Liebe Freund*innen und Angehörige des Wiener Chaos,
Der Newsletter für die Woche vom 16.09.2019 bis 22.09.2019.
Diese Woche sind einige Artikel zur Klimakrise dabei, die zwar nicht
zwangsläufig etwas mit Technik zu tun haben, aber uns alle betreffen. Am
Freitag war internationaler Aktionstag gegen die Klimakrise und in
Deutschland sind 1.4 Millionen Menschen auf die Straße gegangen. In
Österreich waren die Demos (zumindestens in Wien) ernsthaft beschämend
klein. Am 25. September stimmt der Nationalrat über die Ausrufung des
nationalen Klimanotstands ab und das wird nur durchgehen, wenn es
öffentlich Druck gibt -- also beteiligt euch an der Week for Future, die
gerade läuft -
https://www.fridaysforfuture.at/events/2019-09-20-week-for-future - :)
Außerdem: Die PrivacyWeek 2019 braucht noch einiges an Hilfe -- falls
ihr Interesse habt, mitzumachen, meldet euch bei office(a)privacyweek.at ;)
Inhalt:
- Der Beitrag von Armeen zum Klimawandel
- Essens Polizei darf keine Demofotos veröffentlichen
- Hamburgs Polizei ignoriert Weisung des Datenschutzbeauftragten
- Klimaproteste: Warum ziviler Ungehorsam gut für die Demokratie ist
- Rohdaten statt Propaganda
- NPP 185 zu Indien: Biometrie, Datenschutz und Internet-Shutdowns
- Unmengen medizinischer Daten auf unabgesicherten Serven frei zugänglich
- Wie sicher sind Österreichs Parteien?
- Digital Certificates - Models for Trust and Targets for Misuse
- BGP Optimisers seem a good idea until they bring down the internet
- SOHOpelessly Broken 2.0
*** Der Beitrag von Armeen zum Klimawandel ***
--------------------------------------------------
Wäre das amerikanische Department of Defense ein eigener Staat, würde es
Platz 55 der weltweit größten Kohlendioxidemittenten residieren. Wenig
überraschend zerstört Krieg nicht nur Menschenleben, sondern auch den
Planeten. Und natürlich werden die richtigen Lehren daraus gezogen: Als
einziges Ministerium in den USA, leugnet das DoD nie den Klimawandel --
stattdessen bereitet es sich auf eine Zukunft vor, in der klimatisch
verursachte Katastrophen zu Essensknappheit, politischer Instabilität,
massiven Fluchbewegungen und Ressourcenkriegen führen werden. Immerhin
wurden im Zuge dieser Überlegungen die eigenen Energiequellen um Dinge
die nicht Erdöl sind, erweitert. Toll.
--------------------------------------------------
<https://theintercept.com/2019/09/15/climate-change-us-military-war/>
*** Essens Polizei darf keine Demofotos veröffentlichen ***
--------------------------------------------------
Die Polizei in Essen hat Fotos von Demonstrationen, auf denen
Teilnehmer*innen zu erkennen waren auf Twiiter und Facebook
veröffentlicht. Dagegen klagten einige der Betroffenen und haben nun vom
Oberverwaltungsgericht Münster Recht bekommen. Grund: Solche Aufnahmen
können einschüchternd oder abschreckend wirken und sind daher ein
Eingriff in das Versammlungsrecht. Dem ist wohl nichts hinzuzufügen :)
--------------------------------------------------
<https://www.golem.de/news/gerichtsurteil-polizei-darf-keine-fotos-von-demos-veroeffentlichen-1909-143939.html>
*** Hamburgs Polizei ignoriert Weisung des Datenschutzbeauftragten ***
--------------------------------------------------
Hamburgs Datenschutzbeauftragter hat eine Löschungsanordnung einer im
Zuge des G20-Gipfels erstellten Gesichtserkennungsdatenbank
ausgesprochen. Ergebnis: Nicht nur, dass die Polizei die Weisung
ignoriert und die Innenbehörde Hamburgs dagegen klagt, nein, der Senat
hat auch gleich einen neuen Gesetzesentwurf vorgelegt, in dem der/die
Datenschutzbeauftragte die Kompetenz zur Weisung verliert. Fun Fact: Das
war die erste Weisung, die der hamburgische Datenschutzbeauftragte
Johannes Caspar ausgesprochen hat. Er ist seit *2009* im Amt. Klarer
Fall von Amtsmissbrauch also. Disclaimer: Ich weiß nicht, ob er das
Weisungsrecht seit Amtsantritt hatte.
--------------------------------------------------
<https://netzpolitik.org/2019/gesichtserkennung-hamburger-innenbehoerde-pfeift-auf-datenschutzbeauftragten/>
*** Klimaproteste: Warum ziviler Ungehorsam gut für die Demokratie ist ***
--------------------------------------------------
Sehr lesenswerter Artikel über zivilen Ungehorsam und warum wir diese
gewaltfreie Form der Gesetzesverletzung gerade jetzt für den Klimaschutz
unbedingt brauchen.
--------------------------------------------------
<https://netzpolitik.org/2019/klimaproteste-warum-ziviler-ungehorsam-gut-fuer-die-demokratie-ist/>
*** Rohdaten statt Propaganda ***
--------------------------------------------------
Unmengen von Rohdaten sind in Aktenschränken und PDFs versperrt, auf die
die Öffentlichkeit keinen oder kaum Zugriff hat, obwohl genau diese
Daten informierte Entscheidungen in vielen Belangen des Lebens erst
ermöglichen. Einerseits sind es Anbieter wie Elsevier, die
Wissenschaftler*innen Geld zahlen lassen, damit deren Arbeit
veröffentlicht wird, anstatt diese für ihre Arbeit zu bezahlen und dann
oftmals horrende Summen für Artikel verlangen. Andererseits haben auch
Staaten Unmengen von Rohdaten, aber trotz Informationsfreiheitsgesetze
mancherorts (nicht in AT, keine Sorge, wir haben das Amtsgeheimnis) ist
es oft nicht leicht, an diese zu kommen. Ein Beispiel: Das IFG in
Deutschland legt nicht fest, in welcher Form die Daten zur Verfügung
gestellt werden müssen. Dadurch sind einige Behörden dazu übergegangen,
Daten in Exel-Dokumente zu schreiben, diese auszudrucken, die Ausdrucke
wieder einzuscannen und diese Scans dann in ausgedruckter Form an die
Anfragensteller*innen zu schicken. Nutzbarkeit dieser Daten natürlich
gleich Null.
Dementsprechend sollte jede*r von uns sich dafür einsetzen, dass Daten
die der Staat erhebt auch öffentlich zugänglich und nutzbar sind -- ohne
sie wird es zunehmend schwieriger politischer Propaganda entgegenzutreten.
--------------------------------------------------
<https://netzpolitik.org/2019/extinction-rebellion-rohdaten-statt-propaganda/>
*** NPP 185 zu Indien: Biometrie, Datenschutz und Internet-Shutdowns ***
--------------------------------------------------
Indien, ein Land mit über einer Milliarde Einwohner*innen ist bei uns
selten im Fokus der Medien, auch der netzpolitischen. Aber dort hat z.B.
WhatsApp die meisten Nutzer*innen weltweit. Dort ist oft der erste
Kontakt mit dem Internet über Smartphones. Dort hat die Regierung seit
2009 ein riesiges biometrisches Programm namens Aadhaar (आधार)
aufgezogen, bei dem jeder Person eine Karte mit zwölfstellige Nummer
zugewiesen wird, die mit biometrischen Daten (Fingerabdruck, Iris)
verknüpft die Identität der jeweiligen Person feststellen können soll.
Diese Karte wird z.B. bei der Steuererklärung gebraucht. Eine solche
Masse an biometrischen Daten ist aber natürlich nicht ungefährlich.
Maximilian Henning von
Netzpolitik.org spricht mit Kim Arora, einer
indischen Journalistin über Aadhaar und andere netzpolitische Themen in
Indien. Sehr gut investierte etwa 30min für alle, die sich ein wenig
über Netzpolitik in Indien informieren wollen :)
--------------------------------------------------
<https://netzpolitik.org/2019/npp-185-zu-indien-biometrie-datenschutz-und-internet-shutdowns/>
*** Unmengen medizinischer Daten auf unabgesicherten Serven frei
zugänglich ***
--------------------------------------------------
Der Bayerische Rundfunk und ProPublica haben in einer gemeinsamen
Recherche herausgefunden, dass weltweit hunderte Server, die
medizinische Daten wie Röntgenbilder speichern, jeder beliebigen Person
aus dem Internet Zugriff darauf geben/gaben. Es handelt sich dabei 60
Mio. Datensätze zu Patient*innen aus 50 Ländern. Richtig pöhses aua...
--------------------------------------------------
<https://p53lf57qovyuvwsc6xnrppyply3vtqm7l6pcobkmyqsiofyeznfu5uqd.onion/article/millions-of-americans-medical-images-and-data-are-available-on-the-internet>
<https://www.propublica.org/article/millions-of-americans-medical-images-and-data-are-available-on-the-internet>
<https://heise.de/-4531255>
*** Wie sicher sind Österreichs Parteien? ***
--------------------------------------------------
Der ÖVP-Hack hat ja die letzten Wochen hohe Wellen geschlagen. Jetzt hat
sich eine IT-Security Firma angeschaut, wie die Sicherheit aller
Parteien von außen betrachtet aussieht. Dabei haben sie natürlich nur
öffentliche Quellen und nicht-invasive Taktiken eingesetzt. Unglaublich
unerwartetes Ergebnis: Die IT-Security aller Parteien ist gar nicht mal
so geil.
--------------------------------------------------
<https://www.sec-research.com/1568802751-wie-sicher-sind-oesterreichs-parteien.html>
*** Digital Certificates - Models for Trust and Targets for Misuse ***
--------------------------------------------------
IMHO ziemlich guter und spannender Einblick in die Welt des
Zertifikatsdiebstahls und Missbrauchs. Anhand eines Beispiels wird
gezeigt, wie Kriminelle zuerst Informationen über ein Unternehmen
sammeln, dann eine Webseite unter anderer TLD (.co.uk statt .com)
anlegen und die Certificate Authority dazu bringen, diese neue Seite als
legitim anzuerkennen. Danach können Seite und Zertifikat an andere
weiterverkauft werden, die dann z.B. Phishing-Seiten aufziehen können.
--------------------------------------------------
<https://blog.reversinglabs.com/blog/digital-certificates-impersonated-executives-as-certificate-identity-fronts>
*** BGP Optimisers seem a good idea until they bring down the internet ***
--------------------------------------------------
Der Titel sagt eigentlich alles ;) Viele Firmen setzen mittlerweile auf
BGP Optimiser, d.h. Software, die sich automagisch darum kümmert, die
BGP Konfiguration zu "optimieren". Damit können dann auch echte
Netzwerktechniker*innen eingespart werden. Dummerweise hat die Software
Bugs - Nein! Doch! Oh... - und kann dann mal dazu führen, dass Traffic
der für Cloudflare bestimmt ist, durch das Netzwerk irgendeiner
Mini-Bude geroutet wird, die natürlich unter dem Load eingeht und damit
Cloudflare unerreichbar macht, hinter dem ja doch so ein bis zwei Firmen
hängen. Money-Quote im Artikel: "I strongly recommend to turn off those
BGP optimisers, glue the ports shut, burn the hardware, and salt the
grounds on which the BGP optimiser sales people walked"
--------------------------------------------------
<https://www.itnews.com.au/news/bgp-optimisers-seem-a-good-idea-until-they-bring-down-the-internet-530928>
*** SOHOpelessly Broken 2.0 ***
--------------------------------------------------
2013 veröffentlichten die Independent Security Evaluators (ISE) ein
Whitepaper zum Stand der IT-Security von IoT-Geräten. Damals fanden sie
53 CVEs in 13 small office/home office (SOHO) Routern und
Wireless-Access-Points. Und weil Dinge immer besser werden, haben sie
sich jetzt wieder 13 SOHO Router und NAS-Geräte angesehen. Diesmal
fanden sie 125 CVEs. Ich hab noch nicht das ganze Whitepaper gelesen,
aber dem Teil, den ich gelesen hab', geb' ich ganz klar das Prädikat
"Witzig!". Also zumindest, solang eins das nicht ernst nimmt ;)
--------------------------------------------------
<https://www.securityevaluators.com/whitepaper/sohopelessly-broken-2/>
LG,
dimir