Liebe Freund*innen und Angehörige des Wiener Chaos,
der Newsletter für die Woche vom 11.11.2019 bis 17.11.2019.
Inhalt:
- Gesichtserkennung wird in AT bald Beweismethode
- Ausweitung des Staatstrojanereinsatzes in DE
- (Vorerst) keine Ende zu Ende Verschlüsselung für das Anwaltspostfach
in DE
- Deutsches Justizministerium will erweiterte DNA Analysen
- Rootkits and Other Backdoors
- Browser Fingerprinting: A survey
- Was UDP kann, kann TCP schon lange: (D)DoS mittels TCP Amplification
Attacks
- Die italienische 5 Sterne Bewegung und dieses Internet
*** Gesichtserkennung wird in AT bald Beweismethode ***
--------------------------------------------------
Seit April 2019 steht fest, dass die Poizei in AT vorhat,
Gesichtserkennung als Beweismethode bei Straftaten einzusetzen. Der
Plan: Werden Kriminelle bei einer Straftat gefilmt, werden aus den
Aufnahmen der Kamera(s) Bilder der Gesichter extrahiert und diese mit
jenen einer Datenbank verglichen, in der Bilder von erkennungsdienstlich
erfassten Personen gespeichert sind. Bei den Kameras muss es sich nicht
um Überwachungskameras handeln, Daten von Smartphones oder anderen
Geräten sind ebenso möglich.
Die Schwere der Straftat ist beim Einsatz dieser Technik übrigens völlig
egal, es muss aber eine "gerichtlich strafare, vorsätzliche Straftat"
sein -- ob sich das bei beliebigen Aufnahmen zweifelsfrei feststellen
lässt, sei mal dahingestellt. Gerade zu einer Zeit, in der "Deep Fakes"
immer problemloser hergestellt werden können, muss bei der Akzeptanz von
Aufnahmen von Smartphones oder ähnlich vertrauenswürdigen (IoT-)Geräten
von Anfang an geklärt werden, wie die Behörden sicher gehen können, dass
es sich nicht um eine Fälschung handelt bzw. zumindest klar geregelt
sein, welche Schritte unternommen werden, um die Echtheit zu überprüfen.
Im Artikel wird das allerdings gar nicht thematisiert.
Grundsätzlich ist dieser Einsatz von Gesichtserkennung imho nicht die
dümmste Idee aus diesem Gebiet, die ich in den letzten Jahren gelesen
hab', aber wirklich durchdacht erscheint sie auch nicht und die Aussage,
dass das ja nur ein "Ermittlungsansatz" sei, halte ich für schwer
fragwürdig. Das mag zwar theoretisch nett klingen, de facto ist aber wie
z.B. beim AMS-Algorithmus zu vermuten, dass Beamt*innen, die der
Empfehlung der Software nicht nachgehen wollen, dies auführlich
begründen werden müssen, während einfaches Befolgen der
Computerempfehlung keine Mehrarbeit bedeuten wird.
Auch der Umstand, dass eine Echtzeit-Überwachung mit der aktuellen
Software und Gesetzeslage nicht machbar wäre, sagt wenig aus; dazu
bleibt nur das Zitat von Epicenter.works in dem Artikel zu zitieren:
"[A]us der Vergangenheit wissen wir, dass solche Eingriffe bzw.
Befugnisse meist nach und nach ausgeweitet werden."
--------------------------------------------------
<https://orf.at/stories/3143858>
*** Ausweitung des Staatstrojanereinsatzes in DE ***
--------------------------------------------------
Wenn wir schon beim Befugnisse ausdehen sind: Die große Koalition in
Deutschland hat jetzt beschlossen, dass der Staatstrojaner nicht nur im
Falle von Verdacht auf Bandendiebstahl eingesetzt werden darf, sondern
sich künftig auch gegen als Einzeltäter*innen verdächtigte Personen
richtet. Grund: Bei wiederholten Einbrüchen müssen ja die Waren auch
wiederholt angeboten und verkauft werden und dabei "steht zu erwarten",
dass das über Telekommunikationskanäle stattfindet, was deren
Überwachung rechtfertigt.
Ist auch sicher ganz klar die einzige Möglichkeit, Einbrecher*innen
dingfest zu machen, andere Wege stehen der Exekutive zu wenige offen und
Kriminelle haben ja sicher immer super OpSec, drum ist eine solche
Maßnahme wahrscheinlich sogar *alternativlos*.
--------------------------------------------------
<https://www.golem.de/news/wohnungseinbrueche-koalition-findet-neue-begruendung-fuer-staatstrojaner-einsatz-1911-144996.html>
*** (Vorerst) keine Ende zu Ende Verschlüsselung für das Anwaltspostfach
in DE ***
--------------------------------------------------
Das "besondere elektronische Anwaltspostfach" ist der Idee nach eine
schöne Sache: Anwält*innen in Deutschland sollen mit dieser speziellen
E-Mail-Plattform "sicher" mit Justiz, Behörden und untereinander
kommunizieren können und müssen das seit 2018-01-01 auch, zumindest
"passiv". Mit Ruhm hat sich Umsetzung aber bisher nicht bekleckert; so
kam z.B. im August 2019 heraus, dass die Software leider nicht mit
Umlauten umgehen kann (hätte ja auch im Deutschen niemand mit Umlauten
rechnen können!!11einself) und dabei so dämlich failed, dass die/der
Sender*in eine Bestätigung der Zustellung erhält, während auf der
Empfangsseite nie etwas ankommt -- hat aber nur ein paar
Gerichtsverfahren um teilweise Monate verzögert, also kein Problem. Die
Lösung des ganzen war übrigens nicht, die Software anzupassen -- wo
kämen wir denn da hin -- sondern Nutzer*innen verstärkt darauf
hinzuweisen, dass die Verwendung von Umlauten pöhse ist. Wer genug
Hinweise erhalten hat und trotzdem Umlaute verwendet, ist dann für die
eventuellen Folgen auch haftbar -- klares :thumbsup: für diese
Professionalität.
Nun haben einige Rechtsanwält*innen per Klage gefordert, dass das Ding
zumindest Ende zu Ende Verschlüsselung kann, weil die Spezifikation das
ihrer Ansicht nach so vorschreibt. Der Amtsgerichtshof Berlin hat diese
Klage jetzt aber abgewiesen, allerdings ist eine Revision vor dem
deutschen Bundesgerichtshof zu erwarten -- es bleibt also spannend mit
diesem Stück Qualitätssoftware.
--------------------------------------------------
<https://www.golem.de/news/bea-besonderes-elektronisches-anwaltspostfach-kann-kein-deutsch-1908-142978.html>
<https://www.golem.de/news/anwaltsgerichtshof-keine-ende-zu-ende-verschluesselung-fuers-anwaltspostfach-1911-144991.html>
*** Deutsches Justizministerium will erweiterte DNA Analysen ***
--------------------------------------------------
Eine erweiterte DNA Analyse ist eine, bei der aus der DNA mithilfe
statistischer Methoden auch Rückschlüsse auf Merkmale wie Augen-, Haar-
und Hautfarbe gezogen werden können. Theoretisch zumindest. Faktisch ist
die Technik noch eher in den Kinderschuhen; die Wissenschaftlerin Prof.
Dr. Veronika Lipphardt sagt im Interview mit
Netzpolitik.org "DNA ist
ein hochkomplexes Gebilde und WissenschaftlerInnen müssen ungeheuer
vielseitige Fähigkeiten haben, um diese Informationen interpretieren zu
können."
Na dann kann ja nix mehr schiefgehen, wenn das in Zukunft sämtliche
Polizist*innen machen dürfen...
--------------------------------------------------
<https://netzpolitik.org/2019/dna-ist-kein-augenzeuge-der-eine-aussage-machen-moechte/>
*** Rootkits and Other Backdoors ***
--------------------------------------------------
Guter Überblicksartikel zu den verschiedenen Arten von Rootkits und
Backdoors auf Linux/UNIX Systemen:)
--------------------------------------------------
<https://capsule8.com/blog/dont-get-kicked-out-a-tale-of-rootkits-and-other-backdoors/>
*** Browser Fingerprinting: A survey ***
--------------------------------------------------
Eine überarbeitete Version von einem bereits im Mai 2019 erstmals
veröffentlichtem Paper, das sich damit auseinandersetzt, was unter dem
Schlagwort "Browser Fingerprinting" eigentlich zu verstehen ist, welche
Techniken dabei zum Einsatz kommen und mit welcher Genauigkeit welche
Aussagen damit gemacht werden können. Ich bin noch nicht ganz durch, ist
aber auf jeden Fall ein lesenswerter Startpunkt, wenn ihr euch mit dem
Thema genauer auseinandersetzen möchtet, v.a. auch deshalb, weil die
bisherige Literatur dazu ausgiebig besprochen wird.
--------------------------------------------------
<https://arxiv.org/abs/1905.01051>
*** Was UDP kann, kann TCP schon lange: (D)DoS mittels TCP Amplification
Attacks ***
--------------------------------------------------
Ok, auch TCP kann für Amplification Attacks genutzt werden -- war mir
neu, aber ist recht einfach nachvollziehbar. Die viel spannendere Sache
ist aber die menschliche Komponente daran: Die Netzwerke, die als
Reflektoren missbraucht wurden, wunderten sich, warum sie plötzlich
größere Mengen von Traffic der Opfer-Netzwerke bekamen und reagierten
mit einer relativ simplen Lösung: Blacklisting. Das führte dann wiederum
zu einem umso effizienteren (D)DoS-Angriff gegen die Opfer, die
plötzlich auf zahlreichen Blacklists standen, ohne das zu wissen bzw.
den Grund dafür zu kennen. Ob das von den Angreifer*innen genauso
geplant war oder nicht, es ist jedenfalls (traurigerweise) ziemlich
gewieft.
--------------------------------------------------
<https://blog.radware.com/security/2019/11/threat-alert-tcp-reflection-attacks/>
*** Die italienische 5 Sterne Bewegung und dieses Internet ***
--------------------------------------------------
(Fast) ohne Worte; lest den Artikel, wenn ihr was zum Lachen (oder
Weinen) haben wollt: Von uralt CMS bis zur Sicherheit durch Blockchain
ist alles dabei xD
--------------------------------------------------
<https://heise.de/-4586430>
LG,
dimir