Liebe Freund*innen und Angehörige des Wiener Chaos,
der Newsletter für die Woche vom 06.01.2020 bis 12.01.2020.
Inhalt:
- Firmen fordern starke ePrivacy-Verordnung
- Dialekterkennungssoftware ist -- Überraschung! -- broken
- Gutes und Schlechtes im Digitalteil des Regierungsprogramms
- SHA-mbles: Erste Chose-Prefix Kollision für SHA-1 veröffentlicht
- SSH Pentesting Guide
- Googles Project Zero ändert seine Disclosure Richtlinien
- Produktkatalog einer Überwachungsfirma per Informationsfreiheit
- Cable Haunt -- Branded Vulnerabilities jetzt auch für Modems
*** Firmen fordern starke ePrivacy-Verordnung ***
--------------------------------------------------
Eine Gruppe von Unternehmen hat die EU-Kommission in einem offenen Brief
dazu aufgefordert, möglichst schnell eine möglichst starke
ePrivacy-Verordnung zu erlassen, um dadurch den europäischen
Digitalmarkt zu stärken, Nutzer*innenrechte zu fördern. Das ist doch mal
erfreulich :)
--------------------------------------------------
<https://netzpolitik.org/2020/digitalunternehmen-fordern-strengere-regulierung/>
<https://articl8.com/post/eu-companies-call-on-eu-legislators-to-implement-strong-e-privacy-regulation-1578473831564>
*** Dialekterkennungssoftware ist -- Überraschung! -- broken ***
--------------------------------------------------
Das deutsche Bundesamt für Migration und Flüchtlinge (BAMF) setzt seit
mittlerweile über zwei Jahren automatisierte Dialekterkennung bei
Asylwerber*innen ein, um festzustellen, ob deren Angaben zu ihrer
Herkunft glaubwürdig sind. Abgsehen davon, dass die dieser Maßnahme
zugrundeliegende durch afaik keinerlei Fakten gestützte Annahme,
Flüchtlinge würden im großen Stil absichtlich falsche Angaben zu ihrer
Herkunft machen, an Widerlichkeit kaum zu überbieten ist, ist die
Software, die dazu eingesetzt wird total überraschenderweise unglaublich
kaputt: In etwa 2/3 der Fälle ist unklar, ob die Ergebnisse der
Dialektanalyse die Aussagen der betroffenen Person bestätigen oder nicht.
Das schöne an der ganzen Geschichte: Im Regierungsprogramm der neuen
Grün-Schwarzen Regierung sind solche Ideen auch im Gespräch (siehe
nächsten Eintrag). Gut, dass Politiker*innen ja lernfähig sind, oder, um
es mit Hegel zu sagen: "Aus der Geschichte der Völker können wir lernen,
dass die Völker nichts aus der Geschichte gelernt haben." Zum Heulen,
ernsthaft...
--------------------------------------------------
<https://netzpolitik.org/2020/automatisiertes-misstrauen/>
*** Gutes und Schlechtes im Digitalteil des Regierungsprogramms ***
--------------------------------------------------
Die Futurezone hat eine Liste von drei guten und drei schlechten Dingen
aus dem Digitalen im Regierungsprogramm zusammengezimmert, TL;DR:
+ Verkehrsauskunft Österreich soll als Open Data veröffentlicht werden
+ Das Amtsgeheimnis soll abgeschafft und ein Informationsfreiheitsgesetz
eingeführt werden (wer's glaubt und so ;))
+ Es gibt ein eigenes Kapitel zur bewussten Gestaltung von Technologie-
und Netzpolitik, in dem z.B. mehr Mittel für die DSB in Aussicht
gestellt werden
- Bundestrojaner re-zombified -- Da mag der Verfassungsgerichtshof ja
meinen, was er will, aber GOING DARK und TERROR und so, die Exekutive
braucht sowas!!!!!einself!!11!! Denkt doch irgendwer einmal an die Kinder!!!
- Sämtliche in Visumsverfahren erhobenen biometrischen Daten sollen
automatisch mit einer Fahndungsdatenbank abgeglichen werden, damit diese
pöhsen Ausländer*innen aus dem so pöhsen Ausland im schönen und
grundguten Österreich nix Pöhses tun können!
- KI (reicht eigentlich schon für negativ xD) soll unter anderem bei der
automatisierten Erkennung von Dialekten bei Asylsuchenden eingesetzt
werden. Moment mal, da war doch grad was dazu, oder?
Wenn jemand von euch Interesse hat, sich mit diesen Dingen mehr zu
beschäftigen: Es gibt aktuell eine Arbeitsgruppe im C3W, die eine
Stellungnahme zum Regierungsprogramm verfassen will. Das nächste Treffen
wird auf
https://c3w.at/events/ veröffentlicht, sobald es feststeht bzw.
könnt ihr natürlich auch einfach beim nächsten Caffeine am 21.01.
anwesend sein und sagen, dass ihr mitmachen wollt :)
--------------------------------------------------
<https://futurezone.at/netzpolitik/3-gute-und-schlechte-nachrichten-beim-digitalprogramm-der-regierung/400719522>
*** SHA-mbles: Erste Chosen-Prefix Kollision für SHA-1 veröffentlicht ***
--------------------------------------------------
Zwei Researcher aus Frankreich und Singapur haben als Erste eine
Chosen-Prefix Kollision für SHA-1 gefunden. Als Beispiel haben sie zwei
verschiedenen PGP-Schlüssel mit kollidierenden Zertifikaten erstellt. Es
sei aber angemerkt, dass das bei GPG 1.4 funktioniert hat, dessen
letztes Update aus 2015 stammt.
--------------------------------------------------
<https://sha-mbles.github.io/>
<https://eprint.iacr.org/2020/014.pdf>
*** SSH Pentesting Guide ***
--------------------------------------------------
Ein kleiner Guide, der erklärt, wie eins SSH pentesten kann und auch auf
häufige Fehler in der Serverkonfiguration eingeht.
--------------------------------------------------
<https://community.turgensec.com/ssh-hacking-guide/>
*** Googles Project Zero ändert seine Disclosure Richtlinien ***
--------------------------------------------------
Der Hauptpunkt dabei: Sicherheitslücken werden von nun an immer erst 90
Tage nach der Disclosure veröffentlicht und nicht sobald der Patch
erschienen ist. Die Hoffnung dabei sind bessere Qualität bei den
Patches, da es möglich ist, noch nachzubessern und dass die Patches beim
Veröffentlichen der Lücke bereits großflächig eingespielt sind.
--------------------------------------------------
<https://googleprojectzero.blogspot.com/2020/01/policy-and-disclosure-2020-edition.html>
<https://www.golem.de/news/project-zero-googles-bug-jaeger-wollen-weniger-schludrige-patches-2001-145943.html>
*** Produktkatalog einer Überwachungsfirma per Informationsfreiheit ***
--------------------------------------------------
Die US NGO Open The Government hat bei einer Polizeibehörde den
Produktkatalog der Firma "Special Services Group" angefordert, den diese
unter Verschluss hält. Wolltet ihr nicht auch immer schon
Überwachungskameras in Staubsaugern mit 1TB Festplatten? Witzig zu
lesen, for some definition of "witzig".
--------------------------------------------------
<https://www.golem.de/news/special-services-group-wenn-die-ueberwachungskamera-im-grabstein-steckt-2001-145988.html>
<https://www.vice.com/en_us/article/qjdp95/this-secretive-surveillance-company-is-selling-cops-cameras-hidden-in-gravestones>
*** Cable Haunt -- Branded Vulnerabilities jetzt auch für Modems ***
--------------------------------------------------
Die dänische IT-Security Firma Lyrebirds hat eine Schwachstelle in
Kabelmodems gefunden, die möglicherweise relativ weit verbreitet ist.
Hatte leider noch keine Zeit, das Paper zu lesen, aber wenn ihr das tut,
freu ich mich über Feedback :) Immerhin ist ein Skript dabei, mit dem
eins das eigene Modem testen kann; ACHTUNG: Das fragt euch am Ende, ob
ihr die Ergebnisse an Lyrebird schicken wollt, also wenn ihr das nicht
wollt, löscht den Teil vom Skript vlt einfach raus, bevor ihr es laufen
lasst und erspart euch das Ablehnen ;)
--------------------------------------------------
<https://cablehaunt.com/>
LG,
dimir