Mitternachtshacking

Manchmal hat da jemand eine große Klappe und in Wirklichkeit steckt nicht viel dahinter. Aber im Detail:

Die Augsburger Polizei rühmt sich in einer Presseerklärung, die Internetseite „Hacksector“ zerschlagen zu haben. Es handelt sich dabei um ein Forum mit 30.000 Usern und 700.000 Beiträgen. In diesem Forum beschäftigten sich die Nutzer angeblich hauptsächlich mit illegalen Praktiken, wie beispielsweise dem Austausch von Benutzerdaten, dem Kauf von Kreditkarteninformationen oder Anleitungen zum Knacken von Passwörtern. Mit einem speziellen Programm war es angeblich sogar möglich, innerhalb von Minuten einen gefälschten Bundespersonalausweis herzustellen.

Ich finde, das ist eine gewaltige Leistung der Augsburger Polizei. Eine offensichtlich international tätige (das Internet ist ja universell) kriminelle Bande mit 30.000 Mitgliedern, da ist die Mafia ein Blumenzüchterverein. Und die Sache mit dem Ausweis, die ja bekanntlich schwer zu fälschen sind. Ich bin echt beeindruckt.

Im Detail sieht es jedoch ganz anders aus.

• aktuell wird gegen 11 Beschuldigte (15-22 Jahre, das sind Kinder!) ermittelt. 11! Nicht 30.000, nicht 1.000 nicht 100, nur 11. Und Kinder. Oder wie Fefe schreiben würde „!!11elfelf“.
• ermittelt wird wegen Vorbereitens des Ausspähens und Abfangens von Daten (§ 202c StGB). Also nicht einmal wegen konkreten Straftaten sondern lediglich wegen umstrittenen Vorbereitungshandlungen.
• Anleitungen zum Knacken von Passwörtern gibt es überall, sogar in diversen Schulungsunterlagen von Betriebssystemherstellern. Das Bundesamt für Sicherheit in der Informationstechnik, eine Behörde des Bundesinnenministeriums bietet den Passwort-Cracker John the Ripper sogar zum Download an. Gegen das BSI wurde das Ermittlungsverfahren wegen § 202c übrigens eingestellt.
• Die Software zur Erstellung eines gefälschten Personalausweises ist weiterhin online. Die Seite Onlinewahn.de bietet sie beispielsweise an. Aber gut, als Polizeibeamter darf man schon mal einen in Kunststoff eingeschweißten Bundespersonalausweis mit einem grünen Pappendeckel mit Homer Simpson Bild verwechseln. Die nötigen Informationen, um beispielsweise die Ziffercodes auf einem Ausweis korrekt zu ermitteln findet man bei Prüfziffern.de. Und natürlich beim CCC.

Praktisch ist der angeblich so tolle Ermittlungserfolg der Augsburger Polizei ein Sturm im Wasserglas. Jede Vorstellung der Augsburger Puppenkiste ist aufregender. Das einzige wirklich relevante Ergebnis sind ein paar sichergestellte Kreditkartendaten die über dieses Forum getauscht wurden. Aber ein paar Kreditkartenbetrüger rechtfertigen natürlich nicht ein halbes Jahr Ermittlung. Vermutlich hat es drei Monate davon schon gedauert, bis es dem ermittelnden Beamten gelungen ist sich mit einer GMX-Adresse am Forum anzumelden.

Und dann kommt natürlich so eine Pressemitteilung dabei heraus.

Zumindest in Südafrika. Da wurde lt. Spiegel einer Frau der Reisepass verweigert, denn wer keine Arme hat, kann auch keine Fingerabdrücke abliefern und darum gibt’s keinen Pass.

Schade eigentlich, dass es bei uns keine ähnlichen Regelungen gibt. Wer nicht zu Fuß ins Amt kommen kann, sollte auch keinen Reisepass bekommen. Zumindest nicht, wenn er Schäuble heißt und notorischer Verfassungsbrecher ist.

Nachtrag:

Fefe hat’s beim Saturday Star gefunden.

Zumindest in Großbritannien muss man damit rechnen, dass man plötzlich ohne GNU Packet Radio und Mobiltelefon dasteht. Zumindest wenn man Steve Müller heißt und Mitglieder der Hackergruppe THC ist. Und das bei der Ausreise!

Bei der Einreise würde ich das ja noch verstehen.

Als nächstes sind vermutlich die Jungs um Karsten Nohl und Henryk Plötz dran, die den Mifare Chip zerlegt haben.

Österreich benimmt sich mal wieder deutlich zivilisierter als die Inkompetenzgemeinschaft Schäuble-Zypries. Das österreichische Parlament hat einen Untersuchungsbericht zur Online-Durchsuchung angefordert um sich selbst ein Bild von den Möglichkeiten und Risiken zu machen und vertraut nicht blind auf die wirren Ansichten eines Rollstuhlfahrers mit gestörtem Sozialverhalten.

Festzustellen sei, dass es auf der technischen Seite keine einheitliche Auffassung gebe, welche Risiken wie zu bewerten sind. Von der juristischen Seite her betonte Funk, dass der Staat „sehr wohl“ eine „Gewährleistungspflicht“ habe, für Sicherheit im Internet zu sorgen. In Deutschland habe das Bundesverfassungsgericht ein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme angenommen und beachtenswerte Perspektiven zu Limitation solcher Eingriffe, effektivem Rechtsschutz, Kontrolle und Schadenersatz entwickelt.

Der Bericht hat 98 Seiten und im Anhang einen netten Vergleich der Rechtslage in verschiedenen EU-Ländern, u.a. Deutschland, Schweiz und die Niederlande.

Bei der Süddeutschen Zeitung gefunden:

Ein 44jähriger in Bayern hat Unterlagen über hochentwickelte technische Produkte (also vermutlich Militärtechnik) an den russischen Geheimdienst weitergegeben.

Zur strafrechtlichen Verfolgung gibt es beim Generalbundesanwalt eine schöne Erklärung. Relevante Strafrechtsparagraphen sind hier § 94 StGB (Landesverrat) das hier aber nicht zutreffen dürfte, da es sich bei Industrieprodukten normalerweise nicht um Staatsgeheimnisse handelt sowie der § 99 StGB (Geheimdienstliche Agententätigkeit), der praktisch jede Art der fremden Agententätigkeit unter Strafe stellt.

„So kann Wirtschaftsspionage nach § 99 StGB strafbar sein, wenn sie staatliche Interessen verletzt und über bloße Konkurrenzspionage hinausgeht, die nach den Vorschriften des Wettbewerbsrechts zu beurteilen ist.“

Was mich wundert ist, wie der Mann erwischt werden konnte. Schließlich ist  die Genrealbundesanwältin Frau Harms ja damit beschäftigt, harmlose Sozialwissenschaftler wie Andrej Holm und seine Familie aufgrund des unsäglichen § 129a StGB zu verfolgen. Demnächst werden wir hier noch britische Verhältnisse bekommen.

Die Süddeutsche Zeitung hat sogar Erkenntnisse zur Kommunikation:

„Die Absprachen liefen meist über anonyme E-Mail-Konten, wie dies geheimdienstlichen Gepflogenheiten entspreche.“

Aha … gut zu wissen. Wer anonyme E-Mail-Konten verwendet (also z.B. ich auch) könnte  mit ausländischen Geheimdiensten … 🙂

Nachtrag:

Im Zweifel gilt natürlich das 11. Hackergebot („Laß Dich nicht erwischen“), oder wie der Generalbundesanwalt schreibt:

„Geheimdienstliche Agententätigkeit verjährt regelmäßig in fünf, spätestens in zehn Jahren; Landesverrat verjährt nach 20 Jahren.“

In Großbritannien, dem Mutterland der Überwachung bildet sich jetzt auch eine starke Opposition gegen Fingerabdrücke. Primär geht es natürlich gegen die dort geplante Einführung einer ID-Karte, vergleichbar unseres Personalausweises. Allerdings sammelt kein Land der Welt so viele Fingerabdrücke wie Großbritannien. Es gibt sogar Forderungen, dass alle Fingerabdrücke von Schulkindern in eine zentrale Datenbank aufgenommen werden sollen. Eigentlich Zeichen eines totalitären Staates. Aktivisten fordern daher vergleichbar der Aktion des CCC die Fingerabdrücke von Gordon Brown:

Man kann nur hoffen, dass die Fingerabdrücke bald veröffentlicht werden. Anscheinend bringt nur das die Überwachungsfaschisten Politiker zum Nachdenken.

Der UK Banking Code, eine Richtlinie der British Bankers‘ Association (BBA) der von praktisch allen britischen Banken befolgt wird, legt in der neuesten Fassung explizit fest, dass Kunden beim Internet Banking alleine für die Sicherheit ihrer PCs verantwortlich sind:

„If you act without reasonable care, and this causes losses, you may be responsible for them. This may apply, for example, if you do not follow section 12.5 or 12.9.“

Section 12.5 beschäftigt sich mit EC-Karten und PINs. In Section 12.9 steht:

„Online banking is safe and convenient as long as you take a number of simple precautions. Please make sure ou follow the advice given below.

• Keep your PC secure. Use up-to-date anti-virus and spyware software and a personal firewall.
• Keep your passwords and PINs secret.
• We (or the police) will never contact you to ask you for your online banking or payment card PINs, or your password information.
• Treat e-mails you receive from senders claiming to be from your bank or building society with caution and be wary of e-mails or calls asking you for any personal security details.
• Always access internet banking sites by typing the bank or building society’s address into your web browser. Never go to an internet banking site from a link in an e-mail and then enter personal details.
• Follow our advice – our websites are usually a good place to get help and guidance on how to stay safe online.
• Visit www.banksafeonline.org.uk for useful information.“

Klar, dass die britische Bankenvereinigung sich so schön bankenfreundliche Regelungen ausdenkt. Das traurige ist, dass sich die Banker selbst sowas verordnen können und das auch noch vom Gesetzgeber akzeptiert wird anstatt einer richtigen verbraucherfreundlichen Regelung. Aber wir sehen ja gerade, dass für die Banken die normalen Regeln des Marktes nicht gelten. Je mehr eine Bank verspekuliert, egal ob IKB, WestLB, SachsenLB, BayernLB oder international Bear Stearns, da springt doch gerne der Steuerzahler ein.

(via The Register)

Soso, der GröIaZ Schäuble will offensichtlich zumindest wissen ob der Fingerabdruck den der CCC da hat auch wirklich von ihm ist.

Ich persönlich denke ja, Schäuble hat recht, dass ihm nicht passieren kann. Wenn sein Fingerabdruck in Zusammenhang mit einem Mordfall im Rotlichtmilieu auftaucht, glaubt ihm der Staatsanwalt sicher, dass er das nicht war. Wenn jedoch mein Fingerabdruck da auftaucht, der leider aus meinem unsicheren biometrischen Schily-Pass geklaut wurde, glaubt Ihr ernsthaft, der Staatsanwalt würde mir glauben?

In  dem Zusammenhang ist es kein Wunder, dass die Hersteller biometrischer Geräte ein wenig nervös werden. Wenn sich die Risiken im Zusammenhang mit biometrischen Verfahren herumsprechen, wird die Akzeptanz vermutlich in den Keller gehen. Hoffentlich.

In Belgien wird das Problem fehlender Akzeptanz der Überwachung dafür in schönstem Neusprech angegangen. Statt mit Hinweisschildern die vor Kameraüberwachung warnt wird man aufgefordert in die Kameras zu lächeln.

Ich finde das ja krass perfide, weil gerade Kinder die gerade anfangen zu lesen, das Lächeln mit etwas positivem assoziieren und besonders subtil auf die angeblich so positiven Auswirkungen der Überwachung eingeschworen werden.

Wo keine Schilder an den Wänden hängen hilft man sich notfalls auch anders.

Ich habe dann immer versucht, besonders böse zu kucken 🙂

Nachtrag:

Auch hier gilt, falls irgendjemand aus einer Bürgerrechtsgruppe Interesse an oder Nutzen von den Fotos hat bitte kurze Mail an mich, ich schicke dann gerne auch Bilder in hoher Auflösung zu.

Die Holländer filmen auch gerne alles und jeden, den sie sehen. Das ist zwar insgesamt noch nicht ganz so schlimm wie in Großbritannien aber beispielsweise in Den Haag werden komplette Straßenzüge mit Hilfe von Kameras überwacht. Die Überwachung wird weitgehend mit Hinweisschildern (hier ein Foto aus Amsterdam) angekündigt aber man kann ja leider nicht überall fernbleiben:

Auf den Straßen sieht es dann so aus. Deutsche Qualitätsware, man erkennt (hier eine Straße in Den Haag) das Siemens-Logo an den Kamerasystemen.

Der Nutzen? Naja, ich denke solche pösen Verbrecher die hier ihr Fahrrad an der falschen Stelle abgestellt haben wird man sicher erwischen:

Man beachte den wichtigen Hinweis: „verboden fietsen te plaatsen“. Das verstehe sogar ich als Bayer. Auf die Kriminalität insgesamt scheint das jedoch keinen großen Effekt zu haben. Jedenfalls könnte ich mir anders nicht erklären, dass man reihenweise in den Autos diese Hinweise findet:

„Keine Wertsachen im Auto, es lohnt sich nicht, den Waagen aufzubrechen“. Das P-im-@ ist übrigens das lokale Symbol für Anwohnerparker in Den Haag.

Für mich scheint erstmal kein besonderer Nutzen der Kameraüberwachung sichtbar. Allerdings werden zumindest ein paar Kameras offensichtlich tatsächlich in Echtzeit ausgewertet. Im Den Haager Diplomatenviertel kam bei meiner wilden Knipserei tatsächlich ein Gorilla aus einer Botschaft (Herkunftsland wird nicht veröffentlicht um die Unschuldigen zu schützen) gehüpft und wollte mich anschnauzen, was ich da fotografiere.

Nachtrag:

Falls irgendjemand aus einer Bürgerrechtsgruppe Interesse an oder Nutzen von den Fotos hat bitte kurze Mail an mich, ich schicke dann gerne auch Bilder in hoher Auflösung zu.