Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

October 21 2013

Spiegel: NSA holt sich Mails des mexikanischen Präsidenten und verknüpft War on Drugs mit Wirtschaftsspionage

Felipe_Calderon_H

Felipe Calderon, 2006. Agência Brasil (CC-by-2.5)

Es ist Montag, der nächste NSA-Skandal ist da. Wie der Spiegel in seiner aktuellen Ausgabe unter Berufung auf Snowden-Dokumente berichtet, hat der Geheimdienst sich mit einer “Flatliquid” getauften Aktion 2010 unter anderem Zugriff auf das Mailpostfach des mexikanischen Präsidenten verschafft. Das war damals noch der Christdemokrat Felipe Calderón. Der Spiegel (Print) schreibt:

Man habe erfolgreich einen zentralen Server „im mexikanischen Präsidenten-Netzwerk infiltriert, um zum ersten Mal überhaupt Zugang zum öffentlichen E-Mail-Konto“ des Staatschefs zu erhalten, rühmten sich die Datenspione in einem als „streng geheim“ eingestuften Bericht. Die Mail-Domain werde auch von Mitgliedern des Kabinetts genutzt und beinhalte „Kommunikation über diplomatische und wirtschaftliche Aspekte sowie Führungsfragen“.

Zuständig für diese Art der Diplomatie ist bei der NSA die TAO-Gruppe (Tailored Access Operations, genaueres hier und hier). Nach Brasilien sind damit Spitzenpolitiker der nächsten kontinentalamerikanischen Demokratie Opfer der NSA geworden.

Der Spiegel berichtet ausserdem über die Operation “Whitetamale”: Im August 2009 habe sich die NSA Zugang zu den E-Mails diverser hochrangiger Funktionäre des Sekretariats für Öffentliche Sicherheit verschafft und neben Informationen über mehrere Drogenkartelle auch „diplomatische Verhandlungsunterlagen“ abgeschöpft. Diese seien Grundlage für hunderte von Berichten gewesen, mit deren Hilfe “US-Politiker erfolgreiche Gespräche in politischen Fragen sowie die Planung von internationalen Investitionen ermöglicht” worden sei.

Calderons letztjähriger Herausforderer, der heutige Präsident Enrique Peña Nieto, war bereits während des Wahlkampfs Ziel der NSA geworden, wie Anfang September bekannt wurde.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 20 2013

Operation Socialist: Britischer Geheimdienst GCHQ hört systematisch den Provider der EU-Institutionen ab

Projekt 28Der britische Geheimdienst GCHQ hat Systeme und Router des belgischen Providers Belgacom gehackt. Das geht aus Folien des Geheimdienstes hervor, die der Spiegel veröffentlicht. Über Belgacom laufen auch Internet-Anschlüsse der EU-Institutionen Kommission, Rat und Parlament.

Anfang der Woche wurde bekannt, dass das belgische Telekommunikationsunternehmen Belgacom gehackt und abgehört wurde. Der Spiegel berichtet jetzt aus einer als “streng geheim” eingestuften GCHQ-Präsentation, dass der britische Geheimdienst dahinter steckt:

Projekt 28

Den GCHQ-Folien zufolge lief der Angriff über mehrere Belgacom-Angestellte, denen die Briten über eine Angriffstechnologie namens Quantum Insert (QI) ihre Spähsoftware unterjubelte. Dabei handelt es sich offenbar um eine Methode, bei der Zielpersonen beim Surfen im Internet ohne ihr Wissen auf Websites umgeleitet werden, über die Schadsoftware auf ihren Rechner eingeschleust wird, die dann den Computer manipuliert. Einige der so infiltrierten Mitarbeiter hätten “guten Zugang” zu wichtigen Teilen der Belgacom-Infrastruktur, freuten sich die Spione von der Insel.

Aus den Folien:

Projekt 28

Ultimatives Ziel: Zugang für Computer Netzwerk Ausbeutung zu Belgacom Core GPRS roaming exchange Routern ermöglichen, von denen wir Man-In-The-Middle-Angriffe gegen Smartphnoes durchführen können

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 09 2013

Wer hätte 1984 geahnt, dass dies “Big Brother” ist und dass die Zombies zahlende Kunden sein würden?

Der aktuelle Spiegel berichtet über Angriffe der NSA auf gängige mobile PLattformen wie Blackberry, Android und iPhone. Die Recherchen stützen sich auf interne Dokumente der NSA aus dem Snowden-Fundus. Einige Folien hat der Spiegel auch abgebildet, wie diese hier:

spiegel_1984

Mit zwei anderen Folien wird dann diese Satz gebildet:

Who knew in 1984… that this would be big brother… and the zombies would be paying customers?

Unklar ist, wie die NSA an die Daten auf den Geräten kommen. Möglicherweise über die Backups auf den Desktop-Rechnern (bei iTunes) oder über die Cloud-Infrastrukturen, die Google, Apple & Co anbieten, um Daten zu synchronisieren und abzuspeichern.

Besonders freuen sich Analysten der NSA über die in Smartphones und vielen ihrer Apps gespeicherten Geodaten, mittels derer sie erkennen können, wann sich ein Nutzer wo aufgehalten hat.

Die Geodaten werden oft direkt von diversen Apps gespeichert und eine Vielzahl an Apps werden mit Scripten von Smartphones ausgelesen.

Die „Bequemlichkeit“ der Nutzer werde dafür sorgen, notieren die Analysten, dass die meisten freiwillig zustimmten, wenn sie von Anwendungen gefragt würden, ob diese ihren aktuellen Standort verwenden dürften, heißt es in den Unterlagen der US-Spione.

Neben Android und iPhone ist auch die Verschlüsselung von Blackberry geknackt worden. Unklar ist noch, wieviel Aufwand die NSA benötigt, gegen Blackberry Nutzer vorzugehen. Unsere Politik betrifft das auch ein wenig:

Vor nicht allzu langer Zeit hat die Berliner Regierung einen Großauftrag für die sichere mobile Kommunikation in Bundesbehörden vergeben – unter anderem an einen Verschlüsselungsanbieter, der bei der Hardware auf ein vermeintlich an sich schon abhörsicheres Gerät setzt: BlackBerry.

Aber wie wir heute gelernt haben: Das ist kein Thema der Politik.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 19 2013

Rechenzentrum für Apotheken handelt mit unzureichend anonymisierten Patientendaten

Nach Informationen des Nachrichtenmagazins Spiegel werden in Deutschland “Millionen Ärzte und Patienten ausgespäht”. Dem Spiegel liegen vertrauliche Dokumente vor, die belegen, dass das Apothekenrechenzentrum VSA Patientendaten ohne ausreichende Verschlüsselung weiterverkauft hat. Durch die unzureichende Verschlüsselung ist es demnach möglich, die tatsächliche Versichertennummern zu errechnen. Abnehmer solcher Datensätze sind nach Angaben des Spiegel Unternehmen aus der Pharmaindustrie, welche diese Daten zu Zwecken der Marktforschung nutzen.

Im Fokus des Berichts stehen das bayerische Apothekenrechenzentrum VSA und der US-Konzern IMS Health. IMS Health rühmt sich selbst damit, die Krankheiten von weltweit rund 300 Millionen Patienten verfolgen zu können – “darunter auch ’42 Millionen verschiedene gesetzlich Versicherte’ in Deutschland”, wie der Spiegel schreibt. Grundsätzlich ist der Handel mit Patientendaten nicht verboten. Es muss jedoch Streng darauf geachtet werden, dass die Daten anonymisiert verkauft und verwendet werden. Doch genau das ist nach Informationen des Spiegel nicht der Fall.

Bei der Lieferung von Rezeptdaten an IMS wird die Identität der Patienten lediglich durch einen 64-stelligen Code verschleiert, der sich leicht auf die tatsächliche Versichertennummer zurückrechnen lässt, [...]. Zusätzlich werden auch Alter und Geschlecht der Patienten an die Marktforscher weitergegeben. Für jeden Rezeptdatensatz eines deutschen Versicherten muss der amerikanische IMS-Konzern teils weniger als 1,5 Cent an Apothekenrechenzentren bezahlen.


Hierbei ist nicht nur die Privatsphäre der Patienten verletzt worden, sondern ebenso die der Ärzte. Den Pharmaunternehmen wäre es mit Hilfe solch unzureichend verschlüsselter Daten beispielsweise möglich zu kontrollieren, welche Arztpraxen welche Medikamente am häufigsten verschreiben. Als Folge könnten Arbeiter der Pharmaunternehmen gezielt Arztpraxen besuchen und dort Werbung für ihre Medikamente machen, wie der Spiegel angibt.

Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, hält den Verkauf dieser nicht ausreichend anonymisierten Daten für einen “der größten Datenskandale der Nachkriegszeit”. Weichert weiter:

“Es wäre traurig, wenn die Dienstleister des Vertrauensberufs Apotheker erst durch Gerichtsprozesse zur Vertraulichkeit zu veranlassen wären.”

Bereits im Februar 2012 berichtete der Spiegel über die Weitergabe von nicht verschlüsselten Patientendaten an Pharmaunternehmen. Damals wurden mehrere große Rechenzentren beschuldigt, mehrere Millionen Daten aus Rezepten an führende Pharmaunternehmen verkauft zu haben, ohne die Daten zuvor anonymisiert zu haben. Nach Informationen des Spiegel hat das “Norddeutsche Apothekenzentrum” seitdem seine Datenlieferung umgestellt – das Apothekenzentrum VSA und IMS Health jedoch nicht.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 04 2013

500 Millionen Verbindungsdaten im Monat: BND betreibt Vorratsdatenspeicherung durch die Hintertür

Der BND sammelte allein im Dezember 2012 500 Millionen Verbindungsdaten. Diese werden in großem Umfang an die NSA übermittelt. Diese de facto Vorratsdatenspeicherung ist laut BND durch das BND-Gesetz und das G10-Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses gedeckt. Zudem erfasse man gar keine Telekommunikationsverkehre deutscher Staatsangehöriger. Das berichtet der SPIEGEL auf Basis von Dokumenten aus dem Fundus von Edward Snowden.

Dumm nur, dass in den Berichten des Parlamentarischen Kontrollgremiums nie von Verbindungsdaten die Rede war. Hier stand die E-Mail-Überwachung im Vordergrund. So waren allein im “Gefahrenbereich ‘Internationaler Terrorismus’” von 329.628 “Telekommunikationsverkehren” 327.557 “aus dem Bereich der E-Mail-Erfassung”, heißt es in dem diesjährigen Bericht des Parlamentarischen Kontrollgremiums, der sich auf den Erfassungszeitraum 2011 bezieht (die Berichte hängen quasi immer zwei Jahre hinterher). Dieser Fokus auf E-Mails passt nicht zu den Snowden-Leaks. Hier wurde also – euphemistisch gesagt – etwas verschwiegen.

Aus der Spiegel-Online-Meldung geht weiterhin hervor, dass der BND zwei hauseigene Schnüffelwerkzeuge namens “Mira4″ und “Veras” an die NSA gegeben hat.

Der BND betreibt nichts anderes als eine Vorratsdatenspeicherung durch die Hintertür des G10-Gesetzes. Die glatte Lüge, der BND erfasse keine Telekommunikationsverkehre der eigenen Bevölkerung, hat man sich wohl bei den USA abgeschaut. Die Würde des Menschen ist antastbar.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 17 2013

Informationsfreiheit: Malte Spitz verklagt Bundesregierung auf Herausgabe von Umfragen zur politischen Stimmungslage

Ein Einblick in Umfragen des Bundespresseamts zur politischen Stimmungslage in Deutschland würde die Regierungstätigkeit gefährden. Mit diesem Argument verweigert die Bundesregierung Anfragen nach Informationsfreiheitsgesetz. Der Grüne Politiker Malte Spitz hat deswegen Klage gegen die Bundesregierung eingereicht.

Im September 2012 stellte der Grünen-Politiker Malte Spitz eine Informationsfreiheits-Anfrage auf FragDenStaat.de. Zwei der angefragten Inhalte haben wir auch angefragt, erhalten und veröffentlicht:

Zudem fragte Malte aber noch nach “vom Bundespresseamt beauftragte Umfragen zur politischen Stimmungslage in Deutschland”:

In diesen Umfragen lässt das Bundespresseamt im Auftrag der Bundesregierung regelmäßig Bürgerinnen und Bürger zu Kompetenzwerten von Regierungs- und Oppositionspolitikern sowie der Parteien, als auch Einstellungen und Meinungen zu aktuellen politischen Themen befragen.

Die Herausgabe dieser Umfragen lehnte das Bundespresseamt jedoch ab. Also klagt Malte jetzt dagegen:

Nach einer weiteren formalen Ablehnung meiner Anfrage Anfang Januar habe ich fristgerecht Widerspruch eingelegt. Auch mein Widerspruch wurde mit dem Argument, dass eine Veröffentlichung der Informationen den internen Willensbildungsprozess der Regierung und damit die Regierungstätigkeit gefährden würde, im April abgelehnt. Dieses Argument ist derart haarsträubend, so dass ich mich entschlossen habe, gegen die Bundesregierung zu klagen. Die Klage ging vergangene Woche dem Verwaltungsgericht Berlin zu.

Ich bin der festen Überzeugung, dass dieser Klage eine hohe Bedeutung in der Debatte um Transparenz und Open Data, sowie der dringend notwendigen Überarbeitung und Fortentwicklung des Informationsfreiheitsgesetzes zukommt. Zwar kennt das IFG bedauerlicherweise bisher kein allgemeines Transparenzgebot. Ungeachtet dessen besteht aber ein Auskunftsanspruch gegenüber Behörden bezüglich amtlicher Informationen und damit selbstverständlich auch den entsprechenden Dokumenten.

Gegenüber dem Spiegel sagte Malte:

Entweder will die Regierung verbergen, wie umfragenhörig sie agiert, oder sie verweigert sich prinzipiell dem Auskunftsanspruch des Informationsfreiheitsgesetzes.

Disclaimer: Malte kandidiert auf Platz 16 der Landesliste NRW für den Bundestag. Und ich mag FragDenStaat.de und habe das System und den Mail-Server aufgesetzt.

vgwort pixel

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

January 22 2011

Jetzt geht’s lo-hos: Netzpolitischer Showdown im Bundestag?

Spiegel Online hat heute eine Vorabmeldung aus dem Montag erscheinenden Print-Spiegel, die den netzpolitischen Ausblick auf die kommenden Wochen nicht unbedingt schöner macht.

So langsam deuten sich die zum Jahreswechsel angekündigten Entscheidungen bei der Vorratsdatenspeicherung und bei Zensursulas ausgesetztem Zugangserschwerungsgesetz an. Die Rede ist von erheblich verhärteten Fronten innerhalb der Regierungskoalition:

Die Union will sich keinesfalls auf die Forderung der liberalen Bundesjustizministerin Sabine Leutheusser-Schnarrenberger einlassen, Daten nur dann zu speichern, wenn es den Anfangsverdacht auf eine Straftat gibt. [...] Um wieder Bewegung in die Gespräche zwischen Union und FDP zu bringen, soll nun die Vorratsdatenspeicherung im Paket mit den Themen Visa-Warndatei, Terrorismusgesetze und Internetsperren verhandelt werden.

Prösterchen! Sorry, falls ich gerade jemandem das Wochenende versaut habe, das war nicht meine Absicht.

Siehe auch: FDP will Vollzugsdefizit beim Löschen von Kinderpornographie lösen (Heise Online, 20.01.2011)

November 07 2009

Spiegel-Story über SchülerVZ, vorab bei Heise [MiniUpdate]

Heise Online berichtet vorab über einen Artikel im am Montag erscheinenden Spiegel, der die Ereignisse um die “Datenklau-Affäre” bei SchülerVZ und den tragischen Selbstmord von Matthias L. in einem etwas anderen Licht erscheinen lassen:

  • - Matthias L. und VZnet hätten mehrere Tage über die Rückgabe der Daten verhandelt
  • - Via Chat sei seitens VZnet mehrfach Geld geboten worden
  • - Matthias L. habe ursprünglich keine kommerziellen Interessen verfolgt
  • - VZnet habe Matthias L. das Taxi von Erlangen nach Berlin bezahlt
  • - Matthias L. habe laut Akten unter einer “kombinierten Persönlichkeitsstörung” gelitten, was seine Unterbringung in einer Einzelzelle in Frage stellt

Klingt sensationell, oder? Muss es ja auch, ist ja eine Spiegel-Story. So funktioniert Magazinjournalismus nunmal. Tatsächlich sind aber nur wenige Aspekte wirklich neu.

Dass Matthias L. im Vorfeld bereits über die – nach der Veröffentlichung in einem Webforum de facto nicht mehr mögliche – “Rückgabe” der Daten verhandelt hatte, ergibt sich bereits aus dem auch hier bei Netzpolitik dokumentierten zeitlichen Ablauf. Auszüge aus den bei Heise Online/im Spiegel erwähnten Chatprotokollen wurden ebenfalls hier in den Kommentaren veröffentlicht (Siehe auch [1] und [2]).

Durchaus plausibel scheint mir auch, dass Matthias L. im Laufe der Gespräche seitens VZnet eine Honorierung im Fall einer kooperativen Zusammenarbeit in Aussicht gestellt wurde. VZnet hat grundsätzlich ein ebenso valides, wie eben auch kommerzielles Interesse, bekannte Sicherheitslücken zu schließen und die Daten seiner Nutzer zu schützen (ganz unabhängig davon, dass das in der Vergangenheit mitunter nur so mittelgut geklappt hat). Auch die Übernahme der Taxikosten von 530 Euro dürften in diesem Zusammenhang sinnvoll investiert sein.

Bleibt die Frage nach der unterstellten Erpressung. Oder besser, ob man im strafrechtlichen Sinne überhaupt von einer Erpressung reden kann. Nach eigenen Angaben sei Matthias L. laut Spiegel nämlich von VZnet-Mitarbeitern gefragt worden, ob “es ihm um Geld oder Ruhm gehe”:

Der Erlanger erklärte in seiner Vernehmung, die VZ-Leute hätten ihn gefragt, ob es ihm um Geld oder Ruhm gehe. Er habe spontan die Summe 80.000 Euro genannt und sich einverstanden erklärt, die “bei mir befindlichen Daten zu löschen”, wenn er bis Montag 20.000 Euro erhalte. “Wenn die mir Geld anbieten”, so L. zur Kripo, “nehme ich es gern an.”

Ist Matthias L. damit zu einer Erpressung genötigt worden? Hat er Geld verlangt? Wie nachdrücklich? Oder wurde es ihm aufgedrängt?

Laut Medienberichten hatte Matthias L. den Tatvorwurf “im Wesentlichen gestanden”. Auch sonst kann man über die kommerziellen Absichten von Matthias L. spekulieren, unter anderem, da er in seinem Blog (inzwischen offline, Kopie liegt uns vor) bereits vor Wochen einen Verkauf seiner Scripte in Aussicht gestellt hatte:

Da mich releativ viele anschreiben und wissen möchten ob der Bot zu verkaufen ist: Nein ist er zz. noch nicht. Später vll. mal wenn ich ihn komplett fertig habe.

Aber all das scheint mir angesichts des tragischen Selbstmords ohnehin weitgehend irrelevant. Weit wichtiger scheint mir die Frage, welche Ratschläge und Tipps man Hackern und – von mir aus – auch Crackern und Scriptkiddies geben kann, wenn Sie auf eine auf Sicherheitslücken – nun – stoßen. Markus hatte das Thema ja schon einmal angerissen, daher nur ein paar kurze Anmerkungen von mir:

  • - Schätzt eure Position realistisch ein. Mag sein, dass ihr am Gerät mächtig was drauf habt. Draussen in der Realität gelten andere Spielregeln. Wenn überhaupt Spielregeln beachtet werden.
  • - Bittet jemanden um Hilfe, der sich mit sowas auskennt. Das müssen nicht unbedingt wir hier bei Netzpolitik sein, auch wenn wir im Fall des Falles natürlich gerne helfen. Ihr könnt euch zum Beispiel an den Chaos Computer Club wenden, wo ihr Leute findet, die sich nicht nur mit Sicherheitslücken auskennen, sondern auch wissen, wie man mit Unternehmen spricht – oder euch wenigstens gute Anwälte empfehlen können. Kontaktadressen gibt es hier und hier. Frank Rieger und Volker Birk sind, das könnt ihr leicht googeln, schon recht lange dabei. Die wissen, wovon sie reden.
  • - Wenn ihr unbedingt selber “verhandeln” wollt (Nochmal, das ist, ausser bei Kleinigkeiten, meist eine ziemlich schlechte Idee!), sichert euch ab und nehmt glaubhafte Zeugen mit.
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl