Alle sind verdächtig

Heise: “Die britische Innenministerin Theresa May nimmt einen erneuten Anlauf, um verdächtige Internetznutzer identifzierbar zu machen. Ein Gesetzentwurf sieht vor, dass Internet-Provider dafür sorgen sollen, dass Kunden eindeutig per IP-Adresse identifiziert werden können,…”

It will therefore require internet providers to retain Internet Protocol – or IP – address data to identify individual users of internet services.

Ach ja. By the way: “The Tor software protects you by bouncing your communications around a distributed network of relays run by volunteers all around the world: it prevents somebody watching your Internet connection from learning what sites you visit, it prevents the sites you visit from learning your physical location, and it lets you access sites which are blocked.”

Durch das geltende Recht vor Missbrauch gesichert oder: Beamen schadet ihrer Gesundheit nicht

gesundheitskarte

Heise über die Gesundheitskarte und den Datenschutz, wie das Bundesozialgericht den definiert:
Die Ausgabe einer eGK sei “in ihrer gegenwärtigen Gestalt und ihren gegenwärtigen wie zukünftigen Pflichtangaben und Pflichtanwendungen” durch überwiegende Allgemeininteressen gerechtfertigt. Auch die Argumentation des Klägers, dass er nicht kontrollieren könne, ob seine persönlichen Daten auf der Karte sicher seien, wurde vom Gericht verworfen. Seine Daten seien durch das geltende Recht vor Missbrauch gesichert. Die vom Kläger behauptete unzureichende Datensicherheit ist nach Ansicht des Gerichtes derzeit nicht feststellbar, weil sich die Telematik-Infrastruktur noch im Teststadium befindet.

Schon klar. Das geltende Recht definiert, was Recht ist. Dem Gericht kann man keinen Vorwurf machen, sondern “dem Gesetzgeber”, der Blödsinn als rechtens definiert. Im Klartext heisst das doch: Man kann nicht feststellen, ob die Daten missbraucht werden (können), weil die Telematik (wie Informationen verknüpft und verarbeitet werden) der Gesundheitskarte noch gar nicht fertig ist, sondern zur Zeit noch getestet wird.

Man muss das auf das Beamen übertragen. Man testet noch an Insekten, ob das Beamen lebender Wesen von einem Ort zum anderen möglich sei. Das sei aber auch ungefährlich für Menschen, hat ein deutsches Gericht entschieden, da das geltende Recht verbiete, einem Menschen durch Beamen Schaden zuzufügen. Außerdem diene das Beamen den überwiegende Allgemeininteressen.

Truecrypt ist sicher

Truecrypt ist sicher, wenn man es richtig anwendet. Heise zitiert heute einen Polizisten, der das Passware Kit Forensic eingesetzt haben will:
Heute gelang mir der Zugriff auf eine Truecrypt-Partition in einem sehr wichtigen Fall. Alle relevanten Informationen für den Fall waren darauf gespeichert. Andere Produkte hatten zuvor versagt.

Ich sehe hier keine zwei unabhängige Quellen, die heranzuziehen für eine solch windige These Journalisten in der Pflicht sind, sondern nur eine nicht nachprüfbare Propaganda-Behauptung des Software-Herstellers. Selbst wenn das wahr sein sollte, handelt es sich um ein nachvollziehbares Szenario, wie im Heise-Forum ganz richtig angemerkt wird:

“If the target computer with the encrypted volume is powered off, encryption keys are not stored in its memory, but they could be possibly recovered from the hiberfil.sys file, which is automatically created when a system hibernates.

NOTE: If the target computer is turned off and the encrypted volume was dismounted during the last hibernation, neither the memory image nor the hiberfil.sys file will contain the encryption keys. Therefore, instant decryption of the volume is impossible. In this case, Passware Kit assigns brute-force attacks to recover the original password for the volume.

Das heißt: Ein Angriff ist unter Umständen möglich, wenn ein Truecrypt-Container nicht per dismount geschlossen, sondern der Rechner nur heruntergefahren wurde, also dann, wenn der Nutzer sind fahrlässig verhalten hat.

Sorry, aber das muss in einen solchen Artikel, sonst ist das reine Panikmache.

Es gibt absolute Anonymität im Internet

Spiegel online, gewohnt “investigativ”: “Ziel der Aktion [gegen den Handel mit illegalen Drogen im Darknet] sei es aber gewesen, das allgemeine Vertrauen in die Anonymität des Internets, auch des sogenannten Darknet, nachhaltig zu erschüttern. ‘Es gibt keine absolute Anonymität im Internet’, sagte sie. Wie die Ermittler die Betreiber identifizieren konnten, blieb unklar.”

Das Ziel haben sie nicht erreicht. Mein Vertrauen ist nicht erschüttert – weil ich den dämlich-dümmlichen Berichten in den Medien, die sich – wie Spiegel online – für die Propaganda der Überwachungs-Lobby missbrauchen lassen, nicht glaube, sondern selbst recherchiere. Das hat mich eine Viertelstunde gekostet, zu viel Recherche-Zeit für deutsche Mainstream-Qualitätsmedien.

I’m laughing so hard at this.

Es gibt absolute Anonymität im Internet – wenn man keine Fehler macht.

Secure Messaging Scorecard

Die Electronic Frontier Foundation (EFF) hat eine Checkliste für die Sicherheit von Messengern publiziert.
In the face of widespread Internet surveillance, we need a secure and practical means of talking to each other from our phones and computers. Many companies offer “secure messaging” products – but are these systems actually secure? We decided to find out, in the first phase of a new EFF Campaign for Secure & Usable Crypto.

Secret Manuals oder: Emulating an access point

onlien durchsuchung

The Intercept: “Secret Manuals Show the Spyware Sold to Despots and Cops Worldwide – Hacking Team manuals, dated September 2013, provide step-by-step instructions for technicians, administrators, and analysts on how to infect a device and set up spying.”

“The spyware installer might lay in wait in a hotel, or a Starbucks, and gain access to your computer by ‘emulating an access point’ – in other words, pretending to be a free wifi hotspot to which the victim connected previously.”

Ich weiß ja nicht, aber wer ist denn so blöde, darauf hereinzufallen? Ich habe mir mal einige dieser Handbücher durchgesehen, vor allem das rcs-9-technician-final.pdf ist interessant. Auf keinen Fall kann die Spionage-software zum Erfolg kommen, wenn der Nutzer sich vernünftig verhält. Und bei Linux auch nicht. Wen wollen sie also ausspionieren? Klein Fritzchen?

Cookies for ever

Aus der Tor-Mailingliste:
The Tor Browser is already having a hard time fighting against the numerous browser fingerprinting scheme that exists today. Telling people they will be anonymous using their normal Internet Explorer is misleading if not dishonest. Using evercookies will be enough to track them across restarts and networks.

Man spricht sich dort definitiv gegen das Projekt “anonabox : a Tor hardware router” aus, weil es den Leuten Sicherheit nur vorgaukeln würde.

Ich habe etwas zu verbergen!

snowden

Heise zitiert Edward Snowden: “Die verbreitete Haltung, ‘ich habe nichts zu verbergen’, verschiebe die Verantwortung für die Wahrung der Bürgerrechte, argumentierte Snowden: ‘Wenn man sagt, ‘Ich habe nichts zu verbergen’, sagt man tatsächlich ‘Mich interessiert dieses Recht nicht.’ Man sagt ‘Ich habe dieses Recht nicht, weil ich […] es rechtfertigen muss.’ Tatsächlich müssten Regierungen Eingriffe in die Bürgerrechte rechtfertigen, nicht umgekehrt.”

Das Original-Interview (Video) steht in The New Yorker.

Kronjuwel der strategischen Kooperation

Sueddeutsche.de: “NSA und BND arbeiteten in der “Operation Eikonal” jahrelang zusammen, um Internetdaten und Telefonverkehr in Frankfurt abzufangen. Dass dabei Daten von Bundesbürgern rechtswidrig in die USA gelangten, nahm die Bundesregierung in Kauf. Abgesegnet hat die Sache ein Mann, der auch heute Minister ist.”

Na und? Das wird keine Folgen haben.

Oettinger verspricht mehr Datenschutz

Günther Oettinger verspreche mehr Datenschutz, meldet Heise. O-Ton geleakt:

“Ei heff schkpiekt wiss aua amerikäin frennz ent Partnass abaut siss proplemm, witsch iß not sehr, äss aua chanzellohr sett bifohr” (Der Rest bleib leider undokumentiert, da sich die Stenotypistin hier am Stromkabel ihres Notebooks erhängte.

Dpo meldet passend dazu: “Angriff auf EU-Digitalkommissar: Günther Oettingers Schreibmaschine von Unbekannten gehackt”.

There must be some other reason

John Gilmore (u.a. Mitglied der EFF) fragt auf cryptome.org, warum man Apple glauben schenken sollte, wenn es um den Schutz der Daten geht.

You have been tasked, key employee!

tasked

Spiegel online (Video mit gewohnt nerviger Zwangswerbung vorab): “German firm Stellar brings internet access to remote locations via satellite. Documents provided by Edward Snowden show, that the companys systems were hacked by the british GCHQ. Stellar-representatives and engineers are shocked.”

Hübsch finde ich die Stelle, an der der Name eines der Angestellten in den Geheimdienst-Dokumenten auftaucht und der Betroffene sichtbar schlucken muss. Das Passwort kann man aber schon beinahe raten…

Ich frage mich, warum sich die Leute aufregen. Wir haben doch schon seit langem das Telekommunikationsgesetz (TKG) §112, das die automatisierte Abfrage für unsere Geheimdienste regelt, die die Daten dann unter Freunden in die USA verschieben.

Das Ende ist nah!

Winfuture: “Fast gar keine Rolle spielt die klassische E-Mail für den persönlichen Austausch unter Jugendlichen. Nur 7 Prozent halten E-Mails für ein wichtiges Kommunikationsmittel.”

Nationale Kryptografie oder: Deutsche Schlüssel

Deutsche Schlüssel nur für Deutsche (via Fefe).
Bruhahahahaha.

Robust encryption? It’s the economy, stupid!

Wired interviewt Edward Snowden:
Nor is he optimistic that the next election will bring any meaningful reform. In the end, Snowden thinks we should put our faith in technology—not politicians. “We have the means and we have the technology to end mass surveillance without any legislative action at all, without any policy changes.” The answer, he says, is robust encryption. “By basically adopting changes like making encryption a universal standard—where all communications are encrypted by default—we can end mass surveillance not just in the United States but around the world.” (S. 7)

Sorry, aber da liegt Snowden total daneben. Die breite Masse interessiert das Thema “Überwachung” nicht. Das hat seine Gründe. It’s the economy, stupid!

Gamma International Leaked

Allein schon dier Titel lässt einen gruseln: “Govermental IT Intrusion and Remote Monitoring Solutions”. Es gibt jetzt einen Twitter-Account (“Phineas Fisher”) zum FinFisher-Hack (vgl. netzpolitik.org, 06.08.2014) und mehr Details auf reddit.com. Interessant, dass man sich auf “Anarchism” beruft. (Vgl. auch Bahrain Finfisher System logs (Feb 2012)

Skypekit

Ich habe die Skype-Software schon seit langem von meinen Rechnern geworfen, weil Skype bekanntlich Malware ist. Meinen Skype-Account nutze ich via Trillian. Das ging aber nicht mehr. (Ich nutze Skype eigentlich nur, um als Warlord virtuelle Hauereien in Secondlife zu koordinieren.)

Am 12. Juli 2013 wurde durch von Edward Snowden geleakte Informationen bekannt, dass den amerikanischen Geheimdiensten durch Microsoft tatsächlich direkter Zugriff auf den gesamten Skype-Verkehr gewährt wird und sowohl Textchats als auch Telefonate und Videotelefonate nach Belieben von der NSA mitgeschnitten und ausgewertet werden können, da es dem Geheimdienst mit Hilfe des direkten Zugriffs auf die Skype-Server möglich ist, die Skype-Verschlüsselung zu umgehen.

Jetzt habe ich eine Lösung für Windows 7 gefunden: “Skypekit in Trillian noch eine Weile weiter nutzen”.

Ich möchte die technikaffinen Leserinnen und sicherheitbewussten Leser auffordern, mir die Risiken des älteren Skypekit via Trillan aufzuzählen.

Eine Seite mit ihren Familienangehörigen, die bei einem Unfall verletzt worden sind

Heise: “Der angebliche Quellcode des Programms FinFly Web wurde gar bei GitHub eingestellt. Es generiert Webseiten, die ihren Besuchern die Spionage-Software des Unternehmens unterjubeln sollen, unter anderem als Flash-Update getarnt.”

Flash update? OMG. Und wie wollen die die “Opfer” auf die entsprechenden Websites locken? Das erinnert mich wieder an den legendären Vortrag Zierckes über die so genannte “Online-Durchsuchung”:
…wobei die Frage des Einbringens die spannendste Frage für alle überhaupt ist. Ich kann Ihnen hier öffentlich nicht beantworten, wie wir da konkret vorgehen würden. Sie können sich die abstrakten Möglichkeiten vorstellen, mit dem man über einen Trojaner, über eine Mail oder über eine Internetseite jemanden aufsucht. Wenn man ihnen erzählt hat, was für eine tolle Website das ist oder eine Seite mit ihren Familienangehörigen, die bei einem Unfall verletzt worden sind, sodass sie dann tatsächlich die Seite anklicken. Die Geschichten sind so vielfältig, dass es kaum jemanden gibt, der nicht auf irgendeine Form dieser Geschichte hereinfällt.

Ich kann mir gar nicht vorstellen, dass die FinFisher GmbH so einen Unfug für Geld staatlichen Behörden andreht? Wen wollen die denn damit fangen? Aber offensichtlich ist es so. Nicht zu fassen.

FinSpy

finspy

Netzpolitik.org: “Seit ein paar Tagen werden auf dem Twitter-Account @GammaGroupPR interne Dokumente der Trojaner-Produktfamilie FinFisher/FinSpy aus dem Hause Gamma veröffentlicht.”

By the way: Es heisst “Trojanisches Pferd” und nicht Trojaner” – die Trojaner saßen eben in Troja und nicht im Pferd.

Jetzt schauen wir mal genau hin. (Die Links gehen zu den Werbe-pdfs der Firma Gamma International GmbH bzw. FinFisher.)

Die Software-Suite umfasst unter anderem:
1. FinSpy: Eine Trojaner-Software, die Fernzugriff auf einen bereits infizierten Rechner ermöglicht. Diese läuft unter Windows, Mac OS X sowie Linux.
2. FinFireWire: Software durch welche mithilfe von Firewire und DMA ein komplettes Abbild des Arbeitsspeichers heruntergeladen werden kann.
3. FinFly USB: Installation von zuvor gewählter Software nur durch Einstecken eines zuvor präparierten USB-Sticks.
4. FinFly ISP: Eine auf Internet-Provider-Ebene installierte Software, die unter anderem gezielt momentan geladene Dateien mit Überwachungssoftware infizieren kann.

1. Eine Software, die einen Remote-access-Zugriff (“Fernzugriff” oder auch Ernwartungszugriff) auf einen Rechner ermöglicht, muss also vorher dort installiert worden sein. Das kann nur unter ganz speziellen und klar definierten Bedingungen geschehen, nicht aber, wenn das “Opfer” sich vernünftig und sicherheitsbewusst verhält. Das gilt auch für Punkt 2. Die Firma behauptet selbst auch nichts anderes.

3. “Präparierte” USB-Sticks können nicht automatisch etwas auf einem Rechner installieren. Der Besitzer des Rechners muss das (fahrlässig) erlaubt haben oder sich nicht sicherheitbewusst verhalten.

4. Wir haben auch schon die Sina-Box. So what?

Wer in derartigen Artikel verschweigt, dass es auch möglich ist, sich vor Spionage-Software zu schützen, wer behauptet, diese könne ohne (fahrlässiges) Wollen des Nutzers installiert werden, ist ein Dummschwätzer|Wichtigtuer und verbeitet nur Panik im Sinne der Geheimdienste (“man kann nichts tun – sie sind eh schon drin”). And period.

E-Mails verschlüsseln in 30 Minuten

Das Tutorial des Vereins German Privacy Fund: “E-Mails verschlüsseln in 30 Minuten” (Alternative 2 für Windows, alles auf einem USB-Stick) wurde upgedatet gepatcht, ergänzt und korrigiert.

Older entries