19. März 2008
Der Arbeitskreis Vorratsdatenspeicherung fordert den Rücktritt von Frau Zypries:
„Frau Zypries hat die Vorratsdatenspeicherung gegen den Willen des Bundestages ausgehandelt, einer EU-Richtlinie ohne Rechtsgrundlage zugestimmt und die Datenspeicherung unter Verstoß gegen die klare Rechtsprechung des Bundesverfassungsgerichts in Deutschland durchzudrücken versucht. Dieser vorsätzliche Verfassungsbruch macht sie als Bundesjustizministerin untragbar“, erklärt Patrick Breyer vom Arbeitskreis Vorratsdatenspeicherung, einer der Beschwerdeführer in Karlsruhe. „Frau Zypries hat die Öffentlichkeit systematisch getäuscht, etwa mit der vor dem Bundestag aufgestellten Behauptung, es gehe um ’schwerste Kriminalität‘, während das Gesetz in Wahrheit jede ‚mittels Telekommunikation‘ begangene Straftat betrifft, oder mit der Aussage, man setze die EG-Richtlinie ‚in minimaler Weise um‘, während das Gesetz in Wahrheit weit über die Vorgaben aus Brüssel hinaus geht. Wir brauchen endlich wieder freiheitsfreundliche Innen- und Justizminister!“
Ich schließe mich dem vollumfänglich an.
Praktisch wird das leider nichts nützen. Die Frau klebt so an ihrem Stuhl, die kriegt man nicht einmal mehr mit Hexafluorbenzol gelöst. Und dann wundert sie sich, warum die Bürger politikverdrossen sind.
18. März 2008
Böses Zeug, dieses Phorm. Nein, nicht das, das andere Phorm.
Phorm ist der Nachfolger (sofern man eine Firma die umbenannt wurde, weil sie so einen schlechten Ruf hatte, das praktisch alle Produkte auf der Spyware- und Adware-Liste aller gängigen Schadprogrammscanner standen, als Nachfolger bezeichnen will) von 121Media, spezialisiert auf targeted Advertising. Für die Freunde von Euphemismen, targeted Advertising ist im Grunde, man forscht die Privatspähre der Nutzer solange aus, bis man ihnen gezielt Werbung unterjubeln kann, die sie vermutlich auch interessiert.
Praktisch funktioniert Phorm in etwa so:
Der Client baut eine ganz normale Verbindung zu einem Webserver im Internet auf (1), die von einem speziellen Server, ich nenne ihn hier mal „Interceptor“ beim Provider abgefangen wird. Der Interceptor leitet die Anfrage an den Ad-Server von Phorm, der ebenfalls beim Provider steht mit dem Tracker-Cookie von Webwise weiter (2). Gleichzeitig holt der Interceptor die ursprünglich angefragte Webseite (3) und schickt sie ebenfalls an den Ad-Server (4). Der Ad-Server tauscht in der Webseite enthaltene Werbung gegen eigene Werbung aus, die mit Hilfe des Tracker-Cookies speziell auf die Vorlieben des Anwenders zugeschnitten sind (5). Der Interceptor schickt die Seite mit der modifizierten Werbung zurück an den Anwender (6).
Vermutlich ist der Prozess nicht ganz korrekt dargestellt, die Webseite „Lies, Damned Lies!“ hat eine detailliertere Grafik dazu.
Die FAQ von Phorm beschreibt das Verfahren so:
„Webwise technology places a cookie on your computer. Then, as a customer searches and browses online, that behaviour is checked against general advertising categories. When the customer’s interests match one of these advertiser categories, the customer sees a relevant ad in place of a generic, untargeted ad.“
Das konkrete technische Verfahren des Austausches spielt dabei eigentlich keine große Rolle. Die Auswirkungen des Tracker-Cookies auf die Privatsphäre will ich eigentlich auch nicht weiter analysieren. Wenn das bereits ein so dramatisches Problem wäre, dann müsste man eigentlich alle Social Network Seiten schließen und Google verbieten. Es geht mir in diesem Text zum zwei andere Punkte: das Verhalten des ISPs und die Folgen für die Werbewirtschaft.
Die Rolle des Internet Service Providers
In Großbritannien haben die wichtigen Provider (darunter BT, Virgin Media und Carphone Warehouse mit zusammen 70% Marktabdeckung) mit Phorm Verträge abgeschlossen, im Land der Überwachungskameras wird das Thema gerade heftig diskutiert. Ein Knackpunkt ist, ob das Verfahren für die Kunden mittels „Opt-In“, d.h. der Kunde muss explizit zustimmen, wenn er targeted Advertising möchte oder mittels „Opt-Out“, d.h. der Kunde muss targeted Advertising explizit abwählen, wenn er das nicht möchte, eingeführt wird.
Strittig ist beispielsweise auch, ob es sich bei diesem Vorgehen um unerlaubte Datenveränderung handeln könnte. Ich weiß nicht, ob der Austausch der Werbung von den AGBs der Provider gedeckt ist (oder gar nicht in den AGBs abgehandelt werden kann, weil es sich vielleicht um eine überraschende Klausel handelt).
Unabhängig davon würde es mir persönlich nicht besonders gefallen, wenn mein Provider in dieser Form Einfluss auf meinen Datenverkehr nimmt. Ok, bestimmte Maßnahmen wie Drosselung einzelner Datenverbindungen (sehr beliebt bei P2P-Traffic) lasse ich mir noch eingehen. Das ist keine tiefergehende Analyse meiner Surfgewohnheiten. Ganz anders sieht es aber mit der konkreten Veränderung von Webseiten aus. Das entspricht ganz klar meiner Definition eines Hostile Internet Providers. Tim Berners-Lee, der Erfinder des World Wide Web hat die Nutzer sogar explizit aufgerufen, den Provider zu wechseln wenn diese Phorm einführen.
Die Rolle der Adbroker, Werbekunden und Seitenbetreiber
Geschädigt werden also viele:
Die Adbroker (z.B. Google und Co.), weil deren Werbung nicht mehr angezeigt wird, den Werbekunden aus dem gleichen Grund und der Seitenbetreiber, weil dieser an der geschalteten Werbung nicht mehr verdient.
Ich weiß nicht, ob im Phorm-Verfahren die Originalwerbung vom Server noch abgerufen wird, bevor sie ausgetauscht wird. Wenn sie abgerufen und nach „Views“ abgerechnet wird, schadet das dem Werbekunden. Wenn nach „Click-Through“ abgerechnet wird oder wenn sie nicht abgerufen wird dem Betreiber der Webseite, der von der ausgetauschten Werbung natürlich keine Einnahmen hat.
Aus meiner Sicht handelt es sich folglich um ein reines Leecher-Verfahren. Phorm und die Provider bereichern sich auf Kosten der Anbieter von Inhalten. Die Content-Produzenten, d.h. die Autoren und Betreiber von Webseiten gehen plötzlich leer aus. In den USA hat ein Blogbetreiber sogar versucht, alle Nutzer von Firefox mit Adblock Plus von seiner Seite auszusperren. Aber das ganze durch die Provider ist das gleiche nur um den Faktor 10 schlimmer.
Zusammenfassung
Als Inhaltsanbieter müsste es meine erste Maßnahme sein, den Vertrag mit einem Phorm-nutzenden Provider sofort fristlos zu kündigen. Es kann doch nicht Aufgabe meines Providers sein, mein Geschäftsmodell aktiv zu schädigen. Als Nutzer wäre meine Maßnahme die gleiche. Ich finde, ich habe Anspruch auf die Webseite so, wie sie vom Inhaltsanbieter bereitgestellt wird (Werbung herausfiltern kann ich dann schon selber). Und von beiden Seiten wäre es angebracht, den Provider ein klein wenig zu verklagen, wegen unerlaubter Datenveränderung (aus Nutzersicht) oder wegen Urheberrechtsverletzung durch unerlaubte Modifikation der von meinem Server angebotenen Inhalte (als Anbieter).
Ich bin ja gespannt, ob Phorm auch in Deutschland Provider findet, die sich dem anschließen. Vodafone traue ich das zu.
Nachtrag:
Inzwischen gehen auch im Mutterland der Überwachung ein paar kleine Alarmglöckchen an. Die Foundation for Information Policy Research (FIPR), ein regierungsnaher Think Tank hält das Phorm-Modell in einem Schreiben für nicht mit dem Gesetz vereinbar. Allerdings hält das UK Home Office (sowas wie das Innenministerium bei uns) Phorm weiterhin für legal. Die letzte Entscheidung hat nun der Information Commissioner Richard Thomas (so etwas wie bei uns der Bundesdatenschutzbeauftragte).
Ist das nur normaler Spam mit einer Redirection, damit der unbedarfte Leser meint, es handelt sich um eine Google-Seite oder ist das schon Adwords Kilck-Betrug?
Man beachte die URL:
http://www.google.it/pagead/iclk?sa=…&adurl=http://DZLp.holesteam.com?..
Die Seite will mir jedenfalls ganz normal Viagra, Cialis & Co. andrehen. Ich habe keinen Schadcode oder so finden können. Kennt sich zufällig jemand mit Google Adwords aus? Ist da irgendwo ein kleiner Nebenverdienst mit drin?
17. März 2008
Das File iPIX-install.exe ist übrigens mal wieder ein interessantes Beispiel dafür wie wichtig die Aktualität von Virenscannern ist. Erster Versuch auf meinem Privatrechner:
Suchengine: V7.06.00.73, 01.03.2008
Virendefinitionsdatei: V7.00.03.31, 14.03.2008
Leider kein Virus gefunden.
Also … Update!
Suchengine: V7.06.00.73, 01.03.2008 = die gleiche Version wie vorher
Virendefinitionsdatei: V7.00.03.33, 16.03.2008 = nur 0.00.00.02 höher
Und das Ergebnis:
Jetzt wird das Schadprogramm erkannt.
Ich weiß nicht, wie lange dieser Spam schon verschickt wird, aber bisher war meine Erfahrung mit Avira dem Hersteller von Antivir, dass recht flott reagiert wird. Gut möglich also, dass dieses Schadprogramm erst zwischen 14. und 16. März im Internet aufgetaucht ist. Im Grunde ist ein tägliches Update inzwischen zu selten, eigentlich müsste man Virenpattern zumindest in Unternehmen stündlich aktualisieren.
Ich weiß nicht so recht, wie ich den folgenden Trick einordnen soll. Social Engineering? Spoofing? Von beidem etwas?
Per Spam kam der Link auf folgende (absichtlich nicht verlinkte) chinesische Webseite: http://www.financial-manager.cn/aes/
Man sieht, das in der Mitte offensichtlich ein Plugin fehlt, um Grafiken oder Filme oder so anzuzeigen. Das fand ich jetzt nicht besonders ungewöhnlich. Insbesondere weigere ich mich standhaft, den Apple QuickTime Schrott zu installieren. Die Software ist sowas von eklig, die Integration egal in welchen Browser funktioniert hinten und vorne nicht so wie ich das gerne hätte und QuickTime will dann alle Medien abspielen, die die Dreckssoftware gar nichts angeht. Von den vielen Bugs und Sicherheitslücken will ich gar nicht reden. Weil mich natürlich interessiert, welches Plugin in diesem Fall fehlt, habe ich todesmutig draufgeklickt (man weiß ja schließlich nie, was sich auf so chinesischen Webseiten verbirgt):
Sehr witzig, das ist gar kein Firefox-Plugin. Das Plugin-Symbol wird im HTML-Quelltext als billige GIF-Grafik angezeigt. Beim Klick auf die Grafik wird dann ein normales EXE-File nachgeladen. Und was sagt Virustotal dazu?
Ui, ein böser Trojaner-Downloader. Also im Grunde genau das, was man so von einer chinesischen Webseite erwarten würde.
Trotzdem finde ich die Idee clever. Auf den ersten Blick dürften sich die meisten unbedarften User täuschen lassen. Das Puzzle-Symbol für ein Plugin ist dem User bekannt und symbolisiert einen vertrauenswürdigen Download. Wenn sich dahinter ein EXE verbirgt, kann man dem Anwender eigentlich auch keinen Vorwurf machen, das blöde QuickTime lässt sich ja auch nicht direkt über den Browser installieren.
Am 09. April findet die diesjährige Ausgabe der Ingram Micro ArchITecture (hier die komplette Agenda, PDF, 1,4 MB) wie jedes Jahr in Neuss statt. Mein diesjähriger Titel:
Hacking Reloaded: Fiese Tricks im Firmennetz
Wie Sie ihren Systemadministrator zur Verzweiflung treiben
Dabei geht es um Software wie Cain & Abel, Spoofing und Sniffing, um Trojaner und andere Schadprogramme und welche Möglichkeiten man als Mitarbeiter im Unternehmensnetz so hat, um diversen Unsinn anzustellen, möglichst natürlich ohne das 11. Gebot (laß Dich nicht erwischen) zu verletzen.
Es lohnt sich natürlich nicht nur wegen meines Vortrags zu kommen. Matthias Leu erklärt beispielsweise was man mit UTM machen kann und welche Vor- und Nachteile man damit eingeht. Das wird garantiert einer der starken Vorträge die sich auch in Argumentationen bei Kunden gut verarbeiten lassen.
Anmeldung zur Teilnahme (beschränkt auf Fachhändler) über die Reseller-Seite von Ingram Micro.
16. März 2008
Das BKA (auf deren Webseite verlinke ich lieber nicht, die spionieren gerne mal illegal harmlosen Surfern nach) hat ein paar Zahlen für 2007 veröffentlicht:
- 4200 Phishing-Fälle, 700 mehr als 2006
- Durchschnittliche Schadenshöhe zwischen 4000 und 4500 Euro, 2006 noch rund 2500 Euro
Der Gesamtschaden durch Phishing (abzüglich eventuell sichergestellter Gelder) dürfte damit bei etwa 18 Millionen Euro gelegen haben. Im Vergleich zur Schadenssumme von 9 Millionen Euro 2006 eine glatte Verdopplung.
- Etwa 750.000 mit Schadprogrammen infizierte Rechner in Deutschland
- Etwa 150.000 Rechner in Deutschland, die von Hackern ferngesteuert werden
und natürlich ist die Kinderpornographie laut BKA-Chef Ziercke auf dem Vormarsch. Da helfen große Zahlen wie die 240.000 Zugriffe auf 4.600 Dateien. Wenn man das allerdings runterrechnet kommt man auf einen Kreis von vielleicht 53 Nutzern. So kann man sich die Gefahr auch großrechnen, um Mikado und ähnliche Eingriffe in die Privatsphäre zu rechtfertigen.
Die Aufklärungsquote liegt bei Piraterie übrigens zwischen 96 und 98%, bei allen anderen Straftaten deutlich unter 50%. Die Täter sind übrigens zu 80% männlich und über 21.
(via Focus)
Die China Cyber Army wird irgendwie immer erwähnt, wenn in den USA mal wieder ein paar Tausend Systeme der Airforce, Marines oder Army gehackt werden. Manchmal beschleicht einen dabei das Gefühl, die China Cyber Army wird quasi zu einer digitalen Al-Qaida aufgebaut. Die Angriffe werden sogar detailliert in Präsentationen (PDF) beschrieben, man könnte meinen man sei direkt betroffen.
Ich kann mir durchaus vorstellen, dass es in China einen Regierungsauftrag für Hacker gibt und ich wäre überrascht, wenn es in den USA, UK, Russland, Israel, Frankreich und vermutlich auch in Deutschland anders wäre. Praktisch überall wo ein fähiger Geheimdienst existiert, werden natürlich auch Cyberangriffe in Auftrag gegeben.
Andererseits ist mir nicht ganz klar, welchen Sinn es macht gerade bei den Chinesen so eine „Überorganisation“ zu verorten. In Deutschland werden die Angriffe der Chinesen z.B. auf das Bundeskanzleramt praktisch komplett geheimgehalten. In den USA kommt so etwas auch nur dann an die Öffentlichkeit, wenn der politische Wille dazu besteht. Der mediale Aufbau einer „chinesische Al-Qaida“ könnte natürlich politisch gewollt sein, um z.B. den chinesischen Einfluss auf die US-Wirtschaft begrenzen zu können. Wenn genug „terroristische Angriffe“ den Chinesen zugeordnet werden, dann darf man auch damit rechnen, dass anti-chinesische Gesetze gebastelt werden. Vermutlich vergleichbar der anti-japanischen Gesetzgebung so um 1990 herum. Die US-Drohung konventioneller Gegenschläge für Cyberangriffe deutet in die gleiche Richtung.
Und dann macht es natürlich Sinn, einen gefährlichen chinesischen Feind aufzubauen. Also behauptet in fünf Jahren nicht, ich hätte Euch nicht gewarnt wenn die USA gegen die „gelbe Gefahr“ (nein, nicht Symantec) vorgehen.
15. März 2008
In Österreich gibt es das schon … bezahlen durch den Provider, ermittelt anhand der IP-Adresse. Die Montax Payment Services GmbH bietet das an und noch bevor deren Produkt Billiteasy oder vergleichbare Leistungen überhaupt in Deutschland angeboten werden, warnt die Seite Computerbetrug.de schon davor. Das sieht ja recht vielversprechend aus 🙂
Die Idee ist eigentlich die gleiche wie beim Telefon- oder Handy-Billing. Der Provider erkennt anhand der IP-Adresse, welcher Kunde (d.h. welches Anschlusskonto) wann gerade online ist und bucht Mehrwertdienste direkt auf dieses Anschlusskonto. Da die meisten Provider ihre Rechnung per Einzugsermächtigung beim Kunden abholen, ist das für die Anbieter der Mehrwertdienste genauso bequem wie die Abrechnung über eine 0900-Nummer oder eine Premium-SMS. Allerdings mit dem feinen Unterschied, dass IP-Payment nicht gesetzlich reguliert ist, man kann also für den Abruf einer einzelnen Seite auf einem Webserver auch gerne 500 Euro in Rechnung stellen, wenn der Provider da mitspielt.
Technisch funktioniert das in etwa so, dass der Provider mit dem IP-Payment-Anbieter einen Vertrag schließen müssen, der IP-Payment-Anbieter dann wieder mit den eigentlichen Mehrwertdienstanbietern. Ob sich die IP-Payment-Anbieter als Clearingstelle halten können oder ob die Provider diese Provision ebenfalls einstecken wollen wird sich zeigen. Anbieter wie Firstgate können sich jedenfalls im Markt (noch) behaupten. Bei einem Zugriff auf kostenpflichtige Angebote schickt der Mehrwertdienstanbieter eine entsprechende Nachricht an den IP-Payment-Anbieter, der diese Information mit der IP-Adresse des Kunden an den Provider weiterleitet. Wenn die IP-Adresse entweder zu einem Provider gehört, der nicht vom IP-Payment-Anbieter unterstützt wird oder gesperrt ist, dann ist der Zugriff auf das kostenpflichtige Angebot so nicht möglich.
Die Probleme die dabei entstehen können sind vielfältiger Natur. Erstmal die technischen Probleme:
- Es gibt nur ein paar Telefongesellschaften aber viele Provider. Ein IP-Payment-Anbieter braucht daher viele Verträge
- Eine Telefonnummer beim Versand einer SMS lässt sich eindeutig zuordnen, eine IP-Adresse beim Zugriff auf eine Webseite kann auch ein Proxy sein
- Was ist mit Zugriffen aus einem Internet-Café? Werden die vom Provider zuverlässig ausgeschlossen?
- Was ist mit IP-Adressen die Hotels zugeordnet sind und von den Hotelgästen genutzt werden? Im Grunde sind das ja auch Dienstanbieter in irgendeiner Form.
- Was ist mit nicht oder schlecht geschützten WLANs? WEP ist zwar ausreichend im Sinne des § 202a StGB (Ausspähen von Daten) aber nicht sicher um nicht doch kompromittiert zu werden. Ist der Betreiber dann der Dumme? Ok, eine Mitstörerhaftung ist klar, aber eine Willenserklärung wurde nicht abgegeben.
- Was ist mit Webseiten, die automatische Redirects auf kostenpflichtige Angebote durchführe? Das kann schon in einem IFrame passieren. Das ist dann quasi die Dialerproblematik im Quadrat.
Juristisch ist es ähnlich kompliziert:
- Genügt eine IP-Adresse als Nachweis des Einverständnisses in eine Willenserklärung?
- Handelt es sich um ein Opt-In, d.h. muss der Kunde beim Provider erklären er will so einen Mehrwertdienst (dann wird es niemand tun) oder um ein Opt-Out, aber dann sind AGB-Änderungen notwendig, die vielleicht vielen Kunden ein Sonderkündigungsrecht erlauben.
Und schließlich … will sich wirklich einer der großen Provider einen Haufen Ärger einhandeln, wenn Kunden geschröpft werden und ihre Rechnungen nicht mehr bezahlen? Ok, Arcor wird sicher mit dabei sein. Aber alle anderen?
Andererseits … für Hacker tut sich da eine ganz neue Spielwiese auf. Ich würde mich ja auf einen IP-Payment-Hack vergleichbar zum BTX-Hack freuen 🙂 Vielleicht stellt die Hamburger Sparkasse oder eine andere Bank ja freundlicherweise einen Webserver mit ein paar PHP-Code-Injections zur Verfügung?
14. März 2008
CONsultant n. 1. Somebody you hire to borrow your watch, so you can find out the time. 2. Somebody you hire to tell you you’re right — after you become disgusted with all the „yes-people“ around you. [Also see CON, to swindle or defraud a victim by first winning his (sic) confidence, to dupe.]
Auch von David Isenberg. Sehr treffend.
