Unglaublich, der oberste Datenschützer in Deutschland, der Bundesbeauftragte für den Datenschutz Peter Schaar hält sich endlich auch mal an das Bundesdatenschutzgesetz, das er bekanntlich illegal großzügig auslegt und das ist in Deutschland sogar eine Heisemeldung wert.
Worum geht es? Um die Speicherung von IP-Adressen auf Webservern von Bundesbehörden. Bekanntlich wurde unserer Justizministerin Frau Zypries unter Androhung eines Ordnungsgeldes, ersatzweise Gefängnis verboten, IP-Adressen auf ihren Webservern (genauer denen des Bundesjustizministeriums) zu speichern.
Und jetzt endlich, vermutlich auch erst nach der Drohung, ebenfalls verklagt zu werden erklärt Herr Schaar auf seiner Webseite, Netzkennungen nur noch anonymisiert zu speichern.
Halloooo, Herr Schaar? Sie hätten die IP-Adresse niemals speichern dürfen. Noch nie. Wegen des Bundesdatenschutzgesetzes. Für das Sie zuständig sind. Aber Gesetze sind anscheinend auch nur für andere da, Sie haben da bekanntlich Ihre eigene Interpretation. Eigentlich sollte man Ihnen in den Arsch treten, wenn Sie schon nicht den Anstand haben, zurückzutreten. Setzen, 6.
Ein Team um Professor Felten hat im Blog „Freedom to Tinker“ beschrieben, wie sich gängige Festplattenverschlüsselung brechen lässt. Und Felten ist nicht irgendwer sondern jemand, der sich bezüglich DRM schon mit der Musikindustrie angelegt hat und diverse Schutzmechanismen geknackt hat. Der Mann hat Ahnung.
Das neu entdeckte Problem betrifft praktisch alle gängigen Programme, egal ob Bitlocker, Utimaco oder Truecrypt. Alle Programme müssen nämlich irgendwo die Entschlüsselungskeys vorrätig haben und üblicherweise liegen die im RAM vor. Die gängige Annahme ist, sobald der Strom weg ist, verlieren die RAM-Bausteine auch alle Informationen. Wenn man den Rechner ausschaltet, hat man daher keine Chance an die Schlüssel ranzukommen. Leider ist diese Annahme falsch. Felten und Co. können zeigen, dass die RAM-Bausteine ihre Informationen viel länger als gedacht behalten. Wenn man die Bausteine sogar noch mit Stickstoff oder so kühlt, bis zu mehreren Minuten. Das ist eindrucksvoll. Eine mögliche Lösung wäre natürlich, die Schlüssel in einem speziellen Hardware Security Module zu speichern, aber gängige PC-Hardware selbst mit TPM gibt das nicht her. Man sollte daher sein Notebook niemals eingeschaltet oder im Standby mit in die USA nehmen!
Der folgende Film mit dem Titel „Cold Boot Attacks on Encryption Keys“ zeigt in eindrucksvoller Weise die Möglichkeiten:
Argl, wie schütze ich jetzt meine wichtigen Daten? Ach ja, der wissenschaftliche Bericht dazu findet sich auf der Princeton Webseite.
Man hört ja immer wieder davon, dass der US Zoll sich Notebooks von einreisenden Touristen oder Geschäftsleuten unter den Nagel reißt und heimlich die Daten kopiert. Insbesondere für europäische Manager ist das inzwischen ein reales Risiko und Industriespionage weit verbreitet. Das Problem ist inzwischen so weit verbreitet, dass sich die Electronic Frontier Foundation damit beschäftigt:
„The Supreme Court has ruled that customs and border agents may perform „routine“ searches at the border without a warrant or even reasonable suspicion, but EFF and ACTE argue that inspections of computers are far more invasive than flipping through a briefcase.“
Ich hätte ja bis vor wenigen Minuten gesagt, in den USA löst Festplattenverschlüsselung das Problem noch. In Großbritannien jedoch muss man inzwischen die Verschlüsselungskeys rausrücken, wenn man nicht ins Gefängnis will. Heute taugt nicht mal mehr die Festplattenverschlüsselung (außer man macht das in spezieller Hardware, aber dazu im nächsten Beitrag mehr.
Irgendwie bleibt mir da nur noch eine Idee … das relevante System als VMware-Image auf einen schnellen Webserver legen (z.B. auf Amazon S3), mit dem leeren Rechner in die USA einreisen und von dort das Image verschlüsselt nachziehen.
Wir haben ab sofort eine offene Stelle. Gesucht wird ein/e Junior Tainer/in für Firewall-Schulungen, insbesondere Check Point. TCP/IP-Grundlagen sowie sicheres Auftreten und freies Sprechen vor Publikum wird vorausgesetzt, den Rest bringen wir bei.
Außerdem gibt es ab Herbst zwei Ausbildungsstellen zur/zum Fachinformatiker/in.
Ich suche gerade einen Internet-Provider, bevorzugt im europäischen Ausland gerne aber auch weiter weg. Nicht jedoch USA, China, Russland, Japan oder Schweiz. Der Provider soll einen Linux-Root-Server bereitstellen, den wir z.B. für Penetrationstests etc. nutzen können.
Das soll natürlich am liebsten ein Provider sein, der nicht sofort abschaltet, wenn jemand mit einer Abuse-Mail, einem DMCA oder sonst irgendwas in der Richtung fuchtelt und der nicht so viele Fragen stellt und noch weniger protokolliert. Deutschland fällt ja schon wegen der Vorratsdatenspeicherung aus.
Ist das Bundesdatenschutzgesetz bzw. die vergleichbaren Regelungen der Bundesländer in den jeweiligen Landesdatenschutzgesetzen eigentlich noch ein richtiges, relevantes und zu befolgendes Gesetz oder längst zur reinen Verarsche verkommen? Sozusagen ein Feigenblatt der Scham zur Beruhigung besorgter Bürger über dem hemmungslosen Missbrauch der Daten durch die Unternehmen?
Die baden-württemberger Datenschützer wollten sich den Fall ja genauer anschauen. Dazu schreibt Heise heute, die Datenschützer attestieren tatsächlich ein Fehlverhalten. Und die Konsequenz:
„Obwohl die Datenschützer der Bank damit ein klares Fehlverhalten bescheinigen, hat der Vorgang keine weiterreichenden Konsequenzen für das Geldinstitut: Die unzulässige Nutzung von Videoaufzeichnungen und Kontodaten erfülle keinen Bußgeldtatbestand“
Keine. Wenn der normale Bundesbürger auch nur 10 km/h zu schnell auf der Straße unterwegs ist, dann gibt es einen ausgefeilten Bußgeldkatalog. Wenn die Unternehmen private Daten verschludern, passiert nichts. Ich habe noch mehr Beispiele:
Peter Huth ist auch so ein Fall. Das ist der angebliche „Sicherheitsexperte“ von Sat.1 und Pro7. In dessen Webseite wurde wegen eines schlampig programmierten PHP-Skripts eingebrochen und Kunden- sowie Kreditkartendaten geklaut. Was passiert? Nichts. Die Staatsanwaltschaft Berlin hat das Verfahren eingestellt, weil die Daten nicht gemäß den Anforderungen des § 202a StGB gesichert waren. Also ein klarer Verstoß gegen das Bundesdatenschutzgesetz. Und dazu sagt die Staatsanwaltschaft:
„Es gebe zudem keine strafrechtlichen Ermittlungen gegen Huth: Wie dieser mit seinen Kunden umgeht beziehungsweise diese über die Problematik unterrichtet, bestimmt sich allein aus dem zivilrechtlichen Innenverhältnis.“
Gut zu wissen … wenn das nächste mal die Datenschutzbehörde prüft, ob wir den vorgeschriebenen Datenschutzbeauftragten im Unternehmen haben, kann ich denen ganz trocken mitteilen, das bestimmt sich allein aus dem zivilrechtlichen Innenverhältnis und geht die gar nichts an. Aber in Bayern haben die eh andere Probleme. Ich kenne keine einzige Firma aus meinem Umfeld bei der sich schon jemals eine Datenschutzbehörde gemeldet hätte.
In der Praxis hält sich nicht einmal das Bundesjustizministerium an seine eigenen Gesetze. Das Amtsgericht Berlin hat dem Budesjustizminsterium in Person von Frau „ich habe gar keine Ahnung“ Zypries inzwischen eine Geldstrafe von 250.000 Euro, alternativ bis zu 6 Monate Ordnungshaft angedroht, wenn die illegale Sammlung von Webserver-Logfiles nicht aufhört.
Weitere Fälle gewünscht (gerne auch Ergänzungen in den Kommentaren)?
Das BKA sammelt auch gerne IP-Adressen harmloser Besucher
Der Bundesbeauftragte für den Datenschutz Peter Schaar hält das Sammeln von Daten bei Flatrates für legal (im Gegensatz zu den Gerichten übrigens). Eigentlich können wir den Schaar auch abschaffen, der blubbert eh nur.
Bei Swift wird von der Politik auch lieber beschwichtigt anstatt geklärt.
Was das Postgeheimnis noch Wert ist, erklärt uns gerade die Deutsche Post.
Eigentlich kann man das Datenschutzgesetz auch gleich ganz abschaffen.
Die Süddeutsche Zeitung hat gerade ein Internet-Quiz, mit lustigen Fragen und einfachen Antworten. Dadurch wird zwar keine Personal Firewall installiert und der Rechner auch nicht auto-magisch gepatcht aber man fühlt sich doch gleich viel besser. Und die Antworten sind wirklich so einfach, da muss man einfach alles richtig haben.
Was sind Trojaner?
Was sind Script Kiddies?
Hacker greifen missliebige Gegner gerne mal mit DoS-Attacken an. Was steckt dahinter?
Klauen Cyberkriminelle über gefälschte WWW-Adressen Kontodaten, nennt man das?
Was ist eine Salami-Attacke?
Welche einprägsame E-Mail-Betreffzeile hatte der Computerwurm, der 2000 weltweit Schäden in Milliardenhöhe anrichtete?
Die drei beliebtesten Passwörter der Deutschen sind?
Was ist ein Betatest?
Woran erkennt man eine nach dem Sicherheitsstandard SSL („Secure Socket Layer“) verschlüsselte Website?
Was Spam-Mails sind, wissen inzwischen alle. Aber was sind Junk-Mails?
Ok, wenn es keine drei Antworten zur Auswahl gäbe, müsste man gelegentlich ein wenig darüber nachdenken. Aber so … eigentlich sollte man eher sowas fragen:
Wie sieht ein sicheres Passwort aus?
Wie stellt man als Anwender sicher, dass man immer die neusten Patches und Updates auf seinen Rechner bekommt?
Wie installiert und konfiguriert man einen Virenscanner um sich vor Schadprogrammen zu schützen?
Wie richtet man seine Personal Firewall so ein, dass Angriffe aus dem Internet zuverlässig abgewehrt werde?
Wie identifiziert und entfernt man Adware und Spionagesoftware vom Rechner?
Wie installiert man Firefox und wichtige Add-ons wie NoScript und Adblock Plus?
Wie konfiguriert man den Webbrowser so, dass man gefahrlos im Internet surfen kann?
Woran erkennt man Phishing-Webseiten im Internet?
Wie schützt man sich vor Spam und anderen unerwünschten Mails?
Wie schützt man seine persönlichen Daten und seine Privatsphäre bei der Nutzung des Internets?
Das würde dann auch die Überschrift rechtfertigen. Aber so viel wie man für das Quiz klicken muss, da geht es nur noch darum, die Klickzahlen hochzutreiben und nicht darum, wertvolle Informationen zu liefern. Eigentlich traurig bei einem Qualitätsmedium wie die Süddeutsche Zeitung.
Interessant finde ich, dass gerade die Finanzinstitute praktisch nur Insider-Probleme haben. Entweder ist die äußere IT-Sicherheit hier besonders groß oder die Mitarbeiter sind extrem skrupellos (vermutlich beides). Dafür hat das (US-)Militär vermehrt mit Datenträger- und Laptop-Verlusten zu kämpfen. Anscheinend hat sich hier die Datenverschlüsselung noch nicht durchgesetzt. Hackingangriffe passieren wiederum vermehrt im Hochschulumfeld, dort können die Systeme gar nicht so restriktiv abgesichert werden wie es manchmal nötig wäre.
<Bullshit-Speak>Für DrückerVertriebsmitarbeiter Customer Account Representatives könnte so eine etwas detailliertere Übersicht interessant sein, um für vertikale Segmente angepasste Angebotspakete zu kreieren</Bullshit-Speak>
Aber man kann die feine Ironie zwischen den Zeilen lesen:
„Eine Etage höher werden Steuern in Milliardenhöhe durch geschicktes Umleiten von Gelddatenströmen in kleine Alpen- oder Karibikstaaten hinterzogen […] im Museum für Kommunikation in Nürnberg, das unter anderem von der Deutschen Post finanziert wird.“
„Allein im Jahr 2006 seien in Bayern 670 Fälle des sogenannten Phishings bei der Polizei angezeigt worden.“
Das wird noch viel krasser, wenn die Vorratsdatenspeicherung erst richtig greift. Dann brauchen die Betrüger nicht mehr viele kleine Rechner angreifen, es reichen die dicken Datenbanken der großen Provider.
Das traurige ist, entweder ist Herr Herrmann komplett ahnungslos (übrigens ein sehr schönes XSS der CSU Landtagsfraktion) und damit ungeeignet für sein Amt oder er unterstützt wider besseres Wissen die Politik seines Vorgängers und gehört dann auch nicht in sein Amt.
Liest zufällig jemand die ComputerZeitung? Mir ist beim Aufräumen meines Schreibtisches zufällig die Ausgabe vom 8. Januar 2008 in die Finger gefallen, mit einem interessanten Artikel auf Seite 19.
Das Herzzentrum Lahr hat dort auf Basis von Astaro und VMware die Firewalls virtualisiert. Meines Wissens bastelt Phion an einer ähnlichen Idee und Check Point SecurePlatform hab ich auch schon erfolgreich auf VMware installiert. Ich überlege jetzt schon seit einiger Zeit ob virtuelle Firewalls wirklich eine sichere Lösung darstellen können.
Meine Datenbasis:
1. Die Secunia-Statistik zum VMware ESX Server 3.0
Vielleicht bin ja nur ich paranoid, aber für meinen persönlichen Geschmack sind das ein paar CVEs zuviel für ein Device, das direkt im Internet steht (nein, man kann die Firewall nicht in die DMZ stellen!). Auch wenn viele der Probleme nicht remote ausnutzbar sein werden habe ich insgesamt kein so gutes Gefühl dabei. Und hat jemand am 05.04. den CVE-Eintrag von 2003 gesehen? Da hat sich hemand viel Zeit beim Beheben des Fehlers gelassen. Aber weiter im Text.
2. VMware ESX kann ja auch nicht grad alles, was man von einer Firewall benötigt (ich kenne Firmen die mit 64 Interfaces nicht auskommen):
„Nachteilig wirkt sich die notwendige Komplexitätssteigerung im Switching-Bereich aus. Weil unter ESX maximal vier virtuelle Netzwerkkarten möglich sind, musste Hussy (der IT-Leiter, Anm.) mittels VLA-Tagging und einer komplexen Switchkonfiguration samt Verkabelung nachhelfen.“
Anders ausgedrückt, diverse früher physikalisch getrennte Sicherheitszonen sind jetzt in VLANs auf den Switchen zusammengefaßt und man hofft, die Switch-Konfiguration im Griff zu haben. Ok, laut beiligender Zeichnung war man klug genug, für „Outside“ ein dediziertes Netzwerkinterface mit dem virtuellen Firewall-System zu verbinden.
Trotzdem … ein kleiner billiger NetScreen 5GT HA Cluster kostet nur 3000 Euro (und damit weniger als eine einzelne Astaro-Lizenz) und ich habe eine dedizierte Hardware. Für den Astaro-Preis kann ich auch fast schon Check Point kaufen und wenn das Gerät unterdimensioniert ist, einfach eine andere Hardware unter die SecurePlatform schieben. Oder ist das eine saucoole Lösung und ich bin nur zu blöd, das zu sehen? Nachtrag:Â
Und wenn ich sowas schon installiere, ist es dann klug, daraus eine „Success Story“ zu machen, damit auch jeder im Internet weiß, wo er potentiell angreifbare Firewalls auf VMware-Basis findet, die beim nächsten VMware ESX Remote Exploit dem verantwortlichen IT-Leiter um die Ohren fliegen. Oder ist das saucool weil man sooo viel Geld damit spart und ich bin nur zu blöd …
