Liebe Freund*innen und Angehörige des Wiener Chaos,
der Newsletter für die Woche vom 09.03.2020 bis 15.03.2020, ein wenig
Lesestoff, um die Maßnahmen der COVID 19 Eindämmung besser zu
überstehen. Passt auf euch und bleibt gesund! :)
Inhalt:
- EARN IT: Frontalangriff auf Verschlüsselung (durch die Hintertür)
- Neue alte Lücke in AMD CPUs
- Tor Bug der JavaScript-Ausführung ermöglicht
- Aus der Kategorie WTF: Deutscher Wetterdienst darf keine kostenlosen
Wetterberichte per App anbieten
- Artikelsammlung zur Visualisierung der COVID 19 Pandemie
- Datenleak bei Chat-App Whisper
- Europäische Kriminalämter teilen jetzt auch Gesichtsbilder
*** EARN IT: Frontalangriff auf Verschlüsselung (durch die Hintertür) ***
--------------------------------------------------
Der EARN IT Act ist der neueste Angriff derer, die Ende-zu-Ende
Verschlüsselung gerne tot sehen wollen: Unter dem (zuvor noch nie
benutzten) Vorwand, etwas gegen Kinderpornographie zu tun, soll hier ein
Kommittee in den USA eingerichtet werden, das "best practices" für
Anbieter*innen von Online-Plattformen rechtlich festlegt und auch prüfen
soll. Diese "best practices" wären dann gleich geltendes Recht, d.h.
Unternehmen, die sie nicht umsetzen, müssen mit hohen Strafen rechnen.
Mir bleibt nur Matthew Green zu zitieren:
So in short: this bill is a backdoor way to allow the government to ban
encryption on commercial services. And even more beautifully: it doesn't
come out and actually ban the use of encryption, it just makes
encryption commercially infeasible for major providers to deploy,
ensuring that they'll go bankrupt if they try to disobey this
committee's recommendations.
Aua, einfach nur aua.
--------------------------------------------------
<https://www.schneier.com/blog/archives/2020/03/the_earn-it_act.html>
<https://blog.cryptographyengineering.com/2020/03/06/earn-it-is-an-attack-on-encryption/>
*** Neue alte Lücke in AMD CPUs ***
--------------------------------------------------
Und wieder einmal gibt's einen Angriff gegen CPUs, mit deren Hilfe der
Level 1 Data-Cache ausgelesen werden kann. Diesmal betrifft das Problem
aber nichtIntel CPUs, sondern jene von AMD. AMD sagt allerdings dazu,
dass die Lücke gar nicht neu ist und von bestehenden Updates bereits
verhindert wird.
--------------------------------------------------
<https://heise.de/-4678823>
*** Tor Bug der JavaScript-Ausführung ermöglicht ***
--------------------------------------------------
Es Bug bei NoScript hat dazu geführt, dass bei der Sicherheitsstufe
"Safest" teilweise JavaScript ausgeführt wurde, das nicht hätte
ausgeführt werden sollen. Er sollte mittlerweile behoben sein.
--------------------------------------------------
<https://blog.torproject.org/new-release-tor-browser-906>
<https://www.zdnet.com/article/tor-team-warns-of-tor-browser-bug-that-runs-javascript-on-sites-it-shouldnt/>
*** Aus der Kategorie WTF: Deutscher Wetterdienst darf keine kostenlosen
Wetterberichte per App anbieten ***
--------------------------------------------------
Der deutsche Wetterdienst hat einige Informationen über das Wetter in
Deutschland, darf kostenlos aber nur Infos über Wetterwarnungen zur
Verfügung stellen. Das bestätigt jetzt auch der deutsche
Bundesgerichtshof, nachdem WetterOnline geklagt hatte, dass kostenlose
Wetterinformationen "wettbewerbswidrig" seien. Der deutsche Wetterdienst
müsse entweder Geld verlangen oder Werbung schalten, damit das Angebot
akzeptabel ist o.O
--------------------------------------------------
<https://netzpolitik.org/2020/deutscher-wetterdienst-darf-keine-kostenlosen-wetterberichte-per-app-anbieten/>
*** Artikelsammlung zur Visualisierung der COVID 19 Pandemie ***
--------------------------------------------------
Netzpolitik.org hat eine kleine Sammlung von Artikeln zusammengestellt,
die sich mit der Visualisierung der aktuellen Pandemie beschäftigen und
einiges an Hintergrundinfos bieten.
--------------------------------------------------
<https://netzpolitik.org/2020/so-veranschaulichen-datenjournalistinnen-das-coronavirus/>
*** Datenleak bei Chat-App Whisper ***
--------------------------------------------------
Die App Whisper ermutigt Nutzer*innen dazu, unangenhme Dinge auf dieser
angeblich anonymen Social-Media Plattform zu veröffentlichen. Dass das
prinzipiell keine gute Idee ist, ist euch wahrscheinlich ohnehin allen
klar und auch, dass die natürlich Unmengen von Daten über ihre
Nutzer*innen sammeln, auch wenn sie keine Klarnamen verlagen.
Naja, jedenfalls haben Researcher*innen und Journalist*innen
herausgefunden, dass eine Datenbank mit Informationen über die
Nutzer*innen von Whisper mit lächerlichen 900 Millionen Datenpunkten aus
dem öffentlichen Internet ohne jede Authentifikation einsehbar war.
Durch die Metadaten ist es unter Umständen auch möglich, die jeweilige
Person, die hinter einem Profil steht, zu identifizieren.
Mittlerweile ist die Datenbank nicht mehr zugänglich, aber ob und wer
die Daten schon hat, ist natürlich unklar.
--------------------------------------------------
<https://heise.de/-4681453>
<https://www.theregister.co.uk/2020/03/11/secret_sharing_app_whisper_shared_secrets_in_exposed_database/>
<https://www.schneier.com/blog/archives/2020/03/the_whisper_sec.html>
*** Europäische Kriminalämter teilen jetzt auch Gesichtsbilder ***
--------------------------------------------------
Die europäischen Kriminalämter haben sich darauf geeinigt, auch
Gesichtsbilder grenzübergreifend zu teilen, die Speicherung soll aber
lokal bleiben. Einzelne Abfragen sollen dabei auf 100 Personen
beschränkt sein, diese Zahl kann aber evtl. jedes Land selbst festlegen.
--------------------------------------------------
<https://netzpolitik.org/2020/europaeische-kriminalaemter-einigen-sich-auf-gesichtserkennungssystem/>
LG,
dimir