Seit Juni 2012 sitzt Julian Assange in der Botschaft Ecuadors in London – immer noch fürchtet er, wahrscheinlich nicht zu Unrecht, er könne im Anschluss an eine Befragung in Schweden wegen der dort anhängigen Vergewaltigungs-Vorwürfe an die USA ausgeliefert werden. Dort wiederum drohen ihm drastische Strafen wegen der Veröffentlichung von US-Geheimmaterial. Nun wird es wohl doch noch zu einer Vernehmung durch schwedische Staatsanwälte in London kommen – und passend zu dieser für Assange frohen Botschaft macht auch seine Whistleblower-Plattform Wikileaks wieder einmal Schlagzeilen.
Die erneute, diesmal „lesefreundlich aufbereitete“ Veröffentlichung von Material aus dem Sony-Hack Ende letzten Jahres bringt allerdings keinen neuen Erkenntnisgewinn. Auch ist Sony sicherlich kein handelnder Akteur im „geopolitischen Konflikt“ zwischen Nordkorea und den USA, wie Assange suggeriert – es sei denn, man wolle sich die Sichtweise Pjöngjangs zu eigen machen, der Satirefilm „The Interview“ sei ein kriegerischer Angriff.
Stattdessen gefährdet der Recycling-Leak tatsächlich noch einmal die Privatsphäre und Sicherheit der Sony-Beschäftigten, wie die Firma zu Recht beklagt. Kein Coup also diesmal, sondern eher ein Rohrkrepierer – der eigentlich nur dokumentiert, dass Wikileaks anscheinend kein relevantes Material mehr zugespielt bekommt.
Es passt einfach nicht zusammen: Einzelpersonen und Firmen wollen ihre Daten – gerade nach den Erkenntnissen aus den Snowden-Enthüllungen – vor neugierigen Blicken schützen, Geheimdienste und Behörden wollen eine Chance haben, Straftätern und Terroristen digital auf die Spur zu kommen. Da hört sich der Vorschlag von NSA-Chef Michael Rogers auf den ersten Blick gar nicht einmal unplausibel an: Man könnte doch den Zugangsschlüssel für kryptografisch geschützte Daten oder Kommunikationskanäle aufteilen und bei verschiedenen Institutionen hinterlegen – so dass also keine Seite einzeln und heimlich auf das Material Zugriff hätte, sondern nur alle zusammen in einem regulierten Verfahren.
Dumm nur, dass die Dienste in der Vergangenheit jedwedes Vertrauen darin zerstört haben, sie würden sich im Zweifelsfall an die gesetzlichen Vorgaben halten. Rein technisch gesehen schafft jede Komplexitätserweiterung bei Kryptografie neue potentielle Fehlerquellen – und vor allem – niemand könnte „wirklich böse Buben“ dazu zwingen, die Verfahren mit Gemeinschaftsschlüssel zu nutzen. So bleibt wiederum nur der Verdacht, der NSA-Vorschlag ziele letztlich auf die technisch unbedarftere Masse der User, den digitalen Normalbürger.
Notwendigkeit oder Panikmache? Aus der Sicht von Alexander Dix, dem Berliner Datenschutzbeauftragten ist die Sache jedenfalls klar – mit dem endgültigen Auslaufen der von der Berliner Verwaltung teuer eingekauften Support-Verlängerung für die immer noch reichlich vorhandenen XP-Rechner drohen Hacking-Gefahren und damit Gefahren für die Daten der Berliner Bürger. Das Ganze ist ein kleines Behörden-Desaster in Zeitlupe und mit Ansage – vielleicht geben ja jetzt eventuell drohende Bußgelder den entscheidenden Ruck für klamme Etat-Bewirtschafter.
Privatanwender sollten ihre „alten Möhren“ erst recht einmal austauschen oder mit einer neueren Windows-Version updaten. Und wer gar nicht von XP lassen will, kann es ja in eine virtuelle Maschine stecken…
Bei einer Umfrage unter Deutschen, welche Institution seriös und vertrauenswürdig ist, landet die Stiftung Warentest sicher in den Top Ten. Weil sie finanziell unabhängig ist, braucht sie bei ihren Tests keine Rücksicht auf eventuell ausbleibende Anzeigenschaltungen oder ähnliches zu nehmen – und trotzdem: Natürlich können auch die Verbraucherschützer aus Berlin mal daneben liegen. Ein prominenter Fall mit juristischem Nachklapp war ja kürzlich die Diskussion um künstliche oder nicht-künstliche Aromastoffe bei Ritter-Sport-Schokolade.
Jetzt gibt es wieder einen Lapsus, der eigentlich von der Verbaselungs-Fallhöhe her sogar gravierender ist: (der Schokoladen-Fall war ja zumindest diskussionswürdig bzw. strittig. Der aktuelle nicht.)
Im Februar-Heft hat Stiftung Warentest Email-Anbieter getestet, bzw. von einem beauftragten Dienstleister testen lassen. Und diesen Dienstleister sollte man vielleicht nicht mehr beauftragen – denn irgendwie haben es die Prüfer geschafft, diverse technische Details nicht zu verstehen, obwohl man sie sogar auf feine Unterschiede hingewiesen hatte. Wenn man sich nämlich anschaut, was der im Februar-Heft neben vielen Mainstream-Playern geprüfte Email-Anbieter Posteo in seinem Firmen-Blog an dem Warentest auszusetzen hat, dann kann man nur sagen: Stimmt.
Die Möchtegern-Experten des Prüf-Dienstleisters haben zum einen die Verschlüsselung, die Email-Nutzer individuell einrichten können (aber dies in den allermeisten Fällen nicht tun) mit einer generellen Verschlüsselung aller Emails auf dem Dienstleister-Server verwechselt – und einem Testteilnehmer irrtümlich ein Alleinstellungsmerkmal diagnostiziert, das aber gar nicht existiert – und die übrigen Anbieter abgewertet. Auch das Verfahren, wie Posteo eine Zwei-Wege-Authentifizierung durchführt und eine anonyme Nutzung des Email-Dienstes konzipiert hat, haben die Tester schlichtweg nicht verstanden.
Die Sache ist dennoch reichlich suboptimal behandelt worden: Der jetzt erst bekannt gewordene Auslieferungsstopp des Februar-Heftes betrifft nur noch ein paar tausend Exemplare; der Rest ist längst an die Abonnenten versendet worden. Die angebliche aufklärende Pressemitteilung in dem Fall ist wohl irgendwie nicht besonders offensiv verteilt worden – auf der Website der Stiftung Warentest ist sie z.B. (Stand 12.2.2015) nicht zu sehen, auch in den Nachrichtenagenturen taucht das Problem erst seit einem Bericht bei welt.de vom 11.2. auf. Und nicht alle Fehler des ursprünglichen Testberichts sind auch transparent als solche korrigert worden.
Insofern ist also eine gewisse Verärgerung bei Posteo nachvollziehbar – und ganz ehrlich gesagt: So sehr ich die Stiftung Warentest grundsätzlich schätze (und auch die Magazine Test und Finanztest abonniert habe…) – bei Tech-Themen sind die Berliner nicht die allererste Adresse 😉
Studieren macht immer am meisten Spaß, wenn man nicht nur Theorie paukt. Sondern in seinem Fachgebiet ganz praktisch unterwegs ist – und vielleicht sogar etwas aufdeckt, das andere Leute ganz happig verbaselt haben.
Das Datenbanksystem MongoDB ist frei erhältlich, bietet vielfältige Möglichkeiten und ist entsprechend beliebt – in der Standardkonfiguration ist es allerdings für den lokalen Einsatz auf einem Computer konzipiert. Wenn man dann Online-Funktionalität einschaltet oder die Datenbank in einen Cloudspeicher auslagert, ohne einen Benutzernamen und ein Passwort einzurichten, dann hat man das berühmte Scheunentor aufgemacht bzw. serviert seine Daten auf dem Präsentierteller – wie die Saarbrücker Studenten entdeckten, findet man jede Menge offener MongoDBs im Netz, darunter auch z.B. die Kundendatenbank eines großen französischen Mobilfunkbetreibers.
Im nächsten Release des Datenbanksystems sollen die Anwender zu ihrem Passwort-Glück gezwungen werden, einstweilen sollten betroffene Admins ganz schnell die Schotten dicht machen und sich gegebenenfalls schon mal auf ein happiges Knöllchen von den Datenschutzbehörden einstellen.
Bis zur Mitte der vergangenen Woche sah es so aus, als müsste Werner Koch, der Programmierer der freien Verschlüsselungssoftware GnuPG das Handtuch werfen – nach der Einstellung von staatlichen Fördermitteln und einer mau angelaufenen Crowdfunding-Kampagne hatte das Entwicklerteam in der g10code-GmbH die Nase voll davon, trotz bescheidener Eigengehälter in einer Dauer-Finanzmisere dahinzuwerkeln. Erst ein Hilferuf bei ProPublica öffnete dann plötzlich die Geldschleusen der Community und auch einiger Big Player – was zum einen das prinzipielle Good-Will-Potential für wichtige freie Softwareprojekte zeigt, andererseits aber auch die Trägheit der Masse.
Getrübt wurde die Freude durch zweiRants des Bloggers Fefe, der selbst Programmierer und IT-Sicherheitsdienstleister ist. Seine Kernthesen: Software erst gratis verteilen und im Nachhinein „herumheulen“ sei nicht in Ordnung – und vor allem sei der Code von GnuPG schlecht gewartet, Kritik und Verbesserungsvorschläge aus der Community würden von Werner Koch abgeblockt. In einem Artikel bei ArsTechnica kritisiert auch ein US-Kryptografieprofessor die Softwarequalität und hält ein externes Code-Auditing für dringend notwendig.
Von außen lässt sich schwer sagen, wie berechtigt diese Kritik ist. Aber gewisse Zirkelschlüsse sind natürlich nicht zu übersehen: Erst lässt man es sehr entspannt und ohne allzu großen Spenden-Enthusiasmus zu, dass fundamentale und höchst sicherheitskritische Softwarekomponenten von Einzelpersonen oder Kleinst-Teams entwickelt und gepflegt werden. Und dann wundert man sich, dass dabei möglicherweile Fehler gemacht werden.
Das Sprichwort „There is no free lunch“ gilt offensichtlich auch für freie Software.
Das Rad dreht sich munter weiter – nachdem das FBI und Präsident Barack Obama offiziell Nordkorea als letztlich verantwortlich für den Sony-Hack bezeichnet haben, bleibt die prompte und standesgemäße Antwort der traditionsbewussten Familiendiktatur natürlich nicht aus: Man werde auf die Falschbeschuldigungen mit einer Zerstörung der „US-Zitadellen“ reagieren – die Armee Nordkoreas werde „mutig zu unserem härtesten Gegenschlag gegen das Weiße Haus, das Pentagon und das gesamte amerikanische Festland“ ausholen – im Cyberspace oder sonstwie.
Barack Obama versucht im Gegensatz zu einigen republikanischen Politikern (und zu Nordkorea…) das Wort (Cyber-) „Krieg“ außen vor zu lassen – währenddessen geht die Diskussion in den USA darüber munter weiter, ob man sich einer Zensur durch irgendwelche Wahnsinnige unterwerfen muss, wenn es wohlfeile Terrordrohungen gibt.
DRadio Wissen – Schaum oder Haase vom 22.12.2014
Nachklapp: Offenbar hat ein DDOS-Angriff dafür gesorgt, dass Nordkoreas Zugang zum Internet erheblich gestört oder sogar vorübergehend ganz gekappt war – offenbar war das aber nicht die angekündigte „angemessene“ offizielle US-Reaktion, sondern das Werk von Hackern. Oder es gibt noch eine viel einfachere Erklärung.
Nachklapp 2: Sony Pictures will „The Interview“ jetzt doch nicht bei YouTube frei ins Netz stellen, sondern wie ursprünglich geplant am ersten Weihnachtstag in „ausgesuchten“ US-Kinos auf die Leinwand bringen.
Nach Terror-Drohungen gegen Kinos, die den Nordkorea und seinen bizarren Diktator verhohnepiepelnden Film „The Interview“ spielen wollten, ist zunächst die New Yorker Premiere abgesagt worden – mittlerweile hat Sony den gesamten für die Weihnachtstage angesetzten Filmstart gecancelt.
Einerseits nimmt man die sich selbst „Guardians of Peace“ nennenden Hacker aufgrund ihres koordinierten Vorgehens einigermaßen ernst – andererseits kann ja jederzeit jeder x-beliebige Idiot und jede x-beliebige idiotische Diktatur irgendwelche aufgeplusterten Drohungen irgendwo hin absondern. Wenn man sich davon allen Ernstes beeindrucken lässt, kann man den geregelten Demokratie- und Meinungsfreiheitsbetrieb ja gleich mal prophylaktisch einstellen.
Vielleicht wäre es ja am besten, Sony Pictures würde den Film ( das Angebot von Paulo Coelho ist ja gut gemeint, aber vielleicht etwas unterfinanziert 🙂 ) einfach allgemein im Netz freigeben – dagegen könnten dann auch irgendwelche x-beliebigen Arschlöcher keinen sinnvollen Gegenangriff mehr starten… Außer natürlich das weltumspannende Armageddon in die Wege zu leiten… 🙂 Juche!
Von IT-Sicherheit reden, das tun praktisch alle größeren Firmen. Ob sie das Thema auch wirklich ernstnehmen, das ist eine ganz andere Frage. Zugegebenerweise – gegen einen wirklich aufwendig vorgetragenen Cyber-Angriff, womöglich von staatlichen Stellen aus orchestriert, gibt es keine hundertprozentige Sicherheit. Aber wer dann den Schaden tatsächlich zum Daten-Super-GAU werden lässt, weil er auf seinen internen Servern Passwort-Listen im Klartext herumliegen hat, wer auf Warnungen der eigenen Mitarbeiter nicht reagiert – der gibt ein ziemlich klägliches, aber sehr lehrreiches Beispiel ab für die hoffentlich jetzt gewarnten Verantwortlichen und Admins in anderen Unternehmen weltweit. Insofern hat der Hack ja vielleicht doch noch etwas gutes.
Und die interessierte Netz-Öffentlichkeit stellt Popcorn bereit und wartet auf die nächsten Leaks der mit Nordkorea sympathisierenden (oder von Nordkorea gesteuerten?…) „Guardians of Peace“. Wobei natürlich im Grunde genommen das bizarre Äußere und – schlimmer noch – das Handeln von Kim Jon-Un und seiner ganzen Irrsinns-Herrschafts-Clique weder durch eine persiflierende Filmkomödie noch durch peinliche Sony-Emails zu toppen sind…
Die kreativen Köpfe bei der NSA haben sich wieder einmal einen schönen Namen für ein (aus Sicht des Geheimdienstes…) schönes Projekt ausgedacht. Ziel von „Auragold“ war bzw. ist es, Einblicke in die technischen Details von Mobilfunkstandards zu bekommen. Und dazu wurden an die 1300 Mailaccounts von Tech-Experten bei Mobilfunkprovidern oder in der GSM Association geknackt und überwacht, deckt das Portal „The Intercept“ unter Rückgriff auf Snowden-Dokumente auf. Der deutsche IT-Sicherheitsexperte und Fachmann für Mobilfunkverschlüsselungsstandards, Karsten Nohl: „Die NSA scheint zwei Ziele zu verfolgen, zumindest nach Selbstbekunden aus dem jetzt öffentlich gewordenen Material: Man will zum einen Mobilfunkstandards bewusst schwächen, zum anderen existierende Mobilfunkstandards knacken; Belege sind nur für letzteres konkret geworden.“ Mit anderen Worten, ein bewusstes Einschleusen von Sicherheitslücken in Verschlüsselungsverfahren seitens des Geheimdienstes, so wie das in den Dokumenten angedeutet wird, ist durchaus denkbar, aber noch nicht bewiesen. Momentan ist also nicht völlig klar, welche Standards noch als sicher gelten können und welche kompromittiert sind. Auf jeden Fall hat die NSA sich schon seit Jahren auf Verfahren wie etwa A5/3 vorbereitet, die z.B. in Deutschland gerade mit hohem finanziellen Aufwand eingeführt werden – in Prinzip also für die Katz… Einen kleinen Trost hat Nohl, der seit geraumer Zeit auf die Schwächen und die Angreifbarkeit der GSM-Standards hinweist, immerhin noch übrig: Der Rechenaufwand bzw. die Kosten für einen Code-Knack-Computer sind noch so hoch, dass eine flächendeckende Handy-Überwachung derzeit kein realistisches Szenario ist.