Schlagwort-Archiv: CCC

CCC analysiert aktuellen Staatstrojaner

Der Chaos Computer Club (CCC) hat heute eine Stellungnahme zum aktuellen Staatstrojaner der Firma DigiTask veröffentlicht. Das Ergebnis ist schnell zusammengefasst: Die Version aus dem Jahre 2010 ist nahezu genau so schlecht implementiert und gesetzwidrig wie die Version aus dem Jahr 2008.  Daher schließe ich mich der Meinung des CCC an:

[...] Wer solch grundgesetzwidrige Vorgehensweise nach der Maxime ‘der Zweck heiligt die Mittel’ nicht nur billigt, sondern fortzuführen plant, hat in verantwortlicher Position in einem Rechtsstaat nichts verloren. [...]

mit der Forderung des CCC:

  1. Kein weiterer Einsatz von Trojanern in strafprozessualen Ermittlungen.
  2. Sofortige Offenlegung der Quellcodes und aller Prüfprotokolle über vergangene Einsätze von Trojanern durch deutsche Ermittlungsbehörden.
  3. Zukünftige automatische Offenlegung von Quellcode, Binary und Protokollen des Trojaners nach jedem Einsatz.
  4. Bei einer staatlichen Infiltration eines Rechners muß unwiderruflich die Möglichkeit erlöschen, Daten von der Festplatte des infiltrierten Systems gerichtlich zu verwerten.

Weitere Beiträge dazu:

 

Bundestrojaner in freier Wildbahn gesichtet?

Der seit Jahren durch die Szene geisternde “Bundestrojaner” scheint erstmals in freier Wildbahn entdeckt worden zu sein. Der Chaos Computer Club (CCC) hat mehrere Exemplare einer offensichtlich staatlichen Schnüffelsoftware analysiert und kommt zu erschreckenden Ergebnissen. Wenn es sich wirklich bewahrheitet, dass die Software von deutschen Behörden (z.B. dem BKA) eingesetzt und sogar erstellt worden ist, steht es um die Verfassungsmäßigkeit unserer Exekutive noch schlechter als gedacht. So langsam müssen die Alarmglocken läuten!

Weitere Infos und Hintergründe dazu:

Update 10.10.2011:

Video zur Veranschaulichung der Problematik:

Quelle Video: Alexander Svensson, CC-Lizenz, auf YouTube

Chaosradio 161 – SuisseID und der deutsche elektronische Personalausweis

Sehr schön zum aktuellen Thema elektronischer Personalausweis passt die Ausgabe CR161 vom Chaosradio vom 01.10.2010. Der Chaos Computer Club erläutert Hintergründe zum nPA und warum die Sicherheit nicht nur vom Ausweis selbst abhängt.

Quelle CR161: Chaosradio

Demo “Freiheit statt Angst” 2010

Am 11. September findet in Berlin wieder eine Demo “Freiheit statt Angst” statt. Die Demonstration richtet sich wie auch in 2009 gegen ausufernde Überwachung und Kontrolle der Bürger. Wer nicht hingeht, kann auch für die Durchführung spenden.

Passend dazu war die Demo zuletzt Thema beim Chaosradio CR160.

Und hier noch der Trailer zur Demo auf YouTube:

Elektronischer Personalausweis kommt mit unsicheren Lesegeräten

In der letzten Plusminus-Sendung wurde in Zusammenarbeit mit dem CCC gezeigt, dass der im November kommende neue elektronische Personalausweis (ePA) in Zusammenhang mit den dann kostenlos verteilten Lesegeräten unsicher ist. Nun, das ist insofern keine Überraschung, als dass jede Anwendung, die auf dem PC läuft (hier betrifft es mindestens das Eingeben der PIN über die PC-Tastatur), prinzipiell nie zu 100% sicher ist. Das gilt vermehrt für die vielen Lemminge mit Windows-Rechnern, von denen das Bundesinnenministerium verlangt, dass sie für die Sicherheit der PC-Umgebung sorgen müssen. Aber hat das jemals geklappt?

Hier das Video zur Sendung:

Quelle: ARD, über YouTube

Da es immer eine Unsicherheitskomponente gibt, und sei es der Mensch selbst, hätte man meines Erachtens den ePA als hoheitliches Dokument nicht so mit neuen Funktionen überladen dürfen. Die beiden Kardinalfehler beim ePA sind aus meiner Sicht:

1) RFID/NFC-Schnittstelle

Damit können Daten über Funk (im Nahbereich) ausgelesen werden. Falls jemand diese Schnittstelle knackt oder bei authentifizierten Übertragungen mitlesen kann, ist die Sicherheit des Gesamtsystems am Ende. Derzeit ist das Auslesen der verschlüsselten Daten zwar nur nach Authentifizierung der Lesegeräte und PIN-Eingabe möglich, aber wie beim Online-Banking, bei dem die eigentlichen Kryptoverfahren auch sicher sind, wird es über kurz oder lang wahrscheinlich Möglichkeiten geben, diese ePA-Sicherheit zu umgehen (Pishing, Skimming, Man-in-the-middle, etc.).

Und ganz wichtig: Ich selbst habe keine unmittelbare physische Gewalt mehr über dieses Schnittstelle. Außer Schutz durch Alu-Hüllen.

2) Kopplung mit privatwirtschaftlichen Funktionen

Wieso wird der ePA mit Funktionen ausgestattet, die größtenteils der Privatwirtschaft nützen? Der ePA sollte ein rein hoheitliches Dokument bleiben. Alles andere (eID, digitale Zertifikate mit Signaturfunktion) gehört auf eine separate (Bürger-)Karte.

Diese beiden Punkte hätten jedem halbwegs kompetenten und lernwilligen Entscheider auffallen müssen. Denn ist so ein System erst mal gehackt, dann geht es uns wie bei den EC-Karten. Wehe dem, dessen Identität plötzlich missbraucht wird und in der Beweispflicht steht.

Weitere Infos:

Chaosradio CR159 – Digitale Postkarten

Die aktuelle Chaosradio Ausgabe CR159 steht unter dem Titel “Digitale Postkarten” und berichtet “über die Versuche, elektronische Post staatlich zu organisieren und kostenpflichtig zu machen”. Damit sind die Dienste De-Mail und E-Postbrief gemeint.

Demnach sind weitere Nachteile der “Bezahlmail”-Dienste, die ich noch nicht genannt hatte:

  • Die digitalen Postkarten gelten spätestens 3 Tage nach Ablage der Nachricht in der Mailbox als zugestellt. Das ist in der analogen Welt, verglichen mit einem Einschreiben, nicht so. Dort wird darauf geachtet, dass ich persönlich das Einschreiben in den Händen halte. Erst dann beginnen Fristen. Bei den elektronischen Varianten liegt die Mailbox zudem bei einem privatwirtschaftlichen Anbieter und damit außerhalb meines Machtbereichs.
  • De-Mail & Co. sollen keine Dokumente ersetzen, die der Schriftform unterliegen. Die dafür nötige qualifizierte elektronische Signatur ist indes heute schon möglich, wird jedoch bei De-Mail & Co. nicht angewandt. Wozu also De-Mail ?

Eine schöne Zusammenfassung der Problematik mit De-Mail und E-Postbrief bietet Heise in der aktuellen c’t unter dem Titel “Elektronische Einschreiben“, wobei der Schlusssatz es auf den Punkt bringt:

Während Unternehmen und Behörden viel Porto sparen, bekommen Privatkunden mehr Pflichten aufgebürdet als bei der Zustellung der Papierpost und müssen einem System vertrauen, von dem noch nicht bekannt ist, ob es wirksam gegen Angriffe und Spam-Attacken geschützt ist und die Korrespondenz dort sicher aufgehoben ist.

Quelle CR159: Chaosradio

Chaosradio CR155 zu Netzsperren, ACTA und Jugendschutz im Netz

In dieser Woche wurde die Chaosradio Ausgabe CR155 veröffentlicht, die sich mit Netzsperren, ACTA und dem neuen Jugendmedienschutz-Staatsvertrag (JMStV) im Internet beschäftigt. Die Leute vom CCC machen sehr schön klar, wie der Staat versucht, das Internet zu kontrollieren und die Menschen zu überwachen und zu gängeln. Bleibt zu hoffen, dass die Maßnahmen gestoppt oder zumindest geändert werden können, denn Vieles ist einfach Unsinn. Aber hört einfach selbst mal rein, was Staat und EU mit uns vorhaben,  z.B. unten im Audio-Plugin. Weitere Infos zur Sendung im Chaosradio Wiki.

Siehe auch:

Quelle CR155: Chaosradio

CDU/FDP: Überwachungsgesetze werden nur mäßig eingeschränkt

Gestern Abend hat es bei den Koalitionsverhandlungen eine unerwartet zügige Einigung zwischen CDU/CSU und FDP gegeben hinsichtlich der offenen Fragen beim Thema Innenpolitik. Streitpunkt waren vor allem die Vorratsdatenspeicherung, das BKA-Gesetz und die Web-Sperren gegen Kinderpornografie. Leider – aber auch wie zu erwarten war – sind diese Überwachungsgesetze nur mäßig eingeschränkt worden. Um es gleich zu sagen: Was uns von den designierten Koalitionspartnern als großer Sieg der Bürgerrechte verkauft wird, ist zum größten Teil eine Mogelpackung.

Bei der Vorratsdatenspeicherung ist nämlich so gut wie gar nichts geändert worden. Es soll weiter verdachtslos für 6 Monate protokolliert werden, mit wem ich wann und wo telefoniert habe, wem ich wann und wo eine Email oder SMS geschrieben oder empfangen habe und welche IP-Adresse ich beim Surfen im Internet verwendet habe. Lediglich die Auswertung dieser Daten soll auf schwere Gefahrensituationen begrenzt werden, zumindest bis das BVerfG in der Sache endgültig entscheidet. Man muss sich bewusst machen: Das BVerfG hat diese Einschränkung jedoch schon im März 2008 verkündet. Was da nun verbessert worden sein soll, erschließt sich mir nicht. Es wird also munter weiter gespeichert. Es muss aber das Ziel sein, die Speicherung der Daten eben nicht pauschal zu erlauben, sondern schon bei der Speicherung sehr hohe Hürden zu setzen. Die Verfassungsklagen müssen also aufrecht erhalten bleiben.

Bei den Web-Sperren ist in der Tat ein signifikanter Erfolg verzeichnet worden, zumindest bis auf weiteres. Denn die Sperrlisten sollen vom BKA für ein Jahr weder erstellt noch an die Provider weitergegeben werden. Vielmehr soll ein Jahr lang versucht werden, die betreffenden Seiten zu löschen. Das Gesetz wird aber wohl dennoch in Kraft treten, so dass die Sperren eben noch nicht vom Tisch sind. Inwiefern das problematisch sein kann, wird bei netzpolitik.org erörtert. Und die Zensurinfrastruktur ist erstmal geschaffen und kann jederzeit wieder aktiviert werden.
Trotzdem: Diese Wendung hin zum Löschen statt Sperren ist durchaus ein großer Erfolg der Kritiker und Bürgerrechtler. Vor allem gilt der Dank den Teilnehmern an Arbeitskreisen, Petitionen, Unterschriftsaktionen und Demos. Und nicht zuletzt der Piratenpartei. Die FDP konnte eigentlich nicht anders, als sich hier in Szene zu setzen. Vielleicht ist aber auch bei vielen in der CDU langsam die Einsicht gekommen, dass das Zugangserschwerungsgesetz untauglich und dilettantisch ist. Selbst Herr Schäuble hat sich dazu geäußert. Wir müssen aber auch hier dran bleiben.

Das BKA-Gesetz, gegen das ebenfalls eine Verfassungsklage ansteht, wurde demgegenüber nur leicht kosmetisch eingeschränkt. Verdeckte Online-Durchsuchungen sind weiterhin gesetzliches Mittel zur Strafverfolgung.

Insgesamt also eine Reihe von Kompromissen, deren praktische Implementierung und Wirkung erst abgewartet werden müssen. Bürgerrechtler sind weiterhin dringend erforderlich, denn der Kampf ist noch nicht vorbei. Welche Punkte sonst noch auf der Agenda stehen sollten, hat heute der Chaos Computer Club überaus eindrucksvoll als Spickzettel digitaler Bürgerrechte publiziert.

Update: Erste Reaktionen und weitere Links zu den Einigungen:

Für besonders erwähnenswert finde ich die Tatsache, dass der Einsatz der Bundeswehr im Innern vom Tisch ist. Das hätte wirklich einen Dammbruch bedeutet.

Update 2: Der FoeBuD e.V. hat inzwischen eine Beurteilung der Ergebnisse veröffentlicht, die sich stark mit meinen Einschätzungen deckt. Auch der AK Vorrat hat reagiert und bezeichnet die Einigung als völlig unzureichend.

Interviews im ZDF-Mittagsmagazin

Über netzpolitik.org und das Heise-Forum bin ich auf eine Sendung vom ZDF-Mittagsmagazin aufmerksam geworden, in der Markus Beckedahl, die Piratenpartei und der Chaos Computer Club und interviewt wurden. Fazit: Netzpolitik wird wichtiger und die Leute lassen sich nicht mehr alles gefallen. Hier der Mitschnitt:

Quelle: ZDF, auf YouTube