C3W Newsletter September 2019

newsletter@lists.c3w.at

1 participants
5 discussions

by Der C3W Newsletter für IT Zeug, Datenschutz und Privatsphäre

Liebe Freund*innen und Angehörige des Wiener Chaos, Der Newsletter für die Woche vom 23.09.2019 bis 29.09.2019. Inhalt: - Das EU-Copyright-Karussell setzt sich wieder in Bewegung - Looking back at the Snowden revelations - Intergovernmental Panel on Climate Change veröffentlicht Special Report on the Ocean and Cryosphere in a Changing Climate - Österreich ruft den Klimanotstand aus - Centralised DoH is bad for privacy, in 2019 and beyond - Neuer opensource Jailbreak für iOS erschienen - Missing Link: Klimawandel? – Technologie wird uns auch diesmal nicht retten - Warum der derzeitige Einsatz von V-Personen durch die deutsche Polizei illegal ist *** Das EU-Copyright-Karussell setzt sich wieder in Bewegung *** -------------------------------------------------- Nachdem dieses Jahr die Copyright-Richtlinie verabschiedet wurde, gibt es zur Umsetzung jetzt "Stakeholder-Dialoge". Abzusehen ist, dass die Gesetzlage je nach Staat so unterschiedlich ist, dass nicht überall die wirklichen Urheber*innen von der Richtlinie profitieren werden. Hätte uns das doch bloß vorher jemand sagen können, dass das passieren wird!!1einself! -------------------------------------------------- <https://fm4.orf.at/stories/2991724/> *** Looking back at the Snowden revelations *** -------------------------------------------------- Ein cryptographischer Rückblick auf die Enthüllungen von Edward Snowden mit den Kernfragen "What did the Snowden leaks tell us about modern surveillance capabilities?" und "[W]hat did we learn about our ability to defend against them?". -------------------------------------------------- <https://blog.cryptographyengineering.com/2019/09/24/looking-back-at-the-sno…> *** Intergovernmental Panel on Climate Change veröffentlicht Special Report on the Ocean and Cryosphere in a Changing Climate *** -------------------------------------------------- Wer sich wirklich für die Klimaerwärmung und ihre Auswirkungen interessiert, sollte diesen Report wohl lesen, schlanke 1170 Seiten PDF. Für alle anderen tut's wohl auch die Summary for Policymakers, ein 45-seiten PDF ;) -------------------------------------------------- <https://www.ipcc.ch/srocc/home/> *** Österreich ruft den Klimanotstand aus *** -------------------------------------------------- Der Nationalrat hat am 25.09. den Klimanotstand ausgerufen. Einzige Partei, die nicht dafür gestimmt hat war -- Überraschung -- die FPÖ. Schauen wir mal, was dann wirklich gemacht wird. -------------------------------------------------- <https://fridaysforfuture.at/climateemergency> *** Centralised DoH is bad for privacy, in 2019 and beyond *** -------------------------------------------------- Ein Blog-Beitrag von PowerDNS zu DoH und dem Argument, dass wir damit mehr Privatsphäre gewinnen würden. Conclusio: "Centralised DoH is currently a privacy net negative since anyone that could see your metadata can still see your metadata when DNS is moved to a third party. Additionally, that third party then gets a complete log per device of all DNS queries, in a way that can even be tracked across IP addresses." -------------------------------------------------- <https://blog.powerdns.com/2019/09/25/centralised-doh-is-bad-for-privacy-in-…> *** Neuer opensource Jailbreak für iOS erschienen *** -------------------------------------------------- Es wurde ein neuer "unfixbarer" Jailbreak für iPhones veröffentlicht, der angeblich nicht durch ein Update unbrauchbar gemacht werden kann. Grund dafür: Das Problem liegt im Boot-ROM und dieses kann nur gelesen, nicht aber beschrieben werden. Aua... -------------------------------------------------- <https://www.golem.de/news/checkm8-ein-unfixbarer-jailbreak-fuer-iphones-190…> <https://github.com/axi0mX/ipwndfu> *** Missing Link: Klimawandel? – Technologie wird uns auch diesmal nicht retten *** -------------------------------------------------- Eine äußerst lesenswerte Abhandlung darüber, dass der Klimawandel nicht durch mehr und neue Technologien aufzuhalten sein wird. Überrascht hier wohlniemensch, aber gut zur Hand zu haben, wenn mal wieder irgendeine Person über die Rettung durch Technik fabuliert. -------------------------------------------------- <https://heise.de/-4540224> *** Warum der derzeitige Einsatz von V-Personen durch die deutsche Polizei illegal ist *** -------------------------------------------------- Eine V-Person in Deutschland ist eine Person, die dem Staat Informationen über das Milieu in dem sie sich bewegt, liefert und dafür Geld bekommt. Ihr Einsatz ist gesetzlich völlig ungeregelt und erfolgt mehr oder weniger willkürlich nach dem Gutdünken der Polizei. Da der Anreiz, Informationen zu liefern hoch sein muss, ist die Bezahlung gut, eine Kontrolle der Informationen aber in vielen Fällen nicht möglich. Falls jemand weiß, wie das in Österreich funktioniert, freue ich mich über Zusendungen -- würde mich zwar wundern, wenn das in AT klarer definiert ist, aber mehr Wissen über die Praxis hierzulande zu haben, kann nie schaden :) -------------------------------------------------- <https://netzpolitik.org/2019/warum-der-derzeitige-einsatz-von-v-personen-du…> LG, dimir

4 years, 6 months

Wöchentlicher C<3W Newsletter #18

by Der C3W Newsletter für IT Zeug, Datenschutz und Privatsphäre

Liebe Freund*innen und Angehörige des Wiener Chaos, Der Newsletter für die Woche vom 16.09.2019 bis 22.09.2019. Diese Woche sind einige Artikel zur Klimakrise dabei, die zwar nicht zwangsläufig etwas mit Technik zu tun haben, aber uns alle betreffen. Am Freitag war internationaler Aktionstag gegen die Klimakrise und in Deutschland sind 1.4 Millionen Menschen auf die Straße gegangen. In Österreich waren die Demos (zumindestens in Wien) ernsthaft beschämend klein. Am 25. September stimmt der Nationalrat über die Ausrufung des nationalen Klimanotstands ab und das wird nur durchgehen, wenn es öffentlich Druck gibt -- also beteiligt euch an der Week for Future, die gerade läuft - https://www.fridaysforfuture.at/events/2019-09-20-week-for-future - :) Außerdem: Die PrivacyWeek 2019 braucht noch einiges an Hilfe -- falls ihr Interesse habt, mitzumachen, meldet euch bei office(a)privacyweek.at ;) Inhalt: - Der Beitrag von Armeen zum Klimawandel - Essens Polizei darf keine Demofotos veröffentlichen - Hamburgs Polizei ignoriert Weisung des Datenschutzbeauftragten - Klimaproteste: Warum ziviler Ungehorsam gut für die Demokratie ist - Rohdaten statt Propaganda - NPP 185 zu Indien: Biometrie, Datenschutz und Internet-Shutdowns - Unmengen medizinischer Daten auf unabgesicherten Serven frei zugänglich - Wie sicher sind Österreichs Parteien? - Digital Certificates - Models for Trust and Targets for Misuse - BGP Optimisers seem a good idea until they bring down the internet - SOHOpelessly Broken 2.0 *** Der Beitrag von Armeen zum Klimawandel *** -------------------------------------------------- Wäre das amerikanische Department of Defense ein eigener Staat, würde es Platz 55 der weltweit größten Kohlendioxidemittenten residieren. Wenig überraschend zerstört Krieg nicht nur Menschenleben, sondern auch den Planeten. Und natürlich werden die richtigen Lehren daraus gezogen: Als einziges Ministerium in den USA, leugnet das DoD nie den Klimawandel -- stattdessen bereitet es sich auf eine Zukunft vor, in der klimatisch verursachte Katastrophen zu Essensknappheit, politischer Instabilität, massiven Fluchbewegungen und Ressourcenkriegen führen werden. Immerhin wurden im Zuge dieser Überlegungen die eigenen Energiequellen um Dinge die nicht Erdöl sind, erweitert. Toll. -------------------------------------------------- <https://theintercept.com/2019/09/15/climate-change-us-military-war/> *** Essens Polizei darf keine Demofotos veröffentlichen *** -------------------------------------------------- Die Polizei in Essen hat Fotos von Demonstrationen, auf denen Teilnehmer*innen zu erkennen waren auf Twiiter und Facebook veröffentlicht. Dagegen klagten einige der Betroffenen und haben nun vom Oberverwaltungsgericht Münster Recht bekommen. Grund: Solche Aufnahmen können einschüchternd oder abschreckend wirken und sind daher ein Eingriff in das Versammlungsrecht. Dem ist wohl nichts hinzuzufügen :) -------------------------------------------------- <https://www.golem.de/news/gerichtsurteil-polizei-darf-keine-fotos-von-demos…> *** Hamburgs Polizei ignoriert Weisung des Datenschutzbeauftragten *** -------------------------------------------------- Hamburgs Datenschutzbeauftragter hat eine Löschungsanordnung einer im Zuge des G20-Gipfels erstellten Gesichtserkennungsdatenbank ausgesprochen. Ergebnis: Nicht nur, dass die Polizei die Weisung ignoriert und die Innenbehörde Hamburgs dagegen klagt, nein, der Senat hat auch gleich einen neuen Gesetzesentwurf vorgelegt, in dem der/die Datenschutzbeauftragte die Kompetenz zur Weisung verliert. Fun Fact: Das war die erste Weisung, die der hamburgische Datenschutzbeauftragte Johannes Caspar ausgesprochen hat. Er ist seit *2009* im Amt. Klarer Fall von Amtsmissbrauch also. Disclaimer: Ich weiß nicht, ob er das Weisungsrecht seit Amtsantritt hatte. -------------------------------------------------- <https://netzpolitik.org/2019/gesichtserkennung-hamburger-innenbehoerde-pfei…> *** Klimaproteste: Warum ziviler Ungehorsam gut für die Demokratie ist *** -------------------------------------------------- Sehr lesenswerter Artikel über zivilen Ungehorsam und warum wir diese gewaltfreie Form der Gesetzesverletzung gerade jetzt für den Klimaschutz unbedingt brauchen. -------------------------------------------------- <https://netzpolitik.org/2019/klimaproteste-warum-ziviler-ungehorsam-gut-fue…> *** Rohdaten statt Propaganda *** -------------------------------------------------- Unmengen von Rohdaten sind in Aktenschränken und PDFs versperrt, auf die die Öffentlichkeit keinen oder kaum Zugriff hat, obwohl genau diese Daten informierte Entscheidungen in vielen Belangen des Lebens erst ermöglichen. Einerseits sind es Anbieter wie Elsevier, die Wissenschaftler*innen Geld zahlen lassen, damit deren Arbeit veröffentlicht wird, anstatt diese für ihre Arbeit zu bezahlen und dann oftmals horrende Summen für Artikel verlangen. Andererseits haben auch Staaten Unmengen von Rohdaten, aber trotz Informationsfreiheitsgesetze mancherorts (nicht in AT, keine Sorge, wir haben das Amtsgeheimnis) ist es oft nicht leicht, an diese zu kommen. Ein Beispiel: Das IFG in Deutschland legt nicht fest, in welcher Form die Daten zur Verfügung gestellt werden müssen. Dadurch sind einige Behörden dazu übergegangen, Daten in Exel-Dokumente zu schreiben, diese auszudrucken, die Ausdrucke wieder einzuscannen und diese Scans dann in ausgedruckter Form an die Anfragensteller*innen zu schicken. Nutzbarkeit dieser Daten natürlich gleich Null. Dementsprechend sollte jede*r von uns sich dafür einsetzen, dass Daten die der Staat erhebt auch öffentlich zugänglich und nutzbar sind -- ohne sie wird es zunehmend schwieriger politischer Propaganda entgegenzutreten. -------------------------------------------------- <https://netzpolitik.org/2019/extinction-rebellion-rohdaten-statt-propaganda/> *** NPP 185 zu Indien: Biometrie, Datenschutz und Internet-Shutdowns *** -------------------------------------------------- Indien, ein Land mit über einer Milliarde Einwohner*innen ist bei uns selten im Fokus der Medien, auch der netzpolitischen. Aber dort hat z.B. WhatsApp die meisten Nutzer*innen weltweit. Dort ist oft der erste Kontakt mit dem Internet über Smartphones. Dort hat die Regierung seit 2009 ein riesiges biometrisches Programm namens Aadhaar (आधार) aufgezogen, bei dem jeder Person eine Karte mit zwölfstellige Nummer zugewiesen wird, die mit biometrischen Daten (Fingerabdruck, Iris) verknüpft die Identität der jeweiligen Person feststellen können soll. Diese Karte wird z.B. bei der Steuererklärung gebraucht. Eine solche Masse an biometrischen Daten ist aber natürlich nicht ungefährlich. Maximilian Henning von Netzpolitik.org spricht mit Kim Arora, einer indischen Journalistin über Aadhaar und andere netzpolitische Themen in Indien. Sehr gut investierte etwa 30min für alle, die sich ein wenig über Netzpolitik in Indien informieren wollen :) -------------------------------------------------- <https://netzpolitik.org/2019/npp-185-zu-indien-biometrie-datenschutz-und-in…> *** Unmengen medizinischer Daten auf unabgesicherten Serven frei zugänglich *** -------------------------------------------------- Der Bayerische Rundfunk und ProPublica haben in einer gemeinsamen Recherche herausgefunden, dass weltweit hunderte Server, die medizinische Daten wie Röntgenbilder speichern, jeder beliebigen Person aus dem Internet Zugriff darauf geben/gaben. Es handelt sich dabei 60 Mio. Datensätze zu Patient*innen aus 50 Ländern. Richtig pöhses aua... -------------------------------------------------- <https://p53lf57qovyuvwsc6xnrppyply3vtqm7l6pcobkmyqsiofyeznfu5uqd.onion/arti…> <https://www.propublica.org/article/millions-of-americans-medical-images-and…> <https://heise.de/-4531255> *** Wie sicher sind Österreichs Parteien? *** -------------------------------------------------- Der ÖVP-Hack hat ja die letzten Wochen hohe Wellen geschlagen. Jetzt hat sich eine IT-Security Firma angeschaut, wie die Sicherheit aller Parteien von außen betrachtet aussieht. Dabei haben sie natürlich nur öffentliche Quellen und nicht-invasive Taktiken eingesetzt. Unglaublich unerwartetes Ergebnis: Die IT-Security aller Parteien ist gar nicht mal so geil. -------------------------------------------------- <https://www.sec-research.com/1568802751-wie-sicher-sind-oesterreichs-partei…> *** Digital Certificates - Models for Trust and Targets for Misuse *** -------------------------------------------------- IMHO ziemlich guter und spannender Einblick in die Welt des Zertifikatsdiebstahls und Missbrauchs. Anhand eines Beispiels wird gezeigt, wie Kriminelle zuerst Informationen über ein Unternehmen sammeln, dann eine Webseite unter anderer TLD (.co.uk statt .com) anlegen und die Certificate Authority dazu bringen, diese neue Seite als legitim anzuerkennen. Danach können Seite und Zertifikat an andere weiterverkauft werden, die dann z.B. Phishing-Seiten aufziehen können. -------------------------------------------------- <https://blog.reversinglabs.com/blog/digital-certificates-impersonated-execu…> *** BGP Optimisers seem a good idea until they bring down the internet *** -------------------------------------------------- Der Titel sagt eigentlich alles ;) Viele Firmen setzen mittlerweile auf BGP Optimiser, d.h. Software, die sich automagisch darum kümmert, die BGP Konfiguration zu "optimieren". Damit können dann auch echte Netzwerktechniker*innen eingespart werden. Dummerweise hat die Software Bugs - Nein! Doch! Oh... - und kann dann mal dazu führen, dass Traffic der für Cloudflare bestimmt ist, durch das Netzwerk irgendeiner Mini-Bude geroutet wird, die natürlich unter dem Load eingeht und damit Cloudflare unerreichbar macht, hinter dem ja doch so ein bis zwei Firmen hängen. Money-Quote im Artikel: "I strongly recommend to turn off those BGP optimisers, glue the ports shut, burn the hardware, and salt the grounds on which the BGP optimiser sales people walked" -------------------------------------------------- <https://www.itnews.com.au/news/bgp-optimisers-seem-a-good-idea-until-they-b…> *** SOHOpelessly Broken 2.0 *** -------------------------------------------------- 2013 veröffentlichten die Independent Security Evaluators (ISE) ein Whitepaper zum Stand der IT-Security von IoT-Geräten. Damals fanden sie 53 CVEs in 13 small office/home office (SOHO) Routern und Wireless-Access-Points. Und weil Dinge immer besser werden, haben sie sich jetzt wieder 13 SOHO Router und NAS-Geräte angesehen. Diesmal fanden sie 125 CVEs. Ich hab noch nicht das ganze Whitepaper gelesen, aber dem Teil, den ich gelesen hab', geb' ich ganz klar das Prädikat "Witzig!". Also zumindest, solang eins das nicht ernst nimmt ;) -------------------------------------------------- <https://www.securityevaluators.com/whitepaper/sohopelessly-broken-2/> LG, dimir

4 years, 6 months

Wöchentlicher C<3W Newsletter #17

by Der C3W Newsletter für IT Zeug, Datenschutz und Privatsphäre

Liebe Freund*innen und Angehörige des Wiener Chaos, Der Newsletter für die Woche vom 09.09.2019 bis 15.09.2019 Inhalt: - Browser rollen DNS over HTTPS (DoH) aus - Die meisten Cookie-Banner sind nicht DSGVO-konform - Medien-Piraterie geht weltweit stark zurück - Schulen sind der größte Absatzmarkt für Videoüberwachungssysteme in den USA - Verhaltensbasierte Erkennung von Verbrechen - 20 Jahre Urban Dictionary: Vom Korrektiv zum Trollspielplatz - Dezentrale Plattformen und ihre Probleme am Beispiel Mastodon - EFF veröffentlicht Report zu Überwachung an der Südwest-Grenze der USA - When Biology Becomes Software *** Browser rollen DNS over HTTPS (DoH) aus *** -------------------------------------------------- Bereits vor einiger Zeit hatten Google und Mozilla angekündigt, in ihren jeweiligen Browsern auf DNS over HTTPS (DoH) umzusteigen. Dabei handelt es sich um eine Technologie, bei der der Browser DNS-Abfragen nicht mehr über die Bordmittel des Betriebssystems stellt, sondern sie selbst erledigt. Möglich wird das, indem er einen fixen DoH-Resolver verwendet -- dessen IP Adresse muss einmal per "normalem" DNS abgefragt werden, alle späteren Anfragen schickt der Browser verschlüsselt über HTTPS an diesen Resolver. Grundsätzlich ist eine Verschlüsselung von DNS-Anfragen sehr begrüßenswert, da diese bisher so gut wie immer im Plaintext gestellt wurden, d.h. jede Maschine über die die Anfrage gerouted wurde, konnte sehen, welche IP Adresse nach welcher Domain gefragt hat -- ein völlig unnötiges Informationsleck. Allerdings regte sich relativ schnell Widerstand gegen DoH von sehr unterschiedlichen Seiten: - Viele Firmen überwachen ihren Netzwerkverkehr und nutzen DNS-Monitoring um Schadsoftware auf Clients zu erkennen oder auch um das Ansurfen gewisser Seiten während der Arbeit zu unterbinden. Mit DoH wird das wesentlich schwieriger, auch wenn die aktuell angekündigten Umsetzungen relativ leicht dazu gebracht werden können, DoH zu deaktivieren und auf plain DNS zurückzusteigen. - Während mit DoH nicht mehr jeder Server am Weg den Inhalt einer DNS Anfrage sehen kann, sieht der DoH-Resolver alles. Das ist insbesondere bei Mozillas Firefox problematisch, da dessen DoH-Resolver Cloudflare sein wird. Im Klartext bedeutet das, dass Cloudflare ab dann *alle* DNS-Anfragen sämtlicher Firefox-Nutzer*innen sehen wird. Google hat angekündigt, dass Chrome einfach testen wird, ob der eingestellte DNS-Resolver des/der Nutzer*in DoH unterstützt und wenn ja diese Funktion verwendet. - Mit DNS over TLS (DoT) steht eine konkurrierende Technologie zur Verwendung von verschlüsselten DNS-Anfragen zur Verfügung, die vom Betriebssystem eingesetzt werden kann und nicht über den Browser läuft. Damit sind dann auch DNS-Anfragen, die nicht über den Browser gestellt werden (z.B. Mail-Clients, SSH, etc.) verschlüsselt. Der Vorstoß der beiden größten Browser, DoH nach und nach auszurollen, wird uns wohl alle treffen und dementsprechend macht es durchaus Sinn, sich jetzt mit dem Thema auseinanderzusetzen. Wer DoT oder DoH ausprobieren möchte, kann das z.B. auch mit den Servern der Foundation for Applied Privacy tun, einem österreichischen Verein, der außerdem die meisten TOR-Nodes in Österreich betreibt. Die Foundation wird auch bei der PrivacyWeek 2019 (21.10.-27.10.) einen Talk über DoT und DoH geben; der genaue Termin steht noch nicht fest. -------------------------------------------------- <https://heise.de/-4516719> <https://heise.de/-4520039> <https://appliedprivacy.net/services/dns/> <https://www.eff.org/deeplinks/2019/09/encrypted-dns-could-help-close-bigges…> *** Die meisten Cookie-Banner sind nicht DSGVO-konform *** -------------------------------------------------- Dazu kann ich eigentlich nur sagen: Nein! Doch! Ohh.. -------------------------------------------------- <https://www.golem.de/news/manipulierte-zustimmung-die-meisten-cookie-banner…> *** Medien-Piraterie geht weltweit stark zurück *** -------------------------------------------------- Wissenschaftler*innen der Universität Amsterdam haben sich mit Online-Piraterie auseinandergesetzt und festgestellt, dass diese stark rückläufig ist. Hauptgrund dafür ist aber nicht das Einführen strenger Gesetze, sondern das Anbieten von leistbaren Streaming-Diensten. Wie jetzt, die meisten Leute in diesem Internet erwerben Waren lieber legal, wenn sie die Möglichkeit haben und sind nicht einfach nur gesetzlose Kriminelle aus Überzeugung?! Damit hätte nun wirklich niemand rechnen können... -------------------------------------------------- <https://fm4.orf.at/stories/2991074> *** Schulen sind der größte Absatzmarkt für Videoüberwachungssysteme in den USA *** -------------------------------------------------- "AI-powered cameras" und ähnliches Schlangenöl werden massenweise von US-Schulen gekauft, um Amokläufe zu verhindern -- eines der Money-Quotes aus dem Artikel: "Both ZeroEyes and Athena Security in Austin, Texas, say their systems can detect weapons with more than 90% accuracy, but acknowledge their products haven’t been tested in a real-life scenario." Keine weiteren Fragen Euer Ehren. -------------------------------------------------- <https://www.latimes.com/business/story/2019-09-04/ai-powered-cameras-become…> *** Verhaltensbasierte Erkennung von Verbrechen *** -------------------------------------------------- Und wenn wir schon bei Schlangenöl sind: In Mannheim setzt die Polizei Überwachungskameras ein, die Aufgrund des Verhaltens von Personen erkennen sollen, wenn ein Verbrechen begangen wird und automatisch die Behörden alarmieren. Was kann da schon schiefgehen? -------------------------------------------------- <https://heise.de/-4522625> *** 20 Jahre Urban Dictionary: Vom Korrektiv zum Trollspielplatz *** -------------------------------------------------- Die Idee hinter Urban Dictionary ist eigentlich einfach: Die Realität widerzuspiegeln, dass Sprache nichts ist, was elitäre Zirkel im Duden (oder ähnlichen Werken) festlegen, sondern etwas organisches, das sich ständig verändert und weiterentwickelt. Um das zu Erreichen, sollte es auf der Plattform möglich sein, Dialektbegriffe oder Redewendungen zu verewigen und deren Bedeutung zu erläutern. Ein bisschen also wie Wikipedia für englische Umgangssprache. Aber die völlige Offenheit gepaart mit der Möglichkeit, Begriffsdefinitionen durch Votes wichtiger erscheinen zu lassen, zog mit der Zeit immer mehr Trolle an, die sich hauptsächlich darin ergingen, diverseste Schimpfwörter und Beleidigungen hochzuladen und zu definieren. Das ist nicht nur generell schade für das Projekt, sondern IMHO besonders traurig weil es erst wieder den Eindruck vermittelt, Umgangssprache, Dialekte und Sland bestünden primär aus sprachlichem Unrat. Ich nehm' das auch direkt zum Anlass um einen wissenschaftlichen Artikel aus dem Jahr 1999 auf wienerisch zu verlinken, um so einem Schwachsinn entgegenzuwirken ;) -------------------------------------------------- <https://www.wired.com/story/urban-dictionary-20-years/> <https://www.univie.ac.at/keltologie/birkkelten.html> *** Dezentrale Plattformen und ihre Probleme am Beispiel Mastodon *** -------------------------------------------------- Einige Wissenschaftler [sic] aus UK haben sich angeschaut, mit welchen Problemen dezentrale Plattformen generell zu kämpfen haben und das am Beispiel Mastodon illustriert. Da ist jetzt nichts unglaublich aufregend neues dabei, aber es zeigt doch sehr anschaulich, wie schwer es ist, eine Plattform möglichst ohne Zentralisierung zu schaffen und v.a. beizubehalten. -------------------------------------------------- <https://arxiv.org/abs/1909.05801> *** EFF veröffentlicht Report zu Überwachung an der Südwest-Grenze der USA *** -------------------------------------------------- Gemeinsam mit der Reynolds School of Journalism der University of Nevada, Reno hat die EFF einen Report über die Überwachungssituation in den südwestlichen Grenzgebieten der USA herausgegeben. Ich hatte noch keine Zeit, mir das alles genau anzuschauen, aber die Menge an Daten, die hier zur Verfügung gestellt wird, ist beachtlich und das Arsenal auf das die Behörden zurückgreifen trotz aller Bekanntheit angsteinflößend groß. -------------------------------------------------- <https://www.eff.org/press/releases/new-report-finds-border-communities-inun…> <https://www.eff.org/pages/atlas-surveillance-us-mexico-border-communities> *** When Biology Becomes Software *** -------------------------------------------------- Bruce Schneier beschreibt in dem Artikel kurz, was für Gefahren auftreten können, wenn aktuelle Praktiken der Software-Entwicklung (Stichwort "Trial and Error") in die "Programmierung" von DNA und Gen-Manipulation übernommen wird. TL;DR: Könnte beliebig unangenehme Folgen haben, weil Patchen bei biologischen Lebensformen eher so mittel funktioniert. -------------------------------------------------- <https://www.schneier.com/blog/archives/2019/09/when_biology_be.html> LG, dimir

4 years, 7 months

Wöchentlicher C<3W Newsletter #16

by Der C3W Newsletter für IT Zeug, Datenschutz und Privatsphäre

Liebe Freund*innen und Angehörige des Wiener Chaos, Der Newsletter für die Woche vom 02.09.2019 bis 08.09.2019 Inhalt: - Wissenschaftliche Dienste des deutschen Bundestages halten HackBack für eine schlechte Idee - "Präventivgewahrsam" in Bayern oder "wochenlange Haft ohne Anklage oder Vorwürfe" - CISCO veröffentlicht Forensik-Leitfäden für ihre Geräte - Geheime Terror-Watchlist der US-Dienste ist verfassungswidrig - Klage wegen illegalem Staatstrojaner-Exports gegen FinFisher - Kritische Lücke in Exim erlaubt RCE mit Root Rechten - ÖVP Hack - Schlangenöl-Firma verklagt Black Hat - Drohnenschwärme für die Zukunft der Kriegsführung - TLS1.0 und TLS1.1 werden 2020 deprecated *** Wissenschaftliche Dienste des deutschen Bundestages halten HackBack für eine schlechte Idee *** -------------------------------------------------- Die wissenschaftlichen Dienste des deutschen Bundestages haben ein Gutachten über HackBack geschrieben und kommen zu dem Ergebnis, dass das aus vielen Gründen keine gute Idee ist. Überraschenderweise wurde das Gutachten als "Nur für den Dienstgebrauch" eingestuft -- es kann ja nicht sein, dass sich die wissenschaftlichen Dienste einfach ihrer Vernunft bedienen anstatt den Machtphantasien der Politik zu folgen, sowas darf nicht öffentlich sein. Was ich tatsächlich erfreulich finde: Geschrieben wurde das Papier von einem Oberstleutnant der deutschen Bundeswehr. Schön zu sehen, dass es auch dort kritische Stimmen gibt, die sich gegen die Normalisierung eines ständigen Cyberangriffskriegs stellen. Schade nur, dass das so selten an die Öffentlichkeit dringt. -------------------------------------------------- <https://netzpolitik.org/2019/geheimes-bundestagsgutachten-attackiert-hackba…> *** "Präventivgewahrsam" in Bayern oder "wochenlange Haft ohne Anklage oder Vorwürfe" *** -------------------------------------------------- Das bayerische Polizeigesetz ist 2017 und 2018 dahingehend verändert worden, dass Personen bereits bei geringfügigen Verstößen gegen die Rechtsordnung (z.B. Trunkenheit) unbegrenzt eingesperrt werden können. Ohne Anklage, ohne Rechtsbeistand. Eingesetzt wird das ganze v.a. gegen Personen ohne europäischen Pass -- welch Zufall. Selbst der bayerische Innenminister sieht jetzt ein, dass es eine Obergrenze für die Haft ohne Anklage braucht. Wow, einfach nur wow... -------------------------------------------------- <https://netzpolitik.org/2019/bayerisches-polizeigesetz-19-personen-wochenla…> *** CISCO veröffentlicht Forensik-Leitfäden für ihre Geräte *** -------------------------------------------------- Closed-Source Systeme wie CISCOs IOS (hat nichts mit Apples iOS zu tun ;)) sind für Forensiker*innen oft eine unüberwindbare Hürde: Fehlende Dokumentation und Literatur machen eine forensisch korrekte Untersuchung von Devices extrem schwer bis unmöglich. CISCO hat sich jetzt erbarmt und selbst Leitfäden veröffentlicht, wie eins ihre Geräte richtig auswerten kann. Auch wenn's spät ist, ziemlich cool ist das allemal :) -------------------------------------------------- <https://heise.de/-4512704> *** Geheime Terror-Watchlist der US-Dienste ist verfassungswidrig *** -------------------------------------------------- Nach einem jahrelangen Prozess wurde die Terror-Watchlist der USA für verfassungswidrig erklärt. Auf diese Liste kamen Personen, die von US-Diensten aus welchen Gründen auch immer für terrorverdächtig gehalten wurden. Sie wurde anschließend verwendet, um z.B. die No-Flight Liste zu ergänzen und außerdem an ca. 18000 staatliche/staatsnahe Einrichtungen der USA, 533 private Entitäten sowie an andere Staaten weitergegeben. Stellt sich doch glatt heraus: Personen, die auf dieser Liste stehen, obwohl sie sich nie etwas zu Schulden kommen haben lassen, sind verstärkt Repressionen in allen möglichen Lebensbereichen ausgesetzt. Also damit hätte ja wirklich niemand rechnen können... Hätten sie eine Blockchain eingesetzt, um die Liste zu verwalten, wäre daran wenigstens irgendwas lustig. -------------------------------------------------- <https://theintercept.com/2019/09/06/terrorism-watchlist-lawsuit-ruling/> *** Klage wegen illegalem Staatstrojaner-Exports gegen FinFisher *** -------------------------------------------------- Das deutsche Unternehmen FinFisher wird von einem Zusammenschluss mehrerer NGOs wegen illegalem Exports seiner Staatstrojaner-Software verklagt. Um einen Staatstrojaner zu exportieren, benötigt das Unternehmen eine Erlaubnis nach deutschen und europäischen Gesetzen. Eine solche wurde aber nach Aussage der Bundesregierung bisher noch nie vergeben. Dumm nur, dass FinFishers Software mit sehr hoher Wahrscheinlichkeit von der türkischen Regierung gegen Regimegegner*innen eingesetzt wurde. Es bleibt zu hoffen, dass die Strafe so teuer wird, dass sie die Firma ruiniert, auch wenn das leider wenig wahrscheinlich ist. -------------------------------------------------- <https://netzpolitik.org/2019/wir-stellen-strafanzeige-zollkriminalamt-ermit…> <https://netzpolitik.org/2019/we-filed-a-criminal-complaint-prosecutor-launc…> <https://www.golem.de/news/spionagesoftware-staatsanwaltschaft-ermittelt-nac…> <https://www.reporter-ohne-grenzen.de/pressemitteilungen/meldung/illegaler-v…> *** Kritische Lücke in Exim erlaubt RCE mit Root Rechten *** -------------------------------------------------- Die Mailserver-Software Exim hat eine Schwachstelle, die es ermöglicht RCE (Remote Code Execution) mit Root Rechten auf dem betroffenen Server auszuführen, sofern dieser TLS unterstützt (was er hoffentlich tut). Es gibt einen unveröffentlichen PoC (Proof of Concept) Exploit von der Firma Qualys. Patchen ist stark zu empfehlen. -------------------------------------------------- <https://www.exim.org/static/doc/security/CVE-2019-15846.txt> <https://www.cert.at/warnings/all/20190906.html> *** ÖVP Hack *** -------------------------------------------------- Die ÖVP vermeldet, im großen Stil gehackt worden zu sein. Abseits des üblichen ahnungs- und inhaltslosen Geschwätzes der Politiker*innen zeigt der Vorfall imho vor allem eines wieder ganz deutlich: Wir brauchen dringend mehr digitale Bildung, damit nicht ganz so leicht ganz so viel Schwachsinn behauptet werden kann. Ansonsten gehe ich davon aus, dass SEC Consult und CYBERTRAP wissen was sie tun und die Reste des Vorfalls aufräumen. -------------------------------------------------- <https://orf.at/stories/3136215/> *** Schlangenöl-Firma verklagt Black Hat *** -------------------------------------------------- Eine Firma die für mehr als 100.000$ Sponsoring einen Talk auf der Black Hat halten durfte, der inhaltlich so eine Frechheit war, dass sie ausgebuht wurden, verklagt jetzt die Black Hat, da diese die Störendfriede nicht mithilfe zahlreicher Securitys aus dem Saal beförderte. Wie kann es auch jemand wagen, eine Firma auszubuhen, die nicht eine einzige Person mit cryptographischer Expertise beschäftigt, aber behauptet, den weit verbreiteten und generell als sicher eingestuften RSA-Algorithmus brechen zu können? Nur weil die Firma verweigert, dieses Wunder auch vorzuzeigen? Tz, in was für einer Welt leben wir denn, dass Menschen mit Visionen jetzt auch noch beweisen müssen, dass sie wirklich können, was sie behaupten?! Aber so schlecht zu sein, dass sogar Bruce Schneier eine 10 Jahre alte Kategorie seines Blogs wiederbelebt, ist auch eine Leistung :D -------------------------------------------------- <https://www.schneier.com/blog/archives/2019/09/the_doghouse_cr_1.html> *** Drohnenschwärme für die Zukunft der Kriegsführung *** -------------------------------------------------- Schön, dass die Zukunft schon jetzt ist, oder so ähnlich. Programmierbare Drohnen die Angriffe voll automatisiert ausführen. Da kann ja nix schiefgehen. -------------------------------------------------- <https://netzpolitik.org/2019/rheinmetall-zeigt-drohnenpanzer-mit-kamikazedr…> *** TLS1.0 und TLS1.1 werden 2020 deprecated *** -------------------------------------------------- Eine Person die diesen Newsletter liest, hat mich darauf hingewiesen, dass es doch eine gute Idee wäre, darauf hinzuweisen, dass TLSv1.0 und TLSv1.1 nächstes Jahr deprecated werden. Find' ich tatsächlich einen sehr guten Hinweis. Also: Dreht TLSv1.0 und TLSv1.1 doch einfach schonmal ab, dann ist die Umstellung nächstes Jahr total stressfrei. Eine Anleitung für Chrome, Firefox, OpenSSL und GnuTLS findet ihr in den Links. Und für die Lateinfreund*innen unter euch: Ceterum censeo, TLSv1.0 et TLSv1.1 esse delendos :) -------------------------------------------------- <https://arstechnica.com/gadgets/2018/10/browser-vendors-unite-to-end-suppor…> <https://blog.surgut.co.uk/2019/08/how-to-disable-tls-10-and-tls-11-on.html> LG, dimir

4 years, 7 months

Wöchentlicher C<3W Newsletter #15

by Der C3W Newsletter für IT Zeug, Datenschutz und Privatsphäre

Liebe Freund*innen und Angehörige des Wiener Chaos, Der Newsletter für die Woche vom 26.08.2019 bis 01.09.2019 Inhalt: - Hongkong: Low-Tech gegen High-Tech Massenüberwachung - Google schränkt politische Diskussionen am Arbeitsplatz ein - Zollfreiheit digitaler Güter geht zulasten des globalen Südens - Consumer Grade Security ist (immer noch) Schwachsinn - iPhones jahrelang durch Besuch einzelner Webseiten vollständig hackbar - US Grenzüberwachung trifft auch Native Americans - Österreichs Polizei hat 76 Drohnen im Einsatz - Gesichtserkennung statt Klassenbuch in Schweden *** Hongkong: Low-Tech gegen High-Tech Massenüberwachung *** -------------------------------------------------- MIttlerweile dauern die Massenproteste in Hongkong bereits seit drei Monaten an. Auslöser war ein Gesetzesvorschlag, der die Auslieferung mutmaßlich Krimineller an China erleichtern sollte und von Kritiker*innen als Startschuss für ein noch aggressiveres Vorgehen gegen Regimegegner*innen gesehen wurde. Beide Seiten ziehen dabei alle Register: Die Regierung setzt auf Propaganda im In- und Ausland, Heroisierung der Polizei, Diffamierung der Demonstrant*innen als "Terrorist*innen", Drohungen mit einem Einsatz des Militärs, Gummigeschosse, Tränengas, Wasserwerfer und angeblich sogar Unterstützung durch Mafia-Gruppen vom chinesischen Festland. Unterstützt wird all das von einem Überwachungsapparat, der unter dem Schlagwort "Smart City" hochgezogen wurde. Die Protestierenden hingegen setzen auf Low-Tech, organisieren sich über Telegram, Briar, Pokémon Go und sogar Tinder. Nachrichten à la Flugblätter verteilen sie über Dienste wie Apple's AirDrop an belebten Plätzen. Gegen Kameras mit Gesichtserkennung versuchen sie mit Laserpointern, aber auch Demontage vorzugehen. In den Straßenschlachten mit der Polizei (und der Mafia) greifen sie auf Stöcke, Ziegelsteine und Molotov-Cocktails zurück. Nachdem die chinesische Regierung angekündigt hatte, möglicherweise den Ausnahmezustand auszurufen, hatten sich auch die Hongkonger Internet Service Provider (HKISPA) zu Wort gemeldet und gemeint, dass eine Zensur (die mit dem Ausnahmezustand verschärft werden kann) aufgrund der Komplexität der Netzwerke in Hongkong nicht funktionieren wird und die Regierung davor gewarnt, dass dieser Schritt auch zu hohem wirtschaftlichen Schaden führen würde. Insgesamt zeigen die Proteste imho jedenfalls, dass sogar ein abgehärtetes Regime wie Peking gegen eine derart breite Bewegung relativ hilflos ist -- ssolange es davon absieht, mit scharfter Munition und militärischer Gewalt vorzugehen. Hoffen wir, dass Hongkong und der Rest der Welt, nicht herausfinden müssen, wie eine solche Konfrontation endet. -------------------------------------------------- <https://heise.de/-4510701> <https://netzpolitik.org/2019/hongkong-internetprovider-wehren-sich-gegen-ze…> *** Google schränkt politische Diskussionen am Arbeitsplatz ein *** -------------------------------------------------- Eine neue Unternehmenskultur-Richtlinie (wow, was für ein Wort bzw. Konzept O.o) stellt Google klar, dass hitzige Diskussionen politischer Natur am Arbeitsplatz nicht mehr erwünscht sind. Es sei aber natürlich akzeptabel "to raise concerns and respectfully question and debate the company’s activities" -- was immer das auch heißen mag. Jedenfalls eine gute Gelegenheit, Googles Community Guidelines zu lesen -- Umfang ca. 1 A4-Seite ;) -------------------------------------------------- <https://netzpolitik.org/2019/google-schraenkt-politische-diskussionen-am-ar…> <https://about.google/community-guidelines/> *** Zollfreiheit digitaler Güter geht zulasten des globalen Südens *** -------------------------------------------------- Einige Industrienationen bestimmen in geschlossenen Gremien darüber, ob die es weltweit Zoll auf digitale Güter geben soll. Überraschenderweise sind die Länder, die die bisherige Zollfreiheit am meisten kostet, nicht eingeladen. Der Artikel gibt einen interessanten Einblick in die generelle Vorgehensweise einiger weniger Staaten beim Wahren ihrer Wirtschaftsinteressen. -------------------------------------------------- <https://netzpolitik.org/2019/digitaler-handel-indien-fordert-zoelle-im-inte…> *** Consumer Grade Security ist (immer noch) Schwachsinn *** -------------------------------------------------- Bruce Schneier argumentiert wohl wie kaum eine andere Person bereits so lange (halbwegs) medienwirksam gegen die Schnapsidee "Consumer Grade Security". Dabei geht es darum, dass diverse Militärs und Polizeien sich schwächere Kryptographie für Konsument*innen wünschen und stärkere für ihre eigenen Interessen. Dass das mathematisch nicht möglich ist, da eine Verschlüsselung einfach entweder sicher oder eben nicht sein kann und die Mathematik nicht einmal für die moralisch einwandfreien Hero*innen der Exekutive eine Ausnahme macht, interessiert bei den LEAs (Law Enforcement Agencies) und den Militärs schlichtwegs niemanden. Schneier argumentiert in diesem Beitrag daher von einer anderen Seite: WhatsApp, Facebook, Google, Signal, etc. werden millionenfach von "normalen" Personen, Militärs und Exukutive verwendet. Gerade in einer Zeit in der der amtierende US-Präsident darauf besteht, sein privates Telefon zu behalten, sollten diejenigen, die sich eine "Consumer Grade Security" wünschen, ernsthaft froh sein, dass es die nicht gibt, denn eine Trennung in zivil und militärisch ist heute nicht nur technisch, sondern auch nutzungsverhaltungsmäßig nicht machbar. -------------------------------------------------- <https://www.schneier.com/blog/archives/2019/08/the_myth_of_con.html> *** iPhones jahrelang durch Besuch einzelner Webseiten vollständig hackbar *** -------------------------------------------------- Google Project Zero hat eine Serie von Blogposts veröffentlicht, in denen sie eine von ihnen entdeckte, jahrelange Kampagne beschreibt, die mit insgesamt 5 vollständigen Exploit-Chains in der Lage war, diverse Versionen von iOS durch bloßen Besuch einer Webseite komplett zu übernehmen. Kauft Apple-Krams haben sie gesagt, das ist so sicher, haben sie gesagt... Gegen wen sich diese Kampagne richtete, wurde nicht veröffentlicht. Sollte aber von allen gelesen werden, die sich für iOS-Security und iOS-Exploits interessieren :) Btw.: Die beschriebenen Lücken wurden mit Apples Updates im Februar 2019 behoben. -------------------------------------------------- <https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-ex…> *** US Grenzüberwachung trifft auch Native Americans *** -------------------------------------------------- Die Überwachungsinfrastruktur die die US Border Control derzeit aufbaut trifft nicht nur marginalisierte Gruppen außerhalb der USA. Auch Bewohner*innen von Reservaten in Grenznähe bekommen zu spüren, wie es sich unter vollständiger Überwachung lebt. TL;DR: Gar nicht mal so geil. -------------------------------------------------- <https://theintercept.com/2019/08/25/border-patrol-israel-elbit-surveillance/> *** Österreichs Polizei hat 76 Drohnen im Einsatz *** -------------------------------------------------- Eine Anfrage von epicenter.works über fragdenstaat.at hat ergeben, dass Österreichs Polizei insgesamt 76 Drohnen im Wert von 280.000€ im Einsatz hat. -------------------------------------------------- <https://futurezone.at/netzpolitik/oesterreichs-polizei-hat-mehr-drohen-als-…> <https://fragdenstaat.at/anfrage/drohneneinsatze-durch-die-polizei/#nachrich…> *** Gesichtserkennung statt Klassenbuch in Schweden *** -------------------------------------------------- Eine Schule in Schweden hat eine Strafe von der Datenschutzbehörde kassiert, weil sie die Anwesenheit von Schüler*innen einer Klasse drei Wochen versuchsweise mit Gesichtserkennungssoftware überprüfte. Eins müsste ja darüber lachen, wenn es nicht so traurig wäre. Wirklich schönes Zitat aus dem Artikel: "Die Schule habe sich vor der Maßnahme zwar die Einwilligung der Eltern geholt. Die Behörde ist aber der Ansicht, dass die Einwilligung angesichts des deutlichen Ungleichgewichts zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen keine gültige Rechtsgrundlage sei." Hut ab vor dieser Datenschutzbehörde. -------------------------------------------------- <https://netzpolitik.org/2019/gesichtserkennung-statt-klassenbuch-schule-in-…> LG, dimir

4 years, 7 months

2024

2023

2022

2021

2020

2019

C3W Newsletter September 2019