Fefes Blog

Fragen? Antworten! Siehe auch: Alternativlos

Thu Jul 21 2022

• [l] Gute Nachrichten! Die "Chatkontrolle" ist gar nicht so unpopulär, wie es aussah!

  Die Geheimdienste finden das total super!

  Gut, ist ja auch klar. Was die für Kosten für die Beschaffung von Exploits hatten! Da ist es viel billiger, alle Geräte mit Hintertüren zu versehen!

  Für, äh, *papierraschel* die Kinder!!1!

  Ian Levy, the NCSC’s technical director, and Crispin Robinson, the technical director of cryptanalysis – codebreaking – at GCHQ, said the technology could protect children and privacy at the same time.

  Da solltet ihr immer GANZ hellhörig werden, wenn der Chef der Kryptoanalyse-Abteilung eines Geheimdienstes etwas gut findet.

Wed May 6 2020

• [l] Während bei uns der Wind bei der Corona-App ja eher in die dezentrale Richtung mit ordentlichem Datenschutz geht gerade, wollten die Briten ein Modell mit zentraler Datenhalde machen. Dazu gibt es diese wunderbare BBC-Meldung:

  Apple, Google and hundreds of privacy advocates have raised concerns that this risks hackers or even the state itself being able to re-identify anonymised users, and thus learn details about their social circles.

  But NHSX has consulted ethicists and GCHQ's National Cyber Security Centre (NCSC) on the matter, and believes safeguards are in place to minimise the risk of this happening.

  Oh ach SO ist das! Wenn GCHQ das sagt, dann wird das wohl stimmen!1!! (Danke, Tim)

Mon Oct 21 2019

• [l] Ich erzähle ja schon länger, dass Cyber-Attribuierung schwierig bis unmöglich ist. Während diese Erkenntnis langsam durchsickert, werden wir mit Military-Grade Attribuierungs-Märchen berieselt:

  An Iranian hacking group was itself hacked by a Russian group to spy on multiple countries, UK and US intelligence agencies have revealed.

  OH ACH SO war das! Und diesmal wissen wir das aber wirklich ganz genau, weil, äh, weil die Geheimdienste es gesagt haben!!1! Leider können sie uns ihre Beweise nicht zeigen. Ein Schelm, wer da vor seinem geistigen Auge Colin Powell vor der Uno sieht.

  "This is getting to be a very crowded space," explained Paul Chichester, director of operations for the NCSC, the protective arm of the intelligence agency GCHQ.

  "protective arm". HAHAHAHA, ja nee, klar!

  A report of Turla compromising another espionage group was made by the private security company Symantec in June.

  Und so stapeln sie sich aus Märchen und Legenden einen Turm der Fake-"Erkenntnis" zusammen. So ungefähr muss sich die Alchemie- und Hexenforschung angefühlt haben. Der ehrenwerte Herr Magister Soundso hat herausgefunden, dass Hexen bei Mondlicht besser cybern können, daher greifen wir immer gegen Mittag an, wenn die Sonne hoch im Himmel steht!1!!

  Update: In der Original-Pressemitteilung des NCSC taucht dann dieser bemerkenswerte Satz auf:

  “We want to send a clear message that even when cyber actors seek to mask their identity, our capabilities will ultimately identify them.

  Das ist des Pudels Kern. Ignoriert den Rest. das ist alles, was sie hier sagen wollen. Glaubt nicht dem Fefe, sagen sie, wir sind sooooo großartig, uns gelingt auch die Quadratur des Kreises, das Entwickeln sicherer Software, Reisen mit Überlichtgeschwindigkeit und Cyber-Attribuierung!1!!

  Ich behaupte selbstredend das Gegenteil. (Danke, Frederik)

Sun Apr 23 2017

• [l] Hewlett Packard Enterprise Enterprise Services ist das endlich zu blöde geworden, dass sie doppelt Enterprise im Namen haben, und sie sind mit CSC zu DXC fusioniert. Ein bisschen Hintergrund zu CSC hatte ich im Blog. Ich hätte mich an deren Stelle auch umbenannt.

Mon Sep 28 2015

• [l] Die UBS outsourced ihre IT jetzt an AT&T. Also … an die NSA. Gut, betrifft mich nicht, aber so ein bisschen eine Überraschung ist das ja schon — bis man nachguckt, an wen sie das bisher outsourcen:

  Bereits seit einiger Zeit hat die UBS ihr Netzwerk ausgelagert. Zum Zug gekommen war eine andere umstrittene amerikanische Firma. Sie hiess CSC

  CSC! Da war doch was. Ach ja, das waren die, die auch in Deutschland Bundeswehr und BKA machen! Na DANN ist ja alles bestens! Und bei der UBS ändert sich auch nichts für die Kunden. Business as usual. (Danke, Ulf)

Thu Mar 5 2015

• [l] Endlich auch mal gute Nachrichten: NSA-Dienstleister CSC ist in vier Bundesländern aus den IT-Ausschreibungen geflogen.

Fri Dec 12 2014

• [l] Ich nenne hier häufiger Regierungen "Junta", und kriege dafür dann auch gelegentlich Gegenwind. Bei Bush kommt jetzt kein Gegenwind mehr, spätestens seit den CIA-Folter-Geschichten, und heute gibt es eine Meldung, bei der hoffentlich auch der Gegenwind bezüglich unserer Junta aufhören wird: CSC freut sich über neue Verträge (!) mit Bundesbehörden (!!). Ja, richtig gelesen! CSC, die die IT bei der NSA machen, die die IT beim Klimagipfel gemacht haben, den die NSA dann massiv unterwandert und zum Scheitern gebracht hat, die der CIA für ihre Folterflüge Flugzeuge geliehen haben, DIE FIRMA CSC kriegt jetzt von unseren Bundesbehörden NEUE Aufträge.

  Der Klopper:

  Das Innenministerium bestätigt einen Vertrag mit dem Bundeskriminalamt. Dabei soll der im April verkündete “No-Spy-Erlass” zur Anwendung kommen: CSC verspricht, keine Daten an die NSA zu geben.

  Sorry, aber da kann mir keiner was von Naivität erklären. Das ist Vorsatz. Das ist keine Regierung, das ist eine Junta.

  Netzpolitik.org hat ein paar Emails zugespielt gekriegt, in denen CSC ihren Mitarbeitern gegenüber mit den neuen Aufträgen prahlt. Hier ist die Liste:

  CSC freut sich, “weitere Rahmenverträge” mit sechs bundesdeutschen Behörden abgeschlossen zu haben. Dazu zählen:

  • Landeskriminalamt Bayern: Rahmenvertrag neues polizeiliches Vorgangsbearbeitungssystem (IGVPFE)
  • Bundeskriminalamt: Rahmenvertrag IT-Dienstleistungen
  • Bundesverwaltungsamt: Fachverfahren Elektronisches Personal-, Organisations- und Stellenmanagement der Bundesverwaltung (EPOS)
  • Bundesagentur für Arbeit (BA): Rahmenvertrag Systementwicklung (SE)
  • Bundesagentur für Arbeit (BA): Partner der MID GmbH im Rahmenvertrag Systementwicklung (SE)
  • Bundeswehr und BWI/HERKULES: Zusammenfassung der gewonnen Rahmenverträge

  Spätestens bei der Bundeswehr ist dann hoffentlich jedem klar, was das bedeutet. Dort sollen sie übrigens Software entwickeln.

Thu May 15 2014

• [l] Die SPD hat sich im Irrenhaus durchgesetzt: Die Bundesregierung fordert jetzt von IT-Dienstleistern einen No-Spy-Aufkleber. Wie sollen solche Belege denn aussehen? Ein Schreiben von Obama? "Nee, CSC ist nicht betroffen"? Und dem würden wir dann glauben? Was für ein Bullshit.

  Aber insgesamt ist es natürlich mal eine Debatte, die geführt werden muss. Ob man überhaupt noch ausländische Firmen an Aufträge ranlassen darf, bei denen schützenswerte Daten eine Rolle spielen. Da bliebe nicht viel übrig.

  Anders herum könnten wir auch einfach mal gesetzlich festlegen, dass unsere Firmen grundsätzlich nicht in der Richtung verpflichtbar sind.

  Update: Keine Sorge, ist eh nicht ernst gemeint:

  Nur in Einzelfällen könne es Ausnahmen geben.

Tue Feb 4 2014

• [l] HP findet heraus, dass die Firma Autonomy, die sie für 11 Milliarden Dollar gekauft haben, eine äußerst kreative Buchführung hatte. Die haben 80% weniger Profit und 54% weniger Umsatz gemacht als in den Büchern stand. Hups.

  Da stellen sich mehrere spannende Fragen. Ist das eine übliche Größenordnung? Wieso merkt HP das erst nach der Übernahme? Wer hat da Due Diligence gemacht, CSC? :-)

Thu Jan 30 2014

• [l] Ratet mal, wer beim Kopenhagener Klimagipfel für die IT-Security zuständig war!

  Kommt ihr NIE drauf!

  Ihr wisst schon, der Klimagipfel, bei dem die NSA herumspioniert hat!

  Na?

  Ich löse mal auf:

  Logistics at the summit was handled by the Danish Ministry of Foreign Affairs in collaboration with the UN and the Danish Security and Intelligence Service (PET). Together with the IT companies ATEA and CSC, the ministry had designed a whole new infrastructure for the more than 25.000 registered participants, which focused on both physical and digital security in relation to the technical installations.

  CSC!! Wie geil ist DAS denn! Der NSA-Contractor CSC. Nein, wirklich!

  to CSC, the “systems integrator” that runs NSA’s internal IT system, defense and intelligence

  CSC, wir erinnern uns, waren auch die, die für die Bundesregierung den Bundestrojaner zertifizieren. Und die der CIA Business-Jets für ihre "Rendition"-Folterknast-Entführungs-Flüge geliehen haben.

  Na DAMIT konnte ja dann NIEMAND rechnen, dass die NSA da gut informiert sein würde am Ende!1!! (Danke, Reiner)

Fri Jan 24 2014

• [l] Den Schengen-Hack hatte ich schon letztes Jahr, aber ein spannendes Detail ist neu:

  Zu dem Zeitpunkt des Hackerangriffs sei eine Tochterfirma des US-Konzerns Computer Sciences Corporation (CSC) für die dänische Polizeidatenbank verantwortlich gewesen, sagte Hunko und wies auf Medienberichte hin, wonach der Konzern mit amerikanischen Geheimdiensten zusammenarbeite.

  Wait, what?! Gibt es eigentlich irgendwas, wo CSC nicht die Finger drin hat?

  Update: Übrigens, falls wer aufgepasst hat: CSC, Dänemark, Hackerangriff … *klingel* … das war doch, weshalb anakata von Piratebay gerade einsitzt! (Danke, Stefan)

Thu Jan 2 2014

• [l] Auf dem 30c3 gab es so viele schöne Aktionen, dass kaum jemand die alle mitgekriegt hat. Auf die schönste möchte ich kurz hinweisen, die an mir komplett vorbei gegangen ist. Aufgedeckt wurde sie in der Abschlussveranstaltung, da saß ich schon im Zug. Wer die also noch nicht gesehen hat: Hier kann man es runterladen. Achtung: Datei ist etwas größer.

  Ich erzähle mal kurz, worum es ging. Jemand hatte da 2 Schauspieler und 7 Schauspielerinnen angeheuert, die auf dem 30c3 so taten, als seien sie eine Firma namens Security Solutions Ltd. Der eine Mann war ein älterer, seriös aussehender Schlipsträger, der schön langsam und mit Pausen sprach, und mit seinem Bullshit-Bingo nicht durcheinanderkam. Der andere war wohl so ein schleimiger Geltolle-Business-2.0-Typ, der Kofferträger für den anderen. Die Frauen sind als Anwerberinnen herumgelaufen und haben Hacker angesprochen, ob sie nicht Lust auf ein Hinterzimmergespräch hätten, um über eine Zusammenarbeit zu reden. Dort warteten dann die anderen beiden und man bekam eine Visitenkarte und musste ein NDA unterschreiben. Von den 500 angesprochenen Hackern kamen wohl bloß zwei bis zu dem NDA. Das ist eine ziemlich gute Quote.

  Ein Holländer, den sie angesprochen haben, hat sie sogar richtig auseinandergenommen, so ala "die Firma gibt es gar nicht im Handelsregister".

  Insgesamt ein ausgesprochen gutes Ergebnis, wenn man bedenkt, dass Recruiter auf Events in anderen Ländern echt üblich sind und deutlich erfolgreicher sind. Da können wir als europäische Hackerszene echt stolz auf uns sein.

  Aber wir dürfen uns da nicht auf unsere Lorbeeren ausruhen, sondern müssen da weiter wachsam bleiben. Die Meldung, dass CSC für Trojaner-Auditierung eingesetzt wird, und dass sie den Trojaner von einer Firma kaufen mussten, sind zwar an sich traurig aber auch eine Validierung der Tatsache, dass sie in unserer Community keine Hilfe finden.

  Update: Am 3. Tag war die (nicht eingeweihte) Security in Form von Honkhase kurz davor, diese Leute rauszuschmeißen, weil sie jemand verpfiffen hatte. Und zwei NDA-Unterschreiber haben als Feedback bei uns hinterlassen, dass sie da nur zum ausforschen mitgegangen sind. Das kann man danach natürlich immer sagen, aber es freut mich trotzdem sehr.

Wed Jan 1 2014

• [l] Ich weiß nicht, wie viele von euch eigentlich auf dem Radar haben, weshalb anakata eigentlich im Knast sitzt. Nein, nicht wegen Pirate Bay. Er soll CSC gehackt haben.

  CSC, CSC, da war doch was… Die hier.

Mon Dec 9 2013

• [l] Wieso vergeben deutsche Behörden eigentlich überhaupt Aufträge an US-Rüstungs-Mittäterfirmen wie CSC und Booz Allen Hamilton? Die Süddeutsche hat die Antwort:

  Ein hochrangiger deutscher Sicherheitsbeamter hingegen findet solche Auftragsvergaben "legal und normal". Die amerikanischen Firmen seien eben die besten IT-Dienstleister. "Wir haben solche Leute nicht", sagt er. "Wir brauchen die. Ich vertraue denen."

  Mit anderen Worten: T-Systems ist Schuld. Wenn die was könnten, müssten wir nicht die Amis reinholen!1!!

  Anders herum sind eigentlich wir Schuld. Der Grund, dass die bei uns keine guten Leute finden, ist ja, dass unsere guten Leute sich für deren kriminelle Machenschaften nicht hergeben. Insofern auf der einen Seite: Gut gemacht. Auf der anderen Seite brauchen wir schnell ein Verbot für den Einkauf von die nationale Sicherheit betreffenden Dienstleistungen bei ausländischen Firmen, aus Gründen der nationalen Sicherheit. (Danke, Walter)

Sun Nov 17 2013

• [l] Was soll denn gerade diese Aufregung, dass die Bundesregierung mit CSC zusammenarbeitet? Das stand doch schon Mitte Januar hier im Blog!

Thu Jan 17 2013

• [l] Das BKA setzt ja jetzt Finfisher ein. Das Verfassungsgericht hatte angesagt, dass die etwaige Lösungen von einer BSI-akkreditierten Prüfstelle zertifizieren lassen müssen. Wen haben sie da genommen? CSC Deutschland Solutions GmbH.

  CSC, CSC … CSC … da war doch was. Oh ja richtig! Das waren die hier, die ihre Business-Jets für Rendition-Flüge nach Guantanamo an die CIA ausgeliehen haben. Und nicht nur Guantanamo, auch an andere Folterknäste.

  Nur falls jemand noch Zweifel hatte, wie diese Trojaner-Geschichte ethisch/moralisch einzuordnen ist. Das war damals der militärische Arm von Dyncorp, den hat CSC inzwischen wieder verkauft. Aber wisst ihr, was CSC noch so macht? Die machen den "Groundbreaker"-Rahmenvertrag für die NSA. Über zwei Milliarden Dollar ist der Vertrag wert. Mit anderen Worten: die NSA prüft hier über Bande den Trojaner des BKA.

Fri May 30 2008

• [l] Nicht nur unser Gesundheitssystem ist voll im Eimer: den Briten ist gerade mit Fujitsu ein Schlüssel-Unternehmen abgesprungen. Damit ihr euch mal eine Vorstellung machen könnt, WIE im Eimer das Projekt bei den Briten ist:

  The ten-year contract was worth £895m to Fujitsu but finding a replacement provider won't be easy — in 2006 consultancy Accenture pulled out of NPfIT and handed £2bn of contracts to CSC.

  Wenn Accenture schon abspringt, dann ist da echt nichts mehr zu machen.

Sun Sep 16 2007

• [l] Der Staat hat MAL WIEDER ein Millionen-IT-Projekt vollständig verkackt, indem er es an eine große Firma ausgeschrieben hat. Diesmal: Das Land Hessen läßt für 20 Mio Euro eine Schulverwaltungssoftware von CSC entwickeln. Und es läuft, wie es immer läuft, wenn man sowas große Firmen machen läßt:

  "So viel Kaffee, wie man während der unendlichen Wartezeiten bei der LUSD-Bearbeitung trinken kann, verträgt kein Mensch", heißt es beispielsweise in einer der Protest-Mails, von denen einige auch bei der Landtagsfaktion der Grünen eingingen. Die Schulsekretärinnen monieren, dass "die neue LUSD den Schulen unausgereift aufgezwungen" worden sei. "Heute muss man sich erst anmelden, braucht ewige Zeit und viele Klicks, um das Gewünschte zu bekommen. Mein Gott, in dieser Zeit ist man zehn Mal zum Aktenschrank gelaufen und hat sich die entsprechende gute alte Schülerakte oder den nötigen Ordner herausgezogen!", schimpfte eine Anwenderin.

  Gut, 20 Mio ist leider nicht viel für staatliche IT-Projekte, aber überlegt euch mal, wie viele Versuche man da mit kleinen Firmen gehabt hätte, bis die 20 Millionen verpulvert haben und es am Ende nicht funktioniert.