11. September 2007
… diesmal nur Pornographie und natürlich lässt sich die Zensur trivial umgehen, aber es ist ein interessanter Präzedenzfall, dass ein Provider nicht mehr nur DNS-Einträge sperrt sondern jetzt auch komplette IP-Adressen nullroutet. Lustigerweise diesmal anscheinend auf Wunsch von Juguard, einem Verein der die heimischen Videoverleiher vor der bösen Internet-Pornographie mit dem Argument des Jugendschutzes schützen soll.
Die AGB von Arcor erlauben das, also scheint Arcor sich formal im Recht zu befinden (sofern die AGB wirksam sind, für mich wären die jetzt überraschend). Meine Empfehlung daher: Finger weg von Arcor.
Zum Umgehen nimmt man halt einfach einen beliebigen Anonymisierungsdienst:
oder meinetwegen auch Tor. Aber bitte darauf achten: Das sind alles nur Anonymisierungsdienste, die die Identität schützen, nicht die Datenübertragung. Das kann (und wird) wie Deranged Security gezeigt hat alles abgehört. Also bitte möglichst immer HTTPS, SSL, SSH, PGP, GPG, etc. verwenden.
Oder mit Martin Niemöller:
Als die Nazis die Kommunisten holten, habe ich geschwiegen, ich war ja kein Kommunist.
Als sie die Sozialdemokraten einsperrten, habe ich geschwiegen, ich war ja kein Sozialdemokrat.
Als sie die Gewerkschafter holten, habe ich geschwiegen, ich war ja kein Gewerkschafter.
Als sie mich holten, gab es keinen mehr, der protestieren konnte.
10. September 2007
Nachdem N-TV ja die Nachrichten von Sat.1 produziert, können wir vermutlich davon ausgehen, dass die N-TV Webseite auch die autoritative Nachrichtenquelle der ProSiebenSat.1 Media AG ist. Deshalb interessiert es mich durchaus, im Vergleich zur eher linken Süddeutschen Zeitung, der rechten Welt, der konservativen FAZ und der öffentlich-rechtlichen ARD, was die privaten Sender so dazu schreiben.
Insgesamt kommt mir die Berichterstattung bei N-TV überraschend kompetent und kritisch daher, ganz im Gegensatz zur scheinbar seriöseren Welt. Der folgende Absatz aus dem Kommentar vom 13.07.2007 ist bezeichnend:
Würde der Regierung tatsächlich an der öffentlichen Sicherheit gelegen sein, hätte sie nicht tatenlos zugesehen, wie seit dem 11. September 2001 tausende (!) Stellen bei der Polizei gestrichen wurden. Die kosten allerdings Geld – ganz im Gegensatz zur sinnfreien und hysterischen Debatte über „gezielte Tötungen“ und Online-Razzien. Das wirft letztlich die Frage auf, ob der Innenminister, der diese Debatte betreibt, sich lediglich als „harter Hund“ profilieren will, oder ob bei diesem Mann, der immerhin durch einen Anschlag schwer traumatisiert und fast um seine Karriere gebracht wurde, noch mehr dahinter steckt. Beide Alternativen sind allerdings nicht gerade ermutigend.
Sehr gute Einschätzung.
5. September 2007
The Monkey Cage
Start with a cage containing five monkeys. Inside the cage, hang a banana on a string and place a set of stairs underneath it. Before long, a monkey will go to the stairs and start to climb towards the banana. As soon as he touches the stairs, spray all of the other monkeys with cold water. After awhile, another monkey makes the attempt with the same result – all the other monkeys are sprayed with cold water. Pretty soon, when another monkey tries to climb the stairs, the other monkeys will prevent it.
Now, put away the cold water. Remove one monkey from the cage and replace that monkey with a new one. The new monkey sees the banana and wants to climb the stairs. To his surprise and horror, all the other monkeys attack him. After another attempt and another attack, he knows that if he tries to climb the stairs, he will be assaulted.
Next, remove another one of the original monkeys and replace it with a new one. The newcomer goes to the stairs and is attacked. the previous newcomer takes part in the punishment with enthusiasm! Likewise, replace a third original monkey with a new one, then a fourth, then the fifth.
Everytime the newest monkey takes to the stairs, he is attacked. Most of the monkeys that are beating him have no idea why they are not permitted to climb the stairs or why or why they are participating in the beating of the newest monkey. After replacing all of the original monkeys, none of the remaining monkeys have ever been sprayed with cold water. Nevertheless, no monkey ever again approaches the stairs to try for the banana.
Why not?
Because as far as they know, that’s the way it’s always been done around here.
And that, my friends, is how policy begins.
(via Security4all und Different River)
2. September 2007
Teil 4: Die Welt Online
eine Zeitung der reaktionären Springer-Presse
Der Springer-Verlag ist schon krass. Während alle seriösen Online-Medien in den letzten Tagen externe Experten (z.B. vom CCC) an Bord geholt haben und die Kritik am Vorgehen Schäubles von allen Seiten mit Ausnahme der CSU zunimmt, kommt kaum ein Wort der Kritik auf die Seiten des Springer-Verlags. Ich wusste ja, dass Springer unbeirrt hinter Schäuble her rollt, aber so extrem habe ich das nicht erwartet. Eigentlich sollte man die gar nicht verlinken.
1. September 2007
Teil 3: Die öffentlich rechtlichen ARD und Dritte
ARD (nur Textbeiträge, keine Videonachrichten)
WDR:
Außerdem einige Zusammenstellungen:
31. August 2007
Teil 2: Frankfurter Allgemeine Zeitung
Die begründete Kritik des Stern diffamiert die FAZ leider mit dem Kommentar, die Nachfolger Henry Nannens üben sich im Widerstand. Dabei hat der Stern nicht unrecht mit diesem Kommentar:
Der Innenminister: das ist der Mann, der „das Geschäft der Terroristen besorgt, indem er die freiheitliche Gesellschaft so abschnürt, dass die Freiheit stirbt“.
Update folgt.
30. August 2007
Ich muss mir mal ein paar Links aufheben:
Teil 1: Süddeutsche Zeitung:
Update:
Weitere Updates folgen.
29. August 2007
Also eigentlich will ich ja Politik weitgehend aus diesem Blog heraus halten, es soll schon weiterhin um IT-Security gehen, aber manchmal überschneidet sich das einfach zu sehr. Das Bundesinnenministerium bekommt zur Zeit schließlich von allen auf den Deckel, denn weniger Kompetenz in IT-Fragen geht eigentlich kaum noch. Inzwischen sind ein paar Dokumente bekannt geworden und von netzpolitik.org veröffentlicht, was sich das Bundesinnenministerium da so vorstellt. Ein paar Zitate will ich hier heraus greifen:
„Es gibt eine Vielzahl von Einbringungsmöglichkeiten, die nunmehr auf Tauglichkeit für den jeweiligen Einsatz überprüft und eventuell angepasst werden müssen. Grundsätzlich ist dabei die unwissentliche Mitwirkung der Zielperson notwendig, um einen Entdeckung der Maßnahme zu verhindern. Eine generelle Aussage zur genauen Einbringungsmethode ist nicht möglich […]“
Aha, die erwarten also wirklich, dass der dumme User auf ein Attachment klickt und dann den Trojaner selbst installiert. Ich dachte ja eher an verdeckt in eine Wohnung eindringen, den Rechner aufschrauben, den Trojaner auf der Platte installieren und dann heimlich wieder abhauen, also so richtig coole Stasi-Methoden. Anscheinend ist das mit dem Einsteigen in die Wohnung aber eine größere Verfassungsänderung, also muss das wohl anders passieren. Ich fürchte ja, bei Beckstein und Co. dürfte das auch klappen. Aber Politiker sollten nicht immer von ihrem beschränkten Wissen auf andere schließen.
„Die gewonnenen Ergebnisse werden so lange verschlüsselt auf dem informationstechnischen System zwischengelagert, bis eine Internetverbindung durch die Zielperson hergestellt wird. Bei aktiver Internetverbindung werden die verschlüsselten Daten auf einen von den Sicherheitsbehörden genutzten Server übertragen.“
Hihi, also wäre eine einfache Möglichkeit sich gegen den Bundestrojaner zu schützen, einfach die Festplatte zumüllen. Dann ist kein Platz für die Zwischenspeicherung. Mein DSL-Router protokolliert übrigens alle ein- und ausgehenden Verbindungen mit, die Protokolle werden auch zeitnah ausgewertet. Da fällt das auf, wenn plötzlich größere Datenmengen verschoben werden. Die rechnen echt nur mit dem dümmsten anzunehmenden User.
„Das Versenden von E-Mails unter dem Namen einer anderen Behörde wäre mit großen Risiken verbunden und könnte nur in begründeten Ausnahmefällen in Absprache mit der betroffenen Behörde zum Einsatz kommen.“
Das klingt doch super und die Tagesschau hat das schön visualisiert. Ich kommuniziere ja ab und zu digital mit Behörden. Ich lasse mir jetzt von allen schriftlich mit Vertragsstrafe versichern, dass sie mir keinen Bundestrojaner schicken und mich sofort informieren, wenn das BKA auf sie zukommt. Wäre lustig, wenn das alle Bürger so machen würden 🙂 Krass ist jedoch, dass sie damit e-Government quasi komplett einstellen können. Wer vertraut denn noch so einer Regierung?
- „Grundsätzlich bestehen folgende Umgehungs/-Überwindungsmöglichkeiten (Anm.: für Verschlüsselung):
- „Abzweigen“ der Klar-Information vor bzw. nach Ver-/Entschlüsselung
- Verwendung von absichtlich „geschwächten“ Verschlüsselungsprodukten
- treuhänderische Hinterlegung von kryptographischen Schlüsseln („key escrow“)
- Zugriff auf im System gespeicherte oder über Tastatur eingegebene Schlüssel durch Einsatz von „Sniffer“-Software“
Sie haben aber erkannt, dass 2 und 3 zur Zeit politisch nicht durchsetzbar sind. Das erinnert mich an den SchlAG von Andreas Pfitzmann. Unbedingt lesen, sehr intelligent geschrieben.
„Ausgeschlossen werden kann, dass Daten auf dem Zielsystem durch den Einsatz der RFS manipuliert werden, da der Einsatz umfangreich und nachvollziehbar dokumentiert wird.“
Das kenne ich von anderen Softwarefirmen. Sicherheitsrisiken können natürlich komplett ausgeschlossen werden. Vielleicht lassen sie die Software von Microsoft entwickeln?
„Speziell wird sichergestellt, dass die Software nicht ohne erheblichen Aufwand dazu veranlasst werden kann, an einen anderen Server als den vom Bundeskriminalamt verwendeten zurückzumelden, und dass die Software weder von außen erkannt noch angesprochen werden kann.“
Aha.
„Die Durchführung einer Online-Durchsuchung soll ebenfalls lückenlos dokumentiert werden. So werden die Einbringung der RFS auf den Zielrechner, jeder Remote-Zugriff auf den Zielrechner, alle Befehle für den Zielrechner und die Übertragung der Daten vom Zielrechner protokolliert.“
Verstehe ich jetzt nicht. Grad eben hat das Bundesinnenministerium doch noch behauptet, dass die Software von außen weder erkannt noch angesprochen werden kann. Aber Remote-Zugriff ist doch möglich? Werden die beschlagnahmten Drogen denn nicht vernichtet sondern im BMI verbraucht? Und wie wollen die protokollieren, wenn die Festplatte z.B. voll ist? Wird dann nicht durchsucht?
„Das Bundeskriminalamt hat beim (verdeckten) Zugriff auf das informationstechnische System kein Interesse an der Kenntnisnahme etwa von Krankheitsberichten, Tagebüchern oder Liebesbriefen. Von Interesse sind vielmehr allein ermittlungsrelevante Informationen zu Terroristen und Extremisten, […]“
Terroristen und Extremisten. So wie in der Definition des StGB 129a, da fällt der CCC vermutlich jetzt auch schon drunter. Wegen organisierter Verstöße gegen StGB 202c. In wenigen Jahren sind Filesharer dann auch Extremisten, das kennen wir von anderen Beispielen wie dem Kontozugriff oder der Autobahnmaut.
„Bei der hier in Rede stehenden RFS handelt es sich nicht um eine „Spionagesoftware“, sondern um ein technisches Mittel zur Datenerhebung.“
Stimmt. Back Orifice ist auch kein Backdoor-Programm sondern ein Remote-Administrationstool. Ich frage mich ja, wenn das BMI dieses Teil auf meinem Rechner installiert und ich das finde und für einen Hackerangriff verwende, muss dann der Bundesinnenminister wegen Zugänglichmachung der „Hackingtools“ nach §202c in den Knast?
„Abgesehen davon, dass das Entdeckungsrisiko als solches als gering einzustufen ist, wäre eine anschließende Manipulation im Vergleich zu anderen Möglichkeiten der Nutzung von frei verfügbarer Schadsoftware extrem aufwendig.“
Schon, aber das hat noch nie jemanden abgehalten, z.B. das iPhone freizuschalten oder die XBox zu hacken. Ein wenig naiv ist die Vorstellung der Beamten da schon.
„Die Sicherheitsbehörden und das Bundesministerium des Innern verfügen grundsätzlich über genügenden Sachverstand. [Anm.: bei der Konfiguration von Online-Durchsuchungen].“
Ha, ist das so viel Sachverstand wie bei den Chinesen-Trojanern? Die machen sich doch komplett lächerlich! Das ist ja gar nicht mehr zu fassen.
Sehr schön ist folgende Feststellung der SPD-Fraktion:
„Damit einher geht eine Umwertung der bisherigen Sicherheitspolitik. Die Sicherheitsbehörden und das BSI machen das Netz nicht sicherer, sondern im Gegenteil: Es gibt ein staatliches Interesse, „Hintertüren“ in Betriebs- und Anwendungssysteme zu nutzen oder sogar „einzubauen“. Hinzu kommt, dass wenn die deutschen Sicherheitsbehörden heimlich auf Rechner zugreifen können, dass dies dann auch Dienste anderer Staaten können.“
Da scheint jemand tatsächlich einen Teil der Problematik auf den Punkt gebracht zu haben.
Naja, warten wir ab … Sony hat sich bei so etwas ähnlichem schon mal eine blutige Nase geholt.
25. August 2007
Der Verfassungsschutz hat laut Spiegel Online auf einer Reihe von Rechnern von Bundesministerien und im Bundeskanzleramt Trojaner gefunden, die auf chinesische Herkunft hinweisen. Eine gute Nachricht … einfach analysieren, nachprogrammieren und schon gibt es den Bundestrojaner.
Aber im Ernst, Industriespionage ist natürlich ein wichtiges Thema und chinesische Firmen sind gut dabei, wenn es um deutsche Industrieprodukte gibt. Online spionieren ist natürlich beliebt, weil man dann keine Mitarbeiter vor Ort anzapfen muss aber auch chinesische Studenten und Praktikanten kopieren immer wieder mal sensible Daten. Die dienen dann gerne als Karrierekick wieder zu Hause in China.
19. August 2007
Sicherheit gibt es nicht umsonst. Sicherheit, insbesondere IT-Security hat immer auch mit Tradeoffs zu tun. Auf der einen Seite erreichen wir mehr Sicherheit, auf der anderen Seite werden System teurer und für die Benutzer unbequemer oder schlechter zu nutzen. Das fängt mit einfachen aber längst akzeptierten Maßnahmen wie Firewalls an. Durch die Implementierung einer Firewall im Netzwerk werden bestimmte Protokolle verboten. Je restriktiver die Firewall, umso weniger Dienste können für Angriffe verwendet werden aber umso weniger Möglichkeiten bleibt den Anwendern, Internet-Dienste zu nutzen.
Gleichzeitig ist der Mensch anscheinend unendlich schlecht, das Risiko von Sicherheitsvorfällen angemessen einzuschätzen. Unsere Risikobewertung scheint immernoch auf den Erfahrungen kleiner Familiengruppen etwa 500.000 vor Christus im Hochland von Ostafrika zu basieren. Insbesondere fällt es uns schwer, die notwendigen Basiswerte korrekt zu bewerten:
- die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen
- die Auswirkungen dieser Sicherheitsvorfälle
- die Kosten der Sicherheitsvorfälle und Gegenmaßnahmen
- die Wirksamkeit der Gegenmaßnahmen
- wir schlüssig Kosten aus Vorfällen und Gegenmaßnahmen verglichen werden können
Bruce Schneier hat in seinem Buch „Beyond Fear“ ein paar typische Probleme aufgeführt, die weitgehend psychologisch erklärt werden können:
- Menschen neigen dazu, spektakuläre aber seltene Risiken zu übertreiben und alltägliche Risiken herunterzuspielen, beispielsweise Flugzeugabstürze im Vergleich zu Verkehrsunfällen
- Menschen haben Probleme damit, Risiken in Bereichen einzuschätzen, die nicht ihrem typischen Erfahrungshorizont entsprechen, beispielsweise Risiken in der Raumfahrt
- Genau identifizierte und beschreibbare Risiken werden höher eingeschätzt als anonyme Risiken
- Menschen unterschätzen Risiken, die sie bereit sind einzugehen und übertreiben Risiken in Situationen, die sie nicht kontrollieren können
- Menschen überschätzen Risiken, die täglich in den Medien thematisiert werden, beispielsweise die Gefahr von Terroranschlägen
Dazu gibt es eine schöne Tabelle von Bruce Schneier:
| Menschen übertreiben Risiken die |
Menschen unterschätzen Risiken die |
| spektakulär sind |
gewöhnlich sind |
| selten auftreten |
häufig auftreten |
| personifizierbar sind |
anonym sind |
| außerhalb ihrer Kontrolle sind |
kontrollierbar sind bzw. bewußt gewählt werden |
| in den Medien diskutiert werden |
verschwiegen werden |
| absichtlich bzw. menschenverursacht sind |
natürliche Ursachen haben |
| sofort passieren |
langfristig passieren |
| plötzlich überraschend eintreten |
über einen langen Zeitraum eintreten |
| sie persönlich betreffen |
andere betreffen |
| für sie neu und ungewohnt sind |
sie gewohnt sind |
| sie nicht kennen |
sie gut verstehen |
| sich gegen ihre Kinder richten |
sich gegen sie selbst richten |
| moralisch verwerflich sind |
moralisch erwünscht sind |
| ohne Vorteil sind |
mit einem abstrakten Vorteil verbunden sind |
| nicht ihrem Bezugsfeld entsprechen |
typisch für ihr Bezugsfeld sind |
Wie viele Menschen erkranken aufgrund ihrer schlechten finanziellen Situation, weil sie sich keine gesunde Ernährung oder den Arztbesuch leisten können? Trotzdem scheint die Mehrheit der Bevölkerung in Deutschland lieber bereit, Geld für die Abwehr einer abstrakten Terrorgefahr auszugeben, anstatt die Situation der Menschen hier in Deutschland zu verbessern.
Vermutlich sollten wir den Entscheidungsträgern in Deutschland, sowohl in der Politik als auch in der IT-Sicherheit einen Psychologen als Hilfe beistellen.
