ge­gen­sei­te", näm­lich die Funk­ti­ons­wei­se von sehr ef­fi­zi­en­ten Paß­wort-Kna­ckern.

Die Über­prü­fung von 22 Mio. Kre­dit­kar­ten­da­ten sind keine Ras­ter­fahn­dung, und au­ßer­dem sei alles voll­kom­men recht­mä­ßig ab­ge­lau­fen - so hieß es in der Pres­se­er­klä­rung zur Ak­ti­on "Mi­ka­do". Zu­nächst gab es Kri­tik sei­tens des deut­schen An­walts­ver­eins, nun hat der Rechts­an­walt Udo Vet­ter (be­kannt durch sei­nen Blog Law­Blog) Klage gegen die Vor­ge­hens­wei­se ein­ge­reicht.

Soll­te die Klage Er­folg haben, wäre dies für die Staats­an­walt­schaft ein dop­pel­ter Schuß ins Knie: Zum einen hat man mit un­ver­hält­nis­mä­ßi­gen Mit­teln ge­ar­bei­tet und da­durch nicht un­er­heb­lich Auf­ruhr er­regt; zum an­de­ren wird man dann wohl sogar die "klei­nen Fi­sche" (die Hin­ter­män­ner hat man ja nicht er­wischt) lau­fen las­sen müs­sen, da die In­for­ma­tio­nen, die zu ihnen führ­ten, nicht rechts­mä­ßig er­langt wur­den und somit vor Ge­richt nicht ver­ert­bar wären.

Wie ges­tern be­rich­tet, wur­den per Ab­gleich mit den Kre­dit­kar­ten­zah­lun­gen aller Bun­des­bür­ger 322 Tat­ver­däch­ti­ge iso­liert. Heute wurde auf einer Pres­se­kon­fe­renz mit­ge­teilt (Heise be­rich­tet), daß es sich hier­bei um keine Ras­ter­fahn­dung ge­han­delt habe, son­dern le­dig­lich "ganz nor­ma­le Er­mitt­lungs­me­tho­den" (Zitat Spre­cher des LKA Sach­sen-An­halt). Die Ban­ken wur­den an­ge­wie­sen, die Kun­den­da­ten aller Kre­dit­kar­ten­be­sit­zer zu über­mit­teln, die einen Be­trag von 79,99$ an eine Bil­ling-Ge­sell­schaft auf den Phil­ip­pi­nen über­wie­sen hat­ten. Wenn vor­her si­cher­ge­stellt wurde, daß diese Bil­ling-Ge­sell­schaft über die­ses Konto ein­zig und al­lein den Ki­Po-Schwein­kram ver­kauft - gut. Falls je­doch nicht: 79,99$ ist ein sehr gän­gi­ger Be­trag, und dann be­steht die Chan­ce, daß auch ei­ni­ge zu un­recht in Ver­dacht ge­ra­ten sind. Kol­la­te­ral­scha­den - Pech ge­habt. Ich kann nur den Kopf schüt­teln.

Spie­gel On­line be­rich­tet über einen spek­ta­ku­lä­ren Schlag gegen Kin­der­por­no­gra­phie im In­ter­net (Up­date: Auch bei Heise und der Ta­ges­schau fin­det man nun Be­rich­te). Die Hin­ter­män­ner (ver­mut­lich eines Down­load-Diens­tes) waren nicht greif­bar, doch woll­te man we­nigs­tens den Kun­den ans Leder: Man wußte, daß ein be­stimm­ter Be­trag per Kre­dit­kar­te auf ein be­stimm­tes Konto im Aus­land über­tra­gen wurde. Um nun die Kun­den zu fin­den, wur­den sämt­li­che Kre­dit­kar­ten Deutsch­lands - über 22 Mil­lio­nen Stück - (Up­date: laut Heise ist das die Zahl von 2005 - ver­mut­lich ist die Zahl von heute höher) gegen die­ses Such­kri­te­ri­um ab­ge­gli­chen.

Der Month of Brow­ser Bugs hat meh­re­re Nach­fol­ge­ak­tio­nen in­iti­iert: Den Month of Ker­nel Bugs und jetzt ak­tu­ell den Month of Apple Bugs. Jede der Ak­tio­nen hatte das Ziel, das Öf­fent­lich­keits­in­ter­es­se auf eine (po­ten­ti­ell) wunde Stel­le zu len­ken; bei den Brow­sern ging es um die Auf­merk­sam­keit auf Si­cher­heits­pro­ble­me in dem Pro­gramm, das für viele User die am häu­figs­ten be­nutz­te Soft­ware dar­stellt. Die Ker­nel Bugs waren eine Re­ak­ti­on auf das Be­kannt­wer­den, daß durch Lü­cken in ei­ni­gen WLAN-Trei­bern in Rech­ner ein­ge­drun­gen wer­den kann. Diese Ak­tio­nen hat­ten sich das ehr­gei­zi­ge Ziel ge­setzt, für jeden Tag ein neues Pro­blem zu ent­de­cken, um so die Ent­wick­ler wach­zu­rüt­teln und auf Miß­stän­de auf­merk­sam zu ma­chen (es ist ja das üb­li­che Phä­no­men: Um ein Pro­gramm ist es lange Zeit ruhig, bis je­mand einen Feh­ler ent­deckt. Das weckt das In­ter­es­se und ani­miert Leute, noch­mals ge­nau­er hin­zu­se­hen - und flugs häu­fen sich die Bu­g­re­ports).

Stu­di­VZ wurde für (Up­date: bis zu) 100 Mil­lio­nen Euro ver­kauft - damit haben viele schon tag­täg­lich ge­rech­net. Al­ler­dings ist der Käu­fer ent­ge­gen den Spe­ku­la­tio­nen nicht das Or­gi­nal Face­book, von dem so flei­ßig ge­kup­fert wurde, son­dern die Holtz­brinck-Grup­pe.

Ich kann mir nicht an­satz­wei­se vor­stel­len, daß Stu­di­VZ einen ent­spre­chen­den rea­len Ge­gen­wert bie­tet. Einen Wert könn­te man sich al­len­falls aus der Po­pu­la­ri­tät und der er­stan­de­nen Da­ten­ba­sis er­hof­fen - die Co­de­ba­sis des Sys­tems kann es hin­ge­gen nicht sein, au­ßer­dem ist bei der frap­pie­ren­den Ähn­lich­keit zu Face­book zu be­fürch­ten, daß von die­ser Seite ir­gend­wann an­walt­schaft­li­cher Be­such ins Haus steht.

So­ci­al Net­works wie Stu­di­VZ, Face­book oder MyS­pace sind ab­so­lut hip - bei (meist jun­gen) Nut­zern wie Ven­ture-Ca­pi­tal-Ge­bern glei­cher­ma­ßen. In Deutsch­land ist die De­bat­te über die Pri­vat­sphä­re im Zu­sam­men­hang mit den Si­cher­heits­pro­ble­men von Stu­di­VZ (eines von vie­len Bei­spie­len hier) laut ge­wor­den. Stu­di­VZ ist zwar dank un­ein­sich­ti­ger Hal­tung ge­gen­über ent­deck­ten Si­cher­heits­pro­ble­men, Es­ka­pa­den des Fir­men­grün­ders und der Ge­schich­te über Stal­king-Grup­pen ins Ge­re­de ge­kom­men, doch ins­be­son­de­re letz­te­res ist wohl kein Stu­di­VZ-spe­zi­fi­sches Pro­blem.

AACS (Ad­van­ced Ac­cess Con­tent Sys­tem) ist der Ko­pier­schutz für die HD-DVD - also das Pen­dant zu CSS für DVDs. Seit Mitte De­zem­ber kur­sie­ren Ge­rüch­te im Netz, daß AACS "ge­knackt" sein soll. Kurz nach Weih­nach­ten pu­bli­zier­te ein Fo­ren­nut­zer bei Doom9.​org seine Frust-Sto­ry, auf sei­nem PC eine HD-DVD an­zu­se­hen - samt einer Im­ple­men­tie­rung zur Ent­schlüs­se­lung des Schei­benin­halts.