14. September 2007

Microsoft spielt heimliche Updates ein

Category: Datenschutz,Produkte — Christian @ 21:49

Microsoft spielt anscheinend heimlich Updates auf die Rechner von Windows XP und Windows Vista Usern ein, auch wenn Windows Update das ausdrücklich untersagt.

Wer einmal lügt, dem glaubt man nicht, auch wenn er dann die Wahrheit spricht.

Im vorliegenden Fall, der von Windows Secrets detailliert analysiert wurde, ging es (noch) nur um die Aktualisierung der Windows Update Software selbst. Die Erklärung von Microsoft dazu klingt mir persönlich ja etwas hanebüchen:

    „Had we failed to update the service automatically, users would not have been able to successfully check for updates and, in turn, users would not have had updates installed automatically or received expected notifications.“

Auf deutsch: Wenn Microsoft die Updates nicht heimlich eingespielt hätte, hätten die Anwender keine Updates mehr zum Einspielen mit Bestätigung angezeigt bekommen. Ich frage mich ja, wieso findet die Update-Software dann heimliche Updates, solche die der Anwender bestätigen kann aber nicht?

Unabhängig von der technischen Thematik entsteht jedoch ein gefährlicher Präzedenzfall. Wenn ich mich nicht mehr darauf verlassen kann, dass mich Windows Update informiert, bevor Updates eingespielt werden, muss ich die Software komplett deaktivieren.

Von Microsoft sind wir inzwischen leider gewohnt, nicht immer die ganze die Wahrheit zu erfahren. Tatsachen werden verdreht, wichtige Informationen „vergessen“ und nur das zugegeben, was wirklich herauskommt. Die Gefahr ist mir persönlich zu groß, dass Microsoft mir sonst heimlich DRM, WGA oder ähnlichen Schrott unterjubelt, den kein Mensch haben möchte, der die Systeme verlangsamt, den Anwender entmündigt und die Kontrolle des Systems an den Hersteller überträgt. Und natürlich könnten andere Unternehmen ebenfalls auf den Geschmack kommen, heimlich Updates einzuführen.

10. September 2007

Presseschau zum Bundestrojaner (Teil 5)

Category: Datenschutz,Literatur,Politik — Christian @ 23:28

Nachdem N-TV ja die Nachrichten von Sat.1 produziert, können wir vermutlich davon ausgehen, dass die N-TV Webseite auch die autoritative Nachrichtenquelle der ProSiebenSat.1 Media AG ist. Deshalb interessiert es mich durchaus, im Vergleich zur eher linken Süddeutschen Zeitung, der rechten Welt, der konservativen FAZ und der öffentlich-rechtlichen ARD, was die privaten Sender so dazu schreiben.

Insgesamt kommt mir die Berichterstattung bei N-TV überraschend kompetent und kritisch daher, ganz im Gegensatz zur scheinbar seriöseren Welt. Der folgende Absatz aus dem Kommentar vom 13.07.2007 ist bezeichnend:

    Würde der Regierung tatsächlich an der öffentlichen Sicherheit gelegen sein, hätte sie nicht tatenlos zugesehen, wie seit dem 11. September 2001 tausende (!) Stellen bei der Polizei gestrichen wurden. Die kosten allerdings Geld – ganz im Gegensatz zur sinnfreien und hysterischen Debatte über „gezielte Tötungen“ und Online-Razzien. Das wirft letztlich die Frage auf, ob der Innenminister, der diese Debatte betreibt, sich lediglich als „harter Hund“ profilieren will, oder ob bei diesem Mann, der immerhin durch einen Anschlag schwer traumatisiert und fast um seine Karriere gebracht wurde, noch mehr dahinter steckt. Beide Alternativen sind allerdings nicht gerade ermutigend.

Sehr gute Einschätzung.

Virtual Earth zeigt geheimen U-Boot Antrieb

Category: Datenschutz,Hacking,Internet — Christian @ 22:28

Sehr schön! Ab und zu ist Microsoft sogar zu was gut … Jetzt haben die von Microsoft in Virtual Earth veröffentlichten Satellitenbilder eine geheimen U-Boot Antrieb mit einer interessant geformten Schiffsschraube veröffentlicht. Die USA waren „not amused“.

Der U-Boot Antrieb bei Live Search

Und vorsichtshalber eine lokale Kopie:

Vielleicht stößt das in den USA auch mal eine Privacy-Diskussion an. Die vielen spannenden Bilder in der Google Street Search machen einem langsam Angst. Demnächst muss man wirklich damit rechnen, unversehens im Internet zu stehen und kann sich kaum vernünftig dagegen wehren. Aber gut, wenn es das US-Militär auch mal erwischt.

(via Welt)

6. September 2007

Privacy

Category: Datenschutz — Christian @ 19:52

Ein Beitrag von der American Civil Liberties Union (ACLU)

3. September 2007

Onlinedurchsuchung?

Category: Datenschutz,Offtopic — Christian @ 20:48

eben bei Sakana gefunden:

    … wenn man des Nächtens durch plötzliches geschäftiges Treiben der Rechner im Nebenzimmer aufwacht, könnte man denken: „Ach, cronjobs…“ und beruhigt weiterschlafen. Statt dessen schreckt man auf: „ONLINEDURCHSUCHUNG!“
2. September 2007

Presseschau zum Bundestrojaner (Teil 4)

Category: Datenschutz,Literatur,Politik — Christian @ 00:24

Teil 4: Die Welt Online

eine Zeitung der reaktionären Springer-Presse

Der Springer-Verlag ist schon krass. Während alle seriösen Online-Medien in den letzten Tagen externe Experten (z.B. vom CCC) an Bord geholt haben und die Kritik am Vorgehen Schäubles von allen Seiten mit Ausnahme der CSU zunimmt, kommt kaum ein Wort der Kritik auf die Seiten des Springer-Verlags. Ich wusste ja, dass Springer unbeirrt hinter Schäuble her rollt, aber so extrem habe ich das nicht erwartet. Eigentlich sollte man die gar nicht verlinken.

1. September 2007

Presseschau zum Bundestrojaner (Teil 3)

Category: Datenschutz,Literatur,Politik — Christian @ 18:49

Teil 3: Die öffentlich rechtlichen ARD und Dritte

ARD (nur Textbeiträge, keine Videonachrichten)

WDR:

Außerdem einige Zusammenstellungen:

31. August 2007

Presseschau zum Bundestrojaner (Teil 2)

Category: Datenschutz,Literatur,Politik — Christian @ 00:58

Teil 2: Frankfurter Allgemeine Zeitung

Die begründete Kritik des Stern diffamiert die FAZ leider mit dem Kommentar, die Nachfolger Henry Nannens üben sich im Widerstand. Dabei hat der Stern nicht unrecht mit diesem Kommentar:

Der Innenminister: das ist der Mann, der „das Geschäft der Terroristen besorgt, indem er die freiheitliche Gesellschaft so abschnürt, dass die Freiheit stirbt“.

Update folgt.

30. August 2007

Presseschau zum Bundestrojaner (Teil 1)

Category: Datenschutz,Literatur,Politik — Christian @ 00:52

Ich muss mir mal ein paar Links aufheben:

Teil 1: Süddeutsche Zeitung:

Update:

Weitere Updates folgen.

29. August 2007

Neues vom Bundestrojaner

Category: Datenschutz,Politik — Christian @ 23:23

Also eigentlich will ich ja Politik weitgehend aus diesem Blog heraus halten, es soll schon weiterhin um IT-Security gehen, aber manchmal überschneidet sich das einfach zu sehr. Das Bundesinnenministerium bekommt zur Zeit schließlich von allen auf den Deckel, denn weniger Kompetenz in IT-Fragen geht eigentlich kaum noch. Inzwischen sind ein paar Dokumente bekannt geworden und von netzpolitik.org veröffentlicht, was sich das Bundesinnenministerium da so vorstellt. Ein paar Zitate will ich hier heraus greifen:

    „Es gibt eine Vielzahl von Einbringungsmöglichkeiten, die nunmehr auf Tauglichkeit für den jeweiligen Einsatz überprüft und eventuell angepasst werden müssen. Grundsätzlich ist dabei die unwissentliche Mitwirkung der Zielperson notwendig, um einen Entdeckung der Maßnahme zu verhindern. Eine generelle Aussage zur genauen Einbringungsmethode ist nicht möglich […]“

Aha, die erwarten also wirklich, dass der dumme User auf ein Attachment klickt und dann den Trojaner selbst installiert. Ich dachte ja eher an verdeckt in eine Wohnung eindringen, den Rechner aufschrauben, den Trojaner auf der Platte installieren und dann heimlich wieder abhauen, also so richtig coole Stasi-Methoden. Anscheinend ist das mit dem Einsteigen in die Wohnung aber eine größere Verfassungsänderung, also muss das wohl anders passieren. Ich fürchte ja, bei Beckstein und Co. dürfte das auch klappen. Aber Politiker sollten nicht immer von ihrem beschränkten Wissen auf andere schließen.

    „Die gewonnenen Ergebnisse werden so lange verschlüsselt auf dem informationstechnischen System zwischengelagert, bis eine Internetverbindung durch die Zielperson hergestellt wird. Bei aktiver Internetverbindung werden die verschlüsselten Daten auf einen von den Sicherheitsbehörden genutzten Server übertragen.“

Hihi, also wäre eine einfache Möglichkeit sich gegen den Bundestrojaner zu schützen, einfach die Festplatte zumüllen. Dann ist kein Platz für die Zwischenspeicherung. Mein DSL-Router protokolliert übrigens alle ein- und ausgehenden Verbindungen mit, die Protokolle werden auch zeitnah ausgewertet. Da fällt das auf, wenn plötzlich größere Datenmengen verschoben werden. Die rechnen echt nur mit dem dümmsten anzunehmenden User.

    „Das Versenden von E-Mails unter dem Namen einer anderen Behörde wäre mit großen Risiken verbunden und könnte nur in begründeten Ausnahmefällen in Absprache mit der betroffenen Behörde zum Einsatz kommen.“

Das klingt doch super und die Tagesschau hat das schön visualisiert. Ich kommuniziere ja ab und zu digital mit Behörden. Ich lasse mir jetzt von allen schriftlich mit Vertragsstrafe versichern, dass sie mir keinen Bundestrojaner schicken und mich sofort informieren, wenn das BKA auf sie zukommt. Wäre lustig, wenn das alle Bürger so machen würden 🙂 Krass ist jedoch, dass sie damit e-Government quasi komplett einstellen können. Wer vertraut denn noch so einer Regierung?

  • „Grundsätzlich bestehen folgende Umgehungs/-Überwindungsmöglichkeiten (Anm.: für Verschlüsselung):
    1. „Abzweigen“ der Klar-Information vor bzw. nach Ver-/Entschlüsselung
    2. Verwendung von absichtlich „geschwächten“ Verschlüsselungsprodukten
    3. treuhänderische Hinterlegung von kryptographischen Schlüsseln („key escrow“)
    4. Zugriff auf im System gespeicherte oder über Tastatur eingegebene Schlüssel durch Einsatz von „Sniffer“-Software“

Sie haben aber erkannt, dass 2 und 3 zur Zeit politisch nicht durchsetzbar sind. Das erinnert mich an den SchlAG von Andreas Pfitzmann. Unbedingt lesen, sehr intelligent geschrieben.

    „Ausgeschlossen werden kann, dass Daten auf dem Zielsystem durch den Einsatz der RFS manipuliert werden, da der Einsatz umfangreich und nachvollziehbar dokumentiert wird.“

Das kenne ich von anderen Softwarefirmen. Sicherheitsrisiken können natürlich komplett ausgeschlossen werden. Vielleicht lassen sie die Software von Microsoft entwickeln?

    „Speziell wird sichergestellt, dass die Software nicht ohne erheblichen Aufwand dazu veranlasst werden kann, an einen anderen Server als den vom Bundeskriminalamt verwendeten zurückzumelden, und dass die Software weder von außen erkannt noch angesprochen werden kann.“

Aha.

    „Die Durchführung einer Online-Durchsuchung soll ebenfalls lückenlos dokumentiert werden. So werden die Einbringung der RFS auf den Zielrechner, jeder Remote-Zugriff auf den Zielrechner, alle Befehle für den Zielrechner und die Übertragung der Daten vom Zielrechner protokolliert.“

Verstehe ich jetzt nicht. Grad eben hat das Bundesinnenministerium doch noch behauptet, dass die Software von außen weder erkannt noch angesprochen werden kann. Aber Remote-Zugriff ist doch möglich? Werden die beschlagnahmten Drogen denn nicht vernichtet sondern im BMI verbraucht? Und wie wollen die protokollieren, wenn die Festplatte z.B. voll ist? Wird dann nicht durchsucht?

    „Das Bundeskriminalamt hat beim (verdeckten) Zugriff auf das informationstechnische System kein Interesse an der Kenntnisnahme etwa von Krankheitsberichten, Tagebüchern oder Liebesbriefen. Von Interesse sind vielmehr allein ermittlungsrelevante Informationen zu Terroristen und Extremisten, […]“

Terroristen und Extremisten. So wie in der Definition des StGB 129a, da fällt der CCC vermutlich jetzt auch schon drunter. Wegen organisierter Verstöße gegen StGB 202c. In wenigen Jahren sind Filesharer dann auch Extremisten, das kennen wir von anderen Beispielen wie dem Kontozugriff oder der Autobahnmaut.

    „Bei der hier in Rede stehenden RFS handelt es sich nicht um eine „Spionagesoftware“, sondern um ein technisches Mittel zur Datenerhebung.“

Stimmt. Back Orifice ist auch kein Backdoor-Programm sondern ein Remote-Administrationstool. Ich frage mich ja, wenn das BMI dieses Teil auf meinem Rechner installiert und ich das finde und für einen Hackerangriff verwende, muss dann der Bundesinnenminister wegen Zugänglichmachung der „Hackingtools“ nach §202c in den Knast?

    „Abgesehen davon, dass das Entdeckungsrisiko als solches als gering einzustufen ist, wäre eine anschließende Manipulation im Vergleich zu anderen Möglichkeiten der Nutzung von frei verfügbarer Schadsoftware extrem aufwendig.“

Schon, aber das hat noch nie jemanden abgehalten, z.B. das iPhone freizuschalten oder die XBox zu hacken. Ein wenig naiv ist die Vorstellung der Beamten da schon.

    „Die Sicherheitsbehörden und das Bundesministerium des Innern verfügen grundsätzlich über genügenden Sachverstand. [Anm.: bei der Konfiguration von Online-Durchsuchungen].“

Ha, ist das so viel Sachverstand wie bei den Chinesen-Trojanern? Die machen sich doch komplett lächerlich! Das ist ja gar nicht mehr zu fassen.

Sehr schön ist folgende Feststellung der SPD-Fraktion:

    „Damit einher geht eine Umwertung der bisherigen Sicherheitspolitik. Die Sicherheitsbehörden und das BSI machen das Netz nicht sicherer, sondern im Gegenteil: Es gibt ein staatliches Interesse, „Hintertüren“ in Betriebs- und Anwendungssysteme zu nutzen oder sogar „einzubauen“. Hinzu kommt, dass wenn die deutschen Sicherheitsbehörden heimlich auf Rechner zugreifen können, dass dies dann auch Dienste anderer Staaten können.“

Da scheint jemand tatsächlich einen Teil der Problematik auf den Punkt gebracht zu haben.

Naja, warten wir ab … Sony hat sich bei so etwas ähnlichem schon mal eine blutige Nase geholt.