In der FAZ gab es in den letzten Wochen einen interessanten Schlagabtausch zu lesen. Die Kontrahenten waren Peter Altmaier, Parlamentarischer Geschäftsführer der Unionsfraktion im Bundestag und Pavel Mayer, einer der 15 Piraten im Berliner Abgeordnetenhaus. Es ging um nicht weniger als das Treffen zweier Welten, wenn man den Ausführungen von Altmaier und Mayer folgen mag. Der eine, begeisterter Neu-Twitterer, aber fest verwurzelt im analogen Politapparat, der andere Netzbürger und Neupolitiker und die Weltsicht der beiden.
Ich habe gerade eben mein Facebookkonto gelöscht. Ich hatte vor knapp drei Wochen dort diesen Schritt für heute angekündigt und entsprechend durchgezogen. Diese Zeit habe ich eingeplant, dass all diejenigen, mit denen ich per Facebook aber nicht über andere Kanäle verbunden bin, mich nach eMail-Adresse, Handynummer, etc. fragen können. Resonanz? Weiterlesen »
Darstellung eines "Staatstrojaners" (thx CCC, PD)
Am 8.10.2011 gab der CCC bekannt, dass ihnen eine Kopie eines Staatstrojaners zugespielt wurde und sie ihn analysiert haben. Man ist sich aktuell aber nicht ganz sicher, ob es sich dabei um den “Bundestrojaner” oder eine vergleichbare Software der Länder handelt. [1]. Der CCC hat meines Erachtens vorbildlich gehandelt und das Bundesinnenministerium informiert bevor die Pressemeldung veröffentlicht wurde. Bei der Brisanz des Themas und der Meinung des CCC zu Onlinedurchsuchung und Netzüberwachung ist dem Club die Besonnenheit und Professionalität hoch anzurechnen. Weiterlesen »
Ich hab ja prinzipiell wenig gegen den Neuen Personalausweis (nPA). Gut, die RFIDs da drin müssten wirklich nicht sein. Aber dafür gibt’s ja mehr oder weniger rabiate Lösungsansätze.
Die Idee jedem Bürger die Möglichkeit zu geben sichere Internetgeschäfte mit einer persönlichen Signatur machen zu können und eGovernment-Dienstleistungen in Anspruch zu nehmen finde ich klasse. Man könnte drüber streiten, ob denn eine CA-Architektur mit einem Single Point of Failure besonders praktisch ist und ob eine dezentrale Architektur wie GnuPG nicht sinnvoller wäre, aber naja… Details.
Aber was sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der neumodisch AusweisApp genannten Software für den nPA geleistet hat ist bestenfalls erbärmlich. Treffender wäre allerdings fahrlässig und dumm.
Jetzt mal völlig abgesehen von der Tatsache, dass der Quellcode nicht offenliegt und die “Linux”-Variante mit fast einem Jahr Verspätung erschien: Welcher Kasper im BSI hat denn zu verantworten, dass dieses Ding in Java auf einer eingebetteten JRE läuft? Noch dazu einer veralteten mit mindestens 17 bekannten Sicherheitslücken? Jeder Linuxnutzer, der die AusweisApp verwendet installiert damit auch bekanntermaßen unsichere Software. Und jetzt nochmal kurz überlegen, wofür das S in BSI steht.
Der Quellcode, die API-Spezifikation und sämtliche weiteren Daten (mit Ausnahme der geheimen Schlüssel der CA) über den nPA müssen unverzüglich offengelegt und unter eine freie Lizenz gestellt werden.
Passiert das nicht, dann ist zu vermuten, dass das BSI etwas in der AusweisApp zu verbergen hat. Und damit ist die Software und auch der nPA keinen Pfifferling mehr wert. Auch erwarte ich von Software, die von einem Bundesamt programmiert wird generell, dass sie mindestens unter eine freie Lizenz gestellt wird, besser noch in die Public Domain gegeben wird. Immerhin ist der gesamte Entwicklungsprozess steuerfinanziert.
Heute bin ich in über folgenden Artikel gestolpert: http://thenextweb.com/apps/2011/06/02/faceniff-takes-firesheep-mobile-hacks-facebook-and-twitter-accounts-in-seconds/?awesm=tnw.to_18lML&utm_content=spreadus_master&utm_medium=tnw.to-other&utm_source=direct-tnw.to (Danke an @suka_hiroaki fürs twittern).
Um Facebook und Twitter zumindest ein bisschen sicherer zu machen, wird vorgeschlagen jeweils die https-Option einzuschalten. Schimpf und Schande über Facebook und Twitter, dass diese Option nicht standardmäßig aktiviert ist.
In Facebook auf “Konto” -> “Kontoeinstellungen” klicken. Bei “Kontosicherheit” auf “ändern” klicken und einen Haken bei “Sicheres Durchstöbern (https)” setzen.
In Twitter (davon ausgehend, dass Du #newtwitter verwendest) rechts oben auf deinen Benutzernamen klicken und “Einstellungen” wählen. Ganz nach unten scrollen und einen Haken bei “Nutze immer HTTPS” setzen.
Leicht zugänglich, simpel zu aktivieren, aber vermutlich von wenigen genutzt. Schade Facebook und Twitter. Ihr hättet die Chance das Netz sicherer zu machen, indem diese Funktionen von Anfang an aktiviert sind.
Nachdem Dropbox verkündet hat, seine AGBs so zu verändern, dass im Falle des Falles auch Daten an US-Ermittlungsbehörden weitergegeben werden können, habe ich für mich entschieden, auch im Lichte der miesen Authentifikationsverfahren, Dropbox den Rücken zu kehren und mich nach einer Alternative umzusehen
Ich habe absolut nichts zu verbergen. Alle meine wirklich privaten Daten liegen nicht in der Cloud und sind sowieso verschlüsselt. Aber nichts desto weniger ist es ein Vertrauensbruch, den Dropbox hier begangen hat. Ich vertraue denen meine Daten an. Da steckt das Wort vertrauen schon drin. Wenn Dropbox schon in die AGBs reinschreibt, meine Daten ggf. an US-Behörden weiterzugeben, wer weiß dann schon, was noch alles mit meinen Daten angestellt wird. Geht gar nicht. Gerade, weil ich so ein langweiliges Leben führe, verbitte ich mir, dass in meinen Daten herumgeschnüffelt wird. Oder auch nur die Möglichkeit besteht rumzuschnüffeln. Das hat weder etwas mit Paranoia noch mit übertriebener Empfindlichkeit zu tun, sondern geht mir prinzipiell gegen den Strich. Ich behandle Dropbox hier wie jeden anderen Menschen und jedes andere Unternehmen auch. Ich vertraue gerne und gebe meinen Mitmenschen gerne eine Vertrauensvorschuss. Zugegeben, das geht manchmal in die Hose, aber die meisten Menschen vergelten es mir ebenfalls mit Vertrauen und einem guten Verhältnis. Gleichermaßen wie ich gerne vertraue, bin ich umso strikter, was Vertrauensbrüche betrifft. Damit meine ich das Ausplaudern von Vertraulichkeiten genauso wie Intrigen hinter meinem Rücken und eben das nachträgliche Ändern einer Vertrauensbasis.
Genau das hat Dropbox gemacht. Und damit hat es mein Vertrauen vollständig und vermutlich dauerhaft verloren. Daher brauche ich eine Alternative um Daten in der Cloud zu lagern. Am besten etwas, bei dem es technisch unmöglich ist, meine Daten weiterzugeben.
Auftritt SpiderOak.
Prinzipiell ist das Konzept von SpiderOak sehr ähnlich zu dem von Dropbox (wenn auch der Name nicht so cool ist). Man wählt Ordner aus, die als Kopie in der Cloud leben und auf allen meinen Rechnern synchronisiert werden. Sehr praktisch für mich, da ich meine Uni-Daten sowohl auf meinem Laptop, als auch auf dem Uni-Account sowie im Netz zur Verfügung habe. Ich speichere eine Datei in einem synchronisierten Ordner und voilá erscheint die Datei auch auf allen anderen Rechnern. SpiderOak ist genau wie Dropbox für Linux, Windows, Mac und einige Smartphonebetriebssysteme verfügbar. Soweit so gut.
SpiderOak hat eine Zero-Knowledge-Policy, d.h. alle Daten werden auf meinem Rechner verschlüsselt und entschlüsselt. Soweit ich weiß, ist es der einzige Cloud-Storage Service, der das so handhabt. In der Cloud liegt nur verschlüsselter Datensalat, mit dem auch SpiderOak nichts anfangen kann, weil auch die Schlüssel nur auf meinen Rechnern vorhanden sind. Praktisch, da man SpiderOak mit allem möglichen drohen kann. Sie können die Daten nicht rausgeben, selbst wenn sie wollten. Das Problem ergibt sich jetzt dahingehend, dass kollaborative Ordner nicht möglich sind, weil dazu mein Mitarbeiter ebenfalls meinen Schlüssel kennen müsste, um in meine SpiderOak hochzuladen. Was natürlich Quatsch wäre. Vielleicht kommt da in Zukunft ein besseres Verfahren, dass Daten z.B. für zwei oder mehrere Personen gleichzeitig verschlüsselt werden, wie es GnuPG auch kann.
Prinzipiell kann man eine solche Lösung aber auch mit einem Git-Repository und einer Handvoll GnuPG-Schlüssel realisieren, auch wenn das natürlich nix für den normalen Benutzer ist, sondern eher für den Geek/Nerd. Für mich ist diese Funktion aber eher zweitrangig, nicht nur, weil ich auch die Nerd-Lösung aufsetzen könnte, sondern weil ich generelle eher wenig kollaborativ mit Dropbox gearbeitet habe.
Auch den Einsatz eines TrueCrypt-Containers erscheint mir nicht zielführend, da das funktionieren desselben voraussetzt, dass der Dropbox-Client weiterhin fähig ist nur ein Delta des Containers abzugleichen und nicht den ganzen Container bei jeder Änderung hochzuladen. Auch wenn es im Moment möglich ist, ich vertraue Dropbox nicht, dass sie diese Funktion auch in Zukunft noch anbieten. Mal abgesehen davon, dass der Einsatz von TrueCrypt in der Dropbox auch wieder Kollaborationsprobleme mit sich bringt und sei es nur dem Kollegen zu erklären, was TrueCrypt ist, was es macht, wie man es installiert und wie man es mit Dropbox einsetzt. Da kannste auch gleich SpiderOak nehmen.
Ein letzter Punkt, der mich noch nervt. Vor nicht allzu langer Zeit habe ich Dropbox noch einem Kumpel und meiner Freundin schmackhaft gemacht. Auf die Frage, ob das denn sicher sei und ob Dropbox vertrauenswürdig sei, antwortete ich: “Klar sind die das. Wenn die es nicht wäre, platzt ihr Geschäftsmodell und sie sind weg vom Fenster.”
Schade, dass Dropbox mein Vertrauen so leichtfertig verspielt hat. Ich hoffe, dass Dropbox seine AGBs und seine Technik entsprechend ändert, um Vertrauen zurückzugewinnen. Oder aber vom Markt verschwindet.
Das Bundesverfassungsgericht hat heute erneut den Gesetzgeber auf den Boden der Verfassung zurückgeholt: Die bei der Bundestagswahl 2005 eingesetzten Wahlcomputer waren nicht verfassungsgemäß. Zwar habe es keine Hinweise auf Manipulation gegeben, so dass der Bundestag nicht verfassungswidrig zustande kam, aber die Richter haben gesagt, dass die Wahlcomputer wie 2005 eingesetzt nicht den strengen Kriterien unserer Wahlen gerecht werden.
Warum muss eigentlich immer das BVG erst solchen Unsinn kassieren, bis sich jemand ein paar Gedanken zum Datenschutz und der Datenintegrität macht? (mal abgesehen von den Nerds…)
Heute ist ein guter Tag für die Freiheit und für unsere Verfassung. Den Richtern aus Karlsruhe sei Dank!
ich bin Ben und das ist mein Blog. Ich schreibe hier hauptsächlich über Wirtschaft und Politik, aber auch über Linux, Technik, Fotografie und was mich sonst so beschäftigt.
Das sagen andere