Liebe Freund*innen und Angehörige des Wiener Chaos, der Newsletter für die Woche vom 11.11.2019 bis 17.11.2019. Inhalt: - Gesichtserkennung wird in AT bald Beweismethode - Ausweitung des Staatstrojanereinsatzes in DE - (Vorerst) keine Ende zu Ende Verschlüsselung für das Anwaltspostfach in DE - Deutsches Justizministerium will erweiterte DNA Analysen - Rootkits and Other Backdoors - Browser Fingerprinting: A survey - Was UDP kann, kann TCP schon lange: (D)DoS mittels TCP Amplification Attacks - Die italienische 5 Sterne Bewegung und dieses Internet *** Gesichtserkennung wird in AT bald Beweismethode *** -------------------------------------------------- Seit April 2019 steht fest, dass die Poizei in AT vorhat, Gesichtserkennung als Beweismethode bei Straftaten einzusetzen. Der Plan: Werden Kriminelle bei einer Straftat gefilmt, werden aus den Aufnahmen der Kamera(s) Bilder der Gesichter extrahiert und diese mit jenen einer Datenbank verglichen, in der Bilder von erkennungsdienstlich erfassten Personen gespeichert sind. Bei den Kameras muss es sich nicht um Überwachungskameras handeln, Daten von Smartphones oder anderen Geräten sind ebenso möglich. Die Schwere der Straftat ist beim Einsatz dieser Technik übrigens völlig egal, es muss aber eine "gerichtlich strafare, vorsätzliche Straftat" sein -- ob sich das bei beliebigen Aufnahmen zweifelsfrei feststellen lässt, sei mal dahingestellt. Gerade zu einer Zeit, in der "Deep Fakes" immer problemloser hergestellt werden können, muss bei der Akzeptanz von Aufnahmen von Smartphones oder ähnlich vertrauenswürdigen (IoT-)Geräten von Anfang an geklärt werden, wie die Behörden sicher gehen können, dass es sich nicht um eine Fälschung handelt bzw. zumindest klar geregelt sein, welche Schritte unternommen werden, um die Echtheit zu überprüfen. Im Artikel wird das allerdings gar nicht thematisiert. Grundsätzlich ist dieser Einsatz von Gesichtserkennung imho nicht die dümmste Idee aus diesem Gebiet, die ich in den letzten Jahren gelesen hab', aber wirklich durchdacht erscheint sie auch nicht und die Aussage, dass das ja nur ein "Ermittlungsansatz" sei, halte ich für schwer fragwürdig. Das mag zwar theoretisch nett klingen, de facto ist aber wie z.B. beim AMS-Algorithmus zu vermuten, dass Beamt*innen, die der Empfehlung der Software nicht nachgehen wollen, dies auführlich begründen werden müssen, während einfaches Befolgen der Computerempfehlung keine Mehrarbeit bedeuten wird. Auch der Umstand, dass eine Echtzeit-Überwachung mit der aktuellen Software und Gesetzeslage nicht machbar wäre, sagt wenig aus; dazu bleibt nur das Zitat von Epicenter.works in dem Artikel zu zitieren: "[A]us der Vergangenheit wissen wir, dass solche Eingriffe bzw. Befugnisse meist nach und nach ausgeweitet werden." -------------------------------------------------- https://orf.at/stories/3143858 *** Ausweitung des Staatstrojanereinsatzes in DE *** -------------------------------------------------- Wenn wir schon beim Befugnisse ausdehen sind: Die große Koalition in Deutschland hat jetzt beschlossen, dass der Staatstrojaner nicht nur im Falle von Verdacht auf Bandendiebstahl eingesetzt werden darf, sondern sich künftig auch gegen als Einzeltäter*innen verdächtigte Personen richtet. Grund: Bei wiederholten Einbrüchen müssen ja die Waren auch wiederholt angeboten und verkauft werden und dabei "steht zu erwarten", dass das über Telekommunikationskanäle stattfindet, was deren Überwachung rechtfertigt. Ist auch sicher ganz klar die einzige Möglichkeit, Einbrecher*innen dingfest zu machen, andere Wege stehen der Exekutive zu wenige offen und Kriminelle haben ja sicher immer super OpSec, drum ist eine solche Maßnahme wahrscheinlich sogar *alternativlos*. -------------------------------------------------- https://www.golem.de/news/wohnungseinbrueche-koalition-findet-neue-begruendu... *** (Vorerst) keine Ende zu Ende Verschlüsselung für das Anwaltspostfach in DE *** -------------------------------------------------- Das "besondere elektronische Anwaltspostfach" ist der Idee nach eine schöne Sache: Anwält*innen in Deutschland sollen mit dieser speziellen E-Mail-Plattform "sicher" mit Justiz, Behörden und untereinander kommunizieren können und müssen das seit 2018-01-01 auch, zumindest "passiv". Mit Ruhm hat sich Umsetzung aber bisher nicht bekleckert; so kam z.B. im August 2019 heraus, dass die Software leider nicht mit Umlauten umgehen kann (hätte ja auch im Deutschen niemand mit Umlauten rechnen können!!11einself) und dabei so dämlich failed, dass die/der Sender*in eine Bestätigung der Zustellung erhält, während auf der Empfangsseite nie etwas ankommt -- hat aber nur ein paar Gerichtsverfahren um teilweise Monate verzögert, also kein Problem. Die Lösung des ganzen war übrigens nicht, die Software anzupassen -- wo kämen wir denn da hin -- sondern Nutzer*innen verstärkt darauf hinzuweisen, dass die Verwendung von Umlauten pöhse ist. Wer genug Hinweise erhalten hat und trotzdem Umlaute verwendet, ist dann für die eventuellen Folgen auch haftbar -- klares :thumbsup: für diese Professionalität. Nun haben einige Rechtsanwält*innen per Klage gefordert, dass das Ding zumindest Ende zu Ende Verschlüsselung kann, weil die Spezifikation das ihrer Ansicht nach so vorschreibt. Der Amtsgerichtshof Berlin hat diese Klage jetzt aber abgewiesen, allerdings ist eine Revision vor dem deutschen Bundesgerichtshof zu erwarten -- es bleibt also spannend mit diesem Stück Qualitätssoftware. -------------------------------------------------- https://www.golem.de/news/bea-besonderes-elektronisches-anwaltspostfach-kann... https://www.golem.de/news/anwaltsgerichtshof-keine-ende-zu-ende-verschluesse... *** Deutsches Justizministerium will erweiterte DNA Analysen *** -------------------------------------------------- Eine erweiterte DNA Analyse ist eine, bei der aus der DNA mithilfe statistischer Methoden auch Rückschlüsse auf Merkmale wie Augen-, Haar- und Hautfarbe gezogen werden können. Theoretisch zumindest. Faktisch ist die Technik noch eher in den Kinderschuhen; die Wissenschaftlerin Prof. Dr. Veronika Lipphardt sagt im Interview mit Netzpolitik.org "DNA ist ein hochkomplexes Gebilde und WissenschaftlerInnen müssen ungeheuer vielseitige Fähigkeiten haben, um diese Informationen interpretieren zu können." Na dann kann ja nix mehr schiefgehen, wenn das in Zukunft sämtliche Polizist*innen machen dürfen... -------------------------------------------------- https://netzpolitik.org/2019/dna-ist-kein-augenzeuge-der-eine-aussage-machen... *** Rootkits and Other Backdoors *** -------------------------------------------------- Guter Überblicksartikel zu den verschiedenen Arten von Rootkits und Backdoors auf Linux/UNIX Systemen:) -------------------------------------------------- https://capsule8.com/blog/dont-get-kicked-out-a-tale-of-rootkits-and-other-b... *** Browser Fingerprinting: A survey *** -------------------------------------------------- Eine überarbeitete Version von einem bereits im Mai 2019 erstmals veröffentlichtem Paper, das sich damit auseinandersetzt, was unter dem Schlagwort "Browser Fingerprinting" eigentlich zu verstehen ist, welche Techniken dabei zum Einsatz kommen und mit welcher Genauigkeit welche Aussagen damit gemacht werden können. Ich bin noch nicht ganz durch, ist aber auf jeden Fall ein lesenswerter Startpunkt, wenn ihr euch mit dem Thema genauer auseinandersetzen möchtet, v.a. auch deshalb, weil die bisherige Literatur dazu ausgiebig besprochen wird. -------------------------------------------------- https://arxiv.org/abs/1905.01051 *** Was UDP kann, kann TCP schon lange: (D)DoS mittels TCP Amplification Attacks *** -------------------------------------------------- Ok, auch TCP kann für Amplification Attacks genutzt werden -- war mir neu, aber ist recht einfach nachvollziehbar. Die viel spannendere Sache ist aber die menschliche Komponente daran: Die Netzwerke, die als Reflektoren missbraucht wurden, wunderten sich, warum sie plötzlich größere Mengen von Traffic der Opfer-Netzwerke bekamen und reagierten mit einer relativ simplen Lösung: Blacklisting. Das führte dann wiederum zu einem umso effizienteren (D)DoS-Angriff gegen die Opfer, die plötzlich auf zahlreichen Blacklists standen, ohne das zu wissen bzw. den Grund dafür zu kennen. Ob das von den Angreifer*innen genauso geplant war oder nicht, es ist jedenfalls (traurigerweise) ziemlich gewieft. -------------------------------------------------- https://blog.radware.com/security/2019/11/threat-alert-tcp-reflection-attack... *** Die italienische 5 Sterne Bewegung und dieses Internet *** -------------------------------------------------- (Fast) ohne Worte; lest den Artikel, wenn ihr was zum Lachen (oder Weinen) haben wollt: Von uralt CMS bis zur Sicherheit durch Blockchain ist alles dabei xD -------------------------------------------------- https://heise.de/-4586430 LG, dimir