Blogarchiv 2009

Als "Da­ten­quel­le für Mar­ke­ting, For­schung und Pla­nung" prä­sen­tiert mo­bil­kom Aus­tria ihren Dienst A1 Traf­fic Data Stream. Ver­spro­chen wer­den die Be­we­gungs­da­ten von 4,7 Mil­lio­nen Kun­den. Ei­ni­ge Be­we­gungs­da­ten, so ver­spricht die Prä­sen­ta­ti­on, sind zu­sätz­lich durch GPS-Po­si­ti­on prä­zi­siert. Selbst­ver­ständ­lich wer­den sämt­li­che Daten voll­stän­dig an­ony­mi­siert - doch wie ein­fach eine Dea­n­ony­mi­sie­rung mög­lich ist, habe ich be­reits in mei­ner Pro­mo­ti­on fest­ge­stellt.

Geht es nur mir so, oder fal­len App­le-Fans in den letz­ten paar Jah­ren deut­lich mehr für ihre fan­fa­na­ti­sche Hal­tung auf als an­de­re OS-Ge­sin­nun­gen? Ich bin immer leicht ge­neigt, von der Ge­mein­de zum Hei­li­gen Steve zu reden - auch wenn mir wohl be­wu­ßt ist, daß Fans an­de­rer OS-Glau­bens­rich­tun­gen eben­falls in die­ses Sche­ma pas­sen (wie eine Künst­le­rin in die­sem Bild sehr schön dar­stellt). Eine dä­ni­sche Stu­die at­tes­tiert nun iPho­ne-Fans Sym­pto­me des Stock­hom-Syn­droms, be­nannt nach einer Ent­füh­rung in Stock­holm, wäh­rend derer sich die Ent­führ­ten mit ihren Ent­füh­rern so­li­da­ri­sier­ten.

Das "Mo­to­ro­la Droid", das erste Handy mit Googles An­dro­id 2.0, star­tet ge­ra­de in den Läden durch... und fährt eine Wer­bung, wel­che sei­nen Ruf als "iPho­ne-Kil­ler" un­ter­streicht:

Ver­gan­ge­nes Wo­chen­en­de habe ich die An­lei­tung für einen alten DVD-Play­er ge­sucht. Die Pa­pier­ver­si­on war im Haus­halt ver­schwun­den, aber ein Blick ins Netz schick­te mich zu fnet.​de. Dort gab es tat­säch­lich einen Scan der von mir ge­such­ten An­lei­tung - ein di­rek­ter Down­load ist auf der Seite je­doch nicht mög­lich, man be­kommt viel­mehr einen Down­load-Link per Mail zu­ge­schickt.

Shodan

Wer er­in­nert sich noch an Goog­le hacking? Hier wurde auch nach ver­wund­ba­ren Sei­ten an­hand ge­wis­ser Cha­rak­te­ris­ti­ka (z.B. Soft­ware­na­me und Ver­si­ons­num­mer, die im Foo­ter der Sei­ten oft zu fin­den sind) nach ver­wund­ba­ren Sei­ten ge­sucht... Sho­dan ist so­zu­sa­gen Goog­le Hacking on Ste­ro­ids ;-)

(via Tao­S­e­cu­ri­ty)

Seit An­fang die­sen Jah­res bin ich be­rufs­tech­nisch von C++ auf Java um­ge­schwenkt. C++ ist ja be­kannt dafür, die di­ver­ses­ten Fall­stri­cke zu haben - und Java ist ja ir­gend­wann mal mit dem Vor­satz an­ge­tre­ten, das alles bes­ser zu ma­chen. Un­glück­li­cher­wei­se ist das al­len­falls par­ti­ell ge­lun­gen, denn ich finde al­lein schon im Ar­beits­all­tag immer wie­der hä­ß­li­che Fu­ßan­geln. So zum Bei­spiel fol­gen­des Pro­blem beim Auf­ruf über­la­de­ner Me­tho­den im Kon­struk­tor:

Unix good­ness

Wie be­kom­me ich das Plat­ten­image einer 30G gro­ßen Par­ti­ti­on eines ent­fern­ten Rech­ners auf meine lo­ka­le Kiste, wenn es kei­nen Platz für einen lo­ka­len Plat­ten­dump gibt? Per ssh und net­cat... und dank pv sogar mit Fort­schritts­bal­ken :-)

Und noch ein Ge­burts­tag: Ziem­lich exakt vor 60 Jah­ren ver­öf­fent­lich­te Clau­de Shan­non sein Paper über die theo­re­ti­schen Grund­la­gen si­che­rer Kom­mu­ni­ka­ti­on. Hier­in be­schreibt er die in­for­ma­ti­ons­tech­ni­schen Ei­gen­schaf­ten einer si­che­ren Kom­mu­ni­ka­ti­on; das Paper be­inhal­tet auch den Be­weis für die ab­so­lu­te Si­cher­heit des One-Ti­me-Pads. Das Paper gilt als der Grund­stein für die mo­der­ne Kryp­to­gra­phie.

Ich hatte ge­ra­de in Ra­del­du­dels Blog einen Kom­men­tar zu sei­nen Freu­den mit RAID hin­ter­las­sen; ihm sind - wie mir auch schon ein­mal - meh­re­re Plat­ten in einem RAID-5 fak­tisch gleich­zei­tig ge­stor­ben. Das kann - ent­ge­gen der ver­all­ge­mei­er­ten RAID-Wahr­schein­lich­keits-Re­chung - durch­aus pas­sie­ren! Pro­blem war bei ihm eine nicht sach­ge­mä­ße Lie­fe­rung, die Plat­ten waren wohl beim Trans­port be­schä­digt wor­den. Ich hatte da­mals das Ver­gnü­gen, daß wohl der Plat­ten­her­stel­ler eine Char­ge aus­ge­lie­fert hatte, die nicht ganz ko­scher war.

Die Nach­richt ti­cker­te sogar bis zu Slash­dot durch: Ein Pro­gram­mie­rer, ehe­ma­li­ger Mit­ar­bei­ter der Schwei­zer Firma ERA IT So­lu­ti­ons, hat nun den Quell­text für ein tro­ja­ni­sches Pferd ver­öf­fent­licht, wel­cher ins­be­son­de­re in der Lage ist, Sky­pe-Te­le­fo­na­te mit­zu­schnei­den und auf dem Ser­ver des An­grei­fers ab­zu­le­gen. Si­cher mit ein Grund für die Auf­re­gung: Das Pro­gramm, das er wäh­rend sei­ner Tä­tig­keit bei ERA IT er­stellt hatte, hat von sei­nen Zügen her Ähn­lich­kei­ten zum "Bun­de­stro­ja­ner".

MeineDatenUndIch-Brief-klein.jpg

Man könn­te den Film als "Me­ta-Do­ku­men­ta­ti­on" be­zeich­nen: Die Rah­men­hand­lung ist eine "Ma­king-Of-Do­ku­men­ta­ti­on" über die Dreh­ar­bei­ten zum Film selbst; er han­delt vom (fik­ti­ven) Fil­me­ma­cher Axel Ra­nisch (ge­spielt vom rea­len Axel Ra­nisch), der eine Do­ku­men­ta­ti­on über den Da­ten­schutz und die Da­ten­skan­da­le des Jah­res 2008 dre­hen möch­te. Nach der Ab­sa­ge eines pri­va­ten Fern­seh­sen­ders ent­schlie­ßt er sich, den Film als No-Bud­get-Pro­duk­ti­on auf ei­ge­ne Faust zu dre­hen. Zu­sam­men mit dem Ka­me­ra­mann Hardy und sei­ner Freun­din Eva macht er sich schlie­ß­lich an die Ar­beit, ver­schie­de­ne Per­sön­lich­kei­ten aus Po­li­tik, For­schung und den Krei­sen der Netz­ak­ti­vis­ten zu den ver­schie­de­nen The­men zu in­ter­view­en.

Die Stär­ken des Films sind mei­ner Mei­nung nach ganz klar die ge­führ­ten In­ter­views: Die Liste der In­ter­view-Part­ner liest sich wie ein who-is-who der Be­für­wor­ter, Kri­ti­ker und Geg­ner der ein­zel­nen The­men (ab­ge­se­hen von Herrn Schäu­b­le, der die In­ter­viewan­fra­gen ab­lehn­te; sein Mi­nis­te­ri­um fühl­te sich ja ab einem Punkt plötz­lich für viele vor­her ver­tre­te­nen For­de­run­gen zur Vor­rats­da­ten­spei­che­rung nicht mehr zu­stän­dig - und wird dafür in einer Car­toon-Sze­ne mit einer or­dent­li­chen Por­ti­on Sar­kas­mus be­dacht). In den In­ter­views sieht (und hört) man stets nur den In­ter­view­part­ner; die Ge­sprä­che mit den ein­zel­nen Per­so­nen sind ge­schickt so zu­sam­men­ge­schnit­ten, daß der Ein­druck ent­steht, die ein­zel­nen Per­so­nen wür­den auf die Aus­sa­ge ihres Vor­red­ners ant­wor­ten oder die­ser wi­der­spre­chen. Da die Aus­sa­gen der ein­zel­nen Per­so­nen sel­ten län­ger als eine Mi­nu­te am Stück sind, blei­ben diese Qua­si-Dia­lo­ge span­nend. Trotz­dem ge­lang es den Fil­me­ma­chern, die Kern­aus­sa­gen aus den In­ter­views ge­schickt her­aus­zu­de­stil­lie­ren.

Sind die an­ge­spro­che­nen The­men bei den In­ter­views klar (On­line-Durch­su­chung, Vor­rats­da­ten­spei­che­rung, Mit­ar­bei­ter­über­wa­chung bei Lidl, Ge­fahr von Da­ten­hal­den am Bei­spiel des Te­le­kom-Skan­dals), ist die Kern­aus­sa­ge bei den Sze­nen, in denen Axel Ra­nisch selbst be­trof­fen ist, we­ni­ger klar: Das Thema Scoring (und wieso er plötz­lich von sei­ner Bank für nicht kre­dit­wür­dig ein­ge­stuft wird) funk­tio­niert in die­ser Dar­stel­lung noch gut; bei der Be­an­tra­gung von ALG2 ver­mi­schen sich ver­schie­de­ne As­pek­te (der auf­ge­zwun­ge­ne Pri­vat­sphä­ren-Ex­hi­bi­tio­nis­mus durch die Harz-IV-Re­ge­lun­gen; die Ge­fahr, die durch das Sam­meln von Daten aus so­zia­len Netz­wer­ken ent­steht; das Per­sön­lich­keits­pro­fil, das durch die Ein­sicht­nah­me in die Kon­to­be­we­gun­gen ent­steht), und bei der Szene am An­fang des Films, in der er­zählt wird, daß ein Streit zwi­schen Axel und Hardy mit einem Handy ge­filmt und bei YouTube ein­ge­stellt wurde, ist ver­mut­lich al­len­falls be­reits sen­si­bi­li­sier­ten Leu­ten klar, was mit die­ser Szene an­ge­pran­gert wer­den soll.

Der An­fang des Films ist auch der Part, der beim ers­ten An­se­hen den schwächs­ten Ein­druck hin­ter­ließ. Gut 20 Mi­nu­ten dau­ert es, bis die Rah­men­hand­lung auf­ge­baut ist - und diese ist für den Rest des Films mehr oder min­der be­lang­los, denn der ver­blei­ben­de Film be­steht fast aus­schlie­ß­lich aus den In­ter­viewaus­schnit­ten, wel­che (mit Aus­nah­me des Kre­dit- und des AL­G2-An­trags) auch kei­nen di­rek­ten Bezug zu den Haupt­per­so­nen haben. Letz­te­res tut der Re­por­ta­ge zwar kei­nen Ab­bruch, aber im Ver­gleich dazu fehl­te mir der Bezug zum An­fang des Films.

Na­tür­lich muß sich der Film ver­glei­che mit an­de­ren Re­por­ta­gen aus den letz­ten Mo­na­ten ge­fal­len las­sen; allen voran ist mir die Sen­dung "Wer hat meine Daten" aus dem Jahr 2006 in Er­in­ne­rung ge­blie­ben. Auch hier bil­de­te die Re­cher­che rund um das Thema Da­ten­schutz (Aus­gangs­fra­ge­stel­lung war, wieso je­mand genau diese Wer­bung zu­ge­sandt be­kommt) die Rah­men­hand­lung. Die (sehr se­hens­wer­te) Re­por­ta­ge ist im 45-Mi­nu­ten-For­mat er­stellt und mußte dem­entspre­chend an vie­len Stel­len straf­fen - sie rüt­telt in Bezug auf die Pro­ble­me wach, bleibt je­doch De­tails schul­dig.

Die (in die­sem Jahr aus­ge­strahl­te) Re­por­ta­ge "Der glä­ser­ne Deut­sche - wie wir Bür­ger aus­ge­späht wer­den" greift eben­so wie "Meine Daten und ich" die ver­schie­de­nen Da­ten­schutz-Skan­da­le bei Bahn, Te­le­kom und Lidl auf. In 45 Mi­nu­ten geht es um den Da­ten­miß­brauch, das Tau­zie­hen um das neue Da­ten­schutz­ge­setz (in dem ur­sprüng­lich das Lis­ten­pri­vi­leg, das Da­ten­händ­lern erst das Sam­meln von Daten er­mög­licht, ge­kippt wer­den), aber auch um Mit­ar­bei­ter­über­wa­chung mit Ka­me­ras oder sogar Au­to­wan­zen. Die eben­falls 45 Mi­nu­ten lange Re­por­ta­ge schafft es, zu Be­ginn des Films mit der "Piz­za­be­stel­lung von mor­gen", einem Aus­blick in eine nahe Zu­kunft, viele Pro­ble­me an­zu­rei­ßen und den Zu­schau­er zu fes­seln. Die ein­zel­nen The­men wer­den pla­ka­ti­ver (oder ne­ga­tiv for­mu­liert: Bild­zei­tungs-ar­ti­ger) an­ge­pran­gert.

Ins­be­son­de­re im Ver­gleich zur zwei­ten Re­por­ta­ge ist der Film be­deu­tend ru­hi­ger. Wer auf Pro­vo­ka­ti­on, flot­te Sprü­che und Ka­lau­er wie in den (Pseu­do-)Re­por­ta­gen Mi­cha­el Moo­res hofft, der war­tet ver­geb­lich. Die aus­führ­li­chen In­ter­view-Zu­sam­men­schnit­te strah­len Sach­lich­keit aus, ma­chen aber trotz­dem eine schar­fe Kri­tik deut­lich. Ge­gen­über den bei­den Fern­seh­re­por­ta­gen be­schäf­tigt sich "Meine Daten und ich" mit mehr po­li­ti­schen The­men und den Fol­gen der ak­tu­el­len Si­cher­heits-Ge­setz­ge­bung.

An wel­che Ziel­grup­pe rich­tet sich der Film? Leute, die be­reits mit der Ma­te­rie ver­traut und für das Thema sen­si­bi­li­siert sind, er­fah­ren frei­lich nicht viel Neues. Für sie ist das In­ter­view-Kon­den­sat (und wohl auch die al­ter­na­ti­ve Ton­spur mit einem Au­dio­kom­men­tar von Netz­ak­ti­vist Pa­de­luun) in­ter­es­sant. "Neu­lin­gen", die sich für die Ma­te­rie in­ter­es­sie­ren, kann ich nur raten, sich von der spiel­fil­mar­ti­gen Ein­lei­tung nicht (ent)täu­schen zu las­sen - im Zwei­fels­fall ein­fach zu den In­ter­views vor­sprin­gen. In an­de­ren Be­rich­ten hört man die Ar­gu­men­te immer aus dem Munde ei­ni­ger we­ni­ger Ex­per­ten, oder nur als Spre­cher­ton vom Re­por­ter aus dem Off. In die­sem Film kann man so­wohl Pro- als auch Con­tra-Ar­gu­men­te di­rekt aus dem Munde der Ver­ant­wort­li­chen hören. Das macht den Film nicht zu einer Kon­kur­renz, son­dern zu einer Er­gän­zung zu an­de­ren, kür­ze­ren Re­por­ta­gen.

Um Ot­to-Nor­mal­bür­ger mit der "ich habe doch nichts zu ver­ber­gen"- und "gegen den Ter­ror muß man doch was tun"-Men­ta­li­tät zu sen­si­bi­li­sie­ren oder zu über­zeu­gen taugt der Film lei­der nicht - Mi­cha­el Moore po­le­mi­siert und po­la­ri­siert zwar hef­tig, hat dafür aber auch einen er­heb­li­chen Un­ter­hal­tungs­wert. Das fehlt dem Film lei­der.

Der Film kann bei GMfilms für 10 Euro er­wor­ben wer­den.

pWei­te­re Re­zen­sio­nen und Be­rich­te zum Film:

"Meine Daten und ich" heißt der Film von Phil­ipp Eich­holtz, der den Zu­stand rund um Da­ten­schutz und Sen­si­bi­li­tät für die Pri­vat­sphä­re so­wohl bei Fir­men als auch bei Nor­mal­bür­gern in Deutsch­land schil­dern will. Im Stile von Mi­cha­el Moore möch­te der Film Miß­stän­de auf­zei­gen, den Zu­schau­er sen­si­bi­li­sie­ren und auf­zei­gen, was Recht ist - und was nicht.

Lange Zeit war K-otic eine der ers­ten An­lauf­stel­len, wenn es um ak­tu­el­le (und frei zu­gäng­li­che) Si­cher­heits­tools oder Ex­ploits ging; nach­dem K-otic (unter neuem Namen) auf ein Abo-Mo­dell wech­sel­te, mau­ser­te sich mil­w0rm zur ers­ten Adres­se. Auch Diens­te wie der md5/lan­man-Hash-On­line-Cra­cker war si­cher gern ge­se­hen (nicht jeder woll­te zig Gi­ga­byte Rain­bow Ta­bles aus dem Netz zie­hen und damit seine Plat­te(n) fül­len).

Edit: Mit­ter­nachts­hacking sam­melt aus die­sem Anlaß Links auf be­ste­hen­de Ex­ploit-Ar­chi­ve.

Edit 2: Laut einem Kom­men­tar beim SANS ISC wird mil­w0rm von einem Freund des ur­sprüng­li­chen Be­trei­bers nun wei­ter­ge­führt. Glück auf!

Die An­zahl sinn­lo­ser Über­wa­chung (ganz egal ob erst ge­plant oder be­reits im Ein­satz) ist ja schier ufer­los. Manch­mal habe ich den Ein­druck, man über­wacht ein­zig al­lein des Über­wa­chens wegen - oder, damit man ge­gen­über Ma­nage­ment oder In­ves­to­ren sagen kann: "Wir haben auch eine Über­wa­chungs­ka­me­ra"...

Camera fail

Der 100.000ste Zeichner

Wer noch etwas mehr "Gru­sel­ma­te­ri­al" zu dem Thema be­nö­tigt:

OS history poster

Wer das Selbst­aus­dru­cken scheut, kann sich die Ge­schich­te von UNIX in 6 bis 12 Meter Länge auf einem hüb­schen Hin­ter­grund bei einer ka­na­di­schen Firma be­stel­len - lei­der nicht ganz güns­tig.

Wer trotz­dem ein Ge­ek-Pos­ter sucht und we­ni­ger Geld in­ves­tie­ren will: Etwas güns­ti­ger sind die Mei­len­stei­ne der Com­pu­ter-, Elek­tro­nik- und Kom­mu­ni­ka­ti­ons-Re­vo­lu­ti­on, wel­ches die Ge­schich­te von Mitte der 70er bis heute in vie­len klei­nen Pro­dukt­bil­dern und kur­zen Text­blö­cken be­schreibt.

Kri­ti­ker war­nen stän­dig davor, daß viele Leute zu viele Da­ten­spu­ren im Netz hin­ter­lä­ßt und zu un­kri­tisch per­sön­li­che In­for­ma­tio­nen über sich ins In­ter­net stellt. An­de­re ent­geg­nen, das sei le­dig­lich Pa­nik­ma­che oder Tech­nik­feind­lich­keit.

Ich hatte so­eben (mal wie­der) die An­for­de­rung, mög­lichst skript­ge­steu­ert OpenS­SL-Zer­ti­fi­ka­te von Web­ser­vern her­un­ter­zu­la­den und deren Fin­ger­print an­zu­zei­gen (warum zum Geier zei­gen die meis­ten Netz-Cli­ents einen Fin­ger­print in der GUI zwar an, las­sen es aber nicht zu, ihn als Text zu mar­kie­ren und zu ko­pie­ren?).

SSL (ins­bes. https)

opens­sl hat ja eine schier un­glaub­li­che Menge an Pa­ra­me­tern und Op­tio­nen - unter an­de­rem bie­tet opens­sl mit s_client und s_server einen pri­mi­ti­ven SSL-Cli­ent/Ser­ver.

Zer­ti­fi­ka­te her­un­ter­la­den

Fol­gen­der One­liner läd ein Zer­ti­fi­kat und gibt es auf stdout aus:

Fin­ger­print an­zei­gen

So zeigt opens­sl den SHA1-Fin­ger­print eines Zer­ti­fi­kats an:

71.000 ZeichnerDie 50.000er-Mar­ke der Pe­ti­ti­on gegen Netz­sper­ren wurde in der Re­kord­zeit von we­ni­ger als vier Tagen ge­knackt (Edit: so­eben um 15:31h waren es genau 71.000); wie be­reits ar­gu­men­tiert, dürf­te die grö­ß­te Er­run­gen­schaft das rei­che Pres­se-Echo sein - und davon gibt es reich­lich, wie man auf die­ser Liste bei netz­po­li­tik.​org sehen kann: Alle gro­ßen Me­di­en und Fern­seh­nach­rich­ten haben Be­rich­te und Kom­men­ta­re.

Aber auch meine Be­fürch­tung, daß die Po­li­tik un­be­ein­druckt wei­ter­ma­chen wird wie bis­her, scheint sich zu be­wahr­hei­ten: Der Vor­sit­zen­de des Pe­ti­ti­ons­aus­schus­ses ließ ver­lau­ten, man ver­han­de­le die Pe­ti­ti­on erst nach der Wahl. Das Ge­setz­ge­bungs­ver­fah­ren geht je­doch un­ge­bremst wei­ter, schlie­ß­lich ist es ja das er­klär­te Ziel von Frau von der Leyen, das Ge­setz noch vor der Wahl zu ver­ab­schie­den.

An­sons­ten war ich stark ver­sucht, den Titel (um bei den P-Wor­ten zu blei­ben) noch um "...​und Papp­na­sen" zu er­gän­zen: Es ist un­glaub­lich, wie­vie­le Leute sich äu­ßern, die sich schein­bar mit den Ar­gu­men­ten der Pe­ti­ti­ons­un­ter­stüt­zer kei­nen Mil­li­me­ter aus­ein­an­der­ge­setzt haben... und wie viele von ihnen ei­gent­lich Ah­nung haben soll­ten - sei es auf­grund ihrer Aus­bil­dung oder wegen ihrer Po­si­ti­on.

Da wäre zum einen unser Wirt­schafts­mi­nis­ter zu Gut­ten­berg:

"Es macht mich schon sehr be­trof­fen, wenn pau­schal der Ein­druck ent­ste­hen soll­te, dass es Men­schen gibt, die sich gegen die Sper­rung von kin­der­por­no­gra­phi­schen In­hal­ten sträu­ben. Das ist nun wirk­lich einer der wich­tigs­ten Vor­ha­ben in vie­ler­lei Hin­sicht." (Video unter obi­gem Link)

Wenn das eine der ty­pi­schen Po­li­ti­ker-Num­mern war (nach dem Motto: Egal, wie wenig Ah­nung - Haupt­sa­che Me­di­en­prä­senz), dann war das ma­xi­mal un­ge­schickt. Es be­darf wohl kei­ner Er­wäh­nung, daß in der Pe­ti­ti­on aus­drück­lich steht, daß gegen die­ses Ekel­ge­schäft vor­ge­gan­gen wer­den soll - le­dig­lich der ein­ge­schla­ge­ne Weg ist voll­kom­men falsch. Ich muß über sol­che Äu­ße­run­gen hef­tig den Kopf schüt­teln... aber an­de­rer­seits ent­stammt er einer Po­li­ti­ker­ge­ne­ra­ti­on, bei der ich ei­gent­lich auch nichts an­de­res mehr er­war­te.

Auf der an­de­ren Seite gibt es Leute, die ei­gent­lich tech­ni­schen Back­ground genug hät­ten, um es bes­ser zu wis­sen; den­noch muß ich bei Heise lesen, wie sich der Di­rek­tor des Has­so-Platt­ner-In­sti­tuts Chris­toph Meinel äu­ßert:

"In­ter­es­san­ter­wei­se hat bei ge­druck­ten Me­di­en die Öf­fent­lich­keit längst ak­zep­tiert, dass Straf­ba­res dort nicht ver­öf­fent­licht wer­den darf und ver­steht das nicht als An­griff auf die Mei­nungs­frei­heit." (...)

Ich kann mich nur den Aus­füh­run­gen von F!XMBR an­schlie­ßen: Es geht nicht darum, daß ir­gend­je­mand an­zwei­felt, daß KiPo aus dem Netz ver­bannt ge­hört. Aber wie die Bei­spie­le auf F!XMBR (Vor­rats­da­ten­spei­che­rung, Mau­ter­fas­sung, Han­dy­or­tung, etc.) zei­gen, ist die Ge­fahr, daß sol­che Tech­ni­ken immer um­fas­sen­der ein­ge­setzt wer­den, sehr real und wohl be­grün­det. Sogar in die­sem kon­kre­ten Fall konn­te man das schon weit vor der Ver­ab­schie­dung des Ge­set­zes in einer Bun­des­tags­de­bat­te be­ob­ach­ten.

Im üb­ri­gen ist es ein Un­ter­schied, ob die Pu­bli­ka­ti­on einer Zeit­schrif­ten­aus­ga­be ein­ge­stampft (und der ver­ant­wort­li­che Re­dak­teur ver­haf­tet bzw. an­ge­zeigt) wird, oder ob der Post ver­bo­ten wird, sämt­li­che Zu­stell­ver­su­che von Brie­fen von und an eine be­stimm­te Adres­se ab­zu­fan­gen und den Be­hör­den zu mel­den (ein­schlie­ß­lich der Ge­fahr, daß je­mand an­ge­schwärzt wird, indem man seine Adres­se als Brie­f­ab­sen­der an­gibt). Genau letz­te­res ma­chen näm­lich die DNS-Sper­ren.

Chris­ti­an Weber hatte per Mail bei sei­nem Pro­vi­der Vo­da­fo­ne an­ge­fragt, wie es mit einem Son­der­kün­di­gungs­recht aus­sieht - im­mer­hin zieht die DNS-Fil­te­rung ja eine Än­de­rung der AGBs nach sich. Die Ant­wort: Nein, ein Son­der­kün­di­gungs­recht gäbe es nicht. Und:

Die Pe­ti­ti­on gegen Netz­sper­ren scheint im Af­fen­zahn durch­zu­star­ten: Waren es heute früh noch rund 42.000 Zeich­ner, sind es (Stand 19h) be­reits über 47.000! Die Frage, ob die nö­ti­ge Stim­men­zahl er­reicht wird, dürfe sich wohl nicht mehr stel­len - nur noch, um wie­vie­le Tau­send Stim­men die Schall­mau­er durch­bro­chen wird. Fah­ler Bei­ge­schmack ist der wenig pro­fes­sio­nel­le Um­gang der Ad­mi­nis­tra­to­ren des Pe­ti­ti­ons­sys­tems - mehr wei­ter unten.

Ein Ar­ti­kel bei Heise stellt die Er­geb­nis­se einer Stu­die zum "Am­bi­ent As­sis­ted Li­ving" für Se­nio­ren vor; der Vor­stel­lung der For­scher nach soll es durch Com­pu­ter­un­ter­stüt­zung im häus­li­chen Be­reich Se­nio­ren län­ger mög­lich sein, ei­gen­stän­dig zu leben bzw. frem­de Hilfe zu re­du­zie­ren. Ins­be­son­de­re das Mo­ni­to­ring von Vi­tal­funk­tio­nen war bei der Um­fra­ge ein Thema. Er­geb­nis der Um­fra­ge:

Auf dem ePe­ti­ti­ons-Sys­tem des Deut­schen Bun­des­ta­ges wurde eine "An­ti-Zen­sur­su­la"-Pe­ti­ti­on "In­ter­net - Keine In­di­zie­rung und Sper­rung von In­ter­net­sei­ten" ein­ge­rich­tet. Wird die Pe­ti­ti­on in­ner­halb bis zum 13.5. von mehr als 50.000 Bür­gern ge­zeich­net, fin­det hier­zu eine An­hö­rung im Pe­ti­ti­ons­aus­schluß statt; das ist viel­leicht noch­mals eine Mög­lich­keit, etwas zu be­we­gen. Also: Auf auf, zeich­nen gehen! Und: Wei­ter­sa­gen, der 13.5. ist nicht allzu fern!

SHA-1-Count­down

Spä­tes­tens seit der De­mons­tra­ti­on, daß SSL-Zer­ti­fi­ka­te, die MD5 ver­wen­den, ma­ni­pu­lier­bar sind, dürf­te klar sein, daß MD5 für Si­gna­tu­ren durch ist. Auch für SHA-1 tickt der Count­down: Er­reich­te vor vier Jah­ren die beste Me­tho­de, eine Hash­kol­li­si­on zu er­zeu­gen, noch bei einer Chan­ce von 1:2^69, haben For­scher in einer Rump-Ses­si­on auf der Eu­ro­crypt nun einem Me­tho­de skiz­ziert, wel­che die Kol­li­si­ons­wahr­schein­lich­keit auf 1:2^52 re­du­ziert.

Bei Wired gibt es einen sehr auf­ge­reg­ten Ar­ti­kel, daß das PIN-Sys­tem ge­bro­chen sei (edit: ...​und einen ent­spre­chen­den deut­schen Be­richt bei Golem). Laut dem Ar­ti­kel gibt es wohl akut zwei Pro­ble­me: Zum einen steht die PIN wäh­rend der Über­tra­gung in der Über­tra­gung in den Tran­sit-Sys­te­men für kurze Zeit im Spei­cher (und wird dort von einer Hin­ter­tür ab­ge­grif­fen); zum an­de­ren gibt es wohl tat­säch­lich An­grif­fe, mit Hilfe derer sich die PIN an­hand der Kar­ten­da­ten be­rech­nen läßt - zu­min­dest wenn die Hard­ware Se­cu­ri­ty Mo­du­les (HSM) "kom­pa­ti­bel, aber un­si­cher" kon­fi­gu­riert wer­den.

Ich weiß, man kann seine Er­war­tun­gen gar nicht nied­rig genug an­set­zen, wenn man mit einer der Fir­men mit dem gro­ßen "T" zu tun hat. Ich bin in die Ver­le­gen­heit ge­kom­men, mir die Seite mit den In­for­ma­tio­nen zu Part­ner­sei­ten an­zu­se­hen - hier­für gab's eine https-URL, Log­in­na­me und Pass­wort.

Heute abend um 23:30 läuft im ZDF die Re­por­ta­ge "Der glä­ser­ne Deut­sche - Wie wir Bür­ger aus­ge­späht wer­den" (Edit: Wer sie ver­pa­ßt hat, kann sie hier in der ZDF-Me­dia­thek an­se­hen... man, I love that fea­ture! Au­ßer­dem gibt es eine Kopie bei ar­chi­ve.​org). Ähn­lich wie die Sen­dung "Wer hat meine Daten?" von vor zwei­ein­halb Jah­ren (zu sehen bei Youtube oder als Down­load von di­ver­sen Ser­vern) be­rich­tet die Re­por­ta­ge über die er­schre­cken­de Leich­tig­keit, wenn man pri­va­te Daten er­ste­hen möch­te, den leicht­fer­ti­gen Um­gang der Men­schen mit ihren Daten, sowie Si­tua­tio­nen, in denen man zur Da­ten­her­aus­ga­be ge­zwun­gen wird - so führt wohl die Deut­sche Post ein um­fang­rei­ches Da­ten­re­gis­ter, in wel­ches unter an­de­rem die Daten von Nach­sen­de­an­trä­gen ein­flie­ßen.

MtEverest-Zipfelbob.jpg

War vor 56 Jah­ren die Be­stei­gung des Mount Ever­est noch eines der ul­ti­ma­ti­ven Aben­teu­er, die man auf un­se­rem blau­en Pla­ne­ten er­le­ben konn­te, ist in­zwi­schen eine ein­fa­che Be­stei­gung des höchs­ten Bergs der Erde kein be­son­de­res Er­eig­nis mehr. Seit den 80ern gibt es einen re­gel­rech­ten "kom­mer­zi­el­len Ever­est-Tou­ris­mus"; für die wah­ren Hel­den mu­ß­ten neue Her­aus­for­de­run­gen her: Schwie­ri­ge­re Auf­stiegs­rou­ten, Al­lein­gän­ge, Be­stei­gung ohne Sau­er­stoff­fla­sche.

Der slo­we­ni­sche Ex­trem-Berg­stei­ger Pav­lek Lev­pist hat seine ganz ei­ge­ne Her­aus­for­de­rung ge­wählt: Er ist der erste Mensch, der den Mount Ever­est be­stieg und an­schlie­ßend mit einem Zip­fel­b­ob ab­fuhr. Wegen schlech­ten Wet­ters konn­te er den Gip­fel nicht voll­ends er­rei­chen - er star­te­te knapp 100 Hö­hen­me­ter dar­un­ter.

"Mit Spaß hat das nichts mehr zu tun" äu­ßer­te sich Lev­pist über seine Ak­ti­on - ich glau­be, man kann sich nur nä­he­rungs­wei­se vor­stel­len, was das für ein Höl­len­ritt ge­we­sen sein muß.

So­viel zum Thema, ob (und wie­viel) Spaß wir in mei­ner neuen Firma haben ;-)

Auf die­ses Pro­blem stößt ver­mut­lich frü­her oder spä­ter jeder: Es gibt ein­fach ein paar Pro­gram­me, die man "da­bei­ha­ben will" oder auf einem sta­tio­nä­ren Rech­ner nut­zen - aber so, daß nicht jeder ohne wei­te­res an die ge­spei­cher­ten Daten her­an­kommt. Die in Frage kom­men­den Rech­ner keine gänz­lich ver­trau­ens-un­wür­di­ge Ma­schi­nen wie z.B. Vi­ren­schleu­dern aus einem In­ter­net­ca­fe, viel­mehr der PC bei der Ar­beit oder bei einem Be­kann­ten.

Zu­nächst ein­mal gilt, daß ein Pro­gramm mit root-Pri­vi­le­gi­en den Rech­ner kon­trol­liert; das be­deu­tet, daß ein Rech­ner, der mit einem Root­kit, einem ent­spre­chen­den tro­ja­ni­schen Pferd oder ähn­li­chem "aus­ge­stat­tet" ist, alle hier vor­ge­stell­ten Schutz­maß­nah­men aus­he­beln kann: Daten kön­nen ko­piert, Pass­wör­ter von der Tas­ta­tur mit­ge­le­sen wer­den.

Zu­nächst wird ein si­che­rer Da­ten­be­reich be­nö­tigt; Tru­e­crypt bie­tet hier­für alles an, was man be­nö­tigt: Hier­mit er­zeugt man ein ver­schlüs­sel­tes Vo­lu­me (nach außen sicht­bar als Datei) ge­wünsch­ter Größe. Möch­te man seine Pro­gram­me mit­neh­men, bie­tet Tru­e­crypt die die Ein­rich­tung samt Trei­ber auf einem USB-Stick an.

Als An­wen­dun­gen in­stal­liert man nun die ge­wünsch­ten Por­ta­ble Apps in den ge­moun­te­ten Tru­e­crypt-Con­tai­ner. Die Por­ta­ble Apps spei­chern ihre ge­sam­ten Ein­stel­lun­gen un­ter­halb ihres In­stal­la­ti­ons­ver­zeich­nis­ses, so daß im Rest­sys­tem keine Da­tei­en in­stal­liert wer­den müs­sen - und auch Spu­ren blei­ben.

Ein wenig trick­reich wird es, wenn man Fi­re­fox (oder Thun­der­bird) par­al­lel mit einer In­stanz vom re­gu­lä­ren Sys­tem be­trei­ben möch­te. Hier­zu waren zwei Schrit­te nötig:

  • Mit­tels einer Ver­knüp­fung wird der Fi­re­fox mit dem zu­sätz­li­chen Start­pa­ra­me­ter "-no-re­mo­te" auf­ge­ru­fen; da­durch wer­den bei­spiels­wei­se an­klick­ba­re URLs im sys­tem­ei­ge­nen Brow­ser ge­öff­net.
  • Im In­stal­la­ti­ons­ver­zeich­nis von Por­ta­ble Fi­re­fox legt man eine Datei na­mens Fi­re­fox­Por­ta­ble.​ini an, wel­che fol­gen­den In­halt hat:

Root­kit im BIOS

For­scher haben die De­mons­tra­ti­on eines BIOS-ba­sier­ten Root­kits vor­ge­führt. Nach­dem ich vor ge­rau­mer Zeit ir­gend­wo ge­le­sen hatte, daß eine Firma eine BIOS-Er­wei­te­rung(?) an­bie­tet, wel­che eine De­ak­ti­vie­rung eines Lap­tops via Netz­werk er­mög­licht, habe ich auf so eine Schlag­zei­le ge­war­tet...

Schlech­te Zei­ten für Die­bold: Erst die ver­nich­ten­de Kri­tik an ihren Wahl­com­pu­tern, nun fin­den Si­cher­heits­ex­per­ten tro­ja­ni­sche Pfer­de in den Geld­au­to­ma­ten von Die­bold. Wieso auf­wen­di­ges Skim­ming be­trei­ben, wenn man di­rekt an die Quel­le kann? Als Pro­gramm im Geld­au­to­mat kann man voll­kom­men un­auf­fäl­lig Kar­ten­da­ten und PIN-Ein­ga­be ab­grei­fen...

Es ist still ge­wor­den um den Ha­cker­pa­ra­graph, seit die­ser im Som­mer 2007 ver­ab­schie­det wurde: Wei­te­re Über­wa­chungs­wün­sche a la Schäu­b­le, BKA-Ge­setz, Wahl­com­pu­ter, Da­ten­skan­da­le - es gab ja auch viel an­de­res zu be­rich­ten. Das grund­le­gen­de Pro­blem ist damit na­tür­lich nicht ver­schwun­den; ver­mut­lich war es auch Hin­ter­ge­dan­ke des iX-Chef­re­dak­teurs, das Pro­blem er­neut ins Ge­dächt­nis zu rufen, als er sich Ende 2008 selbst an­zeig­te. Er war re­dak­tio­nell für eine iX-Aus­ga­be ver­ant­wort­lich, auf deren bei­ge­leg­ter DVD auch "Ha­cker­tools" wie das Back­track-Li­ve­sys­tem ent­hal­ten waren. Letz­te Woche wurde das Ver­fah­ren ein­ge­stellt.

Es ist er­schre­ckend, wie schnell man sich der "Schlapp­hut-Zo­ne" zu nä­hern scheint, wenn man im Kon­text Si­cher­heit und an­ge­wand­te Kryp­to­gra­phie nach einer An­stel­lung sucht. Sehr häu­fig ist für die Stel­le dann eine Über­prü­fung zur "VS-GE­HEIM" (oder ähn­li­chem) nötig - mit­un­ter sogar be­reits im Vor­feld, für ein Be­wer­bungs­ge­spräch! Als ich das erste Mal auf eine sol­che An­for­de­rung ge­sto­ßen bin, habe ich mich erst­mal schul­ter­zu­ckend auf die Goog­le-Su­che ge­macht, was das genau be­deu­tet - beim BMWi gibt's die De­tails.

Kaum, daß die Mel­dung die Runde macht, daß sich die Ar­beits­grup­pe von Bund und Pro­vi­dern zur Ein­füh­rung von Netz­fil­tern via Pro­vi­der-AGBs er­geb­nis­los auf­ge­löst hat, folgt der nächs­te Pau­ken­schlag: Die Im­mu­ni­tät des SPD-Ab­ge­or­den­ten Tauss wurde auf­ge­ho­ben, gegen Tauss wird wegen des Ver­dachts auf Be­sitz von Kin­der­por­no­gra­phie er­mit­telt. Tauss hatte sich in der Ver­gan­gen­heit da­durch her­vor­ge­tan, daß er sich ernst­haft mit der Tech­nik mo­der­ner Me­di­en (wie dem In­ter­net) be­fa­ß­te und ein schar­fer Kri­ti­ker über­trie­be­ner Über­wa­chungs- und Kon­troll­maß­nah­men war. So war er bei­spiels­wei­se einer der we­ni­gen, der - ent­ge­gen dem Par­teizwang - gegen den "Ha­cker­pa­ra­gra­phen" ge­stimmt hatte.

Mein Ser­ver ist auf neue Hard­ware um­ge­zo­gen - und dabei gab es un­vor­her­ge­se­he­ne Pro­ble­me, das ganze hätte still und heim­lich letz­te Nacht über die Bühne gehen sol­len. Wie auch immer: Nun läuft wie­der alles, und Ge­rüch­te einer Be­schlag­nah­mung wegen "fal­scher" Links o.ä. sind voll­kom­men über­trie­ben ;-)

Der Ein­satz von Wahl­com­pu­tern bei der Bun­des­tags­wahl 2005 war ver­fas­sungs­wid­rig - so lau­tet das eben ver­kün­de­te Ur­teil des Bun­des­ver­fas­sungs­ge­richts. Die Klä­ger ar­gu­men­tier­ten, daß es un­mög­lich sei, "das Zu­stan­de­kom­men des Wahl­er­geb­nis­ses über­haupt zu kon­trol­lie­ren". Die Rich­ter be­stä­tig­ten diese Aus­sa­ge - eine Über­prüf­bar­keit der Stimm­aus­zäh­lung war nicht ge­ge­ben, denn "Pro­gram­mier­feh­ler in der Soft­ware oder ziel­ge­rich­te­te Wahl­fäl­schun­gen durch Ma­ni­pu­la­ti­on der Soft­ware bei elek­tro­ni­schen Wahl­ge­rä­ten (sind) nur schwer er­kenn­bar".

Rein hy­po­the­tisch: Ich habe einen Kum­pel, der einen Freund hat, des­sen Be­kann­ter eine Bank über­fal­len hat - und ich werde dar­auf­hin ver­haf­tet. Ab­surd? Si­cher­lich, aber näher an der Rea­li­tät, als einem lieb ist: Bei einem Blog­ger gab es eine Haus­durch­su­chung mit Be­schlag­nah­mung des Rech­ners (und sämt­li­cher Pe­ri­phe­rie); er hatte sich in sei­nem Blog an der Dis­kus­si­on um Netz­fil­ter gegen Kin­der­por­no­gra­phie be­tei­ligt und dabei auf ein an­de­res Blog ver­linkt. Die­ses wie­der­um ver­link­te die bei Wi­ki­leaks auf­ge­tauch­te dä­ni­sche Sperr­lis­te (wel­che ja po­ten­ti­ell Links auf Kin­der­por­no­gra­phie ent­hält).

dbus-actions

Mo­men­tan ent­hält das Pro­gramm drei Mo­du­le: Mein GPS-Log­ger-Mo­dul (spe­zi­ell für das Holux M241), ein De­bug­ging-Mo­dul (das alle dbus-Nach­rich­ten an­zeigt) sowie ein ge­ne­ri­sches Modul, mit dem man sich in­di­vi­du­el­le Ak­tio­nen für neu an­ge­steck­te Hot­p­lug-Ge­rä­te zu­sam­men­bau­en kann.

Das Thema gärt be­reits seit Ende letz­tem No­vem­ber - hier for­der­te Fa­mi­li­en­mi­nis­te­rin Ur­su­la von der Leyen ein ri­go­ro­ses Vor­ge­hen gegen Kin­der­por­no­gra­phie mit Hilfe von Netz­sper­ren: "Ich bin fest ent­schlos­sen und von die­ser Bahn bringt mich auch kei­ner mehr ab". Ihre Mei­nung sorg­te für stark ge­spal­te­nes Echo (auch im ei­ge­nen Lager), und da ihr Ziel of­fen­sicht­lich nicht so schnell zu er­rei­chen war, wie sie ur­sprüng­lich ge­plant hatte, schlug sie einen zwei­ten Weg ein: Die gro­ßen Pro­vi­der soll­ten dazu ge­bracht wer­den, einen Ver­trag zur Um­set­zung von Sperr­lis­ten zu un­ter­zeich­nen - so soll­te der Weg über die Ver­ab­schie­dung eines Ge­set­zes ab­ge­kürzt wer­den. Ein Ak­tio­nis­mus, der all­ge­mein auf Un­ver­ständ­nis stieß.

Vor knapp zwei Wo­chen wurde phpbb.​com ge­hackt - und rund 20000 Pass­wör­ter der User im Netz ver­öf­fent­licht. Bei Dark­rea­ding gibt es nun einen Ar­ti­kel, der die Stär­ke der ge­wähl­ten Pass­wör­ter ana­ly­siert - sehr in­ter­es­sant ist auch der Ver­gleich zum Vor­fall vor an­dert­halb Jah­ren, bei dem über eine Phis­hing-Sei­te MyS­pace-Pass­wör­ter ge­sam­melt und ana­ly­siert wur­den. Meine da­ma­li­ge Aus­sa­ge be­züg­lich der Stär­ke der selbst ge­wähl­ten Pass­wör­ter ("ich per­sön­lich deut­lich schlim­me­res ver­mu­tet") muß ich wohl re­la­ti­vie­ren: Ein Teil der Stär­ke rührt wohl von den Zwangs­maß­nah­men von MyS­pace her, die eine Pass­wort­län­ge von 6-10 Zei­chen und min­des­tens ein Son­der­zei­chen er­zwin­gen. phpbb.​com tat dies nicht, und prompt sieht die Quote schlech­ter aus.

Ich bin der Über­zeu­gung, daß Er­geb­nis­se wis­sen­schaft­li­cher For­schung mög­lichst frei zu­gäng­lich sein soll­ten. Ab­ge­se­hen davon ist das die Chan­ce, daß sich noch der eine oder an­de­re Leser fin­det, der sich für die The­ma­tik in­ter­es­siert :-) Daher stel­le ich meine Dis­ser­ta­ti­on als PDF zum Down­load unter der Crea­ti­ve-Com­mons-Li­zenz BY-NC-ND zur Ver­fü­gung.

Die­ser Ar­ti­kel soll einen Blick auf das Last­schrift-Ver­fah­ren wer­fen (Be­ginn der Ar­ti­kel­se­rie hier). Mit einer Last­schrift be­las­tet man ein frem­des Konto um einen be­stimm­ten Be­trag, der dem ei­ge­nen Konto gut­ge­schrie­ben wird. Ju­ris­tisch ist hier­zu eine Last­schrift-Er­mäch­ti­gung not­wen­dig: Ein form­lo­ses Schrei­ben, in dem der Kon­to­in­ha­ber einem Drit­ten per Un­ter­schrift ge­stat­tet, ein­ma­lig oder bis auf Wi­der­ruf das ei­ge­ne Konto zu be­las­ten.

Geek Fun: Nach mit­tel­eu­ro­päi­scher Zeit wird heute Nacht um 00:31 Uhr und 30 Se­kun­den die Unix Epoch Time (also die Zahl der Se­kun­den seit dem 1. Ja­nu­ar 1970 UTC) den Wert 1234567890 (de­zi­mal) er­rei­chen :-)

Ein gutes Pass­wort ist eines, das weder von Men­schen noch durch sys­te­ma­ti­sches Pro­bie­ren her­aus­zu­fin­den ist. "Sys­te­ma­ti­sches Pro­bie­ren" wird ty­pi­scher­wei­se mit Pass­wort-Bru­te-Force-Kna­ckern wie John the Rip­per au­to­ma­ti­siert, wel­che unter an­de­rem eine Dic­tio­na­ry At­tack im­ple­men­tie­ren. Diese be­nö­tigt als Grund­la­ge Wort­lis­ten (Dic­tio­na­ries), wel­che dann nach be­stimm­ten Re­geln va­ri­iert wer­den. CeWL ist ein Tool, um sol­che Lis­ten aus Web­sei­ten zu ge­ne­rie­ren.

Im letz­ten Som­mer hatte der Bun­des­ver­band der Ver­brau­cher­zen­tra­len per Pro­be­kauf be­legt, wie der il­le­ga­le Han­del mit Kun­den­da­ten flo­riert - und damit den "Da­ten­schutz­som­mer" los­ge­tre­ten. Ein ehe­ma­li­ger Call­cen­ter-An­ge­stell­ter hatte dem Ver­band 6 Mil­lio­nen Da­ten­sät­ze (ein­schlie­ß­lich Bank­ver­bin­dun­gen) ver­kauft. Dafür stand er nun vor Ge­richt - und wurde zu einer Geld­stra­fe von 900 Euro ver­ur­teilt. Ich fasse es nicht - die Mes­sa­ge die­ses Ur­teils: Da­ten­han­del lohnt sich!

Durch die Da­ten­wei­ter­ga­be haben mög­li­cher­wei­se zehn­tau­sen­de Bür­ger Sche­re­rei­en mit nicht ge­neh­mig­ten Last­schrift-Ab­bu­chun­gen (und, wenn sie diese nicht recht­zei­tig be­mer­ken und rück­bu­chen las­sen, auch den rea­len Scha­den). Auf die Da­ten­sät­ze her­un­ter­ge­rech­net setz­te das Ge­richt eine Stra­fe von 0,015 Cent(!) pro Per­son an... zum Ver­gleich: Zwei­mal mit 0,5 Pro­mil­le am Steu­er er­wischt wer­den kos­tet 750 Euro - und vier Mo­na­te Fahr­ver­bot!

Auf der an­de­ren Seite sind sol­che Daten für Kri­mi­nel­le eine Gold­gru­be: Al­lein die Last­schrift-Num­mer dürf­te ei­ni­ges an Geld brin­gen. Über wel­chen Pfad die Daten wei­ter­ge­ge­ben wur­den, ist für die Be­trof­fe­nen fak­tisch nicht nach­voll­zieh­bar - es gibt für die Wei­ter­ga­be keine Spu­ren, und die Ef­fek­te tre­ten von der Da­ten­er­he­bung zeit­lich voll­kom­men ent­kop­pelt auf. Die Ge­fahr, beim Da­ten­han­del er­wischt zu wer­den ist also sehr ge­ring; und selbst wenn: 900 Euro Stra­fe sind Pea­nuts!

Die Schutz­vor­keh­run­gen in Fir­men bzgl. per­so­nen­be­zo­ge­ner Daten wer­den of­fen­bar üb­li­cher­wei­se stief­müt­ter­lich be­han­delt, der Wert der Daten beim il­le­ga­len Ver­kauf dürf­te er­heb­lich sein, eben­so die Ge­win­ne bei der Ver­wen­dung (wie bei­spiels­wei­se in die­sem Fall), die Chan­ce er­wischt zu wer­den, ist mi­ni­mal, die Höhe der Stra­fe lä­cher­lich (und ganz be­stimmt nicht ab­schre­ckend)... Da­ten­han­del lohnt sich. In An­be­tracht die­ser Um­stän­de ver­wun­dert es nicht mehr, wenn sich her­aus­stel­len soll­te, daß das letz­te Jahr erst die Spit­ze des Eis­bergs war.

Auf dem 25C3 hatte eine Grup­pe einen Vor­trag ge­hal­ten, wie das Storm Bot­net zu kon­trol­lie­ren ist (Tor­rent des Vi­deo­mit­schnitts). In­zwi­schen war sogar die Nach­richt zu hören, daß das Ver­fah­ren in­zwi­schen so weit ver­bes­sert wurde, daß man voll­stän­di­ge Kon­trol­le über das Bot­netz er­lan­gen kann. Man wäre in der Lage, bei­spiels­wei­se den Be­fehl zum Nach­la­den be­lie­bi­ger Pro­gram­me zu geben - und ein Pro­gramm zum Ent­fer­nen des Wurms haben die Leute auch schon am Start. Die­sen Schritt hat man frei­lich nicht voll­zo­gen - aus recht­li­chen Grün­den.

Na, diese Schlag­zei­le lese ich doch gerne - ins­be­son­de­re auf dem Pro­pa­gan­da-Blog der RFID-Lob­by:

Screenshot rfid-weblog.com

Der Hin­ter­grund der Mel­dung ist be­deu­tend tra­gi­scher: Papua hatte die per­ver­se Idee, AIDS-In­fi­zier­te mit im­plan­tier­ten RFIDs zu chip­pen - um so die Aus­brei­tung von AIDS ein­zu­däm­men. Ab­so­lut men­schen­ver­ach­tend. Und als ob Nicht­in­fi­zier­te erst einen RFID-Scan durch­füh­ren wür­den, bevor sie mit ir­gend­je­man­dem ins Bett stei­gen...

Auf dem 25. Chaos Com­mu­ni­ca­ti­on Con­gress stell­te der Vor­trag "MD5 con­side­red harm­ful today" (zu­nächst unter dem kryp­ti­schen Titel "Ma­king the theo­re­ti­cal pos­si­ble" an­ge­kün­digt) einen er­folg­rei­chen An­griff auf MD5-Has­hes in SSL-Zer­ti­fi­ka­ten vor (auf der Seite der Au­to­ren gibt es ein aus­führ­li­ches Vor­trags­skript, ein Vi­deo­mit­schnitt ist via Bit­tor­rent ver­füg­bar). Die Grup­pe ma­ni­pu­lier­te ein selbst er­stell­tes (und on einer Root-CA si­gnier­tes) Web­sei­ten-Zer­ti­fi­kat so, daß es als "in­ter­me­dia­te CA" ver­wend­bar war; die Kor­rekt­heit der Si­gna­tur der Root-CA be­hiel­ten sie mit Hilfe einer "Cho­sen Pre­fix At­tack" auf den MD5-Hash der Zer­ti­fi­kats­da­ten bei. Mit Hilfe die­ses Zer­ti­fi­kats war es mög­lich, be­lie­bi­ge (und von Brow­sern als gül­tig und ver­trau­ens­wür­dig ak­zep­tier­te) We­bei­ten-Zer­ti­fi­ka­te selbst zu er­stel­len.

MD5 gilt be­reits seit län­ge­rem als ge­bro­chen und soll­te des­halb nicht mehr ver­wen­det wer­den. Trotz­dem kam bei ei­ni­gen Root-CAs nach wie vor MD5 im Er­stel­lungs­pro­zeß der Si­gna­tur zum Ein­satz (die ent­spre­chen­den CAs haben in­zwi­schen Bes­se­rung ge­lobt).

Eine "In­ter­me­dia­te CA" ist eine CA, die noch nicht im Brow­ser als ver­trau­ens­wür­di­ge Root-CA in­te­griert ist, aber von einer sol­chen zer­ti­fi­ziert wurde - das heißt, sie wurde von die­ser si­gniert und mit dem Ver­merk ver­se­hen, daß die­ser Schlüs­sel dazu ver­wen­det wer­den darf, wie­der­um wei­te­re Zer­ti­fi­ka­te zu be­lau­bi­gen. Ein An­grei­fer kann sich so bei­spiels­wei­se ein Zer­ti­fi­kat für eine On­line­bank er­stel­len, eine der (be­rühmt-be­rüch­tig­ten) ge­spoof­ten On­line­bank-Sei­ten er­stel­len, auf die er seine Opfer mit ge­eig­ne­ten Tricks (DNS-Spoo­fing, Ma­ni­pu­la­ti­on der Hosts-Da­tei oder gar einem ei­ge­nen DNS-Ser­ver, den er sei­nen Op­fern mit­tels eines tro­ja­ni­schen Pferds, wel­ches als DHCP-Ser­ver agiert, un­ter­schiebt) lockt... und im Ge­gen­satz zu frü­her er­scheint nun keine War­nung des Brow­sers, daß mit dem SSL-Zer­ti­fi­kat der Web­sei­te etwas nicht in Ord­nung ist.

Bruce Schnei­er ar­gu­men­tiert, daß dies keine ernst­haf­te Ver­schlim­me­rung der Si­tua­ti­on sei, da die meis­ten Leute mit sol­chen War­nun­gen oh­ne­hin nichts an­fan­gen könn­ten und sie des­halb igno­rie­ren wür­den. Ich finde, daß das die Si­tua­ti­on ver­harm­lost; es gibt doch viele Leute (wie mich ;-), die sol­che War­nun­gen ernst­neh­men - und die Warn­mel­dung von Fi­re­fox 3 ist so pe­ne­trant, daß man sie nicht ein­fach we­gi­gno­rie­ren kann.

Die Fi­re­fox-Ex­ten­si­on SSL Black­list wurde von den Au­to­ren prompt er­wei­tert: Ur­sprüng­lich dien­te sie dazu, vor Zer­ti­fi­ka­ten zu war­nen, die mit der von De­bi­an ver­kack­ten OpenS­SL-Ver­si­on er­stellt wur­den. Nun warnt das Plu­gin auch vor Web­site-Zer­ti­fi­ka­ten, in deren Zer­ti­fi­kat­ket­te MD5-Si­gna­tu­ren zum Ein­satz kom­men. Die In­stal­la­ti­on des Plug­ins würde ich durch­aus emp­feh­len (Leute, die mit der Ma­te­rie nicht ver­traut sind, muß man na­tür­lich brie­fen, was die Warn­mel­dun­gen be­deu­ten).