10. März 2010

Random Stuff – 3

Category: Datenschutz,Politik — Christian @ 18:52

Patenttrolle? Bill Gates und Steve Jobs!

„Gates claimed right off that Microsoft „owned the office productivity market“ and Openoffice needed to pay the Vole lots of cash in royalties. Bill told Schwartz that he was happy to „get you under license“ so Sun would have to pay Microsoft for every download of Openoffice. However Schwartz was apparently ready for this and pointed out that .NET was clearly trampling all over a lot of Java patents.“

Die Rückkehr der Datenleichen

„Seit einigen Wochen geistert die Idee eines Datenbriefs durchs Internet und durch die Presse. Jeder Bürger soll einmal im Jahr von Behörden und Unternehmen informiert werden, welche Daten dort über ihn gespeichert sind.“ Und das kann unter Umständen interessante Folgen haben.

Der Bund der Deutschen Kriminalbeamten ist konsterniert

„Bemerkenswert an der Pressemeldung ist aber nicht nur die Schadenfreude, die sie erzeugt. Bemerkenswert ist die ehrliche Furcht ihres Autors, dass sich etwas ändert in Sachen Grundrechte, dass man der Polizei eben nicht mehr jeglichen erdenklichen Kredit schenkt. Es ist nicht nur Pressemeldungsbefindlichkeitsanzeige: Man ist wirklich konsterniert.


Tags: , , ,
3. März 2010

De-Mail mal wieder

Category: Internet,Politik — Christian @ 21:52

Stell Dir vor es ist CeBIT und niemand geht hin. Oder, ich zumindest nicht. Schon seit drei oder vier Jahren nicht mehr. Die CeBIT ist zwar vielleicht noch die zentrale IT-Messe aber Spezialmessen wie die IFA oder IT-SA ziehen das Fachpublikum oft besser und gezielter an. Egal.

Eines der amüsanteren Themen  auf der CeBIT ist De-Mail, weil es ja da unten in Friedrichshafen am Bodensee so ein lustiges Pilotprojekt gibt. Amüsant vor allem, weil jeder seinen Senf dazugeben muss.

Die Zeit beispielsweise sieht De-Mail eher kritisch:

    „Ohnehin ist noch nicht ganz klar, warum sich die Bürger einen De-Mail-Account zulegen sollen. Schließlich profitieren davon vor allem Behörden, Banken und Versicherungen, die ihre Bescheide künftig elektronisch zustellen und so Porto sparen können. Die Kunden dagegen werden für den Versand von De-Mails voraussichtlich extra zahlen müssen […]“

Heise dagegen schließt sich aktuell den Jubelpersern an:

    „Internet-Provider, Behörden, Unternehmen und schließlich die Anwender haben auf der CeBIT ein positives Fazit zum sechsmonatigen Feldtest von DE-Mail in Friedrichshafen gezogen. […] Die größten Wünsche haben dabei die Behörden.“

Tja, ist mir schon klar, dass Behörden das toll finden. Bescheide nicht mehr per Post sondern per E-Mail. Und wenn der Bürger nicht rechtzeitig in seine Mailbox schaut dann hat der Bürger eben Pech gehabt. Den Harz4-Bescheid gibt es trotzdem nicht pünktlicher und um gegen den E-Mail Bescheid Widerspruch einzulegen muss dieser dann (rechtssicher) ausgedruckt werden.

Die spinnen doch, die gallischen Behörden.


Tags:
17. Februar 2010

Zensursula-Gesetz kann in Kraft treten

Category: Internet,Politik — Christian @ 22:41

So ist das in Berlin … erst macht man das schlechteste aller möglichen Gesetze zur Internet-Zensur, dann sind praktisch alle Parteien dafür, das nicht anzuwenden und schließlich wird das Gesetz doch vom Bundespräsidenten unterzeichnet und kann jetzt in Kraft treten.

Verloren haben im Grunde alle. Zuallererst der Bürger in Deutschland, dem mal wieder deutlich klargemacht wurde, dass Petitionen für den Arsch sind. Die interessieren doch eh keinen Bundestagsabgeordneten. Am wenigsten die, die sich hinterher aufregen über mangelnde Beteiligung an Wahlen, den Zulauf der Rechts- und Linksextremen sowie das generelle Misstrauen gegenüber Politikern.

Verloren haben die Parteien im Bundestag, die alle (inklusive der ehemals treibenden CDU) davon reden, wie schlecht dieses Gesetz doch ist aber nichts dagegen tun. Im besonderen die angebliche Bürgerrechts- und tatsächliche Klientelpartei FDP mit ihrer blassen Justizministerin, die genau gar nichts von dem erreicht hat, was sie vorher großspurig angekündigt hat. Das letzte mal (Großer Lauschangriff) ist die Justizministerin Leutheusser-Schnarrenberger noch zurückgetreten. Jetzt (Große Internetzensur) geht die Justizministerin Leutheusser-Schnarrenberger langsam auf die Rente zu und da ist ihr die Ministerpension natürlich näher als das Grundgesetz.

Verloren hat auch der Bundespräsident, der angeblich monatelang prüfen musste, ob sich das Gesetz mit dem Grundgesetz vereinbaren lässt in Wirklichkeit jedoch nur warten wollte, bis sich nach der Bundestagswahl die Wogen geglättet haben. Ein typischer Präsident nach Merkel Gnaden. Im Grunde können wir auf diesen rückgratlosen Köhler genauso gut verzichten. Bei von Weizsäcker oder dem ehemaligen Verfassungsrichter Herzog hätte es dieses Gesetz nicht gegeben.

Verlieren wird auch der Kinderschutz. Spätestens wenn die Sperrliste wie alle anderen Listen auch bei Wikileaks oder woanders auftaucht und die echten Pädophilen freien Zugriff darauf bekommen. Und verlieren wird das BKA, wenn sich herausstellt, dass nicht nur Kinderpornoseiten gesperrt wurden sondern (natürlich nur versehentlich) die Webseite der Piratenpartei und von Wikileaks gleich mit.

Nachdem die OECD bei der letzten Bundestagswahl bereits Wahlbeobachter nach Deutschland geschickt hat (übrigens das erste mal nach dem 2. Weltkrieg) und wir damit bereits den offiziellen Stand einer Bananenrepublik erreicht haben, nähern wir uns nun konkret chinesischen Verhältnissen an. Interessant übrigens, dass der Bundestag gleichzeitig mehr Einsatz gegen Internet-Zensur fordert. So schizophren können auch nur Politiker sein.


Tags: , ,
14. Februar 2010

Belgien, Island, Türkei – das gleiche Schema

Category: Politik — Christian @ 19:26

Die Türkei hat für Staatsbürger der benachbarten bzw. befreundeten Länder Syrien, Libyen, Libanon und Jordanien die Visumpflicht für die Einreise in die Türkei aufgehoben. Eigentlich gut, weil dadurch Reisehemmnisse abgebaut werden und die gegenseitige Völkerverständigung gefördert wird. Nur die Europäische Union ist jetzt verärgert, weil (a) die Türkei bereits jetzt als Zwischenstation bei der illegalen Einreise aus diesen Ländern in die EU genutzt wird und (b) diese Entscheidung nicht gerade zur Harmonisierung des türkischen mit EU-Recht beiträgt. Nur ist das (a) ein Problem der EU, nicht der Türkei und ist (b) für die Grenz- und Visaharmonisierung die Verhandlung zwischen der Türkei und der EU noch gar nicht eröffnet worden. Und wenn die Türkei tatsächlich irgendwann der EU betreten sollte, wird sich das schon recht zügig harmonisieren. Warum das für uns von Interesse ist?

Island wird angeblich der neue Hafen der Pressefreiheit. Zumindest wenn es nach Julian Assange und der Islandic Modern Media Initiative (IMMI) geht. Ganz ehrlich, ich glaube nicht daran. Denn gleichzeitig drängt Island auch aufgrund der finanziellen Probleme in die Europäische Union. Was das bedeutet sehen wir beispielsweise oben an der Türkei. Da gibt es ruck-zuck Verhandlungen zwischen Island und der EU und dann wird sich herausstellen, dass dieser Freihafen, die neue Pressefreiheit und die moderne Informationsfreiheit leider, leider mit EU-Recht nicht vereinbar ist. Alleine dieses Zitat: „Als ein Beispiel für diese positiven Gesetze nennen die Verantwortlichen ein Gesetz des US-Bundesstaates New York, das die Durchsetzung britischer Gerichtsentscheidungen, die die Pressefreiheit einschränken, verhindert.“ Erwartet ernsthaft jemand, dass die demokratische, freiheitliche Europäische Union ein Land aufnimmt, das ernsthafte Versuche unternimmt, die Einschränkung der Pressefreiheit zu verhindern?

Womit wir bei Belgien wären. Das Europäische Parlament hat in einem historischen Akt des Ungehorsams gegenüber den Regierungen der Länder der Europäischen Union das Swift-Abkommen mit den USA durchfallen lassen. Ich glaube, das war ein klassischer Pyrrhus-Sieg. Die USA haben bereits angedroht, bilaterale Verhandlungen durchzuführen. Auf Deutsch heißt das, wenn die EU nicht einknickt gegenüber den USA, dann droht die USA eben solange direkt dem Land Belgien in dem Swift seinen Sitz hat, bis die belgische Regierung (vermutlich in geheimen Vereinbarungen mit den USA) das Absaugen der Daten wieder zulässt. Und weil die Belgier klein und die Verhandlungen geheim sind, dürfen die Amerikaner hinterher mehr, als sie jetzt hätten absaugen können.

Und wenn man die drei scheinbar unabhängigen Fälle betrachtet die eigentlich jeder für sich genommen positiv betrachtet werden können, ist bereits absehbar, dass die globale Bürokratie alle drei Ereignisse ins Gegenteil verkehren wird. Und deshalb ist es meiner Ansicht nach zu früh, in den Jubel um Swift und die isländische Freiheit einzustimmen. Obwohl es im Hafen von Reykjavik diesen hervorragenden Imbiss gibt.

Blindhead

(ein typisches isländisches Verkehrsschild)


Tags: ,
7. Februar 2010

Eine E-Mail? 20 Cent!

Category: Internet,Politik — Christian @ 23:01

Angeblich will die Post 20 Cent für jede innerhalb von DE-Mail zugestellte E-Mail.

Es gibt nur noch eine Möglichkeit, wie das kein Flop wird: wenn der Staat diese Form des Mailens verbindlich für Kontakte zum Finanzamt, Arbeitsamt etc. vorschreibt. Ansonsten ist das wie die ePost, die hat auch keine 5 Jahre überlebt.

(via Heise)


Tags: , ,
4. Februar 2010

Vertrauen

Category: Hacking,Internet,Politik — Christian @ 08:11

Hach ja, SSL ist ein lustiger Dienst. Da braucht man so Zertifikate (X.509v3 ist recht beliebt) nur um dann feststellen zu können, die Webseite www.commerzbank.de gehört wirklich der Commerzbank in Frankfurt.

Wobei, wieso wirklich? Im Fall der Commerzbank bestätigt mir das die TC Trustcenter GmbH in Hamburg, seit neuestem eine Tochter der PGP Corp. Mein Mozilla Firefox (3.0.x) zeigt mir das in blauer Farbe vor der URL. Die Frage ist jetzt natürlich, ob ich TC Trustcenter glaube. Also quasi ob ich denen vertraue, dass sie die Prüfung korrekt durchgeführt haben und mich nicht belügen. Ich persönlich halte TC Trustcenter für recht seriös seit sie mal ein Zertifikat von mir nicht signieren wollten, das zugegeben geringfügig phishy aussah.

Wenn ich bei Verisign schaue, dem vermutlich weltweit wichtigsten Zertifikatsanbieter, bekomme ich sogar einen grünen Balken in meinem Firefox. Grün! Viel besser als blau! Weil Verisign hat sogar ein „Extended Validation“-Zertifikat. Übrigens von Verisign selbst ausgestellt. Die bescheinigen sich also selbst, dass sie Verisign sind. Das Extended Validation Zertifikat ist meiner Ansicht nach ja Beutelschneiderei par Excellenz. Da verlangt Verisign doppelt so viel Geld für das Zertifikat nur um den Antragsteller „genauer“ zu prüfen als für weniger Geld. Als ob eine vertrauenswürdige Zertifizierungsstelle nicht sowieso genau prüfen sollte. Aber gut, von Verisign kann man vermutlich nichts anderes erwarten. Die haben auch schon mal ohne Prüfung Zertifikate auf den Namen Microsoft ausgestellt. (Die sind übrigens immer noch im Internet Explorer als „Fraudulent“ zu finden). Außerdem war Verisign bis Oktober 2008 Haupteigentümer von Jamba. Das ist die Firma, die kleine Kinder mit Klingeltonabos über den Tisch zieht. Ob ich die wirklich vertrauenswürdig finde … ich bin mir da gar nicht so sicher. Verisign wäre jedenfalls der letzte Anbieter bei dem ich ein Zertifikat kaufen würde.

Der Chaos Computer Club greift übrigens auf die Dienste von CACert zurück. Die kennt mein Firefox nicht, und der Internet Explorer erst recht nicht. Obwohl ich die für recht vertrauenswürdig halte. Beim IE ist das aber klar. Ich habe mir sagen lassen, dass Microsoft rund 50.000 USD will, damit eine Zertifizierungsstelle in den IE aufgenommen wird. Und da CACert die Zertifikate kostenlos anbietet, vertragen sich die beiden Geschäftsmodelle recht schlecht. Vertrauen hin oder her.

Über die lustigeren Zertifizierungsstellen will ich gar nicht lästern, auch wenn mir ein Zertifikat einer deutschen Onlinebank ausgestellt z.B. vom „Autoridad Certificadora del Colegio Nacional de Correduria Publica Mexicana“ etwas … naja, spanisch … vorkommen würde. Obwohl die laut Internet Explorer sicher sehr vertrauenswürdig sind. Leider ist deren Zertifikat Mitte 2009 abgelaufen. Aber es gibt ja auch noch die „Saunalahden Server CA“ aus … na? … genau, Finnland. Wo soll so ein Saunala(h)den auch sonst herkommen 😉

Warum ich das alles schreibe? Weil es bei SSL-Zertifikaten eben einfach nur um das Vertrauen zum Aussteller geht. Ist die Zertifizierungsstelle (CA) vertrauenswürdig? Stellt sie nur Zertifikate aus wenn die Identität korrekt verifiziert worden ist? Oder kann jeder dahergerollte Schäuble zu so einer CA gehen und ein falsches Zertifikat bekommen um einen staatlichen Man-in-the-Middle Angriff durchzuführen? Dann will ich so eine CA gar nicht im Browser haben.

Die Mozilla Foundation hat sich genau diese Diskussion nämlich jetzt eingefangen, nachdem die staatlich kontrollierte chinesische Domainregistry CNNIC mit ihrer Zertifizierungsstelle in den Firefox-Browser aufgenommen wurde. Dabei wurden die Anforderungen der Mozilla Foundation strikt erfüllt. CNNIC hat eine Zertifikatspolicy (CSP) die formal allen Anforderungen genügt. Meine Freunde von Ernst & Young haben geprüft, dass diese Policy formal ok ist. Webtrust hat gekuckt, dass Ernst & Young formal korrekt geprüft hat. Und die Mozilla Foundation verlässt sich darauf, dass die Anforderungen von Webtrust formal korrekt sind. Formal eben. Nur das mit dem Vertrauen, das ist halt schwierig.

Aber wenn mich jemand fragt … das Sicherheitsmodell von SSL ist sowieso für’n Arsch.

(via Fefe)

Nachtrag:

Die Mozilla Foundation hat die CNNIC-SSL-Zertifikate wieder aus der Standardinstallation entfernt.


Tags: , , , , , ,
3. Februar 2010

Emissionshandel zerlegt

Category: Hacking,Politik — Christian @ 17:32

Wie inzwischen alle Medien berichten, ist der europäische Emissionshandel großflächig zerlegt worden. Angeblich haben sich Hacker mittels Phishing-Mails Zugriff auf die Accounts einzelner Nutzer der bei der Deutschen Emissionshandelsstelle (DEHSt) verschafft, deren Emissionsrechte auf andere Accounts übertragen und für mehrere Millionen Euro verkauft.

Ich finde ja spannend, was da offensichtlich alles schief gelaufen ist. Da richtet also das Bundesumweltamt, ein Geschäftsbereich des Bundesministeriums für Umwelt, Naturschutz und Reaktorsicherheit eine Webseite ein, auf der Emissionsrechte im Wert von vielen Millionen Euro gehandelt werden können. Und wie wird das abgesichert? Mit einem popeligen Passwort. Das der User selbst wählen muss. Einzige Bedingung: das Passwort muss mindestens 10 Zeichen, eine Ziffer und einen Buchstaben enthalten. Fertig. Dazu gibt es dann den freundlichen Hinweis:

    „Transaktionen müssen mit großer Sorgfalt durchgeführt werden, da die DEHSt grundsätzlich keine Möglichkeit hat, abgeschlossene Transaktionen (z. B. falscher Empfänger, falsche Zertifikateanzahl) rückgängig zu machen.“

Keine Einmalpasswörter, Token oder Smartcards für die Anmeldung, keine TANs, iTANs oder mTANs zur Absicherung der Transaktionen, nix, null, niente. Selbst die schlechteste Onlinebank ist besser abgesichert als so eine Monsterbehörde. Statt dessen macht man den Laden laut FTD lieber zu:

    „Die Stelle in Berlin hat am Freitag den Betrieb eingestellt. „Dabei bleibt es mindestens für den Rest dieser Woche“, sagte eine Sprecherin.“

Das sind dann die Momente in denen ich mich frage, welcher Versager das Sicherheitssystem entworfen und welcher Stümper das abgenommen hat. Im Impressum steht unter „Technische Unterstützung“ die Materna GmbH. Für jeden halbwegs gebildeten Menschen ist klar, dass derart hohe Werte natürlich Kriminelle anziehen wie Gesetzesentwürfe von Schäuble die Fliegen. Gleichzeitig sind für diesen Handel in den meisten Firmen Mitarbeiter verantwortlich, denen man IT-Kenntnisse nicht unbedingt zutrauen muss. Optionale Angebote wie die Möglichkeit, Transaktionen von zwei Personen genehmigen zu lassen werden sowieso nicht genutzt, weil viel zu umständlich.

Da hätte man mal besser die Anmeldegebühren von 200 Euro auf 250 Euro hoch gesetzt und dafür allen Nutzern einen Smartcard-Reader und eine Smartcard für die Authentisierung geschickt. Im Verhältnis zu den zu schützenden Werten und dem möglichen Schaden ist das eine lächerlich kleine Investition.

Das einzige das fehlt um die Pleite komplett zu machen ist lediglich noch so ein TÜV-Siegel „Safer Shopping“ oder so, auf der Seite der DEHSt. Ich kann mir nicht vorstellen, dass eine Bundesbehörde was online gehen lässt, ohne sich eine TÜV-Bescheinigung einzuholen. Und dann würde sich der Kreis natürlich schließen.


Tags: , , ,
31. Januar 2010

Ab 18 von Kristian Köhntopp

Category: Politik — Christian @ 19:39

Wie in Deutschland die Zensur auf dem Umweg über den Jugendschutz eingeführt wird. Unbedingt lesen, auch die verlinkten Artikel im 1&1 Blog und bei Thomas Stadler.


Tags: ,
26. Januar 2010

Bill, geht’s noch?

Category: Internet,Politik — Christian @ 18:26

Bill Gates findet, die chinesische Zensur ist doch ganz ok. Microsoft löscht aus Bing natürlich alles, was die Chinesen da nicht drin haben wollen. Immerhin sei die Zensur ja umgehbar. Hauptsache das Internet floriert (und Microsoft kann ganz viel Geld verdienen). Ok, das in Klammern hat er jetzt im Interview nicht gesagt aber ich ich konnte den Gedanken in seinem Hirn förmlich hören.

Man muss sich eben entscheiden, ob man in einem Land wie China Geschäfte machen will oder lieber seinen Grundsätzen und seiner Moral treu bleibt. Aber ok, es macht keinen Sinn das einem Herrn Gates erklären zu wollen. Gier frisst meistens das Hirn.

Viel spannender finde ich ja die Frage, warum Google so einen Aufstand veranstaltet. Der Grundsatz „do no evil“ kann es jedenfalls nicht sein. Eher dürfte die Ursache sein, dass Google in China kein Geld verdient aber einen eleganteren Grund sucht, das Verlustgeschäft dort aufzugeben. Und da kommt die Zensur natürlich ganz recht. Wenn die Chinesen das Büro von Google in China zumachen, sind die Chinesen die bösen, nicht Google. Und im günstigsten Fall braucht Google nicht mal eine Abfindung zu zahlen. Sie waren es ja schließlich nicht.

Ich bin mal gespannt, was da noch heraus kommt.


Tags: ,
16. Januar 2010

BSI warnt vor dem Internet Explorer

Category: Hacking,Internet,Politik — Christian @ 19:07

Ach ja, das BSI. Warnt, man solle den Internet Explorer vorerst nicht verwenden. Sondern? Ich habe da eben noch eine uralte Opera Version auf meiner Festplatte gefunden. Bestimmt zwei Jahre nicht aktualisiert. Und irgendein Firefox 1.5 liegt auch noch drauf. Egal. Das BSI hat nur gesagt, man solle den Internet Explorer nicht verwenden. Nehme ich halt das Opera und Firefox.

Also ich persönlich halte die Warnung für ausgesprochenen Blödsinn. Ein alter Opera oder Firefox ist nicht wirklich besser als ein fehlerhafter Internet Explorer. Ganz im Gegenteil, wenn in einer Woche die Lücke im Internet Explorer behoben ist, dann surfen viele Leute immer noch mit ihrem alten Opera oder Firefox durch die Gegend. Und wundern sich, warum sie Schadprogramme auf dem Rechner haben obwohl sie doch gemacht haben was das BSI empfiehlt. Viel sinnvoller wäre, das BSI würde mal über die Notwendigkeit informieren, Programme aktuell zu halten. Meinetwegen mit dem Secunia PSI oder dem Heise Update Check. Statt dessen spielt das BSI beim „Safer Internet Day“ mit. Manchmal frage ich mich echt, ob wir das BSI überhaupt noch brauchen.


Tags: ,