C3W Newsletter November 2019

newsletter@lists.c3w.at

1 participants
5 discussions

by Der C3W Newsletter für IT Zeug, Datenschutz und Privatsphäre

Liebe Freund*innen und Angehörige des Wiener Chaos, der Newsletter für die Woche vom 18.11.2019 bis 24.11.2019. Inhalt: - Uploadfilter in der EU: Print und Musik vs. Film - TikTok, die Uhr schlägt Zensur - Tag der offenen Ports bei Arztpraxis powered by Deutsche Telekom - Amnesty veröffentlicht Report über die Surveillance-Giants Google, Facebook und Co. - The Iran Cables: 700-Seiten Leak Iranischer Geheimdienste *** Uploadfilter in der EU: Print und Musik vs. Film *** -------------------------------------------------- Bei den Stakeholder-Gesprächen zur Copyright-Richtlinie der EU, stellt sich doch glatt heraus, dass nicht alle Industrien dasselbe wollen: Während Verlage und Musikindustrie anscheinend eher darauf bedacht sind, die Möglichkeit der Uploadfilter als Druckmittel gegen Plattformen einzusetzen, damit diese ihnen eine möglichst hohe Vergütung für die Lizensierung bezahlen müssen, will die Filmindustrie ein Filternet wie es im Buche steht -- da gibt's nämlich überhaupt kein Interesse an einer breiten Lizensierung. Spannende Einblicke :) -------------------------------------------------- <https://fm4.orf.at/stories/2994444> *** TikTok, die Uhr schlägt Zensur *** -------------------------------------------------- Das soziale Netzwerk TikTok ist in letzter Zeit schneller gewachsen als alle anderen; die dazugehörige App wurde im letzten Jahr häufiger installiert als alle anderen (wie vorinstallierte Apps da behandelt werden, weiß ich nicht ;)). Es hat auch am schnellsten die 1-Milliarde-Nutzer*innengrenze gesprengt. Wie alle anderen großen Plattformen, gibt es auch nie TikTok Moderation, aber anders als die bisherigen Firmen, sitzt TikTok nicht in den USA, sondern in China, was die Rahmenbedingungen doch erheblich verändert. Netzpolitik.org hat sich angesehen, wie die Moderationsregeln von TikTok aussehen und wie das Unternehmen mit Themen wie Tibet, dem Tiananmen oder den aktuellen Protesten in Hongkong umgeht. Geholfen hat ihnen dabei eine Quelle von TikTok selbst. -------------------------------------------------- <https://netzpolitik.org/2019/gute-laune-und-zensur/> *** Tag der offenen Ports bei Arztpraxis powered by Deutsche Telekom *** -------------------------------------------------- Ein Bug in Routern, die die Deutsche Telekom bei Kund*innen einsetzt, hat dazu geführt, dass wenn eins HTTPS-Traffic freischalten will, nicht nur Port 443, sondern gleich Ports 440-449 geöffnet werden. Nachdem auf Port 445 SMB läuft, kann da ja nix schiefgehen -- sofern der öffentliche Zugang zu sämtlichen Daten die im internen Netzwerk über SMB geteilt werden nix ist. Genau das ist in (mindestens) einer Gemeinschaftspraxis in DE passiert und betraf Daten von etwa 30 000 Patient*innen. Richtig, *richtig* böses Aua... Immerhin war die Lücke bei der Telekom erst seit Mai 2019 bekannt und der Patch dazu kam anscheinend immerhin schon im November 2019 raus -- der Kommentar des Sprechers der Telekom dazu: "Wenn Sie mich fragen, warum es von Mai bis heute gedauert hat, einen solchen Patch anzubieten, so kann ich Ihnen darauf keine Antwort geben. Das ist eindeutig ein Fehler von uns, hier hätten wir schneller gemeinsam mit dem Hersteller Bintec Elmeg agieren müssen." Joa, Selbsterkenntnis ist der erste Weg zur Besserung oder so ^_^; -------------------------------------------------- <https://heise.de/-4590103> *** Amnesty veröffentlicht Report über die Surveillance-Giants Google und Facebook *** -------------------------------------------------- Amnesty hat sich das Business-Modell und die Geschäftspraktiken von Google und Facebook angeschaut und kommt dabei zu dem Ergebnis, dass diese Menschenrechte bedrohen. Nun, nichts neues, ich hab den Report (noch) nicht gelesen, aber schön, wenn auch Amnesty dazu was sagt :) Und allen, die sich mit dem Thema intensiver und nicht nur in Bezug auf Google und Facebook beschäftigen wollen, denen sei Shoshana Zuboffs "The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power" wärmstens empfohlen -- hab's gerade gelesen und bin von der Gesamtanalyse sehr beeindruckt. -------------------------------------------------- <https://www.amnesty.org/en/documents/pol30/1404/2019/en/> *** The Iran Cables: 700-Seiten Leak Iranischer Geheimdienste *** -------------------------------------------------- Ist zwar nicht von dieser Woche und nicht Netzpolitik/Tech-Krams, aber sicher für die einen oder den anderen interessant: Der Intercept hat Dokumente im Ausmaß von ~700 Seiten aus dem Fundus der iranischen Geheimdienste bekommen. Über den Inhalt kann ich nichts sagen, da ich absolut kein Experte auf dem Gebiet bin, aber mehr Transparenz bei Geheimdiensten ist immer gut ;) -------------------------------------------------- <https://theintercept.com/series/iran-cables/> LG, dimir

4 years, 4 months

Wöchentlicher C<3W Newsletter #26

by Der C3W Newsletter für IT Zeug, Datenschutz und Privatsphäre

Liebe Freund*innen und Angehörige des Wiener Chaos, der Newsletter für die Woche vom 11.11.2019 bis 17.11.2019. Inhalt: - Gesichtserkennung wird in AT bald Beweismethode - Ausweitung des Staatstrojanereinsatzes in DE - (Vorerst) keine Ende zu Ende Verschlüsselung für das Anwaltspostfach in DE - Deutsches Justizministerium will erweiterte DNA Analysen - Rootkits and Other Backdoors - Browser Fingerprinting: A survey - Was UDP kann, kann TCP schon lange: (D)DoS mittels TCP Amplification Attacks - Die italienische 5 Sterne Bewegung und dieses Internet *** Gesichtserkennung wird in AT bald Beweismethode *** -------------------------------------------------- Seit April 2019 steht fest, dass die Poizei in AT vorhat, Gesichtserkennung als Beweismethode bei Straftaten einzusetzen. Der Plan: Werden Kriminelle bei einer Straftat gefilmt, werden aus den Aufnahmen der Kamera(s) Bilder der Gesichter extrahiert und diese mit jenen einer Datenbank verglichen, in der Bilder von erkennungsdienstlich erfassten Personen gespeichert sind. Bei den Kameras muss es sich nicht um Überwachungskameras handeln, Daten von Smartphones oder anderen Geräten sind ebenso möglich. Die Schwere der Straftat ist beim Einsatz dieser Technik übrigens völlig egal, es muss aber eine "gerichtlich strafare, vorsätzliche Straftat" sein -- ob sich das bei beliebigen Aufnahmen zweifelsfrei feststellen lässt, sei mal dahingestellt. Gerade zu einer Zeit, in der "Deep Fakes" immer problemloser hergestellt werden können, muss bei der Akzeptanz von Aufnahmen von Smartphones oder ähnlich vertrauenswürdigen (IoT-)Geräten von Anfang an geklärt werden, wie die Behörden sicher gehen können, dass es sich nicht um eine Fälschung handelt bzw. zumindest klar geregelt sein, welche Schritte unternommen werden, um die Echtheit zu überprüfen. Im Artikel wird das allerdings gar nicht thematisiert. Grundsätzlich ist dieser Einsatz von Gesichtserkennung imho nicht die dümmste Idee aus diesem Gebiet, die ich in den letzten Jahren gelesen hab', aber wirklich durchdacht erscheint sie auch nicht und die Aussage, dass das ja nur ein "Ermittlungsansatz" sei, halte ich für schwer fragwürdig. Das mag zwar theoretisch nett klingen, de facto ist aber wie z.B. beim AMS-Algorithmus zu vermuten, dass Beamt*innen, die der Empfehlung der Software nicht nachgehen wollen, dies auführlich begründen werden müssen, während einfaches Befolgen der Computerempfehlung keine Mehrarbeit bedeuten wird. Auch der Umstand, dass eine Echtzeit-Überwachung mit der aktuellen Software und Gesetzeslage nicht machbar wäre, sagt wenig aus; dazu bleibt nur das Zitat von Epicenter.works in dem Artikel zu zitieren: "[A]us der Vergangenheit wissen wir, dass solche Eingriffe bzw. Befugnisse meist nach und nach ausgeweitet werden." -------------------------------------------------- <https://orf.at/stories/3143858> *** Ausweitung des Staatstrojanereinsatzes in DE *** -------------------------------------------------- Wenn wir schon beim Befugnisse ausdehen sind: Die große Koalition in Deutschland hat jetzt beschlossen, dass der Staatstrojaner nicht nur im Falle von Verdacht auf Bandendiebstahl eingesetzt werden darf, sondern sich künftig auch gegen als Einzeltäter*innen verdächtigte Personen richtet. Grund: Bei wiederholten Einbrüchen müssen ja die Waren auch wiederholt angeboten und verkauft werden und dabei "steht zu erwarten", dass das über Telekommunikationskanäle stattfindet, was deren Überwachung rechtfertigt. Ist auch sicher ganz klar die einzige Möglichkeit, Einbrecher*innen dingfest zu machen, andere Wege stehen der Exekutive zu wenige offen und Kriminelle haben ja sicher immer super OpSec, drum ist eine solche Maßnahme wahrscheinlich sogar *alternativlos*. -------------------------------------------------- <https://www.golem.de/news/wohnungseinbrueche-koalition-findet-neue-begruend…> *** (Vorerst) keine Ende zu Ende Verschlüsselung für das Anwaltspostfach in DE *** -------------------------------------------------- Das "besondere elektronische Anwaltspostfach" ist der Idee nach eine schöne Sache: Anwält*innen in Deutschland sollen mit dieser speziellen E-Mail-Plattform "sicher" mit Justiz, Behörden und untereinander kommunizieren können und müssen das seit 2018-01-01 auch, zumindest "passiv". Mit Ruhm hat sich Umsetzung aber bisher nicht bekleckert; so kam z.B. im August 2019 heraus, dass die Software leider nicht mit Umlauten umgehen kann (hätte ja auch im Deutschen niemand mit Umlauten rechnen können!!11einself) und dabei so dämlich failed, dass die/der Sender*in eine Bestätigung der Zustellung erhält, während auf der Empfangsseite nie etwas ankommt -- hat aber nur ein paar Gerichtsverfahren um teilweise Monate verzögert, also kein Problem. Die Lösung des ganzen war übrigens nicht, die Software anzupassen -- wo kämen wir denn da hin -- sondern Nutzer*innen verstärkt darauf hinzuweisen, dass die Verwendung von Umlauten pöhse ist. Wer genug Hinweise erhalten hat und trotzdem Umlaute verwendet, ist dann für die eventuellen Folgen auch haftbar -- klares :thumbsup: für diese Professionalität. Nun haben einige Rechtsanwält*innen per Klage gefordert, dass das Ding zumindest Ende zu Ende Verschlüsselung kann, weil die Spezifikation das ihrer Ansicht nach so vorschreibt. Der Amtsgerichtshof Berlin hat diese Klage jetzt aber abgewiesen, allerdings ist eine Revision vor dem deutschen Bundesgerichtshof zu erwarten -- es bleibt also spannend mit diesem Stück Qualitätssoftware. -------------------------------------------------- <https://www.golem.de/news/bea-besonderes-elektronisches-anwaltspostfach-kan…> <https://www.golem.de/news/anwaltsgerichtshof-keine-ende-zu-ende-verschluess…> *** Deutsches Justizministerium will erweiterte DNA Analysen *** -------------------------------------------------- Eine erweiterte DNA Analyse ist eine, bei der aus der DNA mithilfe statistischer Methoden auch Rückschlüsse auf Merkmale wie Augen-, Haar- und Hautfarbe gezogen werden können. Theoretisch zumindest. Faktisch ist die Technik noch eher in den Kinderschuhen; die Wissenschaftlerin Prof. Dr. Veronika Lipphardt sagt im Interview mit Netzpolitik.org "DNA ist ein hochkomplexes Gebilde und WissenschaftlerInnen müssen ungeheuer vielseitige Fähigkeiten haben, um diese Informationen interpretieren zu können." Na dann kann ja nix mehr schiefgehen, wenn das in Zukunft sämtliche Polizist*innen machen dürfen... -------------------------------------------------- <https://netzpolitik.org/2019/dna-ist-kein-augenzeuge-der-eine-aussage-mache…> *** Rootkits and Other Backdoors *** -------------------------------------------------- Guter Überblicksartikel zu den verschiedenen Arten von Rootkits und Backdoors auf Linux/UNIX Systemen:) -------------------------------------------------- <https://capsule8.com/blog/dont-get-kicked-out-a-tale-of-rootkits-and-other-…> *** Browser Fingerprinting: A survey *** -------------------------------------------------- Eine überarbeitete Version von einem bereits im Mai 2019 erstmals veröffentlichtem Paper, das sich damit auseinandersetzt, was unter dem Schlagwort "Browser Fingerprinting" eigentlich zu verstehen ist, welche Techniken dabei zum Einsatz kommen und mit welcher Genauigkeit welche Aussagen damit gemacht werden können. Ich bin noch nicht ganz durch, ist aber auf jeden Fall ein lesenswerter Startpunkt, wenn ihr euch mit dem Thema genauer auseinandersetzen möchtet, v.a. auch deshalb, weil die bisherige Literatur dazu ausgiebig besprochen wird. -------------------------------------------------- <https://arxiv.org/abs/1905.01051> *** Was UDP kann, kann TCP schon lange: (D)DoS mittels TCP Amplification Attacks *** -------------------------------------------------- Ok, auch TCP kann für Amplification Attacks genutzt werden -- war mir neu, aber ist recht einfach nachvollziehbar. Die viel spannendere Sache ist aber die menschliche Komponente daran: Die Netzwerke, die als Reflektoren missbraucht wurden, wunderten sich, warum sie plötzlich größere Mengen von Traffic der Opfer-Netzwerke bekamen und reagierten mit einer relativ simplen Lösung: Blacklisting. Das führte dann wiederum zu einem umso effizienteren (D)DoS-Angriff gegen die Opfer, die plötzlich auf zahlreichen Blacklists standen, ohne das zu wissen bzw. den Grund dafür zu kennen. Ob das von den Angreifer*innen genauso geplant war oder nicht, es ist jedenfalls (traurigerweise) ziemlich gewieft. -------------------------------------------------- <https://blog.radware.com/security/2019/11/threat-alert-tcp-reflection-attac…> *** Die italienische 5 Sterne Bewegung und dieses Internet *** -------------------------------------------------- (Fast) ohne Worte; lest den Artikel, wenn ihr was zum Lachen (oder Weinen) haben wollt: Von uralt CMS bis zur Sicherheit durch Blockchain ist alles dabei xD -------------------------------------------------- <https://heise.de/-4586430> LG, dimir

4 years, 5 months

Wöchentlicher C<3W Newsletter #25

by Der C3W Newsletter für IT Zeug, Datenschutz und Privatsphäre

Liebe Freund*innen und Angehörige des Wiener Chaos, der Newsletter für die Woche vom 04.11.2019 bis 10.11.2019. Diese Woche hat sich auch mal Spam auf dieser Liste eingefunden. Die entsprechenden Listingsettings wurden angepasst und das sollte nicht mehr passieren können ;) Inhalt: - Biometrie, Bioemetrie überall! - Reichtum durch Daten bei Trend Micro Mitarbeiter - Huawei will Backdoor-Freiheit seiner Produkte vertraglich bestätigen *** Biometrie, Bioemetrie überall! *** -------------------------------------------------- Das US-Militär, die Nato, aber auch die UN: Alle haben oder bauen gerade große Biometriedaten auf. Und noch schöner: Auch die UN bzw. spezifisch die UNHCR, also das Flüchtlingskommissariat sind auch bereit, diese Daten mit Behörden zu teilen Das macht uns auf jeden Fall alle ganz viel sicherer... -------------------------------------------------- <https://netzpolitik.org/2019/nato-errichtet-biometriedatenbank-nach-vorbild…> <https://heise.de/-4583497> *** Reichtum durch Daten bei Trend Micro Mitarbeiter *** -------------------------------------------------- Ein Mitarbeiter der IT-Security Firma Trend Micro hat die Kund*innendaten des englischen Supports geplündert und an Telefon-Scammer*innen verkauft. -------------------------------------------------- <https://heise.de/-4582172> *** Huawei will Backdoor-Freiheit seiner Produkte vertraglich bestätigen *** -------------------------------------------------- Huawei will nun nicht nur den Source-Code seines 5G Equipments open-sourcen, sondern auch noch vertraglich zusichern, dass in seinen Produkten keine Backdoors enthalten sind. Ob das jetzt glaubhaft ist, oder nicht, könnt ihr alle selbst entscheiden, aber das ist imho eine Situation, die ausgenutzt werden sollte, um auch andere Hersteller in diese Richtung zu pushen :) -------------------------------------------------- <https://www.golem.de/news/ren-zhengfei-huawei-chef-bietet-no-backdoor-verei…> LG, dimir

4 years, 5 months

Hire On Demand Security Certified Engineers

by Der C3W Newsletter für IT Zeug, Datenschutz und Privatsphäre

Our global service is truly global, making it possible for you to find field engineers located in countries around the globe. So no matter where you’re looking to carry out work, you’ll be able to find a professional who’s up to the job via Field Engineer. Read more @ https://www.fieldengineer.com/c1/hire-on-demand-security-certified-engineers

4 years, 5 months

Wöchentlicher C<3W Newsletter #24

by Der C3W Newsletter für IT Zeug, Datenschutz und Privatsphäre

Liebe Freund*innen und Angehörige des Wiener Chaos, der Newsletter für die Woche vom 28.10.2019 bis 03.11.2019. Inhalt: - DSB verhängt 18 Mio. Strafe gegen die Post - Kriminelle verbreiten gefakten Tor Browser - 8chan will wieder ins Internet zurück - QSnatch -- Malware für QNAP NAS Geräte - Verfassungsschutzwatch - 50 Jahre Internet - Julian Assange lt. UN in lebensgefährlichem Zustand - Ehemaliger FBI General Counsel Jim Baker sieht in Backdoors mehr Gefahr als Nutzen *** DSB verhängt 18 Mio. Strafe gegen die Post *** -------------------------------------------------- Die österreichische Datenschutzbehörde hat der Post eine Verwaltungsstrafe von 18 Mio. Euro auferlegt. Es sei zwar klar, dass die Post bestimmte Daten verarbeiten muss, um ihre Arbeit tun zu können, die Berechnung von Wahrscheinlichkeiten, welche Partei eine Person wählt, falle hier aber eindeutig nicht darunter. Könnte die österreichische Datenschutzbehörde ruhig mal öfter machen, so positiv aufzufallen :) Die Post wird dagegen natürlich Rechtmittel einlegen und lässt über ihren Anwalt anmerken "Die Post sieht ihr Kerngeschäft der Direktwerbung gefährdet und wird sich an das Bundesverwaltungsgericht wenden". Böse Zungen würden ja behaupten, dass die Post ein tiefgehenderes Problem hat, wenn ihr Kerngeschäft Direktwerbung ist... -------------------------------------------------- <https://wien.orf.at/stories/3019396/> *** Kriminelle verbreiten gefakten Tor Browser *** -------------------------------------------------- Researcher*innen von ESET haben eine Kampagne entdeckt, bei der *insert-insult-of-your-choice-here* einen gefakten Tor Browser mit einer ebenfalls bösartig veränderten HTTPS Everywhere Extension verbreiten, um damit Bitcoin von Tor Nutzer*innen zu stehlen. Die Aktion dürfte zwar v.a. auf Personen abzielen, die Russisch verstehen, aber die IoCs (Indicators of Compromise) mal durchschauen, schadet sicher nicht. -------------------------------------------------- <https://www.eff.org/deeplinks/2019/10/phony-https-everywhere-extension-used…> <https://www.eset.com/us/about/newsroom/press-releases/eset-discovers-a-camp…> *** 8chan will wieder ins Internet zurück *** -------------------------------------------------- Nachdem das Messageboard 8chan, das hauptsächlich durch seine Hasskultur und als Brutstätte für Attentäter (mir sind jedenfalls keine nicht-männlichen Personen bekannt, die von 8chan kamen und ein Attentat ausführten) bekannt wurde, von cloudflare gekündigt und daraufhin sofort aus dem Internet geDDoSed wurde, gab es bisher anscheinend tatsächlich niemanden, der es als Kunden aufgenommen hat. Wahrscheinlich aus diesem Grund will der Betreiber jetzt auf ein dezentrales Netzwerk umstellen, das unter dem Namen 8kun das "Werk" 8chans weiterführen soll. Das einzig halbwegs erfreuliche an der Geschichte ist imho, dass der ursprüngliche Erschaffer von 8chan mittlerweile alles daran setzt, das Imageboard offline zu halten, weil er sich für das, was dort passiert ist, verantwortlich fühlt. -------------------------------------------------- <https://netzpolitik.org/2019/wie-8chan-unter-neuem-namen-zurueckkehren-soll/> *** QSnatch -- Malware für QNAP NAS Geräte *** -------------------------------------------------- NCSC-FI, das finnische nationale CERT (Computer Emergency Response Team) hat eine Malware entdeckt und analysiert, die Netzwerkspeicher der Firma QNAP befällt. Es gibt zwar ein Firmware-Update, ob das aber bestehende Infektionen entfernt, ist unklar. Jedenfalls helfen soll ein Factory Reset. -------------------------------------------------- <https://heise.de/-4573483> <https://www.kyberturvallisuuskeskus.fi/en/news/qsnatch-malware-designed-qna…> *** Verfassungsschutzwatch *** -------------------------------------------------- Ein Projekt in Deutschland macht alle Berichte des Verfassungsschutzes über deren Aktivitäten durchsuchbar und ermöglicht es dadurch allen Bürger*innen sich selbst ein Bild von der (öffentlich bekannten) Arbeit desselben zu machen. Ziemlich cool. -------------------------------------------------- <https://netzpolitik.org/2019/wo-der-verfassungsschutz-hinschaut/> *** 50 Jahre Internet *** -------------------------------------------------- 50 Jahre ist es jetzt schon alt, dieses Internetz, aber ob es sich durchsetzen wird, steht nach wie vor in den Sternen ;) -------------------------------------------------- <https://heise.de/-4574257> <https://heise.de/-4572166> *** Julian Assange lt. UN in lebensgefährlichem Zustand *** -------------------------------------------------- Der UN Sonderberichterstatter über Folter, Nils Melzer, macht darauf aufmerksam, dass die Haftbedingungen von Julian Assange seinen Gesundheitszustand so weit verschlechtert haben, dass er mittlerweile in Lebensgefahr schwebt. Faktisch haben er und sein Team die britische Regierung bereits im Mai auf diesen Umstand hingewiesen und gefordert, dass eine unabhängige Untersuchung zu dem Fall stattfindet. Überraschenderweise ist das nicht passiert. IMHO ist mit folgendem Zitat von Nils Melzer alles dazu gesagt: "In my view, this case has never been about Mr. Assange’s guilt or innocence, but about making him pay the price for exposing serious governmental misconduct, including alleged war crimes and corruption." -------------------------------------------------- <https://heise.de/-4574053> <https://www.ohchr.org/EN/NewsEvents/Pages/DisplayNews.aspx?NewsID=25249&Lan…> *** Ehemaliger FBI General Counsel Jim Baker sieht in Backdoors mehr Gefahr als Nutzen *** -------------------------------------------------- Der ehemalige FBI General Counsel Jim Baker, der beispielsweise die Angriffe des FBI gegen Apple im Fall des Attentats von San Bernardino anführte, hat einen Artikel veröffentlicht, in dem er seine bisherigen Ansichten revidiert und zugibt, dass die Gefahren, die Backdoors in Verschlüsselung haben, größer sind, als ihr potentieller Nutzen. Späte Erkenntnis, aber immerhin. Der Artikel ist jedenfalls sehr lesenswert, da er gut zeigt, wie eine Person mit völlig anderem Mindset als die meisten Leser*innen dieses Newsletters trotzdem zu dem Ergebnis kommt, dass Backdoors eine schlechte Idee sind :) -------------------------------------------------- <https://www.schneier.com/blog/archives/2019/10/former_fbi_gene.html> <https://www.lawfareblog.com/rethinking-encryption> LG, dimir

4 years, 5 months

2024

2023

2022

2021

2020

2019

C3W Newsletter November 2019