Archiv für den Monat: Juli 2017

Apple wirft VPN-Apps aus dem chinesischen App-Store

Ende Januar hatte die chinesische Regierung bekanntgegeben: VPN-Anbieter brauchen ab sofort eine behördliche Genehmigung, wenn sie ihre Dienste fortführen wollen. Ein Schelm, wer Böses dabei denkt. Denn natürlich ist eine solche „Genehmigung“  in einem nicht-demokratischen Staat keine reine Formsache oder Qualitätskontrolle, sondern bedeutet: Vor dem mitlauschenden WLAN-Betreiber mag ein behördenkonformer VPN-Dienst vielleicht noch schützen, nicht aber vor der mitlauschenden Behörde.

Die wichtigsten, beliebtesten und von ihren Usern bislang als vertrauenswürdig eingeschätzten VPN-Apps, laut Informationen der BBC mindestens 60 an der Zahl, hat Apple jetzt aus dem chinesischen App-Store geworfen – sie enthielten, so die Erklärung des Unternehmens, „unzulässige Komponenten“. Soll heißen – sie hatten keine Genehmigung oder Zulassung und verstießen also gegen die gesetzliche Regelung. Apps müssen die gesetzlichen Bestimmungen des Landes einhalten, in dem sie verfügbar gemacht werden, zitiert Apple aus seinen Geschäftsbedingungen.

Und trotz dieser Erläuterungen: Natürlich steht der Vorwurf im Raum, Apple hätte Kotau vor einem Unrechtsregime gemacht, nur um sein Geschäft fortführen zu können. Das Unternehmen habe seinen eigenen Anspruch unterminiert, allen Begehrlichkeiten von Regierungen – demokratischen wie nicht-demokratischen – zu trotzen und die Sicherheit und Verlässlichkeit von iPhones und iOS und der damit abgewickelten Kommunikation zu schützen. Wie soll Apple in Zukunft – fragt Techcrunch – gegen die Entschlüsselungs- und Backdoor-Wünsche der eigenen Regierung argumentieren?

 

Die Kritik ist natürlich ganz und gar nicht abwegig, das Dilemma für Apple ist unverkennbar und schmerzhaft – und doch gibt es noch ein paar wichtige Details, warum ein Nachgeben auf einem einen Schauplatz noch nicht ein Einknicken auf der ganzen Linie bedeuten muss. Punkt eins: es macht einen gewaltigen Unterschied, ob es in einem bestimmten App-Store bestimmte Apps nicht mehr gibt – oder ob das ganze Betriebssystem kompromittiert ist. Punkt zwei: es macht einen gewaltigen Unterschied, ob ein Widerstand gegen eine unliebsame Regulation überhaupt Sinn macht.

Das hört sich opportunistisch an – aber einmal ganz ehrlich: Seit wann ist ein Unternehmen, dass seinen Aktionären Rechenschaft über den Geschäftserfolg schuldig ist, eine Freiheitskampf-Organisation? Sollten nicht alle deutschen (und amerikanischen…) Firmen alle Geschäftsbeziehungen zu China, zum Iran, vielleicht auch zur Türkei aus „moralischen Gründen“ abbrechen? Das ist relativ naiv und vielleicht auch einfach kontraproduktiv – und auf jeden Fall eine politische, nicht primär eine Entscheidung von Unternehmen – außer die „Moral-Dividende“ ist höher als der entgangene Gewinn 🙂 .

Ich bin ja selbst gespalten in der Sache: Von Google und Facebook erwarte ich einerseits, dass sich die Herrschaften gnädigerweise an deutsches oder europäisches Datenschutzrecht halten, wenn sie hier Geschäfte machen. Andererseits: Urteile wie das aus München, Wien oder aus Frankreich zur Löschpflicht bei Facebook und Google, demzufolge nationales Recht weltweit umzusetzen ist, die machen mir wieder Bauchschmerzen. Weil dann natürlich eigentlich auch Urteile aus Istanbul, Riad oder Pjöngjang weltweit umzusetzen wären. Im Moment versucht ja gerade Google, ein Urteil aus Kanada in den USA wieder kassieren zu lassen. 🙂

Warum dem lupenreinen Demokraten Vladimir Putin die VPNs ebenfalls ein Dorn im Auge sind, ist klar. Zumindest unsere Politiker im „freien Westen“ täten also gut daran, nicht unter der Flagge „Terrorbekämpfung“ in die gleichen Gefilde zu dampfen.

Virtual Private Networks: Apple wirft VPN-Apps aus dem chinesischen App-Store · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 31.07.2017 (Moderation: Till Haase)

Black Hat-Konferenz: Vom AKW bis zur Autowaschanlage lässt sich alles hacken

So manche Dinge sind offenbar ganz tief verwurzelt in den Gehirnen von Programmierern. Zum Beispiel, dass man in Steuerungssoftware unbedingt einen (aber natürlich nicht dokumentierten…) Admin- oder Superuseraccount einbauen muss . Am besten mit einem festen, hardcodierten Passwort wie „admin“ oder „12345“. Weil – ja weil? Ach ja, weil man dann, wenn der DAU-Kunde das System vermurkst hat, ganz easy von außen wieder alles in Ordnung bringen kann. Oder – na ja; irgendwie ist das auch ganz nett, da mal bei Bedarf reinzuschauen in so ein Kundensystem, vielleicht läuft da irgendwas interessantes ab. Oder vielleicht möchte man das System ja auch mal abschalten oder sabotieren. Oder so.

Mit anderen Worten: Immer wenn mal wieder eine Backdoor aufgedeckt wird, fragt man sich, ob die verantwortlichen Hersteller und Programmierer nur dämlich oder aber böswillig sind. Am besten ist natürlich, wenn sie ihre Hände in Unschuld waschen und die Verantwortung auf den Kunden schieben: „Klar ist da eine Backdoor drin. Aber das macht ja gar nix, das System wird ja auch immer nur hinter einer super-dichten Firewall betrieben. Und außerdem: Wer sollte schon auf die Idee kommen, Strahlenmessgeräte oder Autowaschanlagen hacken und manipulieren zu wollen?“

 

Genau. Da kommt nie im Leben einer auf die Idee. Man soll anderen Menschen ja nichts Böses wünschen. Aber wenn jetzt die Verantwortlichen für die Strahlenmess-Software von einer wahnsinnig gewordenen Waschwalze zerdrückt und die Waschanlagen-Programmierer durch rausgeschmuggeltes Plutonium verstrahlt würden, dann würde doch ganz bestimmt überall in der Welt ab sofort besserer Code geschrieben werden? OK, das war jetzt ein irrationales Gedankenspiel. Außerdem profitiere ich ja von der Schlamperei – da hat man immer etwas nett Gruseliges zu berichten 🙂 …

Black Hat-Hacker-Konferenz: AKW bis Waschanlage · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 28.07.2017 (Moderation: Diane Hielscher)

 

Nachklapp 31.07.2017: Ein Bericht bei Heise: „Reddoxx: Angreifer können TÜV-geprüfte Mail-Archivierungssoftware kapern„.

Weitere von RedTeam gefundene Lücken betreffen einen nicht dokumentierten Administrator-Account, mit dem Angreifer sich mit Admin-Rechten anmelden können.

Sag ich doch. Die Backdoor muss da einfach unbedingt rein in eine Software. Auch wenn die TÜV-geprüft ist.

World Socialist Web Site beklagt Besucherrückgang und „Zensur“ durch Google

Wir reden ja ab und zu über das legendäre „Darknet“, also jene geheimnisvollen Bereiche des Internets, die nur Eingeweihten bekannt und zugänglich sind. In Wirklichkeit beginnt das Darknet schon auf der dritten Trefferseite von Google. Denn – wer schaut sich schon die Suchergebnisse 30 bis 50 an, wenn er schon bei den Top Ten „fündig“ geworden ist? Soll heißen – wenn eine Webseite bei Google nur unter „ferner liefen“ gelistet wird, bekommt sie eben ziemlich wenig Besuch. Nach welchen Kriterien die Suchmaschine entscheidet, was top und was flop ist – darüber gibt es immer wieder Streit und Aufregung.

Aktuelles Beispiel: die „World Socialist Web Site“ klagt über einen heftigen Besucherrückgang und wirft Google Zensur vor. Zumindest die Zahlen sprechen eine deutliche Sprache – ganz offenbar hat der zurückgegangene Traffic etwas mit der Algorithmus-Nachjustierung zu tun, mit der Google – wie YouTube und Facebook auch – auf den Unmut der Werbekunden reagieren musste, die ihre Anzeigen nicht länger im Umfeld von Hatespeech, Verschwörungstheorien und Fake News platziert sehen wollten.

Ob Google aber – wie von der WSWS beklagt – wirklich eine eigene politische Agenda gegen „linke und progressive Websites“ von WikiLeaks bis hin zur „American Civil Liberties Union“ oder  „Amnesty International“ fährt, das wage ich einmal stark zu bezweifeln. Ich tippe eher – genau wie bei YouTube – auf eine blöde bzw. übereifrige KI. Denn nach wie vor liegt die im wesentlichen auf bestimmte Stichworte anschlagende „intelligente“ semantische Analyse gerne noch ziemlich daneben in der Einschätzung, um was es in einem Artikel oder auf einer Website tatsächlich geht.

Google dürfte Vorwürfe wie von der WSWS in eigenem Interesse durchaus ernst nehmen – letztlich beruhen alle mittlerweile mit (auch nicht mehr aus der Portokasse zu zahlenden…) Strafandrohungen bewehrte Vorwürfe auf der gleichen juristischen Position: Ein Monopolist muss allen Akteuren Chancengleichheit bieten und darf nicht das eigene Geschäft oder die eigene Position bevorteilen. Dass mittlerweile sogar die Psycho-Truppe aus dem IrrenWeißen Haus regulierend in das Geschäft der Netz-Giganten eingreifen möchte, das sollte doch als Anreiz zu strengster Neutralität ausreichen 🙂 …

Deutschlandfunk Nova – Hielscher oder Haase vom 28.07.2017 (Moderation: Diane Hielscher)

Nachklapp 31.07.2017 – Jens Berger von den Nachdenkseiten hat sich einmal die Mühe gemacht und nachgeprüft, ob die von der WSWS aufgestellten Vorwürfe nachvollziehbar sind – sein (von der politischen Richtung her ja sehr unverdächtiges 🙂 …) Fazit: Eigentlich nicht.

Drohnen-App der DFS: Service-Angebot oder Zwangsregistrierung?

Bei Drohnen – oder für die Schlaumeier und Besserwisser 🙂 – bei Koptern: Da gibt es ja die ganze Palette vom Billig-Spielzeug fürs Wohnzimmer bis hin zu richtig dicken Brummern für professionelle Luftbildaufnahmen. Ganz ungefährlich sind die Dinger ja auch nicht, vor allem die dicken Brummer – und deswegen muss man auch diverse Vorschriften beachten. Die DFS, die Deutsche Flugsicherung hat jetzt eine kostenlose App rausgebracht, die einen bei der Einhaltung dieser Vorschriften unterstützen will – nur stößt die bei eigentlich interessierten Usern auf sehr wenig Gegenliebe.

Es gibt ja, was alle Drohnen- oder Kopter-Piloten und Pilotinnen wissen sollten, bestimmte Gebiete, die nicht oder nur eingeschränkt überflogen werden dürfen,  z.B. Flughäfen, Krankenhäuser, Industrie- und Energieanlagen oder Naturschutzgebiete – das ist in der Drohnen-Verordnung geregelt, die ja im April in Kraft gesetzt worden ist. Und Hinweise dazu, mit „interaktivem Kartenmaterial aus amtlichen Quellen“ gibt es in der DFS-App für iOS oder Android. Soweit, so gut, so kostenlos.

 

Bevor man die App nutzen kann, muss man sich allerdings registrieren; und seine Drohne auch, und jede Flugbewegung soll man doch bitte schön auch gleich an die DFS-Server übermitteln – ist der Start jetzt für „Hobby und Sport“, „Photo und Video“, „Behördliche Aufgaben“ erfolgt; oder aber für einen Terror-Anschlag oder eine Pizza-Auslieferung? Ganz klar – die App ist kein niedrigschwelliges Info-Angebot für kooperative und gutwillige Drohnenfreunde, sondern quasi das, was die DFS ohnehin eigentlich für alle Drohnen gerne hätte: Eine (in dem Fall dann freiwillige…) Pflichtregistrierung und ein freiwillig erstelltes Flugprotokoll. (Das man übrigens, so die DFS-Pressemitteilung, z.B. durch einen implantierten Mobilfunkchip automatisch erzeugen bzw. übermitteln könnte…)

Der Witz ist nur: Für Mini-Drohnen ist die von der DFS erwünschte Registrierungspflicht eben nicht vorgeschrieben; wer ein (tatsächlich oder vermeintlich…) harmloses Hobby betreibt, möchte nicht sofort im vollen Umfang der behördlichen Flugsicherung zwangsreguliert werden. Andererseits – auch die DFS-Position ist ziemlich nachvollziehbar: Wenn ich in einem Flugzeug sitze, möchte ich auch nicht wegen einer ins Triebwerk geratenen Dohne abstürzen, dessen Eigner hinterher stammelt: „Oh Entschuldigung, das hab ich nicht gewusst.“

Und trotzdem – wenn die App der DFS vielleicht etwas zurückhaltender wäre mit der Daten-Sammelei, dann würde sie wahrscheinlich öfter installiert werden und mehr positiven Effekt haben.

Deutsche Flugsicherung: Drohnen-App · Deutschlandfunk Nova

DLF Nova – Hielscher oder Haase vom 27.07.2017 (Moderation: Diane Hielscher)

Milliarden-Geldwäsche: Bitcoin-Mixing-Dienste im Fokus der Ermittlungsbehörden

Wer smart ist und einen schnellen PC hat, kann  versuchen, Cyber-Kohle  selbst zu „schürfen“, das ist dann digitales Gelddrucken. (Ether ist noch für Amateure machbar, Bitcoin nur noch für Profis mit Spezial-Hardware und Billig-Strom…) Und wer mehr als smart ist, sagen wir einfach mal: kriminell, für den sind Cyber-Währungen auch etwas sehr feines: Da kann man nämlich relativ anonym mit bezahlen oder bezahlt werden, für krumme Geschäfte aller Art. Aber die Betonung liegt auf relativ anonym – denn allmählich werden auch Ermittlungsbehörden etwas fitter darin, Licht in dunkle Transaktionen zu bringen.

Vor kurzem war der Betreiber der Darknet-Plattform AlphaBay aufgeflogen und verhaftet worden. Jetzt gab es eine weitere spektakuläre Festnahme – die griechische Polizei hat einen russischen Staatsbürger namens Alexander V. verhaftet, auf Betreiben des US-Justizministeriums und diverser Ermittlungsbehörden. Der Vorwurf lautet: Geldwäsche in Milliardenumfang. Was die Sache noch pikanter macht: Möglicherweise ist V. auch verantwortlich für den legendären Hack bzw. die Insider-Abzocke bei der Bitcoin-Börse Mt.Gox. Auf der von V. betriebenen russischen Bitcoin-Börse BTC-e  hat sich offenbar das Gros der Ransomware-Abzocker ein Waschkonto eingerichtet.

Da mag man dann – trotz aller Liebe zu hehren Werten wie Anonymität und Freiheit im Internet – nicht mehr so ganz ungetrübt in das Horn derjenigen blasen, die die Verbindung Cyberwährung – Cyberkriminalität für eine ganz marginale Randerscheinung erklären. Das alles sehen offenbar die Betreiber des Mixing-Dienstes Bitmixer.io jetzt auch mit anderen Augen – oder sie haben Muffensausen bekommen 🙂 …

Deutschlandfunk Nova – Hielscher oder Haase vom 27.07.2017 (Moderation: Diane Hielscher)

Internet-Ordnung in Gefahr: Gangnam Style braucht eure Solidarität!

Es gibt ja diese ganzen popularitätsfeindlichen Bedenken; wenn ich ganz ehrlich bin, habe ich die zuweilen auch vorgebracht. Also so was wie: „Vox populi, vox Rindvieh“. (Lieblingsspruch meines Lateinlehrers, Herr Erdmann.) Oder wie: „Fresst Scheiße, Millionen Fliegen können (sich) nicht irren!“ Oder so. Ist ja alles schön und gut. Aber dass „Gangnam Style“ der gigantische, epische Überflieger und lange, lange Zeit die Nummer Eins der YouTube-Charts war, das hat ja sehr gute Gründe.

Erst mal singt da ein nach herkömmlichen Maßstäben nicht unbedingt wahnsinnig gut aussehender Typ

in einer (jedenfalls für den Rest der Welt…) etwas exotischen Sprache herum. Das Video ist auch jetzt nicht irgendwie sensationell in dem Sinne, dass da Atomraketen aufsteigen oder extraterristische Vulkanausbrüche nahtlos in vereisende Walgesänge übergehen. Oder sonst irgendein theatralischer Kitsch. Dafür liefert Gangnam Style aber erstens eine astreine Choreografie mit sehr innovativen Elementen wie Lassoschwingen, Hüftkreisen und Kniewippen, was unzählige Arbeitsplätze in der Tanz-Ausbildungsszene gesichert hat.

Zweitens liefert Gangnam Style die perfekte Vorlage für unzählige wunderbare Parodien und Variationen; das gilt übrigens auch für die weiteren herrlichen Kreationen des südkoreanischen Schöpfers Psy. (Ich bin übrigens absolut sicher, dass der schmerbäuchige und feistgesichtige („Hey! Where did you get that body from? I got it from my DAD!“) Lenker des nordkoreanischen Bruderstaats, mein ganz besonderer Freund Kim Jong Un, ein Fan von Psy und von Gangnam Style und dessen weiteren herrlichen Kreationen ist. „Korean Style“ ist eben nicht nur Süd-Korean-Style. „Mother Fucka Father Gentleman.“

Aber vor allen Dingen: Gangnam Style hat eine der herrlichsten, wichtigsten und effektvollsten Pausen der Musikgeschichte. „Ticke-ticke-ticke-ticke-ticke-ticke-ticke-ticke-ticke-tay… (Pause. Nix. Pause. Pause. Immer noch Pause. Nix. Pause.)

(W)oppan Gangnam Style.“ Jetzt hat angeblich irgendein sentimentales Stück mit auf eine bestimmte Person bezogener rührender, aber letztlich fragwürdiger Jenseits-Romantik den Spitzenplatz der YouTube-Charts übernommen. Das Stück, das ich jetzt hier gar nicht verlinken will, wird angeblich gerne bei Beerdigungen gespielt. Ok, ok. Ich respektiere die situationsgebundene Betroffenheit und emotionale Befindlichkeit – aber die sollte nicht eine solche dramatische Auswirkung haben. Trauern ist ok, aber trauern ist nicht der Haupt-Impetus im Leben. (Das wäre jedenfalls ziemlich depressiv.)

Gegenbeispiel: Da soll da noch ein fröhliches Reggae-Stück im Anmarsch auf die Top-Position bei YouTube sein, das ich natürlich auch nicht verlinke. Da ist die Stimmung nicht traurig und betroffen, sondern eher belanglos heiter. Ist auch keine legitime Konkurrenz. Ganz klarer Fall also: Gangnam Style muss vor diesen Angriffen wie auch immer gearteter Motivation und Sentiments-Geschmacksrichtung geschützt und verteidigt werden. Die Bitte, nein der Befehl geht also an alle meine zahlreichen Follower in der ganzen Welt: Klickt alle immer und immer wieder auf Gangnam Style, lasst eure Bots und Klickfarmen aktiv werden und bringt Psy wieder an die Spitze der Rangliste. Woppan Gangnam Style!!!! „Ich habe mich klar genug ausgedrückt!!!“