Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

April 25 2011

02mydafsoup-01
"Ich glaube, wir werden verfolgt." Wie staatliche #Kontrolle und #Überwachung den #Widerstand blockiert: http://bit.ly/hS1fcn

-------------------------------------------------------------------

// oA:nth

[...]

Was wäre, wenn das Ziel der staatlichen Überwachung bereits damit größtenteils erfüllt ist, dass wir uns kontrolliert fühlen? Wie verändert sich unser Verhalten, wenn wir unter dem Eindruck stehen, dass jeder Schritt überwacht, jeder Gedanken aufgezeichnet und jeder Kontakt protokolliert wird?

Das Gefühl unter ständiger Beobachtung zu stehen macht vorsichtig und misstrauisch. Diktaturen nutzen die Instrumente der Überwachung nicht nur zur konkreten Verfolgung politischer Widersacher. Sie profitieren alleine schon von der Atmosphäre der Kontrolle, die durch Misstrauen und Angst jeden Widerstand im Keim erstickt.

Angst und Misstrauen führen bei vielen Menschen dazu, dass sie ihre politischen Überzeugungen verbergen. Offen äußern sie sich nur im Kreise engster Freunde und achten ansonsten penibel darauf, dass ihre Position bei Arbeitgebern, Familiemitgliedern, Nachbarn oder Bekannten nicht erkennbar wird. Öffentliche Äußerungen erfolgen, wenn überhaupt, unter Pseudonym im Internet.

[...]

Twitter / Jacob Jung: "Ich glaube, wir werden ve ... | 2011-04-23
Reposted bykrekk krekk

April 24 2011

02mydafsoup-01

April 20 2011

02mydafsoup-01

"HTTPS Now" Campaign Aims To Secure The Internet

EFF logo 150x150.jpgThe Electronic Frontier Foundation (EFF) and Access, a digital freedom activist group, have partnered together to start a "HTTPS Now" campaign to spread awareness and advocate for increased Internet security.

HTTPS -- Hypertext Transfer Protocol Secure -- HTTPS is built on HTTP and integrates the Secure Sockets Layer/Transfer Layer Security protocol to ensure data encryption over a secure channel. It provides 128- to 265-bit encryption, which means that it is virtually unhackable.

"We've heard a lot about how malicious tools like Firesheep can be used to steal data, including passwords for email and social networking accounts," said EFF activist Eva Galperin in a press release. "HTTPS Now is aimed at protecting users from attacks like these by spreading the word about HTTPS and how to use it correctly. HTTPS provides the minimum level of security for websites. Without it, no site can make any meaningful security or privacy guarantees to its users."

Sponsor

The EFF has worked with Internet browsers to help HTTPS more ubiquitous. It has partnered with the Tor Project on "HTTPS Everywhere," a security tool for the Firefox browser that encrypts a users' browsing and changes it from HTTP to HTTPS whenever possible.

The HTTPS movement is gaining more traction lately with a series of high-profile hacks forcing the hands of websites and social networks. Facebook issued an "HTTPS always-on" option after CEO Mark Zuckerberg's account was broken into and Twitter recently created an option to always use HTTPS when using Twitter.com shortly after uber-user Ashton Kutcher's account was hacked.

"We want to make it easier for web users to get the security they need and deserve, but we can't do it alone. We need an accurate picture of the state of HTTPS on the Internet. After that, we can target website operators and make it easy for them to update their sites," said Jochai Ben-Avie of Access. "Working together, we can all be safer from identity theft, security threats, viruses, and other things that come from an insecure Internet."

Discuss


April 15 2011

02mydafsoup-01

April 13 2011

CAPTCHA chaos by Marianne Freiberger | plus.maths.org

[...]

The new method, proposed by T.V. Laptyeva and S. Flach from the Max-Planck-Institute for the Physics of Complex Systems in Germany and K. Kladko from Axioma Research in the US, also uses standard encryption algorithms, like AES, but it works some magic with the password. It uses a long password consisting of two parts. One part is an easily memorable short password (SP) and the other is longer and known as the strong key. The confidential text is encrypted using a standard algorithm like AES and the combination of short password and strong key as the password.

Image embedding

The strong key — in this example the word "chaos" — is embedded in an image.

The strong key doesn't have to be memorised by the user. Instead the strong key is then embedded in an image in a similar way as for the familiar CAPTCHA test, which shows the user a distorted image of a word which computers used to find difficult to identify (though good image recognition software can these days do the trick).

But here's the trick: the image can also be interpreted as a snapshot in time of a dynamical system — a system that evolves over time according to a set of mathematical equations. The state of the system at each individual time step can be described using numbers and represented by an image.

The particular dynamical system used in this case comes from physics, where it is used to model the behaviour of ferroelectric materials, such as barium titanate. These are akin to magnetic materials, but rather than responding to magnetic fields, they respond to electric fields, becoming electrically polarised when an electric field is applied.

Ferroelectric materials lose their ferrorelectric property at a certain temperature. Such a sudden change in a material's porperties is called a phase transition. Typically a system undergoing a phase transition moves from an ordered state — electric polarisation in the case of ferroelectric materials — to a disordered state. The dynamical system the researchers chose for their encryption method is a simple model of the behaviour of ferroelectric materials close to the phase transition. One of the properties the system exhibits near this order-disorder transition point is chaos: parameters describing the system fluctuate wildly and the system is so sensitive to small changes that it is impossible to predict exactly what state it will be in after a number of time steps.

Image evolution

The image containing the strong key (called the ISK) is evolved in time (downward direction). Even the smallest change in the resulting image will cause you to miss the original when you go back in time.

Now suppose you have arrested this dynamical system at a particular moment in time, say at time $t_0$. The encryption method works by embedding the strong key in the corresponding image using something akin to the CAPTCHA method. The system is then allowed to evolve for a certain number of time steps, until it reaches time $t_ n$. The state of the system at time $t_ n$ will have similar overall features for whatever initial state $t_0$ we start with, but due to the chaotic dynamics the precise nature of these features is impossible to predict and they appear random. The numerical information which encodes the state of the system at time $t_ n$ can therefore be split into two parts. One part describes the regular features of the system — this can be stored in plain text. The other describes the random-looking detail and is encoded using the short password.

Now imagine that you're the legitimate user in possesion of the correct SP. You enter the SP, which decrypts the random-looking part of the information. This is then combined with the information that encodes the regularities of the dynamical system, to give you all the information about the system at time $t_ n$. The system is now evolved backwards in time until it gets back to time $t_0$. In theory, such a backward evolution does not always get you back to the exact state you started from: because the system is chaotic, the smallest inaccuracy in your information (coming for example from rounding off numbers) can amplify as you move backwards in time and cause you to miss the original image. But by making sure you don't use too many time steps (i.e. that the number $n$ isn't too large) you can guarantee that you end up with something nearly identical to the original image. Then, instead of having to remember it, you can just read the strong key off that image. It is now combined with the short password to give you the overall password which decrypts the original data.

But what if you're a hostile attacker systematically trying out a large number of short passwords? Suppose that you have access to the plain-text information describing the regular features of the dynamical system at time $t_ n$ and to the encrypted data representing the random-looking part. First you use a particular short password guess to get a candidate decryption of the random-looking part. Usually the candidate decryption would be searched for patterns and correlations which indicate if it's the true text. But in this case the true text itself looks random, so any such search is futile. You just have to plough on: you evolve the system backwards until time $t_0,$ hoping that the resulting image contains the correct strong key.

[...]

Permalink | Leave a comment  »

April 05 2011

02mydafsoup-01

HTTPS Everywhere | Electronic Frontier Foundation - [ 2011-04-05 ]


 

HTTPS Everywhere is a Firefox [+ Seamonkey 2.x.x | oanth] extension produced as a collaboration between The Tor Project and the Electronic Frontier Foundation. It encrypts your communications with a number of major websites.

Many sites on the web offer some limited support for encryption over HTTPS, but make it difficult to use. For instance, they may default to unencrypted HTTP, or fill encrypted pages with links that go back to the unencrypted site.

The HTTPS Everywhere extension fixes these problems by rewriting all requests to these sites to HTTPS.

The plugin currently works for:

  • Google Search
  • Wikipedia
  • Twitter
  • Facebook
  • bit.ly
  • GMX
  • Wordpress.com blogs
  • The New York Times
  • The Washington Post
  • Paypal
  • EFF
  • Tor
  • Ixquick
  • and many other sites!

April 04 2011

02mydafsoup-01
02mydafsoup-01
We've been huge fans of OpenDNS for years now. (Ever since David Pogue turned us on to the service). It's a quick and easy way to tweak your computer's network settings for faster, more secure browsing.

What is DNS? It stands for Domain Name Server, which is what translates those weird internet addresses like 123.45.67 into something humans can understand like www.businessinsider.com.

The service OpenDNS helps speed up your internet connection because it stores a large cache of internet addresses to translate and deliver them to your more quickly.

Speed Up Your Internet Connection With Open DNS
Reposted fromSigalon02 Sigalon02

Cory Doctorow’s craphound.com » TEDxObserver talk on kids and privacy

"Here's a video of my talk on kids, privacy and social media ("A Skinner box that trains you to under-value your privacy: how do we make kids care about online privacy?") at last month's TEDxObserver event in London. It was a great day and there were a ton of interesting talks (the set is here)."
Reposted fromrobertogreco robertogreco

March 25 2011

02mydafsoup-01

Wenig Optimismus für nahe Zukunft | orf.at 2011-03-24

Zunehmend wächst die Angst, dass die Menschen aus der Region in absehbarer Zeit nicht mehr in ihre Heimat zurückkehren werden können.

Je nach Grad der Verseuchung könnte sich die Rückkehr in ihre Heimatdörfer um Jahre, wenn nicht sogar Jahrzehnte verzögern. Einige von ihnen könnten sich sogar dazu gezwungen sehen, ihre Häuser und Höfe für immer aufzugeben, berichteten Tan Ee Lyn und Elaine Lies von der Nachrichtenagentur Reuters.

Mehr als 70.000 Menschen betroffen

Um das Katastrophenkraftwerk Fukushima I haben die Behörden bisher in einem Umkreis von 20 Kilometern Ortschaften evakuiert. Mehr als 70.000 Menschen sind davon betroffen. Sollte die Sperrzone auf 30 Kilometer ausgedehnt werden, müssten die Behörden für 130.000 weitere Menschen Notunterkünfte finden.

Die Regierung hält sich bisher bedeckt zu den Fragen, wie lange die Sperre aufrechterhalten werden muss und ob eine Ausweitung an logistischen Hindernisse scheitern könnte. Viele Flüchtlinge befürchten das Schlimmste.

Zittern vor den Details

Obwohl der Reaktorunfall von Fukushima 240 Kilometer nördlich der Hauptstadt Tokio laut Experten nicht so schwere Folgen haben dürfte wie der von Tschernobyl, belasten die gleichen radioaktiven Substanzen die Umwelt - allen voran Jod 131, Cäsium 134 und Cäsium 137. Während das krebserregende Jod 131 nach etwa 80 Tagen zerfällt, bleiben die ebenfalls hoch radioaktiven Cäsium-Verbindungen mehr als 200 Jahre lang gefährlich.

Wie lange die Sperrzone aufrechterhalten werden muss, hängt also maßgeblich davon ab, welche radioaktiven Substanzen in welchem Umfang freigesetzt worden sind. „Falls ein großer Teil davon radioaktives Cäsium ist, könnten die Lebensmittelverbote und wahrscheinlich auch die Evakuierungen sehr lange andauern“, sagt der Strahlenexperte Jim Smith von der Universität Portsmouth in Südengland gegenüber Reuters.

„Wir müssen vorsichtig sein“

Die japanische Regierung äußerte sich am Donnerstag sehr zurückhaltend zu den längerfristigen Konsequenzen der Sperrzone für die betroffenen Bewohner. Regierungssprecher Yukio Edano räumte lediglich ein, dass man sich zu einem späteren Zeitpunkt auch den „sozialen Nöten“ widmen müsse.

Zugleich warnte er vor den Folgen, die eine Ausdehnung der Sperrzone haben könnte. „Wir müssen vorsichtig sein, dass wir nicht die falsche Botschaft senden, dass die Gefahr zunimmt“, sagte Edano.

Reposted fromFreeminder23 Freeminder23
02mydafsoup-01

Fukushima radioactive fallout nears Chernobyl levels | newscientist.com 2011-03-24


Japan's damaged nuclear plant in Fukushima has been emitting radioactive iodine and caesium at levels approaching those seen in the aftermath of theChernobyl accident in 1986. Austrian researchers have used a worldwide network of radiation detectors – designed to spot clandestine nuclear bomb tests – to show that iodine-131 is being released at daily levels 73 per cent of those seen after the 1986 disaster. The daily amount of caesium-137 released from Fukushima Daiichi is around 60 per cent of the amount released from Chernobyl.

The difference between this accident and Chernobyl, they say, is that at Chernobyl a huge fire released large amounts of many radioactive materials, including fuel particles, in smoke. At Fukushima Daiichi, only the volatile elements, such as iodine and caesium, are bubbling off the damaged fuel. But these substances could nevertheless pose a significant health risk outside the plant.

The organisation set up to verify the Comprehensive Nuclear-Test-Ban Treaty(CTBT) has a global network of air samplers that monitor and trace the origin of around a dozen radionuclides, the radioactive elements released by atomic bomb blasts – and nuclear accidents. These measurements can be combined with wind observations to track where the radionuclides come from, and how much was released.

The level of radionuclides leaking from Fukushima Daiichi has been unclear, but the CTBT air samplers can shed some light, says Gerhard Wotawa ofAustria's Central Institute for Meteorology and Geodynamics in Vienna.

Ill wind

For the first two days after the accident, the wind blew east from Fukushima towards monitoring stations on the US west coast; on the third day it blew south-west over the Japanese monitoring station at Takasaki, then swung east again. Each day, readings for iodine-131 at Sacramento in California, or at Takasaki, both suggested the same amount of iodine was coming out of Fukushima, says Wotawa: 1.2 to 1.3 × 1017 becquerels per day.

The agreement between the two "makes us confident that this is accurate", he says. So do similar readings at CTBT stations in Alaska, Hawaii andMontreal, Canada – readings at the latter, at least, show that the emissions have continued.

In the 10 days it burned, Chernobyl put out 1.76 × 1018 becquerels of iodine-131, which amounts to only 50 per cent more per day than has been calculated for Fukushima Daiichi. It is not yet clear how long emissions from the Japanese plant will continue.

Similarly, says Wotawa, caesium-137 emissions are on the same order of magnitude as at Chernobyl. The Sacramento readings suggest it has emitted 5 × 1015 becquerels of caesium-137 per day; Chernobyl put out 8.5 × 1016 in total – around 70 per cent more per day.

"This is not surprising," says Wotawa. "When the fuel is damaged there is no reason for the volatile elements not to escape," and the measured caesium and iodine are in the right ratios for the fuel used by the Fukushima Daiichi reactors. Also, the Fukushima plant has around 1760 tonnes of fresh and used nuclear fuel on site, and an unknown amount has been damaged. The Chernobyl reactor had only 180 tonnes.

The amounts being released, he says, are "entirely consistent" with the relatively low amounts of caesium and iodine being measured in soil, plants and water in Japan, because so much has blown out to sea. The amounts crossing the Pacific to places like Sacramento are vanishingly small – they were detected there because the CTBT network is designed to sniff out the tiniest traces.

Reposted fromFreeminder23 Freeminder23

March 24 2011

02mydafsoup-01

[...]

What does this tell us about the current security model for web browsing? This instance highlights a few issues:

  • Too many entities have CA powers: As the SSL Observatory project helped demonstrate, there are thousands of entities in the world that have the ability to issue certificates. Some of these are trusted directly by browsers, and others inherit their authority. We don't even know who many of them are, because such delegation of authority -- either via "subordinate certificates" or via "reseller authorities" -- is not publicly disclosed. The more of these entities exist, the more vulnerabilities exist.
  • The current system does not limit damage: Any entity that can issue a certificate can issue a certificate for any domain in the world. That means that a vulnerability at one point is a vulnerability for all.
  • Governments are a threat: All the major web browsers currently trust many government agencies as Certificate Authorities. This often includes places like Tunisia, Turkey, UAE, and China, which some argue are jurisdictions hostile to free speech. Hardware products exist and are marketed explicitly for government surveillance via a "man in the middle" attack.
  • Comodo in particular has a bad track record with their RA program: The structure of "Reseller Authorities" has led to poor or nonexistant validation in the past, but Mozilla and the other browsers have so far refused to take any action to remove Comodo or put them on probation.
  • We need to step up efforts on a fix: Obviously the current state of affairs is not ideal. As Appelbaum notes, efforts like DANE, CAA, HASTLS, and Monkeysphere deserve our attention.

[Update: Jacob Appelbaum has posted his response to the Comodo announcement, criticizing some aspects of their response and the browsers.]

[Update: A few more details are revealed in this Comodo blog post, including the fact that "an attacker obtained the username and password of a Comodo Trusted Partner in Southern Europe."]

[...]

Web Browsers and Comodo Disclose A Successful Certificate Authority Attack, Perhaps From Iran | Freedom to Tinker 2011-03-23
02mydafsoup-01

[...]

The hacker, whose March 15 attack was traced to an IP address in Iran, compromised a partner account at the respected certificate authority Comodo Group, which he used to request eight SSL certificates for six domains: mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org and login.live.com.

The certificates would have allowed the attacker to craft fake pages that would have been accepted by browsers as the legitimate websites. The certificates would have been most useful as part of an attack that redirected traffic intended for Skype, Google and Yahoo to a machine under the attacker’s control. Such an attack can range from small-scale Wi-Fi spoofing at a coffee shop all the way to global hijacking of internet routes.

At a minimum, the attacker would then be able to steal login credentials from anyone who entered a username and password into the fake page, or perform a “man in the middle” attack to eavesdrop on the user’s session.

[...]

Hack Obtains 9 Bogus Certificates for Prominent Websites; Traced to Iran | Threat Level | Wired.com 2011-03-23
Reposted byiranelectionkrekk
02mydafsoup-01

March 10 2011

Chaos Computer Club weist auf ernste Sicherheitslücken bei der Bundesfinanzagentur hin

Auf den Internetseiten der Bundesfinanzagentur [1] konnte jahrelang jeder Internetnutzer mit seinem Webbrowser eigene Angebote für Geldgeschäfte einstellen sowie die Angebote der Finanzagentur verändern und ergänzen. Ob und welche Transaktionen seit 2009 dadurch manipuliert wurden, ist bisher nicht bekannt. Die Mißbrauchsmöglichkeiten wurden dadurch erleichtert, daß die Agentur dem Surfer einen graphischen Datenmanager [2] anbot.

Die Bundesfinanzagentur mit Sitz in Frankfurt am Main ist der zentrale Dienstleister für die Kreditaufnahme des Bundes durch Schuldscheindarlehen und Bundesschatzbriefe. Sie leistet ihre Dienste vorwiegend dem Bundesministerium der Finanzen, verhandelt die Zinssätze und gleicht das Konto der Bundesrepublik Deutschland bei der Deutschen Bundesbank aus.

Das integrierte Online-Banking der Bundesfinanzagentur zeigte ebenfalls schwere Sicherheitsmängel. Ist man bei der Bundesfinanzagentur Kunde, kann man die Seite www.bundeswertpapiere.de als Einstiegsseite für das Internet-Banking nutzen. Man klickt dazu im Menü auf den Link "Internet Banking". Ein Angreifer kann nun wegen der fehlerhaften Konfiguration des Webservers selbst bestimmen, was bei einem Klick eines Kunden auf "Internet Banking" geschieht. Er kann den Webserver so umprogrammieren, daß dieser als Zwischenpuffer für das Webbanking-System funktioniert – ein Vorgehen, das als Phishing bekannt ist. Die eingesetzte Apache-Webserversoftware unterstützt die nötigen Funktionen bereits standardmäßig.

Dadurch können Daten wie Benutzernamen, Paßwörter und PINs, die von den Nutzern eingegeben werden, ohne viel Aufwand abgefangen und kriminell mißbraucht werden. Ein Kunde der Bundesfinanzagentur hat im Gegensatz zu bekannten Phishing-Angriffen auf Online-Bankingsysteme keine Möglichkeit herauszufinden, daß seine Daten verdeckt mitgelesen werden. Da der Angriff vom originalen Webserver ausgeht, bleiben auch eventuelle Phishing-Warnungen des Webbrowser inaktiv.

"Diese Sicherheitslücke ist schwerwiegend, weil schon mittels sehr einfacher Phishing-Methoden alle Zugangsdaten der dortigen Kunden hätten ausgespäht werden können. Es geht hier nicht nur um eine fehlerhafte Konfiguration eines Webservers, sondern auch um den jahrelangen Betrieb dieses sensiblen Servers ohne ernsthafte Prüfung auf Sicherheitsmängel", erläuterte CCC-Sprecher Dirk Engling.

Der CCC hat die Bundesfinanzagentur selbstverständlich auf das peinliche Sicherheitsloch hingewiesen. Innerhalb weniger Stunden erfolgte die Reaktion. Laut Vertretern der Bundesfinanzagentur ist dieser hochgradig fahrlässige Zustand des Internetauftrittes "schon sehr lange so, die Webagentur habe das so geliefert" – und es sei nie etwas daran geändert worden. Trotz beauftragtem "Sicherheitsberater" und einer Beratung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden bisher keine Probleme an der Systemimplementierung identifiziert, sagte der Sicherheitsbeauftragte der Bundesfinanzagentur, Manfred Ehmer, dem CCC. Auf nochmalige Rückfrage teilte die Bundesfinanzagentur dem CCC mit, daß der Server zwar einmal mit einem Penetrationstest auf Sicherheitsprobleme von außen untersucht wurde, es seien aber keine Mängel gefunden worden.

"Man kann mit dieser Sicherheitslücke zwar kein Geld drucken, aber gutgläubige Bürger schädigen, die dem Staat Geld geliehen haben. Das ist kein Versehen mehr, das ist grobe Fahrlässigkeit. Für eine Agentur, die für die Refinanzierung der deutschen Schuldengebirge zuständig ist, kommt das einem Offenbarungseid gleich", kommentierte CCC-Sprecher Dirk Engling. "Andererseits ist diese Maßnahme vielleicht ein neuer Weg zur kollektiven Erarbeitung eines besseren Managements der Staatsschulden."

March 08 2011

02mydafsoup-01

Aufruf zum dritten "Welttag gegen Internetzensur" | heise online - 2011-03-07

 

Die Organisation "Reporter ohne Grenzen", die sich für Pressefreiheit einsetzt, ruft (PDF-Datei) für den 12. März zum dritten "Welttag gegen Internetzensur" auf. An dem Tag will die Organisation einen Bericht mit dem Titel "Feinde des Internets" veröffentlichen. Darin werden Staaten mit massiver Online-Überwachung benannt und ihre aktuelle Kontroll- und Zensurmaßnahmen im Web untersucht. Dabei sollen auch die jüngsten Ereignisse in Tunesien und Ägypten berücksichtigt sowie auf die Rolle des Internets bei den Protesten und der Verbreitung von Nachrichten eingegangen werden. Am Vorabend des Aktionstages will Reporter ohne Grenzen wieder einen Blogger, Online-Journalisten oder Cyber-Aktivisten für dessen Engagement für Meinungsfreiheit im Internet mit dem "Netizen-Preis" auszeichnen.

Mit dem Jahrestag will Reporter ohne Grenzen nach eigenen Angaben auf das "weltweit große Ausmaß der Internetzensur aufmerksam machen". In vielen Ländern habe das Internet neue Räume für den Austausch von Informationen geschaffen und sich so zu einer Kraft der Freiheit entwickelt. Immer mehr Regierungen reagierten darauf mit einer verschärften Online-Überwachung, um kritische Blogger, Online-Journalisten und Internetnutzer zum Schweigen zu bringen. Derzeit seien weltweit rund 120 Blogger und Online-Aktivisten in Haft, weil sie im Internet ihre Meinung frei geäußert haben.

  

via twitter

    

Reposted bykrekk krekk

March 07 2011

Bedarf die Diskussion über Netzsperren und den JMStV einer Entideologisierung?

In einem Gastbeitrag für Telemedicus plädiert Murad Erdemir für eine Entideologisierung der Debatte um das Internet. Konkret bezieht er sich auf die Diskussion um das Zugangserschwerungsgesetz und den Jugendmedienschutz-Staatsvertrag. Erdemir ist Justiziar der Hessischen Landesanstalt für privaten Rundfunk und neue Medien, Mitglied der Juristenkommission der Spitzenorganisation der Filmwirtschaft (SPIO) und Beirat der Unterhaltungssoftware Selbstkontrolle (USK).

Wer sich sich mit den Themen Netzsperren und Novellierung des JMStV intensiv auseinandergesetzt hat, weiß, dass die (öffentlichen) Debatten in erheblichem Maße unsachlich geführt werden. Wenn man die von Erdemir beklagte Ideologisierung in dem Sinne versteht, dass damit eine Verschleierung der Fakten einhergeht, so muss dieser Vorwurf gerade beim Thema Netzsperren primär in Richtung der politischen Akteure erhoben werden. Für die Diskussion um den Jugendmedienschutz gilt im Grunde nichts anderes, denn die Befürworter des jetzigen Konzepts sind darauf angewiesen, die Schimäre von der Wirksamkeit ihrer Regulierungsansätze aufrecht zu erhalten.

Ich möchte zwei Aspekte aus dem Text Erdemirs herausgreifen um zu verdeutlichen, dass Erdemir Ansätze verfolgt, denen es zu widersprechen gilt. Zum Thema Netzsperren führt Erdemir – keineswegs frei von Ideologie – aus:

“Sollte es zukünftig technisch möglich sein, den Zugang zu kriminellen Inhalten ohne schädliche Nebenwirkungen punktgenau zu unterbinden, dann ist diese Möglichkeit auch zu ergreifen. Spekulationen hinsichtlich eines Missbrauchs unter Verweis zum Beispiel auf chinesische Verhältnisse gehören dagegen zum ideologischen Glutkern der Debatte um Internetsperren. Sie zeugen von unzuträglichem Misstrauen gegenüber unserem Staat und haben vor dem Hintergrund der schutzbedürftigen Rechtsgüter zurückzustehen. Ihnen nachzugeben wäre die Insolvenzeröffnung des Rechtsstaates.”

Was den Verweis auf chinesische Verhältnisse angeht, hat der wissenschaftliche Dienst des Deutschen Bundestags – der wohl kaum im Verdacht steht, übermäßig ideologisch zu argumentieren – formuliert:

“Gerade am Beispiel China zeigt sich, dass Sperrungen durchaus wirksam durchgesetzt werden können, allerdings mit einem erheblichen Aufwand an Kosten, Zeit und Human Resources. Um Sperrungen effektiv handhaben zu können, müsste das Internet ganzheitlich umstrukturiert werden und insbesondere seine ursprüngliche Intention, nämliche die dezentrale Vernetzung von Computern, aufgegeben werden”

Damit ist der Kern des Problems exakt umrissen. Es gibt entweder die Möglichkeit, Maßnahmen zu ergreifen, die praktisch wirkungslos sind, denen aber trotzdem die erhebliche Gefahr der Beeinträchtigung anderer legaler Angebote innewohnt. Oder man verfolgt tatsächlich ein halbwegs effektives Sperr- und Filterkonzept, was allerdings eine Kontrolle und Umstrukturierung des Netzes nach chinesischem Vorbild voraussetzt. Wer vor diesem sachlichen Hintergrund behauptet, der Verweis auf chinesische Verhältnisse würde den ideologischen Glutkern der Debatte um Internetsperren darstellen, hat entweder die sachlich-technischen Zusammenhänge nicht verstanden oder agiert seinerseits ideologisch.

Die Vorstellung einer punktgenauen und effektiven Unterbindung von strafbahren Inhalten durch Access-Provider ist mit den dezentralen Strukturen, die das Wesensmerkmal des Internets darstellen, nicht in Einklang zu bringen und wird es auch künftig nicht sein. Nur wenn man bereit ist, sehr weitgehende technische Eingriffe zu akzeptieren, die allerdings nicht nur das Netz in seiner jetzigen Form, sondern auch den demokratischen Rechtsstaat in Frage stellen, kann man eine halbwegs effiziente Regulierung auf Access-Ebene erreichen.

Das grundlegende Missverständnis besteht in dem Glauben, man könne das Netz mit ähnlichen Mitteln regulieren und kontrollieren wie den Rundfunk. Diese Fehlvorstellung sitzt tief, weil die meisten (Medien-)Politiker einer Generation angehören, die mit Rundfunk und Presse aufgewachen ist. Weil Politiker außerdem immer den Eindruck erwecken wollen zu handeln, werden unsinnige Maßnahmen – auch gegen den Rat der überwiegenden Mehrheit der Experten – als wirksam dargestellt. Denn nichts ist offenbar schlimmer als den Eindruck der Untätigkeit zu erwecken.

Dieses Dilemma kennzeichnet in vielleicht noch stärkerem Maße die Diskussion um den Jugendmedienschutz. Das erkennt Erdemir letztlich zwar auch, gleichwohl wirft er der Netzcommunity folgendes vor:

“Mindestens ebenso unlauter war indes das munter verbreitete Schreckensszenario, ein jeder Blogger müsse auf der Grundlage der Novelle künftig eine Alterskennzeichnung auf seiner Webseite anbringen.”

Das mag man als unlauter, weil in jedem Fall übertrieben und zugespitzt, betrachten. Ebenso unlauter ist es aber, demgegenüber die angeblich uneingeschränkte Freiwilligkeit der geplanten Alterskennzeichnung zu betonen. Denn damit werden die komplexen Zusammenhänge, die zu einem faktischen Kennzeichnungszwang geführt hätten, ausgeblendet. Darüber hinaus sind renommierte Informatiker der Ansicht, dass der  JMStV auch aus technischer Sicht keine tragfähige Grundlage für den Jugendmedienschutz darstellt.

Auch wenn also, wie in allen kontroversen politischen Debatten, Übertreibungen oder ideologische Verengungen erkennbar sind, wird die Debatte um Netzsperren und den JMStV seitens der Netzcommunity nach meiner Beobachtung überwiegend auf sachlicher Ebene geführt. Der grundlegende Dissens hat seine Ursache vielmehr darin, dass die Befürworter des ZugErschwG und des JMStV beharrlich die Fakten ignorieren.

Reposted bykrekkurfinpenpen

March 03 2011

Virenschutz und Verschlüsselung für Reisende

Normalerweise geht man davon aus den Schutz vor Schadsoftware und die Sicherheit seiner Datenträger sowie mobiler Geräte (Laptop, Handy, PDA, etc.) im Griff zu haben. Die meisten Benutzerinnen oder Administratoren haben Vorkehrungen getroffen. Die größte Gefahr für die eigenen Daten besteht immer dann, wenn man die Gerät aus der Hand geben muß. Das ist selten ein Problem, wenn man sich in „normaler“ Umgebung befindet. Auf Reisen ist man manchmal gezwungen sein Gepäck abzugeben. Einem Geschäftsmann wurde bei einer Zollkontrolle Software installiert.

„Der Geschäftsmann wollte nur nach Hause. Acht Stunden hatte der Flug aus Indien gedauert, doch nun verzögerten die Zollbeamten am Münchner Airport seine Heimkehr. Eine Routinekontrolle, angeblich. Personalien, Gepäck, Laptop. … Der Geschäftsmann wollte nur nach Hause. Acht Stunden hatte der Flug aus Indien gedauert, doch nun verzögerten die Zollbeamten am Münchner Airport seine Heimkehr. Eine Routinekontrolle, angeblich. Personalien, Gepäck, Laptop.“

Der Fall stammt von 2009. Damals wurde seitens der Regierung beteuert, daß diese Maßnahmen nur für „Fälle schwerster Kriminalität und bei Terrorismus“ angewendet wird. Nichts davon trifft auf den Geschäftsmann zu. Es stellt sich jetzt die Frage was mit den erhobenen Daten passiert und ob diese sicher verwahrt sowie ordnungsgemäß gelöscht werden. Darüber hinaus kann eine eingeführte Schadsoftware nicht nur Screenshots verschicken, sondern auch den Datenverkehr der Web-Browsers, E-Mails oder Telefonate mitschneiden. Direkt am Endgerät ist der beste Platz für das Abgreifen solcher Daten.
Wir empfehlen komplett verschlüsselte Laptops und Datenträger für Reisen, darüber hinaus mit Paßwort versehene Einstellungen wie BIOS oder Bootmenü. Diese Maßnahmen versagen leider bei Mobiltelefonen und anderen Geräten, die das Mobilnetzwerk benutzen, da dort Zugriffe meist über das Mobilnetzwerk möglich sind.

Reposted fromlynx lynx viasofias sofias

March 01 2011

The return of the Personal Area Network

The recent uprisings in Egypt and across the Middle East have caused some interesting echos amongst the great and the good back in Silicon Valley. Despite the overly dramatic language, I find Shervin Pishevar's ideas surrounding ad-hoc wireless mesh networks, embodied in the crowd-sourced OpenMesh Project, intriguing.

Back in the mid-years of the last decade I spent a lot of time attempting to predict the future. At the time I was convinced that personal area networks (PAN) were going to become fairly important. I got a few things right: that things were going to be all about ubiquity and geo-location, and that mobile data was the killer application for the then fairly new 3G cell networks. But I was off the mark to think that the convergence device, as we were calling them back then, was a dead end. Technology moved on and the convergence devices got better, thinner, lighter. Batteries lasted longer. Today we have iOS- and Android-based mobile handsets, and both platforms pretty much do everything my theorised PAN was supposed to do, and in a smaller box than the handset I was using in the mid-naughties.

It's debatable whether the OpenMesh Project is exactly the right solution to create secondary wireless networks to provide communications for protestors under repressive regimes. The off-the-shelf wireless networks Pishevar talks about extending operate on a known number of easily jammable frequencies. Worse yet, there has been little discussion, at least so far, about anonymity, identity, encryption and other security issues surrounding the plan. The potential for the same repressive regimes the protestors are trying to avoid being privy to their communications by the very nature of the ad-hoc network is a very real threat.

Where 2.0: 2011, being held April 19-21 in Santa Clara, Calif., will explore the intersection of location technologies and trends in software development, business strategies, and marketing.

Save 25% on registration with the code WHR11RAD

For these reasons I'm not absolutely convinced that mesh networking is the right technical approach to this very political, and human, problem. Perhaps he should be looking at previous work on delay-tolerant networking rather than a real-time mesh protocol.

However, Pishevar's suggested architecture does seem robust enough to cope with disaster response scenarios, where security concerns are less important, or if widely deployed to provide an alternative to more traditional data carriers. Pishevar isn't of course alone in thinking about these issues: the Serval Project uses cell phone swarms to enable mobile phones to make and receive calls without the conventional cell towers or satellites.

The Bluetooth standard proved too complicated, and at times too unreliable, a base upon which to build wireless PAN architectures. The new generation of ZigBee mesh devices is more transparent, at least at the user level, possibly offering a more robust mesh backbone for a heterogenous network of Wi-Fi, cell and other data connections.

With the web of things and the physical web now starting to emerge, and with wearables now staring to become less intrusive and slightly more mainstream, the idea of the personal area network might yet re-emerge, at least in a slightly different form. The resulting data clouds could very easily form the basis for a more ubiquitous mesh network.

I'd argue that I was only a bit early with my prediction. The technology wasn't quite there yet, but It doesn't mean it isn't coming. The 2000s proved, despite my confident predictions at the time, not to be the decade of the wireless-PAN. Perhaps its time is yet to come?

February 28 2011

Der Bayerntrojaner illegal im Einsatz

Ab und an muss man am Flughafen zur Spengstoffkontrolle. Ich kannte das gar nicht, bis ich einmal in Stuttgart am Security-Check stand und mir ein Wachmann in breitestem Schwäbisch den Begriff an den Kopf knallte und ich erstmal nicht verstand, was er überhaupt wollte. Er war dann schnell sauer und ich erklärte das mit fehlenden Schwäbisch-Kenntnissen, außerdem kannte ich das Procedere einfach nicht und war verwundert, überhaupt Opfer davon in einem leeren Flughafen auf einer innerdeutschen Reise zu werden. Falls einem das in München oder anderswo in Bayern passiert, sollte man aufpassen und ja drauf achten, dass man bei der Kontrolle auch dabei ist. Spiegel-Online berichtet über genau so einen Fall, wo dabei einfach ein Trojaner auf den Rechner kopiert wurde, der dann fortan bei jeder Internetverbindung alle 30 Sekunden einen Screenshot des aktuellen Desktops an das LKA Bayern mailte. Insgesamt 60.000 Bilder wurden dabei illegal verschickt.

Konkretes Opfer war ein kaufmännische Angestellte einer Firma aus Bayern, die Psychopharmaka vertreibt. Ermittelt wurde zwar gegen die Firma, dabei handelte es sich aber nicht um “schwerster Kriminalität” und “Terrorismus”, die immer für die Legitimation des Bundestrojaners / der Onlinedurchsuchung genannt wurden.

Anscheinend hatte das LKA auch nur einen Beschluss vom Amtsgericht Landshut für eine Quellen-TKÜ, also der Überwachung der Telekommunikations und nicht für das regelmäßige Screenshoten des Bildschirms. Bananenrepublik Bayern.

Der Fall passierte 2009. Unklar ist, ob immer noch sowas praktiziert wird. Trotzdem sollte man seinen Rechner nicht unbeaufsichtigt zur Sprengstoffkontrolle geben, sondern immer darauf bestehen, auch dabei zu sein.

flattr this!

Reposted fromnetzpolitik netzpolitik
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl