C3W Newsletter August 2019

newsletter@lists.c3w.at

1 participants
4 discussions

by Der C3W Newsletter für IT Zeug, Datenschutz und Privatsphäre

Liebe Freund*innen und Angehörige des Wiener Chaos, Der Newsletter für die Woche vom 19.08.2019 bis 25.08.2019 Inhalt: - Überwachung bei "humanitärer" Hilfe - Google verstärkt seine Zusammenarbeit mit dem ägyptischen Regime - The Wired Guide to Cyberwar - Webmin: Wenn sich ein Zero-Day als Backdoor herausstellt - YouTuber*innen und IG-Metall sprechen mit YouTube über mehr Transparenz und Mitsprache *** Überwachung bei "humanitärer" Hilfe *** -------------------------------------------------- Aus Angst davor, dass Unbefugte Zugriff auf humanitäre Hilfe erhalten, erfassen Organisationen wie das UN World Food Program biometrische Daten Betroffener und verweigern z.B. die Essensausgabe an Personen, die der Erfassung nicht zustimmen. Dazu finde ich wirklich keine Worte... FYI: Der NY-Times Artikel will sich in privaten Fenstern nicht lesen lassen, ohne dass eins einen Account anlegt. Zumindest bei mir war das umgehbar, indem ich das Laden der Seite abbreche, wenn der Content schon vorhanden ist, aber das Skript zur Überprüfung, ob das ein privates Fenster ist, noch nicht gelaufen ist ;) -------------------------------------------------- <https://www.nytimes.com/2019/07/11/opinion/data-humanitarian-aid.html> <https://www.schneier.com/blog/archives/2019/08/surveillance_as_2.html> *** Google verstärkt seine Zusammenarbeit mit dem ägyptischen Regime *** -------------------------------------------------- Nachdem Google einige Jahre keine Mitarbeiter*innen in Ägypten beschäftigte und seine Aktivitäten dort von Dubai aus steuerte, will der Konzern wieder einige Vollzeitkräfte im Land anstellen. Das aktuelle Regime in Ägypten unter al-Sisi setzt massiv Anti-Terrorgesetze gegen Journalist*innen, Aktivist*innen und sonstige Kritiker*innen ein, um sie mundtot zu machen. Bisher sind Kanäle wie Google ein wichtiges Instrument, um der Verfolgung zu entgehen; eine Niederlassung im Land wird aber kaum ohne Überwachungszugeständnisse möglich sein. -------------------------------------------------- <https://theintercept.com/2019/08/18/google-egypt-office-sisi/> <https://www.amnesty.org/en/latest/campaigns/2018/09/egypt-freedom-of-expres…> *** The Wired Guide to Cyberwar *** -------------------------------------------------- Andy Greenberg von Wired hat eine kleine Geschichte des Cyberwar veröffentlicht. Ganz interessant zu lesen, wenn auch ein wenig eingefärbt. Jedenfalls merkt eins bei der Lektüre einmal mehr, wie wenig eigentlich über Cyberangriffe aus den USA, der EU, Australien und Neuseeland bekannt ist. -------------------------------------------------- <https://www.wired.com/story/cyberwar-guide/> *** Webmin: Wenn sich ein Zero-Day als Backdoor herausstellt *** -------------------------------------------------- Webmin, eine Software zur Systemkonfiguration, hat gerade eine interessante Geschichte durchgemacht: Auf der DEF CON wurde ein Zero-Day vorgestellt, der nicht authentifizierten Angreifer*innen eine Remote Code Execution (RCE) ermöglichte. Soweit, so unerfreulich. Im weiteren Verlauf stellte sich allerdings heraus, dass Webmins auf GitHub einsehbarer Code für die beschriebe Lücke gar nicht anfällig ist; stattdessen waren nur alle auf sourceforge hochgeladenen Archive des Codes, die häufig zur Installation genutzt werden, explizit gebackdoored. Aua... -------------------------------------------------- <https://www.golem.de/news/remote-code-execution-doppelte-hintertuer-in-webm…> <https://pentest.com.tr/exploits/DEFCON-Webmin-1920-Unauthenticated-Remote-C…> *** YouTuber*innen und IG-Metall sprechen mit YouTube über mehr Transparenz und Mitsprache *** -------------------------------------------------- Personen, die über YouTube Geld verdienen, befinden sich in einer schwierigen Lage: Für YouTube sind sie keine Angestellten, aber gleichzeitig sind sie stark abhängig von (meist unangekündigten) Änderungen an Algorithmen, die z.B. bestimmen wem, warum, wann welches Video vorgeschlagen wird. Die Kampagne FairTube, die von der YouTubers Union und der IG Metall gestaltet wurde, wies auf eben dieses und andere Probleme hin und fordert mehr Transparenz von YouTube sowie ein Mitspracherecht für YouTuber*innen. YouTube hat die beiden Gewerkschaften jetzt zu einem Treffen in seiner Niederlassung in Berlin eingeladen. Dass dabei die Arbeitsbedingungen für YouTuber*innen schlagartig verbessert werden, ist zwar nicht zu erwarten, aber es könnte ein erster Schritt in diese Richtung sein. -------------------------------------------------- <https://netzpolitik.org/2019/fairtube-ultimatum-laeuft-ab-youtube-laedt-gew…> LG, dimir

4 years, 7 months

Wöchentlicher C<3W Newsletter #13

by Der C3W Newsletter für IT Zeug, Datenschutz und Privatsphäre

Liebe Freund*innen und Angehörige des Wiener Chaos, Der Newsletter für die Woche vom 12.08.2019 bis 18.08.2019 Inhalt: - Neues vom deutschen Staatstrojaner und dem "Darkweb" - Illegale Auto-Vorratsdatenspeicherung in Brandenburg - Lifttelephone: Die letzte Bastion des Phreaking - Internet Society veröffentlicht Tool zum Monitoring von Internet Routing Security - EFF Whitepaper zu IMSI-Catchern - Überraschung: Cybervoting ist auch in Russland kaputt *** Neues vom deutschen Staatstrojaner und dem "Darkweb" *** -------------------------------------------------- Das deutsche Bundesinnenministerium hat einen neuen Gesetzesentwurf vorgestellt, der es in sich hat. In bezug auf den Staatstrojaner ist darin einerseits vorgesehen, dass auch Medien Ziel einer staatstrojanischen Überwachung sein können und andererseits soll der Verfassungsschutz die Erlaubnis bekommen, Einbrüche zu begehen, um den Staatstrojaner auf Geräten zu installieren. Ein richterlicher Beschluss ist dazu möglicherweise nicht vorgesehen, was nur leider wahrscheinlich grundrechtswidrig ist. Aber solche Lappalien werden sich sicher aus dem Weg räumen lassen... Außerdem wird in dem Entwurf die Kriminalisierung des TOR-Netzwerks weiter vorangetrieben. Natürlich nur, um gegen den pöhsen Drogenhandel dort vorzugehen. Ja ne, is klar... -------------------------------------------------- <https://www.golem.de/news/verfassungsschutz-einbruch-fuer-den-staatstrojane…> <https://netzpolitik.org/2019/tor-netzwerk-und-redaktionsgeheimnis-was-die-b…> *** Illegale Auto-Vorratsdatenspeicherung in Brandenburg *** -------------------------------------------------- Netzpolitik.org hat ein Gutachten des zuständigen Innenministeriums veröffentlicht, das die Auto-Vorratsdatenspeicherung durch die Polizei als illegal einstuft und daraufhin nicht veröffentlicht, sondern solange umgeschrieben wurde, bis es der Polizei in den Kram gepasst hat. Ernsthaft lesenswerter Beitrag, auch wenn mir das Lachen dabei buchstäblich im Hals stecken blieb. -------------------------------------------------- <https://netzpolitik.org/2019/kennzeichen-scanner-wir-veroeffentlichen-das-g…> *** Lifttelephone: Die letzte Bastion des Phreaking *** -------------------------------------------------- Analoges Phreaking ist durch die Digitalisierung der Telefoninfrastruktur heute eher selten. Da ist es doch schön zu wissen, dass die Telefone in Aufzügen immer noch dafür anfällig sind. Meistens ist es nur notwendig, die Nummer des Aufzugs zu kennen und ihn anzurufen, und schon kann eins ein Gespräch mit den Personen darin beginnen. Wer dann noch eine Liste der Standardpasswörter für diese Anlagen kennt, kann sie dann auch gleich umprogrammieren, sodass z.B. ein Druck auf die Notruftaste zu einem Anruf bei der nächstgelegenen Pizzeria führt. Es ist zwar kaum überraschend, dass die Sichterheit dieser Telefone eher unterirdisch ist, aber durchaus angsteinflößend. -------------------------------------------------- <https://www.wired.com/story/elevator-phone-phreaking-defcon/> *** Internet Society veröffentlicht Tool zum Monitoring von Internet Routing Security *** -------------------------------------------------- Die Internet Society hat ein Tool veröffentlicht mit dem es möglich ist, sich die Internet Routing Security weltweit visuell anzeigen zu lassen. Netzwerkbetreiber*innen können auch genaue Informationen zu ihren und anderen Netzwerken erhalten, um Probleme schneller zu finden. Schaut jedenfalls ziemlich cool aus :) -------------------------------------------------- <https://www.internetsociety.org/blog/2019/08/manrs-observatory-monitoring-t…> *** EFF Whitepaper zu IMSI-Catchern *** -------------------------------------------------- Ist zwar mittlerweile schon knapp zwei Monate alt, aber ich bin erst diese Woche darauf gestoßen. Das Paper bietet einen ziemlich guten Überblick, was "Cell Site Simulators" zu denen IMSI-Catcher gehören so können, welche Angriffsszenarien bekannt sind und wie diese funktionieren. Das ganze ist so geschrieben, dass es auch für Personen verständlich ist, die sich bisher nicht mit der Funktion von Telefonie-Netzwerken auseinandergeseetzt haben, verlinkt aber auch eine Reihe an wissenschaftlichen Artikeln für diejenigen, die tiefer in die technische Seite der Materie eintauchen wollen :) Außerdem beschreibt es auch, gegen welche Angriffe sich Normalsterbliche zumindest halbwegs verteidigen kennen und gegen welche bis heute keine (einfachen) Gegenmaßnahmen verfügbar sind. -------------------------------------------------- <https://www.eff.org/wp/gotta-catch-em-all-understanding-how-imsi-catchers-e…> *** Überraschung: Cybervoting ist auch in Russland kaputt *** -------------------------------------------------- Im September dürfen bei der Wahl der Moskauer Duma bis zu eine halbe Million Menschen online wählen. Im Zuge eines öffentlichen Pen-Tests (dessen Existenz jedenfalls *sehr* lobenswert ist) wurden Teile des verwendeten Codes auf Github veröffentlicht und direkt von einem französischen Researcher zerlegt. Die Überraschung darüber, dass Cybervoting auch in Russland nicht funktioniert, hält sich (zumindest bei mir) in sehr engen Grenzen. -------------------------------------------------- <https://arxiv.org/abs/1908.05127> <https://medium.com/@juliakrivonosova/internet-voting-in-russia-how-9382db4d…> <https://github.com/moscow-technologies/blockchain-voting> LG, dimir

4 years, 8 months

Wöchentlicher C<3W Newsletter #12

by Der C3W Newsletter für IT Zeug, Datenschutz und Privatsphäre

Liebe Freund*innen und Angehörige des Wiener Chaos, Der Newsletter für die Woche vom 05.08. bis 11.08. Inhalt: - Facebook fördert Forschung zum Gedankenlesen - Amazon muss bekanntgeben, wie häufig SSRF in der Amazon Cloud vorkommt - US-Regierung zieht alle Überwachungsregister im Kampf gegen Whistleblowing - Hessens Polizist*innen missbrauchen Zugriff auf personenbezogene Daten massiv - ReCAPTCHAs sind das Böse - Facebook veröffentlicht Teile seiner Uploadfiltertechnik - DDoS mal anders - Adorno und der neue Rechtsradikalimus - CCC hackt Hotel-Schlösser der neuesten Generation - Chaos Communication Camp Vorschau von Netzpolitik.org *** Facebook fördert Forschung zum Gedankenlesen *** -------------------------------------------------- Der Titel sagt eigentlich ohnehin alles. Und von wem würden wir lieber unsere Gedanken lesen lassen, als von einer so vertrauenswürdigen Firma wie Facebook? -------------------------------------------------- <https://heise.de/-4486598> *** Amazon muss bekanntgeben, wie häufig SSRF in der Amazon Cloud vorkommt *** -------------------------------------------------- Die Cloud beinhaltet ja viele Dinge, und Cloud Angestellte sollen zuweilen Zugriffe haben. Der Capital One Hack bewegt daher die Politik. Senator Wyden hat jetzt bei Jeff Bezos angefragt, ob und wie viele und welche Amazon Kund*innen durch server-side request forgery (SSRF) Schwachstellen angegriffen wurden. Jeff hat bis zum 13. August Zeit zu antworten. -------------------------------------------------- <https://www.theregister.co.uk/2019/08/06/wyden_amazon_letter/> *** US-Regierung zieht alle Überwachungsregister im Kampf gegen Whistleblowing *** -------------------------------------------------- Wie schon unter seinem Vorgänger werden Whistleblower*innen von Trumps Regierung gnadenlos gejagt und als "Spion*innen" denunziert. Die Überwachungsmöglichkeiten der Regierung sind fast grenzenlos und kaum jemand, die/der auf einen Missstand hinweisen will, hat das technische Know-How, sich ernsthaft zu verteidigen. Es ist bezeichnend, dass der eine bekannte Whistleblower, der zumindest eine ungefähre Vorstellung hatte, wogegen er sich zu wehren hat, keinen anderen Ausweg sah, als sein Heimatland zu verlassen -- alle technische Expertise konnte Edward Snowden also gerade einmal genug Zeit für eine "erfolgreiche" Flucht verschaffen. Der Artikel listet auf, über welche Indizien einige der bekannteren Whistleblower*innen der jüngeren Vergangenheit aufgeflogen sind und gibt dadurch ganz gute Einblicke in die Daten, die den Behörden zur Verfügung stehen. -------------------------------------------------- <https://theintercept.com/2019/08/04/whistleblowers-surveillance-fbi-trump/> *** Hessens Polizist*innen missbrauchen Zugriff auf personenbezogene Daten massiv *** -------------------------------------------------- Helene Fischers Daten wurden nach einem Konzert in Frankfurt 83 Mal von Polizist*innen abgefragt. Ob sie wohl tatsächlich 83 an diesem einen Abend kontrolliert wurde? Wohl eher nicht, das gibt sogar der hessische Polizeipräsident zu. Dass stichprobenartige Kontrollen, die bei jeder 200. (!) Abfrage einen Grund für eben diese haben wollen, allein seit Februar zu 9.000 Fällen bei der Datenschutzbehörde geführt haben, findet die Polizei aber unbedenklich. Bei 18.000 Beamt*innen sind 9.000 potentielle Datenschutzvergehen in 6 Monaten sicherlich ganz normal. -------------------------------------------------- <https://www.golem.de/news/datenmissbrauch-hessens-polizisten-fragen-nicht-n…> *** ReCAPTCHAs sind das Böse *** -------------------------------------------------- Eim schöner Rant über Google reCAPTCHAs :) -------------------------------------------------- <https://thestoic.me/there-is-no-evil-like-recaptcha> *** Facebook veröffentlicht Teile seiner Uploadfiltertechnik *** -------------------------------------------------- Für alle unter euch, die immer schon wissen wollten, wie die Algorithmen hinter Facebooks Uploadfilter funktionieren: Teile davon sind jetzt offiziell auf Github veröffentlicht. Viel Spaß beim Lesen!:) -------------------------------------------------- <https://netzpolitik.org/2019/facebook-veroeffentlicht-teile-seiner-uploadfi…> <https://github.com/facebook/ThreatExchange/tree/master/hashing/tmk> *** DoS mal anders *** -------------------------------------------------- Dass (D)DoS ein großes Problem in diesem Internet darstellt, ist hinreichend bekannt. Zwei Forscher haben sich mit einer neuen Facette davon beschäftigt: Kann ich mir beim Angriff die Bandbreite sparen und stattdessen einfach die Worst-Case Szenarien diverser Algorithmen ausnutzen? Die "überraschende" Antwort: Ja, klar! Zumindest für PDFs, VNC und Dropbox' Password-Strength-Estimator funktioniert das. -------------------------------------------------- <https://www.wired.com/story/algorithm-dos-attack/> *** Adorno und der neue Rechtsradikalimus *** -------------------------------------------------- Ein Artikel der zeigt, dass die Taktiken der "neuen Rechten" gar nicht so neu sind, sondern schon Ende der 60er ganz gut beschrieben wurden. -------------------------------------------------- <https://heise.de/-4493410> *** CCC hackt Hotel-Schlösser der neuesten Generation *** -------------------------------------------------- Zwei Personen aus dem CCC haben Schwachstellen in Bluetooth-basierten Hotelschlössern gefunden. Da die Schlösser zum Zeitpunkt der Entdeckung noch so neu waren, ist es tatsächlich möglich, dass die Herstellerfirma alle betroffenen Schlösser patchen wird -- das sind doch gut Nachrichten :) -------------------------------------------------- <https://www.ccc.de/de/updates/2019/ble-locks> *** Chaos Communication Camp Vorschau von Netzpolitik.org *** -------------------------------------------------- Netzpolitik.org gibt eine Vorschau auf das Camp aus ihrer Sicht und verlinkt gleich alle Möglichkeiten, wie eins dabei sein kann, wenn's mit dem Ticketkauf nicht geklappt hat. -------------------------------------------------- <https://netzpolitik.org/2019/chaos-communication-camp-programmempfehlungen-…> LG aus Kroatien, dimir

4 years, 8 months

Wöchentlicher C<3W Newsletter #11

by Der C3W Newsletter für IT Zeug, Datenschutz und Privatsphäre

Liebe Freund*innen und Angehörige des Wiener Chaos, Der Newsletter für die Woche vom 29.07. bis 04.08. Inhalt: - Why we fight for crypto - Limits bei PIN-losem Bezahlen mit VISA umgehbar - Hack the Hacks not the Hackers - Neue Hacker*innen Stockfotos braucht die Welt! - Die IT-Security, die Wolf schreit - 3/4 aller strafbaren Hasspostings in Deutschland kommen von rechts - Ross Anderson arbeitet an der 3. Auflage von Security Engineering *** Why we fight for crypto *** -------------------------------------------------- Eine schöne Zusammenfassung der Argumente, warum es sich lohnt für sichere Kommunikation für alle zu kämpfen. Inklusive dem Hinweis, dass (zumindest in den USA) die Zahlen nicht für ein massenhaftes "Going Dark" von Kriminellen sprechen. -------------------------------------------------- <https://blog.erratasec.com/2019/07/why-we-fight-for-crypto.html> *** Limits bei PIN-losem Bezahlen mit VISA umgehbar *** -------------------------------------------------- Kontaktloses Zahlen ohne PIN-Eingabe ist praktisch und aufgrund der Limits auch relativ gut gegen Missbrauch geschützt. Zumindest wurde das bisher behauptet. Britische Forscher haben allerdings jetzt bei VISA-Karten nachgewiesen, dass sie mit einem MITM-Angriff die Karte und das Bezahlterminal davon überzeugen konnten, auch höhere Beträge abzubuchen ohne einen PIN zu verlangen. Dagegen tun will VISA allerdings nichts, da der Angriff nicht skalierbar und mit hohem Aufwand für Kriminell verbunden sei. -------------------------------------------------- <https://heise.de/-4484956> *** Hack the Hacks not the Hackers *** -------------------------------------------------- Die amerikanische Firma Trinity will im Kampf gegen pöhse Hacker*innen eine "neue" Strategie einsetzen: Sie will sich zwischen Angegriffene und Angreifende positionieren und den Traffic so manipulieren, dass für Angreifer*innen nicht erkennbar ist, ob sie erfolgreich waren oder nicht. Dieses "Hacking the Hacks" soll für Frustration und Zeitverlust bei den Kriminellen sorgen und gleichzeitig die Probleme von klassischem "Hack Back" umgehen. Klingt nach einer tollen Idee: Firmen können also für einen massiven MITM-Angriff bezahlen, bei dem eine andere Firma ihren gesamten Netzwerkverkehr mitliest und alles, was an aus deren Sicht böse Netzwerke geht, nach Belieben verändern. Es ist ja auch sehr realistisch, dass eine einzelne Firma die exakten Kommunikationsmuster jeder einzelnen Schadsoftware kennt und sinnvoll manipulieren kann. Und was tun, wenn die Bösen bemerken, dass sie hier verarscht werden? Keine Sorge, das kann nicht passieren, denn Trinity wird einfach niemals verraten, wie und was sie genau machen -- Security by Obscurity, eine bombensichere Taktik! Da dementsprechend auch Kund*innen nicht wissen, was eigentlich mit ihrem Netzwerktraffic passiert, könnten böse Zungen glatt behaupten, dass Trinity sie gleich mitverarscht. -------------------------------------------------- <https://www.wired.com/story/tom-bossert-trinity-active-threat-interference/> *** Neue Hacker*innen Stockfotos braucht die Welt! *** -------------------------------------------------- Dieser Ansicht ist zumindest die Firma Openideo. Darum haben sie einen Wettbewerb gestartet, um Hackern und Haecksen ein neues visuelles Image zu verpassen -- weg vom Hoodie-tragenden, männlichen, weißen Kellerkind im grünen Terminalschein. Einreichen ist bis 15. August möglich. -------------------------------------------------- <https://www.golem.de/news/it-security-hoodie-klischeebilder-sollen-durch-we…> *** Die IT-Security, die Wolf schreit *** -------------------------------------------------- Sicherheitslücken sind ein großes Problem. Damit aber auch die selbst gefundene Sicherheitslücke medial die größtmögliche Aufmerksamkeit bekommt, muss einiges beachtet werden: Eigene Website, eigene Graphiken und natürlich ein klingender Name. Dass durch diese Taktiken auch eigentlich irrelevante oder gar inexistente Sicherheitslücken aufgebauscht werden, dürfte kaum jemanden überraschen. Bei all dem Hype ist es oft schwierig festzustellen, welche Lücken wirklich gefährlich sind. Ein lesenswerter Artikel darüber, wie die Journalist*innen bei golem.de mit diesem Problem umgehen. TL;DR: Verifizieren was geht, Unsicherheiten benennen und Fehler eingestehen. -------------------------------------------------- <https://www.golem.de/news/berichterstattung-ueber-sicherheitsluecken-so-sic…> *** 3/4 aller strafbaren Hasspostings in Deutschland kommen von rechts *** -------------------------------------------------- Aus der Antwort der deutschen Bundesregierung auf eine Anfrage der Linkspartei geht hervor, dass ca. drei Viertel aller strafbaren Hasspostings lt. deutschem Bundeskriminalamt politisch motivierter Kriminalität von rechts zugeordnet werden können. Diese Zahlen sind seit Beginn der Erhebung 2017 mit 74.0% (2017) und 76.7% (2018) relativ konstant. Strafbare Hasspostings von links machten 2017 5.4% und 2018 8.6% der Fälle aus. Unglaublich überraschend diese Zahlen... -------------------------------------------------- <https://netzpolitik.org/2019/bundesregierung-drei-viertel-aller-strafbaren-…> *** Ross Anderson arbeitet an der 3. Auflage von Security Engineering *** -------------------------------------------------- Das sind zwar keine News, ist aber vlt. für die eine oder den anderen interessant: Ross Anderson arbeitet aktuell an der 3. Auflage seines Klassikers "Security Engineering" und hat mit dem Verlag ausgehandelt, dass er alle Kapitel für Reviewzwecke bis zur Veröffentlichung des Buches auf seiner Webseite als PDFs zum kostenlosen Download zur Verfügung stellen darf. -------------------------------------------------- <https://www.cl.cam.ac.uk/~rja14/book.html> LG, dimir

4 years, 8 months

2024

2023

2022

2021

2020

2019

C3W Newsletter August 2019