Liebe Freund*innen und Angehörige des Wiener Chaos, der Newsletter für die Woche vom 06.01.2020 bis 12.01.2020. Inhalt: - Firmen fordern starke ePrivacy-Verordnung - Dialekterkennungssoftware ist -- Überraschung! -- broken - Gutes und Schlechtes im Digitalteil des Regierungsprogramms - SHA-mbles: Erste Chose-Prefix Kollision für SHA-1 veröffentlicht - SSH Pentesting Guide - Googles Project Zero ändert seine Disclosure Richtlinien - Produktkatalog einer Überwachungsfirma per Informationsfreiheit - Cable Haunt -- Branded Vulnerabilities jetzt auch für Modems *** Firmen fordern starke ePrivacy-Verordnung *** -------------------------------------------------- Eine Gruppe von Unternehmen hat die EU-Kommission in einem offenen Brief dazu aufgefordert, möglichst schnell eine möglichst starke ePrivacy-Verordnung zu erlassen, um dadurch den europäischen Digitalmarkt zu stärken, Nutzer*innenrechte zu fördern. Das ist doch mal erfreulich :) -------------------------------------------------- https://netzpolitik.org/2020/digitalunternehmen-fordern-strengere-regulierun... https://articl8.com/post/eu-companies-call-on-eu-legislators-to-implement-st... *** Dialekterkennungssoftware ist -- Überraschung! -- broken *** -------------------------------------------------- Das deutsche Bundesamt für Migration und Flüchtlinge (BAMF) setzt seit mittlerweile über zwei Jahren automatisierte Dialekterkennung bei Asylwerber*innen ein, um festzustellen, ob deren Angaben zu ihrer Herkunft glaubwürdig sind. Abgsehen davon, dass die dieser Maßnahme zugrundeliegende durch afaik keinerlei Fakten gestützte Annahme, Flüchtlinge würden im großen Stil absichtlich falsche Angaben zu ihrer Herkunft machen, an Widerlichkeit kaum zu überbieten ist, ist die Software, die dazu eingesetzt wird total überraschenderweise unglaublich kaputt: In etwa 2/3 der Fälle ist unklar, ob die Ergebnisse der Dialektanalyse die Aussagen der betroffenen Person bestätigen oder nicht. Das schöne an der ganzen Geschichte: Im Regierungsprogramm der neuen Grün-Schwarzen Regierung sind solche Ideen auch im Gespräch (siehe nächsten Eintrag). Gut, dass Politiker*innen ja lernfähig sind, oder, um es mit Hegel zu sagen: "Aus der Geschichte der Völker können wir lernen, dass die Völker nichts aus der Geschichte gelernt haben." Zum Heulen, ernsthaft... -------------------------------------------------- https://netzpolitik.org/2020/automatisiertes-misstrauen/ *** Gutes und Schlechtes im Digitalteil des Regierungsprogramms *** -------------------------------------------------- Die Futurezone hat eine Liste von drei guten und drei schlechten Dingen aus dem Digitalen im Regierungsprogramm zusammengezimmert, TL;DR: + Verkehrsauskunft Österreich soll als Open Data veröffentlicht werden + Das Amtsgeheimnis soll abgeschafft und ein Informationsfreiheitsgesetz eingeführt werden (wer's glaubt und so ;)) + Es gibt ein eigenes Kapitel zur bewussten Gestaltung von Technologie- und Netzpolitik, in dem z.B. mehr Mittel für die DSB in Aussicht gestellt werden - Bundestrojaner re-zombified -- Da mag der Verfassungsgerichtshof ja meinen, was er will, aber GOING DARK und TERROR und so, die Exekutive braucht sowas!!!!!einself!!11!! Denkt doch irgendwer einmal an die Kinder!!! - Sämtliche in Visumsverfahren erhobenen biometrischen Daten sollen automatisch mit einer Fahndungsdatenbank abgeglichen werden, damit diese pöhsen Ausländer*innen aus dem so pöhsen Ausland im schönen und grundguten Österreich nix Pöhses tun können! - KI (reicht eigentlich schon für negativ xD) soll unter anderem bei der automatisierten Erkennung von Dialekten bei Asylsuchenden eingesetzt werden. Moment mal, da war doch grad was dazu, oder? Wenn jemand von euch Interesse hat, sich mit diesen Dingen mehr zu beschäftigen: Es gibt aktuell eine Arbeitsgruppe im C3W, die eine Stellungnahme zum Regierungsprogramm verfassen will. Das nächste Treffen wird auf https://c3w.at/events/ veröffentlicht, sobald es feststeht bzw. könnt ihr natürlich auch einfach beim nächsten Caffeine am 21.01. anwesend sein und sagen, dass ihr mitmachen wollt :) -------------------------------------------------- https://futurezone.at/netzpolitik/3-gute-und-schlechte-nachrichten-beim-digi... *** SHA-mbles: Erste Chosen-Prefix Kollision für SHA-1 veröffentlicht *** -------------------------------------------------- Zwei Researcher aus Frankreich und Singapur haben als Erste eine Chosen-Prefix Kollision für SHA-1 gefunden. Als Beispiel haben sie zwei verschiedenen PGP-Schlüssel mit kollidierenden Zertifikaten erstellt. Es sei aber angemerkt, dass das bei GPG 1.4 funktioniert hat, dessen letztes Update aus 2015 stammt. -------------------------------------------------- https://sha-mbles.github.io/ https://eprint.iacr.org/2020/014.pdf *** SSH Pentesting Guide *** -------------------------------------------------- Ein kleiner Guide, der erklärt, wie eins SSH pentesten kann und auch auf häufige Fehler in der Serverkonfiguration eingeht. -------------------------------------------------- https://community.turgensec.com/ssh-hacking-guide/ *** Googles Project Zero ändert seine Disclosure Richtlinien *** -------------------------------------------------- Der Hauptpunkt dabei: Sicherheitslücken werden von nun an immer erst 90 Tage nach der Disclosure veröffentlicht und nicht sobald der Patch erschienen ist. Die Hoffnung dabei sind bessere Qualität bei den Patches, da es möglich ist, noch nachzubessern und dass die Patches beim Veröffentlichen der Lücke bereits großflächig eingespielt sind. -------------------------------------------------- https://googleprojectzero.blogspot.com/2020/01/policy-and-disclosure-2020-ed... https://www.golem.de/news/project-zero-googles-bug-jaeger-wollen-weniger-sch... *** Produktkatalog einer Überwachungsfirma per Informationsfreiheit *** -------------------------------------------------- Die US NGO Open The Government hat bei einer Polizeibehörde den Produktkatalog der Firma "Special Services Group" angefordert, den diese unter Verschluss hält. Wolltet ihr nicht auch immer schon Überwachungskameras in Staubsaugern mit 1TB Festplatten? Witzig zu lesen, for some definition of "witzig". -------------------------------------------------- https://www.golem.de/news/special-services-group-wenn-die-ueberwachungskamer... https://www.vice.com/en_us/article/qjdp95/this-secretive-surveillance-compan... *** Cable Haunt -- Branded Vulnerabilities jetzt auch für Modems *** -------------------------------------------------- Die dänische IT-Security Firma Lyrebirds hat eine Schwachstelle in Kabelmodems gefunden, die möglicherweise relativ weit verbreitet ist. Hatte leider noch keine Zeit, das Paper zu lesen, aber wenn ihr das tut, freu ich mich über Feedback :) Immerhin ist ein Skript dabei, mit dem eins das eigene Modem testen kann; ACHTUNG: Das fragt euch am Ende, ob ihr die Ergebnisse an Lyrebird schicken wollt, also wenn ihr das nicht wollt, löscht den Teil vom Skript vlt einfach raus, bevor ihr es laufen lasst und erspart euch das Ablehnen ;) -------------------------------------------------- https://cablehaunt.com/ LG, dimir