KeenTech

Mich hat es heute früh aus den Socken gehauen, als ich die Meldung von Fefe und den Link auf die FAZ vernommen habe. Mal im ernst: wie oft muss man den Leuten sagen, dass sie mit solchen verquirlten Forderungen – welche auch noch einstimmig abgesegnet wurde – Tür und Tor für Missbrauch eines Jeden öffnet? Worauf nicht nur ich speziell anspiele?

Eingebettete und versteckte iFrames, die auf zB. KiPo verlinken, reichen aus, um gemäß dieser geplanten Grundlage mit Handschellen das Haus verlassen zu müssen. Cross Site Scripting wird, wie Fefe auch korrekterweise sagt, zu einer gefährlichen Sicherheitslücke. Und die letzten Wochen haben gezeigt, wie anfällig bestimmte Webseiten sind (Schäuble Hack, Deutsche Kinderhilfe usw.). Man denkt, man ist auf einer seriösen Seite und wenige Minuten später bimmelt es grün an der Tür.

Dieses ganze Problem KiPo wird immer intransparenter und anscheinend hat man in der Politik die ultimative Keule gefunden, um fast alles durch das Dorf prügeln zu können. Natürlich wird es mit Sicherheit so argumentiert werden, dass Otto-Normalinternetter, der zufällig darauf kommt, nicht unter Strafe stehen soll – nur wird der Gesetzestext, wie immer, eine andere Sprache sprechen.

Warum nicht gleich die Nutzung des Internet verbieten?

Update: Mir ist das jetzt erst aufgefallen. Unter anderem soll auch Jugendpornographie darunter fallen – sprich jede Ü30-Jährige Tante mit Zöpfchen, die eins auf Schuldmädchen macht …

Ich bin kein Freund des ePerso – ganz ehrlich. Wenn ich dann noch Dinge lese, wie derzeit auf Heise, dass Microsoft mal flugs zeigt, wie man mit dem ePerso Flüge sicher und zertifiziert buchen kann, dann bin ich noch weniger ein Freund davon. Der Sinn des ganzen erschließt sich mir nicht einmal ansatzweise und dieser Gedankengang wird in der dünnen Argumentationskette pro nur noch bestärkt. So heißt es, als Pro-Argument:

Nach der Abfrage freier Plätze einer bestimmten Verbindung über den Internet Explorer kann der Anwender den Flug buchen und seine Identität mit dem elektronischen Personalausweis bestätigen. Dieses Verfahren soll künftig die Flugbuchungen noch sicherer machen, bei denen ansonsten eine ID-Kontrolle erst am Flughafen erfolgt.

Erstens – Einsatz hier mit Hilfe des Internet Explorers. Da wird bestimmt eine Art ActiveX-Komponente dann eingesetzt, die die Schnittstelle zum Lesegerät auslesen kann. Dieses ActiveX wird garantiert wie jedes andere auch frei von Fehlern und Lücken sein.

Zweitens wird suggeriert, dass man mit dem ePerso nicht mehr an einem Flughafen ausweisen braucht, weil man es ja bereits getan hat. Ohne ePerso muss ich mich am Flughafen kontrollieren lassen, Ahja … meine letzten Flugerfahrungen haben bezüglich der Beurkundung meiner Person dem Flughafenpersonal gegenüber beim Einchecken keinerlei Zeitverlust gebracht. Koffer hingestellt, Ausweis raus, lieb gelächelt und fertig! Wo ist jetzt also der Nutzeffekt für das Ganze, für das Geld verschlingende Monster? Was macht das Ganze sicherer und einfacher?

Vielleicht kann mich mal Jemand aufklären – vielleicht denke ich ja auch nur eindimensional!

Ach, wertes BKA! Ihr wollt Rechner online durchsuchen, zusammen mit Frau von der Leyen eine Zensurinfrastruktur unter dem Deckmantel der Erschwerung von KiPo aufbauen, auf Vorrat gespeicherte Daten bei den TK-Anbietern zugreifen, verstärkte Rechte und Instrumente zum Aufspüren von Terroristen durchboxen und das alles zu Lasten der Freiheit und Bürgerrechte in Deutschland – und dann seit ihr nicht einmal in der Lage gefälschte BKA-Mails zu verfolgen? Stoppschilder auslesen wollen, aber den/die Urheber einer SPAM-Welle nicht ausfindig machen können?

Wo ist das Problem? Die Kontoverbindung steht doch in der Mail drin, oder wollt ihr gar ein Stoppschild vor der Bank einbauen, was jeder sieht, der auf Grund des Inhaltes der Mail bezahlen will? Am besten gleich wie bei den KiPo-Sperren den Zugriff protokollieren, denn mit Sicherheit ist jeder Zahler auch ein Raubkopierer, oder? 

Ich warte noch auf den Tag, wo die SPAM-Futzies auf diesen Stoppschilderwald-Wahn aufspringen und dann Mails versenden werden. Als Absender steht dann etwas, wie “stoppschild@bka.de” und der Text faselt etwas von:

Ihre IP-Adresse wurde beim ansurfen einer gesperrten Internetseite mittels eines STOPP-Schildes geloggt und gespeichert. Da dies ihr erstes Vergehen ist, überweisen sie bitte <hier_geldsumme_eintragen>€ Bußgeld auf folgendes Konto. Sollten sie dieser Zahlungsaufforderung binnen 5 Tagen nicht nachkommen, behalten wir uns vor, sie mittels eines Sondereinsatzkommandos (SEK) unerwartet zu “besuchen” und weitere strafrechtliche Maßnahmen einzuleiten.

MfG,
ihr BKA-Team, Geschäftsstelle Stoppschild!

Bin mal gespannt, was dann im Lande los ist …

PS: Fallt auf solch einen Mist, verursacht von Spammern, nicht rein. Sollten Unklarheiten sein, dann Jemanden fragen und eine 2. Meinung einholen. Mails sind bisher in meinen Augen und Verständnis nicht rechtssicher.

1. Wer nicht langsam anfängt Mails zB. mit PGP zu verschlüsseln, dem kann auf Dauer nicht mehr geholfen werden. Der BGH hat bezüglich der Frage, ob und wie auf Mails beim Provider zugegriffen werden kann/darf nur sehr geringe Hürden für die Polizeien aufgestellt. Das bedeutet, dass der Zugriff auf die Mails via §99 StPO erfolgen darf – bei “konkretem” Verdacht auf eine Straftat. Und was man bei einigen Polizeien oder Staatsanwaltschaften unter konkret versteht, hat man mitunter bei der Operation Himmel gesehen.
    
2. Polizei-Provokateure bei Demonstrationen sollten langsam vorsichtig agieren. In England ist es bei den Demonstrationen nach hinten losgegangen, denn ein Abgeordneter, der im Home Affairs Select Committee ist, hat das Ganze mit beobachtet und kann und wird Untersuchungen einleiten …
    
3. Ein gutes Interview ist – man staune – auf den Bundestagseiten aufgetaucht. Die ehemalige Präsidentin des BVerfG, Jutta Limbach, hat gesprochen und mitunter ihre Sorgen bezüglich der Gesetzgebung offenbart: “Ich sehe dahinter die Absicht, einen Rechtsstaat zu einem Präventivstaat zu machen. Das ist notwendigerweise mit Einbußen an Freiheit verbunden. Da hat das Bundesverfassungsgericht zur Recht seit dem 11. September  immer wieder  korrigierend eingegriffen. [...] Wenn der Bürger weiß, dass er beobachtet und durchrastert wird und alle seine öffentlichen Lebensregungen registriert werden, wird er langsam zögerlich, wenn es darum geht, seine Meinung unerschrocken im öffentlichen Diskurs zu sagen. Dadurch wird nicht nur das Recht des einzelnen Bürgers beeinträchtigt, sondern darunter leidet auch das Gemeinwohl. Meinungs- und Pressefreiheit sind die Demokratie konstituierende Freiheiten. Wenn die nicht mehr unerschrocken ausgeübt werden können, dann ist das besorgniserregend für unsere Demokratie. Diese Tendenz sehe ich wie andere auch und ich bin wirklich dankbar, dass das Bundesverfassungsgericht weitgehend dagegen gehalten hat.
    
4. Die Schweizer wollen bei deren ePass noch einen Schritt weitergehen und sprechen das aus, was bei uns die Befürworter und auch die Gegner bisher nur hinter vorgehaltener Hand sagten: Speicherung der biometrischen Daten, um auch Straftaten aufklären zu können! Die Begründungen für diese, wie auch andere, einschneidenden Maßnahmen der Grundrechte sind überall gleich. Sie beginnt mit “Wenn nur ein ….. verhindert werden kann, dann sollten wir es auch nutzen …”. Und wie sagen es die Schweizer? “Kommt es zu einer Entführung wie in jenem Fall von Lucie und gäbe es auch nur geringste Chancen, den Täter dank der Datenbank zu identifizieren, wird das Verwendungsverbot für die Fahnder sowieso sofort zur Debatte stehen.” Schon erstaunlich, wie sich nicht nur Deutsche durch solch einen Dummfug einlullen lassen.
    
5. Schäuble will es mal wieder wissen und werkelt fleissig weiter daran, dass Grundgesetz bröckeln zu lassen. Obwohl weder die GSG9, noch die Bundeswehr in der Lage gewesen wäre, die Piraten dingfest zu machen, nimmt er es zum Anlass, um der Bundeswehr noch mehr Kompetenzen zu verleihen. Man möchte der Bundeswehr per Gesetz die Macht geben, allein dann schon einschreiten zu dürfen, wenn “polizeiliche Mittel nicht ausreichen“. Und wer glaubt, dass dann im Gesetzestext steht “Nur für das Ausland”, der hat sich geschnitten. Bisher ist nie Gutes von uns Wolfgang Schäuble gekommen. Es hat einen guten Grund, wieso die Bundeswehr nicht im Inneren mit Polizeigewalt ausgestattet wurde – und ich möchte nicht schon wieder mahnend die 33er Keule ausholen …

Ich hatte mich ja bereits über die eingeführte DNS-Manipulation seitens der Telekom geäußert. Jetzt taucht schon mit einer der ersten Fälle auf, wo diese “Domain nicht existent – ich leite auf Telekom-Server”-Sache mitunter “Schaden” anrichtet.

Viele Firmen haben Sicherheitsvorkehrungen gegen Spam und anderes Gedöhns, wo z.B. bei einer eingehenden Mail ein DNS-Lookup durchgeführt wird, um die Korrektheit der Absenderdomain festzustellen. Das ist mitunter ein Indiz, ob es sich um Spam handelt oder nicht. Durch die Umleitung der DNS-Anfrage oder besser dem Vorgaukeln, dass die falsche Domain doch existiert (auf dem Telekom-Server) wird durch diese Prüftools fälschlicherweise angenommen, dass die Absenderdomain existiert und ok ist.

Dieses Verfahren der ISPs stört sämtliche Sicherheits- und Überprüfungsverfahren, die auf Validierung der DNS-Namen angewiesen sind. Schöne “sichere” Welt, oder?

Besorgter Anruf eines Bekannten: er hat zwei Mails von ein und derselben Person erhalten. Die zweite Mail enthielt ein Word-Dokument mit einem neuen Auftrag für ihn, aber Word meckerte herum, da angeblich die NORMAL.dot ausgetauscht wurde. Da er die erste Mail vorher gelesen hatte, rief er mich umgehend an – löblich, wie ich finde, denn um auf Nummer sicher zu gehen, sollte man vorher fragen. Könnte ja sonst was sein.

Ich bat ihn, bevor er irgend etwas Weiteres an seinem Rechner macht, mir die besagten Mails zukommen zu lassen. Diese kamen auch prompt und ich fing mit der “Analyse” an. Die zweite Mail war harmlos, aber wegen der ersten Mail wurde der Bekannte mehr als stutzig. Die erste Mail war eine Warnung bezüglich eines der zerstörerischsten Viren überhaupt, die auch prompt mehrmals von unterschiedlichsten Leuten an noch unterschiedlichere Leute weitergeleitet wurde. Selbstverständlich befanden sich alle Empfänger jeweils im AN: Feld und nicht im BCC. Macht sich gut, wenn mitunter “geheime” Mailadressen auf einmal öffentlich werden – ich denke mal, der komplette rote Block im Bild nebenan sind Mailadressen, die eher intern, als öffentlich bleiben sollten ….

Eine Quersuche nach bestimmten Wörtern ergab, dass dieser Hoax zum Teil schon seit 2004 die Runde machte – und zwar mit fast gleichem Wortlaut, wie diese Mail: