Archiv der Kategorie: Beiträge Radio/Online

Wieder mal neues vom Bundeshack

Nach dem totalen Informationschaos der letzten Woche, den (offenbar entweder teilweise unzutreffenden oder aber missverstandenen…) Durchsteck-Portiönchen nicht genannter “Sicherheitsexperten” und den eifrigen, aber wenig hilfreichen Einlassungen aus den Reihen der Politik gibt es nun wieder einmal eine neue Version, was sich eigentlich abgespielt haben könnte. Und weil in dieser neuen Version der FAS doch recht viele und auch ziemlich unspektakuläre Details genannt werden, die auch zu vorhergegangenen Statements passen (wie dem von T-Systems, der IVBB sei eigentlich “nicht direkt betroffen” gewesen…), würde ich einmal sagen: das klingt jetzt für mich ziemlich plausibel.

Malware-verseuchte Schulungsunterlagen aus der Bundesakademie für öffentliche Verwaltung, die dann von Behördenmitarbeitern heruntergeladen und auf ihrem Arbeitsplatzrechner geöffnet werden, das wäre ein ganz alltägliches Szenario. Natürlich bleiben noch allerhand Fragen offen. Wenn die Infektion in der Brühler Akademie schon vor zwei jahren passiert sein soll – warum ist das damals oder seit damals nicht aufgefallen? Steckt da Schlampigkeit, Fahrlässigkeit oder – im allerschlimmsten, aber doch sehr unwahrscheinlichen Fall – bewusste Sabotage dahinter? Da ist im Grunde alles denkbar; es wäre z.B. auch nicht das erste Mal, dass Schulungsrechner an einem kritischen Netz hängen, ein Schulungsteilnehmer seinen USB-Stick anschließt und “drin” ist.

Der nach bisherigem Ermittlungsstand ganz gezielte Zugriff auf einige wenige Dokumente lässt die Dimension des Vorfalls zunächst einmal viel weniger dramatisch erscheinen, als zunächst angenommen. Nur wer sagt, dass es nicht weitere, bislang unentdeckt verseuchte Dokumente, Rechner oder Netzwerkkomponenten gibt? Schon letzte Woche hatte man ja gehört, das BSI habe praktisch alle Kräfte im Dauereinsatz (und aus anderen Projekten abgezogen…), um hier etwas Licht ins Dunkel zu bekommen. Angesichts der offenbar knappen personellen Ressourcen ist man da ja schon fast froh, dass nicht alle laufenden Infiltrationsbemühungen der internationalen Cyber-Bösewichter gleichzeitig auffliegen – oder von “Sicherheitsexperten” durchgesteckt werden… 🙂

Deutschlandfunk Nova – Hielscher oder Haase vom 05.03.2018 (Moderation: Diane Hielscher)

Nachklapp 06.03.: Und wieder mal eine neue Version, diesmal wieder von der Süddeutschen (die ja auch schon letzte Woche zu den Erstmeldern gehörte, leider aber mit zum Teil falschen Informationen…). Der Artikel ist allerdings in weiten Passagen fürchterlich verschwurbelt und in den Details nebulös, vielleicht war der tippgebende Experte ja maskiert und hat nur undeutlich in das Whistleblower-Telefon der SZ hineingeflüstert.  🙂 Die Outlook-Geschichte (natürlich würde das auch mit einem anderen Mail-Client gehen…) würde aber immerhin erklären, wie eine Malware in einem ansonsten abgeschotteten Netzwerk mit ihren “Auftraggebern” “kommunizieren” kann. Wobei das eigentlich nur für den Input-Kanal (also Steuerungsbefehle…) richtig plausibel ist, da gab es übrigens auch schon ähnlich kreative Lösungen über Twitter-Messages. Eine rausgehende Mail hingegegen muss ja an jemand gerichtet sein, und da wird die Malware die abgegriffenen Infos eher nicht an turla@kreml.ru 🙂 geschickt haben können. Theoretisch könnten die Angreifer natürlich auch Zugriff auf den Mailaccount oder das System eines aus der Sicht des Behörden-Netzwerkes legitimen Mail-Empfängers haben und sich die Infos dann von dort aus weiterleiten. Ganz schön kompliziert. Wir bitten um weitere Aufklärung!

Schlappes Stromnetz lässt Uhren nachgehen

“Ihr habt die Uhren, wir haben die Zeit” – das ist ja dieser schöne interkulturell akzentuierte Sinnspruch, der aus dem arabischen Raum stammen soll, aber zuweilen auch Indianern zugeschrieben wird. Solche Tiefenentspanntheit ist allerdings ein Privileg von Naturvölkern, Ölquellbesitzern oder langjährigen EU-Subventionsempfängern (wegduck… 🙂 ), als normales Rädchen in einem grauen Industriestaats-Alltag braucht man eben nicht nur eine, sondern tatsächlich am besten eine ganze Reihe von Uhren. Weil so ein Zeitmesser, auch modernerer Bauart ja durchaus ausfallen kann – oder schlimmer, nachgehen.

Embed from Getty Images

Dass es tatsächlich nach wie vor so viele Uhren gibt, die sich auf die Norm-Wechselstromfrequenz von 50 Hertz als Taktgeber verlassen, hätte ich nicht gedacht. Dass es tatsächlich bei uns möglich ist, dass die eingespeiste Stromleistung im allgemeinen Netz bzw. Kraftwerksverbund über einen längeren Zeitraum schlichtweg zu gering ist, das überrascht auch etwas. Und dass bei zu schlapper Stromleistung dann auch die 50 Hertz etwas durchhängen, das war mir neu. Ist aber alles so. Aber jetzt wollen die Leute hinter den Steckdosen ja wieder etwas Dampf machen.

Die allermeisten von uns werden ja mittlerweile das Smartphone als Haupt-Zeitanzeiger betrachten. Das ist auch an sich keine schlechte Idee, weil die Mobilfunkprovider ein ziemlich genaues Zeitsignal liefern. Das wird allerdings unter Umständen noch vom Smartphone-Betriebssystem verhunzt, Apples iOS hatte sich ja schon mehrmals ein paar peinliche Pannen im Zusammenhang mit der Sommerzeit-Umstellung geleistet. Also wie gesagt: Der Vergleich von mehreren Uhren ist keine schlechte Idee, wenn etwas auf dem Spiel steht. Die dürfen nur nicht alle die gleiche Macke haben.

Stromnetz: Darum gehen Uhren nach · Dlf Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 05.03.2018 (Moderation: Diane Hielscher)

Nachklapp 08.03.2018: Aha, jetzt kennen wir auch den Übeltäter bzw. die Ursache – ein Strom-Streit zwischen Kosovo und Serbien.

Hackerangriff auf Regierungsnetz: Super-GAU oder Bärenfalle? (Update)

Als wir heute morgen nach dem zu diesem Zeitpunkt verfügbaren Informationsstand über den Cyberangriff auf das Regierungsnetz “Informationsverbund Berlin-Bonn” (IVBB) berichtet haben, da sah ja alles nach einem recht deftigen erneuten Desaster aus – wieder einmal die russischen Freunde von der Gruppe APT28 alias “Fancy Bear” mitten in einem Top-heiklen Honigtopf deutscher Daten. Am Mittag dann die wundersame Wende – die Attacke liefe sogar noch, hieß es nun; aber deutsche Sicherheitsdienste hätten sie frühzeitig und umfassend erkannt und “den Angreifer” erstmal weiter am Honeypot naschen lassen, um seine Methoden und auch seine Herkunft niet- und nagelfest zu durchleuchten.

Und deswegen habe man auch den zuständigen Parlamentariern nichts sagen können; klar, sonst wär der Bär ja gewarnt worden (von den Linken bestimmt 🙂 …) Das ist eine Geschichte, die man jetzt mal so glauben kann oder auch nicht. Ich glaube zwar gern, dass man die Infektion eines oder einiger weniger Computer mitbekommen kann und diese dann eben auch “kontrolliert” oder “isoliert” weiterbetreibt. Wie die “Sicherheitskreise” aber sicher sein wollen, dass die APT28-Rasselbande nicht doch vielleicht unbemerkt auch noch in anderen Segmenten des Netzwerkes ihr Unwesen treibt, das ist mir einstweilen ein Rätsel.

Embed from Getty Images

Das bleibt auf jeden Fall noch eine spannende Fortsetzungs-Geschichte. Und welche Seite hier einen großartigen Erfolg zu verzeichnen hat, da würde ich mich noch nicht ganz festlegen.

Cyberkriminalität: Hackerangriff auf deutsches Regierungsnetz · Dlf Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 01.03.2018 (Moderation: Till Haase)

P.S. – Jetzt soll plötzlich auch der IVBB gar nicht “direkt” betroffen gewesen sein – das ist ja dann echt eine schöne Ente, die uns Presseheinis und nebenbei auch den deutschen Bundestagsabgeordneten da gebraten worden ist. Zwischenfazit: Wir wissen gerade überhaupt nichts mehr gewisses, alles ist top-secret. Ich biete hier vorsichtshalber schon mal ein paar Alternativen an: Es waren die Chinesen. Die Nordkoreaner. Die Türken. Die Israelis. Eine Hobby-Hackerinnen-Truppe aus Winsen an der Luhe. Es war Anonymous.

P.S.2 – Ach nee, es “soll” Snake, nicht Fancy Bear gewesen sein. Jetzt passen meine schönen Wortspielereien mit der Bärenfalle und dem Honigtopf nicht mehr. Macht irgendwie heute alles keinen Spaß.

P.S.3 – Ich kann mich nicht erinnern, einen solch grausamen Desinformations- und Fake-News-Tag schon mal erlebt zu haben. Jetzt war auch noch ein Geheimnisverrat mit im Spiel (nämlich von dem Informanten, der den Käse der dpa bzw. der Süddeutschen gesteckt hat…). Und ganz offenbar haben halt die ganzen Politiker im Innenministerium bzw. den Kontrollgremien technisch keinen Schimmer und sondern irgendwelche Bullshit-Bruchstücke ab, die zur weiteren Verwirrung beitragen.

Nachklapp 02.03.2018 – Wir haben heute früh noch einmal ein Update gebracht – als kleine Momentaufnahme im andauernden Info-Nebel.

Hackerangriff: Informationschaos rund um den #Bundeshack · Dlf Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 02.03.2018 (Moderation: Till Haase)

P.S.4 – hier kommt mal wieder ein neuer Erkenntnisstand; das hört sich jetzt schon etwas konkreter und plausibler an. Von dem “den Angriff hatten unsere Sicherheitsbehörden die ganze Zeit unter Kontrolle” kann ja wohl absolut nicht die Rede sein. Eine Formulierung wie “die Hacker griffen weltweit an” bei der Darstellung der derzeitigen 🙂 “exklusiven” Informationen von NDR, WDR und Süddeutscher Zeitung “aus Kreisen, die mit den Vorgängen vertraut sind” (die Informationen der dpa und der Süddeutschen am Mittwoch waren ja auch aus solchen “Kreisen”…) ist  (mit Verlaub, liebe Kollegen) auch Bullshit. “Weltweiter Angriff” klingt ja schon wieder nach Cyber-Armageddon. Bei angeblich nur 17 betroffenen Rechnern in Deutschland und einer Handvoll abgegriffener Dokumente würde ich stattdessen einfach (wie schon gestern in der ersten Sendung…) sagen: Da machen einfach ein paar Leute ihren täglichen Routine-Job und versuchen gezielt für sie interessante Informationen abzugreifen. Ganz normales Aufklärungs-Business 🙂 … Ach so; offenbar besteht ja auch noch Begriffs-Verwirrung zwischen dem mutmaßlich verwendeten Angriffs-Tool bzw. Trojaner (Snake/Uroburos/Turla) und der danach benannten Hackergruppe – theoretisch könnten natürlich auch APT28 oder die Hackergirls aus Winsen aus der Luhe oder Anonymous den Trojaner Snake/Uroburos/Turla verwendet haben. Aber das wird ganz bestimmt noch aufgeklärt, da bin ich völlig zuversichtlich.

Gesichtserkennung plus Captcha lösen soll mehr Sicherheit bringen

Einfach das Smartphone mit dem eigenen Gesicht entsperren, das geht nicht nur bei Apples derzeitigem Spitzenmodell, dem iPhone X – wobei ja trotz des technisch aufwendigen Verfahrens mit der projizierten Punktematrix auch hier noch gewisse Zweifel an der Sicherheit bleiben. Deutlich simplere Lösungen gibt es bei vielen Android-Modellen schon seit einigen Jahren. Zu Beginn konnte man die Zugangssperre allerdings oft schon mit einem Foto austricksen. Bessere Systeme überprüfen also, ob sich im Gesicht etwas bewegt – das aber lässt sich wiederum mit einem Video oder einer 3-D-Konstruktion aushebeln. Amerikanische Informatiker haben jetzt eine neue Idee: Sie wollen die Gesichtserkennung mit Captchas kombinieren.

Image shows part of the flow diagram of the Real-Time Captcha system. (Bild: Georgia Tech)

Auch bei diesen kleinen Rätseln oder Aufgaben, die einem Menschen leicht fallen, einer Software oder einem Bot aber schwer, gibt es seit Jahren ein Katz-und-Maus-Spiel – Captchas lösen ist geradezu ein Showcase für die Fortschritte bei maschinellem Lernen und KI. Trotzdem – nimmt man beides zusammen, Bewegt-Gesichtserkennung plus Captchas lösen und setzt für die Antwort ein relativ knappes Zeitfenster, dann taugt das nach Ansicht der Informatiker vom Georgia Institute of Technology noch ein Weilchen als zuverlässige Zugangskontrolle – offenbar selbst für hochkritische Szenarien: Die Forschung wurde vom “Office of Naval Research” (ONR) und der “Defense Advanced Research Projects Agency” (DARPA) gefördert. 🙂

Datenschutz: Mehr Sicherheit durch Captchas · Dlf Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 20.02.2018 (Moderation: Diane Hielscher)

Gendershades: Gesichtserkennung funktioniert nahezu perfekt – bei weißen Männern

Joy Buolamwini forscht am MIT über die sozialen Auswirkungen von Technologie; sie ist weiblich, sie ist schwarz, und sie hat definitiv eine gesellschaftspolitische Agenda. Sehr naheliegenderweise. Denn einerseits halten in immer mehr Lebensbereichen technische Verfahren Einzug, die bestimmte Aufgaben anscheinend (oder scheinbar…) besser als jeder Mensch bewältigen: Kreditscores berechnen, Hautkrebs diagnostizieren, weltmeisterlich Go spielen, Gesichter oder verdächtiges Verhalten erkennen.

Wir Menschen tendieren dazu, den Algorithmen oder der “Künstlichen Intelligenz” Objektivität zuzubilligen. Ein Computer hat doch schließlich keine Vorurteile. Stimmt – aber die Menschen, die ihn programmieren; oder die moderne “Maschinenlern-Verfahren” oder “neuronale Netze” mit Daten füttern und trainieren. Dabei klingt bei “Vorurteil” oder “Voreingenommenheit” oder “Tendenz” – im Englischen spricht man ja hier von “Bias” – schon etwas wie Absicht oder eine verquere Weltsicht mit.  Ich denke aber, dass “Bias” meist einfach durch ganz  (für die Betroffenen natürlich nicht…) “harmlose” Gedankenlosigkeit in die Welt kommt. Beziehungsweise in die vermeintlich “objektive” Technik.

Das Problem ist – für digitale Verhältnisse – uralt: 2010 machten asiatische Nutzer einer Digitalkamera eine verstörende Erfahrung: der “smarte” Portrait-Assistent des Fotoapparates wollte sie gar nicht knipsen, sondern gab eine launige Warnung von sich: “Na, blinzelt da etwa jemand?” Nein, die ins Visier genommenen hatten einfach die normale asiatische Augenform; aber der Gesichtserkennungsalgorithmus der Kamera war offenbar vorwiegend mit “westlichen” (“caucasian”) Testbildern trainert worden. Es handelte sich um die Nikon Coolpix S630; das Produkt eines japanischen Herstellers 🙂 …

Bild: Joy Buolamwini/TED /Guardian

Dass im Jahr 2018 (oder 2017, wo die die Tests stattfanden…) drei Gesichtserkennungs-Softwaremodule von namhaften Herstellern ganz offenbar immer noch auf einer völlig unausgewogenen Trainingsbilder-Suite beruhen und dementsprechend bei weißen Männern exzellente, bei schwarzen Frauen dagegen miserable Ergebnisse liefern, das ist natürlich extrem peinlich. IBM wird in Kürze eine neue Version veröffentlichen, die genau wie die Testsuite des MIT auf einer möglichst ausgewogenen Bildermischung aufbaut. Angeblich erzielt diese neue Version ganz erheblich bessere Ergebnisse. Und auch Microsoft hat signalisiert, man nehme das “Bias”-Problem sehr ernst und werde keine Ausgaben scheuen, es zu beheben.

Wenn man Experten fragt: Die im MIT-Paper getesteten “Gender Classification”-Module spielen eigentlich bei zeitgemäßer Gesichtserkennungs-Software gar keine Rolle mehr. Dort werden nämlich neuronale Netze verwendet; und bei denen macht einfach die Vielfalt, die Qualität und die Quantität der Trainingsbilder den entscheidenden Unterschied: Google, Facebook und auch die chinesische Suchmaschine Baidu sind da “state-of-the art”. Die “Big Player” trainieren ihre Systeme mit tausenden von Bildern einer Person; und mit Bildern von Millionen oder gar Milliarden von Personen. Dagegen sind die Test- oder Trainingssuiten von mittelständischen “Sicherheitsfirmen” oder auch die als Alternative zu vorhandenen Benchmarks vorgeschlagene Testsuite der MIT-Forscher ein Witz.

Aber natürlich ist das MIT-Paper bzw. die “GenderShades”-Initiative ohnehin eher paradigmatisch zu verstehen: Der “Bias”-Effekt durch unausgewogene Trainingsdaten steckt ohne jeden Zweifel auch in zig bereits im Alltag eingesetzen Gesichtserkennungs-“Sicherheitslösungen” ; die werden aber als angeblich “objektiv” wahrgenommen oder dargestellt. Die Agenda von Joy Buolamwini ist also eindeutig berechtigt.

Deutschlandfunk – Computer und Kommunikation vom 17.02.2018 (Moderation: Manfred Kloiber)

Der Bock als Gärtner: Google schaltet Werbefilter in Chrome scharf

Die absolute Netz-Sensation; das Sägen am eigenen Ast, der Wandel des Wichtigsten der Big Player des Internets vom Saulus zum Paulus, der vollkommene Paradigmenwechsel: “Die Nutzererfahrung ist wichtiger als Werbeeinnahmen” (dieses wunder, wunderschöne Statement von Googles Vizepräsident Rahul Roy-Chowdhury werde ich mir in meine Klobrille schnitzen, das gelobe ich hiermit feierlich…) – nun gut, diese absolute Sensation war ja seit einem Jahr angekündigt gewesen. So dass eigentlich alle Beteiligten und Betroffenen genug Zeit hatten, sich mit dem heute “scharfgeschalteten” Chrome-Werbeblocker zu arrangieren.

Blocker? Na ja, sagen wir mal Filter. Oder besser: Filter light. Chrome blockt ab jetzt die allerschlimmste, allernervigste Werbung (nicht verschiebbare oder bildschirmfüllende Anzeigen, nicht wegklickbare Anzeigen mit Countdown, sofort losplärrende Videos etc.). Das, was die “Coalition for better Ads“ für “bessere” oder akzeptable Werbung hält, kommt weiterhin durch. In der “Böcke als Gärtner”-Koalition haben sich so gute Freunde wie eben Google und der Axel-Springer-Verlag zusammengefunden, die sich ja ansonsten – übrigens wegen des gleichen Themas “Werbung und Kohle machen im Internet” bis aufs Messer bekriegen 🙂

Embed from Getty Images

Aber die Ober-Ober-Schurken sind halt die Hersteller von Ad-Blockern – die ja ihrerseits auch teilweise wiederum “sportliche” Geschäftsmodelle haben und irgendwie mit “akzeptabler” Werbung (und einem gebührenpflichtigen “Whitelisting”…) Kohle machen wollen. Zum Glück hat der geneigte Internet-Surfer bis jetzt noch die Wahl: Einen Browser mit einem Pseudo-Werbefilter verwenden, der eigentlich nur die Mainstream-User davon abhalten will, einen “richtigen” Blocker zu installieren? Einen Werbeblocker verwenden, der gar nicht mehr richtig funktioniert (weil er offenbar mit den Adblock-Gegenmaßnahmen etwa bei Spiegel Online und Süddeutsche nicht mehr klarkommt…), dafür aber “eigentlich” und auf sehr diskussionsträchtige Weise am Werbe-Geschäftsmodell teilhaben will?

Ich surfe nach wie vor mit Firefox und NoScript und mittlerweile mit uBlock. Ich habe gerade als vorwiegend für den öffentlich-rechtlichen Rundfunk tätiger Journalist großes Verständnis für die nicht “beitragsfinanzierten” Kollegen und den “Mitbewerb” – aber die Werbung im Netz ist für mich “nicht akzeptabel”. Aus optischen Gründen, aus Relevanzgründen, aus Privacy- und Securitygründen. Für eine Reihe von Online-Angeboten habe ich ein Abo gebucht. Und, wie ich ja schon vorgeschlagen habe, und wie das die Website Salon.com jetzt nach unzähligen halbseidenen oder betrügerischen Vorgängern ausprobiert: En Bezahlmodell mit Crypto-Währung-Schürfen halte ich für eine gute und faire Idee.

An alle Effizienz- und Klima-Bedenkenträger: Der ganze Werbe-Scheiß verbrät auch gigantische Kollateral-Ressourcen 🙂 …

Google: Schönere Werbung mit Chrome · Dlf Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 15.02.2018 (Moderation: Till Haase)

US-Gericht: Private Facebook-Posts können Beweismittel sein

Es soll ja immer noch ein paar letzte Mohikaner auf der Welt geben, die Facebook nicht benutzen (ich zum Beispiel…), weil sie nicht ihre komplette Privatsphäre an Herrn Zuckerberg und die weltweite Werbe-Industrie rausrücken wollen. (Und dann gibt’s natürlich noch die junge Generation, die ihre Privatsphäre lieber woanders rausrückt…) Aber die Datenschutz- und Privacy-Bedenken sind selbstverständlich völlig übertrieben, da geht Facebook selbst ja in seiner immer noch laufenden Anzeigen-Kampagne ganz offensiv mit um.

„Keine Ahnung, wer meine Posts oder Bilder zu sehen bekommt.” – „Kontrolliere, wer was sieht.“

Soll heißen – was auf privat gesetzt wird, bleibt ja auch privat (abgesehen für Facebook selbst und die Werbeheini-Truppe dahinter 🙂 ); wer meine Postings, Messages oder Fotos zu sehen bekommt, das kann ich ja selbst bestimmen. Von wegen, sagt das Berufungsgericht der Vereinigten Staaten in einem schon recht lange laufenden Rechtsstreit. Wenn Informationen oder Kommunikationsdaten “relevant” sind für ein Gerichtsverfahren , dann können sie auch als Beweismittel herangezogen werden. Und dann muss ich (oder Facebook…) sie herausrücken.

Embed from Getty Images

Nun ging es in dem anhängigen Rechtsstreit keineswegs um Schwerstkriminalität, Amoklauf oder Terrorismus. Sondern um einen Sturz vom Pferd (eine fachkundige Kollegin merkt hierzu an: Wer runterfällt, ist meist selbst schuld 🙂 …), um eine Schadensersatzforderung an den Pferdeeigner und um den Verdacht, die angeblich Geschädigte könnte die reklamierten Langzeit-Folgen übertreiben oder nur vortäuschen. Wie immer auch der Streit in der Sache ausgeht – den Claim aus den Anzeigen von Facebook können wir getrost dort hinstecken, wo Werbeversprechen hingehören.

Immerhin; etwas Facebook-Privacy haben die gestrengen US-Richter ja dann doch noch für angemessen gehalten: Sollten sich unter den “privat” geposteten Fotos solche mit nackter Haut und unter den Nachrichten solche mit “romantic encounters”, mit Liebes-Bezug befinden – die bleiben dem skeptischen und zahlungsunwilligen Pferde-Eigner dann doch verborgen. 🙂

USA: Private Facebook-Posts als Beweismittel · Dlf Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 15.02.2018 (Moderation: Till Haase)

Aufregung um Scriptkiddie-Angriffstool “Autosploit”

In der richtigen, der analogen Welt kann man ja sehr intensiv darüber diskutieren, ob es gut oder schlecht ist, völlig unproblematisch an Waffen heranzukommen – in den USA z.B. flammt der Streit darüber ja nach jedem Amoklauf an einer Schule oder sonst wo neu auf. In der digitalen Welt, im Netz gibt es die Diskussion auch. Sollte man Hackingtools, mit denen sich fremde Computersysteme lahmlegen lassen, verbieten oder den Zugang irgendwie einschränken – oder sind solche Programme nützlich und notwendig, für Sicherheitstests z.B? Im Moment streiten die Experten gerade über “Autosploit”.

Das ist ein ziemlich kurzes Stückchen Code, das ein Unbekannter vor ein paar Tagen auf der Code-Plattform Github bereitgestellt hat. Und wie der Name schon andeutet: Das Tool spürt auf Knopfdruck verwundbare Computersysteme im Netz auf und versucht dann, den oder die Opfer-Rechner zu infiltrieren oder lahmzulegen – im Extremfall, indem es alle überhaupt bekannten Angriffsvektoren durchprobiert. Eine Universal-Hacking-Komfortlösung für jedermann – auch für programmiertechnisch völlig ahnungslose; für Scriptkiddies.

Embed from Getty Images

Und tatsächlich ist Autosploit nicht viel mehr als ein Script, das die Sicherheitslücken-Suchmaschine Shodan und die Penetration-Werkzeugkiste Metasploit kombiniert. Übrigens: Auch ich probiere ja aus technischem (und sonstigem…) Interesse alles mögliche ab und zu mal selbst aus (die Gesichts-Austausch-Fakeapp z.B. 🙂 ) – aber mal eben Autosploit vom heimischen PC (oder noch schlimmer von dem bei der Arbeit…) in Gang zu setzen, ist weder für Nerds noch für Möchtegern-Hacker eine gute Idee. Bei den Spuren, die man dabei hinterlässt, hiilft auch die schönste schwarze Kapuze nichts mehr.

Deutschlandfunk Nova – Hielscher oder Haase vom 02.02.2018 (Moderation: Till Haase)

Amazon, JP Morgan und Berkshire Hathaway wollen das US-Gesundheitssystem aufmischen

Für den einen Präsidenten war es ein zentrales Anliegen seiner zwei Amtszeiten – für seinen Nachfolger schieres Teufelswerk, das so schnell und so gründlich wieder rückgängig gemacht werden muss: Die Rede ist von “Obamacare”, von der Regulierung des US-amerikanischen Gesundheitssystems, um jedem Bürger die Chance auf eine bezahlbare Krankenversicherung zu bieten. Regulierung mögen viele Amerikaner aber nun gar nicht; sie pochen auf ihre “Freiheit” – eben auch auf die, vielleicht eben keine Krankenversicherung abzuschließen.

Dass die “Entscheidung” gegen den Versicherungsschutz bei Armen, Arbeitslosen und Geringverdienern natürlich gar nichts mit Freiheit, sondern mit purer Not zu tun hat, das war Barack Obamas Argument. Dass “Obamacare” beileibe nicht ohne Pannen und beileibe nicht völlig überzeugend auf die Schiene gekommen ist, spielt wiederum den Kritikern in die Hände. Fest steht jedenfalls – das US-Gesundheitssystem in seiner jetzigen Form ist teuer und ineffizient; es gibt einfach zu viele Akteure, die an unterschiedlichsten Stellen die Hand aufhalten. Und wenn es um Leben und Tod geht, ist der “Kunde” halt in einer schlechten Verhandlungsposition.

Embed from Getty Images

Für drei Firmen-Giganten wie Amazon, JP Morgan und Berkshire Hathaway sieht das schon besser aus. Aber bei der am Dienstag angekündigten Kooperation geht es wohl um mehr, als nur einen Mengenrabatt herauszuschlagen. Und bei genauerem Hinsehen spielt der vermeintliche Exot im Dreierbündnis vielleicht sogar die Hauptrolle.

US-Gesundheitssystem: Versichert bei Amazon & Co. · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 01.02.2018

Strunzen mit Strava: Fitnesstracker verrät Militärbasen

Ich muss gestehen – anlässlich der letzten anstehenden Verlängerung meines Mobilfunkvertrages habe ich einmal etwas intensiver darüber nachgedacht, ob ich mir vielleicht eine iWatch zulegen soll. Und mich dann erstmal dagegen entschieden (erstens, weil ich gerade etwas Ebbe in der Kasse hatte; zweitens, weil die Eignung der doch recht dicken Uhr als Golf-Gadget am linken Handgelenk noch nicht so ganz erwiesen ist 🙂 …). Aber an sich sind Smartwatches und Fitness-Armbänder ja mittlerweile extrem beliebt: Da kann man halt checken, ob man sein “Bewegungs-Soll” erfüllt hat.

Und herumstrunzen geht auch: Wenn man nämlich die Daten der Gadgets ins Netz hochlädt – und das ist ja praktisch bei allen Apps vorgesehen – dann können alle “Freunde” staunen, wie fit und fleißig man ist. Wenn man allerdings einen etwas heiklen Job hat; Soldat oder Spion oder so – dann ist das mit dem herumstrunzen und Daten hochladen vielleicht doch keine allzu gute Idee. Natürlich – in den Zeiten von Google Earth oder anderen Satellitenkarten-Diensten sind die einstmals “geheimen” Flecken auf der Erde, Militärbasen z.B., nicht mehr wirklich geheim. Wobei Google zumindest bei den Standorten von “Verbündeten” einen “Sichtschutz” drüberblendet, so dass Details wie Straßen, Wege, Landebahnen und Gebäude nicht mehr sichtbar sind.

The movements of soldiers within Bagram air base – the largest US military facility in Afghanistan Bild: Strava/BBC

Auf der “Heatmap” der Fitness-App “Strava” werden nun solche unter Umständen doch recht heiklen Details sehr schön erkennbar – vor allem in Ländern, in denen außer fremdem Militärpersonal sonst praktisch niemand mit einem Fitnessarmband einhertrabt. 🙂 Neben der reinen Jogging-Topologie der Areale lässt sich aus der Heatmap auch noch ablesen, ob denn an einem Standort (Botschaft z.B.) eher “tote Hose” angesagt ist; oder ob da plötzlich viele junge, unternehmungslustige und fitte Männer (oder vielleicht auch Frauen…) für einen bevorstehenden Einsatz mit den Hufen scharren. An so etwas kann eigentlich eine verantwortliche Militär- oder Geheimdienstführung trotz aller moderner Offenheit keine rechte Freude haben.  🙂

Fitnesstracker verrät Militärbasen · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 29.01.2018 (Moderation: Till Haase)

Nachklapp 30.01.2018: Das Pentagon lässt die Sicherheitsauswirkungen “prüfen”

Nachklapp 06.02.2018: Strava hat auch noch etwas “nachgebessert”…