Mitternachtshacking

Eine versehentlich an eine Gmail-Adresse geschickte E-Mail mit vertraulichen Inhalten hat dazu geführt, dass ein Gericht in den USA Google angewiesen hat, diesen E-Mail Account zu deaktivieren. Dumm nur, wenn es sich um eine wichtige geschäftliche E-Mailadresse handelt. Dann kann der betroffene halt leider nicht mehr auf seine  E-Mails zugreifen. Ob hier die Interessenabwägung gestimmt hat, kann ich nicht beurteilen. Ich finde das Vorgehen jedoch generell extrem gefährlich. Ein weiterer Grund, warum ich meinen eigenen Mailserver betreibe.

Auf Securityfocus gibt es von Mark Rasch (immerhin ehemaliger Computerstrafverfolger im US Justizministerium) einen schönen Rant über das deutsche Strafrecht und den StGB 202c.

„The [German] statute requires that the commission of the criminal offense be the express purpose of the computer program. The intent of the programmer does not, apparently, matter.“

Kein Wunder, dass das Gesetz nichts taugt. Wie soll ein Programm eine Absicht vermitteln? Egal wie man es betrachtet, man erkennt immer wieder, dass unsere Gesetze von Internetausdruckern und inkompetenten Idioten im Bundesjustizministerium von Frau Zypries gemacht werden. Nur leider nicht von Fachleuten.

„Two years out, the German law has been effectively used to scare legitimate security researchers, while no reported cases have been brought against computer hackers for a violation of the hacker tools provision.“

Eine schöne Zusammenfassung. Ein völlig nutzloses Gesetz, das lediglich Schaden in der deutschen Wirtschaft und der deutschen IT-Security angerichtet hat. Es wäre mal Zeit, anzuhalten und nachzudenken. Aber die Deppen machen ja direkt weiter mit der geplanten Internetzensur der Laienministerin.

Traurig, dass das inzwischen sogar den Amerikanern aufgefallen ist.

(via The Register)

(link)

Frage: Weiß eigentlich jemand, was aus folgenden abstrusen Patentideen geworden ist?

• Microsoft patentiert proaktiven Virenschutz
• US-Start-up will Patches patentieren

und wie ist eigentlich der Stand bei Sender ID, dem Anti-Spam Standard, den Microsoft mit der unterschwelligen Drohung von Patenklagen vorsätzlich an die Wand fahren hat lassen? Da habe ich auch schon ewig nichts mehr gehört.

Irgendwie scheint das alles in der Versenkung verschwunden zu sein. Oder warten alle, ob es dem Europäischen Patentamt (EPA) doch noch gelingt, Softwarepatente in der EU einzuführen? Schade eigentlich, dass man diese ganzen staatlichen Organisationen die sich nicht an geltendes Recht halten nicht als kriminelle Vereinigung einstufen kann. Dann wären das EPA aber beispielsweise auch das BKA schnell verboten.

Die Laien bei Cop2Cop geben Hinweise zum Umgang mit zufällig im Internet gefundener Kinderpornographie. Dabei sind so tolle Tips wie:

„Wenn Ihnen unaufgefordert Kinderpornografie per E-Mail zugesandt wurde und Sie dies via Internet anzeigen möchten: Lassen Sie die E-Mail mit Anhang der für Ihren Wohnsitz zuständigen Polizeidienststelle oder an das Landeskriminalamt Ihres Bundeslandes zukommen und löschen Sie die Nachricht danach von Ihrer Festplatte.“

Ich halte das inzwischen für gemeingefährlich. Ich kann mir bildlich vorstellen, wie der typische Polizist einer Internetwache die E-Mail bekommt, den Absender der weitergeleiteten Mail ermittelt und dann direkt eine Hausdurchsuchung mit Rechnerbeschlagnahme in die Wege leitet. Das Löschen ohne Überschreiben der Datenblöcke ist auch nicht gerade hilfreich, weil nur der Verzeichniseintrag überschrieben wird und die Daten selbst weiter auf dem Rechner bleiben. Die Polizei vermutet dann garantiert ein Verschleiern, wenn die Datei in der forensischen Analyse wieder auftaucht.

Ganz großes Kino, ihr Luschen. Den einzig richten Ansatz findet man in den Kommentaren:

„Ich würde mal eher sagen: Löschen und für sich behalten. Alles andere beschwört doch Ärger nur geradezu herauf.“

Dazu gehört eine zuverlässig verschlüsselte Festplatte und das Anhören und Befolgen des Vortrags von Udo Vetter: Sie haben das Recht zu schweigen. Und für die ganz langsamen: die Polizei ist nicht mehr euer Freund und Helfer, ihr seid aus der Schule raus. Die Polizei ist der Büttel des ehemaligen Rechtsstaats geworden und notfalls lügt und fälscht das BKA sogar Beweise.

Wie Udo Vetter im Blog schreibt können Links auf Wikileaks gefährlich sein, weil das Landgericht Karlsruhe der Meinung ist, mit einem Link auf eine Webseite die einen Link auf eine Webseite die einen Link auf eine Webseite die einen Link auf eine Webseite […] hat, könnte man sich strafbar machen und das rechtfertigt eine Hausdurchsuchung. Gut, dann verlinken wir mal:

Wikileaks: Westliche Internetzensur: Anfang vom Ende oder Ende vom Anfang?

Wenn Peter Gauweiler eine Verfassungsbeschwerde zum EU-Vertrag aus eigener Tasche finanzieren kann, dann kann ich das notfalls für eine Hausdurchsuchung. So viel Kleingeld habe ich gerade noch.

(via Fefe)

Von Fefe.

Hier ein paar Gründe, warum die Hausdurchsuchung und dann auch noch wegen „Gefahr im Verzug“ völlig sinnlos ist:

1. Wikileaks betreibt Server im Internet. Wem die Domain tatsächlich gehört, spielt dabei im Grunde gar keine Rolle. Der Eigentümer einer Domain hat die Server-Daten normalerweise auch nicht zuhause liegen. Und wenn, dann sind sie verschlüsselt. Alleine deshalb wird die Durchsuchung sinnlos sein.
2. Wikileaks veröffentlicht Informationen, sie löschen keine, wie Fefe schreibt. Und ich bin sicher, die Informanten von Wikileaks sind schlau genug ihre Informationen anonym zu schicken. Da gibt es keine Rückschlüsse auf die Informanten.
3. Als Begründung für die Hausdurchsuchung müssen scheinbar die Zensurlisten aus Dänemark oder Australien herhalten. Da ist keine Gefahr im Verzug, die Listen sind auf hunderten Servern gespiegelt.

Das ist eine so offensichtlich illegale Hausdurchsuchung und damit ein Verstoß gegen elementare Grundrechte (Art. 13 GG), da ist ein „Versehen“ des Untersuchungsrichters nicht mehr denkbar. Das hat andere Gründe. Erinnert ihr euch noch an den TOR-Exit-Node Betreiber, der durchsucht worden ist und daraufhin den Betrieb des Nodes eingestellt hat?

Gerade die Zensurdiskussion der letzten Wochen und Monate hat gezeigt, dass die geplanten Maßnahmen zum Filtern des Internets ihr Ziel nicht erreichen können. Die Verbreitung von Kinderpornographie lässt sich so nicht eindämmen. Ganz im Gegenteil stehen viele der in Skandinavien gesperrten Server in Deutschland und können unbehelligt von der Polizei ihr Schmutzmaterial vertreiben. Ich wette deshalb ein Snickers, dass die Hausdurchsuchung lediglich den Zweck hat, Repressionen zu erzeugen und die freie Meinungsäußerung in Deutschland zu unterdrücken.

Und das traurige ist, es gibt praktisch keine rechtliche Handhabe, diesen Verfassungsbrechern im Staatsamt das Handwerk zu legen.

Niemand darf gezwungen werden, sich selbst anzuklagen oder sich selbst zu belasten. Das Aussageverweigerungsrecht ist ein wichtiger und notwendiger Rechtsgrundsatz. Laut Wikipedia handelt es sich hier um ein Derivat aus dem Achtungsgebot der Menschenwürde, ein sogenanntes Justizgrundrecht.

In den USA ist das Recht zu Schweigen und damit die Verfassung (zumindest der 5. Verfassungszusatz) sowie die Menschenwürde nun ebenso wie in Großbritannien hinfällig.

Aber gut, das ist ja nichts neues.

Ram Mohan, Mitglied der Sicherheitsgruppe SSAC innerhalb der ICANN sagt ja. Er meint, ein Son of Conficker“ mit ausgeprägteren Schadfunktionen wäre durchaus dazu in der Lage.

Tilo Hildebrandt, Professor an der EUFH in Neuss sagt nein. Genau genommen sagt er laut Telepolis: „Wie kann sich soviel Dummheit, Ignoranz und Unkenntnis an einer Stelle sammeln und wie ist es möglich, solcher gesammelten Inkompetenz den Raum zur Veröffentlichung zu geben?“

Zugegeben, Ram Mohan vertritt bei ICANN seinen Arbeitgeber Afilias und Afilias ist einer der wenigen Domainverwalter, die extra ihre AGB geändert haben, um von Würmern und Schadprogrammen verwendete Domains kurzfristig abschalten zu können. Andererseits werden verteilte Denial-of-Service (DDoS) Angriffe immer ausgefuchster. So abwegig ist es meiner Meinung nach nicht, dass Schadprogramme ähnlich wie zur Zeit Conficker eine Vielzahl von Domains verwenden könnte, um Funktionen nachzuladen. Die Qualifikation des Herrn Hildebrandt erscheint mir dagegen weniger reputabel. Promovierter Volkswirtschaftler und Bankenberater. Das ist vermutlich genau aus der Ecke, die vor zwei Jahren zu einer möglichen Bankenkrise genauso polemisch formuliert hat. Eigentlich ist das aber auch egal.

Viel spannender ist in diesem Zusammenhang das Fazit, das die EU-Behörde ENISA in einer Studie daraus zieht: Die Entwickler sollen künftig für die Löcher in ihrer Software haften und Sicherheitslücken kostenfrei gestopft werden müssen.

Bereits die Einführung der Produkthaftung in die Software wäre ein revolutionärer Vorgang den große Softwareanbieter wie Microsoft sicher verhindern wollen. Und hier sehe ich das eigentliche Schlachtfeld der Lobbyisten in der näheren Zukunft. Egal ob der Superwurm kommt oder nicht.

(via TP)

Auf so einen Fall habe ich ja schon länger gewartet, eher mit Verwunderung, dass bisher nichts bekannt geworden ist …

Honeywell, ein US-Amerikanischer Konzern, der u.a. in der Wehrtechnik aber auch Prozessautomatisierung tätig ist, hat auf allen Rechnern der Mitarbeiter auch in Deutschland die forensische Software von EnCase installiert, die im Hintergrund die Rechner überwachen, Passwörter aufzeichnen und Festplatten-Images erstellen kann. Das funktioniert sogar, wenn beispielsweise EFS zur Verschlüsselung eingesetzt wird. EnCase ist in diesem Zusammenhang nicht irgendwer sondern die führende Forensik-Software, die von den meisten Polizeidienstellen weltweit eingesetzt wird. Das Bayerische LKA hat meines Wissens auch ein paar Lizenzen.

Im Grunde ist das die perfekte und komplette Überwachung aller Tätigkeiten am Rechner. Ich zeige bei meine eigenen Hacking-Vorträgen ja gerne die Angebote von Refog, u.a. den Employee Monitor. Jedem Teilnehmer ist auf den ersten Blick klar, dass so etwas völlig illegal ist.

Nur große Konzerne denken da offensichtlich anders. Der Mitarbeiter gilt nicht mehr als Mensch sondern als „Human Resource“, die wie jede andere Ressource beliebig genutzt oder wenn nicht mehr gebraucht halt entsorgt wird. Einen wichtigen Komplizen haben die Datenverbrecher dabei im Bundesinnenministerium gefunden. Staatsfeind-Nr.-1 und Verfassungsfeind Schäuble ist der erste, der damit einverstanden ist, alles und jeden immer weiter zu überwachen. Datenschutz für Arbeitnehmer, wie auf dem letzten „Bürgerverarschungs“datenschutzgipfel gefordert wird weit hinten angestellt.

Und das traurige ist, weder für Honeywell noch für Schäuble haben diese Skandale (siehe Lidl, Telekom, Bahn und jetzt Honeywell) irgendwelche größeren Folgen. Der dumme ist nur der Bürger. Welcher geistig minderbemittelte Idiot wählt eigentlich die Schwachmaten von der CDU noch?