Liebe Freund*innen und Angehörige des Wiener Chaos, Der Newsletter für die Woche vom 10.06.2019 - 16.06.2019. Es war richtig viel los, darum sind es diesmal ein paar mehr Einträge als die letzten Male. Inhalt: - The Predator in Your Pocket: Citizen Lab veröffentlicht Studie zur Stalkerware-Industrie - The Dawn of Robot Surveillance: Die ACLU veröffentlicht eine Übersicht zu Trends und Gefahren in der Videoüberwachung - Troy Hunt stellt Have I been Pwned zum Verkauf - Google ist kein Telekommunikationsanbieter sagt der EuGH - Missing Link: Technologie-Rekuperation, oder: Wie subversive Technologien absorbiert werden - The Intercept wurde nach Berichten über Spionagetätigkeiten offenbar selbst zum Ziel - Tracking the Pixels: Detecting Web Trackers via Analyzing Invisible Pixels - Small World with High Risks: A Study of Security Threats in the npm Ecosystem - Mehr Side-Channel Attacken braucht das Land! Meet Rambleed - Petition für ein Transparenzgesetz in Österreich *** The Predator in Your Pocket *** -------------------------------------------------- Das kanadische Citizen Lab hat eine etwa 160 Seiten lange Studie zur Stalkerware-Industrie vorgelegt. Dabei handelt es sich um Software für Smartphones, die von Privatpersonen eingesetzt werden kann, um andere zu überwachen und zu verfolgen. Der Bericht beleuchtet einerseits die technischen Fähigkeiten von Stalkerware, wie die Firmen Search Engine Optimization nutzen, wie ihre Policys für Endkunden gestaltet sind und wie es generell mit der Legalität solcher Programme in Kanada ausschaut. Eine umfassende Analyse der rechtlichen Aspekten bietet der ebenfalls diese Woche erschienene, knapp 200-seitige Bericht "Installing Fear. A Canadian Legal and Policy Analysis of Using, Developing, and Selling Smartphone Spyware and Stalkerware Applications." Auch wenn das viel Text ist und ich bisher gerade einmal das erste Kapitel von sechs geschafft habe: Das Lesen lohnt sich auf jeden Fall! :) -------------------------------------------------- https://citizenlab.ca/2019/06/the-predator-in-your-pocket-a-multidisciplinar... https://citizenlab.ca/docs/stalkerware-legal.pdf *** The Dawn of Robot Surveillance *** -------------------------------------------------- Die American Civil Liberties Union (ACLU) fasst in etwa 50 Seiten die aktuellen Entwicklungen auf dem Gebiet der Videoüberwachung, insbesondere der Kombination von Videoanalyse und AI zusammen. Dabei wird der Fokus auf Missbrauchsmöglichkeiten dieser Technologien gelegt. Wer 50 Seiten Spaß und Freude will, sollte sich davon fernhalten; wer wissen will, was technisch schon alles möglich ist und in welche Richtungen geforscht wird, sollte das auf jeden Fall lesen, auch wenn danach erstmal in der Ecke sitzen und weinen angesagt ist... -------------------------------------------------- https://www.aclu.org/report/dawn-robot-surveillance *** Troy Hunt stellt Have I been Pwned zum Verkauf *** -------------------------------------------------- Auch wenn es offenbar nicht allen klar war: Troy Hunt hat *alles* an Have I been Pwned bisher alleine und in seiner Freizeit betrieben. Dieser Selbstausbeutung will er jetzt ein Ende machen und sucht aktuell nach Firmen, mit denen er HIBP weiter ausbauen kann -- also ja, er wird Teil davon bleiben, aber nicht mehr alle Arbeit machen. Das ganze läuft unter dem Namen "Project Svalbard". -------------------------------------------------- https://www.troyhunt.com/project-svalbard-the-future-of-have-i-been-pwned/ *** Google ist kein Telekommunikationsanbieter sagt der EuGH *** -------------------------------------------------- Die deutsche Bundesnetzagentur wollte Googles gmail-Dienst als elektronischen Telekommunikationsdienst klassifizieren. Nach einem Einspruch von Google ging die Debatte zum EuGH, der die Sichtweise der Bundesnetzagentur nicht teilt. -------------------------------------------------- https://orf.at/stories/3126635/ *** Missing Link: Technologie-Rekuperation, oder: Wie subversive Technologien absorbiert werden *** -------------------------------------------------- Ein kleiner Beitrag über die Fähigkeit des Kapitalismus, Ideen, die sich gegen ihn richten zu absorbieren und sie zu seinem Vorteil einzusetzen. -------------------------------------------------- https://heise.de/-4446943 *** The Intercept wurde nach Berichten über Spionagetätigkeiten offenbar selbst zum Ziel *** -------------------------------------------------- Unglaublich, aber Spionagedienste finden es gar nicht so geil, wenn über ihre Arbeit berichtet wird und kommen dann gern mal auf die Idee, sich diese pöhsen Personen, die da frech supersaubere total unproblematische Spionagedienste anpatzen, mal genauer anzusehen. Beim Intercept scheint es zumindest Pläne in diese Richtung gegeben zu haben, Hinweise in den eigenen Netzen konnte The Intercept aber nicht finden. -------------------------------------------------- https://theintercept.com/2019/06/12/darkmatter-uae-hack-intercept/ *** Tracking the Pixels: Detecting Web Trackers via Analyzing Invisible Pixels *** -------------------------------------------------- Während die meisten Studien zu Web-Tracking auf Filterlisten zurückgreifen, versucht diese Tracking Pixel über ihr Verhalten zu erkennen -- mit dem (wenig überraschenden aber dennoch) erschreckenden Ergebnis, dass solche Pixel auf über 94% der untersuchten Webseiten vorhanden sind. Dabei werden auch verschiedene Methoden des Pixeleinsatzes beleuchtet. -------------------------------------------------- https://arxiv.org/abs/1812.01514 *** Small World with High Risks: A Study of Security Threats in the npm Ecosystem *** -------------------------------------------------- Spätestens seit dem Vorfall letzten November, bei dem ein von vielen Programmen nachgeladenes Paket mittels Social Engineering (a.k.a. nett nachfragen, ob der schon lange nicht mehr an dem Paket arbeitende Maintainer diese Arbeit nicht vlt abgeben möchte) übernommen wurde und anschließend Crypto-Währung-stehlender Code eingefügt wurde, ist klar, dass npm-Ökosystem anfällig gegen solche Attacken ist. Wie groß die Gefahr ist, die von der Übernahme einzelner Repos ausgeht und wie stark die Community von der Integrität einzelner Maintainer*innen abhängt, legt diese Studie offen und bietet auch einige Verbesserungsvorschläge. -------------------------------------------------- https://www.theregister.co.uk/2018/11/26/npm_repo_bitcoin_stealer/ https://arxiv.org/abs/1902.09217 *** Mehr Side-Channel Attacken braucht das Land! Meet the Rambleed *** -------------------------------------------------- Dass sich benachbarte Bits im RAM durch wiederholten Zugriff auf eine Speicheradresse ändern lassen, ist schon lange bekannt und fungiert unter dem Namen rowhammer. Nun ist es gelungen, über eine ähnliche Technik den Inhalt von Bits auch auszulesen. Und weil Heartbleed so ein schöner Name war, nennen wir das jetzt eben Rambleed. Mit Homepage, wie es sich für eine gute Vulnerability im 21. Jahrhundert gehört. -------------------------------------------------- https://rambleed.com/ https://heise.de/-4444825 *** Petition für ein Transparenzgesetz in Österreich *** -------------------------------------------------- Es gibt derzeit eine Petition für ein Transparenzgesetz in Österreich. Kann eins unterschreiben, sollte eins auch tun ;) -------------------------------------------------- https://petition.informationsfreiheit.at/ LG, dimir