Kategorie : Security

in Kommentar, Netz, Security

Gute Finte

Geschickt eingefädelt von der NSA. Da lobt man milliardenschwere Preisgelder aus, um die Verschlüsselung von Skype zu knacken, was somit angeblich suggeriert, dass Skype sicher sei. Jeder Terrorist und jeder, der etwas zu verbergen hat, greift natürlich deswegen zu Skype, da man ja sicher ist und der “Feind” nicht mithören kann.

Eine noch subtilere Irreführung gibt es wohl nicht, oder? Selbst wenn sie es nicht könnten, könnten sie Skype mit dem Geld einfach aufkaufen, wo doch eBay Skype möglicherweise schon loswerden will. Wie bescheuert muss man sein, um dieser Sache auf den Leim zu gehen?

PS: Skype ist bei mir schon seit Längerem verbannt – nicht schon allein deswegen.

in Hard & Software, Kommentar, Netz, Security

Sicherheitsspezialist unsicher …

Wie Heise, Fefe und die Hauptquelle hackersblog.com berichten, ist die Webseite von Kaspersky mit einer eigenen massiven Sicherheitslücke betroffen, mit der die komplette dahinter liegende Datenbank anzapfbar ist – nebst Administrationskennwörtern, Aktivierungscodes, Shops, Daten über Kunden usw.

Es zeigt mitunter passend, dass selbst “Spezialisten” vor Lücken und möglichen Datenklau nicht gefeit sind.

in Ärger, Kommentar, Netz, Politik, Security

De-Menz

War klar, dass das Bürgerportal-Gesetz so schnell intern im Kabinett beschlossen wurde. Und bisher haben sich meine Unkenrufe alle Male bestätigt. Hier ist also die neue De-Menz (Deutsche Email Mit Eingebautem Nachrichtendienst Zugang), ähh ..De-Mail!

Kommen wir also zu den Fakten.

  1. De-Mail kostet Porto, denn nach “Berechnungen des Bundesinnenministeriums soll De-Mail jährlich zwischen 1 Milliarden und 1,5 Milliarden Euro einsparen, die sonst für den Versand ausgegeben werden“. Und damit die Einsparungen gegenfinanziert werden können: “Für den Versand und die Bestätigigung muss er Porto bezahlen.
    Geile Logik, muss ich schon sagen! Was machen die mit den von unseren Steuergeldern eingesparten Milliarden, plus den neuen Portogebühren?
  2. De-Mail kostet mindestens Einrichtungsgebühren, wenn nicht sogar Grundgebühren: “Jeder Bürger, der sich eine kostenpflichtige De-Mail-Adresse zulegt, kann vertrauliche und verschlüsselte Mails verschicken und empfangen.
  3. De-Mail verschlüsselt erst ab dem Provider. Ergo, die vertraulichen und zu verschlüsselnden Daten wandern ungeschützt vom Router zum Mail-Provider. Ist klar, denn sonst könnte man gar nicht bei Straftaten die Daten auswerten. Somit kann immer noch sich eingeklinkt werden. Sei es der Staat oder schadhaftes Gewürm auf den Rechnern von Infizierten – den Schutzlosen! Die Mail muss immerhin vom Rechner bis zum Mailserver des Providers – das ist ein langer Weg. Der Satz sagt eigentlich schon alles: “De-Mail unterliegt den gesetzlichen Rahmenbedingungen der elektronischen Kommunikation. Das heißt, das Mitlesen von Inhalten ist grundsätzlich nur nach entsprechender richterlicher Anordnung möglich, wie es auch bei Papierpost der Fall ist. Ansonsten wird die gesamte Kommunikation und Datenablage standardmäßig vom Provider verschlüsselt.” Also ist Mitlesen möglich und erwünscht. Ich glaube kaum, dass stinknormale Postkarten nachvollziehbar sind .. das nenne ich einmal eine vertrauensvolle Leistungsbeschreibung eines kostenpflichtigen Verschlüsselungsdienstes. Ich kann mir gar nicht ausmalen, wer so blöd sein sollte
  4. Die privaten Schlüssel zur Signierung und Verschlüsselung liegen nicht in der Hand des Nutzers, sondern in der Hand des Providers und des Staates bzw. der ausführenden und organisierenden Behörde. Insofern kann von gesicherter Vertraulichkeit und Integrität keine Rede sein. Ich bin mal gespannt, wie schnell auf einmal eine dieser verschlüsselten Mails oder Daten von ganz alleine sich entschlüsselt, nur weil ein richterlicher Beschluss in der Luft herumgewedelt wird. Und vor allem: welcher Art richterlicher Beschluss, sprich welcher Straftat, erlaubt es das?
  5. Wer seine De-Mails auf Grund von Internetproviderwechsel, Mailproviderwechsel, Sperrung, Abwesenheit usw. nicht abholt, der verpasst somit auch die verbindlichen Zustellfristen von Rechtsbescheiden, Dokumenten, Behördenbescheiden, Mahnbescheiden, Bußgeldbescheiden, Falschparktickets usw. Bei der Post kann ich jemanden dazu beauftragen, dass jemand in Abwesenheit meiner Person meine Post liest und mich informiert. Wer wird also diese “vertrauliche” Mailadresse anderen zur Einsicht bzw. zur Verfügung stellen, mit der verbindliche Einkäufe, Nachweise und anderes Gedöns angestellt werden können? Na?
  6. Gemäß §25 der Verordnung erhält das BMI in meinen Augen Ermächtigungen, bestimmte Paragraphen umgestalten zu dürfen – unabhängig vom Bundesrat. Ein Schelm, der daran denkt, dass die freiwillige De-Mail auf einmal zur Pflicht werden lässt. Weitere Hintertürchen sind in dem Text nicht nur unscheinbar auffindbar. Wer lesen kann, der ist im Vorteil!
  7. Hat sich schon einmal jemand über die Langzeitarchivierung Gedanken gemacht? jetzt hab ich ein amtliches Papier in einem Ordner im Schrank. Dann habe ich ein Dokument auf der Festplatte. Nur das Dokument ist signiert, der Ausdruck aber nicht. Was passiert beim Datenverlust?

Hab ich noch etwas vergessen? Mit Sicherheit! Aber allein diese Punkte schüren bei mir den inneren Drang ganz weit Abstand vor der De-MenzMail zu nehmen. Da “vertraue” ich ja lieber Google, als den Mist hier.

Mich würde mal wirklich interessieren, wie die Befürworter aus behördlicher Sicht von “damals” jetzt darüber denken. Ist das immer noch eine tolle Sache und verhilft zu weniger Bürokratie? Wenn ja: ist es das wirklich wert? Würdet ihr dafür bezahlen wollen? Wird es Bürokratie einsparen? Wird es Ressourcen einsparen? Wird es auch für Jahrzehnte funktionieren – sprich die Dokumente weiterhin existieren, wie bei Papier inkl. Datensicherheit und Sicherung?

Apropos: Interessant wird es, wenn Trojaner die gültigen De-Mailadressen an Spamschleuder-Server und Botnetze schicken. Die kommen mit Sicherheit an und ich glaube kaum, dass dort Filtermechanismen seitens der Provider arbeiten dürften, denn sonst könnte ja ein wichtiger Bescheid versehentlich als Spam eingestuft werden. Sprich, je mehr ich drüber nachdenke, umso mehr Kritikpunkte an diesem System finde ich – obwohl, zugegebenerweise habe ich bisher kein gutes Haar dran gelassen, weil es kein gutes Haar gibt!

in Clips, Hard & Software, Kommentar, Netz, Politik, Security

In Deutschland unmöglich …

Ich hatte bereits geschrieben (Nr. 12), dass es Forschern in den Staaten gelungen ist, RFID-basierte Ausweise aus bis zu 45 Metern Entfernung auszulesen. Ebenso war dies bei geringerer Distanz trotz Alu-Hülle möglich.

Dieses Mal ist es einem Hacker gelungen, mit Hilfe von einfachem Gerät für knappe 250$, unbemerkt Ausweise auszulesen und zu “klonen”. So viel zur Sicherheit ..

Aber in Deutschland ist das vollkommen unmöglich – denn es ist ja hierzulande verboten!

Hier dazu das Video!

in Privates, Security

Digitale Langzeitarchivierung?

Gibt es das überhaupt? Diese Frage stelle ich mir seit einigen Tagen vehement. Ich denke, jeder von uns, der seine Daten archiviert, kennt das Problem. Datei-Formate werden abgelöst und alte Dateien müssen umkonvertiert werden. Programme zum Darstellen oder Erzeugen dieser Formate ändern ihr Format beim nächsten Release oder sind von der Struktur her anfällig (Word). So weit so gut.

Aber was passiert mit Daten, die verschlüsselt oder mit einer Signatur versehen sind? Der Schlüssel hierfür ist zeitlich begrenzt und nach Ablaufen des Zeitraumes sind die Daten Geschichte. Wieso? Bei konsequenter Nutzung von Signaturen werden verschlüsselte bzw. signierte Daten ungültig und aus ebenso aus oben genannten Aspekt unlesbar.

Das wird sicher interessant bei den Vorhaben der Politik – ich verweise zum Beispiel mal in Richtung ELENA oder eGK, wo die Signatur sich alle 3 Jahre ändert. Ebenso bei anderen Vorhaben Dokumente, wie Geburts- und andere Urkunden signiert zu archivieren. Besonders pikant wird es, damit das Dokument seine Gültigkeit auch bei der sogenannten Übersignierung behält, dass ich diese mit einem neuen Schlüssel übersignieren muss.

Und selbst wenn ein anderer, wie bei einer beglaubigten Kopie, anstelle meiner einer das Ganze übersigniert, wie vertrauenswürdig ist diese Person? Und auf dem “Original” ist die alte Signatur abgelaufen – das passiert bei einem Papier-Original nicht, wo meine Unterschrift drauf ist.

Ob sich die da oben dazu überhaupt Gedanken gemacht haben? Schwieriges Thema – vielleicht habe ich ja einen Denkfehler. Ich stelle das mal hier zur Diskussion.

in Ärger, Kommentar, Netz, Politik, Security, Tellerrand

Über den Tellerrand Nr. 5

Dieses Mal gibt es Einiges an zum Nachdenken anregende Informationen in der Kurzfassung zu lesen.

  1. Zensur und Blockade von derzeit KiPo-Inhalten im Internet ist in aller Munde. Weitere Themen werden mit Sicherheit noch folgen. Während in Deutschland noch mit den TK-Anbietern die Feinheiten besprochen werden, zeigt mal wieder Großbritannien, wo die Reise auch für uns hingehen und was alles dabei schiefgehen wird. Wie schnell doch anderweitige Informationen einfach so nicht zugänglich werden ist schon beachtlich. Ob dann auch die Webseiten von Bundesbehörden irgendwann blockiert werden? Wobei mich noch eine andere Frage interessiert - was passiert dann, wenn eine Anzeige bei der Polizei gemacht wird, wenn solches Material irgendwie auftaucht?
    Update:     Offensichtlich war es doch noch nicht so ganz klar, wie die Provider nun “mitspielen” sollen. Woher nehmen die Politiker immer diese Euphorie her? 
    Wieso sollte das BKA in zig Mannstunden akribisch das Web durchsuchen und aus den Milliarden von Webseiten die KiPo-Seiten heraussuchen, damit diese auf eine Liste kommen, die dann von den Providern zu sperren sind? Wieso kann das BKA diese Zeit nicht gleich nutzen, um die Betreiber der Seite dingfest zu machen bzw. zu machen lassen (Interpol und Co)? KiPo ist doch nun fast überall auf der Welt verboten. Ich glaube, der eigentliche Sinn ist ein anderer – aber dazu ein anderes Mal mehr.
  2. Rettungsschirm hin oder her. Wen wir als Steuerzahler so alles finanzieren und wessen Abfindungen für “gelungene” Leistung wir alle bezahlen müssen, möchte ich eigentlich nicht dran denken. Schlimm genug, was uns die freien Finanzmärkte und unsere Regierung, die ja bekanntlich meist im Aufsichtsrat der Banken mit drin saßen und auch noch das Ganze mit abgesegnet hatten, mit ihrem Rettungspaketen so alles einbrockt. Fangt mal an zu sparen oder sucht euch einen besseren Job, damit ihr mehr als 4439 Euro in der Sekunde verdient und dem Staat aushelfen könnt.
  3. Es steht eine neue Novellierung an. Davon hatten wir schon einige, die mitunter ja auch schon vor dem BVerfG sich befinden. Jetzt betrifft es die geplante Novellierung des Gesetzes für das Bundesamt für Sicherheit in der Informationstechnik (BSI). Man muss sich mal auf der Zunge zergehen lassen, was die alles dürfen sollen. Da rollt es einem glatt die Fußnägel hoch. Und die Daten und Informationen dürfen selbstverständlich ohne grundlegende Bedingungen an Strafverfolgungsbehörden (zB. BKA) und den Verfassungsschutz geleitet werden. Interessant wird es ebenso, dass der Bundesrechnungshof und das Bundespräsidialamt von diesen Maßnahmen ausgenommen werden soll. Ein Schelm, wer Böses dabei denkt … hat bzw. glaubt noch irgendjemand an die Empfehlungen des BSI für die IT-Sicherheit? Wohl kaum, wenn die Sicherheitslücken in Betriebssystemen und Informationen über Schadprogramme nicht mehr veröffentlicht werden “müssen”.
    Wieder eine Behörde mehr, die sich mit der Verfolgung von imaginären KiPoraubkopierterroristenmördern  beschäftigt.
  4. Völlig untergegangen war eine Anfrage der Linkspartei an die Bundesregierung. Aufpassen: Die Bundesregierung hat zugegeben, dass biometrische Verfahren allenfalls sekundär zur Früherkennung von terrorverdächtigen Personen dienen können. Das ganze taugt kaum zur Terrorabwehr. Komischerweise versuchte uns aber die Regierung das Ganze aber immer anders zu verkaufen. Ich will ja jetzt nicht sagen, dass ich es bereits jedes Mal gesagt habe, aber: Ich habe es mehrmals gesagt!
  5. Achja, obwohl die Rechtsprechung eine andere ist, zeigt uns mitunter die Regierung Niedersachsen als Vorreiter aller, was sie von unserem Grundgesetz halten. Irgendwann werden die Kritiker halt müde, und dann werden sie Erfolg haben. Und je mehr ich mich umsehe, umso mehr Leute verfallen in die Grundstimmung “Kann ja eh nix alleine reißen”. Herzlichen Glückwunsch, die Politiker haben bei denen ihr Ziel bereits erreicht.
  6. Reisepass gefällig? Wir sollten “dankbar” sein, dass nun (unsere) Kinder erst ab 12 Jahren ihre Fingerabdrücke und biometrischen Passbilder abgeben müssen, wenn sie einen Reisepass beantragen wollen/müssen. So kommt man mit der Vollerfassung aller Bürger immer schneller zum Ziel. Und natürlich wird alles schön fein säuberlich in Datenbanken gesammelt werden. Ich verweise dazu gern auf Punkt 4 dieses Tellerrandes. Und wenn ich das Wort Zweckbindung lese oder höre, dann regt sich meine Galle mitunter vergnügt gen Himmel. Zweckbindung und das Wort eng sind sehr dehnbare Begriffe.
    Ich selbst fordere den Rosettenabdruck für den Reisepass – jawoll ja. 
  7. Willkommen in der Gesinnungsjustiz. ’33 hatten wir so etwas schon und heute wird es wieder kommen. Schonmal Gedanken gemacht, an welchen Gesetzen und anderen Beständen herumgefummelt wird? Im Bereich Staatsschutzrecht werden neue Straftatbestände eingeführt. Ausgeklüngelt haben sich das unter heftigsten Debatten die Frau Zypries und mein Freund Herr Schäuble. Natürlich wird der Download aus “Neugier” nicht bestraft. Kann man ja auch überwachenderweise einfach feststellen. Ebenso wenig werden Diejenigen bestraft, die das beruflich brauchen. Also zum Beispiel Behörden. 
  8. Wie gut man sich auf ehrenvolle, hilfsbereite, freundliche, überlegte Menschen bei der Polizei verlassen kann. Die Polizei, dein Freund und Helfer. Kein einziger von denen würde niemals nie nicht im Leben unüberlegt oder willkürliche Dinge tun. Da können wir uns alle darauf verlassen. 1000%ig sicher und machen keine Fehler.
  9. Das erste Testszenario für die eGK geht online. Ich empfehle keinerlei Unfälle mit Bewusstseinsausfall, denn bis der Schwester/dem Arzt klar geworden ist, wie sie euch ohne PIN-Eingabe behandeln sollen, könnte es bereits zu spät sein. Es muss ja nur eine 6-stellige PIN eingegeben werden. Warum nicht gleich einen Venenscanner? Dann könnte auch bei einen nicht mehr ansprechbaren Patienten der Arzt “korrekt” behandeln und die Krankheitsvorgeschichte öffnen. Interessant ist, dass da schon Systeme gezeigt und genutzt werden, wo es doch noch keine Spezifikation und Rahmen dafür gibt. Und kompatibel mit den geplanten Systemen ist es auch nicht, aber dafür sind sie Erster: unsere Spezialisten und Freunde von SieNehmens und Telekom. Und wer sichert die Daten? BKA-sicher und vor Beschlagnahmung gefeit: die Telekom. Sie hat ja gelernt, wie man Daten verstecken und sichern muss.
  10. Hmm, wieso wollte Schäuble damals Stasi-Unterlagen vernichten lassen? Wegen der 100000 DM oder wegen der anderen dubiosen Dinge und Personen in der CDU?
  11. Schon interessant, mit welchen Mitteln und, in meinen Augen, mit welchen Einschüchterungsversuchen Personen DNA-Material von der Polizei abgezogen wird. Welche gesetzliche Grundlage gibt denen das Recht dazu? DNA-Tests sind keine normalen Ermittlungsmethoden. Wo kommen wir da hin, wenn ich mich bei jeder allgemeinen Kontrolle ohne triftigen Grund oder fundierten Verdachtes bis aufs Hemd und DNA ausziehen muss? Und wer etwas in Rhetorik aufgepasst hat, merkt, dass da nichts gelöscht wird. Clever formuliert, würd ich sagen.
  12. Und zum Abschluss mal wieder RFID und Ausweise. Ich sprach mal von 20 Metern – jetzt sind es schon erreichte 45 Meter, aus denen man RFID-Chips auslesen kann. Bemerkenswert ist die Argumentation der Befürworter und deren Sicherheitsvorschläge. Es dauert nicht lange und die EU bzw. die deutsche Regierung wird Ähnliches verlauten lassen. 
    Aber es ist ja vom Staat her als illegal eingestuft, Ausweise derart auszulesen oder zu zerstören. Na dann bin ich ja beruhigt, denn wenn es verboten ist, dann macht es auch keiner!