Blogarchiv 2008

Nach über 10 Jah­ren Dru­cker­ab­sti­nenz kam ich nun doch nicht umhin, wie­der ein Gerät an­zu­schaf­fen. Um Platz zu spa­ren, soll­te es ein Kom­bi­ge­rät (mit Scan­ner und Stand-alo­ne-Ko­pier­funk­ti­on, idea­ler­wei­se auch mit Fax) sein, das via Netz­werk nutz­bar ist. Die Wahl fiel schlie­ß­lich auf einen HP Pho­tos­mart C7280 - über die Pho­tos­mart- und Of­fice­jet-Dru­cker hatte ich im Be­kann­ten­kreis ge­hört, daß der Li­nux-Sup­port recht gut sein soll.

Die­ser Ar­ti­kel soll einen Blick auf das Ver­fah­ren der Über­wei­sun­gen wer­fen (Be­ginn der Ar­ti­kel­se­rie hier). Mit einer Über­wei­sung weist ein Kon­to­in­ha­ber seine Bank an, einen be­stimm­ten Be­trag auf ein frem­des Konto (das mög­li­cher­wei­se bei einer frem­den Bank liegt) zu über­tra­gen. Die Ban­ken sind un­ter­ein­an­der über so­ge­nann­te Gi­ro­net­ze ver­bun­den, al­lein über das Netz der Lan­des­zen­tral­ban­ken wer­den täg­lich Zah­lun­gen im Wert von 500 Mil­li­ar­den Euro ab­ge­wi­ckelt.

Nach jedem pres­se­wirk­sa­men Skan­dal dau­ert es nicht lange, bis der erste Po­li­ti­ker vor­prescht, der Re­gie­rung (bzw. dem Ko­ali­ti­ons­part­ner) Hand­lungs­un­fä­hig­keit und Träg­heit vor­wirft - und so ver­sucht, das me­di­en­re­le­van­te Thema für sich zu pro­kla­mie­ren. So for­dert Se­bas­ti­an Eda­thy "mehr Da­ten­schutz noch vor Weih­nach­ten" nach dem ak­tu­el­len Kun­den­da­ten-Skan­dal: Es ist drin­gend nötig, "daß der außer Kon­trol­le ge­ra­te­ne Da­ten­han­del end­lich ge­stoppt wer­den muß". Daten sol­len nur mit aus­drück­li­cher Zu­stim­mung der Kun­den wei­ter­ge­ge­ben wer­den dür­fen, au­ßer­dem sol­len Ver­trags­ab­schlüs­se nicht mehr an die Ein­wil­li­gung zur Wei­ter­ga­be von Daten ge­bun­den sein.

Banküberfall

"Da­nach müs­sen im Ex­trem­fall drei von vier Haus­hal­ten in Deutsch­land fürch­ten, dass Geld von ihrem Gi­ro­kon­to ab­ge­bucht wird, ohne dass sie je­mals eine Ein­zugs­er­mäch­ti­gung er­teilt haben."

Das Pro­blem ist aber nicht nur der laxe Um­gang mit dem Da­ten­schutz und die un­kon­trol­lier­te Wei­ter­ga­be von In­for­ma­tio­nen - auch die nicht mehr zeit­ge­mä­ßen Pro­ze­du­ren der deut­schen Ban­ken sind Teil des Pro­blems.

An­ge­bot und Nach­fra­ge

Es gibt viele Grup­pen, die ein In­ter­es­se an um­fang­rei­chen Da­ten­samm­lun­gen über Per­so­nen haben - die Nach­fra­ge geht so weit, daß es als al­lei­ni­ges Ge­schäfts­mo­dell ge­nügt, wel­ches sich in Form von Ra­batt­kar­ten wie Pay­back oder Hap­py­Di­gits ma­ni­fes­tiert. Aber auch dar­über hin­aus haben (zwei­fel­haf­te) Krei­se In­ter­es­se an wei­ter­füh­ren­den Daten - wie bei­spiels­wei­se den Bank­ver­bin­dun­gen der Leute. Und wo eine Nach­fra­ge be­steht, fin­det sich si­cher ein An­bie­ter - so der Preis stimmt... Das Ver­füh­re­ri­sche: Die il­le­ga­le Wei­ter­ga­be von Daten und der nicht-da­ten­schutz­kon­for­me Ab­gleich von Da­ten­ban­ken ist für die Be­trof­fe­nen voll­ko­men un­spür­bar und fak­tisch nicht nach­voll­zieh­bar. Es liegt in der Natur der Sache, daß Daten be­lie­big ko­piert, wei­ter­ge­ge­ben und kom­bi­niert wer­den kön­nen.

Die­sem Pro­blem be­geg­nen die Da­ten­schutz­ge­set­ze, doch diese sind schwer (bis über­haupt nicht, wie man an den ak­tu­el­len Bei­spie­len sieht) durch­zu­set­zen. Die Ver­ge­hen sind kaum auf den Ur­he­ber zu­rück­zu­füh­ren, und dem­entspre­chend nied­rig ist die Hemm­schwel­le, diese Ge­set­ze zu über­tre­ten. Im ak­tu­el­len Fall stam­men die Daten wohl aus ver­schie­de­nen Call-Cen­tern und wur­den von einem "Dienst­leis­ter" zu­sam­men­ge­tra­gen und nun wei­ter­ver­kauft.

Neben dem ge­setz­li­chen Ver­bot gibt es je­doch zwei wei­te­re An­rei­ze, um sol­che Ka­ta­stro­phen zu ver­hin­dern: Die Daten müs­sen ent­we­der so an den In­ha­ber ge­bun­den sein, daß die­ser von sich aus ein gro­ßes In­ter­es­se an der Wah­rung des Da­ten­schut­zes hat. Oder aber die Daten müs­sen so un­in­ter­es­sant (bzw. ein­fach un­brauch­bar) sein, daß kri­mi­nel­le Da­ten­samm­ler kein In­ter­es­se an ihnen haben.

Ge­ra­de bei den Kon­to­da­ten hät­ten die Ban­ken freie Hand, einen sol­chen An­reiz zu im­ple­men­tie­ren - aus mir nicht ein­sich­ti­gen Grün­den ge­schieht das je­doch nicht, die Ban­ken hal­ten noch immer an zwei an­ti­quier­ten Sys­te­men fest: Dem Über­wei­sungs­for­mu­lar und der Last­schrift. Beide Ver­fah­ren möch­te ich in den fol­gen­den Blog-Ar­ti­keln kurz il­lus­trie­ren und mit mei­nen ei­ge­nen Er­fah­run­gen kom­men­tie­ren.

Wei­ter geht es in die­sem Ar­ti­kel! Hast Du sel­ber auch sol­che Si­cher­heits­pro­ble­me am ei­ge­nen Leibe zu spü­ren be­kom­men? Wie sieht Deine Mei­nung zu der Pro­ble­ma­tik aus? Hin­ter­las­se doch einen Kom­men­tar!

(Bild: (CC) by Colin Brown)

Af­fi­lia­te-Wer­bung und Sei­ten-Ver­mark­tung kennt man ja schon... aber da be­treibt wohl tat­säch­lich je­mand den Auf­wand, das Im­pres­sum von Web­sei­ten ab­zu­tip­pen und Post­kar­ten (mit ech­ter, auf­ge­kleb­ter Brief­mar­ke!) zu ver­schi­cken:

Eine An­fra­ge der FDP hat er­ge­ben: In den Mo­na­ten Mai und Juni wurde in ca. 2200 Er­mitt­lungs­ver­fah­ren Zu­griff auf die Vor­rats­da­ten ge­währt. Eine er­schre­cken­de Sta­tis­tik. Was in­ter­es­sant wäre: In wie­vie­len Fäl­len wären die Daten ohne Vor­rats­da­ten­spei­che­rung nicht ver­füg­bar ge­we­sen - und in wie­vie­len Fäl­len hat die Aus­kunft tat­säch­lich zur Auf­klä­rung bei­ge­tra­gen.

Das ist jetzt schon der drit­te Fall die­ses Jahr: Eine ex­ter­ne Plat­te, die an­geb­lich die Daten mit AES ver­schlüs­selt, stellt sich als Ver­pa­ckungs­schwin­del her­aus. Im Ge­gen­satz zum vo­ri­gen Fall ist der Her­stel­ler dies­mal oben­drein un­ein­sich­tig: Na­tür­lich käme AES-Ver­schlüs­se­lung zum Ein­satz - näm­lich um die ID des RFID-To­kens zu ver­schlüs­seln. An­schlie­ßend wird je­doch jeder 512-Byte-Sek­tor der Plat­te mit dem­sel­ben (aus dem Token ge­ne­rier­ten - im­mer­hin...) Byte­string mit XOR "ver­schlüs­selt". Die c't ur­teilt dar­über über diese Schlam­pe­rei ver­nich­tend: "In un­se­rem Test dau­er­te das Auf­schrau­ben des Ge­häu­ses län­ger als das Kna­cken der Ver­schlüs­se­lung". Und: Nein, das ist keine Über­trei­bung.

new20.png

Die­ser Wurf (der drit­te für Dru­pal) ist nicht mehr "from scratch" selbst­ge­baut - ich habe mich bei YAML und YAML für Dru­pal be­dient. Ich hatte die Faxen dicke, mich um jede Brow­ser­ver­si­ons-Mi­mo­se zu küm­mern - und YAML bie­tet genau das, was ich woll­te: Meh­re­re Spal­ten, die zwi­schen einer Min­dest- und einer Höchst­brei­te mit dem Brow­ser­fens­ter mit­wach­sen. Und trotz­dem war für den IE7 eine Son­der­be­hand­lung nötig :-X

Für das "Logo" woll­te ich ir­gend­et­was, das die all­ge­mei­ne Über­wa­chung und den Ver­lust der Pri­vat­sphä­re sym­bo­li­siert. Nach etwas Suche im Netz nach frei­er Clip­art hatte ich schlie­ß­lich diese Sil­hou­et­ten und diese Ka­me­ras ge­fun­den... der Erste Ent­wurf sah dann so aus:

Logo - 1. Entwurf

Die Bal­ken unten wirk­ten in klein nicht so wie ge­wünscht, dazu kam die Idee, den all­ge­mei­nen Iden­ti­täts­wahn durch einen Bar­code zu sym­bo­li­sie­ren. Mit bar­code4j fand sich üb­ri­gens eine Mög­lich­keit, mit frei­er Soft­ware sogar einen rich­ti­gen Bar­code zu ge­ne­rie­ren :-)

Logo - 2. Entwurf

Der Ent­wurf hatte wie­der das "Ver­klei­ne­rungs­pro­blem": Die Bar­code-Stri­che waren zu schmal und zu schlecht als sol­cher er­kenn­bar.

Logo - 3. Entwurf

Mit der Ver­län­ge­rung der Bar­code-Stri­che im Hin­ter­grund wurde deut­li­cher, woher die roten Li­ni­en in den Per­so­nen kamen; au­ßer­dem hatte ich den Bug be­ho­ben, daß der "Über­wa­cher" links eben­falls mit Bar­code-Stri­chen über­zo­gen war ;-) Ich wäre an die­ser Stel­le zu­frie­den ge­we­sen, aber meine Schwes­ter mein­te, ich solle den Über­wa­cher ent­fer­nen - der würde so "klem­men", und der un­be­darf­te Be­trach­ter würde den "Über­wa­cher" als sol­chen nicht er­ken­nen; dazu müßte ich ihm ein Fern­glas in die Hand geben - und die Ka­me­ra als Sym­bol sei so­wie­so viel prä­gnan­ter. Naja, sie muß es ja wis­sen, im­mer­hin ist sie Gra­fi­ke­rin :-) Und so ent­stand die end­gül­ti­ge Ver­si­on:

Logo - 4. Entwurf

So, und nun hoffe ich, daß die Lay­ou­tän­de­rung ge­fällt und ge­gen­über dem alten Lay­out tat­säch­lich ein Fort­schritt ist! Viel Spaß beim Wei­ter­le­sen!

Span­nung, Ner­vo­si­tät und letz­te hek­ti­sche Vor­be­rei­tun­gen ma­chen sich breit.

Die Sach­sen-SPD hat auf ihrem Lan­des­par­tei­tag ent­schie­den, im Bun­des­rat gegen das BKA-Ge­setz zu stim­men. Damit ist sie das Züng­lein an der Waage, wel­che die ex­trem knap­pe Pro-Mehr­heit (vor­her 35:34 Stim­men) kippt. Den Jubel von Spie­gel ("Schäu­bles Späh­ge­setz steht vor dem Aus") möch­te ich in so­fern dämp­fen, daß das Ge­setz mit einer Ab­leh­nung im Bun­des­rat nicht vom Tisch ist, son­dern in einen Ver­mitt­lungs­aus­schuß kommt.

Darin ent­hal­ten sind eine Menge guter Vor­schlä­ge (und ent­ge­gen vie­len an­de­ren Ge­set­zes­vor­schlä­gen gehen sie auch mit dem ge­sun­den Men­schen­ver­stand kon­form) sowie ei­ni­ge Dinge, bei denen man sich die Haare rau­fen könn­te, daß sowas keine Selbst­ver­ständ­lich­keit ist - es ist doch schlimm, daß man so etwas fest­schrei­ben muß:

Bei eu­ro­päi­schen oder in­ter­na­tio­na­len Ver­hand­lun­gen müs­sen die [deut­schen] Ver­hand­lungs­füh­rer an die Vor­ga­ben des Par­la­ments ge­bun­den wer­den.

Das schiebt viel­leicht dem (schon vor län­ge­rem von Roman Her­zog kri­ti­sier­ten) "Spiel über Bande" end­lich einen Rie­gel vor.

Wi­ki­leaks hat einen Ein­trag, der an­geb­lich die IP-Adress­be­rei­che des BND ent­hält. Die Häme in vie­len Blogs ist groß, es gibt schon die ers­ten Vor­la­gen für .htac­cess-Da­tei­en, um die BND-IP-Be­rei­che aus­zu­sper­ren. Die Wi­ki­leaks-Sei­te ver­weist auch auf Wi­ki­pe­dia-Chan­ge­logs, wel­che Än­de­run­gen am BND-Ar­ti­kel der Wi­ki­pe­dia aus den näm­li­chen Adress­be­rei­chen do­ku­men­tie­ren (beim Da­ten­rit­ter gibt's dar­über aus­führ­li­che­re Infos). Amü­sant, schon fast cli­ché­haft sind die Namen der ver­meint­li­chen Sub­netz­in­ha­ber ("Lie­gen­schafts­ver­wal­tung Pul­lach", "In­for­ma­ti­ons­bör­se Mün­chen").

Stasi 2.0

Aus dem Bun­des­tag

Bei Heise kann man lesen, wie In­nen­mi­nis­ter Schäu­b­le ver­sucht, mit einem "Basta" Pro­tes­te gegen die­ses und an­de­re Ge­set­ze zu be­en­den:

Auch Bun­des­in­nen­mi­nis­ter Wolf­gang Schäu­b­le mahn­te ein Ende von Kam­pa­gnen an, "un­se­ren frei­heit­li­chen Ver­fas­sungs­staat in einer Weise zu dif­fa­mie­ren, dass es bei jun­gen Leu­ten so an­kommt, als sei es die Stasi".

Das Pro­blem, das die Kri­ti­ker adres­sie­ren, ist in sel­bigs­tem Ar­ti­kel ge­nannt:

"Wir wer­den ein deut­sches FBI be­kom­men und eine Po­li­zei, die zu­gleich ihr ei­ge­ner Ge­heim­dienst ist", warn­te der grüne In­nen­po­li­ti­ker Wolf­gang Wie­land. Durch Über­zen­tra­li­sie­rung ent­ste­he eine Monster­be­hör­de ohne par­la­men­ta­ri­sche Kon­trol­le.

Die In­itia­ti­ven be­haup­ten nicht, daß mit dem BKA-Ge­setz ein Schal­ter von "Po­li­zei" auf "Stasi" um­ge­legt wer­den würde. Es geht um die deut­li­che Ent­wick­lung in Rich­tung gro­ßer Da­ten­samm­lun­gen und weit­rei­chen­der, schlecht kon­trol­lier­ter Be­fug­nis­se durch ein zen­tra­les Macht­in­stru­ment. Und es geht um die suk­zes­si­ve Auf­wei­chung von Grund­sät­zen und Idea­len: Hat man das eine eta­bliert, kann man leicht den nächs­ten Schritt for­dern und durch­set­zen (un­ter­stellt man zu­sätz­lich, daß dies nicht zu­fäl­lig, son­dern ge­wollt ge­schieht, be­zeich­net man das ganze als "Sa­la­mi­tak­tik"). Wohl­wol­lend, sinn­voll und mit Ver­nunft ein­ge­setzt mögen ei­ni­ge der nun er­laub­ten Maß­nah­men in be­stimm­ten Fäl­len sogar nütz­lich sein; aber so­wohl durch Wild­wuchs, un­über­leg­ten Ein­satz als auch (vor allem!) die Ab­stump­fung beim wie­der­hol­ten Ein­satz der Mit­tel füh­ren in eine Rich­tung, wel­che die Ähn­lich­keit mit den Da­ten­samm­lun­gen der Stasi immer grö­ßer wer­den läßt. Für letz­te­res gibt es lei­der be­reits reich­lich Bei­spie­le, sol­che Be­fürch­tun­gen sind alles an­de­re als abs­trakt oder weit her­ge­holt sind.

Aus der Pres­se

In Blogs und Zei­tun­gen ist viel Wut, Kri­tik und Frust über die Ver­ab­schie­dung des Ge­set­zes zu lesen. Be­son­ders ins Auge ge­fal­len ist mir der Kom­men­tar "Se­hen­den Auges in den Über­wa­chungs­staat" von Kai Bier­mann, ver­öf­fent­licht in der Zeit. Er fragt: "Wem ist vor­zu­wer­fen, dass ein sol­ches Ge­setz ohne große Än­de­run­gen die de­mo­kra­ti­schen Gre­mi­en pas­siert hat?" - und re­sü­miert:

"Wir haben zu wenig getan, um es zu ver­hin­dern. Dabei war es noch nie so leicht, po­li­tisch Ein­fluss zu neh­men. (...) Wer ent­setzt ist, wie leicht es war, so viele Über­wa­chungs­in­stru­men­te und Ein­grif­fe in die Grund­rech­te per Ge­setz zu ver­ord­nen, der muss sich fra­gen las­sen, was er getan hat, um es zu ver­hin­dern. Wir sind selbst ver­ant­wort­lich. Wir alle, die es se­hen­den Auges haben ge­sche­hen las­sen."

Er pro­kla­miert, daß zu viele Leute sich al­len­falls im Stil­len ge­är­gert haben, an­statt laut­stark zu pro­tes­tie­ren. Dabei gäbe es neben den klas­si­schen Mit­teln wie Brie­fen an Ab­ge­ord­ne­te und De­mons­tra­tio­nen heut­zu­ta­ge ein wei­te­res In­stru­ment ("mög­li­cher­wei­se das mäch­tigs­te von allen"), um auf die Po­li­tik Ein­fluß zu neh­men: Das In­ter­net.

Ich muß wi­der­spre­chen. Zu­nächst ein­mal ste­hen bei uns keine Bun­des­tags­wah­len an, bei denen jeder ein­zel­ne Wäh­ler "be­kehrt" wer­den muß. Es geht hier nicht um Stim­men­fang, son­dern um die Über­zeu­gung des Ka­bi­netts und der Ab­ge­ord­ne­ten. Das macht den Oba­ma-Ver­gleich des Kom­men­tars hin­fäl­lig.

Und den­noch sche­ren sich un­se­re Volks­ver­tre­ter kei­nen Deut um die Mei­nung des Vol­kes, das sie ver­tre­ten. Ich möch­te den Ball zu­rück­spie­len: Die an­er­kann­te, re­no­mier­te deut­sche Pres­se hat min­des­tens im glei­chen Maße ver­sagt. Oft war sie wil­li­ges Sprach­rohr für die Be­für­wor­ter von On­line-Über­wa­chung und Vor­rats­da­ten­spei­che­rung. Be­reit­wil­lig hat sie die Ter­ror-Pa­nik mit­ge­schürt. Ne­ga­tiv-Auf­rei­ßer ver­kau­fen sich gut (ich be­haup­te, daß die Ban­ken­kri­se ein gutes Stück des­halb eine Ban­ken­kri­se ist, weil sie von so vie­len her­bei­ge­re­det wurde) - im Som­mer­loch waren Da­ten­skan­da­le ein guter Lü­cken­bü­ßer, aber nun gibt es ja wie­der wich­ti­ge­re The­men. Er­schwe­rend kommt noch hinzu: Mit ne­ga­ti­ven Schlag­zei­len ge­flu­te­te Leser wer­den dröge, ein­ge­lullt von vie­len schlech­ten Neu­ig­kei­ten. Sie füh­len sich an wie eine immer schwe­rer wer­den­de Last, ein Druck, der von allen sei­ten kommt und gegen den man sich nicht weh­ren kann. Wo ist da noch Platz für Mo­ti­va­ti­on? Die Po­li­tik hat die Zei­chen si­cher er­kannt: Es ist mit Si­cher­heit kein Zu­fall, daß der Ka­bi­netts- und der Bun­des­tags­be­schluß an den Tagen fiel, an denen der Blick der deut­schen Me­di­en auf den Wahl­sieg Oba­mas und die Hi­obs­bot­schaf­ten der Wirt­schafts­wei­sen ge­rich­tet war.

Der Kom­men­tar endet mit einem Auf­ruf "Letzt­lich geht es darum, das Sys­tem zu ha­cken, aus­zu­pro­bie­ren, was mit ihm mög­lich ist, was es noch alles kann, wie es bes­ser wer­den könn­te. Also: Hack die Po­li­tik!" Ich frage mal ganz po­le­misch zu­rück (ohne ein täg­li­cher Leser der Zeit zu sein; aber ich be­fürch­te, ich kenne die Ant­wor­ten auf meine Fra­gen): Auf wel­cher Seite war denn die Be­richt­er­stat­tung über De­mons­tra­tio­nen wie "Frei­heit statt Angst"? Wie pro­mi­nent wur­den die Pres­se­mit­tei­lun­gen des AK Vor­rats­da­ten­spei­che­rung pla­ziert (wenn über­haupt)? Wie aus­führ­lich und wie häu­fig war denn die Be­richt­er­stat­tung über das Ru­mo­ren in der "Blo­gosphä­re" und die Ak­tio­nen wie die Sta­si-2.0-T-Shirts? Im­mer­hin sind noch knapp 40% der Bun­des­bür­ger ohne In­ter­net...

Die Ak­tio­nen waren mei­ner Mei­nung nach viel­fäl­tig; viel­leicht war es trotz­dem zu wenig. Den­noch: Po­li­ti­scher Druck ent­steht erst dann, wenn die gro­ßen Me­di­en das Thema wie­der­holt und an pro­mi­nen­ter auf­grei­fen - dazu ge­hö­ren die Nach­rich­ten und Re­por­ta­gen der öf­fent­lich-recht­li­chen Sen­der, Zei­tun­gen wie Focus und Spie­gel, sowie re­no­mier­te über­re­gio­na­le Ta­ges­zei­tun­gen, zu denen auch die Zeit ge­hört...

Und nun?

Auch, wenn Herr Schäu­b­le ver­sucht, ein "das war's" zu kom­mu­ni­zie­ren: Das war's noch nicht! Ei­ni­ge Ab­ge­ord­ne­te haben schon an­ge­kün­digt, vors Bun­des­ver­fas­sungs­ge­richt zu zie­hen. Pes­si­mis­tisch ge­sagt wird das auch si­cher nicht das letz­te Ge­setz aus Schäu­bles Feder ge­we­sen sein. Op­ti­mis­tisch ge­sagt sind sol­che Ge­set­ze nicht in Stein ge­mei­ßelt und las­sen sich auf­he­ben. Des­halb muß der Pro­test wei­ter­hin hör­bar und sicht­bar blei­ben!

Ah, die Über­schrift: Das "Nar­ren­schiff" be­zieht sich auf das gleich­na­mi­ge Lied von Rein­hard Mey. Wer's nicht kennt: An­hö­ren! Sehr tref­fend. Lei­der immer noch.

WPA scheint nun das selbe Schick­sal wie sein Vor­gän­ger WEP zu er­ei­len: For­schern ist es ge­lun­gen, in­ner­halb von 15 Mi­nu­ten ein WPA-Pa­ket zu ent­schlüs­seln. Die Mel­dung geis­tert schon seit gut einer Woche durch di­ver­se Blogs, doch da auch hier auf "De­tails in der kom­men­den Pu­bli­ka­ti­on" ver­trös­tet wurde, habe ich noch ge­war­tet... (Edit: Die Ver­öf­fent­li­chung steht nun zum Down­load)

Die große Ko­ali­ti­on ei­nig­te sich heute abend auf neues BKA-Ge­setz - samt heim­li­cher On­line-Durch­su­chung. Die Pri­vat­sphä­re der Be­trof­fe­nen soll bei letz­te­rer durch ein zwei­stu­fi­ges Ver­fah­ren ge­si­chert wer­den: Zu­nächst muß ein Rich­ter die On­line-Durch­su­chung an­ord­nen. Nach der Da­ten­er­fas­sung wer­den diese von zwei BKA-Be­am­ten und einem Da­ten­schutz­be­auf­trag­ten des BKA durch­ge­se­hen, ob darin der "Kern­be­reich pri­va­ter Le­bens­ge­stal­tung" ver­letzt wurde.

Big Brother Awards 2008

Nicht an­zu­fech­ten war je­doch die Plat­zie­rung der Te­le­kom: Den Preis er­hielt sie für die Aus­wer­tung von Ver­bin­dungs­da­ten zur Be­spit­ze­lung ihrer Auf­sichts­rä­te und von Jour­na­lis­ten (er­staun­lich: Ein Te­le­kom-Ver­tre­ter nahm den Preis per­sön­lich ent­ge­gen). Dar­über hin­aus hatte die Te­le­kom die­ses Jahr noch mehr Schlag­zei­len: So wurde der Ver­lust von 17 Mil­lio­nen Kun­den­da­ten von 2006 lange ver­schlei­ert (sehr ver­trau­ens­er­we­ckend: Die Daten wur­den schlie­ß­lich bei einer Ero­tik­fir­ma si­cher­ge­stellt). Au­ßer­dem konn­te man bis vor kur­zem die Kun­den­da­ten der Te­le­kom via In­ter­net ein­se­hen und ver­än­dern - die Schutz­me­cha­nis­men waren laut Spie­gel sehr ge­ring.

Mög­li­cher­wei­se wäre die Be­grün­dung der Jury noch ein wenig an­ders aus­ge­fal­len, wäre der Preis zwei Tage spä­ter ver­lie­hen wor­den: Am Tag nach der Preis­ver­lei­hung wurde be­kannt, daß nicht nur Vor­stän­de und Jour­na­lis­ten, son­dern auch die Han­dy­ver­bin­dun­gen ei­ge­ner Mit­ar­bei­ter be­spit­zelt hat. Da wun­dert es mich schon fast, daß der Pu­bli­kums­preis nicht an die Te­le­kom, son­dern an den Eu­ro­päi­schen Mi­nis­ter­rat ging...

(Bild (CC) by Peter Eh­ren­traut)

Mit­glie­der des Chaos Com­pu­ter Club hat­ten die Kom­mu­nal­wahl in Bran­den­burg am 28.9. be­ob­ach­tet. Bei die­ser Wahl kamen (in den Nie­der­lan­den in­zwi­schen nicht mehr zu­ge­las­se­nen) NE­DAP-Wahl­com­pu­ter zum Ein­satz. Der Be­richt über die Be­ob­ach­tun­gen wurde ges­tern ver­öf­fent­licht: Die­ser liest sich wie eine An­ein­an­der­rei­hung von teil­wei­se haar­sträu­ben­den Pan­nen. Sehr deut­lich wird auch das Auf­ein­an­der­tref­fen von Theo­rie und Pra­xis bei der Be­nut­zer­freund­lich­keit und der Zeit­er­spar­nis: Häu­fig kam es zu Be­die­nungs­pro­ble­men, mit­un­ter bil­de­ten sich län­ge­re Schlan­gen an den Stimm­com­pu­tern, da die Stimm­ab­ga­be so lange dau­er­te.

Ein Ent­wick­ler der Firma Tur­bocrypt be­rich­tet von einem "neuen An­griff" auf ver­schlüs­sel­te Fest­platt­an; mit Hilfe der von ihm "com­pa­ri­son at­tack" ge­tauf­ten Me­tho­de könne man beim Ver­gleich einer Plat­te mit einem Back­up ohne Kennt­nis des Schlüs­sels Rück­schlüs­se auf die Daten zie­hen. In einem Bei­spiel für den An­griff führt er vor, wie durch das Über­la­gern von zwei ver­schlüs­sel­ten (un­kom­pri­mier­ten) Schwarz­weiß-Bit­maps das Or­gi­nal­mo­tiv sche­men­haft wie­der sicht­bar wird.

1111 Tage…

...​ist die­ses Blog in­zwi­schen alt :-)

Keine Bilder für Google Street ViewGoog­le Street View er­laubt es dem Be­nut­zer von Goog­le Maps, nicht nur einen Blick vom Sa­tel­lit auf eine Ge­gend zu wer­fen - man kann sich auch aus Per­spek­ti­ve der Stra­ße rings­her­um um­se­hen. Dazu fährt Goog­le die Stra­ßen ab und fer­tigt alle zig Meter Fotos in meh­re­re Rich­tun­gen an. Was auf den ers­ten Blick eine nette Spie­le­rei ist (hey, schon mal das Hotel an­gu­cken, wohin die nächs­te Reise führt), führt rasch übers voye­ris­ti­sche zur Ver­let­zung von Per­sön­lich­keits­rech­ten. Die Goog­le-Au­tos er­wi­schen alles: Vom Fahr­rad­sturz des Ju­ni­ors und son­nen­ba­den­de, bar­bu­si­ge Schön­hei­ten, über Nase­boh­rer und tie­fen Ein­bli­cken in die Un­ter­wä­sche bis hin zu Stri­plo­kal-Kun­den, Ein­bre­chern und Schie­ße­rei­en auf of­fe­ner Stra­ße. In Schles­wig-Hol­stein weh­ren sich Da­ten­schutz­ak­ti­vis­ten gegen die nun auch dort her­um­fah­ren­den Goog­le-Street­view-Cars; das Lan­des­zen­trum für Da­ten­schutz hält die Er­fas­sung für rechts­wid­rig. Auf­grund der Pro­tes­te hat Goog­le das Pro­jekt vor­erst zu­rück­ge­stellt.

Be­reits die hohe Auf­lö­sung der Sa­tel­li­ten­bil­der von Goog­le Maps ist ein zwei­schnei­di­ges Schwert: Auf der einen Seite gibt es si­cher eine Reihe sehr sinn­vol­ler An­wen­dun­gen, auf der an­de­ren Seite treibt es merk­wür­di­ge Blü­ten wie die Spon­tan-Pool-Par­ties (ohne Ein­ver­ständ­nis der Be­sit­zer). Goog­le Street View er­öff­net eine wei­te­re Di­men­si­on an De­tails: Die An­sich­ten geben Aus­kunft über den Wohl­stand des Wohn­ge­biets, Zu­stand der Häu­ser oder Ein­bruchs­mög­lich­kei­ten.

Google Street View AutoIch bin kein Ju­rist, je­doch habe ich mich ein wenig mit dem "Recht am Bild" aus­ein­an­der­ge­setzt. Die all­ge­mei­nen Re­ge­lun­gen für Fotos gel­ten für den öf­fent­li­chen Raum (auf Pri­vat­grund­stück kann der In­ha­ber des Haus­rechts wei­te­re Be­schrän­kun­gen vor­neh­men - so kann der Ver­an­stal­ter von Kon­zer­ten bei­spiels­wei­se das Fo­to­gra­fie­ren gänz­lich un­ter­sa­gen). Hier gilt, daß Ge­bäu­de fo­to­gra­fiert wer­den dür­fen, so­fern sie frei ein­sich­tig sind - was ja bei Googles Ka­me­ra­au­tos ge­ge­ben ist; Aus­nah­men gel­ten für Kunst­wer­ke (Bei­spiel: Bil­der vom Ver­hüll­ten Reichs­tag). Sind Per­so­nen auf dem Bild er­kenn­bar, so sind diese vor Ver­öf­fent­li­chung um Ein­ver­ständ­nis zu fra­gen - sie be­sit­zen ein Recht am eig­ne­nen Bild. Aus­nah­men gibt es für Per­so­nen des öf­fent­li­chen In­ter­es­ses, wenn die Per­so­nen nur als "Bei­werk" er­schei­nen (Bei­spiels­wei­se bei Land­schafts­auf­nah­men) oder bei Ver­samm­lun­gen oder Um­zü­gen, an denen man teil­ge­nom­men hat (hier haben die Teil­neh­mer damit zu rech­nen, daß sie fo­to­gra­fiert wer­den).

Goog­le könn­te mei­ner Mei­nung nach al­len­falls ver­su­chen, sich auf die Bei­werk-Klau­sel zu be­ru­fen; al­ler­dings ent­ste­hen die Bil­der au­to­ma­tisch und ohne Be­wer­tung durch einen Men­schen, so daß es sehr wahr­schein­lich ist, daß ein Mensch bei einem Bild sehr wohl in den Vor­der­grund rückt - egal, ob dies nun zu­fäl­lig ge­schieht oder nicht. Egal, wie die Rechts­la­ge genau aus­sieht: Ich meine, daß mit Goog­le Street View die Linie des guten Ge­schmacks und dem Re­spekt vor der Pri­vat­sphä­re an­de­rer deut­lich über­schrit­ten ist - und ich wäre froh, wenn sich Goog­le hier ein ju­ris­ti­sches blau­es Auge ein­fängt.

(Foto von by­ri­on)

Die Schlag­zei­le, TCP hätte ein ernst­haf­tes Pro­to­koll­pro­blem macht er­war­tungs­ge­mäß die Runde im Netz. Ei­ni­ge Mel­dun­gen sind mehr oder min­der pa­nisch, man­che be­inhal­ten un­glaub­lich dumme Rat­schlä­ge (SYN-Coo­kies de­ka­ti­vie­ren - argh!)... die meis­ten sind zum Glück aus­rei­chend be­son­nen und wer­den erst ein­mal bis zur voll­stän­di­gen Ver­öf­fent­li­chung der De­tails ab­war­ten, bevor sie ein end­gül­ti­ges Ur­teil ab­ge­ben. Nun kom­men­tiert auch Fyo­dor, der Autor des Netz­werk­scan­ners nmap die An­kün­di­gung.

An den we­ni­gen Posts der letz­ten Wo­chen läßt sich leicht er­ah­nen, daß ich bis über beide Ohren in Ar­beit ste­cke - aber die Schlag­zei­le "dead­ly TCP de­ni­al-of-ser­vice at­tack - TCP bro­ken bey­ond re­pair?" hat mich dann doch auf­hor­chen las­sen. Die Ent­wi­cker des Port­scan­ners Uni­corn­scan sind auf (meh­re­re?) neue An­griffs­vek­to­ren auf TCP ge­sto­ßen; De­tails wol­len sie auf der T2-Kon­fe­renz Mitte Ok­to­ber 2008 in Hel­sin­ki vor­stel­len, ei­ni­ge grobe In­for­ma­tio­nen konn­te man die­sem Pod­cast-In­ter­view ent­neh­men (Seite si­cher bald ge-slash­dot-tet, hier die Epi­so­de im Coral Cache; das eng­lisch­spra­chi­ge In­ter­view be­ginnt bei 5:50 Mi­nu­ten und dau­ert ca. 35 Mi­nu­ten).

Goog­le hat seine Web­brow­ser-Ent­wick­lung "Goog­le Chro­me" ver­öf­fent­licht - nach alter Fir­men­tra­di­ti­on als "Beta"-Ver­si­on. Die ers­ten Test­mel­dun­gen über­schla­gen sich: Goog­le Chro­me wäre so­wohl beim Sei­ten­auf­bau als auch beim Aus­füh­ren von Ja­va­Script der schnells­te Brow­ser. Nach knapp 24 Stun­den kamen dann aber die ers­ten Ne­ga­tiv-Mel­dun­gen: Mit dem Da­ten­schutz geht Goog­le reich­lich gro­ßzü­gig um - unter der Hoch­glanz-Ober­flä­che lau­ert so man­che übel­rie­chen­de Tret­mi­ne.

"Apple ver­kauft weder Soft­ware noch Hard­ware, son­dern Mo­de-Ac­ces­soires und tro­ja­ni­sche Pfer­de." - So hat sich un­längst ein Be­kann­ter von mir über Apple ge­äu­ßert. Und die Aus­sa­ge ist nicht von der Hand zu wei­sen: Apple nutzt Hard­ware- und Soft­ware­don­gles an allen Ecken und Enden, um die Be­nut­zer ge­eig­net zu er­zie­hen - ent­spre­chend der ei­ge­nen Vor­stel­lun­gen. MacOS läuft nur auf Rech­nern von Apple (die haben das ge­eig­ne­te Don­g­le ein­ge­baut), über den iTu­nes-Store wird flei­ßig Musik mit DRM ("Ko­pier­schutz") ver­kauft. Der iPod ak­zep­tiert nur noch von Apple zer­ti­fi­zier­te Er­wei­te­rungs­ge­rä­te, Musik läßt sich so­wie­so nur mit iTu­nes hoch­la­den. Auch das iPho­ne führt nur die Soft­ware aus, von der auch Apple es will - ein­zi­ge Auf­spiel­mög­lich­keit ist im Re­gel­fall wie­der der app­le-ei­ge­ne App-Store. Und um allen wi­der­spens­ti­gen Nut­zern bei­zu­kom­men (so wurde heute be­kannt), be­sitzt Apple auch die Mög­lich­keit, Pro­gram­me auf allen iPho­nes zu lö­schen.

PHP wird von man­chen Per­so­nen­krei­se als "per se un­si­cher" ver­schrien; un­glück­li­cher­wei­se sind die meis­ten Web­an­wen­dun­gen in PHP ge­schrie­ben, so daß die­je­ni­gen, die PHP ver­mei­den wol­len, eine sehr ein­ge­schränk­te Aus­wahl an Soft­ware haben. Im­mer­hin gibt es unter die­sen Leu­ten nicht nur Nörg­ler, son­dern auch Be­stre­bun­gen, die Si­tua­ti­on zu än­dern: So gibt es als Re­ak­ti­on dar­auf die­ses Job­an­ge­bot, einen Web­shop in Py­thon zu ent­wi­ckeln - vor­zugs­wei­se mit Djan­go, Ruby mit Rails ist als Op­ti­on aber auch nicht aus­ge­schlos­sen.

Pig­zip

Noch mehr Fe­ri­en-Fun-Pro­gramm :-) Aber nach­dem ich ge­ra­de an Kom­pres­si­ons­pro­ble­men ar­bei­te, habe ich hier­über be­son­ders la­chen müs­sen:

In den 70ern schon ein­mal en vogue ge­we­sen, fin­det man heute wie­der das eine oder an­de­re Ex­pe­ri­ment damit: Bin­au­ra­le Ton­auf­nah­men, ent­we­der mit Kunst­kopf oder mit Mi­kro­fo­nen, die wie Kopf­hö­rer im Ohr ge­tra­gen wer­den. Hört man sich sol­che Auf­nah­men wie­der mit Kopf­hö­rern an, er­lebt man einen sehr plas­ti­schen und räum­lich gut auf­ge­lös­ten "3D"-Klang. Wer's mal aus­pro­bie­ren will: Hier gibt es einen vir­tu­el­len Haar­schnitt. Wer star­ke Ner­ven hat, kann auch mit Boris den Zahn­arzt be­su­chen.

Vergleich MacBook Air und Commodore SX-64

Über Sinn und Un­sinn des MacBook Airs wurde ja schon viel dis­ku­tiert und ge­läs­tert. Zu­kunfts­wei­sen­des Pro­dukt oder ein pra­xis-un­taug­li­cher Mo­de­ar­ti­kel? Jeder, wie er meint. Bei "The Re­gis­ter" kann man einen (nicht ganz ernst ge­mein­ten) Ver­gleich zwi­schen dem MacBook Air und dem Com­mo­do­re SX-64 lesen :-)

In jedem Fall ist die Tech­nik und Bau­wei­se so un­ge­wöhn­lich, daß sie neben Stau­nen auch mal Mi­ß­trau­en her­vor­ru­fen kann - so wurde die­ser Mensch in der Si­cher­heits­kon­trol­le des Flug­ha­fens fest­ge­hal­ten, da sein MacBook Air ver­däch­tig er­schien: Keine Ports, keine Fest­plat­te, nur ir­gend­wel­che merk­wür­di­ge Elek­tro­nik darin... der Si­cher­heits­be­am­te kann­te das noch nicht, und alle Be­teue­run­gen und Er­klä­run­gen hal­fen nichts: Der Flug war weg.

(Bild: © The Re­gis­ter)

Ur­laub :-)

Hier wird es die nächs­te Zeit ein klein wenig ru­hi­ger wer­den - ich habe Ur­laub. Auch vom Blog­gen. :-)

Wie be­reits ges­tern er­wähnt, waren die Pa­ßda­ten meh­re­rer Ein­woh­ner­mel­de­äm­ter frei im Netz ab­ruf­bar. In­zwi­schen ist die Fern­seh­sen­dung ge­lau­fen, und all­mäh­lich kom­men mehr De­tails ans Licht. Was je­doch im Dun­keln bleibt, ist die Liste der Städ­te, die be­trof­fen waren - und damit auch der Bür­ger, der nun keine Ah­nung hat, ob seine Daten für Drit­te ein­seh­bar waren.

Heise weist auf einen Bei­trag der Sen­dung "Re­port aus Mün­chen" (heute, 21:45h im Ers­ten) hin. Deren Re­cher­chen nach waren die Daten der Bür­ger aus rund 200 Städ­ten frei im In­ter­net zu­gäng­lich - und das (laut Aus­sa­ge der Soft­ware­fir­ma) seit März die­sen Jah­res. Die Zu­gangs­da­ten stan­den bei der ver­ant­wort­li­chen Soft­ware­fir­ma auf deren Home­page. Von etwa einer halbe Mil­li­on Bür­gern waren Adres­sen, Re­li­gi­ons­zu­ge­hö­rig­keit und Paß­bild ab­ruf­bar.

Ich gra­tu­lie­re. In dem Mo­ment, wo Da­ten­samm­lun­gen exis­tie­ren, be­steht die Ge­fahr von Miß­brauch und Da­ten­pan­nen. Die Pa­ßda­ten (wel­che ja bei den Ein­woh­ner­mel­de­äm­tern er­ho­ben wer­den) sind ja be­reits jetzt von Er­mitt­lungs­be­hör­den on­line ab­ruf­bar - nur daß der Zu­griff etwas frei­er als ge­plant ist, war wohl nicht im Sinne des Er­fin­ders.

Backtrack 3 Logo

Ein schö­nes Bei­spiel hier­für ist das Steh­len von Coo­kies (am ein­fachs­ten in einem WLAN), wie man es im "Trai­ler" für die CD sehen kann. Un­glück­li­cher­wei­se sind es ge­ra­de sol­che Demos, wes­halb Pro­gram­me die­ser Art als "evil ha­x0r-t00lz" be­schimpft wer­den - lie­ber die Augen ver­schlie­ßen und die Ge­fah­ren igno­rie­ren...

Nun also doch: Nach­dem es so aus­sah, als ob das schwe­di­sche Über­wa­chungs­ge­setz doch noch kip­pen würde, wurde die "Lex Or­well" doch ver­ab­schie­det - unter hef­tigs­tem Druck auf die Ab­ge­ord­ne­ten (Frak­ti­ons­zwang, Ham­mel­sprung und An­dro­hung von Kon­se­quen­zen für "po­li­ti­sches Fehl­ver­hal­ten") und nach ei­ni­gen kos­me­ti­schen Än­de­run­gen. Ab kom­men­dem Jahr darf der Ge­heim­dienst an­la­ß­un­ab­hän­gig und ohne die Mit­spra­che eines Rich­ters sämt­li­che Aus­lands­ver­bin­dun­gen ab­hö­ren und in­halt­lich aus­wer­ten - das be­trifft Te­le­fo­na­te, Faxe, SMS-Nach­rich­ten ge­nau­so wie E-Mail oder an­de­re In­ter­net­diens­te. Jeder, der weiß, wie das In­ter­net funk­tio­niert, sieht so­fort, daß damit auch so­wohl in­ner­schwe­di­sche als auch rein au­ßer­schwe­di­sche Kom­mu­ni­ka­ti­on be­trof­fen sind: Das Rou­ting im In­ter­net küm­mert sich nicht um Lan­des­gren­zen, und gerne nimmt ein Paket mal die "Au­ßen­bahn" um den hal­ben Glo­bus.

Hier noch ein klei­ner Rück­blick auf die Po­di­ums­dis­kus­si­on vom letz­ten Mon­tag. Kurz ge­fa­ßt: Ich fand die Ak­ti­on super - es ist toll, wenn eine Schu­le sich so be­müht, um Schü­lern In­for­ma­tio­nen über das nicht ganz un­kom­pli­zier­te Thema zu­kom­men zu las­sen. Auch war es si­cher nicht ganz ein­fach, ent­spre­chen­de Ge­sprächs­part­ner (und mit denen einen ge­mein­sa­men Ter­min) zu fin­den - letzt­lich saßen neben mir auf dem Po­di­um zwei Schü­ler, ein Ver­tre­ter der Ulmer Po­li­zei sowie zwei An­wäl­te einer Ulmer Kanz­lei. Die Dis­kus­si­on war an­ge­regt, aber stets auf einer sach­li­chen Ebene. Die an­dert­halb Stun­den ver­gin­gen ruck-zuck, es war viel zu wenig Zeit, all die of­fe­nen Fra­gen an­zu­spre­chen.

eBook Urheberrecht

Jeder Teil des Bu­ches glie­dert sich in kurze Ka­pi­tel mit je we­ni­gen Sei­ten, die rasch zu lesen sind. Sehr er­freu­lich: In allen Ka­pi­teln wer­den nicht nur die klas­si­schen Li­zen­zen, son­dern auch die Crea­ti­ve-Com­mons (und an­de­re freie) Li­zen­zen wer­den an­ge­spro­chen und kon­se­quent als Al­ter­na­ti­ve zu den alt­her­ge­brach­ten Mo­del­len dar­ge­stellt.

Auch wenn man im ers­ten Mo­ment viel­leicht nicht daran denkt: Auch die wei­te­ren Ka­pi­tel be­inhal­ten für den Hob­by­is­ten in­ter­es­san­te In­for­ma­tio­nen. So fin­det man bei­spiels­wei­se Hin­wei­se über das "Recht am Bild" - wann darf ich wel­ches Foto ver­öf­fent­li­chen - eben­so wie In­for­ma­tio­nen über Pla­gia­te und die Ge­fahr des leicht­fer­ti­gen Ge­brauchs von Bild­ma­te­ri­al aus dem Netz (Stich­wort: Ma­ri­ons Koch­buch). Der The­ma­tik von Fan­sei­ten wid­met sich eben­falls ein se­pa­ra­tes Ka­pi­tel. Auch für wei­te­re Fall­stri­cke wie Stadt­plan­aus­schnit­te fin­det sich ein ei­ge­ner Ab­schnitt.

Alles in allem lohnt es sich wirk­lich, in dem Buch zu stö­bern. Die Ar­ti­kel sind so ge­schrie­ben, daß sie für jung und alt (und ohne ju­ris­ti­sche Vor­bil­dung) leicht ver­ständ­lich sind - mit den In­for­ma­tio­nen, die man hier­in fin­det, kann man sich im Falle eines Fal­les eine Menge Ärger er­spa­ren.

(via netz­po­li­tik.​org)

Plakat Podiumsdiskussion

Die fol­gen­den Ar­ti­kel sind als "Wri­te-up" der ge­sam­mel­ten Fak­ten ent­stan­den:

Pro­ble­me bei der Be­wei­ser­fas­sung von P2P-De­lik­ten - über die Schwie­rig­kei­ten, wel­che die Straf­ver­fol­ger bei der Ver­fol­gung von Ur­he­ber­rechts­ver­let­zun­gen in Tau­sch­net­zen haben (und wie un­be­schol­te­ne Bür­ger Quer­schlä­ger davon ab­be­kom­men)

Ur­he­ber­recht im All­tag - die­ses eBook er­schien wie aufs Stich­wort zu den ge­wünsch­ten The­men. Hier fin­det man leicht ver­ständ­lich Ant­wor­ten zu The­men wie der Le­ga­li­tät von Pri­vat­ko­pi­en, dem Ver­wen­den von Bil­dern und Tex­ten auf der ei­ge­nen Web­sei­te, usw.

Schon im Fe­bru­ar hatte der Ar­beits­kreis Vor­rats­da­ten­spei­che­rung Be­rich­te von Bür­gern ver­öf­fent­licht, wie sich ihre Ge­wohn­hei­ten durch die Vor­rats­da­ten­spei­che­rung än­dern. Nun zeigt auch eine ak­tu­el­le For­sa-Um­fra­ge, daß die Vor­rats­da­ten­spei­che­rung das Kom­mu­ni­ka­ti­ons­ver­hal­ten be­ein­flu­ßt. Bei­des sind gute Be­le­ge dafür, wie stark die VDS in die Per­sön­lich­keits­rech­te be­ein­träch­tigt.

Ein Mo­ment der Ge­dan­ken­lo­sig­keit, und schon sind Mo­na­te der Ar­beit für die Katz. Das gilt auch für Spio­na­ge­krei­se. Vor ein paar Tagen wun­der­te sich f-se­cu­re über ei­ni­ge PDFs, die ihnen über einen On­line-Scan­ner zum Tes­ten zu­ge­sandt wur­den. Beim Öff­nen des ers­ten PDFs zeig­te der Ar­co­bat Re­a­der zwar ein PDF an, im Hin­ter­grund nis­te­te sich zeit­gleich eine Hin­ter­tür ein. Die Hin­ter­tür ver­such­te, mit einem Rech­ner in China Kon­takt auf­zu­neh­men. Die ei­gent­li­che Über­ra­schung be­fand sich in einem wei­te­ren PDF-File: Die Pay­load war... das Pro­gramm zum Er­zeu­gen sol­cher tro­ja­ni­scher PDF-Da­tei­en!

Das Tool ist eben­falls auf chi­ne­sisch... ir­gend­je­mand in China wird für diese Ak­ti­on si­cher tüch­tig Prü­gel be­zie­hen ;-)

(via Fefes Blog)

Mit kur­zem Nach­den­ken kann man sel­ber dar­auf kom­men, aber man über­sieht sie doch leicht: Fo­to­ko­pie­rer. Fron­tal 21 be­rich­tet in der heu­ti­gen Sen­dung über das po­ten­ti­el­le Si­cher­heits­leck mo­der­ner Ko­pie­rer. Längst ar­bei­ten die Ge­rä­te nicht mehr rein op­tisch, son­dern sind viel­mehr in­te­grier­te Com­pu­ter mit Scan- und Druck­ein­heit. Um große Auf­trä­ge zwi­schen­zu­spei­chern, be­sit­zen grö­ße­re Ge­rä­te eine in­ter­ne Fest­plat­te.

Nach der Te­le­kom-Spit­zel­af­fä­re hat der CCC eine Liste mit 10 For­de­run­gen für einen wirk­sa­men Schutz vor Da­ten­ver­bre­chen auf­ge­stellt. "Die der­zei­ti­ge Be­hand­lung von Da­ten­ver­bre­chen als Ka­va­liers­de­likt ist in kei­ner Weise den Fol­gen für den Ein­zel­nen an­ge­mes­sen." - das ist genau meine Rede, und das kann ich (eben­so wie die zehn Punk­te selbst) zu 100% un­ter­schrei­ben.

Heute Nach­mit­tag hatte In­nen­mi­nis­ter Schäu­b­le Ver­tre­ter der Grö­ßen aus der Te­le­kom­mu­ni­ka­ti­ons­bran­che zur Aus­spra­che ein­ge­la­den; Kri­ti­ker be­zeich­ne­ten das Vor­ge­hen be­reits im Vor­feld als "Ein­la­dung zu Kaf­fee und Ku­chen", die meis­ten Ein­ge­la­de­nen schlu­gen die Ein­la­dung aus, um nicht mit dem Ne­ga­tiv-Image der Te­le­kom in Ver­bin­dung ge­bracht zu wer­den. Das Er­geb­nis ist - wie bei einem Kaf­fee­kränz­chen nicht an­ders zu er­war­ten - zahn­los: In zwei Stu­fen soll das Pro­blem dis­ku­tiert wer­den - De­es­ka­la­ti­on an allen Ecken. Und schär­fe­re Ge­set­ze soll es des­we­gen auch nicht geben.

Die Firma Path In­tel­li­gence bie­tet ein Pro­dukt na­mens Foot­Path an, wel­ches de­tail­lier­te Be­we­gungs­pro­fi­le von Kun­den er­stel­len soll. Mit Hilfe spe­zi­el­ler (lokal in­stal­lier­ter) Sen­so­ren soll die ge­naue Po­si­ti­on eines Han­dys (und damit die des Be­sit­zers) durch Tri­an­gu­la­ti­on be­stimmt wer­den; die ein­zel­nen Meß­wer­te sol­len durch die IM­SI-Ken­nung des Han­dys zu Be­we­gunspro­fi­len zu­sam­men­ge­fa­ßt wer­den kön­nen.

T-Ear

Der Brül­ler ist aber, daß nun Wolf­gang "Mr. Vor­rats­da­ten­spei­che­rung" Schäu­b­le den Te­le­kom-Vor­stand nach Ber­lin zi­tiert - um "die Be­deu­tung des Da­ten­schut­zes in Un­ter­neh­men zu stär­ken". Ich male mir ge­ra­de bild­lich aus, wie das Ge­spräch aus­se­hen könn­te (Vor­sicht, Sa­ti­re vor­aus):

René: "Du, Wolle, wir ste­cken da ge­ra­de in der Klem­me... die Pres­se rückt uns auf die Pelle, un­se­re Stühe wa­ckeln - Du machst doch mit der Vor­rats­da­ten­spei­che­rung genau das selbe, was wir ge­macht haben - wie kannst Du da noch so si­cher im Sat­tel sit­zen?"

Wolle: "Tja, alles eine Frage der Übung. Aus­rei­chend pres­se­wirk­sa­me Ab­len­kungs­ma­nö­ver star­ten. Au­ßer­dem ist das alles halb so schlimm, die deut­sche Rechts­spre­chung ori­en­tiert sich ja immer häu­fi­ger an den Vor­bil­dern in den USA, und da haben die Spit­zel von der HP-Sa­che auch nichts zu be­fürch­ten ge­habt."

René: "Könn­test Du uns da trotz­dem un­ter­stüt­zen? Ich denke da an einen klei­nen Be­ra­ter­ver­trag..."

Wolle: "Ach was, bei der Nut­zung von Ver­bin­dungs­da­ten kön­nen wir von euch noch was ler­nen! Schon seit acht Jah­ren... ich wußte ja schon immer, daß die Te­le­kom ein mo­der­nes Un­ter­neh­men mit tech­no­lo­gi­schem Weit­blick ist! René, was hältst Du davon: Könn­te ich statt­des­sen nicht eine Kopie von eurer "Ha­gel­sturm"-Soft­ware haben? Un­se­re Ex­per­ten sind noch auf Jahre hin­aus mit dem Er­stel­len des Bun­de­stro­ja­ners be­schäf­tigt, und so eine Aus­wer­tungs­soft­ware für die Daten der Vor­rats­da­ten­spei­che­rung könn­ten wir gut ge­brau­chen. Und ohne Be­ra­ter­ver­trag gibt's auch keine Ein­trä­ge bei Ab­ge­ord­ne­ten­watch wegen Ne­ben­ein­künf­ten und so..."

;-)

Heise am Mor­gen ver­brei­tet Schmer­zen und Sor­gen: Der Bund Deut­scher Kri­mi­nal­be­am­ter (BDK) for­dert eine zen­tra­le Da­ten­bank für Ver­bin­dungs­da­ten. Ana­log zu den bri­ti­schen Be­stre­bun­gen zur Vor­rats­da­ten­spei­che­rung sol­len die Ver­bin­dungs­da­ten nicht wie bis­her ge­plant beim je­wei­li­gen Pro­vi­der, son­dern in einer zen­tra­len Da­ten­bank in Bun­des­hand ge­spei­chert wer­den. Hin­ter­grund für die For­de­rung ist der ak­tu­el­le Skan­dal bei der Te­le­kom, wo durch Ab­gleich von Ver­bin­dungs­da­ten ein un­dich­tes Loch in der Vor­stands­eta­ge ge­sucht wer­den soll­te (es wur­den die An­schlüs­se des Vor­stands mit Te­le­fon­num­mern von Re­por­tern ab­ge­gli­chen) - der BDK-Vor­sit­zen­de Jan­sen: "Die Te­le­kom-Af­fä­re ist eine Rie­sen­chan­ce für den Da­ten­schutz, die wir nut­zen müs­sen. Es ist doch of­fen­sicht­lich, dass sen­si­ble Kun­den­da­ten bei pri­va­ten Un­ter­neh­men mehr als schlecht auf­ge­ho­ben sind."

Der Vor­fall er­eig­ne­te sich 2005 und 2006 - da war die Vor­rats­da­ten­spei­che­rung al­len­falls an­ge­dacht. Trotz­dem mußte (und muß auch wei­ter­hin) die Te­le­kom sol­che Ver­bin­dungs­da­ten spei­chern - näm­lich als Beleg für die Ab­rech­nun­gen. Wo Daten an­fal­len, kön­nen auch Daten ge­spei­chert wer­den - die Daten in einer sol­chen ge­for­der­ten zen­tra­len Da­ten­bank wären al­len­falls eine Kopie. Das Miß­brauch­s­po­ten­ti­al re­du­ziert sich da­durch kein bi­ßchen, im Ge­gen­teil: Zu­sätz­lich zu Schnüf­fe­lei­en in­ner­halb des Be­triebs er­öff­net das die Mög­lich­keit der zen­tra­len Schnüf­fe­lei in der zen­tra­len Da­ten­bank - Ge­le­gen­heit macht Diebe, und wo Da­ten­miß­brauch mög­lich ist, wird er auch ge­sche­hen. Aber das wür­den un­se­re in­te­ge­ren und bür­ger­freund­li­chen Diens­te doch nie­mals tun, oder?

Sowas dann auch noch als "Rie­sen­chan­ce für den Da­ten­schutz" zu be­zeich­nen ist der blan­ke Hohn. Der Te­le­kom-Vor­fall zeigt viel­mehr sehr deut­lich, wie ge­fähr­lich sol­che Da­ten­samm­lun­gen sind - un­ab­hän­gig davon, ob sie sich in Fir­men- oder in Staats­hän­den an­häu­fen.

LWN schreibt über eine Si­cher­heits­lü­cke in Word­press, mit deren Hilfe man das Au­then­ti­sie­rungs­sys­tem vie­ler Word­press-In­stal­la­tio­nen um­ge­hen kann, sprich: Der An­grei­fer kann sich als be­lie­bi­ger Be­nut­zer an­mel­den. Si­cher­heits­pro­ble­me bei Word­press sind ja (lei­der) keine Sel­ten­heit, doch die­ser An­griff ist eine so nette Art des Um-die-Ecke-Den­kens, daß ich sie hier näher be­schrei­ben will; da diese Falle für Pro­gram­mie­rer von Web­an­wen­dun­gen nicht of­fen­sicht­lich ist, ist dies si­cher auch für ent­spre­chen­de Ent­wi­cker von In­ter­es­se.

Bletchley Park

Bletch­ley Park ist für mich ir­gend­wie so etwas wie die Wiege der mo­der­nen Kryp­to­gra­phie - im zwei­ten Welt­krieg be­fand sich hier die "Sta­ti­on X", in wel­cher (unter an­de­rem) der Code der Enig­ma ge­bro­chen wurde. Heute be­her­ber­gen die Ge­bäu­de unter an­de­rem ein Mu­se­um über Kryp­to­gra­phie und his­to­ri­sche Com­pu­ter­sys­te­me.

(Foto von Mar­cin Wicha­ry)

The Re­gis­ter ver­weist heute auf eine wis­sen­schaft­li­che Pu­bli­ka­ti­on, in der die For­scher aus den Spie­ge­lun­gen z.B. auf Son­nen­bril­len Bild­schir­min­hal­te re­kon­stru­ier­ten. Der Be­richt feixt etwas über die Ge­wich­tig­keit der "Si­cher­heits­lü­cke"; zu­ge­ge­be­ner­ma­ßen ist der Löf­fel aus dem Jo­ghurtglas neben der Tas­ta­tur kein ernst­haf­tes Si­cher­heits­pro­blem.

"Goog­le-Grün­der ma­chen sich Sor­gen um den Da­ten­schutz" / "Pri­vat­sphä­re der Nut­zer be­droht" - so ti­teln Heise und Golem. Die Goog­le-Grün­der sor­gen sich um die Daten, wel­che die Nut­zer in der ste­tig wach­sen­den Zahl So­ci­al Net­works hin­ter­las­sen. Zum einen blei­ben sol­che Da­ten­spu­ren lange Zeit er­hal­ten und kön­nen so für ein böses Er­wa­chen sor­gen (wir alle ken­nen das Bei­spiel vom Foto des voll­trun­ke­nen Stu­den­ten, das dann bei der Be­wer­bung zum Show­stop­per wird); zum an­de­ren zwingt die Kon­kur­renz der So­ci­al Net­works un­ter­ein­an­der die Be­trei­ber dazu, die Daten immer schnel­ler und agres­si­ver aus­zu­wer­ten und wei­ter­zu­nut­zen, um sich fi­nan­zi­ell über Was­ser zu hal­ten.

Es macht immer wie­der Spaß, ir­gend­wel­che Pro­pa­gan­da-Blogs zu lesen - man fin­det dort die ob­skurs­ten Dinge, man­che zum Wei­nen, man­che zum La­chen, ... so bin ich heute im RFID-Web­log (wird von einer PR-Fir­ma im Auf­trag der RFID-Lob­by ge­führt) auf die­sen Ar­ti­kel ge­sto­ßen, der eine Welt­neu­heit an­preist: Eine RFID-Fire­wall. Das Pro­dukt soll vor "bösen" RFID-Tags schüt­zen, wel­che un­gül­ti­ge Daten oder gar Viren oder An­grif­fe via SQL-In­jec­tion ins Sys­tem ein­schleu­sen wol­len.

Der mo­nat­li­che News­let­ter Cryp­to-Gram fei­ert mit sei­ner gest­ri­gen Aus­ga­be sein zehn­jäh­ri­ges Be­ste­hen. Bruce Schnei­er schreibt darin über ak­tu­el­le Ent­wick­lun­gen in den The­men Kryp­to­gra­phie, Si­cher­heit und Si­cher­heits­po­li­tik. Im Zuge der all­ge­mei­nen Ent­wick­lung er­schei­nen die ein­zel­nen Ar­ti­kel auch in Bruce Schnei­ers Blog - aber den­noch lese ich seine mo­nat­li­che Rund­mail nach wie vor gerne.

De­bi­an (und De­bi­an-De­ri­va­te wie Ubu­ntu) hat ein aku­tes Pro­blem mit OpenS­SL-Schlüs­seln, die nach dem 17.9.2006(!) er­zeugt wur­den: Durch einen De­bi­an-spe­zi­fi­schen Patch sind die ver­wen­de­ten Zu­falls­zah­len so schwach, daß die Schlüs­sel leicht ge­bro­chen wer­den kön­nen und somit die Ver­schüs­se­lung von OpenS­SH, https und vie­len wei­te­ren mehr oder min­der hin­fäl­lig ist. Seit ges­tern exis­tiert ein Pro­gramm zum au­to­ma­ti­schen Bre­chen sol­cher Schlüs­sel - es ist also höchs­te Zeit, sein Schlüs­sel­ma­te­ri­al zu ak­tua­li­sie­ren und auf mög­li­che Ein­brü­che zu prü­fen! Die Ge­schich­te hin­ter dem Bug liest sich üb­ri­gens mehr als gru­se­lig:

Spie­gel be­rich­tet unter der Über­schrift "Wir sind die Guten" über das Bild von Ha­ckern im All­ge­mei­nen und die Ak­ti­vi­tä­ten des CCC im Spe­zi­el­len. Alles in allem zeich­net der Ar­ti­kel ein sehr po­si­ti­ves Bild des Clubs: Er er­nennt ihn gar zum obers­ten Da­ten­schüt­zer - er kann sich pro­vo­kan­te De­mons­tra­tio­nen zu den Miß­brauchs­mög­lich­kei­ten von Da­ten­samm­lun­gen leis­ten, wo­hin­ge­gen Schaar nur "von Amts wegen, meis­tens in der De­fen­si­ve" aus mah­nend den Zei­ge­fin­ger heben kann.

Lovely spam

Wer kennt sie nicht, die zig­dut­zend bis zi­gun­dert Mails, die Tag für Tag die mit An­ge­bo­ten für me­di­zi­ni­sche Prä­pa­ra­te, Kräu­ter­tink­tu­ren und Uh­ren­re­pli­ken ei­ge­ne Mail­box ver­stop­fen: Spam, die Beu­len­pest des In­ter­nets. Der Co­mic­zeich­ner Özi hat aus der Not eine Tu­gend ge­macht und stellt in sei­nem Blog die blu­mi­gen Sprü­che der Spam­mails wort­wört­lich dar; das sieht dann bei­spiels­wei­se so aus:

Seit gut einem Tag klop­fen plötz­lich hun­der­te Rech­ner via ssh an und ver­su­chen, sich als root Zu­tritt zu ver­schaf­fen. Ende letz­ten Jah­res gab es sowas schon ein­mal - er­geht es je­mand aus der wer­ten Le­ser­schaft ähn­lich? Weiß je­mand, ob Rech­ner flä­chen­de­ckend ge­scannt wer­den, oder ob ein­zel­ne Ziele her­aus­ge­pickt wur­den?

Ok, leicht off-to­pic, aber diese Ge­schich­te muß ich ein­fach los­wer­den: John Ash­croft, Ex-Jus­tiz­mi­nis­ter der USA hielt an einem US-Col­le­ge eine An­spra­che über Ame­ri­ka, Ter­ror, Si­cher­heit und Frei­heit (was sonst). Im An­schluß daran konn­ten ihm Fra­gen ge­stellt wer­den; gro­ßes Thema waren na­tür­lich die Vor­wür­fe be­züg­lich Fol­ter durch die CIA (die sich spä­tes­tens durch den von Ash­croft ma­ß­geb­lich mit­be­stimm­ten "Pa­tri­ot Act" dazu le­gi­ti­miert füh­len), ins­be­son­de­re das so­ge­nann­te Wa­ter­boar­ding. Wer noch keine ge­naue Vor­stel­lung davon hat, worum es sich dabei han­delt, soll­te sich un­be­dingt den Spot "The Stuff of Life" von Am­nes­ty In­ter­na­tio­nal an­se­hen; der US-Kon­greß woll­te dies üb­ri­gens ex­pli­zit per Ge­setz ver­bie­ten, je­doch kipp­te Ge­or­ge W. Bush die­ses Ge­setz mit sei­nem Veto.

Eine Grup­pe der Car­ne­gie-Mel­lon-Uni­ver­si­ty hat Er­geb­nis­se über ihre For­schung zur au­to­ma­ti­schen Ge­ne­rie­rung von Ex­ploit-Code aus Pro­gramm­patches pu­bli­ziert - laut einem Be­richt bei Heise ist es ihnen ge­lun­gen, zu­min­dest se­mi­au­to­ma­tisch Ex­ploits zu er­zeu­gen, indem le­dig­lich die Un­ter­schie­de zwi­schen ge­patch­ten und un­ge­patch­ten Pro­gramm­bi­na­ries be­trach­tet wur­den. Die Idee ist recht na­he­lie­gend und nicht neu - be­reits letz­ten Som­mer zeig­te Sabre Se­cu­ri­ty For­schungs­an­sät­ze in die­ser Rich­tung (of­fen­bar setz­ten die For­scher sogar Bin­Diff von Sabre Se­cu­ri­ty selbst ein); al­ler­dings wurde der Grad der Au­to­ma­ti­sie­rung noch­mals deut­lich vor­an­ge­trie­ben.

Eine Perle, auf die ich zu­fäl­lig in einem äl­te­ren Blog-Ein­trag ge­sto­ßen bin: Laut sei­ner Aus­sa­ge hat Herr Wie­fel­spütz ein Buch über die On­line-Durch­su­chung in Ar­beit. Woher hat ein Par­la­men­ta­ri­er aber die Ex­per­ti­se über diese - teils sehr tech­nik­las­ti­gen The­men? Bis dato war ich der Mei­nung (oder bes­ser: in der stil­len Hoff­nung), daß sich die Po­li­ti­ker da von Ex­per­ten be­ra­ten las­sen. Herr Wie­fel­spütz er­klärt aber:

Laut Herrn Schäu­b­le ist ein heim­li­ches Be­tre­ten der Woh­nung kein Wi­der­spruch zum §13 des Grund­ge­set­zes - die­ser sagt: Die Woh­nung ist un­ver­letz­lich. Ein kur­zer, un­be­merk­ter Be­such, um den Bun­de­stro­ja­ner zu in­stal­lie­ren, sei ja keine Durch­su­chung und damit keine Ver­let­zung des Wohn­raums.

Über­trägt man die Schäu­ble­sche Ar­gu­men­ta­ti­on auf den ge­mei­nen Bür­ger, so müßte es doch dem­nach straf­frei sein, sich Zu­tritt zu einer Woh­nung zu ver­schaf­fen - so­lan­ge man nichts an­fa­ßt, ist es doch noch kein Ein­bruch.

Mir bleibt noch immer die Spu­cke weg.

...​stellt man fest, daß man gerne mit zwei­er­lei Maß ur­teilt. Im letz­ten Post habe ich mich über das Pro­blem der Wahr­neh­mung von Pri­va­cy-Pro­ble­men aus­ge­las­sen, und heute schlägt ein Mo­dera­tor von RBB in diese Kerbe - wenn auch in einem an­de­ren Kon­text: Für ein In­ter­view über die Vi­deo­über­wa­chung von Woh­nun­gen hatte der Sen­der den Vor­sit­zen­den des Bun­des­tags-In­nen­aus­schus­ses, Se­bas­ti­an Eda­thy, live zu­ge­schal­tet. Mit sei­ner Er­öff­nungs­fra­ge er­wisch­te der Mo­dera­tor Herrn Eda­thy so kalt, daß die­ser das Ge­spräch mit einem "Was soll denn der Scheiß" ab­brach...

Auf die­ser Seite wur­den meh­re­re "10-Ten"-Pass­wort­lis­ten zu­sam­men­ge­stellt - und re­sü­miert mit der rhe­to­ri­schen Frage, wieso sich Leute über­haupt noch wun­dern, wes­halb ihr Blog "ge­knackt" wird. Ich weiß nicht genau, woher diese Lis­ten kom­men - vor an­dert­halb Jah­ren gab es eine Ana­ly­se über MyS­pace-Pass­wör­ter, die über eine Phis­hing-Sei­te ge­sam­melt wur­den; hier waren die Er­geb­nis­se längst nicht so dra­ma­tisch.

Das Bun­des­ver­fas­sungs­ge­richt ver­kün­det heute das Ur­teil über die Klage gegen die On­line-Durch­su­chun­gen in Nord­rhein-West­fa­len (netz­po­li­tik.​org bloggt live dar­über). Was viele Ex­per­ten schon ge­mut­ma­ßt haben, ist nun of­fi­zi­ell vom Ge­richt be­stä­tigt wor­den: Das Ge­setz ist mit dem Grund­ge­setz un­ver­ein­bar und nich­tig.

RAM abkühlen

Für den di­rek­ten Zu­griff auf das RAM eines lau­fen­den Rech­ners gibt es ver­schie­de­ne An­sät­ze:

Auf das RAM eines lau­fen­den Sys­tems läßt sich je­doch via DMA zu­grei­fen - im De­zem­ber 2004 wurde be­reits de­mons­triert, wie via Fire­wire das RAM eines Sys­tems aus­ge­le­sen wer­den kann; an­de­re Mög­lich­kei­ten sind PCMCIA-Kar­ten oder PCI-Kar­ten auf einem hot­p­lug-fä­hi­gen PCI-Bus.

Auf dem Chaos Com­mu­ni­ca­ti­on Camp 2007 wurde vor­ge­führt, daß auch nach einem Re­boot ein Gro­ß­teil des RAMs er­hal­ten bleibt und so nach dem Schlüs­sel­ma­te­ri­al ge­sucht wer­den kann. Selbst nach dem Aus- und Ein­schal­ten des Lap­top des Re­fe­ren­ten blieb ein gro­ßer Teil der Daten im RAM les­bar.

Die­ses Phä­no­men wurde nun wei­ter un­ter­sucht: Mo­der­nes DRAM bleibt über meh­re­re Se­kun­den ohne Strom sta­bil, und durch Ab­küh­len läßt sich die Zeit auf viele Mi­nu­ten ver­län­gern - sogar so lange, daß man in Ruhe das RAM in eine an­de­ren Rech­ner(!) ein­bau­en und dort den In­halt re­stau­rie­ren konn­te.

Waren bis dato Ser­ver mit einer ver­schlüs­sel­ten Plat­te vor dem Zu­griff Drit­ter na­he­zu si­cher, muß diese An­nah­me nun end­gül­tig re­vi­diert wer­den - zu ein­fach ist die Durch­füh­rung des An­griffs: Mit Druck­luft das RAM ab­küh­len, den Rech­ner via Hard-Re­set (oder Aus- und Ein­schal­ten) neu star­ten, und an­schlie­ßend mit einem ei­ge­nen Boot­me­di­um den Spei­cher nach dem Schlüs­sel für die Fest­plat­te durch­su­chen. Das Pro­blem ist, daß es nur sehr schwer mög­lich ist, sich gegen einen sol­chen An­griff zu schüt­zen.

  • Der Schlüs­sel muß für das lau­fen­de Sys­tem in Greif­wei­te sein - ein Sprei­zen des Schlüs­sels macht den Zu­griff auf die Plat­te höchst im­per­for­mant und er­schwert die Suche le­dig­lich, kann sie aber nicht ver­hin­dern.
  • Spe­zi­el­le Hard­ware-Kryp­to­mo­du­le (wie aus dem Trusted Com­pu­ting be­kannt) könn­ten theo­re­tisch hel­fen - die Fle­xi­bi­li­tät der Soft­ware­lö­sun­gen geht je­doch damit ver­lo­ren.
  • Ein Lö­schen des RAMs durch den Ker­nel beim Her­un­ter­fah­ren oder des BIOS beim Ein­schal­ten kann durch das Küh­len und Um­bau­en um­gan­gen wer­den.

In der Tat, die Op­tio­nen sehen schlecht aus; ernst­haf­te Si­cher­heit ge­währ­leis­tet eine ver­schlüs­sel­te Fest­plat­te nur bei ab­ge­schal­te­ten Sys­te­men (kein Stand­by oder Sus­pend-to-RAM) oder phy­si­ka­li­scher Kon­trol­le über das Sys­tem; letz­te­res ist ge­währ­leis­tet, wenn der Zu­griff zum Rech­ner nicht mög­lich ist oder si­cher­ge­stellt wird, daß beim Re­boot oder dem Öff­nen des Ge­häu­ses das RAM zu­ver­läs­sig ge­löscht wird. Daß das mit dem Um­bau­en in einen an­de­ren Rech­ner funk­tio­niert, hat mich er­staunt und er­schüt­tert...

Das Phä­no­men des lang­sa­men Ver­blas­sens von DRAM-Spei­cher haben die Au­to­ren des Pa­pers (zu­sam­men mit den wei­te­ren Pro­ble­men) in einem Video schön dar­ge­stellt:

Youtube: Lest We Remember: Cold Boot Attacks on Encryption Keys

(via Slash­dot)

Safer Internet Day 2008Heute ist Safer In­ter­net Day, be­reits zum fünf­ten Mal... was es nicht alles gibt (den Sy­s­Ad­min­Day kann­te ich, aber der Safer In­ter­net Day war mir neu) :-)

Der Safer In­ter­net Day ist eine In­itia­ti­ve, die eine si­che­re und ver­ant­wor­tungs­vol­le Nut­zung des In­ter­nets ver­brei­ten will. Dabei geht es um Auf­klä­rung und Ver­brei­tung um In­for­ma­tio­nen - und zwar nicht nur über die In­stal­la­ti­on einer Per­so­nal Fire­wall und eines Vi­ren­scan­ners: Neben der tech­ni­schen Seite geht es auch um Me­di­en­kom­pe­tenz und ein Be­wu­ßt­sein für die Pri­vat­sphä­re.

Was muß ich be­ach­ten, um mei­nen Rech­ner tech­nisch "si­cher" zu ma­chen? Wie sieht es mit dem Wahr­heits­ge­halt von In­for­ma­tio­nen aus dem Netz auf, und wie kann ich die­sen über­prü­fen? Was sind die gän­gi­gen Ma­schen von Be­trü­gern und Bau­ern­fän­gern im Netz? Was soll­te ich im Hin­ter­kopf be­hal­ten, wenn ich per­sön­li­che Daten von mir im Netz (z.B. in so­zia­len Netz­wer­ken) ver­öf­fent­li­che? Wo be­gin­nen Kon­flik­te mit dem Ur­he­ber­recht?

Ich nehme stark an, daß die meis­ten Leser mei­ner Seite dies­be­züg­lich mehr als aus­rei­chend sen­si­bi­li­siert sind... aber für den Lö­wen­an­teil der nicht-Nerd-In­ter­net­nut­zern sind dies sehr wich­ti­ge The­men, bei denen es noch In­for­ma­ti­ons­de­fi­zi­te gibt; diese The­men all­ge­mein­ver­ständ­lich ver­packt an die Öf­fent­lich­keit zu brin­gen ist mei­ner Mei­nung nach sehr wich­tig (was der Grund ist, wes­halb ich auf die­sen Ak­ti­ons­tag ver­wei­se) - ei­gent­lich soll­te sowas auch Be­stand­teil des Lehr­plans in allen Schu­len sein...

Nach­trag: Der Ak­ti­ons­tag ist vor­bei, und die Blog­ger von Mit­ter­nachts­hacking haben die Ak­ti­on näher be­trach­tet. Es kam, wie's bei EU-In­itia­ti­ven so oft kommt: EU-Pro­jek­te zie­hen Lob­by­grup­pen wohl an die Kuh­fla­den die Flie­gen - und so wird das ganze als Platt­form von GVU und Co. ge­nutzt, um "ihre" Form der Wahr­heit zu ver­brei­ten. Sehr scha­de.

Ins­be­son­de­re die Bil­dung der Leh­rer wäre imho sehr wich­tig - die Ent­wick­lung geht immer ra­san­ter und er­fa­ßt vor allem die Ju­gend­li­chen; daher tut eine Wei­ter­bil­dung der Leh­rer hier Not. Al­ler­dings darf die Wei­ter­bil­dung nicht von ir­gend­ei­ner Lob­by­grup­pe durch­ge­führt wer­den (die GVU ist hier sehr gro­ßzü­gig, was In­for­ma­ti­ons­an­ge­bo­te an­geht; eben­so ist Mi­cro­soft sehr ge­ne­rös bei der Aus­stat­tung; die List läßt sich fast be­lie­big fort­set­zen), sonst wird man (wie ein Leh­rer selbst in die­ser Ma­te­ri­al­samm­lung für Leh­rer fest­stellt) sehr leicht vor ir­gend­ei­nen Kar­ren ge­spannt.

Ok, die Mel­dung ist in­zwi­schen end­gül­tig durch alle Blogs durch: Tru­e­crypt 5.0 ist er­schie­nen, und eines der neuen Fea­tures ist die Ver­schlüs­se­lung von (Win­dows)-Sys­tem­par­ti­tio­nen mit einer Pre-Boot-Au­then­ti­ca­ti­on (ein de­tail­lie­re­rer Über­blick fin­det man bei ra­ven­horst). Zu­ge­ge­be­ner­ma­ßen ist dies ein tol­les (und auch wich­ti­ges) Fea­ture - aber es als Mit­tel gegen die Vor-Ort-In­stal­la­ti­on des Bun­de­stro­ja­ners (oder an­de­re lo­ka­le An­grif­fe) an­zu­prei­sen ist lei­der ver­kehrt.

Die Em­pö­rung ging ges­tern durch die Pres­se (SWR3, Heise, Golem) und di­ver­se Blogs (z.B. Lu­na­tic Frin­ge, Law­blog, Mit­ter­nachts­hacking): Eine Mut­ter be­such­te eine Bank­fi­lia­le, um dort im Foyer vom Geld­au­to­mat Geld ab­zu­he­ben; ihre drei­jäh­ri­ge Toch­ter habe dabei mit Hun­de­kot, der an ihren Schu­hen kleb­te, den ge­flies­ten Vor­raum ver­schmutzt. Durch Ab­gleich der Vi­deo­auf­zeich­nun­gen, der Uhr­zeit und den Trans­ak­tio­nen des Geld­au­to­ma­ten wurde die Adres­se der Mut­ter fest­ge­stellt, die dar­auf­hin für die Rei­ni­gung eine Rech­nung er­hielt. In einem ak­tua­li­sier­ten Be­richt der Stutt­gar­ter Nach­rich­ten heißt es in­zwi­schen, es habe sich dabei nicht um Hun­de­kot ge­han­delt, viel­mehr habe das Kind seine Not­durft auf den Boden ver­rich­tet. Der Fall wird nun von der Auf­sichts­be­hör­de für Da­ten­schutz un­ter­sucht.

Spie­gel On­line be­rich­tet über ein Rechts­gut­ach­ten, wel­ches das ver­dachts­un­ab­hän­gi­ge Num­mern­schil­der-Scan­ning für ver­fas­sungs­wid­rig er­ach­tet. Beim Kenn­zei­chen-Scan­ning wird der vor­bei­fah­ren­de Ver­kehr ge­filmt, die Kenn­zei­chen wer­den au­to­ma­tisch er­kannt und au­to­ma­tisch mit Fahn­dungs­da­ten­ban­ken ab­ge­gli­chen. Gegen die­ses Ver­fah­ren ist be­reits eine Ver­fas­sungs­kla­ge an­hän­gig - das Ur­teil wird im Früh­jahr er­war­tet.

So... die Sen­dung von Track­back ist aus­ge­strahlt und auch auf der Web­sei­te an­zu­hö­ren (ab Mi­nu­te 61); glück­li­cher­wei­se hat die Tech­nik uns kei­nen Streich ge­spielt und wir konn­ten das In­ter­view in der Drei­er­run­de zwi­schen Mo­dera­tor Mar­cus, Bern­hard und mir füh­ren. Lei­der reich­te die Sen­de­zeit nicht, einen kur­zen Teaser zu spie­len - wer neu­gie­rig ist, kann sich hier den Teaser an­hö­ren.

Das scheint die ak­tu­el­le Ma­rot­te des "Web-2.0-Busi­ness" zu sein: Schnel­ler, bun­ter, tol­ler. Mehr Fea­tures, noch mehr schrä­ge Strei­fen, noch mehr Be­ta-Sti­cker, noch mehr spie­geln­de But­tons. Und spä­tes­tens unter dem Deck­män­tel­chen des "Beta"-But­tons im Logo glaubt man, man könne mit jedem halb­ga­ren Fea­ture di­rekt an die Öf­fent­lich­keit gehen. Auf Si­cher­heits­lü­cken kann man da kaum ach­ten, die Kon­kur­renz ar­bei­tet ja eben­falls immer schnel­ler, tol­ler und bun­ter.

Nach einem Be­richt der Zeit ver­lan­gen die USA be­reits seit meh­re­ren Jah­ren, daß ihnen bei pos­ta­li­schen Sen­dun­gen be­reits vorab Ab­sen­der, Emp­fän­ger und der de­kla­rier­te In­halt über­mit­telt wer­den - ana­log zur Pas­sa­gier­da­ten­über­mitt­lung. Bei der Dis­kus­si­on um die Vor­rats­da­ten­spei­che­rung war die Über­wa­chung des Brief­ver­kehrs das sar­kas­ti­sche Bei­spiel für die Sinn­lo­sig­keit des Un­ter­fan­gens; nun wird das Bei­spiel von der Rea­li­tät rechts über­holt.

Der SWR be­rich­tet über ein Ar­beits­pa­pier, in dem der Ver­fas­sungs­schutz ein Re­su­me über die "Sau­er­land­grup­pe" zieht. Die Grup­pe hatte für Sep­tem­ber 2007 einen An­schlag ge­plant (für den Spreng­satz soll­te Was­ser­stof­per­oxid ver­wen­det wer­den), die Er­mitt­lungs­be­hör­den wur­den je­doch dar­auf auf­merk­sam und konn­ten trotz ei­ni­ger Schwie­rig­kei­ten den An­schlag ver­hin­dern und die Draht­zie­her fest­neh­men. In dem Ar­beits­pa­pier for­dert der Ver­fas­sungs­schutz nun wei­ter­ge­hen­de Kom­pe­ten­zen und Re­ge­lun­gen - unter an­de­rem eine Aus­weis­pflicht für In­ter­net­ca­fe-Be­su­cher, ganz nach dem Vor­bild Ita­li­ens.

Die Ken­sing­ton Locks haben sich zum all­ge­mein an­er­kann­ten Stan­dard­tool zum An­sper­ren von Lap­tops und an­de­ren Com­pu­ter­ge­rät­schaf­ten ge­mau­sert. Auch von Ver­si­che­run­gen wird diese Vor­keh­rung üb­li­cher­wei­se als hin­rei­chen­de Schutz­maß­nah­me an­er­kannt. In die­sem Video führt je­mand vor, wie man ein Ken­sing­ton Lock mit Hilfe einer Klo­pa­pier­rol­le und etwas Kle­be­band kna­cken kann (MacGy­ver wäre stolz dar­auf!):

Bun­des­ver­fas­sungs­mi­nis­ter Schäu­b­le hat am Wo­chen­en­de ein paar hef­ti­ge Keile in Rich­tung Ver­fas­sungs­rich­ter Pa­pier aus­ge­teilt - der hatte es ge­wagt, schon im Vor­feld wei­te­re Ver­su­che, den Ab­schuß ent­führ­ter Pas­sa­gier­ma­schi­nen ge­setz­lich zu ver­an­kern, als ver­fas­sungs­wid­rig zu be­zeich­nen. Heise be­zeich­net sehr tref­fend das ganze als re­gel­mä­ßig wie­der­keh­ren­de Rou­ti­ne: Zum Wo­chen­en­de gibt es ein In­ter­view, Schäu­b­le pro­vo­ziert hef­tigst - und wenn das Echo zu hef­tig wird, be­ruft er sich auf "Mi­ß­ver­ständ­nis­se und Fehl­deu­tun­gen" und mimt den un­ver­stan­de­nen Ver­tei­di­ger der De­mo­kra­tie.

...​zu­min­dest in Ame­ri­ka. Ein An­ti-Spam-Ak­ti­vist wurde zur Zah­lung von 60.000 Dol­lar ver­ur­teilt, weil er den Unix-Be­fehl "host -l" aus­ge­führt hatte. Das Ge­richt warf ihm vor, daß der An­ge­klag­te seine Iden­ti­tät hin­ter Pro­xies ver­barg, ein UNIX-Be­triebs­sys­tem ver­wen­de­te und neben an­de­ren Me­tho­den Shell Ac­counts ein­setz­te. Au­ßer­dem gab er sich als Mail-Ser­ver aus.

An einer Schu­le im US-Bun­des­staat Rhode Is­land läuft ein kon­tro­ver­ser Pi­lot­ver­such: Grund­schü­ler tra­gen in ihren Schul­ran­zen einen RFID-Chip, mit des­sen Hilfe ihr Auf­ent­halts­ort be­stimmt und von den El­tern ab­ge­ru­fen wer­den kann. In dem Pi­lot­pro­jekt wird die­ser Chip aus­schlie­ß­lich an den Türen des Schul­bus­ses ab­ge­fragt, so daß die El­tern fest­stel­len kön­nen, ob ihr Kind noch im Schul­bus sitzt oder wann und wo es die­sen ver­las­sen bzw. be­tre­ten hat.

"Das In­ter­net ver­gi­ßt nichts" - mit die­sem Tenor gab es in der Gest­ri­gen Aus­ga­be der Sen­dung Fron­tal21 einen Bei­trag mit dem Titel In­ti­mes im In­ter­net. Im pla­ka­ti­ven Stil von Fron­tal21 wird der Ver­lust der Pri­vat­sphä­re im Netz an­ge­pran­gert - dabei wur­den aber zwei völ­lig un­ter­schied­li­che Pro­ble­ma­ti­ken ver­mischt.

Der Vor­teil, mit dem VoIP häu­fig ver­kauft wird, ist die Tat­sa­che, daß man für Sprach- und Rech­ner­kom­mu­ni­ka­ti­on auf die­sel­be In­fra­struk­tur zu­rück­grei­fen kann. Üb­li­cher­wei­se trennt man das re­gu­lä­re Netz vom VoIP-Netz mit Hilfe von VLANs (vir­tu­el­len LANs) aus fol­gen­den Grün­den:

Der Vor­trag in Sutt­gart ist gut über­stan­den (Frank war lei­der ge­schäft­lich ver­hin­dert, so daß die Show kom­plett an mir hing) - der "Saal 2" war mit ca. 60-70 Leu­ten ge­ram­melt voll. Ob­wohl ich die zwei Stun­den Vor­trags­zeit sogar noch knapp über­zo­gen habe, haben die Zu­hö­rer aus­nahms­los tap­fer bis zum Ende durch­ge­hal­ten :-) Zwi­schen­rein gab es in­ter­es­sier­te Rück­fra­gen und klei­ne­re Dis­kus­sio­nen (ins­be­son­de­re über PHP ;-) ) Alles in allem hat mir die Ak­ti­on sehr viel Spaß ge­macht, und den Dis­kus­sio­nen und dem an­schlie­ßen­dem Feed­back nach ging es den Zu­hö­rern wohl eben­so.

In ge­sel­li­ger Runde, mit viel Sar­kas­mus war's sogar un­ter­halt­sam. Dem Kom­men­tar bei Spie­gel On­line habe ich nichts hin­zu­zu­fü­gen; die vor­ge­führ­ten Tricks waren an­nä­hernd so alt wie die Kunst der Ta­schen­spie­ler­tricks selbst und wur­den oben­drein von schau­spie­le­risch un­ta­len­tier­ten "Ma­gi­ern" dar­ge­bracht.

Der CCC hat in Hes­sen einen An­trag auf Er­lass einer einst­wei­li­gen Ver­fü­gung gegen den Ein­satz von Wahl­com­pu­tern bei der an­ste­hen­den Land­tags­wahl ge­stellt. Hier sol­len die be­rüch­tig­ten NE­DAP-Wahl­com­pu­ter zum Ein­satz kom­men, die in den Nie­der­lan­den für Fu­ro­re ge­sorgt hat­ten und dort in­zwi­schen aus dem Ver­kehr ge­zo­gen wur­den. Im Falle einer Ab­leh­nung des An­trags plant der CCC, die Wahl an­zu­fech­ten.