Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 11 2014

Infoveranstaltung zu Sicherheitsarchitektur in Polen

Statt Valentinstag: Am Freitag, dem 14.2. findet in der Kinzigstraße 9, Berlin, um 19 Uhr eine Infoveranstaltung zu “Schnittstellen der Sicherheitsarchitektur” in Polen statt. Anlass ist der 17. Europäische Polizeikongress, der nächste Woche in Berlin stattfinden wird. Dort werden die Schnittstellen der europaweiten Polizeizusammenarbeit den Schwerpunkt bilden, in der Ankündigung heißt es:

Verbrechen kennt keine Grenzen, weder im nationalen, europäischen, globalen, politischen, rechtlichen oder technischen Sinne.

Polen hat sich in Sachen Sicherheit und Überwachung zu einem “Musterschüler” entwickelt und beteiligt sich an diversen EU-weiten Forschungsprogrammen. Karolina Szczepaniak von der polnischen Stiftung Panoptykon wird daher die Situation in ihrem Land beleuchten und Strategien gegen eine Ausuferung solcher Überwachungsmaßnahmen diskutieren.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 20 2013

Schweiz: Christliche Volkspartei fordert Nummernschildscanner und “Cyber War”-Einheit

Die Christliche Volkspartei (CVP) der Schweiz hat heute ein Positionspapier mit dem Titel “Die CVP für eine sichere Schweiz – auch in Zukunft!” veröffentlicht. In dem Papier fordert die CVP unter anderem eine flächendeckende Installation von Nummernschildscannern und mehr Überwachungskameras an Bahnhöfen. Doch auch das Internet stellt nach Auffassung der CVP eine Gefahr für die Sicherheit der Bevölkerung dar, weshalb sie eine “Cyber War”-Einheit fordert, die sich “aus Milizkadern und -soldaten mit entsprechenden Spezialkenntnissen zusammensetz[en]” soll.

Insgesamt hat die CVP in ihrem Positionspapier 20 Forderungen zusammengetragen, die die Sicherheit der Bürger in der Schweiz gewährleisten soll. Denn die Straftaten hätten in den letzten Jahren zugenommen und das Sicherheitsempfinden der Bürger sei demnach gesunken.

Personen, die in die Schweiz einreisen, Einbrüche verüben und dann innert kürzester Zeit wieder ausreisen, sind Realität. Viele ältere Menschen und Frauen vermeiden es, sich nach 22 Uhr an Bahnhöfen aufzuhalten. Die Polizeiliche Kriminalstatistik zeigt denn auch für das letzte Jahr einen Anstieg der Straftaten. Besonders stark zugenommen hat die Zahl der Diebstähle, aber auch Gewaltstraftaten haben wieder zugenommen. Wenn junge Männer im Ausgang grundlos angegriffen werden, Chaoten und Krawallmacher ungehindert zu Gewaltexzessen in unseren Städten aufrufen, wenn Senioren das Ziel von dreisten Trickdieben sind und Einbrüche namentlich in Grenzkantonen in alarmierendem Masse zunehmen –dann wirkt sich das negativ auf das subjektive Sicherheitsempfinden aus.


Nach Meinung der CVP gibt es aber wirkungsvolle Mittel gegen die zunehmenden Gewaltstraftaten und um die Sicherheit in der Gesellschaft wieder herzustellen. Insgesamt sollen Polizei und Armee gestärkt werden und mehr Sicherheit im öffentlichen Raum hergestellt werden. So fordert die CVP, dass “moderne technische Mittel gegen Kriminaltouristen” eingesetzt werden. Dazu gehört die Installation von zusätzlichen Überwachungskameras an Bahnhöfen und in Zügen. Außerdem wird die technische Aufrüstung von Videoüberwachungssystemen gefordert, damit diese “Kontrollschilder [Nummernschilder] automatisch scannen und mit dem eidgenössischen Fahndungsregister Ripol, welches Datenbanken für Personenfahndungen, Fahrzeugfahndungen, Sachfahndungen und ungeklärte Straftaten umfasst, abgleichen
können.” In einigen Kantonen seien solche Systeme bereits vorhanden wie der Tagesanzeiger berichtet.

Die größte Gefahr scheint aber nach Meinung der CVP im Internet zu liegen. Unter dem Punkt “Cyberrisiken ernst nehmen” fordert die CVP:

Für die hochentwickelte Schweiz stellen Angriffe auf die ICT-Infrastruktur unseres Landes eine sehr aktuelle Bedrohung dar. Unsere digitalen Netze sind unsere verwundbarste Stelle. Die schweizerische Volkswirtschaft, unsere Infrastruktur ja gar unser Lebensraum kann durch einen Cyber-Angriff massiv beschädigt werden. Es ist die gemeinsame Aufgabe von Bund und Kantonen, die nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken umzusetzen. Der Schutz dieser modernen Handelswege ist eine Kernaufgabe der Sicherheitskräfte im 21. Jahrhundert. Die CVP fordert den Bundesrat auf, die Schaffung einer „cyber-war“-Einheit zu prüfen, das sich aus Milizkadern und -soldaten mit entsprechenden Spezialkenntnissen zusammensetzt.

Das Internet soll aber ebenso bei der Steigerung der Sicherheit in der Schweiz helfen. So fordert die CVP eine Vereinheitlichung der Internetfahndung, bei der Regelungen zur Veröffentlichung von Fahndungsfotos im Internet festgelegt werden, “damit nicht unnötig lange und wertvolle Zeit bei der Fahndung nach mutmaßlichen Tätern verloren geht”.

Und zu guter Letzt darf natürlich auch eine Aufwertung des Nachrichtendienstes nicht fehlen:

Der Nachrichtendienst des Bundes muss über die nötigen Kompetenzen für Einsätze im In- und Ausland verfügen, um als Frühwarnsystem zugunsten des Bundes und der Kantone proaktiv zu wirken.

Insgesamt wirkt das Positionspapier gerade heute in Zeiten des Überwachungsskandals um NSA, GCHQ und Co. reichlich fehl am Platz, spricht es sich doch für mehr Überwachung und Kontrolle durch Polizeibehörden aus. Das Positionspapier der CVP mit seinen 20 Forderungen kann hier als pdf angesehen oder heruntergeladen werden.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 09 2013

E-Mail made in Germany: Deutsche Telekom, Web.de und GMX machen SSL an und verkaufen das als “sicher”

e-mail-made-in-germany-teilnehmerDie Deutsche Telekom, WEB.DE und GMX wollen sich mit dem Label “E-Mail made in Germany” als “sichere” E-Mail-Anbieter verkaufen. An den Grundproblemen unsicherer E-Mails ändern sie jedoch überhaupt nichts, sondern schließen lediglich zwei existierende Sicherheitslücken. Die Initiative kann als reine Marketing-Aktion abgetan werden, wirkliche Sicherheit wird nicht gewährleistet.

Unter dem Namen E-Mail made in Germany starten die Deutsche Telekom, WEB.DE und GMX eine Initiative für “sichere” E-Mail. In der dazugehörigen Pressemitteilung werden folgende “Sicherheits-Features” versprochen:

  • Automatische Verschlüsselung von Daten auf allen Übertragungswegen
  • Sichere Speicherung am Datenstandort Deutschland
  • Kennzeichnung sicherer Mail-Adressen

Bei genauerer Betrachtung entpuppt sich das als reine Marketing-Kampagne für eine längst überfällige Einstellung im Setup der Mail-Server ohne wirklich eine neue Stufe an “Sicherheit” zu erreichen.

Das einzige, was neu ist, ist die Verwendung von Verschlüsselung auf dem Transportweg (SSL/TLS) zwischen Sender und Mail-Server sowie zwischen den Mail-Servern der zwei Firmen untereinander. Dass das Versenden von Mails vom Client an den Server überhaupt noch auf unverschlüsselten Verbindungen möglich war, ist ein Unding im Jahr 2013. Dafür gibt es keinerlei technischen Grund und viele Mail-Anbieter erlauben seit Jahren nur noch verschlüsselte Verbindungen.

Die Verschlüsselung der Übertragung zwischen den Mail-Servern @t-online.de, @gmx.de und @web.de ist ein nettes Feature. Aber auch das hätten die beteiligten Firmen schon längst machen können. Das Problem ist bekannt seit es E-Mail gibt und wurde vor über einem Monat wieder öffentlich thematisiert. Gerade Web.de und GMX schnitten in einem Test von Golem schlecht ab. Das Anschalten des Features ist daher eher ein Fix einer verantwortungslosen Lücke als das Einführen richtiger “Sicherheit”. Auch das wird seit Jahren von seriösen Mail-Anbietern getan.

(Verpflichtendes SSL/TLS zwischen Mail-Servern ist ein Problem, da es in Standard und Implementierungen meist optional ist. Viele Beispiele aus der Praxis zeigen aber, dass kooperierende Mail-Server sehr wohl seit langem verpflichtende Transport-Verschlüsselung zwischen ihren Servern implementiert haben.)

Am Grundproblem von E-Mail als von jedem lesbarer Postkarte ändert all das nichts. Weder werden die Inhalte der Mail verschlüsselt, noch werden die Mails auf verschlüsselten Festplatten gespeichert (erst recht nicht mit Entschlüsselungs-Möglichkeit nur durch User, wie Lavabit das gemacht hat). Stattdessen wird die existierende verantwortungslose Praxis jetzt als “sicher” verkauft, weil die Rechenzentren ja in Deutschland stehen und “High-Tech-Rechenzentren mit moderner Sicherheitstechnik” sind. Mal abgesehen vom Marketing-Sprech: An Vorratsdatenspeicherung, Bestandsdatenauskunft, strategischer Fernmeldeaufklärung, G10-Gesetz und SINA-Boxen ändert das gar nichts.

Vollkommen zum Witz macht sich die PR-Maßnahme durch einen Vergleich, dass die De-Mail noch sicherer ist als die “E-Mail made in Germany”:

e-mail-made-in-germany-de-mail

Über die Unsicherheit von De-Mail haben wir ausführlich berichtet und Sascha Lobo hat das nochmal treffend zusammengefasst. Laut eigener Aussage ist “E-Mail made in Germany” also unsicherer als unsicher. Wird aber als “sicher” verkauft. Alles klar?

Fazit: Unbedingt meiden.

Sucht euch stattdessen einen kleinen, sympathischen Mail-Anbieter, der diese “Features” nicht als Neuigkeit mit Marketing-Kampagne verkauft, sondern nie auf die Idee käme, das je anders zu machen. Oder betreibt euren Mail-Server am besten gleich selbst oder zusammen mit ein paar Freund/innen. Zentralisierung ist ohnehin der Feind eines freien und offenen Internets. Und verschlüsselt eure Mails Ende-zu-Ende mit OpenPGP. Noch besser ist das Versenden und Empfangen von Mails über Tor.

Alles andere ist nur Marketing.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bykaddi kaddi

August 02 2013

Videoüberwachung: Interaktive Karte zeigt Ausmaß in Bayern

Quelle: wikipedia

Quelle: wikipedia

Nach Straftaten im öffentlichen Raum, wie Überfällen oder gar terroristischen Anschlägen, wird schnell der Ruf nach mehr Videoüberwachung laut. Besonders Politiker sind schnell mit Forderungen nach mehr Überwachungskameras. Dass weder das Sicherheitsgefühl der Bürger gestärkt wird, noch Straftaten durch die Anbringung von Kameras verhindert werden, stört die Beteiligten meist nicht. Die Süddeutsche Zeitung hat nun eine Interaktive Karte angefertigt, die die Verteilung von Überwachungskameras in München, sowie in ganz Bayern aufzeigt.

Ende 2012 waren in Bayern mehr als 17.000 Kameras installiert, um öffentliche Plätze und öffentlich zugängliche Räume zu überwachen, das zeigt eine Aufstellung der bayerischen Staatsregierung. Seit 2008 ist ihre Zahl um mehr als 5500 gestiegen. Auf der interaktiven SZ-Karte können Sie sehen, wo genau und zu welchem Zweck die Kameras in Bayern installiert wurden. Auf der Karte ist zu sehen: Es sind vor allem Amtsgebäube, Schulen oder Gerichte, aber auch öffentliche Plätze, Polizeistationen, Gefängnisse, Bahnhöfe und Museen, die überwacht werden.

überwachungskameras

Dass Überwachungskameras vor Straftaten schützen oder den Menschen mehr Sicherheit vermitteln, ist dabei ein Trugschluss, wie die Süddeutsche Zeitung in einem weiteren Artikel erklärt.

Das Sicherheitsgefühl der Bevölkerung nimmt durch Videoüberwachung – wenn überhaupt – nur kurzzeitig zu. [...] Eine Kamera könne sogar bestehende Unsicherheit bestärken.

Und:

Außerdem müsse man davon ausgehen, dass Kriminalität durch Kameras nicht verhindert, sondern nur verdrängt wird. Gerade dieses Phänomen ist aufgrund der Datenlage allerdings schwierig wissenschaftlich zu untersuchen

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 11 2013

Deutsche Welle: Internetspionage – Was wusste Europa?

Die Deutsche Welle hat einen lesenswerten Bericht zu PRISM und dessen europäischer Dimension gemacht: Internetspionage – Was wusste Europa? Meine Zitate in dem Artikel dürften der geneigten netzpolitik.org-Leserschaft bekannt vorkommen. Interessant finde ich die Einschätzungen des Forschers Julien Jeandesboz.

Die Europäer hätten im Kampf gegen Cyberkriminalität und beim Schutz im Internet ihre Energie lange einseitig investiert, so Julien Jeandesboz vom Centre d’Etudes sur les Conflits, einer der Autoren der Studie. “Der Fokus lag in der EU darauf, welche Trends EU-Bürger bedrohen können, die außerhalb der sogenannten ‘regierungsgesponserten’ Bedrohungen liegen.” Die Europäer debattierten also über Hacker, über Identitätsdiebstahl oder über die Regulierung von Internetfirmen. Ging es um staatsgelenkte Aktivitäten, war das europäische Augenmerk auf China oder Russland gerichtet. “Der Fokus lag nicht auf dem sehr sensiblen Verhältnis mit den USA – auch aus politischen Gründen”, so Jeandesboz im Interview mit der DW.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

March 22 2012

VDS-Studie im Rechtsausschuss vorgestellt, Justizministerium will QuickFreeze im Kabinett einbringen

Ein vor zwei Wochen veröffentlichtes und viel diskutiertes Gutachten zur Wirksamkeit der Vorratsdatenspeicherung wurde heute im Rechtsausschuss des Bundestages vorgestellt. Professor Hans-Jörg Albrecht, Direktor des Max-Planck-Instituts für ausländisches und internationales Strafrecht und Autor der Studie, präsentierte die Ergebnisse der Studie persönlich.

Praktisch gleichzeitig kündigte das Bundesjustizministerium an, die von Ministerin Leutheusser-Schnarrenberger favorisierte Quick-Freeze-Lösung ins Kabinett einbringen zu wollen. Damit gewinnt der in der Regierungskoalition schwelende Konflikt weiter an Schärfe.

Dem nun vorgestellten Gutachten ist zu entnehmen, dass der Wegfall der Vorratsdatenspeicherung durch ein Urteil des Bundesverfassungsgerichtes nicht als Ursache für Bewegungen in der Aufklärungsquote herangezogen werden kann. Dieser Befund gelte insbesondere für die Bereiche der Computerkriminalität sowie der so genannten Internetkriminalität. Allerdings wird auch der vom Bundesjustizministerium vorgeschlagene QuickFreeze-Ansatz nicht als „taugliches Äquivalent zur Vorratsdatenspeicherung gesehen.“

Erst gestern hatten sich Bundeskanzlerin Merkel und Innenminister Friedrich für die schnelle Verabschiedung eines neuen Gesetzes zur Vorratsdatenspeicherung ausgesprochen, nachdem die EU-Kommission eine vierwöchige Frist gesetzt und mit einem Mahnverfahren gegen Deutschland gedroht hatte. Allerdings wird auch in der EU-Kommission an einer tiefgreifenden Neufassung der umstrittenen Richtlinie gearbeitet. Ein dazu angefertigtes Rechtsgutachten wird seit Monaten unter Verschluss gehalten.

Die aktuelle Fassung der EU-Richtlinie zur Vorratsdatenspeicherung stammt aus dem Jahr 2006. Ein von der Bundesregierung 2007 beschlossenes Gesetz, das diese Richtlinie umsetzte, wurde im März 2010 vom Bundesverfassungsgericht gekippt. Seitdem herrscht Uneinigkeit zwischen der CDU/CSU-Fraktion, die sich weiterhin für eine anlasslose Speicherung der Verkehrsdaten aller Bürger einsetzt, und der FDP-Fraktion, die ein sogenanntes QuickFreeze-Verfahren, bei dem zur Aufzeichnung der Daten ein konkreter Verdacht bestehen muss, bevorzugt. Ein entsprechender Gesetzentwurf, den die Justizministerin im letzten Juni vorlegte, liegt seitdem auf Eis.

Ebenfalls auf der Warteliste steht die Anhörung im Petitionsausschuss des Bundestages zu einer erfolgreichen ePetition gegen die anlasslose Vorratsdatenspeicherung, an der sich 64.000 Bürger beteiligten. Wie aus dem Bundestag zu hören ist, blockiert eine Fraktion die Anhörung, weil ihr die politische Richtung nicht passt.

January 24 2012

Trojaner-Angriff auf Grüne Jugend – Mails

Die Grüne Jugend, der Jugendverband von Bündnis 90/Die Grünen, ist Opfer eines Trojaner-Angriffs geworden. Mehrere Monate lang wurden Mailkonten von Bundesvorstandsmitgliedern und der Bundesgeschäftsstelle an eine Mailadresse auf einem russischen Freemail-Hoster weitergeleitet. Dies fiel auf, als dieses russische Ziel-Postfach voll war und bei jeder neuen Mail eine Fehlermeldung an die 13 weitergeleiteten Accounts verschickte.

Die Grüne Jugend hat eine Stellungnahme dazu veröffentlicht:

Wir haben umgehend die Datenschutzbehörde informiert, da Dritte offenbar unrechtmäßig zur Kenntnis von Daten gelangt sind. Wir wollen und werden von unserer Seite alles dazu beitragen, damit dieser Hackerangriff zügig aufgeklärt wird. Es wurden bereits rechtliche Schritte eingeleitet. Bislang haben wir, außer dem Hinweis, dass es sich um einen russischen Freemail-Hoster handelt, noch keine Informationen oder Vermutungen darüber, wer die Weiterleitungen eingerichtet hat und welche Motivation hinter diesem Angriff steht.”

Für mich klingt die ganze Geschichte so, als ob einem der ehrenamtlichen Administratoren ein Trojaner untergejubelt wurde, und jemand darüber Zugriff auf die Mailverwaltung erhielt. Den Indizien nach kann es gut möglich sein, dass dies ein gezielter und politisch motivierter Angriff war. Dafür spricht, dass nur ausgewählte 13 Mailkonten weitergeleitet wurden und die Auswahl scheint auch nicht willkürlich gewesen zu sein. Hier hatte sich jemand offensichtlich mit der Grünen Jugend beschäftigt und wusste, welche der vielzähligen Mailkonten relevant sind.

Bisher kannte ich solche Geschichten nur aus Russland, wo auf diese Art gegen kritische Nichtregierungsorganisationen vorgegangen wird.

January 09 2012

BKA-Beamter überwacht Tochter: Was kann da schiefgehen?

Erinnert sich noch jemand an den Hack der No-Name-Crew, der im Juli für Aufregung sorgte, weil Der Inhalte eines Server der Zollbehörden danach im Netz auftauchte? Mittlerweile ist geklärt, wie die Gruppe vorgegangen ist und die Lösung hängt die Latte für absurde Geschichten in 2012 schon zu Beginn des Jahres ziemlich hoch:

Nach Angaben des Spiegel ermitteln jetzt Kölner Fahnder gegen einen “hohen Beamten der Bundespolizei aus Frankfurt am Main”. Dieser wollte eigentlich nur seine Tochter überwachen und hatte die tolle Idee, ihr einen Trojaner auf den Rechner zu spielen. Die Tochter wiederum kannte jemand mit guten Computerkenntnissen, dieser fand den Trojaner und dabei gleichzeitig heraus, dass der Vater “dienstliche Mails an seinen Privatrechner umgeleitet hatte”. Und das war dann das Scheunentor, um in das System der Bundespolizei einzudringen.

September 30 2011

CR 172 SSL. Oder: Einmal aufmachen bitte.

Gestern lief auf Fritz-Radio Chaosradio Folge 172 zum Thema “SSL. Oder: Einmal aufmachen bitte – Warum die Verschlüsselung nicht (mehr) funktioniert.” Hier ist die MP3.

Alle braven Nutzer bekommen seit Ewigkeiten beigebracht: Wenn wir sicher surfen wollen, müsst ihr ein httpS vor die Webadresse eurer Onlinebank schreiben. Nur dann ist die Kommunikation wirklich, ehrlich und total sicher. Und das gilt auch für alle anderen Seiten, bei denen irgendwelchen Informationen übertragen werden. Oder halt eben nicht. Spätestens seit den Skandalen um Zertifikatsherausgeber wie Diginotar (Infos), dem Abhören von GMail-Traffic durch den Iran und der weitreichenden BEAST-Attacke ist klar: SSL und TLS sind kaputt. So kaputt, dass sich die Frage stellt, ob es ein Fehler im System oder eine behebbare Sicherheitslücke ist. Eine Problem um das es im Chaosradio gehen soll. Stephan ”tomate” Urbach, fukami und Matthias “wetterfrosch” Mehldau werden monoxyd und euch die Funktionsweise, Fallstricke und fundamentalen Fehler bei verschlüsselter Datenübertragung im Netz erklären, beleuchten und diskutieren.

flattr this!

September 02 2011

Wie unsicher sind deutsche Mobilfunknetze?

Philip Banse hat für Deutschlandradio Kultur ein 30 Minuten langes Feature zum Thema “Hacker im Handynetz – Wie unsicher sind deutsche Mobilfunknetze?” gemacht. Davon gibt es das Transcript und eine MP3 zum Nachhören.

Das Abhören von Handygesprächen war bisher eine Sache von Polizei und Geheimdiensten. Mittlerweile kann jeder mit etwas technischem Sachverstand Handys ausspionieren oder sogar Handynetze teilweise lahmlegen. Denn nahezu alle Mobilfunknetze der Welt basieren auf GSM – dem global System for Mobile Communication. Doch ausgerechnet dieses so wichtige technische System unserer Gesellschaft ist voller Fehler und Sicherheitslücken.

Nicht nur Gespräche können abgehört und SMS mitgelesen werden, auch sensible Daten, die über GSM-Netze verschickt werden, sind leicht von Dritten abzufangen, wie zum Beispiel beim Telefonbanking oder in der Kommunikation zwischen Zügen. Bislang haben die Netzbetreiber jedoch nichts getan, um die Sicherheitslücken zu schließen.

June 17 2011

Terroranschlag per eMail

Die Spaßfraktion von der Deutschen Polizeigewerkschaft warnt vor eMails:

“Ein Terrorangriff muss nicht mit Bomben oder Raketen erfolgen, er kann im Prinzip per email erfolgen.”

Ich fühle mich auch von den ganzen Spammails terrorisiert.

flattr this!

May 13 2011

Dropbox hat wohl die Nutzer belogen, was die Sicherheit betrifft

Dropbox ist ein beliebter Service mit rund 25 Millionen Nutzern, mit dessen Hilfe man Daten bequem in der Cloud speichern kann. Das ist praktisch, wenn man nicht alles auf der eigenen Festplatte ablegen möchte, und z.B. dezentral von verschiedenen Rechnern darauf zugreifen möchte. Ein weiteres Anwendungsszenario ist Filesharing, da man Ordner mit anderen Nutzern teilen kann. Bisher erklärte Dropbox immer, dass die Daten gut verschlüsselt sind und Dropbox-Mitarbeiter nicht sehen können, was die Nutzer speichern. Das war natürlich eine vertrauensbildende Maßnahme, wer möchte schon einen Dienst nutzen, wo man vielleicht sensible Daten auf eine Festplatte in der Clound hochlädt, und fremde Menschen darin rumstöbern können. Nun, das mit der Verschlüsselung war wohl eine Lüge, wie das Wired-Blog Threat-Level berichtet: Dropbox Lied to Users about Data Security, Complaint to FTC Alleges. Vor kurzem wurde die Webseite geändert.

Up until April 13, the site promised this: “Dropbox employees aren’t able to access user files, and when troubleshooting an account, they only have access to file metadata (filenames, file sizes, etc. not the file contents).”
Now the site says “Dropbox employees are prohibited from viewing the content of files you store in your Dropboxaccount, and are only permitted to view file metadata (e.g., file names and locations).”

Dropbox checkt wohl bei jedem Upload mit einem Hash, ob jemand anderes schonmal dieselbe Datei hochgeladen hat. Gleichzeitig liegen die Schlüssel bei Dropbox und nicht beim Nutzer. Der Wissenschaftler Christopher Soghoian hat jetzt eine Beschwerde bei der FCC eingereicht, wo er seine Analyse näher beschreibt (PDF) und Dropbox der Lüge bezichtigt.

Mittlerweile weist Dropbox daraufhin, dass man ab und an auch aus rechtlichen Gründen auf die Daten zugreifen muss:

Like most online services, we have a small number of employees who must be able to access user data for the reasons stated in our privacy policy (e.g., when legally required to do so). But that’s the rare exception, not the rule. We have strict policy and technical access controls that prohibit employee access except in these rare circumstances. In addition, we employ a number of physical and electronic security measures to protect user information from unauthorized access.

Über die Backdoor-Funktion bei Dropbox mit dem neuen Feature des Behördenzugangs hatten wir bereits vor einem Monat berichtet. Was ist aber nun von einem Anbieter zu halten, der offensichtlich seine Kunden belogen hat? Auch wenn der Service noch so praktisch ist, kann man dem Anbieter noch vertrauen?

flattr this!

Reposted by02mydafsoup-01MeinSueppchen

January 18 2011

Lobbying und Sensationslust statt Cyber War

Wie der Guardian berichtet, kommt eine Studie der Uni Oxford zu dem Ergebnis, dass es äußerst unwahrscheinlich sei, dass es jemals einen reinen Cyber War geben wird.

Heavy lobbying, lurid language and poor analysis are inhibiting government planning for cyber protection

In dem Bericht, den die britischen Forscher im Rahmen der OECD-Studie “Future Global Shocks” erstellt haben, kommen diese zu dem Ergebnis, dass Lobbying, Sensationslust und ein Mangel an Forschung die Regierungsplanung für eine Cyber-Abwehr eher behindern.

Da große Teile der kritischen Infrastruktur mittlerweile von staatlicher in private Hand gegeben wird, sehen sie den Nutzen einer rein militärischen Cybersecurity Defence als begrenzt an.
Einen “echten” Cyber War sehen sie als unrealistisch an: es gebe keine strategischen Gründe, aus denen ein Agressor seinen Angriff auf den Cyberspace begrenzen sollte.
Überhaupt erschwerten Übertreibungen und schwammige Definitionen dessen, was alles unter einen Angriff fallen solle, die Analyse und führten damit zu grob falschen Schlüssen.
Neben der finanziellen Unterstützung der internationalen CERT-Community empfehlen die Autoren, die EndbenutzerInnen besser zu schulen, da die Reduktion der Anzahl ungeschützter Computer auch die Schlagkraft der Botnetze verringere.

Großbritanniens New Labour-Regierung hatte 2009 im Rahmen der National Security Strategy erstmals auch eine Cyber-Security Strategy vorgelegt.

November 01 2010

Spaß mit der Bundes-CIO

Cornelia Rogall-Grothe, Staatssekretärin im Innenministerium und II-Beauftragte der Bundesregierung, (im Volksmund auch “Bundes-CIO” genannt) hat der FAZ ein Interview zu ihrem Job und den damit verbundenen Themengebieten gegeben: „Sicherste Technik, die es gibt“. Irgendwie gab es dabei aber einen kleinen Unfall und anscheinend hat niemand technikkompetentes das Interview nachredigiert, so dass da einige lustige Formulierungen enthalten sind. Andreas Bogk hat zumindest einen Teil davon schon kommentiert: Wer hat eigentlich eine Juristin zur “Bundes-CIO” gemacht?

September 22 2010

Neue Sicherheitslücken beim elektronischen Personalausweis

Der Chaos Computer Club hat heute wieder über eine neue Möglichkeit aufgeklärt, die Sicherheit des neuen ePersos in Frage zu stellen: Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis.

“Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen”, kommentiert CCC-Sprecher Dirk Engling. “Gerade die Sicherheit gegen Alltagsrisiken, wie Schadsoftware auf dem heimischen PC, muß bei so massenhaft eingesetzten Systemen wie der SuisseID und dem ePA im Vordergrund stehen. “[...] “Das bisher hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises wird durch die übereilte Einführung eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert. Mit dem ePA ist der Diebstahl des zukünftig wichtigsten Dokuments eines jeden Bürgers vom Kinderzimmer-Computer aus möglich”, sagt CCC-Sprecher Dirk Engling. Die Angriffsflächen, die sich durch die Einführung und Verwendung der digitalen Identitäten bieten, sind weitaus umfangreicher als bislang öffentlich thematisiert. “Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet”, sagt Sicherheitsforscher Thorsten Schröder.

Unser Bundesinnenminister Thomas de Maiziere konnte dann auch noch zu den neuen Sicherheitsbedenken Stellung nehmen. Davon gibt es praktischerweise eine Videoaufnahme:

Irgendwelche Hacker mögen immer irgendwas hacken können, aber, ähm, die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage.

Fefe verweist noch auf die neue Kommunikationsstrategie der ePerso-Befürworter:

BSI-Experte Jens Bender nahm Stellung zur Kritik des CCC. Er räumte ein, wenn ein Benutzer “den großen Fehler” mache, den elektronischen Personalausweis länger als nötig in einem Lesegerät zu lassen, könne sich ein Angreifer im Besitz der PIN tatsächlich für ihn ausgeben, zum Beispiel bei Altersverifizierungsdiensten.

Dann warten wir mal auf eine Extra-Aufklärungs-Kampagne der Regierung, damit der unbedarfte Bürger mal lernt, auch ganz schnell den ePerso wieder aus dem Lesegerät zu ziehen. Sonst scheint ja alles in Ordnung zu sein, oder?

Immer noch aktuell ist unser Interview mit Frank Rosengart vom CCC zum Thema elektronischer Personalausweis: “Kaufe nie die Version 1.0″.

Reposted bymondkroetekelvan

Willkommen im Cyberkrieg

Frank Rieger hat anschaulich und ausführlich mit einer interessanten Indizienkette in der FAZ erklärt, dass man mit dem sogenannten Stuxnet-Virus gerade wohl den ersten richtigen digitalen Angriff gesehen hat und das Ziel wahrscheinlich die iranischen Atomanlagen waren: Der digitale Erstschlag ist erfolgt.

Fieberhaft arbeiten die besten Sicherheitsexperten der Welt an der Analyse eines völlig neuartigen Computervirus. Jetzt legen erste Indizien einen erstaunlichen Verdacht nahe: Offenbar hat die digitale Waffe das iranische Atomprogramm sabotiert. Wenn das zutrifft, kann von nun an keine Industrieanlage der Welt mehr als sicher gelten.

Wer den Artikel nicht lesen möchte, wird aber dadurch aber trotzdem etwas unruhig:

Die von den deutschen Energieversorgern dieser Tage vorgebrachten Beteuerungen, ihre Atomkraftwerke könnten auf keinen Fall durch einen Angriff in der Art von stuxnet manipuliert und mit möglicherweise katastrophalen Folgen konfrontiert werden, erscheinen angesichts der Qualität und Durchschlagskraft dieses Trojaners wie das Pfeifen im Walde. Die Kriterien zur Beurteilung der Sicherheit von Atomanlagen können sich zukünftig jedenfalls nicht mehr nur auf die Dicke von Betonhüllen und Tests der Elektrik beschränken.

In seinem Blog erzählt er die Geschichte nochmal in englisch und etwas mehr IT-Sprache.

Reposted bymondkroeteharaday

September 21 2010

Twitter-Problem bei Nutzung im Browser

Twitter hat gerade ein kleines Security-Problem mit einem Loch, das sich rasant verbreitet. Wer Twitter im Browser nutzt sollte bei Links in den Tweets aufpassen, die anscheinend auch ein “onmouseover” im Text dabei haben. Da wird wohl eine Javascript-Lücke mit MouseOver ausgenutzt. Wer mit der Maus darüber geht, verschickt Tweets, die dann (zumindest bei mir im Client) so aussehen (und vermutlich im Browser als normale Links erscheinen):

http://t.co/@”onmouseover=”while(42){alert(‘MrJack got you’);}”font-size:500pt;/

oder so:

http://a.no/@”onmouseover=”;$(‘textarea:first’).val(this.innerHTML);$(‘.status-update-form’).submit()” style=”color:#000;background:#000;/

Hier finden sich erste Details. Nutzer von Twitter-Clients können sich entspannt zurücklehnen. Betroffen ist wohl nur die Browser-Variante.

(Update: Am Anfang war das wohl harmlos, mittlerweile wird auch Schadsoftware nachgeladen)

Nochmal Update: Neuerdings sieht man viele Tweets von Usern der Browser-Variante, wo nur “tbubbaloo” als String drin steht.

July 24 2010

Angst AG: Wer mit der Angst der Menschen Profit macht

Das Handelsblatt hat ausführlich über die “Suche nach der Sicherheit – Wer mit der Angst der Menschen Profit macht” berichtet. Das ist lesenswert. In dem Artikel geht es von der Vogelgrippe über die Privatisierung der (US-)Militärs bis zu den erhöhten Sicherheitsvorkehrungen auf deutschen Flughäfen.

Der Terror hat die Menschen ängstlicher gemacht. Sie verlangen nach mehr Sicherheit – beim Reisen, beim Essen, beim Geldanlegen. Für die Bevölkerung birgt die Angst nur Negatives – doch für den Markt wird sie zum neuen Milliardengeschäft.

Bruce Schneier über den Reset-Button

Der Bund deutscher Kriminalbeamter hat vergangene Woche die dämliche Idee eines Reset-Buttons fürs Internet im Bundeskanzleramt in die deutsche Debatte gebracht. In den USA wurde diese auch diskutiert, und von allen klar denkenden Menschen dankend abgelehnt. Der Sicherheitsexperte Bruce Schneier hat zu dem Thema gebloggt und bringt diverse Argumente vor, warum ein zentraler Reset-Button aus Sicherheitsgründen Schwachsinn ist: Internet Kill Switch.

The third flawed assumption is that we could build this capability securely. We can’t. Once we engineered a selective shutdown switch into the Internet, and implemented a way to do what Internet engineers have spent decades making sure never happens, we would have created an enormous security vulnerability. We would make the job of any would-be terrorist intent on bringing down the Internet much easier. Computer and network security is hard, and every Internet system we’ve ever created has security vulnerabilities. It would be folly to think this one wouldn’t as well. And given how unlikely the risk is, any actual shutdown would be far more likely to be a result of an unfortunate error or a malicious hacker than of a presidential order.

But the main problem with an Internet kill switch is that it’s too coarse a hammer. Yes, the bad guys use the Internet to communicate, and they can use it to attack us. But the good guys use it, too, and the good guys far outnumber the bad guys. Shutting the Internet down, either the whole thing or just a part of it, even in the face of a foreign military attack would do far more damage than it could possibly prevent. And it would hurt others whom we don’t want to hurt.

Mal schauen, ob ein Politiker in Deutschland nochmal die Idee der Polizei-Gewerkschaft aufnimmt und diesen Reset-Button fordert. Das wird dann richtig lustig werden.

Reposted byMeinSueppchensofiasppoesobacoloredgrayscalekrannixurfinmondkroetedeepthoughtkrekklotterlebencarsten233

June 21 2010

USA: TV-Debatte rund um Cyberwar

Interessantes TV-Debattenformat mit spannenden Rednern. Zwei Zweier-Teams treten gegeneinander an und diskutieren in diesem Fall Cyberwar: “The cyber war threat has been grossly exaggerated” mit Jonathan Zittrain, Marc Rotenberg, Bruce Schneier Mike McConnell.

THE CYBER WAR THREAT HAS BEEN GROSSLY EXAGGERATED from Intelligence Squared US on Vimeo.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl