Liebe Freund*innen und Angehörige des Wiener Chaos,
Der Newsletter für die Woche vom 10.06.2019 - 16.06.2019. Es war richtig
viel los, darum sind es diesmal ein paar mehr Einträge als die letzten Male.
Inhalt:
- The Predator in Your Pocket: Citizen Lab veröffentlicht Studie zur
Stalkerware-Industrie
- The Dawn of Robot Surveillance: Die ACLU veröffentlicht eine
Übersicht zu Trends und Gefahren in der Videoüberwachung
- Troy Hunt stellt Have I been Pwned zum Verkauf
- Google ist kein Telekommunikationsanbieter sagt der EuGH
- Missing Link: Technologie-Rekuperation, oder: Wie subversive
Technologien absorbiert werden
- The Intercept wurde nach Berichten über Spionagetätigkeiten offenbar
selbst zum Ziel
- Tracking the Pixels: Detecting Web Trackers via Analyzing Invisible
Pixels
- Small World with High Risks: A Study of Security Threats in the npm
Ecosystem
- Mehr Side-Channel Attacken braucht das Land! Meet Rambleed
- Petition für ein Transparenzgesetz in Österreich
*** The Predator in Your Pocket ***
--------------------------------------------------
Das kanadische Citizen Lab hat eine etwa 160 Seiten lange Studie zur
Stalkerware-Industrie vorgelegt. Dabei handelt es sich um Software für
Smartphones, die von Privatpersonen eingesetzt werden kann, um andere zu
überwachen und zu verfolgen. Der Bericht beleuchtet einerseits die
technischen Fähigkeiten von Stalkerware, wie die Firmen Search Engine
Optimization nutzen, wie ihre Policys für Endkunden gestaltet sind und
wie es generell mit der Legalität solcher Programme in Kanada ausschaut.
Eine umfassende Analyse der rechtlichen Aspekten bietet der ebenfalls
diese Woche erschienene, knapp 200-seitige Bericht "Installing Fear. A
Canadian Legal and Policy Analysis of Using, Developing, and Selling
Smartphone Spyware and Stalkerware Applications."
Auch wenn das viel Text ist und ich bisher gerade einmal das erste
Kapitel von sechs geschafft habe: Das Lesen lohnt sich auf jeden Fall! :)
--------------------------------------------------
https://citizenlab.ca/2019/06/the-predator-in-your-pocket-a-multidisciplina…
https://citizenlab.ca/docs/stalkerware-legal.pdf
*** The Dawn of Robot Surveillance ***
--------------------------------------------------
Die American Civil Liberties Union (ACLU) fasst in etwa 50 Seiten die
aktuellen Entwicklungen auf dem Gebiet der Videoüberwachung,
insbesondere der Kombination von Videoanalyse und AI zusammen. Dabei
wird der Fokus auf Missbrauchsmöglichkeiten dieser Technologien gelegt.
Wer 50 Seiten Spaß und Freude will, sollte sich davon fernhalten; wer
wissen will, was technisch schon alles möglich ist und in welche
Richtungen geforscht wird, sollte das auf jeden Fall lesen, auch wenn
danach erstmal in der Ecke sitzen und weinen angesagt ist...
--------------------------------------------------
https://www.aclu.org/report/dawn-robot-surveillance
*** Troy Hunt stellt Have I been Pwned zum Verkauf ***
--------------------------------------------------
Auch wenn es offenbar nicht allen klar war: Troy Hunt hat *alles* an
Have I been Pwned bisher alleine und in seiner Freizeit betrieben.
Dieser Selbstausbeutung will er jetzt ein Ende machen und sucht aktuell
nach Firmen, mit denen er HIBP weiter ausbauen kann -- also ja, er wird
Teil davon bleiben, aber nicht mehr alle Arbeit machen. Das ganze läuft
unter dem Namen "Project Svalbard".
--------------------------------------------------
https://www.troyhunt.com/project-svalbard-the-future-of-have-i-been-pwned/
*** Google ist kein Telekommunikationsanbieter sagt der EuGH ***
--------------------------------------------------
Die deutsche Bundesnetzagentur wollte Googles gmail-Dienst als
elektronischen Telekommunikationsdienst klassifizieren. Nach einem
Einspruch von Google ging die Debatte zum EuGH, der die Sichtweise der
Bundesnetzagentur nicht teilt.
--------------------------------------------------
https://orf.at/stories/3126635/
*** Missing Link: Technologie-Rekuperation, oder: Wie subversive
Technologien absorbiert werden ***
--------------------------------------------------
Ein kleiner Beitrag über die Fähigkeit des Kapitalismus, Ideen, die sich
gegen ihn richten zu absorbieren und sie zu seinem Vorteil einzusetzen.
--------------------------------------------------
https://heise.de/-4446943
*** The Intercept wurde nach Berichten über Spionagetätigkeiten offenbar
selbst zum Ziel ***
--------------------------------------------------
Unglaublich, aber Spionagedienste finden es gar nicht so geil, wenn über
ihre Arbeit berichtet wird und kommen dann gern mal auf die Idee, sich
diese pöhsen Personen, die da frech supersaubere total unproblematische
Spionagedienste anpatzen, mal genauer anzusehen. Beim Intercept scheint
es zumindest Pläne in diese Richtung gegeben zu haben, Hinweise in den
eigenen Netzen konnte The Intercept aber nicht finden.
--------------------------------------------------
https://theintercept.com/2019/06/12/darkmatter-uae-hack-intercept/
*** Tracking the Pixels: Detecting Web Trackers via Analyzing Invisible
Pixels ***
--------------------------------------------------
Während die meisten Studien zu Web-Tracking auf Filterlisten
zurückgreifen, versucht diese Tracking Pixel über ihr Verhalten zu
erkennen -- mit dem (wenig überraschenden aber dennoch) erschreckenden
Ergebnis, dass solche Pixel auf über 94% der untersuchten Webseiten
vorhanden sind. Dabei werden auch verschiedene Methoden des
Pixeleinsatzes beleuchtet.
--------------------------------------------------
https://arxiv.org/abs/1812.01514
*** Small World with High Risks: A Study of Security Threats in the npm
Ecosystem ***
--------------------------------------------------
Spätestens seit dem Vorfall letzten November, bei dem ein von vielen
Programmen nachgeladenes Paket mittels Social Engineering (a.k.a. nett
nachfragen, ob der schon lange nicht mehr an dem Paket arbeitende
Maintainer diese Arbeit nicht vlt abgeben möchte) übernommen wurde und
anschließend Crypto-Währung-stehlender Code eingefügt wurde, ist klar,
dass npm-Ökosystem anfällig gegen solche Attacken ist. Wie groß die
Gefahr ist, die von der Übernahme einzelner Repos ausgeht und wie stark
die Community von der Integrität einzelner Maintainer*innen abhängt,
legt diese Studie offen und bietet auch einige Verbesserungsvorschläge.
--------------------------------------------------
https://www.theregister.co.uk/2018/11/26/npm_repo_bitcoin_stealer/
https://arxiv.org/abs/1902.09217
*** Mehr Side-Channel Attacken braucht das Land! Meet the Rambleed ***
--------------------------------------------------
Dass sich benachbarte Bits im RAM durch wiederholten Zugriff auf eine
Speicheradresse ändern lassen, ist schon lange bekannt und fungiert
unter dem Namen rowhammer. Nun ist es gelungen, über eine ähnliche
Technik den Inhalt von Bits auch auszulesen. Und weil Heartbleed so ein
schöner Name war, nennen wir das jetzt eben Rambleed. Mit Homepage, wie
es sich für eine gute Vulnerability im 21. Jahrhundert gehört.
--------------------------------------------------
https://rambleed.com/
https://heise.de/-4444825
*** Petition für ein Transparenzgesetz in Österreich ***
--------------------------------------------------
Es gibt derzeit eine Petition für ein Transparenzgesetz in Österreich.
Kann eins unterschreiben, sollte eins auch tun ;)
--------------------------------------------------
https://petition.informationsfreiheit.at/
LG,
dimir