Mitternachtshacking

Genode ist ein OS-Framework, also ein Entwurf für ein sicheres Betriebssystem. Ich glaube, dass ein sicheres Betriebssystem möglich ist. Ich denke sogar, die Dresdner ein hervorragendes Know-how für so ein Projekt mitbringen. Vermutlich sogar eher als z.B. die Münchner Universitäten an denen ich selbst studiert habe.

Aber … wer soll das einsetzen?

Klar, es gibt viele Umgebungen in denen ein sicheres vertrauenswürdiges Betriebssystem wünschenswert wäre. Kernkraftwerke zum Beispiel, oder Flugzeuge. Nur, da wird das nicht eingesetzt. In Produktionsanlagen kommt inzwischen der gleiche Windows 2003 Server zum Einsatz wie in jedem Rechenzentrum. Die Produktionsanlagensoftware wird inzwischen auch möglichst günstig auf Standardhardware mit Standardbetriebssystem entwickelt. Da ist kein Platz für komplexe neue Systemumgebungen.

Andere verlässliche Systeme sind entweder eingestellt (z.B. EROS), nur einem eingeweihten Benutzerkreis bekannt (z.B. KeyKOS) oder strebt zwar eine formelle Verifizierung an, kommt jedoch praktisch nicht voran (z.B. Coyotos).

Kurz, ein eventuell interessantes Projekt aus dem sich vielleicht ein paar Ideen in Standardsysteme übernehmen lassen aber nichts, dem man eine glorreiche Zukunft bescheinigen könnte.

Das erinnert mich ein wenig an einen meiner Professoren an der Uni, Prof. Fred Kröger. Ein sehr guter Professor aber spezialisiert auf Temporale Logik, ein Thema das eigentlich niemanden so richtig interessiert. Ich fand Teile davon, beispielsweise den Bereich in dem es um Locks ging ganz interessant aber die gesamte Theorie dahinter ist nichts für mich. Ich konnte keine echte praktische Anwendung dafür finden.

Ich habe da mal eine Frage zur Handyortung … vielleicht kann mir jemand von Euch helfen.

Wenn ich mich bei irgendeinem Dienst zur Handyortung anmelde, dann muss ich eine bestimmte SMS an eine bestimmte Rufnummer schicken. Locate24 hat dazu eine ganz brauchbare FAQ. Dort steht auch, dass ich als Vodafone- oder T-Mobile-Kunde auch eine SMS an den Netzbetreiber schicken muss, damit die Ortungsoption vom Netzbetreiber freigeschaltet wird.  Soweit finde ich das ja ok und wenn ich mich selbst anmelde, dann weiß ich das auch.

Jetzt aber folgendes Szenario … eine Bekannte vermutet, dass ihr Ex (der irgendwann garantiert einmal Zugriff auf ihr eingeschaltetes ungeschütztes Handy hatte) sie für die Ortung freigeschaltet hat und bei irgendeinem Dienst jetzt munter trackt, wo sie sich wann so aufhält. Natürlich ist das illegal. Und natürlich ist es blöd, das offene Handy Fremden zu überlassen aber sogar Geschäftspartner vergessen ihr Telefon gelegentlich am Tisch wenn sie auf die Toilette gehen. Und  nun finde ich nirgendwo ein zuverlässiges Verfahren, die Ortung generell wieder beim Netzbetreiber abschalten zu lassen. Bei Picosweb steht was von einer Sperr-SMS aber nicht, ob die nur für diesen einen Anbieter oder generell für den Netzbetreiber gilt.

Frage 1:

Gibt es eine Rufnummer, Auskunftsnummer, SMS Kurzwahlnummer, was auch immer mit der ich bei meinem Netzbetreiber feststellen kann, ob mein Mobiltelefon bzw. meine SIM-Karte für die Handyortung freigeschaltet ist?

Frage 2:

Gibt es eine Möglichkeit, generell die Handyortung beim Netzbetreiber wieder abzuschalten, auch wenn man nicht weiß ob und über welchen Dienstleister die Ortung stattfindet?

Ich habe dazu leider trotz längerer Google-Suche nichts finden können.

Woran erkennt man am deutlichsten, dass der Bundesbeauftragte für den Datenschutz Peter Schaar ein völlig harm- und zahnloser Bettvorleger ist?

Genau:

„Nach der Unionsfraktion haben sich auch führende SPD-Politiker für eine Wiederwahl des Bundesdatenschutzbeauftragten Peter Schaar ausgesprochen, dessen erste Amtsperiode im Dezember endet.“

*seufz*

Trend Micro will in Zukunft auf die Virus Bulletin 100 Zertifizierung verzichten. Im Gegensatz beispielsweise zu Fortinet, die jede Zertifizierung mitnehmen und sich mit den meisten ICSA-Zertifizierungen aller Firewall-Hersteller brüsten.

Spannende Frage: Entwertet das die Zertifizierung wenn weitere Hersteller abspringen oder kostet das Trend Micro Kunden die eine solche Zertifizierung als notwendig erachten? Ich persönlich habe noch nie auf Virenscanner-Zertifizierungen geachtet aber es gibt bestimmt Firmen, die das anders sehen.

Wie schön, dass es in Europa inzwischen sogar zwei Behörden gibt, die uns vor Cyberangriffen schützen sollen. Zum einen haben wir da die ENISA (European Network and Information Security Agency), eine Behörde deren Namen ein wenig an die diversen US-Agencies erinnert und die hauptsächlich mit konstituierenden Sitzungen beschäftigt ist.

Die NATO wiederum plagt sich ja auch schon eine Weile mit dem Gedanken, was in Richtung IT-Sicherheit zu unternehmen. Anscheinend waren die Angriffe auf Estland jetzt so ein Geldbeutelöffner. Inzwischen hat man sich auch zu einer Entscheidung aufgerafft und will  die NATO Communications Services Agency (NCSA) zu einerAnti-Cyberwar-Truppe ausbauen. Immerhin haben die einen deutschen Chef, die „Main Goals (1,5 MB Powerpoint)“ klingen jedenfalls sehr nach blabla.

Ich frage mich ja, wer dann wofür zuständig sein soll. Die ENISA hat den Vorteil, eine rein Europäische Veranstaltung zu sein. Dafür halte ich sie nicht wirklich für eine schlagkräftige Truppe. Die NCSA hat dafür NATO-Ressourcen und eventuell US-Unterstützung im Hintergrund, dafür aber auch eine eher militärische Ausrichtung. Nur … war der Angriff auf Estland jetzt ein Hacker-Angriff von ein paar Kriminellen und damit eher eine ENISA-Angelegenheit oder ein Cyberterroristischer Angriff aus Russland (wie Estland behauptet, auch wenn es keine Beweise dafür gibt) und damit eher eine NCSA-Angelegenheit?

Die EU hat beschlossen, ENISA weitere drei Jahre zu finanzieren. Die Existenz ist daher bis 2012 gesichert. Was danach passiert? Keine Ahnung, auch wenn der ENISA-Direktor Andrea Pirotti erklärt, die EU braucht auch nach 2012 sichere IT-Systeme.

Die EU sollte sich mal dringend ein Beispiel an den USA nehmen. Dort passiert wirklich was, da ist Budget da, da gibt es Kooperationen mit Universitäten und Forschungslabors; nur die Europäer sind wieder zu blöd dafür.

Einer der wichtigsten an der Vorhersage von Spekulationsblasen beteiligter Professoren erklärt das Problem, dass Spekulationsblasen u.a. dadurch Auftrieb erhalten, dass nicht alle Teilnehmer komplette Informationen haben mit folgendem Beispiel aus der Spieltheorie:

Zwei Generäle warten auf den Beginn einer Schlacht. Beide wissen, dass sie nur gewinnen können, wenn sie zugleich losschlagen. Der erste General schickt einen Boten zum zweiten. Seine Botschaft: „Morgen um 6 Uhr geht’s los.“

Nun weiß General 2, was General 1 plant, aber General 1 weiß nicht, ob der Bote auch durchgekommen ist. Also muss General 2 einen weiteren Boten mit der Bestätigung zu General 1 schicken. Und der muss einen weiteren Boten mit der Bestätigung der Bestätigung beauftragen. Am Ende wären unendlich viele Botengänge notwendig, um beide Generäle zuverlässig über den Kenntnisstand des anderen zu informieren.

Nun haben wir aber beispielsweise mit TCP eine funktionierende Kommunikation bei der beide beteiligte Kommunikationspartner zuverlässig wissen, dass die Datenübertragung erfolgreich war. Und das sogar ohne unendlich viele verschickte Pakete. Ich habe mich gefragt, was macht TCP anders als die beiden Generäle.

TCP funktioniert tatsächlich ein klein wenig anders. Man kann sich das so vorstellen:

Der erste Kommunikationspartner schickt eine Nachricht an den zweiten Kommunikationspartner mit der Botschaft: „Morgen um 6 Uhr geht’s los. Solange der Empfang dieser Nachricht nicht durch einen Boten betätigt wurde, schicke ich alle halbe Stunde einen weiteren Boten.„

Der zweite General schickt einen Kurier zurück und wenn dann keine weiteren Boten mit der gleichen Nachricht eintreffen, weiß er, dass der zweite General weiß, dass er die Nachricht empfangen hat. Der erste General weiß wiederum, dass der zweite General das weiß, weil Boten bekanntlich nicht auf Bäumen wachsen.

Nur haben es halt Ökonomen nicht mit echten Problemen und echten Lösungen zu tun sondern spielen einfach mit dem Geld fremder Leute. Und da ist klar, wenn andere das bezahlen kann man leicht unendlich viele Boten rausschicken. Dabei haben die Ingenieure längst funktionierende Lösungen entwickelt. Man muss sie nur verstehen und anwenden.

Der Skandal um das mutmaßliche Ausspähen von Daten durch Mitarbeiter der Dt. Telekom zeigt meiner Ansicht nach genau, was die Folge der Vorratsdatenspeicherung sein wird:

1. Sobald Daten erst einmal vorliegen, werden sie auch missbraucht. Da ist es völlig egal, ob es sich um Abrechnungs- und Gesprächsdaten der Telekom oder Vollzugsdaten der Polizei handelt. Der einzige wirksame Schutz ist der Verzicht auf die Speicherung der Daten.
2. Auch wenn heute der Zugriff nur für die Bekämpfung von Terroristen geplant ist, wer definiert denn morgen, was Terroristen sind? Von der CDU-Abgeordneten und ehemaligen Ministerin Reiche werden Umweltschützer die nicht ihrer Meinung sind gerne mal als „Bio-Terroristen“ bezeichnet. Bundestagsabgeordnete sind vor Strafverfolgung leider auch bei Beleidigung geschützt. Die verunglimpften Umweltschützer jedoch können die volle Härte der Terrorgesetze erwarten.
3. Die nächste Hürde die fällt ist der Richtervorbehalt. In Österreich ist es bereits so, dass jeder Polizist unkontrolliert Zugriff auf alle diese Daten hat. Und dann wundert sich jemand über Missbrauch?
4. Jeder von uns hat etwas zu verbergen. Besonders zu nennen ist in dem Zusammenhang der ehemalige Bundesinnenminister Schily. Das ist der Mann, der von uns immer verlangt hat, wir hätten doch nichts zu verbergen. Aber was hat dann Schily zu verbergen? Illegale Einkünfte? Oder warum weigert sich der Mann beharrlich, Gesetze einzuhalten? Und wieso sitzt der überhaupt noch im Bundestag?

Ich hoffe ja, dass endlich ein paar mehr Leute in diesem faulen Staat aufwachen und erkennen, dass etwas ganz grundlegend falsch läuft. Aber vermutlich ist die aktuelle Aufregung lediglich ein winziges Strohfeuer.

schreibt Spiegel Online übrigens völlig zu recht.

Wann tritt dieser unsägliche Schwätzer Schaar eigentlich endlich zurück?

Das Amtsgericht Wuppertal hat in einem Urteil (22 Ds 70 Js 6906/06, nachzulesen in NStZ 3/2008, Seite 161) Schwarzsurfen unter Strafe gestellt, schreibt Datenschutzbeauftragter Online.

• Grundlage für die Strafe waren laut Urteil die §§ 89 S.1, 148 TKG sowie §§ 43 II Nr.3, 44 BDSG. Das TKG soll hier im Abhörverbot des § 89 S.1 TKG betroffen sein, da hier eine „Nachricht“ empfangen wurde. Das AG verweist dabei auf die extensive Auslegung des Begriffs „Nachricht“ durch den BGH. Weiterhin sei bei der „Zuteilung der IP ein personenbezogenes Datum“ erhoben worden sein.

Das Urteil wird in einschlägigen Foren gerade im Detail diskutiert, dabei wird wie auch im verlinkten Text nicht mit Kritik gespart. Auch wenn prinzipiell zu begrüßen ist, dass Schwarzsurfen strafbar wird, sollte doch differenzierter zwischen geschützten (WEP, WPA) und offenen (unverschlüsselten) sowie versteckten (SSID-Broadcast abgeschaltet) und beworbenen WLANs unterschieden werden. Ich habe das Urteil leider noch nicht im Wortlaut hier vorliegen, darum folgt meine detaillierte Kritik gegebenenfalls später.