Liebe Freund*innen und Angehörige des Wiener Chaos,
der Newsletter für die Woche vom 20.01.2020 bis 26.01.2020.
Inhalt:
- "Hacking-Gesetze" als Waffe gegen kritischen Journalismus
- Deutsches Innenministerium rudert bei automatischer
Gesichtserkennung zurück
- Was betroffene des Buchbinder Datenlecks tun können
- Aktuell viele E-Mails mit dem Trojaner Ursnif im Anhang
- Studie zur Effektivität von SIM-Swapping Attacken in den USA
- Internationaler Datenschutztag am 28.01.
-
WeLeakInfo.com beschlagnahmt
- Apple bietet auf Bitte des FBI kein Ende-zu-Ende verschlüsseltes
iCloud-Backup an
*** "Hacking-Gesetze" als Waffe gegen kritischen Journalismus ***
--------------------------------------------------
Die USA haben es gegen Julian Assange vorgemacht, Brasilien zieht jetzt
nach: Glenn Greenwald, der unter anderem mit Edward Snowden
zusammengearbeitet hat und dessen Informationen im Guardian
veröffentlicht hatte, wurde in Brasilien angeklagt "Cybercrimes"
begangen zu haben. Greenwald lebt bereits seit langem mit seinem Partner
in Brasilien, ist offen homosexuell und hat in der Vergangenheit die
Regierung des rechtsradikalen aktuellen Präsidenten Bolsonaro wiederholt
kritisiert.
Es zeigt sich also völlig überraschend, dass vage formulierte
Hacking-Gesetze zum Missbrauch einladen. Nein! Doch! Ohh... Für den
Fall, dass sich jemand mit der Problematik von Formulierungen in solchen
Gesetzen näher beschäftigen will, hab' ich noch einen etwas älteren
Beitrag der EFF zu dem Thema in Zusammenhang mit IT-Security
Researcher*innen und deren Rechts(un)sicherheit in verschiedenen nord-
und südamerikanischen Staaten als letzten Link angehängt.
--------------------------------------------------
<https://theintercept.com/2020/01/21/glenn-greenwald-brazil-denunciation/>
<https://www.eff.org/deeplinks/2020/01/when-computer-crimes-are-used-silence-journalists-why-eff-stands-against>
<https://netzpolitik.org/2020/brasilianische-regierung-will-glenn-greenwald-ins-gefaengnis-stecken/>
<https://www.theguardian.com/commentisfree/2020/jan/24/the-guardian-view-on-the-case-against-glenn-greenwald-an-outrage-in-brazil-and-beyond>
<https://www.eff.org/coders-rights-americas>
*** Deutsches Innenministerium rudert bei automatischer
Gesichtserkennung zurück ***
--------------------------------------------------
Nach massiver Kritik an Innenminister Seehofers Plänen, automatische
Gesichtserkennung auf zahlreichen Bahnhöfen und Flughäfen einzusetzen,
rudert das deutsche Innenministerium jetzt zurück und will das alles
nicht so gemeint haben. Die deutschen Grünen fordern indes ein
gesetzliches Verbot "intelligenter Gesichtserkennung", damit diese
Entscheidung nicht morgen wieder rückgängig gemacht werden kann, wenn
die großen Medien nicht mehr hinschauen.
In Kombination mit den Überlegungen der EU, den Einsatz derartiger
Software in der gesamten Union für einige Jahre zu verbieten, lässt das
ja fast hoffen, dass sich auf diesem Gebiet ein bisschen was zum Guten
ändern könnte.
--------------------------------------------------
<https://netzpolitik.org/2020/innenministerium-streicht-automatisierte-gesichtserkennung/>
*** Was betroffene des Buchbinder Datenlecks tun können ***
--------------------------------------------------
Die Autovermietung Buchbinder hat einen Server mit Kund*innendaten
wochenlang offen im Internet gelassen; die Daten sind also jetzt quasi
Allgemeingut und können von Kriminellen anderen <insert favorite
swearword here> missbraucht werden. Die c't hat einen Artikel verfasst,
in dem sie zeigt, was (potentiell) Betroffene tun können und welche
Ansprüche sie haben.
--------------------------------------------------
<https://heise.de/-4644140>
*** Aktuell viele E-Mails mit dem Trojaner Ursnif im Anhang ***
--------------------------------------------------
Derzeit gibt es zumindest in Deutschland eine Welle von vorgeblichen
Geschäftsmails, die in angehängten, passwortgeschützten ZIP-Archiven den
Banking-Trojaner Ursnif verbreiten. Das zugehörige Passwort findet sich
in der E-Mail selbst. Der Witz daran ist, dass so verhindert wird, dass
Anti-Viren-Programme das ZIP-Archiv untersuchen können, da sie die Mail
nicht verstehen -- also derzeit gilt "erst denken, dann klicken" doppelt! :)
--------------------------------------------------
<https://heise.de/-4643571>
<https://isc.sans.edu/forums/diary/German+language+malspam+pushes+Ursnif/25732/>
*** Studie zur Effektivität von SIM-Swapping Attacken in den USA ***
--------------------------------------------------
SIM-Swapping ist ein Angriff, bei dem Kriminelle gegenüber einem
Telekommunikationsanbieter behaupten, Sie seien Person XY, ihre
SIM-Karte sei kaputt und sie bitten daher darum, Anrufe/SMS/etc. auf
eine neue SIM-Karte umzuleiten. Opfer bekommen davon meistens nur mit,
dass ihr Telefon plötzlich nicht mehr zu funktionieren scheint, aber der
Grund dafür erschließt sich ihnen selten sofort. Auf diesem Weg können
Kriminelle z.B. Einmal-Passwörter, die per SMS geschickt werden, abfangen.
Eine Studie der Princeton University hat sich angesehen, wie effektiv
die Mechanismen der Telekommunikationsprovider sind, die diese Attacken
verhinden sollen. Aus dem Abstract: "We found that all five carriers
used insecure authen-
tication challenges that could be easily subverted by attackers." Und
jetzt tun wir alle mal so, als wären wir überrascht ^_^; Insgesamt zeigt
das Paper aber gut, dass es gar nicht so einfach ist, hier gute
Kontrollmechanismen zu entwickeln ;)
--------------------------------------------------
<https://www.schneier.com/blog/archives/2020/01/sim_hijacking.html>
<https://www.issms2fasecure.com/assets/sim_swaps-01-10-2020.pdf>
*** Internationaler Datenschutztag am 28.01. ***
--------------------------------------------------
Am Di, 28.01. ist internationaler Datenschutztag \o/ Der C3W wird dazu
ab 19:00 im Metalab sein und lädt alle Interessierten dazu ein, ihre
Fragen rund um Datenschutz und Auskunftsbegehren zu stellen -- Also wenn
du schonmal eine Anfrage nach DSGVO machen wolltest, aber nicht
wusstest, wie das geht: Komm vorbei! :)
--------------------------------------------------
<https://c3w.at/events/>
<https://www.openstreetmap.org/way/345700386>
***
WeLeakInfo.com beschlagnahmt ***
--------------------------------------------------
Das FBI hat in Zusammenarbeit mit der niederländischen und britischen
Polizei die Seite
WeLeakInfo.com beschlagnahmt, auf der sich jede*r für
2€/Tag Zugang zu über 12 Milliarden illegal erworbenen Zugangsdaten
beschaffen konnte. Die Seite bot auch ein "Service" à la HaveIBeenPwned
an, d.h. Besucher*innen konnten ihre Zugangsdaten eingeben, um angeblich
zu überprüfen, ob diese in öffentlich bekannten Leaks enthalten sind.
Während das bei HaveIBeenPwned ein legitimes Angebot ist, wurden die
Eingaben auf
WeLeakInfo.com allerdings den gestohlenen Zugangsdaten
hinzugefügt, d.h. wer hier Daten eingab, fielen Sie direkt in die Hand
von Kriminellen.
--------------------------------------------------
<https://heise.de/-4641513>
*** Apple bietet auf Bitte des FBI kein Ende-zu-Ende verschlüsseltes
iCloud-Backup an ***
--------------------------------------------------
Apple hatte anscheinend vor ein paar Jahren überlegt, Ende-zu-Ende
verschlüsselte Backups in der iCloud zu etablieren, ließ die Pläne dann
aber anscheinend wieder fallen, nachdem sich das FBI bei ihnen darüber
beschwerte, dass das Ermittlungsarbeiten erschweren würde.
--------------------------------------------------
<https://www.reuters.com/article/us-apple-fbi-icloud-exclusive-idUSKBN1ZK1CT>
LG,
dimir