Fragen? Antworten! Siehe auch: Alternativlos
Cisco hat mal wieder eine Bugdoor in einem ihrer versifften Management-Interfaces.
A vulnerability in the web-based management interface of Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Points could allow an unauthenticated, remote attacker to perform command injection attacks with root privileges on the underlying operating system.Jawohl, meine Damen und Herren. Ein Webserver, der als root läuft, und vor der Authentisierung keine Eingabevalidierung macht.Im Jahre 2024.
Das schafft nur ein wirklich marktführender Konzern, der jahrzehntelang gezielt nicht in kompetentes Personal investiert. Oder ein Konzern, der von der NSA eingeflüstert kriegt, wo er die Backdoors platzieren soll.
Das kann nur ein Konzern machen, dessen Schrott-Produkte trotzdem immer wieder Idioten kaufen. In einem funktionierenden Markt wäre der Laden eine Ruine, von Heuschrecken gekauft, ausgeblutet und vor die Wand gefahren. (Danke, Micha)
Leute, mein Ziel war nicht, eine saubere Definition zu bringen. Die findet ihr in der Wikipedia.
Aber gut. Nehmen wir an, du hast einen Messenger, und der macht pro verschickter Nachricht einen json-push über https. Die NSA kann das nicht entschlüsseln und schneidet alles mit.
Morgen ist der Quantencomputer der NSA fertig. Die NSA kann dann Diffie-Hellman und RSA brechen. Ohne PFS muss die dann nur einen Schlüssel knacken und kann alle mitgespeicherten Nachrichten lesen. Mit PFS muss sie dann für jede mitgespeicherte Nachricht einen Schlüssel knacken! Das ist immer noch möglich aber halt VIEL teurer.
Nun sind ja die Protokolle inzwischen auch auf Post-Quantum-Schlüsselaustausch aufgebohrt worden. Das ist natürlich das beste, wenn man annimmt, dass die Post-Quantum-Verfahren auch tatsächlich gegen Quantencomputer helfen.
Das heißt aber auch: Wenn die NSA seit 30 Jahren alle deine Nachrichten mitgeschnitten hat, und sie einen Quantencomputer bauen, dann können sie damit immer noch alle Nachrichten von vor der Umstellung knacken. Nur halt müssten sie jede einzeln knacken, wenn du PFS hattest.
Nicht nur haben sie eine Blockchain eingebaut, sie haben auch Perfect Forward Secrecy ausgebaut. Auch Deniable Authentication ist unter die Räder gekommen. In ihrem "Litepaper" vergleichen sie sich dann auch nicht mit Signal sondern mit Telegram. Leichteres Ziel.
Die Begründung für das Entfernen von PFS ist absolut hanebüchen und zeigt, dass sie nicht verstanden haben, was PFS ist und wofür man das braucht.
Deren Sloagan ist: Friends don't let friends use compromised messengers. Gute Idee. Finger weg von Session.
Update: Ich sollte vielleicht die Gelegenheit nutzen, um PFS zu erklären. Man macht normalerweise Public Key Krypto wie RSA nicht mit den Rohdaten sondern die verschlüsselt man mit einem symmetrischen Cipher wie AES, und den dafür verwendeten Key verschlüsselt man mit Public Key. Wenn man jetzt einfach stumpf Diffie Hellman oder RSA zwischen A und B macht, dann kommt immer derselbe Key in der Mitte raus, sind ja auch immer dieselben Public und Private Keys, und die Verfahren sind deterministisch.
Nehmen wir also an, du hast vor 10 Jahren eine Nachricht verschlüsselt und der Schlüsselaustausch lief über 1024-Bit-RSA. Die NSA konnte das damals nicht entschlüsseln, also haben sie einfach ganz viele Festplatten gekauft und alle verschlüsselten Nachrichten mitgeschnitten. Heute können sie das mit ihrem Roswell-Tech-Quantencomputer (bloß ne Annahme, ruuuuhig Brauner!). Dann könnten sie damit zu ihrem Festplattenstapel laufen und rückwirkend alle verschlüsselten Nachrichten entschlüsseln. Das ist offensichtlich nicht gut.
Perfect Forward Secrecy erweitert daher den Schlüsselaustausch beim Aufbau bspw einer TLS-Verbindung so, dass da Zufall einfließt, und man macht zwei Public-Key-Operationen, und damit kauft man sich dann, dass die NSA die alten Nachrichten nicht entschlüsseln können, auch wenn sie den Private Key per Quantenmagie zurückrechnen können.
Zu behaupten, dass man das nicht braucht, weil die Teilnehmer ja anonym sind, zeugt von einer geradezu epochalen Inkompetenz. Die NSA liest ja das Netz mit und sieht daher, mit welchem Public Key du kommunizierst. Die müssen nicht wissen, wer auf der anderen Seite sitzt, um deine Nachrichten entschlüsseln zu wollen.
The Cybersecurity Association of China (CSAC), in a lengthy post on its WeChat account on Wednesday described Intel's chips as being riddled with vulnerabilities, adding that the American company's "major defects in product quality and security management show its extremely irresponsible attitude towards customers."Das ist natürlich erstmal sehr witzig, weil selbstredend chinesische Hersteller auch absolute Pfuscher sind, wenn es um Qualität und Sicherheit von Software geht. Klarer Fall von Glashaus also.The CSAC also accused Intel of embedding a backdoor "in almost all" of its CPUs since 2008 as part of a "next-generation security defense system" developed by the US National Security Agency.Da wird es schon interessanter. So richtig konkret werden sie leider nicht an der Stelle, außer natürlich dass es wohl die NSA gewesen sein wird.This allowed Uncle Sam to "build an ideal monitoring environment where only the NSA is protected and everyone else is 'naked,'" the post continued. "This poses a huge security threat to the critical information infrastructure of countries around the world, including China," the industry group claims.Ist das glaubwürdig? Unbedingt! Die Amis sind da schon mehrfach mit heruntergelassenen Hosen erwischt worden. Aber ob die Chinesen da wirklich etwas konkretes gefunden haben oder nur mal ein bisschen rumfurzen, das bleibt erstmal unklar.Der Fachbegriff für solche Backdoors wäre übrigens NOBUS. Genau derselbe Schwachsinn wie wenn unsere Regierung glaubt, Hintertüren in Chatsystemen vorschreiben zu können, und besonders witzig, wenn man sich erinnert, dass China neulich erst die NOBUS-Abhörschnittstellen bei AT&T und Verizon gegen die Amis verwendet haben. NOBUS, my ass.
WENN diese Meldung also etwas konkretes aussagt, dann dass die Chinesen noch nicht herausgefunden haben, wie sie die Backdoors in Intel-Chips gegen die NSA anwenden können.
Diesmal sind sie zu weit gegangen, finde ich. Heise dazu:
Die Autoren führen aus, dass Microsofts Active Directory die weit verbreitetste Lösung zur Authentifizierung und Autorisierung in der Enterprise-IT ist, und das global.Die finden ja alles raus. Alles finden die raus! Diesmal sogar NSA und nicht CIA.
Soll noch mal sagen, Geheimdienste sind völlig wertlos und machen nur alles kaputt!
Vorsicht: Das beruht ausschließlich aus Selbstdarstellung der Behörden. Bei Geheimdiensten gibt es seit vielen Jahren das Konstrukt der "parallel construction", wenn du jemanden über Mittel hopsnimmst, die vor Gericht nicht zulässig wären, dann erfindest du halt eine alternative Erklärung, wie du denjenigen erwischt hast. "Wir haben eine zufällige Überprüfung auf der Autobahn gemacht" oder so. Und jetzt halt: "Wir haben eine zufällige Überprüfung auf der Datenautobahn gemacht".
Sie sagen, sie hätten Tor über einen Timing-Angriff deanonymisiert. Das Tor-Projekt weiß da m.W. nichts von, der Aufwand wäre enorm und würde ein Level an Zugriff benötigen, das die eigentlich nicht haben dürften, soweit ich weiß.
Ich wäre also erstmal vorsichtig, denen das einfach zu glauben. Wenn sie das jetzt behaupten, dann sicherlich auch um andere Darknet-Kriminelle aus dem Tor-Netzwerk zu locken.
Das galt im Übrigen noch nie als unmöglich, dass dieser Angriff eines Tages gelingen würde. Daher hat das Tor-Projekt extra Maßnahmen eingebaut, um das zu erschweren.
Dass eines Tages ein Amtsgericht einfach O2 sagen würde, sie sollen alle Daten rausrücken, das hielt allerdings tatsächlich bisher niemand für möglich. Es gab da noch (offenbar unverdiente) Rechtsstaats-Vermutungen für Deutschland.
Ich habe keine Unterlagen gesehen und bin daher eher skeptisch, dass die Polizei das tatsächlich geschafft haben soll. Aber wer Tor benutzt, riskiert das immer grundsätzlich, dass irgendwelche Unrechtsregime, Geheimdienste oder das Amtsgericht Frankfurt freidrehen und ihn deanonymisieren. Tor kann nicht zaubern, kann das nur sehr aufwendig machen.
Update: Nach Gesprächen mit Leuten, die näher an Tor dran sind als ich, muss ich glaube ich meine Einschätzung revidieren, wie schwierig der Angriff war. Tor hätte da noch deutlich mehr tun können. Auf der anderen Seite ist ein Echtzeit-Chat-Dienst wie der hier angegriffene Ricochet natürlich der absolut schlechteste Fall für die Verteidigung gegen Timingangriffe.
Man muss das glaube ich so sehen: Ein Timing-Angriff ist ein Grundrauschen-Risiko auf Tor, genau wie man bei Hotelzimmern ein Grundrauschen-Risiko hat, dass das Hotelpersonal den Laptop verwanzt, wenn man ihn unbeaufsichtigt im Zimmer lässt. Aber das ist jetzt halt kein NSA-Level-Risiko mehr sondern eher ein Dorfpolizei-Risiko, und wird auch nicht gegen die Osama bin Ladens dieser Welt eingesetzt sondern gegen irgendwelche Darkweb-Schmuddel-Leute.
Update: Link-Mispaste korrigiert.
Update: Wenn die Tagesschau sagt, dass O2 verpflichtet wurde, allen Kundentraffic an diese IP an das BKA auszuleiten, ist das übrigens ganz normale Abhör-Netzfunktionalität. Kann natürlich sein, dass das BKA da Spezialhardware hingekarrt hat und selber filtern wollte, aber wahrscheinlicher ist, dass O2 einfach eine Regel in ihrem Interface konfiguriert hat.
Das ist einer der Gründe, wieso ich neben einem Adblocker auch umatrix verwende, auch wenn es ständig im Weg ist, weil Webseiten nicht gehen, und ich von Hand nachpflegen und freischalten muss.
Also nicht die NSA jetzt. Ich fände es unakzeptabel genug, wenn diese Werbenetze mich tracken.
Update: Der verlinkte Artikel ist von 2013. Man kann aber nicht genug darauf hinweisen, dass Adblocker Selbstverteidigung sind.
Wie kommen solche Dinge zustande? Die hatten doch Code Audits von ihrer Software!
Das kann ich aufklären. Bei Code Audits sagen die Auftraggeber, was "in scope" ist und was nicht. Typischerweise sind Config-Dateien nicht in Scope, weil Crowdstrike findet, die können ja schließlich nur von uns kommen, und der Übertragungsweg ist kryptografisch gesichert, also kann da nichts passieren.
Dazu kommen so Überlegungen der Form (je nach Mächtigkeit der Konfigurationsmechanismen): Wenn der Angreifer DA Dinge zu unseren Kunden pushen kann, dann ist eh alles verloren!1!!
Am Anfang meiner Karriere habe ich mich über diesen Scope-Scheiß noch endlos aufgeregt und da gegen Windmühlen gekämpft. Ich habe z.B. wochenlang mit Microsoft verhandelt, dass USB eine Security Boundary ist, d.h. etwas, wo ein erfolgreicher Angriff schlecht ist und verhindert werden sollte. Microsoft fand damals, USB sei ein physischer Angriffsvektor und die seien eh nicht zu verhindern, da könne ja auch jemand mit einem Hammer kommen und das Gerät kaputthauen. Also war USB jahrelang kein Angriffsvektor, und damit auch nicht die Filesysteme und die Autorun-Dateien darauf. Das hat sich erst geändert, als das USB-Forum "wireless USB" standardisierte, also das über Funk erreichbar war. Das kam nie weit, aber hat fundamental Tore aufgemacht bei Microsoft und ich vermute auch bei anderen Betriebssystemherstellern.
Ich habe bei Microsoft auch mal den SMB-Code auditiert, und habe dann einen Riesenschreck gekriegt, als die ETERNALBLUE von der NSA bekannt wurde. Hatte ich das übersehen? Nein, hatte ich nicht. Das Scope endete ca 3cm links davon. Ich sollte SMB angucken, und ETERNALBLUE war ein RPC über eine Named Pipe von SMB. Andere Arbeitsgruppe, out of scope.
Wenn ihr also mal einen Code Audit oder Pentest beauftragt, tut mir einen Gefallen und erzählt den Auditoren nicht, was in Scope ist und was nicht. Ihr habt die eingeladen und beauftragt, weil ihr glaubt, dass die wissen, wo die Bugs sind. Dan lasst sich auch dort gucken, um Himmels willen!
Mich würde vor allem interessieren, was Flugsicherheit und Flughäfen zu Punkt 8.6 zu sagen haben.
DIE CROWDSTRIKE-ANGEBOTE UND CROWDSTRIKE-TOOLS SIND NICHT FEHLERTOLERANT UND NICHT FÜR DEN EINSATZ IN GEFÄHRLICHEN UMGEBUNGEN AUSGELEGT ODER VORGESEHEN, DIE EINE AUSFALLSICHERE LEISTUNG ODER EINEN AUSFALLSICHEREN BETRIEB ERFORDERN. WEDER DIE ANGEBOTE NOCH DIE CROWDSTRIKE-TOOLS SIND FÜR DEN BETRIEB VON FLUGZEUGNAVIGATION, NUKLEARANLAGEN, KOMMUNIKATIONSSYSTEMEN, WAFFENSYSTEMEN, DIREKTEN ODER INDIREKTEN LEBENSERHALTENDEN SYSTEMEN, FLUGVERKEHRSKONTROLLE ODER ANWENDUNGEN ODER ANLAGEN BESTIMMT, BEI DENEN EIN AUSFALL ZU TOD, SCHWEREN KÖRPERVERLETZUNGEN ODER SACHSCHÄDEN FÜHREN KÖNNTE.Ach. Ach was.
Ich wäre dafür, dass jetzt mal konzertiert die Leute herausgesucht und gefeuert werden, die dafür verantwortlich waren, dass Krankenhäuser und Flughäfen wegen einer Software ausgefallen sind, die explizit ansagt, dass sie nicht in solchen Anlagen eingesetzt werden sollen.
Irgendein Schlipsträger hat da jeweils eine Risikoübernahme abgenickt. Derjenige sollte jetzt mal befragt und gefeuert werden.
Bonus: Sie reden nicht von der NSA.
Hier sind ein paar davon.
BSI-Chefin Plattner meinte: Ich liebe Checklisten, aber Checklisten werden uns nicht retten. Da freut mich immerhin der hintere Teil von. Ihre Lösung war dann leider, man müsse da eben mehr Dinge automatisieren.
Das finden viele Softwarehersteller auch und automatisieren seit Jahren immer mehr Prozesse. Ergebnis: Der Druck auf dem Opfer, dem Kunden, wächst immer mehr, weil immer mehr Patches rauskommen.
Ich finde, man sollte Patches hier nicht so positiv sehen. Jeder Patch ist ein Nachweis dafür, dass der Hersteller versagt und unsichere oder anderweitig kaputte Software verkauft hat. Ich finde es gut, dass die Hersteller überhaupt Patches machen. Aber erinnern wir uns: Das war nicht die Arbeit des BSI, die das herbeigeführt hat, sondern dass Hacker lauter Exploits verbreitet haben, so dass man das nicht mehr unter den Teppich kehren konnte.
Leider ist über die Jahre ein bisschen unter den Tisch gefallen, dass wir heute nicht wirklich sicherer sind als früher, weil immer noch jede Software die ganze Zeit unsicher ist. Es gibt einen unaufhörlichen Nachschub an Bugs, wir kennen sie nur noch nicht.
Da wo wir wirklich Fortschritt gebraucht hätten, nämlich dass die Software weniger Patches braucht, haben wir das Gegenteil davon gekriegt. Frau Plattner meinte dann auch noch, moderne Software ließe sich besser schützen als alte. Das ist leider auch genau die Linie der Softwarehersteller, die Security nicht als Pflicht sondern als Vertriebsvehikel sehen. Was setzt du denn auch den alten Windows Server ein, kauf doch lieber einen neuen Windows Server!1!!
Plattner hat sich dann auch als "KI"-Fan geoutet, was mich ein bisschen zusammenzucken ließ. Sie sagte dann, was auf dieser Veranstaltung noch mehrere andere sagten: KI hilft Angreifern, wir müssen zur Verteidigung daher genau so schnell auf KI setzen.
Dafür kurz als inhaltliche Klarstellung: Nein. KI hilft Angreifern nicht. KI erzeugt keine Exploits, identifiziert keine Bugs, analysiert keine Patches. In einigen Proof of Concept Fällen kann man möglicherweise eine Demo faken, aber KI hilft Angreifern nicht.
KI kann dafür sorgen, so erklärten dann einige Teilnehmer, dass die Scam-Mails weniger Rechtschreibfehler haben. Die haben nicht verstanden, dass die Rechtschreibfehler absichtlich drin sind. Die Scammer richten sich ja nicht an Leute, die Scams erkennen, und dann möglicherweise Ärger machen und ihr Geld zurück haben wollen oder die Polizei rufen, wenn die noch was machen kann. Die richten sich an naive alte Menschen und filtern mit den Rechtschreibfehlern die anderen raus.
OK, nächste Aussage, die ich lustig fand: Da saß ein Typ von Rohde und Schwarz auf der Bühne in dem einen Podium mit der Plattner, der mehrfach negativ auffiel, indem er sie demonstrativ duzte. Ich würde ja schon grundsätzlich gegen die Anwesenheit von R&S opponieren, aber das fand ich echt auffallend respektlos und eine Frechheit. Jedenfalls, wieso ich den erwähne: Der erzählte (als Anekdote, dass in Deutschland Innovation ja wegen Überregulierung ausgebremst würde), sie hätten ja "KI" einführen wollen, seien aber am Personalrat gescheitert. Wieso ich R&S nicht mag ist weil sie IMSI-Catcher für den Unterdrückungsstaat bauen, und Militär und Geheimdienste mit Spezialequipment beliefern. Aus meinen Augen ist das unethisches Geschäftemachen.
Was haben wir noch ... da saß noch ein Telekom-Mensch, deren Cloud Security-Chef glaube ich, der sich (für Nerds humoristisch) verplapperte, dass man ja im Moment auch Mails von Servern mit abgelaufenen TLS-Zertifikaten annehmen müsse, weil der Zustand der Security-Landschaft da draußen so schlimm sei. Bei SMTP mit TLS präsentiert nur der annehmende Server ein Zertifikat. Der Einsender zeigt gar keines, das abgelaufen sein könnte. Den Versprecher fand ich lustig genug zum notieren :-)
Neben dem Telekom-Typ saß ein Cisco-Schlipsträger auf dem Podium, der dann erzählte, wenn sich Kleinunternehmer keine IT-Abteilung leisten können, dann müssen sie halt managed Services einkaufen von jemandem. Die Telekom daneben nickte. Da hab ich mich ziemlich geärgert, weil sich hier die Täter (die Telekom hat Millionen von schrottigen Plasteroutern im Feld und Cisco hat mehr Hintertüren in ihren Produkten gehabt als alle Konkurrenten zusammen und war gerade an dem Webex-Debakel Schuld) auf der Bühne erzählen dürfen, die Kosten solle mal ihr Kunde/Opfer tragen. Da hätte ich mir gewünscht, dass der Moderator mit dem großen Holzhammer draufkloppt.
Die Keynote von dem BKA-Chef war spannend, weil das mein erstes Mal war, dass ich die BKA-Panikslides sehe, mit denen sie die Politik immer wieder dazu kriegen, ihnen mehr Befugnisse zu geben. Kommunikationstechnisch waren die Slides brillant gemacht. Auf ihnen standen lauter PANIK-PANIK-Zahlen und Grafiken drauf, Milliardenschäden, alles furchtbar, wir sind so gut wie tot, die Kriminellen sind super ausgebildet und besser organisiert als wir und so weiter, aber der Vortrag war das glatte Gegenteil. Der Mann ist ein Karriere-Polizist, ein lockerer Typ mit nach Hamburg klingender Sprache, der da weitgehend ruhig und cool vorträgt, dass das ja alles schlimm aussähe, aber man sei am Ball, die Quote der Lösegeld bezahlenden Ransomwarebefälle sei rückläufig, und man habe ja schon folgende Domains beschlagnahmt und jeweils MILLIONEN von Euros in Bitcoin vom Markt genommen.
Die Folien sagten PANIK PANIK PANIK aber die Worte sagten: Alles im Griff. Wir werden hier nicht von technischen Dingen ausgebremst sondern von den Befugnissen. Wenn ihr nur kurz das Grundgesetz ändert (trug er wirklich so vor!), dann können wir die auch verhaften, bevor sie auch ransomwaren. Vorschlag dazu liegt auf dem Tisch, muss nur noch vom Parlament abgestimmt werden. Alles in Ordnung. Wir handlen das.
Das ist kein leichter Spagat! Auf der einen Seite OH MEIN GOTT IHR MÜSST JETZT SOFORT HANDELN kommunizieren aber gleichzeitig "bei uns ist das in guten Händen, wir haben alles im Griff" zu sagen und noch für eine Grundgesetzänderung für Gefahrenabwehr zu werben, ohne dass das wie Erpressung aussieht (ihr müsst das jetzt machen sonst sind wir alle tot).
Ich muss sagen: Hut ab vor dem BKA-Chef. Der weiß, was er tut, und wie er es tun muss. Der sammelt seit Jahren erfolgreich immer mehr Befugnisse ein, ohne dafür dann irgendwas vorzuzeigen zu haben.
Der nächste Vortrag war dann von ZITIS, hatte ich ja schon erzählt, mit den mobilen Quantencomputern. Der hatte noch ein paar andere haarsträubende Projekte, von denen er erzählte. Er wollte Quantenoptik haben (seine Begrifflichkeit!), damit man vor dem Tür eintreten durch die Wände gucken kann. Das ist meines Wissens nichts, was die Physik-Disziplin der Quantenoptik überhaupt auch nur versucht, geschweige denn als Ziel formuliert, aber da lasse ich mich gerne korrigieren. Desweiteren fand er "KI" transformativ und wir müssen schnell aufspringen, und im Übrigen werden Drohnen immer billiger und wichtiger, das brauchen wir auch, und dann warnte er noch vor kriminellen LLMs, die mit Darknet-Daten trainiert seien, und dann nicht wie bei den guten Menschen von OpenAI einen Filter drin haben, der sich weigert, Bombenbauanleitungen auszuhändigen. ZITIS lässt außerdem an neuronalen Netzen zur Erkennung von Hass im Internet forschen, und hat ein Projekt für die "Robustheit von KI" gestartet (kann ich jetzt schon sagen, dass das scheitern wird), und sie machen sich Sorgen vor der Manipulierbarkeit von "KI". Stöhn.
Den Schenkelklopfer des Tages brachte aber der CISO der Bundeswehr, schön in Ausgehuniform, der sich auch zu Ransomware äußerte (offenbar sehen sich da auch Bundeswehr-Behörden von angegriffen): Davon geht keiner aus, bei uns Lösegeld erpressen zu können. Das Publikum wieherte vor Lachen :-)
Update: Wenn ich hier gefühlt alles kritisiere, was Frau Plattner vorgetragen hat, wieso sah ich ihre Person trotzdem positiv am Ende? Ich hatte den Eindruck, dass die halt noch nicht alle Fakten gehört hat, und möglicherweise umgestimmt werden kann, wenn ihr mal jemand die andere Hälfte der Realität zeigt, und andere Blickwinkel. Den BKA-Chef, der Bundeswehr-CISO, den ZITIS-Typen, die wirst du alle nicht umgestimmt kriegen, egal was du vorträgst. Die machen da halt ihren Job und werden sich nicht von Fakten behindern lassen.
Update: Übrigens, am Rande: Der ZITIS-Chef war vorher Abteilungsleiter für technische Aufklärung beim Bundesnachrichtendienst.
Karl war viermal als Zeuge in den NSA-Untersuchungsausschuss des Deutschen Bundestags geladen. Als Unterabteilungsleiter im Bundesnachrichtendienst war er zuständig für die Übermittlung deutscher Internetdaten an die National Security Agency in der Operation Eikonal und deutscher Telefondaten an die Central Intelligence Agency in der Operation Glotaic.
Ja klar! Was machst du mit so jemandem? Rausschmeißen geht ja nicht, denn dann müsste man ja auch lauter andere Leute rausschmeißen. Bleibt ja quasi nur befördern! Mobile Quantencomputer, ich leg mich flach.
Vor vier Jahren: NSA warnt Microsoft, dass der Printer Spooler (seit Jahrzehnten eine einzige Katastrophe) aktiv exploitet wird.
Vor zwei Jahren (ja, zwei Jahre saß Microsoft da drauf) machen sie einen Patch, aber schreiben ins Advisory nicht rein, dass das aktiv exploitet wird.
Jetzt machen sie einen Blogpost mit ihren überragenden Investigativ-Ergebnissen, dass die Russen Tools haben, um das zu exploiten.
Währenddessen steht am Advisory immer noch nicht dran, dass das aktiv exploitet wird.
Ich persönlich finde das ja keinen relevanten Datenpunkt, ob der Hersteller weiß und zugibt, dass etwas aktiv exploitet wird. Alle Patches einspielen. Immer. Sofort.
Das Tool, das sie jetzt "aufdecken", ist seit 2019 in freier Wildbahn im Einsatz.
The NSA is just 𝗗𝗔𝗬𝗦 from taking over the internet, and it's not on the front page of any newspaper--because no one has noticed.Weil Twitter einen ohne Anmeldung keine Threads mehr lesen lässt, hier ein Link zu einem externen "Unroll"-Dienst. Seufz.Es geht um ein Gesetz, das alle amerikanischen Firmen verpflichten würde, auf Zuruf der NSA Spionage für die NSA zu betreiben. Stasi-Vergleiche drängen sich geradezu auf.
The military in NATO ally Germany is offering communications apps to soldiers and other federal employees on Chinese phone maker Huawei's app store — even though the telecoms giant has been deemed a security risk by the U.S. and European Union, Newsweek can reveal.Ja aber echt mal! Der Bundeswehr-Messenger im Huawei-Appstore?! Das geht ja GAR nicht!1!! Da können die Chinesen den doch analysieren jetzt!1!!Ja, äh, die Chinesen können den selbstverständlich auch analysieren, wenn der im Apple- oder Google-Appstore ist. Noch großartiger: Der Messenger ist Open Source! Da musst du gar nichts reverse engineeren, da kannst du einfach die Sourcen runterladen! Das basiert übrigens auf Matrix. Der Quellcode für das Backend liegt da auch rum.
Germany's Defense Ministry told Newsweek the apps were secure, but security specialist Nathalie Vogel said there were clear risks."They are repeating the same mistakes over and over again and they are threatening allies by giving access to the Chinese," said Vogel, a Research Fellow at the Center for Intermarium Studies of the Institute of World Politics in Washington, D.C.
Es gibt da natürlich tatsächlich Risiken, aber diese Expertin ist zu inkompetent, die zu benennen. Ein Appstore kann dir ja eine andere App geben, als die Entwickler hochgeladen haben. Da müsste man eigentlich prüfen.Die Hardware könnte natürlich auch verwanzt sein, die Firmware könnte dich bescheißen, etc. Eigentlich ist schon die Prämisse unsicher, dass man sicher kommunizieren kann, wenn man das Gerät eingekauft hat. Eine der gruseligsten Snowden-Veröffentlichungen war, dass die NSA Cisco-Lieferungen abfingen und die Hardware im Transit manipulierten. Ist alles eine Frage des Aufwandes, den die Unterdrückungsbehörden zu investieren bereit sind.
Auf dem Spektrum der Kompromisse ist aber "die App ist Open Source und wir tun sie in App Stores" vergleichsweise OK. Erst jetzt, durch den Digital Markets Act, wird Sideloading von Apps eine reelle Alternative gegen die eigentliche Bedrohung hier: Dass die Amerikaner uns Backdoors unterschieben. Vor denen freidrehenden Geheimdiensten würde ich mir deutlich mehr Sorgen machen als vor den Chinesen.
Wenn du im App Store deines Vertrauens eine App auswählst und installieren willst, dann zeigt dir der Laden eine Liste mit Befugnissen an, die die App haben will. Die Facebook-App ist beispielsweise notorisch dafür, Zugriff auf alles haben zu wollen.
Das zeigt dir der App Store nicht an, weil sie gute Menschen sind, sondern das ist eine Schuldumkehr. Wenn du die App trotzdem installierst, und die dann deine Daten in die NSA-Cloud telefoniert, dann bist du selbst schuld. Wir haben dich sogar extra gewarnt!1!!
Das ist deine Verantwortung, keine Apps zu installieren, die komische Dinge tun wollen.
Update: Wo wir gerade bei App-Store-Missverständnissen sind: Die App Stores prüfen nicht, ob die App "Malware" ist. Tun sie nicht. Können sie auch gar nicht. Daher behaupten sie auch nicht, dass sie Security prüfen, denn dann wären sie ja in der Haftung, wenn Malware durchkommt. Das App Store-Ökosystem macht genau eine Security-Zusage: Dass die App nicht die Kamera benutzen kann, außer sie hat das beantragt, der App Store hat es angezeigt, und der User hat OK geklickt.
Das Betriebssystem auf dem Telefon versucht dann noch ein paar andere Dinge zu garantieren, wie z.B. dass die Apps ordentlich voneinander isoliert sind und sich nicht einfach Dateien ändern können. Aber da gibt es absichtlich eingezogene Wege, wie sich Apps doch gegenseitig reinpfuschen können. Eine davon ist bei dem eID-Ding gerade zum Problem geworden. Das ist aber gewollt, dass du als Inhaber des Telefons eine andere ID-App installieren kannst als die eine. Die können an der Stelle nicht gewinnen.
Update: Ja aber aber aber Fefe, kennst du nicht Play Protect? Die scannen doch nach Malware!1!!
Das ist eine PR-Nebelwand. Man erkennt das schon daran, dass sie "safety check" sagen, nicht "security check". Das ist im Deutschen dasselbe Wort, im Englischen nicht. Sie behaupten auch sorgfältig nicht, dass sie dich vor Malware schützen. Genau genommen machen sie überhaupt keine Sicherheitsgarantie. Sie warnen bloß davor, dass sie Apps unter deinem Arsch weglöschen können von deinem Gerät. Da geht es dann aber eher um ihr Geschäftsmodell als um deine Sicherheit.
Die eine relevante Metrik für sowas ist: Haften die für Schäden, die von Malware verursacht wird, die an ihren Scans vorbeigekommen ist.
Nein. Tun sie nicht. Natürlich nicht. Weil das PR ist, nicht Security.
Da haben ein paar Kaspersky-Mitarbeiter auf ihren Telefonen Malware gefunden. Es waren Apple-Telefone. Sie haben die Exploit-Chain mitgeschnitten und bei uns öffentlich verbrannt.
Die Exploit-Chain (und hier müsst ihr möglicherweise meiner professionellen Einschätzung trauen) war insgesamt mindestens 8stellig Dollar wert. Die haben da einmal die aktuelle Toolbox der NSA verbrannt, oder des GCHQ. Das war der Hammer, was die da für 0days hatten.
Es ging los mit einer Memory Corruption im Truetype-Interpreter (bis hier noch nicht so spektakulär). Von da aus hatten sie einen Kernel Exploit, der aus interpretiertem Javascript heraus ging.
Und am Ende schrieben sie dann ein paar magische Werte in eine undokumentierte MMIO-Adresse und dann überschrieb irgendeine Hardware an allen Schutzmechanismen vorbei physischen Speicher ihrer Wahl mit Werten ihrer Wahl.
Der Adressbereich liegt in der Nähe der GPU und ist in älteren Geräten drin, aber auch in M1 Apple Silicon. Das ist ja schon der Hammer, aber um dieses Operation auszulösen, muss man auch einen undokumentierten Hashwert des Requests in ein undokumentiertes MMIO-Register schreiben. Den Hash haben sie jetzt halt reversed und veröffentlicht.
Aber damit scheiden aus meiner Sicht alle gutartigen Erklärungen für diese Funktionalität aus. Für Debug-Funktionanlität braucht man keinen "geheimen Hash".
Sie haben das an Apple gemeldet und Apple hat dann den Adressbereich gesperrt. In der Konfigdatei für gesperrte Bereiche steht normalerweise das Gerät dran, um das es geht. Hier steht: "DENY".
Da werden gerade einige Geheimdienste sehr unglücklich sein.
Diese Liste war schon immer unfassbar lang und beinhaltet so Entitäten wie "e-commerce monitoring GmbH" (wat!?) und natürlich Konzerne und staatliche Stellen aus aller Herren Länder. Ich sage nur: GUANG DONG CERTIFICATE AUTHORITY.
Nehmen wir mal an, ihr klickt zu https://blog.fefe.de/ und euer Browser baut eine TLS-Verbindung auf. Dann meldet sich die Gegenstelle (hoffentlich, aber nicht unbedingt, mein Server!) mit einem mit meinem Public Key signierten Handshake, und mein Public Key ist signiert von Let's Encrypt, und Let's Encrypt ist in der Liste in eurem Browser. Daher weiß euer Browser, dass er mit meinem Server redet und nicht mit der NSA.
Aber weiß er das wirklich? Was wenn sich da jemand anderes meldet, sagen wir mal der chinesische Geheimdienst fängt die Verbindung ab und leitet die zu sich selbst um, und da kommt dann ein gültig aussehendes Handshake, das aber von einer anderen CA in eurer Browserliste signiert wurde! Zum Beispiel von "Hong Kong Post". Dann würde euer Browser das auch akzeptieren.
Die Telekom hat auch eine CA in der Liste.
Das ist ein fundamentales Problem bei der ganzen TLS-Nummer, für die es auch keine wirklich tolle Lösung gibt. Bisherige Ansätze sind, dass ich in meinem DNS einen Eintrag haben kann, dass nur Let's Encrypt CAs ausstellen darf. Andere CAs sollten sich dann weigern, wenn der Geheimdienst kommt und ein Cert ausgestellt haben will. Das nimmt aber gutmeinende, nicht kompromittierte und nicht an gesetzliche Vorgaben gebundene CAs an.
Der nächste Ansatz ist, dass alle CAs sich zu Transparenz verpflichtet haben, und alle ausgegebenen Zertifikate automatisiert in eine gemeinsame öffentlich einsehbare Liste eintragen. Das nimmt leider auch eine gutmeinende, nicht kompromittierte CA an.
Warum erzähle ich das alles? Erstens um noch mal Honest Achmed's Used Cars and Certificates zu verlinken. :-)
Aber der dringendere Grund ist, dass die EU gerade an der eIDAS-Verordnung arbeitet, bei der es um digitale Identitäten für die EU geht. Das hehre (und gute!) Ziel ist, "Login via Google" kaputtzumachen. Ihr Plan ist, ein eigenes System zu bauen, ein staatliches System, und das hat dann natürlich eine eigene CA, und die kommt in alle Browser und jedes Mitgliedsland bietet eine Wallet-App an, die dann auf alle Smartphones kommt, und Behörden und Google und Facebook und co werden dann gezwungen, Logins via dieser Wallets zu ermöglichen. Schlimmer noch: dafür kriegt dann jeder Bürger endlich einen Barcode auf den Vorderarm tätowiert (Deutschland ist endlich wieder Technologieführer!!1!), äh, einen lebenslang gültigen eindeutigen Identifier zugewiesen, mit dem der Staat dann schön alle Bürger tracken kann.
Ich würde ja von der Benutzung von sowas immer grundsätzlich abraten, weil man damit Google staatlich validierte Daten gibt, die deren Datensätze massiv aufwerten.
Aber der Punkt, wieso ich das hier alles überhaupt ausrolle, ist ein anderer. Die CAs sollen dann in die Browser, und zwar per Verordnung, d.h. staatlich erzwungen. Im Moment kann man im Browser CAs als unvertrauenswürdig markieren. Das darf der Browser dann bei diesen staatlichen CAs nicht erlauben.
Mit anderen Worten: Hier kommt per EU-Verordnung eine TLS-Hintertür in alle eure Browser. Die erlaubt Polizeien und Geheimdiensten das Ausstellen von Zertifikaten für jede Webseite, bei der sie das gerne haben wollen, und damit können sie dann einen Man-in-the-Middle-Angriff gegen jeden fahren, und zwar nicht nur innerhalb der EU, und deren Verbindungen mitlesen oder auch manipulieren und sich als Server ausgeben. Die EFF warnt da seit Jahren vor. Aktuell gibt es einen offenen Brief von hunderten von Experten dagegen. Ist alles ganz traurig, insbesondere weil sich die EU damit hinter Ländern wie Kasachstan und Indien einreiht, die ihren Bürgern bereits Zwangs-CAs oder "digitale ID"-Systeme aufgedrängt haben.
Update: Jetzt kommt ein Klugscheißer und weist darauf hin, dass das Handshake natürlich mit dem Private Key signiert ist, nicht mit dem Public Key. Der Klugscheißer hat völlig Recht. Was ich sagen wollte: Das ist mit meinem Private Key signiert, aber der Public Key wird als Teil des Handshakes übertragen und ist von der CA signiert.
Vielleicht sollte man den alten Mann einfach in Rente schicken und ihn keine Vorträge mehr machen lassen. Leider sind weite Teile der C++-Community genau so drauf. Abstraktionen sollen Probleme wegmachen aber dürfen nichts kosten. Daher machen wir Memory Safety opt-in und sagen dann, die Programmierer waren ja selber Schuld, die das nicht benutzt haben. *Seufz*
C++ ist das AWS unter den Programmiersprachen. Bietet für jeden Scheiß was an, aber nichts davon sonderlich gut oder belastbar, und am Ende verwechseln sie Lock-In-Opfer mit zufriedener Kundschaft. Bis ein Disruptor kommt und sie plötzlich aufgefressen werden. Der Stroustrup sieht die Einschläge schon, aber er kann sie noch wegreden. Am Anfang "erklärt" er, wieso Tiobe ja kein gutes Maß ist (wo C++ seit Jahren am Abstinken ist).
Kyber-512 ist ein Post-Quantum-Verfahren. Das Feld der Post-Quantum-Verfahren wurde von Dan Bernstein ins Leben gerufen und ist jetzt international hart umkämpft, weil praktisch alle Kryptographen damit rechnen, dass demnächst unsere gesamte Public Key-Krypto unsicher wird, weil jemand einen funktionierenden Quantencomputer ausreichender Größe baut.
NIST ist die US-Standardisierungsbehörde, sowas wie bei uns das DIN. NIST hat sich auch viel in Krypto-Standardisierung eingebracht und hat so Dinge wie AES und SHA3 zu verantworten, jeweils Ergebnis eines internationalen Wettbewerbs.
Im Moment läuft der Wettbewerb für Post-Quantum-Verfahren, und ist bisher vor allem dadurch aufgefallen, dass überraschend viele Verfahren durchgefallen sind, weil sie sich als viel unsicherer als erhofft herausgestellt haben. Im Moment ist das ein ziemlicher Wilder Westen da.
Kyber ist eines der Verfahren im Rennen. NIST hat schon angesagt, dass ihnen die Performance der Verfahren wichtig ist, in Laufzeit, Speicherbedarf und Schlüsselgröße. Kyber gilt als einer der Favoriten.
In 2022, NIST announced plans to standardize a particular cryptosystem, Kyber-512. As justification, NIST issued claims regarding the security level of Kyber-512. In 2023, NIST issued a draft standard for Kyber-512.NIST's underlying calculation of the security level was a severe and indefensible miscalculation. NIST's primary error is exposed in this blog post, and boils down to nonsensically multiplying two costs that should have been added.
Der Fehler war sowas wie: 240 + 240 = 280. Stimmt halt nicht. Ist 241. Bernstein fand, dass eine Behörde dieses Standings so einen Fehler nicht machen würde, und hat mal Akteneinblick beantragt. Dabei kam heraus, dass der Einfluss der NSA deutlich größer war als öffentlich sichtbar war.Das ist sehr bedenklich, denn die NSA sind ja genau der Grund, wieso wir überhaupt an Post-Quantum-Krypto arbeiten. Die sind die, von der alle annehmen, dass sie als erste einen Quantencomputer haben werden. Wenn also jemand keinerlei Einfluss haben sollte auf die NIST-Standardisierung der Post-Quantum-Verfahren, dann die NSA.
Aber die NSA hat halt eine Doppelaufgabe. Die ist auch für die Verteidigung von Regierungs-IT verantwortlich und hat daher so Dinge gemacht wie Microsoft zu Trusted Computing zu nötigen, weil dem Militär ständig Laptops verloren gingen, und die NSA fand, ohne Trusted Computing und Hardware-Attestation ist Plattenkrypto wertlos (womit sie nicht völlig Unrecht hat).
Tja und jetzt sieht das halt aus, als ob die NSA das NIST-Post-Quantum-Krypto-Verfahren sabotiert, damit die Welt knackbare Verfahren einsätzt und die NSA besser spionieren kann.
Es fing mit Snowden an. Der hat die US-Seite eines Deals mit den Dänen geleakt, der der NSA ermöglichte, Glasfaserkabel in Dänemark komplett abzuhören. Nicht "nur" Transit, auch Kommunikation von Dänen haben sie abgehört.
Auf dänischer Seite war das der Auslandsgeheimdienst. Der hätte das natürlich nicht machen dürfen, weil Dänen betroffen waren, aber das ist nicht der Skandal gerade.
Es gab einen jungen Geheimdienstler, der intern Protest einlegte gegen das Programm. Natürlich wurde das auf dem bürokratischen Weg nicht verfolgt und schnell eingestampft, aber der Typ fing dann an, verdeckte Audiomitschnitte von Meetings mit seinen Kollegen anzufertigen, wie sie über das Programm sprachen. Über 100 Stunden Audio. Diese Mitschnitte gelangten dann irgendwie in die Hände des dänischen Geheimdienst-Kontrollgremiums.
Die haben eine unabhängige Untersuchung angestoßen, die zum Ergebnis kam, dass das alles natürlich illegal und hoch verwerflich war, was der Geheimdienst da gemacht hat. Also hat die Regierung ein Gegen-Gremium einberufen, mit von der Regierung ernannten (also nicht unabhängigen) Mitgliedern, die die unabhängige Untersuchung überstimmten und in der Rundablage abhefteten.
Soweit die Vorgeschichte. Dann haben sie am Flughafen den suspendierten Geheimdienstchef verhaftet und eingelocht. Gegen ihn und seinen damaligen Minister-Chef haben sie Anklage erhoben, wegen Geheimdienstverrats.
Welches Geheimnis sollen sie denn verraten haben? Na die Existenz des Programms! Der suspendierte Geheimdienstchef hat darüber mit seiner 84-jährigen Mutter geredet, und seiner Partnerin, und einem alten Freund. Und ein paar Journalisten, die ihm helfen sollten, negative Berichterstattung anderer Journalisten über seinen Geheimdienst zu kontern.
Woher wissen die das? Nun, jetzt kommen wir zum Herz des Skandals. Sein Geheimdienst hat seine Wohnung und sein Auto komplett verwanzt, und sein Feriendomizil. Die Bänder davon sind jetzt die Beweise der Anklage gegen ihn.
Und was ist mit dem Minister? Noch besser! Der hat im Fernsehen das Programm erwähnt. 2021. Das seit 2014 öffentlich bekannt war, dank Snowden.
In December 2021, a week after the Frederiksen, the former minister, mentioned the NSA cable-tapping deal on television, police officers turned up at his home. Standing outside the thatched fisherman’s cottage, the officers informed the 76-year-old he’d been charged with treason.Ja, äh, aber das ist doch dann kein Geheimnis mehr, wenn es bereits öffentlich diskutiert wurde? Nun, doch, findet die aktuelle Regierung.“The present government is of the opinion that a secret is a secret,” Frederiksen says. “It might have been described in the newspapers, but they still say it’s a secret.” In court, the trial is expected to turn on whether an open secret can still be a state secret.Was für Sprallos. Keiner von denen denkt an irgendeiner Stelle darüber nach, wie das wohl wäre, wenn ihre Nachfolger ihre Präzedenzfälle und ihren Überwachungsapparat mal gegen sie einsetzen würden.Es hätte niemanden verdienteren treffen können, wenn ihr mich fragt.
Alle möglichen Firmen hatten im Vorfeld angesagt, dass sie in diesem Fall UK verlassen wollen. Wenn eine Firma das nicht tut, deren Produkte ihr benutzt, solltet ihr euch ins Gedächtnis behalten, dass die Briten mit ihrem Geheimdienst GCHQ der engste Schnüffel-Vertraute der NSA in den Five Eyes sind. Wenn GCHQ also Zugriff hat, haben es mindestens auch die Amerikaner.
Produkte, deren Hersteller sich jetzt nicht sofort aus UK zurückziehen, solltet ihr daher meiden.
- The NSA listed Cavium, an American semiconductor company marketing Central Processing Units (CPUs) – the main processor in a computer which runs the operating system and applications – as a successful example of a “SIGINT-enabled” CPU supplier. Cavium, now owned by Marvell, said it does not implement back doors for any government.
- The NSA compromised lawful Russian interception infrastructure, SORM. The NSA archive contains slides showing two Russian officers wearing jackets with a slogan written in Cyrillic: “You talk, we listen.” The NSA and/or GCHQ has also compromised Key European LI [lawful interception] systems.
- Among example targets of its mass surveillance program, PRISM, the NSA listed the Tibetan government in exile.
Insofern: Sehr erfreulich. Oh, und wenn die sagen, sie hätten "Key European LI systems" unter Kontrolle haben, dann dürft ihr dreimal raten, ob damit Deutschland gemeint sein könnte.
Damit ist auch geklärt, ob wir der Presse vertrauen können, uns zu warnen, wenn wir in Gefahr sind. Keine der Presseorgane, die Zugang zu den Snowden-Akten hatten, haben es für nötig gehalten, und das zu sagen, dass unsere Polizei-Abhör-Infrastruktur von amerikanischen Geheimdiensten unterwandert sind.
New hotness: Max Schrems macht die NSA kaputt. Ja, die NSA. Die aus den USA. Die Spionagebehörde.
Wartet, bleibt kurz dran. Ich zitiere mal direkt ein paar Money Quotes:
Bei der bislang besonders eingreifenden Fernmeldeaufklärung ("Sigint") müsse berücksichtigt werden, "dass alle Personen mit Würde und Respekt behandelt werden sollten", ordnet NSA-Präsident Paul Nakasone in einer jetzt bekannt gewordenen Richtlinie zur Datensammlung vom 29. Juni an. Dies habe "unabhängig von ihrer Nationalität oder ihrem Wohnort" zu gelten – also auch beim Ausspionieren von Gegnern wie dem russischen Präsidenten Wladimir Putin. Alle Menschen weltweit hätten "berechtigte Datenschutzinteressen", die zu wahren seien.Das ist ja schonmal ein echter Lacher. Berechtigte Datenschutzinteressen? Bei NSA-Opfern? Außerhalb der USA? Nicht US-Bürger?! Das sind ja ganz neue Töne!
Generell dürfen erhobene Daten über Ausländer nur noch gespeichert werden, wenn eine solche Befugnis auch bei US-Bürgern besteht, geht aus der Vorschrift hervor. Dafür ist etwa ein Terrorismusbezug erforderlich.Ja gut, einen Terrorismusbezug wird man sich schon in allen Einzelfällen irgendwie aus dem Arsch ziehen können. Insofern: Business as usual, vermute ich mal.
Aber so rein PR-technisch ist das ja schon bemerkenswert, was hier vorgeht. Was tut denn der Nakasone da? Hat dem jemand LSD ins Trinkwasser getan? Nein!
Nakasone will mit den Verfahrensregeln Bidens Durchführungsverordnung 14086 vom Oktober 2022 umsetzen.Ach. Ach was. Bidens Executive Order 14086, ja? Nun, was sehen meine entzündeten Augen dort?
The Department of Justice welcomes the European Commission’s adoption on July 10, 2023 of an adequacy decision for the United States as part of the EU-U.S. Data Privacy Framework, to which President Biden and European Commission President von der Leyen agreed in March of 2022.Und da schließt sich der Kreis zu Max Schrems. Schrems hat ja der EU der Reihe nach ein "Datenschutzabkommen" nach dem anderen mit den USA weggeschossen, und zwar nicht zuletzt weil wir seit Snowden wissen, dass die Amis da hemmungslos in den Datentopf greifen, wenn sie können.
Das hat die Amis jetzt so sehr gezeckt, dass sie dem NSA-Direktor gesagt haben, er soll mal öffentlich so tun, als würden jetzt andere Saiten aufgezogen.
Ich lach mich kaputt, ey! Das ist ja mal ein Schenkelklopfer vor dem Herrn! HARR HARR HARR
Danke, Max Schrems!
Ich weiß, was ihr jetzt denkt. Das hat bestimmt die CIA herausgefunden! Die finden ja alles heraus. Alles finden die heraus!!
Und das macht die Meldung zu so einer Monty-Python-Nummer: Fast richtig! Es war die NSA!
In the fall of 2020, the National Security Agency made an alarming discovery: Chinese military hackers had compromised classified defense networks of the United States’ most important strategic ally in East Asia.Mit anderen Worten: Die Amerikaner haben ihre Verbündeten in Japan gehackt und dabei ihre Kollegen aus China vorgefunden!Wartet mal, werden die Japaner nicht hellhörig, wenn ihnen die Amerikaner sagen, sie haben chinesische Spione in ihren geheimsten Netzen gefunden? Stellen sich da nicht Fragen? Fragen wie: Woher wisst IHR denn bitte, wer in unseren geheimsten Netzen ist?!
But the Japanese were wary. “They were uncomfortable having another country’s military on their networks,” said the former military official.Die Japaner haben eher in die Zukunft gedacht und wollten nicht auch noch "Hilfe" von der NSA beim Aufräumen annehmen.Also hat man einen Kompromiss geschlossen.
The two sides came up with a compromise approach: The Japanese would use domestic commercial firms to assess vulnerabilities, and a joint NSA/Cyber Command team would review the results and provide guidance on how to seal gaps.Das ist natürlich genau so schlimm als würde man die NSA direkt reinlassen. Und eigentlich ist es eh egal, denn die NSA ist ja schon drin. Sonst hätten sie nicht die Chinesen dort finden können.Wobei doch, ganz harmlos waren die Fragen der Japaner nicht:
To protect sensitive sources and methods, Neuberger could not explicitly tell the Japanese how U.S. spy agencies knew about the Chinese compromise. She tried in an oblique way to assure Tokyo that the Americans were not in their networks, but suspicions lingered. After all, the Japanese, like other allies, knew that the United States spies on partners.Ja aber das ist dann halt so. Mit Freunden wie den Amerikanern brauchst du keine Feinde mehr. Cost of doing business.Ihr fragt euch jetzt vielleicht, welchen Hebel die Amerikaner überhaupt in Japan haben, um denen zu erzählen, wie sie ihr Militär strukturieren. Nun, denselben Hebel, der auch sonst überall funktioniert!
“The Americans weren’t happy with how porous the Japanese intelligence community was,” said Samuels. “They did what you would expect, which was to share less. At a time when Japan needed more and better intelligence from its powerful ally, it wasn’t getting everything it needed, and it was told it’s because your intelligence community leaks. If you tighten it up, we can have a fuller and more robust exchange.”Schau nur, was wir hier für tolle Spionagedaten haben! Zu gerne würden wir die euch zeigen!1!!
New hotness: Russische Behörden regen sich über Malware aus den USA auf.
Und zwar will der FSB zusammen mit dem FSO (Präsidentenschutz) Apple-spezifische Malware gefunden haben, und behauptet jetzt, Apple habe auf Geheiß der NSA bewusst Lücken eingebaut, damit die NSA darüber Malware verbreiten kann.
Beweise legen sie keine vor.
Heute so: Redhat bietet Kubernetes-Konfiguration als Clouddienst an. Ja geil! Da hat man ja MASSIV was gewonnen mit!
Aber die Frage, wieso man eigentlich auf eine Plattform migriert, bei der man nicht mal die Konfiguration ohne Assistenz im Griff hat, die stellt mal wieder keiner.
Wir sind auf dem direkten Weg in die Cyberpunk/Shadowrun-Welt. Alles ist kaputt, alles ist hackbar, keiner hat irgendwas im Griff. Nur Black ICE fehlt noch: Detektions-Tech, die den angeblich identifizierten Hacker physisch angreift. Aber der eine Teil daran, den Shadowrun und co nicht durchdacht haben: Wenn die Menschen so wenig in der Lage sind, ordentliche Software zu schreiben, dann würde die Einführung von Black ICE erstmal den eigenen Admins das Hirn frittieren. Denn soviel ist heute schon beobachtbar: Der typische Angreifer weiß deutlich mehr über das die Details des Systems als der typische Admin.
Was ich ja bei der Idee mit dem Konfigurations-Clouddienst auch krass finde: Wer würde denn in so einem Szenario merken, wenn die NSA ihm eine Konfiguration mit Hintertür in die Hand drückt?
Der einzige Grund, wieso DSA überhaupt existiert, ist weil die US-Regierung ein Exportverbot für starke Verschlüsselung durchsetzen wollte, und den Leuten aber starke Signaturen ermöglichen wollte, und daher die NSA bat, ein Signaturverfahren zu basteln, das nicht auch automatisch ein Verschlüsselungsverfahren ist, wie es bei RSA der Fall war.
Was ist jetzt hier das Problem? Stellt sich raus, dass man mit großen Computern auch algorithmisch den Private Key berechnen kann, wenn die Nonces nicht wiederverwendet wurden sondern "nur" in Relation zueinander standen, z.B. weil sie aus einem Pseudozufallszahlengenerator rausfielen statt echter Zufall zu sein.
To run the attack in practice, the following is required: A minimum of 4 signatures generated by the same private key, the associated public key, and the message hash associated with each signature. If the nonces obey the recurrence relation, we retrieve the private key used to generate the vulnerable signatures.Hey, schnell, wo liegen eine Menge signierter Daten öffentlich rum? Oh ja richtig, auf der Blockchain! Nun sollten da die meisten Transaktionen ephemeral sein, d.h. der Private Key wurde nur einmal verwendet. Dann wäre der Angriff nicht möglich, denn der braucht mindestens vier Signaturen vom selben Key. Und tatsächlich ist das auch für 90% der Signaturen in der Blockchain der Fall. Also haben sie mal geguckt, wie weit sie bei den anderen 10% kommen. Ergebnis:We broke 762 unique wallets. All of these had a zero balance. Interestingly enough, we could break all these wallets, not because of a linear or quadratic recurrence but because there was at least one repeated nonce in the signatures.Die Wallets mit Nonce-Recycling hatte schon jemand anderes leergeräumt :-)Unter dem Strich blieb kein Fall übrig, der nicht auf Nonce-Doppelverwendung zurückführbar ist. Das könnte aber mehr Glück als Verstand gewesen sein.
Da war ja der Hinweis schon im Namen. "Trusted Computing", nicht "Trustworthy Computing". Trusted heißt "wir haben euch an den Schamhaaren, ihr müsst uns vertrauen! MWAHAHAHAHA". Das wissen nur die Wenigsten.
An authenticated, local attacker could send maliciously crafted commands to a vulnerable TPM allowing access to sensitive data. In some cases, the attacker can also overwrite protected data in the TPM firmware. This may lead to a crash or arbitrary code execution within the TPM. Because the attacker's payload runs within the TPM, it may be undetectable by other components of the target device.Der Bug ist in der Referenz-Implementation des Konsortiums.Ein Schelm, wer hier eine Backdoor vermutet. Gibt bestimmt gute Gründe für das Engagement der NSA.
Das RAND-Papier als furchtbaren PDF-Scan findet ihr hier, auf Englisch natürlich.
Soviel sei vorab verraten: Es drückt einmal alle Knöpfe. Die Fed mit ihrer Quantitative Easing-Gelddruckmaschine hätten sich verzockt, man bräuchte jetzt dringend Geldflüsse in die amerikanische Wirtschaft, und die könnten nur aus Europa kommen, und zwar dem in der Nato gebundenen Teil. Leider sei seit Brexit der Hebel der Amerikaner in der EU weg, und Deutschland werde zu unabhängig, daher müsse man mal dringend was tun, damit sich da keine Achse Frankreich-Deutschland-Russland aufbaut.
Die vorgeschlagene Lösung: Einen Ukraine-Krieg vom Zaum brechen. Die ukrainische Armee könne ja die Donbass-Splitterrepubliken bedrohen, dann müssten die Russen zuerst einmarschieren, wenn man das richtig anstellt, und dann könne man das so hinstellen, als seien die Russen der Aggressor.
Inhaltlich ist das also unkomfortabel nahe an den tatsächlich beobachteten Ereignissen dran, und von RAND gab es ja auch früher schon Reports, die unkomfortabel nahe an der beobachteten Realität waren, aber von kurz vor Eintreten besagter Realität datiert sind. Dieser Report kommt angeblich vom Januar 2022, also vor dem Ukraine-Krieg.
Nun könnte man sagen: Naja, wenn RAND dementiert, dann ist das eine Fälschung. Auf der anderen Seite steht da ja Confidential drüber, d.h. es kann sein, dass RAND schon gesetzlich gezwungen ist, das abzustreiten, weil es sonst Geheimnisverrat wäre.
Da muss man also irgendwie anders herausfinden, ob das echt ist. Ein Anzeichen könnte sein, was auf dem Deckblatt als Empfänger steht. Erstmal WHCS, das sind die White House Chiefs of Staff, das könnte hinkommen. ANSA soll wohl der hier sein, aber der kürzt sich APNSA ab. Also... Fälschung? Gucken wir mal weiter.
Dept. of State. Das Außenministerium. Wieso würden sie das als einziges ausschreiben? Hmm.
CIA kommt hin. NSA kommt eher nicht hin. DNC ist die Parteiorganisation der Democrats, das kommt gar nicht hin.
Ich vermute daher also, dass es sich tatsächlich um eine Fälschung handelt. In dem Scan ist nur das Vorwort bei. Die anderen Seiten hätten mich ja schon noch interessiert. :-)
Update: Äh, war ein Typo. Januar 2022 nicht 2020. Meine Schuld.
Update: Ein Leser meint, DNC könne auch für Director of Naval Communications heißen. Glaube ich nicht, denn den letzten gab es 1971. Der Konsens unter meinen Lesern scheint jedenfalls zu sein, dass das ein Fake ist.
Es gibt da auch noch mehr Ungereimtheiten. Der Report ist ja angeblich vom Januar, sagt aber, man habe Nord Stream 2 erfolgreich abgewürgt. Die Entscheidung fiel aber erst später. Dann gibt es noch ein paar subtile Fehler. Zum Beispiel schreiben sie:
The continuing deterioration of the economic situation is highly likely to lead to a loss in the position of the Democratic Party in Congress and the Senate in the forthcoming elections
Das Unterhaus heißt "House of Representatives", nicht Congress. Congress sind Unter- und Oberhaus zusammen. RAND hätte sich außerdem nicht spekulativ über den Ausgang zukünftiger US-Wahlen geäußert. Das wäre ein technisches Foul.
“The network data includes data from over 550 collection points worldwide, to include collection points in Europe, the Middle East, North/South America, Africa and Asia, and is updated with at least 100 billion new records each day,” a description of the Augury platform in a U.S. government procurement record reviewed by Motherboard reads. It adds that Augury provides access to “petabytes” of current and historical data.[...]
“Augury is the visibility into 93% of internet traffic,” another website describing the tool reads.
Mich überrascht das nicht, denn das war immer unser Threat Model. Wir haben angenommen, dass die NSA das selbst kann, nicht dass sie die Daten von einem privaten Dienstleister einkaufen, aber das spielt ja keine Rolle am Ende.Der Gedanke hinter diesem Threat Model war: Wenn es technisch geht, macht es jemand. Überlege dir also, wie du damit umgehen willst.
Mit dieser Art von Denke wurde man ja jahrelang immer gerne als Paranoiker verlacht, aber Schritt für Schritt stellt sich bei praktisch jedem Punkt davon heraus, dass wir Paranoiker absolut richtig lagen.
New hotness: Die Chinesen beklagen sich, von den Amis gehackt zu werden!
But a report released Monday by its National Computer Virus Emergency Response Center (CVERC) accused the US National Security Agency (NSA) of carrying out “tens of thousands of malicious attacks on network targets in China in recent years”.It specifically accused the NSA’s Office of Tailored Access Operations (TAO) of infiltrating the Northwestern Polytechnical University in the city of Xi’an.
Diese Uni ist spezialisiert auf Fluggeräte und Weltraumforschung.TAO has “stolen over 140 gigabytes of high-value data” in recent years and received assistance from groups in Europe and South Asia, CVERC said in the report, which was co-authored by the private Chinese cybersecurity firm Qihoo 360.
Bemerkenswerterweise hat GCHQ sich geweigert.
According to Kerbaj, Lobban was aware of the importance of the particularly special relationship between the US and UK intelligence agencies but thought “the proposition of urging a newspaper to spike the article for the sake of the NSA seemed a step too far”.“It was neither the purpose of his agency nor his own to deal with the NSA’s public relations,” Kerbaj writes.
Den "uncoolsten" Umgang mit einer beziehungsweise mehreren Schwachstelle(n) muss sich in diesem Jahr Google vorwerfen lassen. Sein Top-Security-Team "Google TAG" erhielt den "Lamest Vendor Award", einen Preis, der bei Fans der Pwnie Awards besonders beliebt ist. Durch das Schließen von elf Zero-Day-Schwachstellen torpedierte das Google-Team eine laufende Anti-Terror-Operation westlicher Geheimdienste ("unilaterally shutting down a counterterrorism operation").Wat? Alter, tickt ihr noch richtig oder was?!
Wir sind hier die Guten und daher ist es lame, von uns ausgenutzte Sicherheitslücken zu schließen?!
Fuck you!
Da merkst du halt, dass die Szene bei den Amis zum Gutteil aus FBI, NSA oder CIA besteht. Da können die hundertmal "Ex-" sagen, den Gestank wirst du halt nicht durch Erklärung der Beendigung des Arbeitsverhältnisses los.
Nein, Leute, Sicherheitslücken gehören sofort zugemacht. Alle. Für jeden.
Für mich persönlich ist jetzt bei Matthew Green der Zeitpunkt gekommen, die Reißleine zu ziehen. Der ist einfach zu häufig negativ aufgefallen. Erst mit Agitprop gegen GnuPG, dann mit Agitprop für Cryptocurrencies, und jetzt halt mit Agitprop gegen Dan Bernsteins Post-Quantum-Transparenzvorstoß. Ich betrachte den ab jetzt als NSA-U-Boot und schiebe ihn in meinem Threat Model auf die Angreiferseite.
Da kann er es sich neben Eric Rescorla bequem machen.
Diesen Go-Crypto-Typen, den er da zitiert, hatte ich noch nicht auf dem Radar, aber was der da schreibt ist geradezu grotesk schlecht. Da hat sich das Go-Team entweder einen naiven Anfänger oder einen Idioten eingetreten. Ich würde deren Crypto erstmal lieber nicht trauen nach diesen Aussagen.
Das war schon immer das Bedrohungsmodel in der Kryptographie, dass du davon ausgehst, dass dein Feind eine rechenschaftsfreie Regierungs- oder Militärbehörde mit unendlich viel Budget ist. Selbstverständlich musst du dann gucken, ob die nicht Kryptographen bestochen haben könnte. Nicht zuletzt weil die NSA ja tatsächlich RSA Inc bestochen hat, damit sie ihren Backdoor-DualEC-RNG weltweit verteilt haben. Das ist ja kein Fiebertraum, dass die NSA Kryptographen bestechen könnte!
Das ist seit echt vielen Jahren ganz normales Standardvorgehen, dass man z.B. bei komischen Konstanten in Krypto-Verfahren fragt, wo die herkommen, und ob die vielleicht irgendwas kryptografisch schwächer machen oder mit einer Hintertür versehen.
Seit vor 50 Jahren die S-Boxen von DES unerklärlich von der NSA kamen, ist das Teil des Bedrohungsmodells. Das Konzept hat sogar einen Namen: Nothing-up-my-sleeve Number.
Hier so zu tun als verbreite djb Verschwörungstheorien oder als beleidige er hier Kollegen, das ist so dermaßen jenseits von gut und böse, dass ich mit sehr viel Aufwand überhaupt die Annahme im Raum stehen lassen kann, dass das ein Versehen von dem Go-Typen war. Böse Absicht ist so viel wahrscheinlicher.
Update: Ein Leser schreibt, auch der Go-Typ ist schon durch GnuPG-Bashing aufgefallen. Ich habe mich auch schon abfällig über die Codequalität von GnuPG geäußert und das Dateiformat ist furchtbar, aber GnuPG war das Tool, mit dem Snowden sein Leben vor dem Zugriff der US-Behörden geschützt hat. Mit GnuPG. Nicht mit "age", nicht mit Google-Crypto, nicht mit Cloudflare-Crypto, nicht mit Microsoft-Krypto. Mit GnuPG. Wer also GnuPG generell die Existenzberechtigung absprechen will, und dann auch noch sein Gehalt von Google und Cloudflare nimmt, die um US-Regierungsaufträge konkurrieren, der ist mir direkt suspekt.
Wer z.B. Netscape Communicator nutzen wollte, und in Europa saß, musste die "Export-Version" davon benutzen, die bei ihrem https maximal 40 Bit RC4 aushandelte. Absichtlich kastrierte Schlüssellängen, damit die NSA das in Echtzeit entschlüsseln kann.
Irgendwann war das dann weg. Wer sich nicht erinnert oder es nicht miterlebt hat: Daniel J Bernstein hat damals gegen die US-Regierung geklagt, und zwar mit ziemlich durchschlagendem Erfolg.
Heute kennt man ihn eher für qmail, djbdns, NaCL, curve25519, ed25519, Salsa20 oder sein Engagement für Post-Quantum Crypto, also kryptologische Verfahren, die resistent gegen Angriffe mit einem hypothetischen Quantencomputer sind. Er war so früh dran mit seiner Quantencomputer-Arbeit, dass er den Namen des ganzen Forschungsgebietes setzen konnte.
Dan hat auch ein paar andere Male Alarm geschlagen, als viele andere ihn für paranoid hielten. Zum Beispiel zu der Frage, ob man elliptischen Kurven der US-Regierung (in Form von NIST) trauen kann, weil nicht nachvollziehbar ist, ob die NSA da nicht zahlentheoretische Hintertüren eingebaut hat durch geschickte Wahl der Konstanten, aus denen die Kurven konstruiert sind.
Warum erwähne ich das? Er klagt gerade ein zweites Mal gegen die US-Regierung. Er hat mehrere Informationsfreiheitsanfragen gestellt, um die Kommunikation zwischen NIST und der NSA offengelegt zu kriegen, aber nie haben sie ihm die nötigen Unterlagen geschickt. Jetzt hat er ihnen genug Gelegenheit gegeben, sich gesetzeskonform zu verhalten, und wird eben den Klageweg einschlagen.
Ich persönlich haben mehrere Fälle beobachtet, bei denen Dan ein Problem benannt hat, und Monate bis Jahre später haben ihm dann alle zugestimmt, oder Fakten kamen zum Vorschein, die das bestätigt haben. Privat und intern setze ich daher jetzt schon überall wo ich kann auf Bernstein-Krypto.
Grund für diese Klage von ihm ist, dass er annimmt, dass die NSA den gerade laufenden Post-Quantum-Wettbewerb der NIST sabotiert, und daran arbeitet, einen für sich brechbaren Post-Quantum-Standard zu etablieren, wie sie es in der Vergangenheit schon mehrfach getan haben (DES, DSA, DualEC-RNG). Lest euch seine Argumente selber durch. Ich finde das alles mehr als einleuchtend und wünsche gutes Gelingen.
Ich glaube, man kann das hier gerade kaum wichtig genug einschätzen. Das ist einer für die Geschichtsbücher.
Und nur dass das klar ist: Der kämpft da für uns alle. Für mich und für jeden von euch.
Der für die elektronische Kriegsführung verantwortliche US-General hat bestätigt, dass die Vereinigten Staaten im Ukraine-Krieg offensiv, defensiv und zur Informationsgewinnung Hacking-Operationen durchführen.Ja super. hackt ihr euch mal alle gegenseitig die Wirtschaft kaputt. Wir hier in Deutschland sind ja dank Hackertoolverbot eh nur unbewaffnete Zivilisten und Spielball der Ransomwaregangs.
Hey, das war ja rückblickend eine brillante Idee, lieber Bundestag! Hat euch da eigentlich niemand gewarnt damals?
Update: Als Kontext dazu vielleicht interessant: Nato-Sprecher Jens Stoltenberg im Jahre 2019 zu Cyberangriffen:
For Nato, a serious cyberattack could trigger Article 5 of our founding treaty.
WIR würden dann zurückballern. Aber die Russen sollen sich mal nicht so haben!1!!
Nein. Tut es nicht. Nehmen wir mal kurz an, das Paper ist echt. Es hat mit Bitcoin so gut wie nichts zu tun.
Es geht dort um Offline-Verfahren, Bitcoin ist online. Die verwenden da RSA Blinding, Bitcoin verwendet eine Blockchain und reguläre digitale Signaturen mit elliptischen Kurven.
Das erinnert inhaltlich viel eher an David Chaums eCash.
Schon das Inhaltsverzeichnis hat kaum Überlappungen mit Bitcoin. Wer euch das zeigt und Bitcoin in den Mund nimmt, der will euch verarschen.
An Bitcoin gibt es wahrlich mehr als genug Kritikpunkte. Dieses Paper ist keiner davon.
Noch erfolgreichere Polizeiarbeit – Zuschlag für neues Recherche- und Analysesystem der Bayerischen Polizei: Höchste Ansprüche an Datensicherheit und DatenschutzHey, wenn ihr "Höchste Ansprüche an Datensicherheit und Datenschutz" lest, an wen denkt ihr da als erstes?
Na?
Richtig!!
Nach einer europaweiten Ausschreibung des Bayerischen Landeskriminalamts (BLKA) erhält das Unternehmen Palantir Technologies GmbH den Zuschlag.Klar, für Luftfilter und Klopapier in Schulen haben wir kein Geld. Aber für NSA-Tech von Palantir? Immer!
Update: Ich hoffe, ihr habt auch diesen Abschnitt gesehen:
[...] hat Bayern federführend die Ausschreibung der neuen Analysesoftware veranlasst und nun einen Rahmenvertrag geschlossen. "Die neue Software kann nicht nur in Bayern zum Einsatz kommen", erklärte der BLKA-Präsident. "Polizeien von Bund und Ländern haben jetzt die Möglichkeit, ohne zusätzliche aufwändige Vergabeverfahren dieses innovative Analysesystem zu nutzen."
Auf der einen Seite wird das die Russen freuen. Die müssen jetzt ihre Agenten nicht mehr durch die Tests von der NSA kriegen, es reicht eine Bewerbung bei AWS.
Auf der anderen Seite verlängert das auch den Hebel der US-Regierung gegen Amazon. Wenn die jetzt eine unsittliche Forderung haben, wird Amazon schlecht nein sagen können.
Einmal mit Profis arbeiten!
Update: Einige Leser fragen, ob das nicht wie eine Backdoor aussieht. Gute Frage.
Ich tendiere im Moment eher zu nein, denn es ist schon fast zu plump. Von einer KGB-Backdoor hätte ich erwartet, dass sie den RNG noch mit dem Usernamen füttern. Erstens damit es nicht auffällt, und zweitens weil du ja normalerweise den Usernamen kennst, in dessen Account du einbrechen willst. Vielleicht habe ich da zu romantische Vorstellungen von der Qualitätsarbeit von Geheimdiensten, aber das fände ich ja doch eher enttäuschend, wenn das deren Backdoor-Niveau ist. Da hat sich die NSA mit ihrem Zufallszahlengenerator aber deutlich mehr Mühe gegeben.
Die NSA antwortet mit einem schönen überspezifischen Dementi. (Danke, Cristoph)
Und wisst ihr, was da rauskam? Die waren das, die für die NSA Merkel und Steinmeier und co abgehört haben.
Ja gut, denkt ihr euch jetzt vielleicht, das ist ja aus Sicht von Dänemark schon irgendwie auch Aufgabe von deren Geheimdienst, dass er die Regierung wohlinformiert hält über was Merkel denkt. Der Artikel ist hinter einer Paywall, daher zitiere ich die Zusammenfassung bei Heise. Das hier war aber klar nicht Teil von deren Aufgabenbereich:
Wie die Süddeutsche Zeitung nun schreibt, durfte die NSA eine geheime Abhörstation Dänemarks mitnutzen und den Dänen sogenannte Selektoren übergeben, nach denen die dort überwachte Kommunikation durchsucht werden sollte.Na? Kommt das jemandem bekannt vor?
Aber warte, die Amis sind doch Ehrenleute, die würden niemals so einen Zugriff missbrauchen, um über den dänischen Geheimdienst dänische Ministerien zu belauschen, oder?!?
Laut dem 2015 verfassten Abschlussbericht habe die NSA Ziele in dänischen Ministerien ausspioniert, die Hilfe des Geheimdiensts sei also gesetzeswidrig gewesen. Auch die Überwachung der Politikerinnen und Politiker aus befreunden Staaten wie Deutschland sei dabei erkannt worden.Doch, na klar! Selbstredend machen die Amis das!
Trotzdem hatte der Bericht demnach keine Konsequenzen.Deja vu!
Der war hier schon im Blog, weil er eines Tages entschied, seinen Job ernst zu nehmen, und die Causa Assange mal zu prüfen.
Daraufhin betrat er Neuland und besuchte Assange persönlich, weil ihm auffiel, dass die offiziellen Quellen alle aus voreingenommenen Quellen kamen, die ihm ins Gesicht logen, damit ihr Verhalten in ihre eigene Story der Realität passt.
Nun, der Melzer wirkt jetzt völlig desillusioniert, nachdem er die Blaue Pille geschluckt hat. Er dachte sich, er findet vielleicht im Schrank ein Portal nach Narnia, aber was er fand war eher ein Palantir mit direktem Blick nach Barad-dûr.
In dem Artikel geht es um einen Online-Vortrag Melzers beim ÖJC anlässlich seines frisch veröffentlichten Buchs über die Causa Assange.
Melzer beschreibt, wie er alle diplomatischen Wege gegangen ist, und die Leute ihm ins Gesicht gelogen haben, und ihm alle für die Ausführung seines Jobs benötigten Informationen verweigert haben.
Als er trotzdem Beweise gesammelt hat, haben sie ihn mit diplomatischen Hohlphrasen abgewimmelt. Wenn er das Informationsfreiheitsgesetz anwendet, kriegt er geschwärzte Dokumente.
Und so bleibt ihm am Ende das Fazit, dass der angebliche Rechtsstaat eine Illusion ist. In Schweden wurde Assange Opfer der Willkür US-willfähriger Behörden, die ihn für eine Gefahr hielten, und daher einen Vergewaltigungsvorwurf herbeilogen. In Großbritannien dauerte die Verurteilung wegen Kautionsflucht eine Viertelstunde, von einem fairen Verfahren und Verteidigungsrechten kann keine Rede sein.
Das ist ja alles weitgehend bekannt. Wieso ich das jetzt ins Blog nehmen, ist folgender Satz:
"Es geht nicht um eine böswillige Verschwörung", glaubt der Jurist. Er sehe eher die "Banalität des Bösen" am Werk, zitierte Melzer Hannah Arendt.Und DAS, meine lieben Leser, ist mal die krasseste Beobachtung, die man an der Stelle machen kann. Die Banalität des Bösen ist ein Begriff von Hannah Arendt, eine vor den Nazis in die USA geflohene deutsche Jüdin, die dann Prozessbeobachterin beim Eichmann-Prozess war. Sie schrieb darüber ein Buch, in dem sie sich damit auseinandersetzt, wie das alles so geschehen konnte, und ihr Untertitel und Erklärungsversuch ist, dass wir es hier mit einer Banalität des Bösen zu tun haben bei den ganzen Nazi-Funktionären. Ich zitiere mal Wikipedia:
„In dem Bericht kommt die mögliche Banalität des Bösen nur auf der Ebene des Tatsächlichen zur Sprache, als ein Phänomen, das zu übersehen unmöglich war. Eichmann war nicht […] Macbeth […]. Außer einer ganz ungewöhnlichen Beflissenheit, alles zu tun, was seinem Fortkommen dienlich sein konnte, hatte er überhaupt keine Motive.“ Niemals hätte er seinen Vorgesetzten umgebracht. Er sei nicht dumm gewesen, sondern „schier gedankenlos“. Dies habe ihn prädestiniert, zu einem der größten Verbrecher seiner Zeit zu werden. Dies sei „banal“, vielleicht sogar „komisch“. Man könne ihm beim besten Willen keine teuflisch-dämonische Tiefe abgewinnen.Mit anderen Worten: Der Uno-Folterbeauftragte Nils Melzer vergleicht hier die Behörden in Europa heute mit Adolf Eichmann bei der Judenvernichtung.
Da wird klar, wie verletzt der Mann ist, dass seine Ideen von Rechtsstaat und Menschenrechten sich in der Praxis so als eine Illusion herausstellen.
Wow.
Übrigens, was ich auch auffallend fand: Er findet auch, das Assange nur ein Aspekt des Problems ist. Er erwähnt auch die Crypto AG und den BND-NSA-Skandal namentlich.
Wenn er mehr mit Deutschland zu tun hätte, würde er sich wahrscheinlich mehr Sorgen wegen des "Verfassungs""schutzes" machen als wegen des BND.
Das sind die Russen, die seit Jahren weltweit Pionierarbeit leisten mit ihrem Reverse Engineering der Management Engine. Das sind auch die, die den NSA-Switch gefunden haben.
Völlig klar: Das sind die Terroristen. Die arbeiten für, äh, den russischen Staat!!1!
Wie sieht denn die Beweislage aus, fragt ihr?
that US officials have privately concluded that the company is a major provider of offensive hacking tools, knowledge, and even operations to Russian spies. Positive is believed to be part of a constellation of private sector firms and cybercriminal groups that support Russia’s geopolitical goals, and which the US increasingly views as a direct threat.Oh ach so. Beweise gab es keine. Sie haben "privately concluded". Gut, dass wir das mal geklärt haben.
Das haben sie jetzt rausgefunden.
Both hacks exploited the same gaping vulnerability in the existing system: They were launched from inside the United States — on servers run by Amazon, GoDaddy and smaller domestic providers — putting them out of reach of the early warning system run by the National Security Agency.Ja Scheiße, da stehen uns doch glatt die Fesseln im Weg, die wir der NSA angelegt haben!1!!The agency, like the C.I.A. and other American intelligence agencies, is prohibited by law from conducting surveillance inside the United States, to protect the privacy of American citizens.Das hat die CIA herausgefunden. Die finden ja alles raus. Alles finden die raus!Ja gut, sagt ihr jetzt vielleicht. Es gibt ja auch noch das FBI, das wäre ja auch zuständig, und hat nichts gemerkt. Und das Department of Homeland Security.
Ich denke mal, die Marschrichtung ist damit klar. Wir müssen unbedingt die NSA und die CIA im Inland spionieren lassen!1!!
Denn WENN sich jemand mit Cybersicherheit auskennt, dann sind es die CIA und die NSA, denen beiden jeweils ihre Exploits aus den Cyberhänden geflutscht sind, ohne dass sie es gemerkt haben.
Dass die sich überhaupt trauen, diesen Wichskatalog niederzumasturbieren! Wie oft wurden die jetzt beim illegalen Handydaten-Abgreifen erwischt? Und ihre Reaktion ist weitere Forderungen?! Unglaublich.
Ein paar notgeile alte Männer möchten gerne besser Umkleidekabinen überwachen dürfen.
Ekelhaft. Hey, BMI, wir machen mal ne Spendensammlung und kaufen euch einen Pornhub-Premiumaccount und uns eine Flasche Fusel und dann vergessen wir gemeinsam, dass ihr mal wieder eure Hose nicht oben lassen konntet.
Aber macht euch keine Sorgen. Ihr seid sicher. In Deutschland sind Hackertools nämlich verboten!1!! *schenkelklopf*
Das Hackertoolverbot ist auch der Grund, wieso sowas Israelis auffällt und nicht Deutschen.
Die sind neulich gehackt worden. Und was haben die Angreifer da rausgetragen?
During our investigation to date, we have found that the attacker targeted and accessed certain Red Team assessment tools that we use to test our customers’ security.Deren Angriffstools!Hey, genau wie bei der CIA damals! Und der NSA!
Das ist jetzt nicht gerade die Art von Nachricht, mit der man sich an seine Kunden richtet, daher haben sie da ein schönes Shit-Sandwich gebaut. Die Einleitung ist:
FireEye is on the front lines defending companies and critical infrastructure globally from cyber threats.Und am Ende steht das hier:Every day, we innovate and adapt to protect our customersFalls ihr das Konzept nicht kennt: Das ist ein "Life Hack", wenn man schlechte Nachrichten hat, aber den Gegenüber für einen jähzornigen Vollidioten hält, entweder mit der Selbstkontrolle eines trotzigen Kleinkindes oder mit der Rationalität eines Demenzpatienten im Altersheim.Dass Fireeye diese Taktik hier mit ihren Kunden pullt, das ist eine recht deutliche Aussage darüber, was Fireeye von ihren Kunden denkt.
Ich für meinen Teil glaube, dass sie da völlig Recht haben. Leute, die sowas kaufen, würde ich auch nicht für zurechnungsfähig halten.
Die haben gar nichts zu tun! Die paar Einzelfälle in der Polizei lohnen sich ja gar nicht, und die Linken bleiben wegen Covid zuhause und zünden keine Bundeswehrautos oder Bahnrelaystationen an.
Keine Sorge, die Dienste haben immer noch genug zu tun:
Ein Glück, dass der MAD die jetzt infiltriert. Nicht auszudenken.
Und der arme MAD ist jetzt schon völlig überstrapaziert. Außerdem: Wer ermittelt gegen die Nazis im MAD?
Ich sehe nur eine Lösung. Wir brauchen einen neuen Geheimdienst!1!! Der überwacht dann die Polizei und die ganzen anderen Geheimdienste.
In den USA ist das Modell sehr erfolgreich. Die haben 17 Geheimdienste.
Das war ja eigentlich von Tag 1 an absehbar, dass die Leugner um ihre alten Lügen zu stützen einfach neue Lügen hinterherwerfen würden. Der Fachbegriff dafür heißt übrigens Gish gallop nach einem Evolutionsleugner.
Ich krieg ja hier lauter Mails von Leuten ab, die mir versuchen die Beweislast für ihre Behauptungen zuzuschieben, das find ich ja immer besonders dreist. "Ich hab hier diese Behauptung gesehen". "Hier ist ein Link, der das widerlegt". "Der Link geht zu einer Zeitung, unter peer reviewed top tier journal akzeptiere ich keine Beweise". ACH ABER DEIN HÖRENSAGEN SOLL ICH AKZEPTIEREN ODER WIE?!
Inzwischen sind wir bei Leuten angekommen, die Drostens Promotion leugnen. Was ja doppelt humoristisch ist. Dreifach eigentlich.
Erstens weil es ad hominem ist. Geht gegen die Person nicht seine Aussagen und Argumente. An der Stelle kann man das ja schon zu den Akten legen. Nur Trickbetrüger mit lauter Luschen in der Hand gehen ad hominem.
Zweitens weil es ihnen nicht gelingt, einen Nachweis zu erbringen, und sie sich jetzt daher herumzulügen genötigt sehen.
Drittens weil es völlig egal wäre. Selbst wenn das gestimmt hätte, könnte Drosten seinen Job ausüben und das würde auch den Wert seiner Arbeit zu Covid nicht beschädigen.
Wollen wir mal eine Liste der Felder machen?
Das Virus existiert gar nicht.
Das Virus existiert aber ist schon voll alt.
Das Virus existiert aber ist völlig ungefährlich.
Das Virus existiert und ist gefährlich und kommt aus einem Biowaffenlabor.
Masken helfen gar nicht.
Na gut, Masken helfen, aber die Maskenpflicht hilft nicht.
Maskenpflicht ist Faschismus!!1!
Social Distancing hilft nicht.
Social Distancing hilft, aber es vorzuschreiben ist Faschismus.
Kinder sind nicht ansteckend.
Na gut, Kinder sind doch ansteckend, aber nicht doll.
OK, Kinder sind genauso ansteckend, aber die werden nicht krank.
Na gut, Kinder sind ansteckend und werden krank, aber die Schulen müssen offen bleiben!!1!
Die Infektionsrate nimmt gar nicht wirklich zu.
Die Infektionsrate nimmt nur zu, weil mehr getestet wird.
Die Infektionsrate nimmt schon zu aber ist gar nicht aussagekräftig, wichtig ist die Todesrate.
Niemand stirbt an Covid.
Na gut, es gibt Tote, aber die sind nicht an sondern mit Covid gestorben.
OK OK es gibt Covid-Tote und die Zahl steigt auch, aber die wären eh demnächst alle gestorben.
OK OK auch junge gesunde Menschen sterben an Covid, aber die hatten dann halt kein gutes Immunsystem.
Es gibt keine Impfung.
Die Impfung wirkt nicht.
Die Impfung ist ein Vorwand um uns alle zu chippen.
OK die Impfung wirkt aber nicht gut.
Impfzwang ist Faschismus!
Da hätte man doch prima ein Bingofeld mit füllen können. Tja, Chance vertan.
Inzwischen gibt es ja sogar Versuche, irgendwie den Ruf des RKI zu erschüttern.
Was Paulchen über Peter sagt, sagt mehr über Paulchen als über Peter.
Update: Der Lockdown funktioniert nicht.
Die Zahlen sind schon vor dem Lockdown runtergegangen
Die Zahlen gehen nur runter, weil weniger getestet wird
Schau, die Grippezahlen gehen auch runter!
Schweden braucht auch keinen Lockdown!
OK Schweden hat jetzt auch Lockdown, aber die Schweiz braucht keinen Lockdown!
OK die Schweiz hat jetzt auch Lockdown, aber die Antarktis ... der Mond!!
Restaurants sind keine Hotspots
Der Spahn war ne Ausnahme. Das Restaurant war speziell.
Wir haben genug Intensivbetten
OK in Italien wird es eng, aber die zählen nicht
OK OK überall um uns herum sind die Intensivbetten voll, aber WIR haben genug!
Schau, diese irreführende Statistik hier sagt, wir haben doch noch Intensivbetten!
Drosten hat bestimmt gar nicht wirklich promoviert!1!!
Update: Drosten hat PCR (und das Virus) erfunden und kassiert jetzt Lizenzgebühren
PCR funktioniert gar nicht
PCR funktioniert, aber ist nicht validiert / zugelassen
PCR ist zu unempfindlich, findet alle Coronaviren
PCR ist zu empfindlich, sagt nicht ob man infiziert ist!
Nur weil PCR was findet, heißt das ja nicht, dass man auch erkrankt
Man sollte PCR nicht auf Gesunde verschwenden
Man sollte PCR nicht auf Kranke verschwenden
Ich fühl mich aber voll gesund!
Update: Hier das Update, auf das hier alle gewartet habt. Ein Leser hat mal 4chan nach Bingofeldern abgegrast.
"6%" (Referenz auf die Angabe des CDC, dass nur bei 6% der Toten tatsächlich Covid-19 die Todesursache ist)
In Tansania haben sie eine Ziege und eine Papaya positiv PCR-getestet, die Tests sind Blödsinn.
Malaria ist doch viel schlimmer!
Durchfall ist doch viel schlimmer!
Die Spanische Grippe war doch viel schlimmer!
"Nothingburger"
Sind doch alles Apokalyptiker (wahlweise mit dem Zusatz "die keine Frau abkriegen")
Einfach Vitamin C schlürfen, dann macht einen diese Grippe auch nicht krank
Die Chinesen haben ja schon wieder offen
Ich habe schon Rinderwahn/SARS 1.0/MERS/Dengue/Ebola/Zika/Hepatitis/HIV/whatever hinter mir, dieser Schnupfen wird mich nicht umbringen.
"Mein Immunsystem ..."
Corona wurde nur erfunden, um Trump aus dem Weißen Haus zu jagen!
Corona wurde nur erfunden, um die BLM-Proteste zu ermöglichen!
Ein Jahr Pandemie, und nur eine Million Tote
Reinfektionen sind doch gar nicht bestätigt!
Na gut, Reinfektionen sind bestätigt, aber nur bei ganz wenigen Menschen!
Falsch-positive Tests sind viel schlimmer als falsch-negative!
H E R D E N I M M U N I T Ä T !
Die Wirtschaft ist doch schon wieder am Wachsen!
Die Situation ist unter Kontrolle
So nah an einem Impfstoff
"Die Medien ..."
Corona ist im April/Mai/Juni/Juli/August/September/Oktober/November/Dezember/2021/2022/whatever vorbei!
Die Linke will doch nur das Land beerdigen!
Ich habe ein gutes Leben gelebt!
Originalzitat von Bill Mitchell: "While death is sad for the living left behind, for the dying, it is merely a passage out of this physical body to a spiritual existence, free of this mortal coil. If one turns off the radio, the music is still there. For all we know, the dead weep for us."
Update: Plandemic
5G
Was? Ich sagte doch "kurze" Aussage!
Im Untersuchungsausschuss zum Anschlag auf dem Breitscheidplatz hat der oberste Verfassungsschützer von Mecklenburg-Vorpommern für einen Eklat gesorgt: Er wollte öffentlich am liebsten gar keine Fragen beantworten.Vielleicht hat ihm jemand gesagt, dass man vor Untersuchungsausschüssen nicht lügen darf? Wenn du einem Geheimdienst die Lügen wegnimmst, bleibt halt nichts?
Aber das zeigt einmal mehr, wie richtig, wichtig, notwendig und effektiv die parlamentarische Geheimdienstkontrolle ist!1!! Stellt euch nur mal vor, wir würden unsere Geheimdienste gar nicht kontrollieren? Nicht auszudenken, was die dann anstellen würden! Am Ende würden die noch die Ku-Klux-Klan-Gründung in Deutschland bezahlen, oder Al-Kaida-Gruppierungen finanzieren, oder die Deutschen Taliban Mujaheddin (leider geht der ZDF-Link nicht mehr, aber der hier geht noch). Ein Glück, dass wir eine parlamentarische Geheimdienstkontrolle haben.
Oder der BND! Stellt euch mal vor, die würden einfach behaupten, das Abhören per Satellit sei legal, weil das ja im Weltraum stattfindet und nicht in einem Land, dessen Gesetze man verletzen könnte. Nicht auszudenken!
Da lob ich mir doch die parlamentarische Geheimdienstkontrolle! Die haben ja auch, ihr erinnert euch, die NSA-Spionage aufgedeckt. Und die Sache mit den Hintertüren bei der Crypto AG. Und die Operation Eikonal! Das war alles die parlamentarische Geheimdienstkontrolle! Erinnert ihr euch nicht mehr?
Also gut, die haben nichts davon gefunden. Oder aufgedeckt. Oder verhindert. Oder sanktioniert. Aber sie waren entrüstet, als das rauskam! Das ist doch auch was wert!!
Pass uff, Fefe, wir machen jetzt Secure Boot in der Cloud! Was genau soll da am Ende die Aussage sein?
Ihr versteht schon, dass das per Design eine virtualisierte Umgebung ist, oder? Du glaubst, du redest mit der Hardware, aber tatsächlich redest du mit einem Stück Emulator-Software, die von jemandem betrieben wird, um deine Software zu verarschen. So zu verarschen, dass sie glaubt, sie liefe auf nicht-virtualisierter Hardware.
Wer die Umgebung betreibt, in der deine Software läuft, kann auch einfach so tun als gäbe es da Hardware-Security und dir genau die Hashwerte geben, die du gerne hören wolltest!
Nicht nur das: Einer der Gründe für die Cloud ist, dass man von Hardware-Ausfällen abstrahieren kann. Deine virtuelle Maschine wird einfach auf eine andere physische Hardware umgezogen! So und jetzt denken wir alle nochmal scharf nach, was das für Remote Attestation heißt, wenn sich nach dem Booten die Hardware ändern kann, auf der der Code läuft, aber niemand sagt dem Code Bescheid. Oh, was sagt ihr? Ist alles Bullshit! Bingo! 100 Punkte für die Kandidaten!
Und was war die Antwort der Sales-Kokser? Wir machen einfach Remote Attestation durch den Hypervisor hindurch!!1! Ja, äh, ... tolle Idee! Aber woher weißt du, dass du mit dem TPM redest und nicht mit einem Emulator? Woher weißt du, dass es überhaupt ein TPM in Hardware gibt?!
Ich kläre mal auf. Das erkennst du daran, dass deine Hardware eine Hintertür-Hardware drin hat, die Management Engine, und die kann dir mit einem nur Intel bekannten Private Key signierten Kram geben. Die Signatur kannst du checken, und dann weißt du: Es war Intel. Gut, außer jemand anderen hat den Key auch. Vielleicht die US-Regierung, die übrigens der dickste Kunde ist, den ein Cloud-Provider haben kann, und um den sich gerade AWS und Azure vor Gericht streiten, so wichtig ist der. Interessenskonflikt much?
Ich bin ja auch immer wieder fasziniert, dass die Leute annehmen, wenn sie bei Amazon einen Secure Key Store klicken, dass das dann ein HSM ist. Die Leute hören, was sie hören wollen. Amazon musste ihnen nichtmal ins Gesicht lügen! Sie mussten nur einfach die Details weglassen oder ins Kleingedruckte schieben. Das reichte.
Besser noch! Amazon konnte dann als Zusatzdienstleistung ein Cloud-HSM anbieten (ein HSM ist ein Hardware Security Modul, eine Art Safe mit einem Computer drin, der unextrahierbar den Private Key hat). Ja, richtig gelesen. Ein Cloud-HSM. Mit anderen Worten: Der andere Service ist gar kein HSM. Und glaubt ihr da hätte mal einer der Kunden Fragen gestellt? Nix da!
Dieses Cloud-HSM ist natürlich auch kein HSM. Wozu die Kosten auf sich nehmen. Deine Software läuft auf einer Hardware, die jemand anderes betreibt. Ob da ein HSM dran ist oder nicht ist völlig wurscht. Und das ist eh alles virtualisiert. Woran würde deine Software also erkennen, dass das HSM nur emuliert ist?
Wieso ich hier ewig lang herrumrante? Weil ich gerade über zwei Neusprech-Bomben gestolpert bin. Erstens: Azure Sphere. Zweitens: Der "Pluton"-Chip (*fremdschäm* DER RÖMISCHE GOTT HEISST PLUTO NICHT PLUTON IHR BARBAREN)
So, Trinkspiel. Setzt euch mal hin und lest die beiden Seiten und dann erklärt mir, was die da konkret anbieten. So wie ich das sehe bestehen beide Seiten praktisch vollständig aus nichtssagenden Worthülsen.
Ich zitiere mal zwei Paragraphen von diesem Pluton-Dingens:
Today, Microsoft alongside our biggest silicon partners are announcing a new vision for Windows security to help ensure our customers are protected today and in the future. In collaboration with leading silicon partners AMD, Intel, and Qualcomm Technologies, Inc., we are announcing the Microsoft Pluton security processor. This chip-to-cloud security technology, pioneered in Xbox and Azure Sphere, will bring even more security advancements to future Windows PCs and signals the beginning of a journey with ecosystem and OEM partners.Our vision for the future of Windows PCs is security at the very core, built into the CPU, where hardware and software are tightly integrated in a unified approach designed to eliminate entire vectors of attack. This revolutionary security processor design will make it significantly more difficult for attackers to hide beneath the operating system, and improve our ability to guard against physical attacks, prevent the theft of credential and encryption keys, and provide the ability to recover from software bugs.
Ich hab mal deren peinlichen PR-Fettdruck-Formatierungsscheiß weggemacht. Der eigentlich wichtige Punkt ist im letzten Halbsatz. Das ist, worum es geht. Wir, Microsoft, sehen uns nach 30 Jahren der Investition völlig außerstande, auch nur perspektivisch daran zu denken, jemals Software ohne Sicherheitslöcher ausliefern zu können. Daher haben wir aufgegeben und zwängen euch jetzt einen Chip auf, den ihr nicht kennt, den niemand von euch haben wollte, und dem ihr ab jetzt vertrauen müsst. Glaubt uns am besten einfach, dass wir niemals nie nicht NSA-Backdoors ausliefern würden oder so. Wir sind hier die Guten!1!! Das dient alles der Sicherheit! (Genau wie die ganzen NSA-Programme übrigens)Wie, ihr wollt ein Opt Out? Nee, gibt es nicht. Wir packen den Scheiß direkt in die CPU rein. Damit ihr möglichst keine Wahl habt, haben wir das direkt Intel, AMD und Qualcomm übergeholfen. HAHAHAHA DA BLEIBT NICHT VIEL ANDERES ÜBRIG HAHAHAHA IHR KÖNNT JA BEI APPLE KAUFEN HAHAHAHAHA
Im Hintergrund denkt euch einen Bill Gates, der eine fette Langhaarkatze streichelt.
Wobei. Ich bin da vielleicht ein bisschen vorschnell. Es ist nicht so, dass die Seiten gar nichts sagen. Eine Sache sagen sie: Vertraut uns. Wir arbeiten dran. Was ihr alles an grundsätzlichen fundamentalen unreparierbaren Gründen gegen die Cloud gehört habt, das betrifft nicht unsere Cloud, denn wir haben magischen Feenstaub drübergesprenkelt.
Eines Tages werden wir mehr wissen. Wenn ihr mich fragt: Bestimmt was mit Blockchain und Machine Learning.
Update: Hahaha jetzt kommen hier lauter Einsendungen zu dem Begriff "Pluton". Stellt sich raus: Es gab auch Pluton im Griechischen als Synonym für Hades, dessen Namen man nicht auszusprechen wagte, weil er ja für Tod stand. Wikipedia dazu:
Platon beispielsweise meint, Pluton/Plutos sei durchwegs positiv zu sehen als der Spender von Reichtum
Passt doch perfekt, findet der Einsender. Ein anderer Einsender fand noch eine andere Wortbedeutung, aus der Geologie, wo es für eine besonders tiefe Intrusion geht. Das meint zwar aber eine Intrusion im geologischen Sinne, aber der andere Einsender fand, das passe auch prima für einen "Security-Chip".
Også Danmarks nærmeste nabolande – særligt Sverige, Tyskland, Frankrig, men også Norge og Holland – bliver nævnt som mål.Oder übersetzt:
Auch Dänemarks nächste Nachbarn - Schweden, Deutschland, Frankreich, Norwegen und Holland - werden als Ziele erwähnt.Seid ihr auch so froh, dass wir mit den USA befreundet sind? Ich meine, stellt euch mal vor, die würden uns nicht als Freunde sehen! Was die dann noch so mit uns machen würden, ohne uns zu fragen, und während sie uns ins Gesicht lügen, sie seien unsere Freunde!
Ein Glück, dass wir die Guten sind.
Der Westen hat nämlich wegen seiner moralischen Integrität und Überlegenheit des Wertesystems gegen den Ostblock gewonnen, ihr erinnert euch.
Genau mein Humor!
Das kriegt man doch mit, wenn da was wichtiges passiert!
Ach? Tut man? Wie viele von euch haben mitgekriegt, dass der EU-Ministerrat einen Terroranschlag auf die EU durchgeführt hat?
Im EU-Ministerrat wurde binnen fünf Tagen eine Resolution beschlussfertig gemacht, die Plattformbetreiber wie WhatsApp, Signal und Co künftig dazu verpflichtet, Generalschlüssel zur Überwachbarkeit von E2E-verschlüsselten Chats und Messages anzulegen.Ach nee. Ach was. Das ist ja schon eher wichtig.
Das heißt, dass die Paranoiker natürlich mal wieder die ganze Zeit richtig lagen.
Insbesondere heißt es, dass man ab jetzt keinen Diensten mehr vertrauen kann, selbst wenn man den Betreiber persönlich kennt und für vertrauenswürdig hält.
Ich weiß, was ihr jetzt denkt, und ihr habt Recht. Das können die Sesselfurzer vom EU-Ministerrat doch unmöglich in fünf Tagen selbst erarbeitet haben. Haben sie auch nicht. Das ist die praktisch wörtliche Umsetzung der Vorgabe der Five Eyes. Die wissen nämlich genau: Wenn es erstmal eine Krypto-Hintertür gibt, dann können NSA und GCHQ die nutzen, um die EU abzuhören. Und zwar nicht nur so ein bisschen. Nein, nein. Flächendeckend.
Auch wenn es jetzt den Eindruck erweckt, der Vorschlag käme von Frankreich: Tut er nicht.
Frankreich treibt das ursprünglich von Großbritannien angestoßene Vorgehen gegen sichere Verschlüsselung auf Plattformen wie WhatsApp bereits das ganze Jahr auf EU-Ebene über voran.Ja, richtig gelesen. Frankreich verrät alle EU-Bürger an die Five Eyes, auf Geheiß eines Five-Eyes-Mitglieds, DAS SEINEN FUCKING AUSTRITT AUS DER FUCKING EU ERKLÄRT HAT.
Jetzt denkt ihr euch wahrscheinlich: Betrifft mich nicht. Update ich halt meine Client-Software nicht mehr, bin ich nicht betroffen. So einfach ist das leider nicht. Die meisten Krypto-Messenger sehen eine betreiberseitige Infrastruktur vor, über die man Schlüssel von potentiellen Kommunikationspartnern abfragen kann. Gute Software sieht dann auch einen Weg der manuellen Verifikation vor, aber das ist halt mit Aufwand verbunden, und die üblichen Verdächtigen unter den Saboteuren und Vollidioten haben ja seit Jahrzehnten eine Kampagne gegen Krypto-Software gefahren, dass die "zu schwer zu bedienen" sei und man daher die Komplexität vor den Nutzern verbergen müsse. Das hat dazu geführt, dass die Schlüssel-Übernahme bei praktisch allen Programmen implizit läuft. Als Gegenbeispiel fällt mir gerade nur Threema ein -- und GnuPG. Ja, das GnuPG, das seit Jahrzehnten den Hass der Deppen abkriegt, weil es angeblich so schwer zu bedienen sei.
Wenn Signal per Gesetz zu Hintertüren gezwungen wird, hilft dir jedenfalls auch die ganzen verifizierten Builds nichts und dass der Client-Quellcode Open Source ist. Signal hat sich entschieden, die Krypto-Komplexität vor dem Nutzer zu verbergen, und das bedeutet für das Szenario dann halt, dass der Nutzer wahrscheinlich nicht merken würde, wenn ihm ein falscher Schlüssel untergeschoben wird.
Aber Achtung: Nur weil ich sage dass GnuPG immun ist, heißt das nicht, dass eure Software oberhalb von GnuPG OK ist. Wenn die Software Schlüssel automatisch von irgendwelchen Diensten holt, oder wenn eure Ver- und Entschlüsselung auf irgendeinem Dienst und nicht auf eurem Privatrechner läuft, oder wenn ihr nicht manuell Fingerprints per Telefon oder sonstigem Seitenkanal abgeglichen habt, dann seid ihr Five-Eyes-Futter.
Die Zeit für halbherzige Krypto ist vorbei. Jetzt müssen wir alle in den Freiheitskämpfer-Modus wechseln. Und jetzt ist der Zeitpunkt, wo ihr alle versteht, wieso die Krypto-Anarchisten in ihrer Software einen Freiheitskämpfermodus vorgesehen haben.
Update: Hier vertritt jemand die These, dass Erich überreagiert. Ich finde nicht, dass man in solchen Fragen überreagieren kann. Dass die EU das alleine diskutiert ist in meinen Augen schon ein durch nichts zu entschuldigender Hochverrat. Die EU hat nichts, aber auch gar nichts, auch nur in der Nähe von meinen Krypto-Chats zu suchen.
Update: Wer mein Terror-Bingo schon länger mitspielt, kennt die Muster schon. Aber der Vollständigkeit halber: Es gibt natürlich mal wieder eine Geheimdienst-Verbindung und die Dienste haben so massiv und vollständig verkackt, dass Österreich sogar den Chef des "Verfassungsschutzes" abberufen hat. Wenn die Unterdrückungsbehörden Krypto-Backdoors kriegen, wird das keinen einzigen Anschlag verhindern. Es wird nur dazu führen, dass sie noch großflächiger hätten informiert sein können aber es wegen "Pannen" nicht waren. Ich finde ja, wer so ein Versagen "Panne" nennt, sollte direkt mitgefeuert werden. Eine Panne ist, wenn du das richtige tun wolltest, aber dich technisches Versagen der Infrastruktur daran gehindert hat. Wenn du informiert warst aber deinen Job nicht getan hast, dann ist das Versagen, keine Panne.
In a previously unreported statement to members of Congress in July seen by Reuters, Juniper said an unnamed national government had converted the mechanism first created by the NSA. The NSA told Wyden staffers in 2018 that there was a “lessons learned” report about the Juniper incident and others, according to Wyden spokesman Keith Chu.Na, äh, den wollen wir doch mal sehen, den Report, oder wie seht ihr das?“NSA now asserts that it cannot locate this document,” Chu told Reuters.Oh ach so. Naja gut, äh, … Softwareproblem. Da kann man nichts machen.
Ich finde das ja geil, dass ausgerechnet die NSA mit der Ausrede durchkommt, sie könnten etwas in ihrem Datenhaufen nicht finden. Ist ja nicht so als wäre genau das genau die Kernkompetenz von denen, für die sie bezahlt werden. Oder anders herum: Wenn die schon so zentral wichtige Dokumente verlieren, wieso dürfen die dann überhaupt andere wichtige Daten horten?
Und ihr solltet euch mal alle fragen, ob ihr irgendeinem US-amerikanischen Tech-Unternehmen vertrauen könnt, wenn öffentlich bekannt ist, dass sowohl Cisco als auch Juniper Backdoors der Geheimdienste hatten.
Hätte uns doch nur rechtzeitig jemand gewarnt!!1! (Danke, Christian)
Assange is not on trial for skateboarding in the Ecuadorian embassy, for tweeting, for calling Hillary Clinton a war hawk, or for having an unkempt beard as he was dragged into detention by British police. Assange faces extradition to the United States because he published incontrovertible proof of war crimes and abuses in Iraq and Afghanistan, embarrassing the most powerful nation on Earth.Amen!When setting a gravely dangerous precedent, governments don’t typically persecute the most beloved individuals in the world. They target those who can be portrayed as subversive, unpatriotic – or simply weird. Then they actively distort public debate by emphasizing those traits.So Charakterzüge wie die Behauptung er sei ein Vergewaltiger.These techniques are not new. After Daniel Ellsberg leaked the Pentagon Papers to journalists to expose the US government’s lies about Vietnam, the Nixon administration’s “White House Plumbers” broke into Ellsberg’s psychiatrist’s office in search of material that could be used to discredit him. NSA whistleblower Edward Snowden was falsely portrayed as collaborating with the Chinese, then the Russians. Obsession with military intelligence analyst Manning’s mental health and gender identity was ubiquitous. By demonizing the messenger, governments seek to poison the message.Und wir Vollidioten fallen immer und immer wieder darauf rein.Update: An der Stelle passt auch nochmal ein Hinweis. Der Hauptvorwurf gegen Assange ist ja, dass seine Veröffentlichungen unzensierter Namen Menschenleben gekostet oder zumindest gefährdet hätten. Ich möchte daran erinnern, dass nicht Assange das veröffentlicht hat. Assange hat das in verschlüsselter Form als "Versicherung" ins Netz getan. Das Passwort hat ein Guardian-Journalist veröffentlicht, nicht Assange. Wenn hier also jemand wegen Verrats an die USA ausgeliefert werden müsste, wenn man dieser grotesken Argumentation folgen wollen würde, wäre es der Guardian-Typ. Aber dann wäre ja auch für alle unaufmerksamen und gelangweilten Beobachter klar, dass es hier um weltweite Pressezensur geht, nicht um angebliche Gefährdung von Menschenleben von US-Militärs (von denen die USA im Übrigens nicht ein einziges Beispiel vorweisen konnten bisher!).
Ex-NSA-Direktor Keith Alexander sitzt da jetzt im Vorstand. Also ich an eurer Stelle würde da ja sofort alles abziehen, was irgendwie einen Wert hat.
Fragt sich nur wohin. Denn Microsoft hat ja gerade diesen "JEDI"-Monsterdeal mit dem Pentagon unterschrieben und ist auch raus.
Wer bleibt da noch? Google? Die Telekom?!? BWAHAHAHAHA
Ach was erzähl ich hier. Niemand von euch wird bei Amazon oder Microsoft aus der Cloud wieder ausziehen. Einmal dort haben die euch bei den Schamhaaren.
Hätte euch doch nur jemand rechtzeitig gewarnt!1!!
Oh, ich weiß, ich weiß! Die Alibaba-Cloud!!1! Da ist das bestimmt GANZ anders. Null staatliche Schnüffelstellen am Saugrüssel!
The National Security Agency issued new guidance on Tuesday for military and intelligence-community personnel, warning about the risks of cellphone location tracking through apps, wireless networks and Bluetooth technology.No shit, Sherlock! Hier ist das PDF mit den konkreten Tipps. (Danke, Marc)
If Thunderbird is configured to use STARTTLS for an IMAP server, and the server sends a PREAUTH response, then Thunderbird will continue with an unencrypted connection, causing email data to be sent without protection.Au weia. Wenn Outlook so einen Bug bringen würde, würden alle von NSA-Backdoors herumschwadronieren.
Meldung 1: Tech von NSA-Mitarbeitern soll eure Browser absichern, sagt McAfee. Warte mal, McAfee? Die, die gerade mal wieder mit heruntergelassenen Hosen erwischt wurden? Die, auf die sich das Kammergericht Berlin verlassen hatte, um dann festzustellen, dass sie verlassen waren? Ja, genau die!
Meldung 2: Die Telekom macht jetzt auch Security! Ergebnis:
Bei einem Softwareupdate der beiden betroffenen Routertypen habe man versucht, die Geräte gegen eine neue Angriffsart abzusichern. "Durch diese Implementierung werden ungewöhnlich kleine Netzwerk-Pakete, die häufig bei bestimmten Angriffen verwendet werden, vom Router ignoriert", heißt es in dem Statement.What the FUCK? Kleine Pakete? Soll das ein Scherz sein? Wisst ihr, welche Pakete klein sind? DNS! Signalisierung von TCP! Ping!
Erst nachträglich habe sich herausgestellt, dass diese Art von Datenpaketen nicht nur von Angreifern, sondern auch von den Onleihe-Servern sowie einigen älteren IoT-Geräten verwendet würden.Ja, äh, NO SHIT, SHERLOCK!
Meldung 3: IOTA wurde final zerstört, haben das eh schon verspielte Vertrauen endgültig verspielt (oh und Bonus: Cloudflare war involviert!). Und in der Mitte des Artikels? "Lesen Sie auch: IOTA - die nächste Generation der Blockchain?"
Srsly? Hey, Heise, fällt euch das nicht selber auf, wie lächerlich ihr euch da macht?
Das ist jedenfalls eine Frage, die nicht nur mich schon länger beschäftigt, und so habe ich mich sehr gefreut, dass die Keynote auf der Offensivecon das mal thematisierte. Die Offensivecon ist eine Konferenz, wo sich schmierige Exploitschreiber mit noch schmierigeren Exploit-Brokern treffen. Technisch ist deren Programm im Allgemeinen exzellent und branchenführend, aber ethisch halten die sich außerhalb des für mich akzeptablen Bereiches auf. Das ist besonders schmerzhaft, weil ich viele der Leute dort kenne oder sogar mit ihnen befreundet bin.
Anyway. Die Keynote wurde von Halvar gehalten, der grundsätzlich einer der Guten ist und dem ich hoch anrechne, dass er dieser Crowd da überhaupt mit ethischen Überlegungen gekommen ist.
Die Struktur von dem Vortrag ist ein bisschen unglücklich, weil man online möglicherweise nach der Hälfte versucht ist, das Tab zuzumachen, weil man es nicht mehr aushält. Haltet aber durch, denn am Ende kommen (leider etwas kurz im Vergleich) die Contra-Argumente.
Und selbst wenn die nicht da wären, solltet ihr euch die Folien angucken. Und sei es bloß um zu verstehen, wie sich die Leute in der Exploit-Industrie ihre Arbeit rationalisieren. Das sind die Leute, von denen die NSA ihr EternalBlue einkauft.
Die Folie, die mich persönlich am Stärksten getroffen hat, war Folie 35. Solange solltet ihr mindestens durchhalten.
Wie einem Mitglied der AG KRITIS vertraulich zugetragen wurde, hätte die Citrix-Sicherheitslücke bereits einige Tage oder Wochen vor der ersten Meldung von Citrix am 17.12.2019 an das BSI gemeldet werden können. Mitarbeiter eines DAX30-Konzerns hatten schon früher Kenntnis über die Sicherheitslücke erlangt – entschieden sich aber, diese nicht dem BSI zu melden. Mangels Vertrauen, dass diese Erkenntnisse nicht auch über das BMI an die Sicherheitsbehörden zur Ausnutzung gelangen würden!ACH NEE. Na sowas. Tja. Hätte uns doch nur jemand vorher gewarnt.
Seit wieviel Jahren bläst der CCC jetzt in dieses Horn? 10? 20? 30?
Nun kann man ja verschieder Meinung sein, ob der Staat bei kritischen Infrastrukturen seine Finger im Spiele haben sollte oder nicht. Man könnte aus zwei Gründen dagegen sein. Entweder man ist Marktfundamentalist und findet, der Markt solle das selber regeln. Oder man hat bei Snowden zugehört und will den Staat grundsätzlich raus haben aus allen Sicherheitsfragen in der Wirtschaft. Es ist schließlich bekannt, dass die Bundesregierung es sich im Rektum der USA bequem gemacht hat und denen wie ein Schoßhündchen alle Informationen gibt, die sie haben wollen, in der Hoffnung, dann von CIA und NSA über Terroranschläge informiert zu werden, die wir nicht hätten, wenn wir nicht den USA in ihre Kriege hinterherziehen und helfen würden.
Ich persönlich sehe daher die Meldepflichten der Kritis-Unternehmen sehr kritisch, weil das eben nicht alles sofort veröffentlicht wird. Dann könnte ich damit leben. Aber so? So ist das doch geradezu der Prototyp von privilegierten Informationen, an denen die Amerikaner mit GANZ großer Sicherheit genug Interesse haben, um da voll im Bild zu sein, wo die Schwachstellen ihrer "Verbündeten" liegen. Es ist mir unbegreiflich, wieso die Kritis-Firmen das einfach so schlucken. Immerhin reden wir hier von dem Land, das als erstes und bisher einziges im Ausland Cyberwar durchgeführt hat, mit dem Ziel Dinge kaputtzumachen. Im Iran. Stuxnet. Ihr hörtet vielleicht davon.
Es ist mir auch unbegreiflich, wieso die Kritis-Unternehmen diesen Scheiß nicht selbst geregelt kriegen! Stattdessen fahren die alle Windows und Outlook und Active Directory und wundern sich dann über Emotet und Eternalblue. Patchen hält niemand für nötig.
Ja und dann weiß ich auch nicht. Vielleicht ist das ja einfach Schicksal. Vielleicht haben wir den Untergang einfach verdient. Das ist der Totmannschalter der Evolution. Wenn die Spezies zu mächtig wird, richtet sie sich durch technische Inkompetenz selber zugrunde.
Es gibt mehrere interessante Aspekte an der ganzen Sache.
Erstens: Der Code sah sauber aus. Das war ein Logik-Bug. Der Code sah richtig aus. Man musste wirklich die Materie verstanden haben, um zu verstehen, dass es da ein Problem gibt. Kudos an die NSA, dass sie das überhaupt gesehen haben.
Zweitens: Es hieß initial, der Bug ginge 20 Jahre oder so zurück. Das stimmt wohl doch nicht. Der Bug wurde 2015 eingebaut. Das finde ich ja nun wieder hochinteressant. Denn wir reden hier von ECDSA. ECDSA war damals schon angeschossen, weil es so fragil ist, und es so einfach ist, damit einen Totalschaden zu produzieren. Die Playstation war über ihr DSA gehackt worden. djb hatte bereits mit explizitem Hinweis auf die Fragilität von ECDSA und den NIST-Kurven seinen Gegenvorschlag Ed25519 publiziert. Und unter diesen Umständen haben die den Code nochmal angefasst und ihn schlimmer gemacht. Dazu muss man wissen, dass Krypto-Code so der am wenigsten volatile Code überhaupt ist. Alle sind sich bewusst, wie kritisch da jedes Bit und jeder CPU-Zyklus ist, und keiner will da irgendwas anfassen. Das ist auch bei Microsoft so. Insofern wollte ich das alles erstmal gar nicht glauben. Allerdings gibt es einen Grund, doch den Krypto-Code anzufassen, nämlich wenn sich die Spec ändert, oder man noch einen Aspekt aus der Spec implementieren muss, den man vorher nicht supported hat.
In diesem Fall war das das Feature, dass im Handshake die Kurvenparameter übertragen werden, und nicht bloß die paar hart eingebrannten NIST-Kurven verwendet werden können.
So und jetzt kommt der echt peinliche Teil. Hier ist die Spec. Die sagt ausdrücklich:
implicitCurve and specifiedCurve MUST NOT be used in PKIXundspecifiedCurve, which is of type SpecifiedECDomain type (defined in [X9.62]), allows all of the elliptic curve domain parameters to be explicitly specified. This choice MUST NOT be used.Verschwörungstheoretiker wären jetzt vielleicht geneigt, hier von einer Bugdoor zu sprechen, also eine Backdoor, die wie ein Versehen aussieht.Bleibt die Frage, wieso die NSA das publik macht. Den einen Grund dafür kann man gerade gut beobachten. Die lassen sich als Helden feiern. Zum ersten Mal in ihrer Geschichte haben sie etwas Positives gemacht. Und einige Deppen glauben ihnen jetzt vielleicht sogar ihr Blablah, dass sie eine neue Seite aufschlagen wollen und ab jetzt wichtige Lücken nicht ausnutzen sondern melden wollen. Das ist natürlich absurd.
Ich glaube ja, die NSA hat das gemeldet, weil ihr eigener Arsch gefährdet war. Die NSA hat nämlich in den USA eine Doppelrolle und erledigt auch den Teil mit, den bei uns das BSI separat macht. Die schreiben die Anforderungsdefinitionen für Militär und Behörden. Und da haben sie reingeschrieben, dass Elliptische Kurven total geil und sicher sind, als bei uns noch Rüdi auf dem Congress gewettert hat, was das für eine unbewiesene spekulative Voodoo-Technologie sei, und dass man lieber bei RSA bleiben soll. Die haben sich damals ziemlich fett auf elliptische Kurven committed, und das Militär ist ihren Empfehlungen gefolgt. Microsoft hat Support für elliptische Kurven überhaupt nur eingebaut, soweit ich weiß, weil die NSA das den Behörden in die Anforderungen geschrieben hatte, und Microsoft gerne weiter Behörden beliefern können wollte.
Wenn jetzt also rauskommt, dass es einen Bug gibt, in einem von der NSA empfohlenen "sicheren" System, das der inhärenten Fragilität des Systems geschuldet ist, dann beschädigt das den Ruf der NSA.
Übrigens, bei solchen Bugs müsst ihr immer einen Spruch im Hinterkopf behalten: Wenn schon das A-Team solche Fehler hat, wie sieht dann erst der Code des B-Teams aus?
Ich behaupte daher: Das Verhalten der NSA ist ohne plötzlich aufkeimenden Altruismus zu erklären.
Update: Die Details sind jetzt draußen. Offenbar prüft Windows X.509-Zertifikatsketten nicht ordentlich, wenn die Elliptische Kurven verwenden. Elliptische Kurven sind bei X.509 schon recht lange spezifiziert, aber werden m.W. bisher noch eher wenig tatsächlich verwendet. Das liegt vor allem daran, dass die CAs für ihre Root-Zertifikate relativ lange Lebensdauern vergeben. Die NSA, die diesen Bug gefunden hat, ist allerdings fast von Anfang an ein Proponent von ECC, insofern verwundert es nicht, dass sie diesen Bug gemeldet haben. Ob dieser Bug jetzt auch greift, wenn nur ein Teil der Zertifikatskette ECC ist, weiß ich nicht. Das ist für Krypto ein ziemlicher Totalschaden, insofern spielt alle schnell den Fix ein. Konkrete Auswirkungen wären übernehmbare TLS-Verbindungen und fälschlich als signiert erkannte Malware.
Die Contentmafia hat der Jury erzählt, dass ihnen 23 Fantastilliarden Dollar pro Sekunde Schaden entsteht, weil Cox nicht allen Raubmordkopiererpiraten unter ihren Kunden sofort auf Zuruf den Vertrag kündigt. Und die Jury hat dafür gestimmt.
Mich hat das an ein Bit von Lewis Black erinnert, aus dem Jahre 2000, in einem Comedy Central Special. Es geht darum, wie beschissen das Schulsystem in den USA ist. Hier gibt es das Zitat:
You have any idea how bad a school system's gotta be to be 50th? Alabama was 47th, and this was three years ago, and the people of Alabama were so upset about the fact that their school system was terrible that the people of Alabama sued the state... which means the people of Alabama sued themselves. They said, (pokes himself in the forehead) 'I'm taking your ass to court! And I'm gonna squeeze your nuts, Bubba! You'll never have a proper dental plan again!'Genau so war das hier auch. Nur dass sie nicht sich selbst sondern ihren ISP bestraft haben, der entweder pleite geht und dann haben sie kein Internet mehr, oder er legt die Kosten auf die Kunden um. In beiden Fällen haben sie im Effekt doch sich selbst bestraft.Das ist halt der Nachteil von Jury-Systemen. Wenn du da zufällige Elemente der Gesellschaft rausziehst, dann werden das eher nicht die überdurchschnittlich intelligenten sein.
Dieses Gericht war übrigens ein Circuit Court, das ist sowas wie bei uns das Landgericht. Schon eine höhere Instanz aber es ist noch Luft für eine Berufung, die Cox schon angekündigt hat.
Das Gericht war nicht in Alabama sondern das war einer er Circuit Courts von Virginia. Sie sagen nicht welcher, aber wenn ich mal raten müsste: Der, der auch gerade beschlossen hat, dass Snowden den Erlös für sein Buch nicht ausgezahlt kriegen darf, weil er den Inhalt nicht erst mit der NSA und der CIA gegengecheckt hat. Oder vielleicht war es der, der entschieden hat, dass Chelsea Manning weiter in Beugehaft bleiben muss, weil sie Julian Assange nicht anschwärzen will. Virginia ist bekannt für ihre großartige Gerichtsbarkeit.
Bundeswirtschaftsminister Peter Altmaier hatte in der ARD-Sendung "Anne Will" einen Vergleich zwischen den USA und China gezogen und bezog sich dabei auf die NSA-Affäre. Er sagte: "Auch die USA verlangen von ihren Firmen, dass sie bestimmte Informationen, die zur Terrorismusbekämpfung nötig sind, dann mitteilen."Das konnte Trumps Mann fürs Grobe, der Botschafter Grenell, nicht auf sich sitzen lassen, hat aber inhaltlich nichts beizutragen. Da bleibt dann nur theatralisches Rumgepose. Und das ist so episch, dass ich das hier mal zitieren möchte:
"Die jüngsten Äußerungen hochrangiger Vertreter der deutschen Regierung, die Vereinigten Staaten seien vergleichbar mit der Kommunistischen Partei Chinas, sind eine Beleidigung für die Tausenden amerikanischen Soldatinnen und Soldaten, die dazu beitragen, die Sicherheit Deutschlands zu gewährleisten", hieß es in einer Erklärung Grenells. Zudem sei es eine Beleidigung für Millionen Amerikaner, die sich für ein starkes westliches Bündnis einsetzten.Stimmt. Die Chinesen haben noch nie eine Atombombe gegen ein anderes Land eingesetzt. Bei den Häftlingen pro Bevölkerung ist die USA führend, China bloß Platz 134. China führt auch keine Ölkriege und drohnt keine Terroristen in anderen Ländern tot. Es wäre absurd, da von moralischer Äquivalenz zu reden!...
Grenell sagte, mit der Äußerung würden auch Millionen chinesische Bürger beleidigt, "denen grundlegende Freiheiten verwehrt und die zu Unrecht von der Kommunistischen Partei Chinas inhaftiert werden". Die USA und Deutschland müssten stattdessen zusammenarbeiten, um Bedrohungen zu benennen, die die Demokratie untergraben würden. "Zwischen China und den Vereinigten Staaten gibt es keine moralische Äquivalenz und jeder, der dies behauptet, ignoriert die Geschichte - und wird sie zwangsläufig wiederholen."
Ist zwar richtig, dass Krypto selten angegriffen wird, aber gerade bei TPMs und Smartcards hatten wir echt ernsthafte Fälle von ranziger Krypto:Das ist nur ein Beispiel des Fehlers, da waren nicht nur TPMs, sondern auch SmartCards, Yubikeys und ähnliches betroffen. Gerade weil diese Chips so klein sind, und da irgendwie nur ein kleines Team von Leuten ohne besonders große Expertise dran rumbastelt, und es da keine sauber geauditete freie Software gibt, die das erledigt, ist das alles noch mal um ein paar Größenordnungen ranziger als sonst.
FIDO2 hat wohl auch deshalb auch auf RSA verzichtet, aber eine elliptische Kurve gewählt, die bei DJB definitiv als nicht trivial sicher implementierbar aufgelistet ist. Warum macht man sowas? Die NIST-Kurven mit ihrer NSA-Vergangenheit sind eh nicht besonders zu empfehlen. Nicht nur deshalb, sondern, weil da viele Details unnötig komplex sind.
Als jemand, der in der Donna-Implementierung von ed25519 erst mal zwei Löcher beseitigen musste (1. kein Constant-Time Diffie-Hellman-Exchange — das war in der Referenz-Anwendung nicht verlangt, aber ist ein sinnvolles Primitive, 2. Secret Keys werden auf dem Stack zurückgelassen und nicht gelöscht — das ist ein Standard-Faux-Pas, den man fast überall findet) kann ich nur sagen, dass Krypto halt doch schwer ist.
Mein Pet Peeve an FIDO2 ist, dass sie sich gar keine Gedanken über Recovery gemacht haben. Wenn das Token weg ist, ist der Zugang weg. Ich denke, die haben sich deshalb keine Gedanken gemacht, weil es ja diese herrliche Passwort-Zurücksetzen-Funktion über E-Mail gibt. Solange es das gibt, ist der Verlust des Tokens natürlich beherrschbar.
Aber dafür ist dann der Verlust des E-Mail-Accounts wieder die gleiche Katastrophe wie bisher auch schon. Ne, Leute! Und dass der E-Mail-Account natürlich auch mit dem Token abgesichert sein sollte, das hat sich von den Hirnwichsern keiner gedacht, oder?
Am Grundprinzip Pubkey-Authentication finde ich jetzt übrigens alles richtig.
Das ist ok so.
Dasselbe wie ich?
To be clear, the issue is not with the ethereum code used as a basis for the platform. The encryption used in the Moscow system, the researcher said, is a variant of ElGamal and uses keys that are “less than 256 bits long.”Zum Vergleich: In den 90ern, als man GnuPG mit ElGamal machte, weil elliptische Kurven noch als Teufelszeug der NSA galten, da war das untere Limit 768 Bits. Weniger hat einen GnuPG gar nicht eingeben lassen.Die Moskauer Gruppe hinter dem Protokoll sagt jetzt, das sei bloß die Testphase gewesen und in der echten Wahl wollen sie 1024 Bit machen. Finde ich wenig überzeugend.
Nun bin ich kein Freund von systemd, aber in diesem Fall haben die bloß eine dokumentierte Instruktion namens rdrand aufgerufen, um sich Zufallszahlen von der Hardware geben zu lassen. Dafür ist eigentlich eine Kernelabstraktion da, die systemd hätte verwenden sollen, dann wären sie jetzt nicht "Schuld" gewesen. /dev/urandom oder getentropy sind der bessere Weg.
Aber daraus, eine Instruktion aufzurufen, kann man ihnen keinen Strick drehen.
Das Problem ist schon länger bekannt und scheint irgendein Initialisierungsproblem bei Ryzen zu sein, wo irgendwelche Prozessor-Status-Flags nicht ordentlich gesetzt werden beim Booten. Das ist im Moment alles Spekulation, aber so sieht es aus, und wenn das stimmt, dann ist das mit einem Bios-Update zu reparieren. Da muss man sich aber schon fragen, wieso AMD ihre Validierung so verkackt. rdrand ist eine für eine Menge Sicherheits-Dinge absolut kritische Instruktion. Alle möglichen Krypto-Protokolle und -Verfahren brauchen Zufallszahlen. rdrand setzt ein Flag, ob es erfolgreich war, und liefert dann einen Wert. Bei AMD setzt es das Erfolg-Flag aber liefert immer alle Bits gesetzt zurück im "Zufallswert". Das ist der Worst fucking Case für diese Instruktion. Die meisten weniger guten Krypto-Implementationen werden keine Prüfung haben, ob der Zufall auch wirklich zufällig ist.
Der einzige Grund, wieso das nicht ein Total-Desaster ist gerade, ist dass eh niemand dem ursprünglichen Intel-rdrand vertraut hat, weil die NSA gerade ein Snowden-Vertrauensproblem hatte und der Zufallszahlengenerator der offensichtliche Geheimdienst-Angriffsvektor auf Open Source Kryptosysteme ist. Daher nimmt der Kernel das auch nur zusätzlich zu anderen Zufallsquellen in /dev/urandom. Hätte systemd also den Zufall vom Kernel bezogen, wäre alles gut gewesen. Auf der anderen Seite hätten wir dann vielleicht gar nicht von diesem Bug gehört. Insofern bin ich systemd doch dankbar. Und bin froh, dass meine Distro nicht auf systemd basiert :-)
Immerhin erfahren wir in dem Bericht, wieso der Exploit EternalBlue heißt: Weil der anfangsnicht zuverlässig war und so viele Blue Screens produziert hat.
Ich muss bei diesen Schlangenöl-Hersteller-Behauptungen über "APT" und Malware-Attribuierung immer an Kreml-Astrologie denken. Die machen Astrologie nicht nur mit Dingen, die sie nicht wissen, sondern auf der Ableitung von etwas, das sie nicht wissen.
Letztlich ist es ja auch egal, welcher Geheimdienst jetzt welche Lücke hatte. Wichtig ist, dass Geheimdienste die Lücken für Angriffe nutzen und nicht dem Hersteller melden und damit die Sicherheit der gesamten IT-Infrastruktur kompromittieren.
Hätte uns doch nur jemand frühzeitig gewarnt!!1!
Und tatsächlich ist Vorsicht geboten. Wer das Teil im Debug-Modus startet, öffnet einen Debug-TCP-Port — nicht an localhost sondern ins ganze Netz! Und über den Port geht by design Remote Code Execution.
Ja super, liebe NSA!
Der frühere irische Premierminister Enda Kenny soll demnach zugesagt haben, seinen "bedeutsamen Einfluss" über die Ratspräsidentschaft zu nutzen, um die im Raum stehende Verordnung im Sinne Facebooks abzuschwächen.Früher klingt jetzt so, als sei der da schon berentet gewesen. Nein. Der war bis 2017 im Amt.
Die rektale Bohrtiefe hat sogar Facebook überrascht.
Das Zugeständnis des konservativen Politikers von der Insel wertete Facebook damals als außerordentlich, da eigentlich vorgesehen sei, dass "Irland technisch gesehen in einer neutralen Rolle bleiben sollte".Und das waren nicht bloß Ankündigungen. Kenny hat geliefert.
Zugleich lobte [Sheryl Sandberg] den Konservativen für seine "Führungskraft" während der Ratspräsidentschaft. Rund um die DSGVO "haben Sie und Ihre Mitarbeiter wirklich unsere Bedenken übernommen und auf vernünftige Weise dargelegt".Nur als Facebook sich besorgt zeigte, dass der neue Datenschutzbeauftragte auf die Idee kommen könnte, gelegentlich zur Arbeit zu erscheinen, hat Irland nicht die volle Punktzahl gekriegt beim Kundendienst.
Sandberg zeigte sich demnach auch besorgt, für den scheidenden irischen Datenschutzbeauftragten Billy Hawkes einen passenden Ersatz zu finden. Dieser hatte es unter anderem abgelehnt, eine Beschwerde des österreichischen Bürgerrechtlers Max Schrems zu untersuchen, dass durch den Datentransfer von Facebook in die USA die Abhörtätigkeiten der NSA erleichtert würden.[...]JA SO HABEN WIR ABER NICHT GEWETTET, Irland!1!!Die neue Amtschefin Helen Dixon betont immer wieder, dass durch die Bank die Ressourcen der Einrichtung erhöht sowie mehr Mitarbeiter eingestellt und geschult worden seien. Aktuell führt die Behörde sieben Verfahren gegen Facebook.
Die Botschaft ist in UK angekommen. Oh und aus Geheimdienstbeobachtersicht ergibt sich da eine interessante Perspektive! Aus Chinas Sicht ist es ein großer Sieg, wenn sie die Five Eyes zum Streiten bringen können. Das ist der dunkle Geheimdienst-Pakt, der die ganze Welt abschnorchelt. Jedes bisschen Sand im Getriebe ist für jedes betroffene Land ein Gewinn. Nachdem Neuseeland sich nicht von Chinas Bullying hat beeindrucken lassen, haben die sich das nächst-verwundbarste Land herausgesucht, und das ist in Brexit-Zeiten UK. China ist der fünftwichtigste Handelspartner von UK, und jetzt wo die Briten fürchten, ihre ganzen EU-Handelsabkommen zu verlieren, da wären die Chinesen umso wichtiger, weil die im Allgemeinen eher unbürokratisch und pragmatisch sind, wenn es um Handel geht.
International ist das jetzt allerdings ein veritables Erdbeben. Wenn die Five Eyes es schon intern nicht schaffen, Huawei zu verbieten, wieso sollten sich dann andere Länder (wie Deutschland!) von den Amerikanern vorschreiben lassen, keine Huawei-Produkte einzusetzen?
Ich bin mir ziemlich sicher, dass in den USA gerade nächtliche Krisensitzungen anberaumt werden.
Nun, das war natürlich nur PR.
Ben Rhodes, damals Vizesicherheitsberater von Präsident Barack Obama, wird vom Spiegel mit den Worten zitiert, Merkel sei nur verärgert gewesen, weil für sie "ein PR-Problem" in der deutschen Öffentlichkeit entstanden sei. "Nicht wegen des Abhörens selbst."SO TIEF steckt die CDU im Hintern der USA fest.
Erstmal, rein technisch: Nein, 5G ist nicht gefährlicher. Inhaltlich ist "5G" eh praktisch vollständig Marketing-Geblubber. Das ist im Wesentlichen die identische Technologie wie LTE, aber das Frequenzspektrum soll langfristig erweitert werden. Ihr solltet generell alle, die euch was von "soundsovielte Generation" erzählen, als Marketing-Idioten betrachten, die euch über den Tisch zu ziehen versuchen (nicht nur bei Mobilfunk, auch Intel macht das bei ihren Prozessoren). Das ist Bauernfängerei. Richtet euch nach dem technischen Details, nicht nach irgendwelchen nebulösen "Generation"-Ansagen. Seriöse Anbieter benutzen solche Terminologie nicht.
Dass das jetzt bei 5G so hochkocht, liegt daran, dass Chinas Strategie funktioniert. Die haben in praktisch allen Hochtechnologiesparten den Markt komplett übernommen, indem sie billiger fertigen als alle anderen, einen riesigen Markt haben, und ausländischen Marktteilnehmer zwingen, bei Produktion in China einen chinesischen Partner im Boot zu haben. Daher haben praktisch alle westlichen Tech-Unternehmen mit Fertigung Joint Ventures in China. Huawei hatte ein Joint Venture mit 3com, einem Konkurrenten von Cisco. Als die Kooperation fertig war, hat Huawei die Rechte am Code gekauft und die restlichen rauchenden Trümmer an HP weiterverscheuert. Es gab dann irgendwann ein Gerichtsverfahren von Cisco gegen Huawei, die hätten von ihnen den Code geklaut. Hier ist die Heise-Meldung von damals. Die Auflösung von dem Verfahren war, dass Huawei diese Reihe von Routern eingestellt und nur noch die aus dem 3com-Joint-Venture verkauft hat. Das wurde damals von vielen Beobachtern als Eingeständnis gewertet, dass die beanstandeten Router tatsächlich von Cisco geklauten Code drauf hatten. Ich habe da keinen Codevergleich angestellt und kann das daher nicht beurteilen, aber die Ähnlichkeiten waren wohl echt überwältigend, inklusive von Bugs bei Huawei, die Cisco in ihrem Fork schon gefixt hatte.
Jetzt bietet sich natürlich eine schöne Verschwörungstheorie an: Der Westen hat kein Problem mit Huawei, solange deren Code auf kopierten Westcode basiert, wo die Dienste die Sicherheitslücken kennen oder selber eingebaut haben, aber die erste Generation von Huawei-Produkten, die auf eigenem Code entwickelt, da werden die plötzlich nervös.
Das passt zwar zeitlich halbwegs, aber wie ich anderenorts schon schrieb: Huawei ist mit ihrem Quellcode sehr offen und lässt diverse Regierungen reingucken. Westliche Dienste sollten kein Problem haben, auch da Sicherheitslücken zu finden, wenn sie nur ein bisschen gucken. Huawei ist nicht für ihre überdurchschnittlichen Security-Fähigkeiten bekannt (wobei das Niveau aber generell eher niedrig ist in der Branche).
Ich glaube, das kocht jetzt so hoch, weil die Strategie ist, jetzt anlässlich der drohenden Milliarden-Investitionen für den "5G-Ausbau" einen Präzedenzfall für "Huawei geht gar nicht" zu schaffen und dann den Austausch der ganzen alten Huawei-Infrastruktur für die älteren Standards zu erzwingen. Für mich sieht das alles wie ganz normale Industrieförderung der Amerikaner aus, natürlich mit dem schönen Seiteneffekt, dass die Welt dann amerikanische Produkte einsetzt, bei denen die NSA die Exploits schon fertig in der Tasche hat.
Update: Das stimmt nicht ganz, dass 5G und LTE dasselbe sind. Es gibt schon Änderungen. Das Signaling wird von Diameter auf JSON+HTTP/2 umgestellt. Das eröffnet ganz neue Angriffe, weil das existierende Tooling für Angreifer besser ist.
you can call somebody via FaceTime and listen to their phone’s microphone regardless of whether the person you’re calling picks up.Das passiert wohl, wenn man während des Verbindungsaufbau auf Konferenz-Modus umschaltet.Klingt wie ein feuchter Traum der NSA, nicht wahr?
In den anderen Arbeitsfeldern rüstet ZITiS ebenfalls auf, wobei zwei besonderes Gewicht erhalten. Im Bereich der Digitalen Forensik forscht und entwickelt ZITiS unter anderem an „Passwortsuche“ und der „Auswertung von Smartphones“. Bisher haben Polizeibehörden sieben verschiedene Software-Tools gekauft, um beschlagnahmte Mobilgeräte auszulesen. Dieser Wildwuchs soll bei ZITiS vereinheitlicht werden.Da weißte doch, wofürde Steuern zahlst!
Nicht dass das am Ende eine Legende für eine NSA-Operation war.Wenn man Erich Möchel glaubt, und das sollte man erfahrungsgemäß immer tun, dann war ich damit recht nahe an der Wahrheit:
Hype um „chinesische Spionagechips“ kommt vom Pentagon
Und da war jetzt ein Chip verbaut, der da nicht hin gehörte. Das fand ein Dienstleister raus, den Amazon mit Due Diligence beauftragt hatte, weil sie eine Firma namens Elemental kaufen wollten, die Video-Kompression als Appliance anbot.
Amazon reported the discovery to U.S. authorities, sending a shudder through the intelligence community. Elemental’s servers could be found in Department of Defense data centers, the CIA’s drone operations, and the onboard networks of Navy warships. And Elemental was just one of hundreds of Supermicro customers.Und das war anscheinend keine kleine Operation, die die Chinesen da gefahren haben.The chips had been inserted during the manufacturing process, two officials say, by operatives from a unit of the People’s Liberation Army.Leider sagen sie nicht, welche Firma da Due Diligence gemacht und die Chips gefunden hat. Das würde mich ja mal interessieren, WTF das für ein Laden ist, und was da für Leute sitzen, dass die sowas erkennen können. Nicht dass das am Ende eine Legende für eine NSA-Operation war.Wisst ihr noch, wie alle über Dragos gelacht haben, als der behauptete, von Geheimdiensten mit airgap-bridging Hardware-Trojanern infiziert worden zu sein?
Update: Oh Mann, dabei ist die Lösung so einfach! (Kontext)
Update: Bloomberg hat von allen Betroffenen umfangreiche Dementis erhalten. Die sind inhaltlich ziemlich unwieselig und vollumfänglich. Wirkt ein bisschen, als hätte Bloomberg sich das komplett aus dem Arsch gezogen.
DNS hat zwei große Probleme. Erstens dass jeder auf dem Weg die Anfragen und Antworten sehen kann. Und zweitens dass man falsche Antworten auf anderer Leute Anfragen schicken kann.
Das erste Problem ist zwar doof, aber nicht verheerend. Das liegt daran, dass man für die DNS-Auflösung normalerweise den DNS-Server des Internet-Providers nimmt, und der kann eh sehen, mit welchen IP-Adressen du redest. Der gewinnt also nicht so viel, und mit dem hast du ein Vertragsverhältnis und das ist eine deutsche Firma und die unterliegt dem deutschen Datenschutz. Nicht ideal aber auch kein Beinbruch. Und wem das nicht reicht, der kann sich einen eigenen DNS-Resolver irgendwo hinstellen und selbst betreiben. Dann muss man aber ein VPN zu dem benutzen, sonst kann der ISP immer noch alles sehen.
Ja aber Fefe, der BND könnte doch Kabel Deutschland hacken und die DNS-Daten abschnorcheln! Ja, könnte er, aber er müsste dann alle ISPs hacken, um an alle DNS-Daten ranzukommen. Wenn ihr 1.1.1.1 oder 8.8.8.8 verwendet, dann muss die NSA nur diesen einen Anbieter hacken und hat alle DNS-Daten von allen Leuten auf der Welt. Macht das also nicht!
Das zweite Problem, dass jemand falsche Antworten unterschieben kann, wird vollständig von TLS gelöst.
Warum spreche ich das an? Weil Heise gerade Propaganda fährt, DNS sei so unsicher, und man möge doch JSON über HTTPS zum Auflösen von Namen nehmen. Dazu kann ich nur sagen: NEEEEIIIINNNNN! Der Feind von Sicherheit ist Komplexität. Einen DNS-Resover kann man in ein paar hundert Zeilen Code schreiben. Ich weiß das, weil ich es getan habe. Ein JSON-über-HTTPS-Client sind 5-6stellig viele Zeilen Code.
Und das noch größere Problem: Firefox hat das gerade in ihren Browser eingebaut. Und zwar so, dass die Anfragen über Cloudflare gehen. NEEEIIIINNNN!!!! Damit ist Cloudflare ganz oben auf der Liste der für die NSA interessanten Firmen, und da könnt ihr mal einen drauf lassen, dass die die DNS-Daten da abgreifen werden. Zur Not nicht per Hack sondern per National Security Letter.
Was also tun? Nun, Option 1: Das wegkonfigurieren bei Firefox. about:config, nach trr suchen, network.trr.mode auf 5 setzen.
Option 2: Eigenen DNS-over-HTTPS-Server betreiben. Kann man machen. Hier ist eine solche Software in Rust. Das Kosten-Nutzen-Verhältnis stimmt aber aus meiner Sicht nicht.
Hier ist ein aktueller Blogpost dazu.
Ich finde es höchst bedauerlich, wie Firefox mit solchen Geschichten weiter Krieg gegen ihre User führt. An die Werbe-Add-Ons und die extern gehostete Addons-Seite mit Google Analytics erinnert ihr euch ja sicher noch alle. Und an die tolle Idee, Werbung auf der New-Tab-Seite einzublenden? Mann Mann Mann, Firefox. Was denkt ihr euch bloß!
Update: Das betrifft im Moment nicht die Stable-Version. Offizieller Doku.
Update: Nachdem Golem und Heise hierauf linken, ist es vielleicht an der Zeit, Gegenforderungen aufzustellen. Meine Forderung ist ganz einfach: Weniger Komplexität. Komplexität ist der Feind. Die Anzahl der Bugs steigt mit der Codegröße. Die Leute stöpseln heute nur noch Komponenten aus Libraries zusammen. Das ist Schönwetter-Programmieren! Ein Programm, das nur beherrschbar ist, wenn es zufällig gerade gut funktioniert, ist wertlos. Wir brauchen Programme, die überschaubar wenig Dinge tun, und dafür vollständig beherrschbar sind. Am besten nicht nur vom Programmierer, sondern auch vom Benutzer. Die Geschwindigkeit, mit der wir uns mit unbeherrschten und unbeherrschbaren Technologien umzingeln, ist aus meiner Sicht ein Vorbote der Apokalypse.
Asimov beschreibt in seiner Foundation Serie eine Zukunft, in der die Menschheit selbst-reparierende Atomkraftwerke gebaut hat. Und als die fertig waren, starben die Leute aus, die die noch reparieren konnten, weil man sie nicht mehr brauchte. Nach vielen Jahren war die Selbstreparatur dann am Ende und es gab niemanden mehr, der die warten konnte.
So ungefähr machen wir das auch gerade. Nur dass wir den Schritt mit dem Selbstreparieren überspringen. Wir bauen direkt Dinge, die niemand mehr reparieren kann. Schlimm genug, wenn die Hardware heute so ist, aber das heißt doch nicht, dass die Software auch so sein muss?!
Mich macht besonders fertig, dass wir jetzt mit "KI" soweit sind, dass wir unwartbare Software absichtlich herbeiführen. Wie in einem Scifi-Film, wo die Aliens erst Hirnfresser-Parasiten schicken, damit die Zielrasse sich selbst kaputtmacht, und man für die Machtübernahme nicht mehr so viel Ressourcen aufwenden muss.
Other governments have separated mothers and childrenUnd dann ein Foto von Auschwitz.Und dann kommt dieses Highlight:
Civilization is a thin veneer that must be protectedOh, ach? Wenn sich jemand mit dem Schutz der Zivilisation auskennt, dann jemand wie Hayden, der für anlasslose Massenüberwachung verantwortlich war!Update: Muss man vielleicht anders herum sehen. Wenn selbst DER erkennt, dass das Unrecht ist, dann ist die Lage wirklich übel.
Warum Signal nicht dabei ist, kann ich euch nicht sagen, aber ich kann euch sagen, warum ich das an deren Stelle möglicherweise boykottiert hätte: Mitautor ist Eric Rescorla, aktuell bei Mozilla. Ja und? Mozilla sind doch die Guten? Und Der Rescorla hat doch auch schon bei der TLS-Arbeitsgruppe mitgemacht?
Ja, aber. Ich war nicht dabei, insofern ist das jetzt alles Hörensagen. Gegen Rescorla gibt es mehr oder weniger konkrete Vorwürfe, er habe TLS so stark ausgebremst, dass man sich das nur noch über Fernsteuerung durch die NSA erklären kann. Siehe z.B. hier. Solange er sich zu der NSA-Backdoor nicht erklärt, würde ich den nicht im zehn-Meilen-Radius um mein neues Krypto-Projekt dulden. Bei TLS 1.3 war der auch beteiligt. Da bin ich auch gerade eher zurückhaltend deswegen.
Update: Wenn ihr euch übrigens gerade fragt, was James Clapper bei "The View" macht, einer belanglosen Talkshow, wo die Promis zum Bewerben ihrer neuen Filme und Bücher hinfahren: Er hat ein neues Buch draußen. "Facts and Fears: Hard Truths from a Life in Intelligence". Nein, wirklich! James "Alternative Fakten" Clapper schreibt ein Buch über Fakten und Wahrheit! Echt schade, dass wir die Fnord-Show beendet haben.
New hotness: Air Force "CYBERPATRIOT"-Kampagne wendet sich an Kinder.
Da kann die Navy ja nicht lange auf sich warten lassen. Oder haben die auch schon was?
New hotness: 1.1.1.1
Von der Performance her nehmen die sich nicht viel, beide antworten viel schneller als übliche DNS-Resolver von Internet-Providern.
Aber lasst euch mal nicht von dem "privacy-first"-Blablah täuschen. Das ist eine Behauptung, ein Versprechen. Google verspricht Ähnliches für 8.8.8.8.
Der DNS-Server kann alles sehen, was ihr an Anfragen ins Netz stellt, und sieht damit, was man seit Snowden bei Telefonen "die Metadaten" nennt. Wer seine DNS-Daten ohne Not in fremde Hand gibt, gibt damit seine Privatsphäre weitgehend auf.
Ich rate also entschieden davon ab, irgendeinen (gar zu einer ausländischen Organisation gehörende) DNS-Server zu verwenden — schon gar nicht aus Five-Eyes-Staaten.
OK, was sind die Alternativen? Den ISP-DNS benutzen. Das hat den Nachteil, dass die oft langsam sind, gerne mal ausfallen, und dass man möglicherweise auch nicht will, dass die Daten beim ISP anfallen. Letzteres kann man nur mit einem VPN verhindern (wobei dann der VPN-Endpunkt alle Daten sieht und zuordnen kann; auch nicht besser!) oder einem Anonymisierungsdienst wie Tor verhindern.
Ich persönlich betreibe einen eigenen Resolver in meinem Netz.
Man muss sich aber im Klaren sein, dass auch am Anfang einer TLS-Verbindung noch der Name der Site im Klartext dransteht, d.h. auch ohne DNS kann jemand, der den Traffic sieht, sehen, mit welchem Host du zu reden versuchst, selbst wenn hinter der IP ganz viele Sites hängen. Besserung war glaube ich für TLS 1.3 geplant, hier ist ein aktueller Draft dazu, aber scheint es nicht in den Standard geschafft zu haben…? Und das hat auch andere Probleme, wenn man das zumacht. Im Moment kann man einen Load Balancer bauen, der den TLS durchreicht, und der das richtige Backend am SNI erkennt (wo der gewünschte Servername steht), und dann wird der TLS im Backend terminiert. Das ist viel besser als wenn man den TLS im Load-Balancer terminiert und dann zum Backend unverschlüsselt kommuniziert. Ein Angreifer, der den Load Balancer übernimmt, kann dann alle Anfragen sehen.
Wenn man das beibehalten will, muss man sich ziemlich verbiegen. Ihr könnt ja selber man kurz in den Draft gucken.
Also, kurz gefasst: Seine DNS-Anfragen über irgendeine amerikanische Cloud-Klitsche routen, ist eine sehr schlechte Idee für eure Privatsphäre. Aber es selber zu machen hilft leider auch nicht so viel, wie man hoffen würde.
Ich finde bei sowas immer, dass man NSA und co ja nicht noch freiwillig entgegenkommen muss. Oh und richtig geil wäre das erst, wenn DNS verschlüsselt wäre. Es gibt da was mit TLS für DNS, aber das ist hochkomplex, eine riesige Angriffsoberfläche und erhöht die Netzwerklatenz deutlich. Cloudflare bietet das an. Aber das würde halt nur den Weg von euch zu Cloudflare schützen. Bei Cloudflare könnte die NSA immer noch alles abgreifen.
Update: Leser berichten, dass einzelne ISPs gar keinen DNS-Resolver mehr betreiben sondern ihren Kundern per DHCP 8.8.8.8 setzen. Das ist aus meiner Sicht ein starker Anreiz, sich schnell einen anderen ISP zu suchen.
Tja, und diese Versuche sind offenbar Rohrkrepierer geworden:
Facebook’s chief information security officer, Alex Stamos, will leave the company after internal disagreements over how the social network should deal with its role in spreading disinformation, according to current and former employees briefed on the matter.Mr. Stamos had been a strong advocate inside the company for investigating and disclosing Russian activity on Facebook, often to the consternation of other top executives
Eigentlich hat er schon im Dezember hingeworfen, aber sie haben ihn angewinselt, er soll noch bis August dableiben, weil wie sieht das denn sonst aus!1!! Was sollen denn die Leute denken!!1!Also haben sie sein Team dort ausbluten lassen und betreiben ihn jetzt im Andropow-Modus noch ein paar Monate weiter. Falls jemand die Story nicht kennt: Von Andropow erzählte man sich, er sei ein paar Monate nach Amtsantritt gestorben, weil es plötzlich keine neuen TV-Auftritte und Reden mehr gab. Offiziell war er von Krankheit gezeichnet und konnte nicht auftreten, aber zumindest in Westberlin raunte man sich zu, dass er gestorben sei und man aus kosmetischen Gründen jetzt noch sein Leiche durch die Gegend fahre, damit es aussehe, als hätten sie noch eine Regierung da.
He was persuaded to stay through August to oversee the transition of his duties because executives thought his departure would look bad, the current and former employees said. He has been overseeing the transfer of his security team to Facebook’s product and infrastructure divisions. His group, which once had 120 people, now has three, the current and former employees said.Wie übel.
Toller Fnord am Rande:
The American was able to identify a hacker in Germany who claimed to have access to some of the stolen data believed to be held by the Shadow Brokers, and who accurately provided advance notice of several Shadow Broker data releases. The hacker’s cooperation with the U.S. intelligence community broke down over his demands for full immunity from U.S. prosecution for his hacking activities — negotiations that failed largely because the hacker refused to provide his full personal identification to the Americans.HAHAHAHA
Für mehr Ehrlichkeit in der Werbung!
The National Security Agency destroyed surveillance data it pledged to preserve in connection with pending lawsuits and apparently never took some of the steps it told a federal court it had taken to make sure the information wasn’t destroyed, according to recent court filings.Bestimmt auch aus Datenschutzgründen!Dass denen überhaupt noch jemand glaubt, dass sie turnusmäßig Daten vernichten, nachdem dieses unfassbare Monster-Rechenzentrum in Utah gebaut wurde…
Money Quote:
Bug in early-loaded module, so ME "disabling" by HAP is not a cureDie NSA ist auch betroffen! MWAHAHAHAHA (Danke, Mathias)
This includes scenarios where a successful attacker could:Impersonate the ME/SPS/TXE, thereby impacting local security feature attestation validity.
Load and execute arbitrary code outside the visibility of the user and operating system.
TXE ist die Trusted Execution Engine. Intel hatte einen Job. Einen. Und den haben sie so massiv verkackt, dass ich insgeheim ein bisschen hoffe, dass dieser ganze unvertrauenswürdige Rotz in Zukunft optional sein wird. Ich sehe jedenfalls nicht ein, die Komponente zu bezahlen, über die mich die NSA ownt.
Bei der Backdoor handelt es sich Kaspersky zufolge um die Mokes Backdoor, über die Dritte auf den Computer des NSA-Mitarbeiters hätten zugreifen können. Das hätte zum Beispiel passieren können, als die Sicherheitssoftware von Kaspersky auf dem Computer deaktiviert wurde, um eine Microsoft-Office-Version mittels eines Keygen illegal zu aktivieren. Ob so wirklich Dritte auf den Computer zugreifen konnten, ist Kaspersky zufolge jedoch unmöglich festzustellen.Mal abgesehen von dem Comedy-Faktor, dass ein NSA-Mitarbeiter eine Raubkopie von MS Office per Keygen aktivieren will, und dass ausgerechnet Kaspersky bei dem NSA-Mitarbeiter dann eine Backdoor findet, müssen wir doch mal über das Detail reden, dass Kaspersky sehen kann, dass der einen Keygen für Office gestartet hat, während ihre Software ausgeschaltet war. Selbst wenn die Software angeschaltet ist, … wieso würden die solche Daten überhaupt erheben und dann noch jahrelang speichern, so dass sie jetzt noch einen Report dazu veröffentlichen können?! (Danke, Manuel)
A company analyst who manually reviewed the archive quickly determined it contained confidential material. Within a few days and at the direction of CEO and founder Eugene Kaspersky, the company deleted all materials except for the malicious binaries.Sie sagen, sie bräuchten ja die Quellen auch gar nicht für ihre Arbeit. Das stimmt zwar, aber erstens: Wer weiß, wie viele ihrer Malware-Techs da noch Zugriff hatten, und ob da jemand ein Backup gezogen hat. Zweitens: Aufgeflogen ist das ja, weil die Israelis bei Kaspersky im Netz waren. Wer weiß, wer da noch war. Und mit wem die Israelis das alles geteilt haben.Ich würde aber trotzdem Kaspersky keine Schuld geben. Deren Software hat genau das getan, was sie gesagt haben, das sie tun würde. Wenn jemand Kaspersky ein Päckchen mit Geheimdokumenten in den Briefkasten schickt, würde man ja auch nicht Kaspersky beschuldigen sondern den Leaker.
“They had operational insight that even most of my fellow operators at T.A.O. did not have,” said Mr. Williams, now with Rendition Infosec, a cybersecurity firm he founded. “I felt like I’d been kicked in the gut. Whoever wrote this either was a well-placed insider or had stolen a lot of operational data.”Das braucht ja auch eine besondere Art von "Patriotismus", seine Cyber-Firma dann nach den CIA-Folterflügen zu benennen. Krass.
The impact of exploiting these vulnerabilities includes decryption, packet replay, TCP connection hijacking, HTTP content injection, and others. Note that as protocol-level issues, most or all correct implementations of the standard will be affected.Und die Leute wundern sich immer, wenn ich lieber ein Ethernet-Kabel anschließe.Update: Das hier scheint das Paper dazu zu sein. Money Quote:
against AES-CCMP an adversary can replay and decrypt (but not forge) packets. This makes it possible to hijack TCP streams and inject malicious data into them. Against WPA- TKIP and GCMP the impact is catastrophic: packets can be replayed, decrypted, and forged. Because GCMP uses the same authentication key in both communication directions, it is especially affected.
Finally, we confirmed our findings in practice, and found that every Wi-Fi device is vulnerable to some variant of our attacks. Notably, our attack is exceptionally devastating against Android 6.0: it forces the client into using a predictable all-zero encryption key.
Update: Ich bin ja mal sehr auf die Erklärung von Google gespannt, wieso sie ein sichereres wpa_supplicant forken und ihre Version dann 00000000 als Key vergibt, wenn der Upstream das nicht tut. Wenn Microsoft früher bei sowas erwischt worden wäre, hätten alle laut NSA-Backdoor gebrüllt. Sorry, das war Blödsinn. Der Upstream-Code hat denselben Bug.
Update: Die Webseite dazu ist online. Und ja, sie haben ein Logo!
Na weil ihr Buddy Israel Kaspersky gehackt hat und da die NSA-Tools gefunden hat!
Das ist ja mal supergeil. Israel hackt Kaspersky, entdeckt dabei illegale Angriffstools der Amerikaner, aber Kaspersky sind jetzt die Bösen. Ja nee, klar.
Ich habe ja noch nie unter einer Seite kommentiert, die ihre Kommentarfunktion an Disqus outgesourced hat. Ein Cloud-Startup aus den USA? Das mich site-übergreifend tracken kann? Ja nee klar, da tu ich meine Daten hin!1!! GANZ sicher nicht.
Und wo wir gerade bei Enttäuschungen waren: Firefox kommt jetzt mit Cliqz-Datenmalware. Die haben echt den Schuss nicht gehört bei Mozilla. Euer Browser ist groß, lahm, bloated, feature-arm, euren Add-On-Vorteil habt ihr euch gerade mit dem Umstieg auf Webextensions weggeschossen, und in Sachen Codequalität und Security hinkt ihr Chrome hinterher. Gerade als es anfing, nach Hoffnung zu riechen, weil sie Browserteile in Rust nachbauen und die Servo-Engine kommt, da zerschießen sie sich wieder alle gesammelten Karmapunkte, indem sie ihren Kunden ungefragt diesen Pocket-Cloud-Bullshit reindrücken. Und jetzt das.
Ich versuche ja wirklich immer und immer wieder, Firefox ihren Scheiß zu verzeihen. Ehrlich! Aber DAS? Wenn ich eine Branche nennen sollte, der ich weniger als allen anderen Branchen traue, wenn es um meine persönlichen Daten geht, noch weniger als den üblichen Unterdrückungs-Regierungsprojekten mit Kameras und Flugdatenweitergabe, dann sind es die fucking Verlage! Cliqz ist von Burda. BURDA! WTF?!
Die NSA bemüht sich ja wenigstens noch nach Kräften, die erhobenen Daten nicht wegkommen zu lassen. Aber die Verlage? Zero fucks given! Was da an Werbe- und Tracking- und Optimierungsnetzwerken eingebunden wird, da qualmt der Adblocker! Und weil das immer noch nicht unseriös genug ist, versucht uns die Burda-"Publikation" "Focus" gerade auf der Hauptseite windige Investment-Tipps überzuhelfen. Und DENEN soll ich trauen, dass sie meine Daten schützen?! GANZ sicher nicht!
Update: Warum nenne ich Cliqz Datenmalware? Habe ich mir das näher angesehen? Nein.
Es kommt per Drive-By-Download. Das reicht schon. Dazu kommt: Es lädt meine Suchanfragen in die Cloud hoch, während ich sie tippe, bevor ich Return drücke. Das alleine würde auch schon reichen. Und in dem Bug-Eintrag bei Mozilla verteidigt das jemand damit, dass es ja nicht alle Mausbewegungen aufzeichne sondern bloß wie weit man die Maus bewegt hat. Das alleine hätte auch gereicht.
A spring discovery would mean the NSA became aware of the breach just weeks before two other significant security incidents for the agency: A cryptic group known as the ShadowBrokers starting to leak alleged NSA hacking tools online and contractor Hal Martin was arrested for hoarding classified information on his home computer.*raun* *gerücht*Meine Güte, muss die US-Schlangenölindustrie eine Angst vor Kaspersky haben, dass die sich zu solchen Schmierkampagnen genötigt sehen. Au weia.
Also wenn ich Kaspersky wäre, würde ich jetzt einmal alles verklagen, was nicht bei drei auf den Bäumen ist. Wenn das keine böswillige Geschäftsschädigung ist, dann weiß ich auch nicht.
Update: Washington Post dazu.
Wobei, wollen wir schon präzise bleiben:
Die Behörde sieht keine Anhaltspunkte, dass der US-Geheimdienst die BRD gezielt ausspioniert hat.Das "gezielt" ist dann wohl das Schlüsselwort an der Stelle.
Oh, wobei, das Dementi wird weiter unten noch überspezifischer!
Die Bundesanwaltschaft hat keine konkreten Hinweise auf illegale Spionage des US-Geheimdiensts NSA gegen die Bundesrepublik Deutschland gefunden.Wenn die NSA also nicht gegen die Bundesrepublik Deutschland sondern gegen Siemens spioniert, dann fiele das nicht darunter, oder wie?
Hey, warte, noch ein Dementi zur Auswahl!
Nach Angaben der Bundesanwaltschaft gebe es "keine belastbaren Anhaltspunkte dafür, dass US-amerikanische oder britische Nachrichtendienste das deutsche Telekommunikations- und Internetaufkommen rechtswidrig systematisch und massenhaft überwachen".Nee, klar ist das nicht rechtswidrig. Da haben die in ihren Ländern kein Gesetz gegen!
New hotness: Datenreichtum der NSA-Kryptoknackhardware-Dokumente über einen ungesicherten Rechner an einer Uni.
Die Dokumente dokumentieren "WindsorGreen", das Nachfolgemodell von WindsorBlue, über das in den Snowden-Dokumenten Andeutungen standen, daher ist das hier vermutlich echt.
Auf der Skala der paranoiden Bedrohungsszenarien, die sich Krypto-Leute seit Dekaden in endlosen Spekulationen über die NSA zurechtlegen, ist das ziemlich weit oben. Die haben da ASICs mit 30nm Strukturbreite am Start, eine Kooperation mit IBM. Der Vorgänger war noch 90nm. Und der Vorgänger hat noch DRAM verwendet, hier sind sie auf SRAM umgestellt. Das zeigt, dass es sich hier entweder um eine Verzweiflungstat oder ein "Geld spielt keine Rolle"-Szenario handelt, denn in normalen Computern wird SRAM für die Caches in der CPU verwendet, und für nichts größeres, weil es viel zu teuer wäre. Das zieht niemand auch nur in Erwägung. Cray hatte damals in ihren legendären Kisten SRAM als Hauptspeicher verbaut. Daher waren die auch so teuer.
Der Punkt ist jedenfalls: Wenn jemand zu mir käme, "Geld spielt keine Rolle, wir müssen Krypto knacken" sagt, dann wären das ungefähr die Rahmenparameter, die mir als unrealistische rechts-unten-Option einfallen würden. Ich will gar nicht wissen, was so ein Gerät kostet.
Scrollt mal ein bisschen runter. Da seht ihr eine Pixel-Art-Darstellung von einer Installation. Das ist eine Turnhalle, von der Größe her. Und das ist der Vorgänger des Vorgängers. Dieses Teil wird auch mindestens so groß sein.
Die gute Nachricht ist, dass das Angriffsmodell für Krypto-Algorithmen genau ein Laden ist, der solche Hardware bauen würde. Wenn ihr mindestens 2048-Bit RSA nehmt, und einen 256-Bit AES darüber, dann kann das auch so eine Maschine nicht mal eben brechen.
Aber wir wissen jetzt, dass sie es wirklich versuchen wollen. Die, die sich jetzt echt Sorgen machen sollten, sind Leute, die keine ordentlichen Passwort-Hash-Verfahren verwenden. Das ist in der Praxis so die schimmeligste Krypto-Eiterbeule, die man vorfindet. So "MD5 vom Password" oder so.
Übrigens ist Passwort-Hashing in den letzten Jahren explizit mit Verfahren wie scrypt oder Argon2 auf das Bedrohungsszenario ASIC eingegangen, und haben Verfahren entworfen, die viel RAM-Zugriffe haben. Denn das ist die Achilles-Sehne von ASICs. Diese Dokumente sind jetzt schon ein paar Jahre älter. ASICs können zwar Algorithmen beschleunigen gegenüber einer CPU, aber Speicherzugriffe sind immer noch langsam und man hat an ASICs im Allgemeinen Größenordnungen weniger Speicher als an normalen CPUs. Dieser Speicher-Faktor bei scrypt und Argon2 hat das Ziel, ASICs den Vorteil ihrer algorithmischen Beschleunigung nicht mehr ausspielen zu lassen. Die Frage ist jetzt, ob die NSA da genug SRAM verbaut hat, um solche Behinderungen zu kompensieren oder nicht.
Der BND hat ein System zur Überwachung des Tor-Netzwerks entwickelt und Bundesbehörden gewarnt, dass dessen Anonymisierung „unwirksam“ ist. Das geht aus einer Reihe geheimer Dokumente hervor, die wir veröffentlichen. Der Geheimdienst gab einen Prototyp dieser Technik an die NSA, in Erwartung einer Gegenleistung.Es sieht so aus, als sei der Ansatz eine Traffic-Korrelation. Das ist schon von Anfang an bekannt, dass man damit Tor angreifen kann, und steht auch im Tor-Design-Dokument.
Weshalb ich schreibe: was mir vor dieser Bundestagswahl fehlt, ist ein Fazit der Großen Koalition, bzw. eine Zusammenfassung der Arbeit von CDU/CSU/SPD. Ich suche ab und zu im Internet danach, werde aber nicht fündig. Es irritiert mich zutiefst, dass es anscheinend keine solche Zusammenfassung gibt. Die Bürger scheinen viel vergessen zu haben, und die Medien machen anscheinend sich nicht die Mühe, daran zu erinnern. Dabei wäre das jetzt sehr wichtig. Angeblich sind viele Wähler noch unentschlossen, und der Wahlkampf strotzt bisher nicht gerade vor Inhalten (bzw. wenn Inhalte auftreten, dann sind es oft vage Versprechungen, die der bisherige Arbeit der Parteien entgegenstehen). Was mich vor allem nervt, ist so ein Schrott wie das Kanzlerduell, wo nicht wenige Fragen auch noch so gestellt waren, als kämen sie von der AfD: man sollte die Partei wählen, die einen inhaltlich am besten vertritt, da interessiert es mich herzlich wenig, wie gut oder schlecht der Kanzler "performt"…Zur Autobahnprivatisierung würde ich ja noch das hier anmerken wollen.Zur Sache: Ich habe keinen Blog / keine Webseite. Könntest du (mit anderen zusammen) eine Zusammenstellung der GroKo-Arbeit sammeln und bereitstellen? Ich liste mal alleine die Sachen auf, die mir aus dem Stegreif einfallen:
- Panamapapers. Deutschland ist (oder war) Steueroase Nummer 8 weltweit. Soweit ich das weiß, ist nichts passiert. Wohl auch dank Schäuble
- Dieselskandel. Politiker (schon vor der GroKo) wussten Bescheid und tragen daher eine Mitschuld. Dobrindt verhindert Sammelklagen in Deutschland. Die Gesundheit der Bürger wird nicht vor Abgasen geschützt, sondern die Autoindustrie vor Verlusten. Nachträgliche Legitimation durch Anhebung der Grenzwerte. Keine Strafverfolgung bei Übertretung der Grenzwerte
- NSU-Morde. Keine Aufklärung. Vertuschungen. Verstrickungen bleiben bestehen
- NSA-Skandal. Kein Schutz der Bürger. Abhören wird nachträglich legitimiert. Befugnisse des BND erweitert
- Überwachung. Bürgerrechte eingeschränkt. Überwachung massiv ausgeweitet
- Polizei. Sinnlose Verschärfung des Strafrechts statt personeller Aufstockung oder Investition in Förderung von Deeskalationsstrategien
- Maut. Absolutes Schwachsinnsprojekt. Kostet nur Geld. Kein Kommentar
- Autobahnprivatisierung. Durch die Hintertür (Grundgesetzänderung). Scheingesetz gegen Autobahnprivatisierung, das jede Regierung ohne 2/3-Mehrheit wieder ändern kann
- Datenschutz. De Maizière höhlt in der EU den Datenschutz aus, um dadurch den deutschen Datenschutz zu senken und die CDU als unschuldig darstellen zu können ("Brüssel zwängt uns das auf")
- Waffenlieferungen. Mehr Waffenlieferungen. Vor allem auch an nicht-demokratische Staaten, die Krieg führen (wie Saudi-Arabien)
- Antikorruptionsgesetze blockiert. Lobbykontrolle verhindert
- Bankenregulierung? Findet nicht statt
- Energiewende. 7 Mrd. den Energiekonzernen geschenkt (rechtswidrige Brennelementesteuer. Eigentlich vorsätzlicher Betrug)
- Jede Menge Großprojekte vergeigt (eigentlich in den Ländern)
- Bundeswehr. Jede Menge Bundeswehreinkäufe total überteuert. Bundeswehr lässt sich regelmäßig über den Tisch ziehen
- Sozialer Wohnungsbau?
- Sozialgesetze? Irgendwelche Verbesserungen? Ich kann mich nur noch daran erinnern, dass alleinerziehenden Müttern der Beitrag für die Zeit gestrichen werden sollte, in der die Kinder beim Vater sind
- Keine Verbraucherschutzverbesserungen. Im Zweifel immer auf Seiten der Industrie
- Schere Arm/Reich. Keine Gegenumverteilung. Im Gegenteil (Erbschaftssteuerreform)
- Rente. Immer noch keine Rentenreform (z.B. alle zahlen in eine Kasse). Deutsches Rentenniveau weit unter dem anderer Länder
- Berichte geschönt (immer wieder)
- Flüchtlingspolitik. Deals mit Diktatoren um Flüchtlinge bereits im Ausland umzubringen (kann man anders nicht sagen). Debatte über Obergrenze widerspricht Grundgesetzt. Immer wieder bescheuerte Debatte über Leitkultur (Leitkultur widerspricht dem Grundgesetz). Hohe Ansprüche an Integrationswillen der Flüchtlinge, ohne entsprechende Angebote zu machen. Mit EU: Kündigung der Seenotrettung, stattdessen Alibiprogramm
- Freihandelsabkommen. Bevölkerung ausgeschlossen
- Umweltschutz. Halbwegs konkretes Programm von Barbara Hendricks bis zur Unkenntlichkeit zusammengestrichen
Allgemein: Mehrhreit im Bundestag nur für Schrott benutzt (was hätte man mit dieser Mehrheit alles machen können?…)
Ich habe bestimmt noch jede Menge vergessen. Auch großartig waren die Gesetze, die ein Politiker verteidigen/durchbringen musste, der vor der GroKo vehement dagegen war (denke da an Heiko M.).
Update: Ein anderer Einsender fügt hinzu: Unterwanderung des Gesundheitsamts durch die Parma- und Apotheker-Lobbyisten und Besetzung des Verteidigungsministeriums durch Lobbyisten der Rüstungskonzerne.
Update: Oh ja, dann waren da noch die ganzen Cum-Ex-Geschäfte.
Update:
zum Fazit Gro-Ko gehören mM nach die hohe Inflation von 2% und der Negativzins mit den daraus folgenden steigenden Lebenshaltungskosten und schmelzender Altersvorsorge.
Sanktionen gegen Russland, bzw. allgemein massive Verschlechterungen der Beziehungen zu diesem wichtigen Nachbarn, bis hin zur Kriegsgefahr, zusätzlich daraus folgende verstärkte Abhängigkeit von den USA und deren Energierohstoffen
Ernsthaft? Immer noch? Auf welche Meldung wartet ihr eigentlich noch? Die hier vielleicht?
Die Schwachstelle findet sich im Authentifizierungsmodul. Setzt ein Angreifer dort an, soll er sich aus der Ferne ohne Log-in-Daten Super-Admin-Rechte verschaffen können.Aber nicht doch, mein Herr, das ist keine NSA-Hintertür, das ist ein … bedauerlicher Bug! Kommt ja immer wieder vor!1!!
Akt 2: Die Amis stören sich an den ganzen Raubkopien, suchen nach Kompromat. Hey, haben wir für sowas nicht die NSA? Na klar! Die NSA spioniert Kimble aus. Den WENN hier etwas die nationale Sicherheit gefährdet, dann ja wohl der Betreiber einer Filesharing-Site!
Und jetzt kommt der echt überraschende Teil. Der, den so sicher keiner von euch kommen gesehen hat.
THE GCSB lost control of its surveillance technology and wasn't aware its systems continued spying on Kim Dotcom, according to new documents from the spy bureau.Die NSA benutzt für das Schnüffeln die Hardware des Geheimdienstes von Neuseeland. Immerhin ist Neuseeland Mitglied der Five Eyes. Neuseeland stellt die Überwachung dann 2012 ein, weil, äh, der Mann ist Bürger Neuseelands, kein Terrorist, und hat niemandem den heiligen Krieg erklärt.Akt 3: Aber die NSA spioniert einfach weiter. Und zwar weiterhin mit der Infrastruktur der Neuseeländer. Und die merken nichts davon.
Nun kann man natürlich sagen: Hey, so blöde kannst du doch gar nicht sein, das nicht zu merken, wenn die NSA Friendly Fire mit deiner Infrastruktur macht. Aber auf der anderen Seite hat man ja beim BND gesehen, dass die "befreundeten Dienste" alle technologisch völlig abhängig sind von der NSA, außer vielleicht GCHQ. Ich kann mir das gut vorstellen, dass die Neuseeländer ihr Equipment da als Dauerleihgabe oder so vom großen Bruder in den USA gekriegt hat, und dann, geschenkter Gaul und so, da lieber nicht so genau hingeschaut hat, ob der großzügig dimensionierte Wartungszugang für mehr als Wartung verwendet wird.
So einen ordentlichen, zünftigen, amtlichen Verfassungsbruch!
Und auch ansonsten nähert sich Deutschland Trumpistan an. Das Sondervotum der Opposition zum NSAUA soll schlicht als geheim eingestuft werden, damit die Wähler nichts davon erfahren.
New hotness: Magazin in Katalonien bringt Sexstellungen für wenn der Mann will, die Frau aber nicht!
Weil ich kein Spanisch kann, überlasse ich die Erklärung mal dem Einsender:
Sexpositionentipps für Frauen, wenn er will aber sie nicht will. Die Kommentatoren fragen, wie man das von der Definition von Vergewaltigung abgrenzt, wenn "er will" aber "sie nicht will". O-Ton "Ich wusste nicht, dass Vergewaltigung inzwischen eine Sexstellung ist"Na dann ist ja alles geklärt! m(
https://twitter.com/nuvolerrant/status/872305745039065094
Update: Der verlinkte Artikel ist katalanisch, aber es gibt auch eine spanische Version.
Update: Ein anderer Einsender, der katalanisch und spanisch versteht, klärt auf:
Es geht der ursprünglichen Autorin des nun gelöschten Beitrags (ja eine Frau hatte das geschrieben, der verlinkte Artikel lässt sich nur aus über den eigentlichen Artikel) darum 'wenn er will und ich nicht, weil ich müde bin und ich will ihm aber trotzdem Lust verschaffen' (eigene Zusammenfassung)
Orginalzitat: „le darás gusto y con estas posturas no tendrás que hacer mucho esfuerzo“ - „du wirst ihm Lust verschaffen mit diesen Stellungen und wirst dich nicht so anstrengen müssen“;
„QUE NO VEA QUE ESTÁS CANSADA“ - „damit er nicht sieht dass du müde bist“;
„La autora...da consejos sobre cómo actuar para que el hombre no vea su pareja está cansada“- „die Autorin ..gibt Ratschläge wie man sich verhalten soll damit der Mann nicht bemerkt, dass man selber müde/erschöpft ist“))
Eine Stellung wird empfohlen ,weil „sie dabei keinen Muskel bewegen muss“.
Ich finde diese Informationen nehmen die Brisanz von der ursprüngliche Aussage Deines Posts.
Und:
Also wenn ich manchmal mit meiner Partnierin in der Stadt bin und es nicht vermeiden kann, gehe ich mit Ihr auch in den Schuhladen und ich sehe da gewisse Parallelitäten zu dem Thema im Artikel (ja das wird Shitstorms auslösen, aber Du bist ja mein Proxy)
Akt 2: FBI has arrested and charged the woman they say leaked a Top Secret document to The Intercept.
Stellt sich raus, dass die von ihrer Arbeits-E-Mail aus Kontakt mit The Intercept hatte, als einzige von nur sechs Leuten, die im fraglichen Zeitraum auf das Dokument zugegriffen haben.
Wir müssen offensichtlich mehr Gewicht auf Opsec-Schulungen legen. Das geht ja mal gar nicht, sowas von der Arbeits-E-Mail aus zu leaken.
The Intercept hatte den Behörden zum Kommentar eine Kopie zukommen lassen, und auf der sah man Papier-Knitter-Spuren, woraus das FBI schloss, dass das Dokument ausgedruckt worden ist. Und das schränkt den Verdächtigenraum enorm ein, wenn man annimmt, dass das vom Leaker ausgedruckt wurde.
Wer in großen Firmen arbeitet, weiß auch, dass die da im Allgemeinen so Badge-Druck-Systeme haben. Man schickt einen Job los, der Drucker wartet dann, bis man mit seinem Hausausweis vorbeikommt und neben dem Drucker steht und das abholt. In so einem Szenario Dinge zu drucken, die man leaken will, ist auch echt fahrlässig.
Update: Oh das ist sogar noch übler: Wie es aussieht, hat The Intercept die Frau sozusagen ans Messer geliefert. Wikileaks schlachtet das jetzt natürlich aus, aber ich würde mich unter diesen Umständen wundern, wenn The Intercept nochmal was geleakt kriegt. Oder vielleicht ist das auch eine fiese Nebelkerze der US-Behörden, um The Intercept wegzulügen?
Update: Oh und jetzt ist vermutlich auch ein guter Zeitpunkt, um auf die gelben Punkte hinzuweisen, die Drucker als Wasserzeichen mitdrucken, damit man Whistleblower rückverfolgen kann.
Update: Auf der anderen Seite braucht man keine Backdoor im Prozessor, wenn der User eh Windows benutzt. Was für eine Frechheit.
Finally, this attack provides yet another example of why the stockpiling of vulnerabilities by governments is such a problem. This is an emerging pattern in 2017. We have seen vulnerabilities stored by the CIA show up on WikiLeaks, and now this vulnerability stolen from the NSA has affected customers around the world. Repeatedly, exploits in the hands of governments have leaked into the public domain and caused widespread damage. An equivalent scenario with conventional weapons would be the U.S. military having some of its Tomahawk missiles stolen.Ganz langsam, Microsoft.Wer ist Schuld, dass es diese Lücke gibt? Ihr. Microsoft.
Wer ist Schuld, dass die Lücke jahrelang in der Codebasis verblieb? Ihr. Microsoft.
Die NSA hat die Lücke gefunden und nicht gemeldet. Ja. Sie haben sie absichtlich offen gelassen. Aber da könnt ihr nicht drauf zeigen, um die Schuld loszuwerden. Der Gaffer ist nicht am Auffahrunfall auf der Autobahn Schuld.
Ich sehe hier einen Hauptschuldigen und einen Nebenschuldigen. Der Hauptschuldige ist Microsoft, weil ihr die Lücke in den Code getan und jahrelang nicht gefunden habt. Ihr habt ein schlechtes Produkt ausgeliefert. Wenn hier jemand ganz klein mit Hut sein sollte, dann ihr.
Der Nebenschuldige ist der Endanwender, der seine Software nicht gepatcht hat. Und kommt mir nicht mit "aber aber in großen Unternehmen". Bullshit. Ein großes Unternehmen, das Patches nicht sofort einspielt, ist an den Folgen Schuld. Jeder hat immer irgendwelche Ausreden. "Aber wir mussten erst gucken, ob der Patch tut". Nein, musstet ihr nicht. Kein abzuwendendes etwaiges Problem durch einen Patch ist so schlimm wie Remote Code Execution mit Kernel-Privilegien. Nichts. Schaut mir in die Augen. Nichts. Nichts ist so schlimm. Wenn so ein Patch rauskommt, dann spielt ihr ihn ein. Fertig. Keine Diskussion. Kein Zurückhalten. Ihr spielt ihn ein. Sofort. SOFORT.
Und im Übrigen, wenn ihr da ausgelaufene Windows-Versionen ohne Support fahrt, dann gibt es genau niemanden, auf den ihr zeigen könnt. Das ist ein Risiko, das ihr sehenden Auges eingegangen seid. Das jetzt ist die Quittung. Ich habe NULL Mitleid.
Oh und wenn ihr das antike Windows einsetzt, weil es auf einem antiken 3rd-Party-Produkt ist, für das ihr keine Patches mehr kriegt, dann könnt ihr dafür auch sonst niemandem die Schuld zuschieben. Das Risiko hättet ihr halt nicht eingehen dürfen. Ich schlage vor, dass ihr jetzt zu dem Hersteller des 3rd-Party-Produktes geht und euch zivilrechtlich gütlich haltet. Das wird alles immer nur noch schlimmer werden, solange ihr diesen Teufelskreis nicht durchbrecht.
Man hörte in letzter Zeit häufiger von irgendwelchen Spektroskopen an Unis, von Steuersoftware für Großmaschinen. Na dann hängt die halt nicht ans Netz. Wenn die Funktionalität ohne Netzzugang nicht nutzbar ist, dann hättet ihr die halt nicht kaufen dürfen, ohne euch zu versichern, dass da für Sicherheit gesorgt ist.
WER SOLL DENN BITTE DEN DRUCK AUF DIE HERSTELLER AUSÜBEN, WENN NICHT IHR?! Das BSI?! Harr harr harr.
Sorry, aber mir platzt echt der Kragen bei sowas. „Alle sind Schuld, nur ich nicht.“ Das ist das Gegen-Muster zu „Alle sind doof, nur ich nicht.“ bei Schlangenöl.
For a good time, Ctrl-F virustotal!
udp.c in the Linux kernel before 4.5 allows remote attackers to execute arbitrary code via UDP traffic that triggers an unsafe second checksum calculation during execution of a recv system call with the MSG_PEEK flag.Das klingt jetzt schlimmer als es ist, denn MSG_PEEK wird selten benutzt, UDP wird selten benutzt, und MSG_PEEK bei UDP wird noch seltener benutzt. Mir ist persönlich kein Fall bekannt.Ich habe dieses Flag in meiner Laufbahn 1-2 Mal benutzt. Man nimmt es, wenn man von einem Socket ein paar Bytes lesen will, ohne die zu lesen (d.h. wenn man danach nochmal read aufruft, kriegt man die Bytes wieder). Ich benutze das in gatling, um zu sehen, ob Daten auf einer SSL-Verbindung wirklich wie ein SSL-Handshake aussehen — allerdings auf einem TCP-Socket.
Kurz gesagt: Ich mache mir da jetzt keine großen Sorgen. Die DNS-Implementationen von glibc, dietlibc und djb benutzen jedenfalls nicht MSG_PEEK, und wenn es um UDP geht, ist DNS der übliche Verdächtige.
Ich will das nicht kleinreden, das ist ein ganz übler Bug und die sollten sich was schämen. Aber es ist kein "OMG die NSA hat mich gehackt, ich reinstalliere und mache alle Keys neu"-Bug. Außer ihr fahrt auf eurem Server irgendwelche UDP-basierten Protokolle.
Update: Im OpenVPN-Code findet grep auch kein MSG_PEEK. VPN und VoIP wären die anderen in Frage kommenden Codebasen.
Update: Ein paar Leser haben bei Debian und Gentoo mal ein bisschen rumgesucht und fanden als potentiell verwundbare Pakete dnsmasq und VNC-Implementationen. dnsmasq läuft praktische allen Plasteroutern. Das wäre in der Tat potentiell katastrophal.
Update: Einsender weisen darauf hin, dass systemd angeblich MSG_PEEK benutzt, und dass möglicherweise noch Chrome in Frage kommt als Angriffspunkt, wegen QUIC.
"Es ist völlig unerträglich, dass die Menschen hier ausgeforscht werden, teilweise bis in den privatesten Bereich.", sagte Niedersachsens Innenminister Boris Pistorius gegenüber SZ, NDR und WDR. Ein Sprecher des Landeskriminalamtes Nordrhein-Westfalen sagte, man warne die Betroffenen, "damit sie wissen, wenn sie in die Türkei reisen, wenn sie türkisches Hoheitsgebiet betreten, dass möglicherweise Repressalien auf sie warten".So und jetzt denkt euch mal selbst den Kontrast zu den aufgedeckten Abschorcheleien von GCHQ, NSA und BND.
Ich finde das hochamüsant gerade, wie der Trump ausgerechnet der Merkel gesagt hat, hey, wir wurden ja beide abgeschnorchelt. Mich würde nämlich überhaupt nicht wundern, wenn der BND den Trump abgeschnorchelt hat. Ob jetzt für die NSA oder nicht, das spielt ja dann auch keine Rolle mehr. Es würde mich eher wundern, wenn sie das nicht getan hätten. Das ist nämlich ihr Job als Auslandsgeheimdienst. Intel über aktuelle und potentielle künftige Staatschefs ranschaffen.
Und dann wäre das ja doch ein schöner Moment gewesen. Wie sich die beiden Abhör-Staatschefs darüber aufregen, selbst abgehört zu werden. Vom jeweils anderen. Denn dass der Trump der CIA oder NSA gesagt hat, sie sollen mal mit dem Abhören im Ausland aufhören, das glaubt ja wohl hoffentlich auch niemand.
Auf der anderen Seite müssen sich auch die Dienste gerade echt überflüssig vorkommen. All der Aufwand für Abhören, und dann kriegt man auf Twitter aktuellere und ungefiltertere Intelligence über Trump als von den Diensten. LOL.
Na klar, die Sozialdemokraten!
Der BGH findet, der NSA-Untersuchungsausschuss muss Snowden nicht vorladen, weil die Opposition zu klein ist und weil die SPD auf der falschen Seite mitkämpft.
Erstens: Attribuierung von Cyber-Angriffen war schon immer Bullshit. Von Anfang an. Und ich habe es hier auch mehrfach angesagt und erklärt. Wenn Wikileaks jetzt den Anschein erweckt, die CIA oder das FBI habe sich als Russen tarnen können bei Cyberangriffen, dann ist das kein Bullshit sondern absolut richtig. Das war auch schon richtig, bevor sich Wikileaks eingemischt hat. Das hat nichts mit Verwirrungspropaganda zu tun. Im Gegenteil. Die Behauptung, man könne sowas zuordnen, DAS war Propaganda. Sascha, da hast du ins Klo gegriffen, da hättest du vorher mal jemanden fragen sollen, der sich mit sowas auskennt.
Ansonsten stimmt es natürlich, dass hier zwei Fronten gegeneinander kämpfen, die beide keine Sympathieträger sind. Ich sehe das nicht als Nachteil, im Gegenteil. Wenn sich zwei Böse streiten, kann es nur Gewinner geben. Wenn wir als Außenstehende außer Popcornkonsum noch etwas lenken wollen, sollte unser Ziel sein, den Kampf so lange wie möglich zu verlängern. Wenn die die Hände voll haben, können sie weniger böse Dinge gegen uns tun.
Im Übrigen finde ich den Vorwurf gegen Wikileaks mehr als grotesk, die würden ja nur West-Kram aufdecken. Wikileaks ist eine Leak-Plattform. Die leaken, was man ihnen reinreicht. Na klar hat Julian Assange persönlich was zu gewinnen, wenn er sich auf Trumps Seite schlägt, denn Trump kann ihn schlicht begnadigen, dann wäre seine Botschaftsodyssee vorbei. Ich bin etwas irritiert, dass Trump das noch nicht getan hat. Der hat doch sonst keine Zurückhaltung gezeigt, wenn es um die Belohnung von Leuten ging, die ihm geholfen haben.
Aber mal ganz konkret. Glaubt ihr ernsthaft, wenn jemand Wikileaks "Vault 8" aus den russischen Geheimdiensten zukommen lässt, dass die das dann nicht auch raushauen würden? Wenn DAS jemand nachweisen kann, dass sie das dann geheim halten würden, dann können wir reden. Bis dahin ist das kein gültiger Kritikpunkt an Wikileaks. Rein statistisch finde ich völlig klar, dass die USA mit ihren 17 (!) Geheimdiensten da prominent vertreten sein werden. Wer so viel Geld für Geheimdienste ausgibt, bei dem fällt halt auch echt viel leakbares Material an. Ich glaube übrigens auch nicht, dass die Russen da grundsärtzlich perfekte Opsec fahren. Aber da müsste man wahrscheinlich auch logistisch mehr bewegen, für so einen Leak, alles nach Englisch übersetzen und so.
Kurzum: Trump und die CIA kloppen sich? Prima! Wikileaks hat sicher nicht alles richtig gemacht, und besonders Julian und sein Twitter-Account ist kein Ruhmesblatt. Aber dass eine Leak-Organisation Daten leakt, kann man ihr nicht vorwerfen, und wenn sie dann Propaganda publiziert, die inhaltlich und stilistisch ein Abziehbild der staatlichen Propaganda gegen sie selbst ist, das finde ich auch in Ordnung. Das geht als Medienkompetenz durch. Mir persönlich wäre es lieber, wenn sie da neutral blieben, das würde ihre Leaks kraftvoller machen. Aber hey, die übernehmen das Risiko, die definieren die Spielregeln. Ich kann hier viel reden, solange der Tag lang ist. Wenn mir jemand CIA-Daten geben würde, würde ich die bestimmt nicht in mein Blog tun. Ich würde gerne noch ein paar Jahre länger leben.
Update: Was ich ja richtig geil fände: Wenn die Russen ihre Exploits alle aus den selben Quellen kaufen wie die NSA, oder noch besser: Ihre Tools von der NSA geklaut haben. Und der Equation Group Leak tatsächlich gar kein NSA-Hack war sondern ein Russen-Hack :-)
Das ist das Problem mit Cyber-Attribuierung. Das weiß man alles nicht.
Update: Nur dass das hier keiner missversteht. Sascha ist einer von den Guten, und er hat auch mit dem überwiegenden Teil seiner Kolume recht, und wir sind auch immer noch Freunde. Und nur weil Cyber-Attribuierung Bullshit ist, heißt das nicht, dass Wikileaks nicht Teil einer Kampagne von Trump gegen die CIA ist. Weitere Ausführungen dazu.
Und da steht u.a. die Antwort, wieso sie lieber ein gammeliges Debian-OpenSSL nehmen würden als eigene Krypto. Sie glauben, die eigene Krypto könnte wiedererkennbar sein.
The "custom" crypto is more of NSA falling to its own internal policies/standards which came about in response to prior problems.In the past there were crypto issues where people used 0 IV's and other miss-configurations. As a result the NSA crypto guys blessed one library as the correct implementation and every one was told to use that. unfortunately this implementation used the pre-computed negative versions of constants instead of the positive constants in the reference implementation.
I think this is something we need to really watch and not standardize our selves into the same problem
Die CIA und die NSA unterhalten sich per IRC?We don't really have an official way of doing strings currently (sounds like NSA does from what I'm seeing in IRC) and I feel like we need to get to that. Off the top of my head one way of protecting against this is dumping all user ids from AD and running a strings check for that in addition to all the other dirty words out there.Und sie fahren Active Directory!
Spannend wird es jetzt natürlich, wenn man diesen Kampfbegriff gegen die Türkei oder gar Russland auch mal gegen den Westen anwendet, und das passiert in den USA gerade. Der Trump hat es sich ja mit den Geheimdiensten verspielt, und die leaken jetzt seit ein paar Wochen in einem fort peinliche Russland-Connection-Details über Trumps Kabinettsmitglieder und haben ja auch schon Schaden angerichtet. Und ausgerechnet von dem Trump-Lager kommt jetzt der Vorwurf des Deep State gegen die Geheimdienste.
Ich erzähle euch das alles, weil es da gerade eine absolut denkwürdige Sendung bei Anderson Cooper 360° gab, eine der Haupt-Sendungen bei CNN. Hier ist das Transkript. Ich zitiere mal:
COOPER: There is a lot of talk about the deep state --HAYDEN: Sure.
COOPER: — and the idea — not a lot of people have heard of before, but this idea that there is this, you know, this entity within the U.S. government, particularly within the intelligence community.
HAYDEN: Right.
COOPER: And maybe it's because they're angry at the president or they're holdovers from a Democratic administration, whatever it is, that there's this alternate state that is basically trying to have a silent hidden coup against the president or subvert the president.
HAYDEN: So, let me address that. So, I've heard deep state, all right? I generally heard it referred to Turkey or Moldova or Russia, not to the American republic. So, I kind of reject it.
Let me use the term, "the permanent government", all right? Let me take my old agency, CIA, and let's just take a really quick look at recent history, all right?
We've had three transitions since 2000 and the transition to President George W. Bush, no one changed at CIA. He kept George Tenet on. Eight years later, President Obama became president. Only one person changed at CIA. Me. In fact, President Obama called my deputy Steve Kappes to convince Steve and the rest of the staff to stay on.
And then eight years later, with President Trump, two people changed at the CIA, Director Pompeo and his deputy. The rest of the workforce, Anderson, are intelligence career professionals. They work for Republicans, they work for Democrats. They vote, they have views, but as professionals, they know what they have to do.
Das ist schon ein absoluter Hammer, was hier gerade abgeht. Hayden, wir erinnern uns, ist dieser Ex-NSA-Chef und Ex-CIA-Chef, der jetzt plötzlich sowas wie ein Gewissen entdeckt hat. Nicht als der Präsident die CIA im Ausland Leute totdrohnen ließ, nein, das war noch OK. Als er merkte, dass die Medien sich kritisch über die NSA äußern. Da musste er intervenieren! Das sind alles total patriotische Helden! Oh und die CIA auch! Die muss man verteidigen gegen Anwürfe von Korruption, Machtmissbrauch und Kriminalität.DER Hayden. Der wird jetzt von Anderson Cooper angesprochen, wie das denn ist mit den Deep-State-Vorwürfen, und seine Antwort ist: Er findet den Begriff doof, weil das ein Kampfbegriff gegen failed states sei, und die USA sind per Definition kein failed state, daher schlägt er lieber den Begriff "permanent government" vor. Permanent Goverment! Finde ich ja fast noch geiler als Deep State! Vor allem fürchten sich ja die Rechten in den USA seit vielen Jahren davor, dass die New World Order kommen könnte und eine Weltregierung einsetzen könnte, die dann nicht so demokratisch wie die aktuelle Regierung ist. Und die müssen jetzt von Hayden das hören. Harr harr harr. Großartig. Ich schau mal, ob ich das Segment da rausoperiert kriege. Ich habe nur dieses Video hier gefunden von irgendeinem Mitschneider, CNN scheint das nicht offiziell online zu haben.
Update: Rausoperierter Videoschnipsel „permanent government“. (Danke, Jay)
Das Mem, dass die PSHUFB-Lösung schneller sei als POPCNT, geht schon länger rum, stimmt allerdings nicht, wenn man's richtig macht. :)Wieder was gelernt! :-) (Danke, Fabian)Dan Luu hat darüber geschrieben, das verlinke ich einfach mal:
http://danluu.com/assembly-intrinsics/Das POPCNT-Erratum, dass er da am Ende nennt, existiert über mehrere CPU-Generationen von Intel und ist möglicherweise "Absicht". Nicht um die Performance von POPCNT für nicht-NSA-User zu sabotieren :), sondern weil ein x86-Decoder ziemlich haarig ist und der Bug nicht wirklich schlimm.
Die meisten x86-Befehle sind ja bekanntlich dest = dest OP src. Jedes "Loch" in der Opcode map, in dem ein unärer Befehl steht, muss in der Instruction Decoding-Logik kodiert werden, damit der Renamer weiss, dass der Destination-Operand keine Quelle ist. Nun ist x86 sowieso relativ unregelmäßig, allerdings bei weitem nicht so sehr (auf Encoding-Ebene und für die häufig vorkommenden Befehle), wie viele das denken.
Ursprünglich (bei Nehalem, dem original-Core-i7) war das ziemlich sicher ein Bug, den sie zu spät bemerkt haben: da hat jemand den Spezialfall vergessen und es macht halt nichts wirklich kaputt, also haben sie das Design lieber nicht angefasst. CPU-Hersteller sind bei sowas sehr konservativ: wenn man spät einen nicht-kritischen Bug mit einfachem Workaround findet, dann fixt man den in der Regel nicht. Denn bei dem Bug weiss man, was passiert - ein Fix macht möglicherweise was anderes kaputt, und Validierungszeit und neue Steppings sind extrem teuer. Wenn da was schief geht, hat man erstaunlich schnell zweistellige Millionenbeträge verbrannt, dementsprechend vorsichtig geht man da vor.
In diesem Fall ist der Bug insgesamt harmlos genug, dass er offenbar über mehrere Generationen in der Bug-Datenbank lag und nie gefixt wurde, weil er nicht genug Priorität hatte. Sowas ist nicht selten.
Popcount ist übrigens für diverse SIMD-Anwendungen hilfreich, nicht nur Video. Eigentlich, wann immer es um "filter"-artige Transformationen geht (nicht Filter im DSP-Sinne, sondern die Funktion höherer Ordnung). Bei x86 macht man eine Vergleichsoperation, dann movmskps (oder pmovmskb) um eine Bitmaske mit den Resultaten in ein Integer-Register zu kriegen, und dann kann man mit ein wenig rumgeshuffle die Daten rausschreiben. Popcount braucht man dann am Ende, um rauszufinden, um wieviele Bytes man den Output-Zeiger verschieben soll. Auch da habe ich einen Link: https://deplinenoise.files.wordpress.com/2015/03/gdc2015_afredriksson_simd.pdf
Für SSE2 und 32-bit-Daten ist POPCNT noch ein bisschen albern (eine 16-Element-Tabelle tuts auch), wenn man auf 8-bit oder 16-bit arbeitet oder AVX macht (8 Lanes statt 4) lohnt sichs aber langsam.
Ich habe vorhin diese Webseite gefunden, die ein Stück Code hat, das Popcount von Hand macht, und damit schneller ist als die dedizierte Instruktion.
Das ist erstaunlicherweise nicht das erste Mal, dass CPU-Bauern sowas passiert. Aber gerade bei Popcount wundert es mich, weil da die Begründung für die dedizierte Instruktion Performance war.
Schon merkwürdig, dass sowas immer wieder mal vorkommt.
Ein anderes bekanntes Beispiel ist die Loop-Instruktion bei x86, die aus historischen Gründen langsamer ist als wenn man von Hand ein Register runterzählt und einen Conditional Jump macht. AMD hat die Instruktion zu K5-Zeiten mal ordentlich implementiert, und plötzlich platzten auf ihren CPUs alle möglichen Turbo-Pascal-Programme, weil deren Runtime eine Schleife mit der Loop-Instruktion benutzt hat, um ihre Millisekunden-Warten-Funktion zu kalibrieren. Und das ergab dann eine Division durch Null oder sowas, weil AMD zu schnell war.
Es gibt bei modernen CPUs immer wieder solche lustigen Geschichten an irgendwelchen staubigen Ecken :-)
Update: Ich sollte dazu sagen, dass das nicht nur für die NSA wichtig ist. Popcount kann man auch beim Videocoding brauchen, für die Hammingdistanz (relevant für Kodierungsverfahren), und sogar für Biometrie und Computerschach. Der Hauptgrund, wieso die neuen Verfahren flotter sind, ist weil die auf breiteren Vektoren arbeiten können.
In light of this, and out of worries about the White House’s ability to keep secrets, some of our spy agencies have begun withholding intelligence from the Oval Office. Why risk your most sensitive information if the president may ignore it anyway? A senior National Security Agency official explained that NSA was systematically holding back some of the “good stuff” from the White House, in an unprecedented move. For decades, NSA has prepared special reports for the president’s eyes only, containing enormously sensitive intelligence. In the last three weeks, however, NSA has ceased doing this, fearing Trump and his staff cannot keep their best SIGINT secrets.Da wird sich Trump irgendwann fragen, wozu er dann die Dienste überhaupt noch braucht. Ob das eine schlaue Entscheidung war?
Myers said Martin took “many thousands of pages” of classified material as well as 50 terabytes of digital data, much of which has “special handling caveats.”50 TB? Sportlich!Some U.S. officials said that Martin allegedly made off with more than 75 percent of TAO’s library of hacking tools — an allegation which, if true, would be a stunning breach of security.Au weia, was für ein Totalschaden.
Der ist ja jetzt in der freien Wirtschaft und kann damit nicht mehr von der Kanzlerin entlassen werden für seine Untaten. Das perfekte Bauernopfer also.
Und "mein Name ist Hase, ich wusste von nichts" ist ja schon immer ein ganz tolles Zeichen.
Wieso tritt eigentlich nicht die Merkel zurück? Sie ist ja verantwortlich dafür, dass Pofalla das Amt gekriegt hat damals.
Daher mein Vergleich mit Safe Spaces.
Auf mich wirkt das, als wenn Außenstehende sich bemühen, sich von Aussagen anderer triggern zu lassen, die gar nicht mal an sie gerichtet waren, und die auch nicht als Angriff auf irgendeine Person gemeint waren. Man fühlt sich durch Vorwürfe in seiner Lebensqualität beeinträchtigt, die man sich auch noch selber einbildet, die gar nicht tatsächlich da sind. Niemand hat Moxie beschuldigt, ein NSA-Kollaburateur zu sein!
Aber man muss schwere Krypto-Probleme auch ansprechen dürfen, denn sonst werden sie ja nie gefixt. In diesem Fall ist das Problem eine Sache, über die man verschiedene Meinungen haben kann. Das kommt auf die Perspektive an, wie so häufig.
Man kann auf der einen Seite sagen: Ein Krypto-System mit so einer Schwachstelle wiegt Menschen in falscher Sicherheit und ist daher schlimmer als gar keine Krypto.
Man kann auf der anderen Seite sagen: Wir haben eine Milliarde Menschen zu starker Krypto gekriegt, und dieser Angriff wäre eh ein aktiver Angriff, passives Abhören haben wir erfolgreich verhindert! Sieg!
Welche Perspektive sich durchsetzt, das entscheidet man mit einer Debatte. Aber die Debatte wird jetzt durch lauter Schneeflocken-Argumente gestört. Ja aber wenn ihr so böse zu Moxie seid, dann schreibt er vielleicht gar keine Software mehr für uns! Ihr solltet ihm lieber dankbar sein!
Ich spitze jetzt ein wenig zu, klar. Aber ihr versteht hoffentlich den Punkt, den ich zu machen versuche.
Wenn ihr nicht wisst, wovon ich hier rede, könnt ihr euch mal diese Argumentation hier durchlesen, die sogar so weit geht, "eure Krypto hat eine Schwäche" auf eine Stufe mit Impfgegnern zu stellen. Das schöne bei Krypto-Software ist ja, dass man sie stärker machen kann, ohne dass User mehr Aufwand haben. Den Mehraufwand übernimmt die Software für sie. Daher tendiere ich in diesem Spannungsfeld auch eher zu "wenn es stärkere Krypto gibt, die man an der Stelle ausrollen könnte, und man tut es nicht, dann ist das ein Fehler".
Konkret geht es um ein Detail im Protokoll, die von Anfang an bekannt und dokumentiert ist. Ich paraphrasiere das jetzt wahrscheinlich falsch, aber ich mache es trotzdem mal. Wenn euch die Details wichtig sind, schlagt sie selber nacht :-)
Bei traditionellen Kryptosystemen wie PGP hat man eine Nachricht, verschlüsselt und signiert sie, und schickt sie zu. Signieren und Verschlüsseln sind offline, man braucht dafür keinen Live-Kanal zum Gegenüber oder überhaupt Internet (solange man den public key vom Gegenüber hat). Die Nachricht schickt man dann rüber und fertig.
Neuere Kryptosysteme wie OTR haben aber noch weitergehende Anforderungen als PGP. Wenn ich eine PGP-Nachricht an jemanden schicke, dann beweise ich damit nicht nur demjenigen, dass die Nachricht von mir kam, sondern der kann die dann auch Dritten gegenüber als Beweis benutzen, dass die Nachricht von mir kam. OTR möchte jetzt erreichen, dass ich jemandem etwas so sagen kann, dass der weiß, dass das von mir kam, aber er kann damit nicht Dritten gegenüber beweisen, dass das von mir kam. Das ist protokolltechnisch eine komplexe Geschichte, weil man pro Nachricht einen anderen Schlüssel nehmen muss. Und damit ist auch das Schlüsselaustauschproblem größer als bei PGP. Signal und Whatsapp sehen jetzt vor, dass man im Voraus ein paar Schlüssel sozusagen vor-austauscht, damit man auch offline Nachrichten verschicken kann (jedenfalls solange die Liste der vorausgetauschen Schlüssel noch nicht leer ist). Jeden Schlüssel kann man natürlich nur einmal nehmen.
Das Problem, um das es jetzt geht, ist was passieren soll, wenn diese Liste mal alle ist. Sagen wir mal, das FBI will meine Whatsapp-Nachrichten mitlesen. Dann gehen die zu Whatsapp und sagen denen: sag diesem Client mal, dass seine Liste ungültig ist. Weil der Client gerade offline sein kann, heißt das auch, dass möglicherweise Nachrichten mit neuem Schlüssel nochmal verschlüsselt werden müssen. Ihr könnt schon ahnen, wie man so möglicherweise Abhör-Möglichkeiten schaffen könnte.
Das Problem ist jetzt, dass bei Whatsapp in dem Fall kein Warn-Popup kommt. Die Security-Hardliner (zu denen ich mich an der Stelle auch zähle) sagen jetzt: Dafür gibt es keine Entschuldigung. Macht da nen Warn-Popup hin. Das sollte auch so gut wie nie Fehlalarm geben.
Die anderen sagen: Man kann diese Warnung aber anschalten, und der Whatsapp-Server kann nicht wissen, wer das angeschaltet hat und wer nicht, daher können die das nicht machen, ohne entdeckt zu werden. Das Risiko ist überschaubar.
Kann man finden, aber ich finde das nicht. Erinnert ihr euch an die Stories aus der DDR, wenn die Stasi das Telefon abgehört hat, dass das dann hörbar geknackst hat? Da hätte man ja auch argumentieren können: Nicht so schlimm, die Leute merken das ja, wenn sie drauf achten. Das hat die Stasi nicht abgehalten, und das wird das FBI nicht abhalten, glaube ich. Und das UI ist wohl an der Stelle auch nicht offensichtlich, wo man da was klicken muss, um diese Warnung anzuschalten. Ich weiß es nicht, weil ich kein Whatsapp benutze.
Ich finde aber, dass diese Debatte wichtig ist und geführt werden wollte. Und ihr solltet da auch alle mal drüber nachdenken, wie ihr das seht, und dann eure Krypto-Produkte entsprechend auswählen.
Update: Bei meinen Rust-Kommentaren ist übrigens auch so eine Schneeflocken-Safespace-Ding passiert. Gleich mehrere Leute haben sich aufgeregt, dass ich es wage, Rust als nicht stabil zu bezeichnen (was ich gar nicht getan habe! Ich habe den Branch referenziert, den Rust selber auf ihrer Downloadseite als Stable bezeichnet). Ein Leser hat mich auf einen Reddit-Thread hingewiesen, der sich dazu gebildet hat, und ungefähr die Hälfte der Kommentare handelten nicht von meinen Argumenten sondern von mir als Person. Als ob man sich mit Kritik oder Argumenten nicht beschäftigen müsste, nur weil man die Person nicht mag!? Sowas finde ich immer echt unverständlich. Es geht doch hier um euer Softwareprojekt, wollt ihr nicht, dass das besser wird!?
Update: Ah, die Erklärung habe ich wohl tatsächlich verkackt. Whatsapp und Signal haben die Authentisierung an die Telefonnummer gebunden. Das hat Vorteile (besonders bei der Usability), aber es hat halt auch Nachteile, weil das FBI halt einfacher eine Telefonummer übernehmen kann als die Krypto in der App auf dem Telefon, das ich in der Tasche habe.
Update: Ist sogar noch ein bisschen anders. Selbst wenn man das Popup anschaltet, dann hat Whatsapp trotzdem schon eine Retransmission der Nachricht mit dem neuen Key gemacht. Signal macht das erst, wenn der Nutzer es bestätigt hat.
Er habe sich eine Liste der einschlägigen Suchmerkmale vorlegen lassen - "Ich sehe die Liste noch vor mir" - und dort unter anderem Botschaften von EU- und Nato-Staaten erwähnt gefunden: "In dieser Sammlung kam mir das doch ein bisschen ungeheuer vor."Keine weiteren Fragen, Euer Ehren!
Ich finde mich gerade in der unglaublichen Situation, dass der Deep State gegen Trump kämpft, und ich es für das bessere Ergebnis halte, wenn der Deep State gewinnt. Krass.
Grämt euch nicht, denn beim 33c3 ist ja auch alles kostenlos als Stream im Netz und später downloadbar.
Gleich am ersten Tag gibt es noch zwei Talks zum Dieselgate. Da bin ich ja mal gespannt. Ich dachte, das ist abgefrühstückt. Dann ein Talk namens "Nintendo Hacking 2016" mit der Beschreibung "Game Over". Uh-oh.
Und nicht nur eine sondern gleich zwei Theater-Veranstaltungen, einmal Tag 1 über den NSA-Untersuchungsausschuss und einmal Tag 2 "Die NSU-Monologe". Dann will da jemand Drohnen im Mittelmeer einsetzen, um Flüchtlinge zu retten. Gleich mehrere Vorträge zum Hacken von Regierungen (also die Regierungen hacken, und was man da tun kann). "Reverse Engineering von Spiegel-Online" klingt auch sehr spannend (Tag 2). Na ich bin mal sehr gespannt.
Der Fnord-Jahresrückblick ist am 2. Tag aber nach Mitternacht, d.h. technisch am 3. Tag. Direkt davor ist eine halbe Stunde "Eine kleine Geschichte der Parlamentsschlägerei" :-)
Und überseht mal nicht am letzten Tag "Virtual Secure Boot", Beschreibung "Secure Boot support in qemu, kvm and ovmf."
Und Snowden sagte, er habe es versucht, aber man wollte ihn nicht anhören.
Wenig später meldeten sich dann frühere Whistleblower (William Binney und Thomas Drake) und bestätigten, dass der interne Weg Bullshit ist (Binneys Wikipedia-Seite hat Details.
So und wisst ihr, was gerade passiert ist? Der "Inspector General" der NSA hat seine Kündigung gekriegt. Das ist der Typ, der intern für solche Fälle von Beschwerden über illegaltes Verhalten der NSA zuständig ist.
Und warum wird der gefeuert?
Kommt ihr NIE drauf!
Top NSA Watchdog Who Insisted Snowden Should Have Come to Him Receives Termination Notice for Retaliating Against a WhistleblowerNa DAS passt ja mal wieder wie Arsch auf Eimer!
Da gibt es gerade ein paar Details zu, und die sind durchaus spannend.
Die NSA suchte ganz bestimmte Mails, und Yahoo hatte eine Infrastruktur zum automatisierten Finden von Kinderpornos. Da hätte man sich also einklinken können, hat man aber nicht getan. Stattdessen:
The court-ordered search Yahoo conducted, on the other hand, was done by a module attached to the Linux kernel - in other words, it was deeply buried near the core of the email server operating system, far below where mail sorting was handled, according to three former Yahoo employees.Krass. Stellt euch mal vor, ihr findet da ein unerklärtes Kernelmodul auf eurem Mailserver. Was tut ihr da? Mal ne Untersuchung starten, nicht wahr? Hat Yahoo auch gemacht.In the case of Yahoo, company security staff discovered a software program that was scanning email but ended an investigation when they found it had been approved by Chief Executive Officer Marissa Mayer, the sources said.Und das muss man diesen Leuten aus dem Security-Team hoch anrechnen, dass sie dann nicht nur gekündigt haben, sondern diese Details jetzt ausplaudern. Das ist nicht risikofrei für sie.
Low morale at the National Security Agency is causing some of the agency’s most talented people to leave in favor of private sector jobs, former NSA Director Keith Alexander told a room full of journalism students, professors and cybersecurity executives Tuesday. The retired general and other insiders say a combination of economic and social factors — including negative press coverage — have played a part.
Die von Wikileaks veröffentlichten Unterlagen des NSA-Untersuchungsausschusses stammen nach Erkenntnissen der Sicherheitsbehörden wohl aus dem russischen Cyber-Angriff auf den Bundestag.Ich hatte hier mal erklärt, wie Cyber-Attribuierung in der Praxis funktioniert.
Und so haben wir aus Bullshit-Attribuierung eine Situation herbeikonstruiert, in der bei uns niemand verantwortlich ist. Die Russen waren's! Damit können alle gut leben!
Nun ist da nicht viel zu sehen, denn die Bundesregierung hat den Ausschuss ja die ganze Zeit nach Kräften torpediert, Informationen zurückgehalten, gelogen, Akten nur geschwärzt rausgerückt, etc. Insofern finde ich es geradezu lächerlich, dass sich jetzt CDU und Grüne in trauter Einigkeit aufregen. Der Ausschuss-Vorsitzende Sensburg (CDU) sagt:
"Wer so etwas macht, ist nicht an professioneller Aufklärung interessiert, sondern an Destabilisierung und Showeffekten."Als ob die CDU jemals bei irgendwas an Aufklärung interessiert gewesen wäre, professionell oder anderweitig! Der ganze Ausschuss ist für die CDU und insbesondere für die Grünen doch eine einzige Übung in "Showeffekten". Aufklärung, my ass.
Nein, wirklich!
Der Generalbundesanwalt!
Ermittelt!
Gegen einen ausländischen Geheimdienst!!
Nein, nicht die NSA, natürlich. Und nicht GCHQ. Von denen wissen wir ja, dass sie uns ausspionieren. Da gibt es ja nichts mehr zu ermitteln!1!!
In seiner Befragung räumte W.K. ein, es habe in der Vergangenheit "wohl organisatorische Defizite" beim BND gegeben. So sei bis zum Frühjahr 2015 weder ihm als Unterabteilungsleiter noch dem Präsidenten bekannt gewesen, dass in der gemeinsam mit der amerikanischen National Security Agency (NSA) betriebenen Abhöranlage in Bad Aibling auch zwölf Millionen NSA-Selektoren im Einsatz waren.Wie geil! Das ist ja NOCH krasser! Nicht nur haben sie NSA-Selektoren gefahren, weder der Präsident noch der Abteilungsleiter wussten davon!
Oh und noch so ein Highlight:
Noch in seiner ersten Befragung durch den Ausschuss im 13. November 2014 hatte W.K. aus voller Überzeugung erklärt, eine solche Liste existiere nicht. Jetzt habe er seinen Samstag opfern müssen, um bereits 24 Stunden nach der Entdeckung in Berlin zur Berichterstattung "anzutreten". Der Anlass, die ominöse Liste erstmals ausdrucken zu lassen, sei vermutlich ein Auskunftsbegehren des Untersuchungsausschusses gewesen. Auf die Frage, ob er ohne die Tätigkeit des Ausschusses womöglich bis heute ahnungslos geblieben wäre, entgegnete der Zeuge: "Im Moment sieht's danach aus."Kannste gar nicht mehr satirisch überspitzen!
Das Geheimhaltungsinteresse der Bundesregierung überwiegt das parlamentarische Informationsinteresse, weil die vom Beweisbeschluss erfassten NSA-Selektorenlisten aufgrund völkerrechtlicher Vereinbarungen nicht ihrer Verfügungsbefugnis unterfallen, ihre Einschätzung, eine nicht konsentierte Herausgabe dieser Listen könne die Funktions- und Kooperationsfähigkeit deutscher Nachrichtendienste erheblich beeinträchtigen, nachvollziehbar ist und sie dem Vorlageersuchen in Abstimmung mit dem Untersuchungsausschuss durch andere Verfahrensweisen so präzise, wie es ohne eine Offenlegung von Geheimnissen möglich gewesen ist, Rechnung getragen hat.Ach komm, guck mal, das musst du doch nicht wirklich wissen! Ist ja nicht so, als sei es deine Aufgabe, hier in einem Ausschuss eine Untersuchung durchzuführen oder so! Die haben dir doch nach bestem Wissen und Gewissen ins Gesicht gelogen, was willst du denn noch jetzt?! Lass mal gut sein, die Erwachsenen kümmern sich. Eine Demokratie braucht keine Geheimdienstkontrolle. Umgekehrt wird ein Schuh draus.
Ekelhaft.
Aber immerhin ist er als Diplomat super. Gegenüber China einknicken kann er jedenfalls prima.
Und der Steinmeier war es auch, der der NSA ihre Schnüffelei in Deutschland abgesegnet hat. Aber ist ja auch klar, denn "Unsere Partnerschaft mit den USA ist ohne Alternative".
Aber wenigstens innerhalb Europas ist der nicht so schlimm? Aber doch, mein Herr!
Und DER ist nicht nur nicht im Knast, der wird Bundespräsident!
Update: Oh das ist ja grandios, die CDU will als Gegenleistung das Außenministerium haben! HARR HARR HARR
[…] a federal court ruling revealed that the [$GEHEIMDIENST] has been operating a secret metadata collection program since 2006, and retained citizens’ identifying information illegallyNa, was meint ihr? Welches Land?Klingt nach dem BND? GCHQ? NSA? Nein! CSIS (Kanadas Geheimdienst)!
Geheimdienste sind halt überall gleich kriminell.
Überlegt euch mal selbst, was das über die Attribuierbarkeit von Cyberangriffen und Malware aussagt.
Ich weiß, was Sie jetzt denken, und Sie haben Recht. Hätte uns das nur früher schon jemand gesagt!1!!
New hotness: BND weiß von NSA-Hintertüren in Videoüberwachungs-Hardware, die am Frankfurter Flughafen verbaut ist, sagt niemandem was, lässt ihre angeblich schutzbefohlenen Bürger ins Messer laufen. Das jedenfalls sagt das ARD-Magazin "Fakt" in seiner Sendung heute abend um 21:45.
Wie lange weiß der BND davon?
Laut geheim eingestuften Dokumenten, die Fakt einsehen konnte, hatte der deutsche Bundesnachrichtendienst (BND) bereits im Februar 2005 von einer vertrauenswürdigen Quelle von dieser Spionagemöglichkeit erfahren.Seit 2005! 2005!!
Naja, Flughafen, denkt ihr euch jetzt vielleicht, najaaaaa, nicht soooo kritisch. Die NSA will ja keine Terroranschläge machen!1!!
Na dann schaut mal hier:
Laut dem Geheimpapier aus dem Jahr 2005 beobachtete der BND damals, dass NetBotz massiv versuchte, Behörden und Unternehmen im Bereich Hightech und Rüstung als Kunden zu gewinnen. Unter anderem verhandelte die US-Firma mit dem Auswärtigen Amt in Berlin. Um einen Wettbewerbsvorteil zu haben, verkaufte NetBotz seine Überwachungslösungen sogar unter Wert und lehnte Anfragen einer Einzelhandelskette ab, die mehr Umsatz gebracht hätten.Die Strategie geht auf die Israelis zurück, die auf dem Weg in den Telcos dieser Welt mit ihren "Sicherheits- und Abrechnungssystemen" marktbeherrschend vertreten waren. Ob sie es heute noch sind, weiß ich nicht.
Jetzt fragt ihr euch vielleicht, wieso der BND nichts gesagt hat. Ich meine, immerhin ist das ja eine klare Verletzung ihres Auftrags.
Aber der BND verschwieg sein Wissen ganz bewusst, wie es in dem Papier aus dem Jahr 2005 heißt. Der Dienst fürchtete, eine Offenlegung könne politische Auswirkungen haben.Denn die Kooperation mit den Amerikanern ist dem BND wichtiger als der Schutz seines Vaterlandes, seines Auftraggebers und seiner Geldgeber. Ich finde, wir sollten daraus umgehend die offensichtlichen Konsequenzen ziehen und denen den Auftrag und das Geld streichen und sie des Landes verweisen. Sie können ja zur NSA in die USA ziehen.
Merkt euch das mal. Demnächst wird wieder jemand kommen und was von Cyber faseln und dass wir der Bundeswehr oder den Geheimdiensten Geld geben müssen für Cyber. DAS IST, was dann passiert.
In Deutschland ist das bisher eher selten, nicht zuletzt weil wir das Prinzip der Datensparsamkeit haben. Wenn du die Daten nicht wirklich dringend brauchst, dann erhebst du sie gar nicht erst. Daten, die du nicht hast, können dir auch nicht geklaut werden.
Einfach. Einleuchtend. Offensichtlich.
Völlig klar. Da muss was geschehen!
Die drei federführenden Minister der digitalen Agenda sind sich einig, dass das Prinzip der Datensparsamkeit weg muss. Das Thema Datensicherheit sei eines der großen Digitalisierungshemmnisse für kleine und mittlere Unternehmen.Ich bin ja in diesem Blog einiges gewohnt, aber da verschlägt es mir die Sprache.
Wirtschaftsminister Sigmar Gabriel (SPD), Innenminister Thomas de Maizière (CDU) und Infrastrukturminister Alexander Dobrindt (CSU) haben auf dem Treffen des eco-Verbands am heutigen Dienstag die digitale Wirtschaft kritisiert. Schon bei der Öffentlichkeitsarbeit habe die IT-Branche den Dreh noch nicht raus, fand Gabriel: "Cloud hört sich schon so an wie Stehlen." Da mische sich die NSA und der Staat mit ein oder die Tatsache, dass die Server oft in anderen Ländern stünden. Viele hätten daher Angst, nicht mehr Herr ihrer eigenen Geschäftsmodelle zu bleiben.Äh ja, genau! Exakt! Das ist ja auch völlig begründet, diese Angst! Hallo McFly? Jemand zuhause?
Auf der anderen Seite freut es mich, dass die schönen Wortspiel-Jokes von meinem Kollegen Lindner es bis zu Herrn Gabriel geschafft haben. :-)
Abgesehen davon, dass ich nicht in einem Land leben möchte, in dem der Staat glaubt, er müsse mein Tagebuch entschlüsseln können.
I decided to take a quick look at some of the “cyber weapons” this morning and I’m pretty underwhelmed by their quality.
Die waren ja bei dem NSA-Malware-Dump prominent vertreten.
Cisco fixt jetzt doch mal die 0days der NSA, also die öffentlich gewordenen.
Cisco schmeißt übrigens demnächst mal 20% ihrer Mitarbeiter raus. Ich bin mir sicher, das hat nichts damit zu tun.
Das Beste aber ist die Punchline am Ende. Die Daten enden 2013, weil das der Zeitpunkt war, an dem Snowden seinen Leak veröffentlichte, und da haben die NSA alle ihre Tentakel schnell zurückgezogen. D.h. Snowden hat verhindert, dass die Russen da jetzt mehr Daten haben. Er schließt mit "You're welcome, NSA. Lots of love."
Badumm tssssss
Das ist auf jeden Fall ein Anwärter für den Balls of Steel Award, würde ich mal sagen.
Update: Also die Dateien sind wohl alle schon ein bisschen älter, und es handelt sich auch (außer bei den Skripten, natürlich) um Binaries und nicht den Quellcode. Das hat schon so einen Stallgeruch von "könnte was dran sein", ohne mir das jetzt tatsächlich näher angeschaut zu haben.
Update: Der Name "Shadowbrokers" ist übrigens eine Referenz zu den Mass Effect-Computerspielen. Dort ist das eine ausgleichende Figur, die alle Seiten mit Informationen beliefert, aber nie jemandem damit einen klaren Vorteil verschafft.
Neulich erst, da hat die NSA den deutschen Diensten geholfen, die verschlüsselten ISIS-Nachrichten zu entschlüsseln. Die von dem Axtmörder in der Bahn neulich, und die von dem Sprengstoffkiller in Ansbach. Die waren beide ISIS-gesteuert, heißt es jetzt, über eine Telefonkarte aus Saudi Arabien (wieviel Saudi-Connections braucht es eigentlich noch, bis da mal jemand was tut?!). Money Quote:
Deutsche Behörden waren technisch nicht in der Lage, die codierten Chats zwischen den Attentätern und dem IS-Koordinator zu knacken. Die geheimen Anweisungen des Unbekannten erfolgten bis kurz vor den Anschlägen. Ein Ermittler sagte zu FOCUS: „Erneut sehen wir, wie wichtig die vielgeschmähte NSA für unsere Sicherheit ist.“Hach, ist das nicht wunderschön, diese staatliche Propaganda in unseren staatstragenden Propagandamedien? Die haben sich nicht mal getraut, diesen Bullshit dem ehemaligen Nachrichtenmagazin oder der Süddeutschen anzutragen, weil die noch einen Restruf in Sache Recherche haben. Das sagt ja schon alles an der Stelle.
Aber nehmen wir das doch mal wörtlich. Unsere eigenen Behörden sind nicht in der Lage, Straftaten aufzuklären. Die Geheimdienste, die sich selbst ermächtigt haben, statt der ja so einfachen Aufklärung danach eine Erkennung vorher zu machen, haben auf ganzer Linie versagt und schaffen jetzt nicht mal die Aufklärung danach. Warum existieren BND und Verfassungsschutz eigentlich noch? Wie krass müssen die noch versagen? Zumachen, jetzt!
Update: Und das ist nach all den Sicherheitsgesetzen, Budgeterhöhungen, Einrichtungen von Cyber-Sicherheits- und Kompetenzzentren. Nach all dem kriegen die immer noch nichts hin. Zumachen!
"Several months ago, a foreign policy expert on the international level went to advise Donald Trump. And three times [Trump] asked about the use of nuclear weapons. Three times he asked at one point if we had them why can't we use them," Scarborough said on his "Morning Joe" program.So ein geflügeltes Wort aus der Redneck-Trump-Ecke ist ja, man müsse den Nahen Osten mal mit ein paar Atombomben in einen Parkplatz verwandeln. Dann sei da endlich Ruhe.Update: Zieht euch das Video mal in Ruhe rein. Dass sich CIA+NSA-Hayden überhaupt von MSNBC zu Trump interviewen lässt, und dann dieses "no-one" rauskloppt, das ist echt ein ganz starkes Signal. MSNBC ist so das Äquivalent von Fox News auf der "linken" Seite der Politik in den USA, kreischend und faktenarm. Dass da irgendein Militär hingeht und dann den Kandidaten der Republikaner so brüskiert, das ist echt ein bemerkenswerter Moment.
Generell sei Maaßen ein "außerordentlich erfolgreicher, sehr, sehr guter Präsident seiner Behörde".Maaßen, der Staatsgeheimnisse an die Presse verrät, der das Parlament belogen hat, der unser Land mit seinem "die Terroristen tarnen sich als Flüchtlinge" international lächerlich gemacht hat, DER Maaßen. Der "ich gehe davon aus, dass die Amerikaner sich an amerikanisches Recht halten" Maaßen. Der, der keine Erkenntnisse finden konnte, dass GCHQ unser Internet abgehört hat. Ob er das mit Xkeyscore recherchiert hat? Der Maaßen, der als das Gesicht des NSU-Skandals in die Geschichtsbücher eingehen wird. Hans-Georg "virtuelle Trainingslager, Online-Handbücher und Kampfsimulatoren" Maaßen. Der, der schon im Fall "Murat Kurnaz" bewiesen hat, dass Menschenrechte und Verfassung nicht so wichtig sind, und dann zur Belohnung zum Chef der Behörde gemacht wurde, deren Namen uns ins Gesicht lügt, sie sei zum Schutz derselben Verfassung da, die Maaßen gerade mit Füßen getreten hat. Scheiß auf "ordentliches Verfahren", der Kurnaz bleibt mal schön in Guantanamo!
Oh. Bin ein bisschen abgeglitten. Das Bundesinnenministerium ließ jetzt in dieser Anhörung zu Protokoll geben:
Snowden sei aber schon zu seinen Zeiten bei der NSA und der CIA "von Anfang an eine nachrichtendienstlich gesteuerte Person" gewesen. Angesichts dessen "Verhalten nach der Zufluchtnahme in Moskau" spreche alles nachrichtendienstliche Erfahrungswissen dafür, dass er sich "komplett, in toto" habe "abschöpfen lassen". Alles, was für russische Dienste interessant gewesen sei, dürften diese inzwischen in Erfahrung gebracht haben.Na WENN es jemanden gibt, dessen Erfahrungsschatz und Glaubwürdigkeit über jeden Zweifel erhaben sind, dann ist das ja wohl der "Verfassungsschutz"!1!!
Update: Hier die Pressemitteilung des Bundestages. Money Quote:
Der Einsatz einer Drohne, meinte Kaller, sei außerordentlich kostspielig und technisch aufwendig: "Ich kann mir einfach nicht vorstellen, dass die Amerikaner allein aufgrund der Ortung eines Handys eine Drohne abfeuern." Es gebe "keinen Nachweis eines unmittelbar kausalen Verlaufs eines gelieferten deutschen Datums für einen tödlichen Angriff".
Kannste dir gar nicht ausdenken. Wir haben ein fucking Video des fucking NSA-Chefs, wie er vor laufender Kamera herumprotzt, dass sie genau das tun.
Oh, und einen habe ich noch:
Verständnis äußerte Kaller auch für Maaßens Klage über anspruchsvolle parlamentarische Ermittlungen. Er und seine Mitarbeiter hätten derzeit ebenfalls Auskunftsbegehren von gleichzeitig vier Untersuchungsausschüssen zu unterschiedlichen Themen zu bedienen: "Ich kann Ihnen sagen, das ist eine enorme Belastung. Die Abteilung ächzt."
Als ob die ganzen Untersuchungsausschüsse halt Pech oder Zufall waren! Nein! Die waren Reaktionen auf Verkacken eurer Gammelbehörde!
Update: Der Maaßen hat noch einen echten Kracher abgesetzt (letzter Absatz):
Der Chef zählte vor Abgeordneten selbst die Ständige Vertreterin der Vizepräsidenten im BfV, Catrin Rieband, an. Die habe ihn nicht über den Fund der SIM-Karten informiert, obwohl man bei einer Wochenendtagung ständig miteinander gesprochen habe. Maaßen ging sogar noch weiter: Wenn es nach ihm ginge, dann sollte man im Hof des Bundesamts Kreuze aufstellen. Und ein paar Mitarbeiter drannageln.
Ja, liebe Leser aus dem Ausland. In Deutschland wird die Verfassung von einem Mann verteidigt, der selbst für seine eigenen Untergebenen Lynchjustiz fordert!
Es sei "unverständlich", warnen die Prüfer, "dass die Bundeswehr die Vertraulichkeit und Integrität" ihrer durch die BWI verwalteten Daten nicht besser kontrolliere. So gebe es keinerlei Checks, wer als System-Administrator der BWI Zugriff auf die vertrauliche Kommunikation wie Personal- und Finanzdaten der Truppe habe.
HP war als größter (mehrere Jahre AFAIK einziger) Hardware-Lieferant im Boot, und man munkelte damals was davon, dass HP sich vom US-Militär und/oder der NSA sehr langfristige Supportverträge hat abnehmen lassen und daher den Mist weiterführen musste, obwohl es am Markt klar gescheitert war.
Nun, einer der Hauptgründe, wieso das gescheitert ist, ist weil Oracle nach der Übernahme von Sun spontan keinen Bock hatte, ein Oracle für HP-UX anzubieten, weil die ja plötzlich Konkurrenz im Unix-Markt waren. Und aus Oracles Sicht haben die zu erwartenden Gewinne wohl auch nicht die Kosten für die Portierung und den Support reingeholt. Das kann man natürlich von außen immer schlecht sagen. Klingt für mich persönlich eher vorgeschoben, das Argument, denn der Port war ja fertig, und für Support wird man ja bezahlt. Aber hey, was weiß ich schon.
Nun hat HP damals Oracle verklagt. Stellt sich raus, dass HP mit Oracle einen Vertrag hatte, dass Oracle für viele Jahre die Plattform unterstützen muss, und Oracle hat den gebrochen. Das Gerichtsverfahren darüber ging 2012 für HP aus, und Oracle hat die Plattform dann wieder supported. Allerdings fand HP, dass der Plattform massiver Schaden entstanden sei, und wollte diesen ersetzt haben.
Dieses Verfahren ging jetzt aus, und die Jury hat HP 3 Milliarden Dollar Schadensersatz von Oracle zugesprochen.
Ich wäre überrascht, wenn das das letzte Wort in der Sache wäre. Da wird Oracle sicher lieber alle Rechtsmittel ausschöpfen, bevor sie 3 Milliarden zahlen.
Und als ihr dann gehört habt, dass es da jetzt eine Reform gibt, … habt ihr da gedacht: Das ist doch bestimmt reine Kosmetik?
Nun, ihr hattet natürlich völlig Recht. Die Geheimdienste haben ja gar nicht versagt. Die haben genau so gehandelt, wie ihre Auftraggeber in der Politik es wollten. Das ist Absicht, dass die Parlamentarier über die Giftmüllcontainer nicht informiert werden, denn sonst wären sie mitschuldig und müssten handeln.
Die ganzen übelriechenden radioaktiven Details könnt ihr wie üblich bei Netzpolitik.org nachlesen.
Aber, lasst es mich mal so formulieren… das ist kein Zufall, dass das zur EM "gemacht" wurde.
Im Grunde ist das nicht berichtenswert, denn es ändert sich ja nichts.
Aber auf der anderen Seite ist es ja schon berichtenswert, dass sich nichts ändert.
Also denne, wehrt mal schön eure Laptops ab, während der BND eure Daten mitliest und an die NSA weiterleitet!
Irgendwo muss man ja anfangen!1!!
Heinz Fromm, Ex-Präsident des Bundesamtes für Verfassungsschutz (BfV), hat erklärt, der Inlandsgeheimdienst sei nicht zuständig für das umstrittene Projekt Eikonal. Mit dem ging der Bundesnachrichtendienst (BND) an einen Netzknoten der Deutschen Telekom in Frankfurt heran und leitete dort abgefischte Daten an die NSA weiter. "Wenn ein ausländischer Dienst hier tätig wird und eine deutsche Behörde ist beteiligt, dann hat das mit Spionage nichts zu tun", befand der 67-Jährige am Donnerstag im NSA-Untersuchungsausschuss des Bundestags.Das ist doch keine Spionage, wenn der BND spioniert!1!! Das ist "im Rahmen der Aufgabenstellung"!
Das Anzapfen der Glasfaser sei im Prinzip nichts anderes als Satellitenaufklärung, obwohl dabei auch deutsche Strecken erfasst werden können.Und Satellitenaufklärung, das wissen wir ja inzwischen alle, zählt als Ausland, nicht als Inland!1!!
Spannend ist jetzt, dass sein Verfahren von einem deutschstämmigen Silicon-Valley-Milliardär namens Peter Thiel finanziert wird.
Gawker ist so der Abschaum der Medienwelt. Bis Buzzfeed kam, die absolut unterste Schublade. Der Grund, wieso Thiel jetzt die Klage gegen Gawker finanziert, ist vermutlich dass Gawker ihn vor 10 Jahren als schwul geoutet hat. Nicht nur das, angeblich haben sie ihn vorher zu erpressen versucht. Das ist damals nicht gerichtsfest aufgeklärt worden, aber die Anschuldigung stand im Raum.
Und jetzt sagt Hulk Hogan, dass sie auch ihn vorher zu erpressen versucht haben.
Warum ich das jetzt blogge ist aber was anderes. Denn jetzt ist Pierre Omidyar auf den fahrenden Zug aufgesprungen, ein anderer Silicon-Valley-Milliardär, und der Besitzer von First Look und The Intercept, und zwar auf Seiten von Gawker.
Wieso würde sich jemand auf Seiten von Gawker stellen? Nun, möglicherweise ist das weniger ein "für Gawker" als ein "gegen Thiel", denn Glenn Greewand sagt, Thiels Firma Palantir hab 2011 versucht, seine Karriere zu zerstören, weil er was über Palantir berichtet hatte, und Palantir würde lieber weiter verborgen im Schatten operieren.
Palantir baut so Überwachungsstaat-Software, wo man als CIA oder NSA seine ganzen Daten reinkippt, und der berechnet dann den Bekanntenkreis aus den Metadaten und so weiter.
Aktueller Stand in dem Verfahren ist übrigens, dass Gawker zu 140 Millionen Dollar Schmerzensgeld verurteilt wurde, was die ganze Firma mal eben töten würde. Entsprechend sucht der Gawker-Gründer angeblich gerade nach Käufern für die rauchenden Trümmer.
Update: Übrigens könnte man bei der Gelegenheit mal die Frage stellen, was die Telekom und SAP mit Palantir machen.
Update: Und das Finanzministerium.
Da ist jetzt ein abgehörtes Telefonat geleakt.
«Man muss die Regierung wechseln, um dieses Blutbad zu stoppen», sagt eine Stimme. Und der Gesprächspartner stimmt zu: «Die einfachste Lösung wäre, Michel hinzustellen.» Das Gespräch zwischen dem ehemaligen Senator Romero Jucá und Sérgio Machado, dem ehemaligen Präsidenten von Transpetro, einer Tochtergesellschaft von Petrobras, wurde im vergangenen März aufgezeichnet, kurz bevor das Absetzungsverfahren gegen Präsidentin Dilma Rousseff Fahrt aufzunehmen begann. Jucá war bis am Montag Planungsminister der Interimsregierung. Und beim im Gespräch erwähnten «Michel» handelt es sich um Interimspräsident Michel Temer, der seit Rousseffs Suspendierung durch den Senat vor zwei Wochen die Regierungsgeschäfte führt."Blutbad" meint in diesem Kontext die Korruptions-Ermittlungen im Petrobras-Skandal.
Übrigens, der Vollständigkeit halber. Petrobras war einer der schon recht früh geleakten Abhörziele der NSA. Jetzt wisst ihr, warum. (Danke, Gaby)
Bei TTIP? NSU-Affäre? BND-Affäre? NSA-Affäre? Schweigen im Walde!
Aber Böhmermann!!1! Das ist was anderes!1!!
Da krieg ich schon wieder Schlechte-Laune-Pickel.
Ich finde das nicht verwunderlich. Was dachten die denn, was für Leute eine Behörde anzieht, die über dem Gesetz agiert und anderer Leute Rechte mit Füßen tritt?
once information is collected by the NSA for "foreign intelligence" purposes under section 702 of the FISA Amendments Act, that information can be searched by the FBI for regular criminal investigations without any need for a warrant or prior court oversight.Warum sollte das bei der NSA auch anders sein als in allen anderen Ländern der Welt mit allen anderen Geheimdiensten der Welt. Die Politik lügt der Bevölkerung ins Gesicht, diese Daten hier würden niemals nie nicht missbraucht und würden überhaupt nur wegen der Terroristen erhoben. Immer das selbe, egal wo man hinguckt.
Und die Reaktion der Amerikaner? "clerical error". Ja nee klar, bedauerliches Missverständnis!1!!
Die Bundesregierung ist an ihre Grenzen gestoßen, Informationen aus den Snowden-Enthüllungen rund um das Ausmaß der NSA-Überwachung und die Rolle hiesiger Einrichtungen im geheimen Drohnenkrieg der USA aufzuklären. Dies verdeutlichte Bundesaußenminister Frank-Walter Steinmeier im NSA-Untersuchungsausschuss des Bundestags.Ja aber echt mal! So viel großartige Aufklärungsarbeit, wie die Bundesregierung da geleistet hat! Da ist es ja wohl vermessen, noch mehr zu erwarten!1!!
Ich meine, alleine wie der Steinmeier den Kurnaz weg-aufgeklärt hat!
Weitere Details würden die Bevölkerung bloß verunsichern.
Ich bin ja sogar jetzt schon leicht verunsichert, ohne weitere Details!
Na weil die NSA sich geweigert hat, ihr ein Krypto-Blackberry wie Obama zu geben.
Über die Rockefeller-Kommission sind jetzt ein paar Dokumente veröffentlicht worden, die die Sicht bestätigen, dass die Rockefeller-Kommission eher der Verhinderung der Aufklärung diente. Lustig ist aber, wer damals beim Vertuschen der Zuständige war. Ein gewisser Richard "Dick" Cheney.
Oh und wisst ihr, wer Cheneys Vorgesetzter war?
Kommt ihr NIE drauf!
Donald Rumsfeld!
In jeder Regierung steckt eine CSU.
Jetzt hat die DEA in einem Vorort von Los Angeles eine Abhör-Aktion runterskaliert (nicht gestoppt!), die alleine für knapp ein Fünftel aller abgehörten Telefone in den USA verantwortlich war.
Der BND hat das NSA-Überwachungswerkzeug XKeyscore laut einer Zeugin vom Verfassungsschutz ohne IT-Sicherheitskonzept eingesetzt. Die eigenen Kollegen beim Inlandsgeheimdienst hätten die Tiefen des Systems nicht durchblickt.
Und unsere Verschlüsselung gegen das fiese FBI verteidigt?
Und ich will jetzt nicht auf die naheliegende Theorie hinaus, dass Apple dem FBI nicht helfen wollte, weil sie einen Exklusivvertrag mit der NSA haben. Nein.
Ich will hierauf hinaus:
Apple had asked the F.B.I. to issue its application for the tool under seal. But the government made it public, prompting Mr. Cook to go into bunker mode to draft a response, according to people privy to the discussions, who spoke on condition of anonymity. The result was the letter that Mr. Cook signed on Tuesday, where he argued that it set a “dangerous precedent” for a company to be forced to build tools for the government that weaken security.Apple hat das FBI gebeten, sie nicht-öffentlich nach der Backdoor zu fragen, und dann hätten sie sie auch ohne zu zucken eingebaut. Aber als das FBI dann aus internen Machtdemonstrationsgründen gegenüber den anderen Geheimdiensten und anderen Tech-Firmen einen auf dicke Hose machte und das öffentlich über einen richterlichen Beschluss machte, da hat Apple sich dann entschieden, lieber einen auf theatralischen offenen Brief zu machen.Apple scheißt auf eure Privatsphäre. Außer man kann für die PR ausschlachten. Dann machen sie Rehaugen und zähneknirschen ein bisschen in die Kamera.
Der/die (wird im Film von einer Schauspielerin nachgesprochen) erregt sich fürchterlich, dass der wunderschöne, subtile, zuverlässige Code der NSA von den Trampeln aus Israel so unilateral verteilt wurde, und dass es jetzt so aussieht, als ob die NSA nicht in der Lage sei, eine Cyberwar-Operation durchzuführen, ohne dabei aufzufliegen.
Ein lustiges Detail war noch, dass die den Zentrifugen-Kaputtmach-Code ja testen mussten, und dafür haben sie die Uranzentrifugen genommen, die ihnen der Gaddafi nach dem Zusammenbruch Libyens überlassen hat. Harr harr harr :-)
An dieser Stelle herzlichen Dank an den edlen Ticket-Spender, der an mich dachte, als ihm terminlich was dazwischenkam!
Update: Ein paar Details noch. Die Infektion war nicht bloß ein "wir gehen hin und machen kaputt" sondern dauerte Monate bis Jahre an. Es gab da ein halbes Dutzend Versionen von Stuxnet, die die Amis immer über Agenten manuell in Natanz aufgespielt haben. Und über die zweiwöchentlich (!) stattfindenden Inspektionen der IAEA haben sie dann live gesehen, wie viel Schaden sie gemacht hatten.
Der Code hat erstmal 13 Tage gewartet und eine Baseline an Messdaten etabliert. Denn es dauert so 13 Tage, bis eine frische Uranbefüllung durch die Kaskade durchgesuppt ist und alle Zentrifugen befüllt sind. Dann hat der Code die aufgezeichneten Daten rausgeliefert, damit die Konsole "alles OK" anzeigt, und hat dann die Zentrifugen zerstört. Die Iraner haben wohl auch reihenweise Mitarbeiter gefeuert, weil sie dachten, das sei Pfusch bei der Konstruktion gewesen.
Israel hat dann darauf bestanden, dass es auch einen Cyber-Infektionsvektor gibt und da den 0day-Kram rangepappt und die Samples in den fünf wichtigsten Zulieferer-Buden ausgesetzt. Deren Techies haben das dann zu Natanz gebracht. Lustigerweise hatte der Code ein Log der infizierten Rechner drin, und anhand der Logs konnte man die ganzen Samples aus der freien Wildbahn auf diese fünf Zulieferer im Iran zurückverfolgen.
Das ist alles so eine verlogene Scheiße.
Und dass die ganzen Zeitungen, die unsere Daten an Dutzende von Werbenetzwerken verkauft haben, es wagen, über Datenschutz zu schreiben, das ist auch noch mal ein Thema für einen anderen Rant.
Ich bade hier ja gerade in den Tränen der Apple-User, die mich vollheulen, dass Apple doch Datenschutz total wichtig nimmt. Ja, voll sicher, eure Daten. Da in dem Apple-Tresor. Wo außer von Apple sanktionierten Brosamen keine Realitätsfitzelchen durchgelassen werden. Pest und Cholera.
Ja wie jetzt. Duh?! Hat das ernsthaft irgendjemand noch nicht mitgekriegt? Die alten Männer mit ihren Filzstiften wollen Zugriff auf alles und jeden, immer und überall. Wenn es existiert, wollen sie Zugriff. Wollen nicht nur. Haben.
Wir reden hier von einer Junta, die mal eben für ein ganzes fremdes Land einen Ausschalter installieren, damit sie willkürlich das andere Land runterfahren können. Seit Jahren scrollen die Meldungen an uns vorbei, was GCHQ und NSA alles abschnorcheln. Und wo sie keinen offiziellen Zugriff kriegen, da beschaffen sie sich halt inoffiziellen Zugriff.
Und jetzt sollen wir denen ernsthaft glauben, dass sie ein gammeliges Iphone nicht entsperrt kriegen?!
Für wie blöde halten die uns eigentlich!?
Nein, liebe Leser, lasst euch da mal nicht verarschen.
Das ist Theater, dieser offene Brief von Apple. Selbstverständlich kann alles entsperrt werden.
Wir reden hier von der Regierung der USA auf der anderen Seite. Die Emails und SMSsen sind eh an der Schnorcheln der NSA vorbei gekommen, die Telefonat-Metadaten stehen in der Datenbank der Telcos, die mit der Polizei kooperieren.
Ich kenn mich jetzt nicht damit aus, wie Apple ihren Cloud-Scheiß technisch macht, aber ich würde mal vermuten, dass man da an die Daten wieder rankommt, wenn man genug Zeit zum PINs durchprobieren hat und an den Computer mit dem Itunes drankommt.
Wenn nicht eh die PIN als Textdatei auf besagtem Computer liegt.
Oder die NSA benutzt einen ihrer Baseband- oder Jailbreak-0days. Oder man wartet halt ein bisschen, bis die 0days von heute die bekannten Lücken von morgen sind, und dann benutzt man eine bekannte Lücke.
Und jetzt der völlig überraschende Teil: "The NSA’s SKYNET program may be killing thousands of innocent people"
NEIN! DOCH!! OOOOOOH!
Money Quote:
Patrick Ball—a data scientist and the executive director at the Human Rights Data Analysis Group—who has previously given expert testimony before war crimes tribunals, described the NSA's methods as "ridiculously optimistic" and "completely bullshit."Ach naja, das muss man aber auch verstehen. Wenn man nie nachweisen muss, dass etwas funktioniert, und immer einfach behaupten kann, alle Toten waren halt Terroristen, wieso würde man dann da was anderes als Optimismus als Methode verwenden? Kill them all, let God sort it out!
Pre-Auth Remote Code Execution per UDP, in einer Komponente, die für die Sicherheit da ist!
Herzlichen Glückwunsch, Cisco. Da muss die NSA ja gar keine Backdoors einbauen, wie bei Juniper.
Dort befindet sich eine der historisch größten Abhörinstallationen der NSA im Europa, inzwischen "von der Bundeswehr betrieben". Würde mich wundern, wenn es da einen Zusammenhang gibt, aber in einem Verschwörungsblog muss ich das erwähnen :)
Once you use a cloud company you are essentially handing your data over to them and relying on their security, so he warned due diligence is even more important than usual.
Damit wäre dann das Argument entkräftet, die NSA könnte sich in unsere Vorratsdaten reinhacken. Muss sie gar nicht. Der BND wird sie ihnen freiwillig geben.
Welcher Aspekt, fragt ihr?
Na die Geheimdienstkooperation von Bad Aibling und der NSA!
Das wäre ja auch nicht gut gewesen, wenn man sich davon einem Skandälchen aufhalten ließe, wie dass die NSA unsere Regierung ausspäht, und dafür den BND benutzt.
So, nachdem das geklärt ist, können wir uns ja auch mal anderen Aspekten der Regierungsarbeit zuwenden. Ich persönlich würde es begrüßen, wenn neben der Geheimdienstkooperation mit der NSA und dem Finanzieren von terroristischen Vereinigungen via "Verfassungsschutz" bei uns sonst noch was funktionieren würde.
Die NSA darf jetzt nicht mehr Merkel bespitzeln. Angeblich.
Was tun sie also? Na klar! Was jeder an ihrer Stelle tun würde!
As a workaround, however, the White House authorized the NSA to target the communications of a select group of those leaders' top advisers.Die Berater abhören! Und wenn die Merkel mit denen telefoniert, dann ist das ja nicht Merkel, die wir abhören, das ist ja bloß Beifang!1!!Was wollten die denn von der Merkel? Kommt ihr NIE drauf!
In the case of Ms. Merkel, U.S. intelligence veterans feared losing access to her private communications with Russian President Vladimir Putin.An Putin rankommen! Den können sie anscheinend nicht direkt abhören, sonst würde sich die Frage ja gar nicht stellen, ob man die Merkel beschnüffeln soll, um an Putin ranzukommen.Nächster Lacher:
They also questioned the wisdom of the move, especially given their belief that the intelligence agencies of many close U.S. allies, including Germany's BND federal intelligence service, spy on the White House.NEIN! DOCH!! OOOOOH!!!Wartet, wird noch lustiger! Sie haben sogar eine Bullshit-Ausrede für das Merkel-Abhören! Das hat nämlich gegen Schröder angefangen, als er beim Irakfeldzug-Wetthüpfen der USA nicht "wie hoch?" gefragt hat. Und als dann Schröder ging und Merkel kam …
"The machinery was in place. The machinery never stops," a former Bush administration official said.Ja gut, da kann man nichts machen. Einmal installiert bleiben Wanzen natürlich ewig liegen und funken weiter. Das leuchtet ja wohl jedem sofort ein!Mr. Obama decided instead to remove so-called selectors, which are the email addresses and phone numbers of NSA targets. Officials said such a move would allow Mr. Obama and his successors to easily adjust the list of targets.Das muss man sich wie beim BND vorstellen. Die schnüffeln alles — und löschen dann gezielt weg! Wie, Nachprüfbarkeit? Vertraut ihr uns etwa nicht?!OK, jetzt ist euer Popcorn wahrscheinlich alle. Dann holt mal schnell neues, denn es geht noch weiter!
On one occasion, before the Snowden revelations, the BND inadvertently showed the NSA a target list meant for German eyes only, according to current and former U.S. intelligence officials. On it, they said, were BND "selectors" for senior officials at the White House.Oh, ach? Ich dachte Spionage unter Freunden, das geht gar nicht?
Dies sei trotz der Ankündigung des amerikanischen Präsident Barack Obama geschehen, man wolle verbündete Staats- und Regierungschefs nicht mehr ausspähen, berichtete das „Wall Street Journal“ am Dienstag. Obama hatte dies vor zwei Jahren nach Enthüllungen des ehemaligen NSA-Mitarbeiters Edward Snowden über ein Massenüberwachungsprogramm des NSA angekündigt.Oh nein! Auf Versprechungen und Zusagen der Amerikaner kann man sich nicht verlassen?!
Hinter den Kulissen habe das Weiße Haus jedoch entschieden, bestimmte Verbündete weiter streng zu überwachen. Netanjahu habe „ganz oben auf der Liste“ gestanden.Ach sooo, das war bloß eine Ausnahme. Na dann ist ja alles gut.
So, dann gucken wir doch mal in den Fahrplan.
Tag 1: Der 11:30-Slot hängt davon ab, wer die Keynote macht. Ich denke mal, ich würde da in der Keynote bleiben.
Der Slot ab 12:30 ist schwierig. Saal 1 ist eine Netzpolitik-NSAUA-Veteranin, das wird sicher spannend. Saal 2 ist die Erfinderin von Blue Pill, wenn ihr euch an den Hype vor ein paar Jahren erinnert. Ihr Konzept im Vortrag hat sie schon geblogt. Es ist: Stateless Laptop. Sie fordert eine Hardware ohne Speichermedien, insbesondere ohne Firmwares und Flash-Biosse, kurz: was, wo man nirgendwo Malware einspielen kann. Ich glaube, der Zug ist abgefahren. Und vor allem ist es bei heutiger hochintegrierter Elektronik gar nicht so einfach, von außen zu bestätigen, dass da nirgendwo Flash-Speicher mit dabei ist. Aber anhören möchte ich mir das trotzdem. Mal gucken, entscheide ich kurzfristig.
Der Slot ab 14:00 wird wohl Saal 1 oder verlängerte Mittagspause mit Socializing bei mir.
Beim Slot um 16:00 tendiere ich zu Saal 2. Bin eher nicht so der Hardware-Hacker, aber Saal 1 ist noch hardware-iger.
Der Slot um 17:00 wäre eigentlich ein klarer Fall von Saal 2, aber da kenne ich den Vortragenden und habe die Folien korrekturgelesen. Mal gucken.
Der Slot um 18:30 ist wieder schwierig, weil es in beiden großen Sälen um Massen-Pwnage geht. Saal 1 ist von den Scada-Strangelove-Leuten und handelt von Eisenbahn, Saal 2 ist glaube ich der Vortrag, in dem das Netz von Kabel Deutschland Schaden nimmt. Wobei sie das schon gefixt haben werden. Also eher Schaden fürs Ansehen.
Der Slot um 20:30 wird Saal 2 für mich, gar keine Frage. Saal 1 betrifft Apple. Who cares.
Der Slot um 21:30 wird ganz klar Saal 1. Saal 2 ist sicher auch spannend und cool, aber Saal 1 ist ein Hardware-Ingenieur von AMD, eine der wenigen ernstzunehmenden Einreichungen, die wir zu Failosophy hatten. Bei Failosophy war die Idee, Industrieveteranen mal über ihre Fehlstarts berichten zu lassen, damit man was daraus lernen kann. Und um "boah guckt mal alle wie toll wir hier sind" zu vermeiden. Da muss ich also hin. Saal 3 klingt auch gut, aber Saal 1 ist Pflicht an der Stelle. Gut, dass wir Video-Aufzeichnungen haben!
Der Slot um 23:00 ist schon wieder ein Konflikt zwischen Saal 1, wo djb und Tanja Lange sprechen werden (mehr muss ich gar nicht wissen, da werde ich sitzen) und Saal 2, wo mein alter Kumpel Gadi und einer seiner Techniker-Mitarbeiter einen dem Vernehmen nach sehr coolen Vortrag über Trojaner-Zoologie halten wird. Na mal gucken, vielleicht geh ich auch zu Gadi und guck mir djb auf Video an. Eine harte Entscheidung. Mann Mann Mann, ey!! Wer macht eigentlich immer diese Fahrpläne?! *rant*
Update: Ich erfahre gerade aus gewöhnlich gut informierter Quelle, dass man den VW-Talk unbedingt sehen will. Der ist heute um 14:00 in Saal 1.
Update: Beim Durchgucken der anderen Tage fällt mir auf, dass ich fehlinformiert war. Wir haben da einige coole Failosophy-Talks.
Indeed, it quickly came to light that Juniper have a page where they say that the VPN devices in question here “do utilize Dual_EC_DRBG, but do not use the pre-defined points cited by NIST”.Das war genau der Zufallszahlengenerator, der von der NSA kam, und den NIST nach Snowden zurückziehen musste. Mit anderen Worten: Der Eigengeruch dieser Backdoor erinnert relativ deutlich an die NSA.Reports indicate a backdoor designed by NSA has been repurposed by America's adversaries and used against us:-)Oh und noch ein wichtiges Statement hat er geäußert, zur Deppen-Entgegnung "na wer ist schon so doof und kauft Juniper":
This thinking misses the point. Juniper just *closed* backdoors in their product. Cisco's still wide open.Ich würde mich ja jetzt nicht so weit aus dem Fenster lehnen wollen, dass das die einzigen Backdoors bei Juniper waren. Das meinte Snowden auch nicht, aber zur Sicherheit, falls jemand auf die Idee kommt, das so zu lesen.
Einmal alle rumlaufen und alles updaten, bitte!
Ich bin ja generell kein Freund von Severity-Ratings, denn alles, was das tut, ist Leuten Ausreden an die Hand geben, wieso sie das Update verschieben können. In diesem Fall sind alle der Ratings Moderate oder kleiner, d.h. das sieht schon wieder so aus, als könne man sich das Update auch sparen, alles nicht so schlimm. Aber lest euch das mal durch. Das eine heißt, dass die NSA möglicherweise euren Private Key raten kann, wenn ihr DHE-Suites anbietet. Aber ist nur moderate, weil, äh, ach naja, wer hat schon so viel Ressourcen wie die NSA!1!! Ein anderer Bug ist ein Double Free, das würde bei Microsoft zum Beispiel sofort als Remote Code Execution und gelten und ein Critical kriegen. Also lasst euch nicht verarschen, updated alle euer openssl. Jetzt.
Na?
Kommt ihr NIE drauf!
Durch den NSA-Untersuchungsausschuss haben wir erfahren, dass die Hauptstelle für Befragungswesen (HBW), eine frühere Tarnbehörde des BND, auch Tarnpapiere ausgestellt hat. Nicht nur an Mitarbeiter des BND selbst, sondern ebenso an Mitglieder ausländischer Nachrichtendienste, darunter Briten und US-Amerikaner.Wer sich jetzt denkt: Hey, brilliante Geheimdienstarbeit, jetzt wissen wir, unter welchen Namen sich ausländische Spione bei uns aufhalten!1!!, für den habe ich eine schlechte Nachricht:
In der Antwort auf eine Kleine Anfrage (OCR-Volltext unten) des Linken-Abgeordneten Andrej Hunko sehen wir, wie wenig Überblick die Bundesregierung über das Ausmaß der Vergabe falscher Papiere hat – oder haben will.Ja nee, wir gucken da nicht so genau hin! Das sind schließlich unsere Freude!1!!
Glücklicherweise hat das hier mal jemand recherchiert:
Over the past year, current and former intelligence officials tell Yahoo News, IS terror suspects have moved to increasingly sophisticated methods of encrypted communications, using new software such as Tor, that intelligence agencies are having difficulty penetrating — a switch that some officials say was accelerated by the disclosures of former NSA contractor Edward Snowden.Ohne diesen fiesen Massenmörder Snowden, der das Blut von Hunderten an den Händen hat, wäre Paris heute sicher!1!!
Herr Graulich hält am "Datenbankurheberrechtshindernis" als zivilrechtlichem Einwand gegen Einsichtnahme durch Parlament fest. #NSAUA (lol)Das stößt mir besonders sauer auf, weil das genau das "Argument" der Verlage im Paperboy-Verfahren gegen mich war. Die haben schlicht ihre Webserver zu Datenbanken umdefiniert. Und sind damit gescheitert.
Geheime Dokumente, die der Süddeutschen Zeitung vorliegen, legen die Vermutung nahe, dass Graulich in seinem 262 Seiten langen Abschlussbericht wichtige rechtliche Einschätzungen ohne Quellenangabe aus einem vertraulichen, vier Seiten langen Kurzgutachten des Bundesnachrichtendienstes abgeschrieben hat.Gut, auf der anderen Seite kann ich das verstehen. Wenn ich bei einem vorgeblich neutralen Gutachten in einem vorgeblich rechtsstaatlichen Verfahren gegen eine Rogue Agency aus dem Verteidigungspapier der besagten angeklagten Agency zitiere, dann sieht das ja weder neutral noch rechtsstaatlich aus.
Die Amerikaner hätten damit klar gegen vertragliche Vereinbarungen verstoßen.SOLL DAS EIN WITZ SEIN?! Ihr schnorchelt für die NSA und dann wollt ihr die Schuld für euer Fehlverhalten auch noch der NSA reindrücken? Weil die hier nicht verfolgbar ist, ja? Nee, Leute, damit kommt ihr nicht durch. BND auflösen. Jetzt!
Demnach hat eine erste Prüfung der Selektoren in der BND-Zentrale in Pullach ergeben, dass sie anders als die Selektoren des US-Geheimdienstes NSA nicht codiert und damit unmittelbar les- und verstehbar sind."codiert"? Soll das ein Witz sein?!
Weiter heißt es in den Kreisen, die Liste enthalte zahlreiche Namen konkreter Personen. Zudem ergebe sich aus ihr, dass praktisch ganz Europa und die USA von den Spionageaktivitäten des deutschen Auslandsgeheimdienstes betroffen gewesen seien.
Dass Fußball-Korruption überhaupt eine Story ist! Als ob da irgendjemand von überrascht wäre!
Immerhin ist auf den Postillon Verlass. In Notzeiten merkt man, wer die wahren Freunde sind.
Update: Hmm, Fußball-Korruption war schonmal Argument der NSA-Lobbyisten bei der regierungsstützenden Springer-Presse.
New hotness: BND spioniert für sich selbst europäische (und US-)-Ziele aus.
Nach Informationen von SPIEGEL ONLINE befanden sich darunter auch französische und US-amerikanische Ziele, die ausdrücklich nicht dem Auftragsprofil der Bundesregierung an den BND entsprechen.Na ein Glück, dass wir so eine hervorragende Geheimdienstkontrolle haben!
Zusammenfassung: Sie pullen da einen Mielke. Aber aber ich liebe doch alle! Alle Menschen!
Wir machen diese ungehöre Datenerhebung, deren Umfang selbst der NSA unangenehm wäre, um euch vor fiesen Kriminellen zu schützen! Wenn wir sehen, wann welcher Cookie wie häufig wo benutzt wurde, dann können wir sagen, ob das ein Mensch oder ein Bot ist!1!!
Das ist ja schon Fremdschämmaterial genug, aber was mich am meisten mitnimmt an der Geschichte ist, dass ich Alex Stamos aus einem früheren Job kenne, und da erschien der mir nicht so verstrahlt. Der ist mal dadurch aufgefallen, dass er auf der Blackhat bei dem Social Event für die Vortragenden den NSA-Chef angekackt hat, was er sich denn denke, die Rechte anderer Leute so mit Füßen zu treten. Ich ahnte ja schon, dass das nicht gut gehen würde, wenn der zu Facebook geht. Eine Seite würde nachgeben, dachte ich mir, aber ich hoffte, dass Facebook auch ein bisschen nachgeben würde. Ich habe mich geirrt.
Ich weiß ja nicht, was die bei Facebook ins Trinkwasser tun. Oder vielleicht zahlen die auch einfach exzeptionell gut. Aber das gruselt mich ganz gewaltig, das ist für mich wie die Fantasien der Amis im kalten Krieg, was die dachten, was für Hirnkontrolldrogen die Sowjets angeblich hätten, und damit ihre freiheitsliebenden Amis fernsteuern könnten. So fühlt sich das gerade für mich an. Sehr, SEHR gruselig.
Das war eine kurze Durchsage aus dem US-"Justiz"ministerium.
Update: Hier kommen jetzt Mails rein, dass das eine Kampagne gegen den Typen ist. Das spielt keine Rolle. Wenn dir jemand vorwirft, du hättest eine Oma ausgeraubt, dann kannst du auch nicht sagen, das sei eine Kampagne. Bzw kannst du das natürlich sagen, aber es ändert nichts daran, dass der Raub an der Oma untersucht werden muss. Wer NSA-Style Spitzelprogramme über seine Parteifreunde macht, was würde der erst mit den Oppositionellen machen, wenn er an der Macht ist?
um bei der Sache mit Griechenland, den Olympischen Spielen und der Ukraine noch eins drauf zu setzen:Hmm, ja, also … das war schon eine auffällige zeitliche Koinzidenz, dieser Ukraineputsch so direkt im Vorfeld zu den Sochi-Spielen. *bartkraul*Was glaubst Du, hat die NSA bei den Winterspielen in Sochi gemacht ?
https://de.wikipedia.org/wiki/Olympische_Winterspiele_2014
Ich habe damals die Spiele (und den Putsch in der Ukraine) im russischen Fernsehen (in Litauen) verfolgt. Putin waren da die Hände gebunden und konnte nicht eingreifen! Das wusste der CIA ganz genau!
Dreimal dürft ihr raten, ob die NSA das dann auch getan hat.
Mit Frauen am Steuer, müsst ihr wissen, wird alles viel besser in der Geschäftswelt. Und hey, wenigstens war ihre Regentschaft moralisch einwandfrei, wirtschaftlich hat sie HP ruiniert.
Bereits seit einiger Zeit hat die UBS ihr Netzwerk ausgelagert. Zum Zug gekommen war eine andere umstrittene amerikanische Firma. Sie hiess CSCCSC! Da war doch was. Ach ja, das waren die, die auch in Deutschland Bundeswehr und BKA machen! Na DANN ist ja alles bestens! Und bei der UBS ändert sich auch nichts für die Kunden. Business as usual. (Danke, Ulf)
Das passt natürlich zeitlich auch gerade prima, wegen der Fingerabdruck-Geschichte.
Aber nein, wir geben keine Daten an die NSA! Wir geben unsere Daten an die Zentrale, die gibt sie an die NSA. Das ist ja wohl was völlig anderes!
Aber nein, wir kooperieren nicht mit der NSA! Gut, ab und zu schaut ein NSA-Techie vorbei und updated unsere Software, die wir von der NSA haben. Aber das ist ja wohl was völlig anderes!
Money Quote:
Die Befragung verlief teils turbulent, da A. N. von sich aus so gut wie keine Informationen preisgeben wollte. Der Ausschussvorsitzende Patrick Sensburg (CDU) drohte dem BND-Führungsmitarbeiter deswegen einmal sogar ein Ordnungsgeld an.*gacker*
Ein Mitarbeiter des Bundesnachrichtendienstes hat im NSA-Untersuchungsausschuss des Bundestages ausgesagt, viele E-Mails mit sogenannten NSA-Selektoren seien vom deutschen Auslandsgeheimdienst "versehentlich gelöscht worden".SO SCHULDIG sind die beim BND — und wissen es! Da gehört schon ein gehöriger Haufen kriminelle Energie dazu. Auf der anderen Seite passt das ja gut zu der kriminellen Energie in den anderen Behörden und der Regierung. Wir haben halt die Regierung, Geheimdienste und Behörden, die wir verdient haben.
Nun, das war schlimmer als bisher gedacht. Denn die Hacker haben auch die Fingerabdrücke dieser Leute da rausgetragen. Die Fingerabdrücke der CIA- und NSA-Mitarbeiter. In Feindeshand. Das muss schmerzen.
darunter die Empfehlungen, auf zu strenge Regeln mit soundsovielen Sonderzeichen, Ziffern und Großbuchstaben zu verzichten und die Nutzer auch nicht regelmäßig zu zwingen, neue Passwörter zu wählen. Solche Regeln würden nur den Nutzern das Leben erschweren, nicht aber den Angreifern.Äh … aha?
Stattdessen schlagen sie Big-Data-NSA-GCHQ-Totalüberwachung mit maschineller Erkennung verdächtiger Aktivitäten vor. Denn wenn wir etwas im Moment noch nicht genug haben, dann ja wohl Überwachung!
CIA Director John Brennan suggested that negative public opinion and "misunderstanding" about the US intelligence community is in part "because of people who are trying to undermine" the mission of the NSA, CIA, FBI and other agencies. These people "may be fueled by our adversaries," he said.Ja klar, das ist alles ein Plot der Kommunisten, um unser großartiges Heimatland kaputtzumachen! They hate us for our freedom!
Nach SPIEGEL-Informationen wurden in der Operation "Glotaic" zwischen 2004 und 2006 Telefon- und Faxverkehre des US-Anbieters MCI an dessen deutschem Standort Hilden überwacht. Dabei wurden die Audiodaten abgehörter Gespräche "direkt nach USA geroutet", damit "die Audiofunktion ohne Aussetzer funktioniert", wie es in einem vertraulichen Papier des BND heißt.Ich sage euch, wenn uns das vorher jemand gesagt hätte, dass uns unsere eigenen Geheimdienste so dreist belügen würden, dann hätten wir die schon vor Jahren zugemacht!1!!Bislang hatten BND-Mitarbeiter im NSA-Untersuchungsausschuss des Bundestags angegeben, alle Gespräche seien vom BND gefiltert und geprüft worden.
Oh, warte …
Es gibt hoffentlich in diesem Lande niemanden mehr, der denen ihr "wir wussten von nichts"-Gehabe abnimmt. In irgendeinem der vielen Fälle.
Dort sitzen aus meiner Sicht die echten Landesverräter. (Danke, Michael)
Anders als vom Bundeskanzleramt behauptet, hat das Weiße Haus der Bundesregierung nicht untersagt, den Geheimdienstausschüssen des Bundestags die sogenannte Selektorenliste des US-Nachrichtendienstes NSA zur Einsicht vorzulegen.Wir sind ja alle gewohnt, von unserer "Regierung" belogen und betrogen zu werden, dass die uns bescheißen, wo sie nur können, aber so eine dreiste Lüge setzt echt Maßstäbe. Normalerweise ist denen das wenigstens ein bisschen peinlich und sie lügen lieber durch Auslassen von wichtigen Details oder durch vorgetäuschtes Unwissen.
Wieso sind die eigentlich noch im Amt? Ist da nicht die rote Linie deutlich überschritten?
Ist DAS nicht Landesverrat?
DER TYP ermittelt jetzt wegen Landesverrats gegen netzpolitik.org. Was hat Netzpolitik.org getan? Merkels Telefon abgehört? Massenweise deutschen Internet-Traffic abgeschnorchelt? Via BND Industriespionage gegen deutsche Ziele verübt? Aber nicht doch! Wer sowas tut, wird ja nicht verfolgt bei uns. Wir verfolgen lieber Journalisten dafür, dass sie ihre Arbeit machen. Während der ganze Rest der Journallie lieber Bratwurstjournalismus betreibt und "wie aus uns vorliegenden Dokumenten hervorgeht"-Pullermannjournalismus betreibt und "wie es aus Regierungskreisen hieß" für eine Quellenangabe halten, während die "gewöhnlich gut unterrichtete Quellen" "zitieren", stellt netzpolitik.org die Originaldokumente online. Und DIE werden jetzt verfolgt?! Wegen Landesverrats?
Eine unfassbare Frechheit. Aus meiner Sicht sind das die einzigen in diesem ganzen Apparat, die nicht unser Land verraten haben. Der Herr Generalbundesanwalt sollte sich mal selber wegsperren. Schon die geringe Hoffnung, dass nach ihm jemand den Posten kriegt, der tatsächlich mal gegen Landesverräter wie den Bundesnachrichtendienst ermittelt, wenn die dabei auf frischer Tat erwischt werden, wie sie für die NSA deutsche Ziele ausspühen, schon die wäre ein Schritt nach vorne gegenüber dem Status Quo.
Jetzt wissen wir endlich, wie sich die Schweden gefühlt haben, als ihre Regierung auf Zuruf der Contentmafia Pirate Bay verfolgt hat, obwohl die gegen keine schwedischen Gesetze verstießen.
EINE SCHANDE IST DAS! SCHANDE!
Je suis Netzpolitik.org!
Update: Der Deutsche Journalisten-Verband spricht von einer „Justizposse“
Update: Ach Übrigens, der Vollständigkeit halber. Es steht ja die Frage im Raum, wer uns verraten hat. Meine Stammleser kennen die Antwort schon, für den Rest möchte ich kurz erwähnen, dass der Generalbundesanwalt weisungsgebunden ist und dem Justizministerium untersteht. Der Justizminister heißt Heiko Maas und ist bei der SPD. Mit anderen Worten: Wer hat uns verraten? Die Sozialdemokraten!
Update: Die "Zeit" solidarisiert sich mit Netzpolitik.org, und auch die Süddeutsche in Form von Leyendecker und Mascolo beziehen klar Stellung. Das freut mich ja besonders, dass das sogar dem Geheimdienst-Mascolo zu weit geht. Sie sehen das als Wink mit dem Zahnpfahl in ihre Richtung, und da haben sie natürlich völlig Recht mit. Jeder Journalist sollte jetzt auf den Barrikaden stehen. Selbst die Böll-Stiftung berichtet in ihrer Sektion "Menschenrechte", in der es sonst um so Fragen wie Wahlen in Nigeria und Flüchtlinge im Mittelmeer geht.
Update: Einen erfreulichen Aspekt gibt es schon. Niemand stellt in Frage, dass es sich bei den Bloggern von Netzpolitik.org um Journalisten handelt.
Update: Hier ist die URL bei netzpolitik.org selbst. Die Site war vorhin ein bisschen überlastet, aber jetzt scheint es wieder zu gehen.
Ich habe den Abschnitt mal extrahiert.
In diesem Interview-Ausschnitt erklärt Ex-NSA-Boss Hayden, wie die Welt der Geheimdienste funktioniert.
In der Spionage ist das akzeptierte internationale Praxis. Wenn du mir meine Geheimnisse stiehlst, ist das eine Schande für mich, nicht für dich.Mit anderen Worten: Was seid ihr Deppen auch so blöde und lasst uns damit durchkommen! Euer Vollpfosten-Geheimdienst hilft uns ja noch dabei! Auf Kosten eurer Steuerzahler! (Danke, Simon)
Ich bin übrigens gespannt, wie sie das mit dem sich über die Jahre akkumulierenden Update-Cruft umgehen wollen. Es soll ja keine weiteren Versionen mehr geben nach Windows 10.
Also erstmal: Ich glaube nicht, dass die NSA ein Problem damit hat, beliebig viel Geld auszugeben, wenn es aus ihrer Sicht nötig ist.
Zweitens: Die Leute nehmen noch nicht mal durchgehend PGP und SSL. Die Idee, dass die jetzt alle Onion Routing machen, weil das plötzlich performt, ist lächerlich.
Drittens: Tor SOLL langsam sein. Je mehr Jitter da drin ist, desto schwieriger ist die Korrelation anhand gesniffter Pakete. Eigentlich ist es schon völlig falsch, über Tor überhaupt Echtzeitdienste zu fahren. Man sollte da lieber mehrere Sekunden Verzögerung einbauen, künstlich, noch oben drauf.
Die Prämisse, dass Tor zu langsam ist, stimmt also schonmal nicht.
Aber ich habe mir das Paper noch nicht durchgelesen, nur Berichterstattung darüber, und könnte daher auch völlig falsch liegen.
Update: Die Schwächung gegenüber Tor ist bei näherer Betrachtung sehr gering, praktisch nicht der Rede wert. Auf der anderen Seite haben sie sich Gedanken gemacht, wie man Trafficanalyse erschweren und die Pfadlänge verbergen kann, und die Lösung ist: Padding aller Pakete auf Maximalgröße. Am Ende des Tages schluckt das viel mehr Bandbreite als Tor. Wie man unter solchem Umständen von High Performance reden kann, erschließt sich mir nicht wirklich. Im LAN vielleicht. Auf der anderen Seite wird mir gerade glaubwürdig versichert, dass bei Tor-Nodes tatsächlich das Lookup des States die CPU auf Anschlag hält. Hmm.
Zum Beispiel müsse er noch klären, ob die von Wikileaks veröffentlichten Protokolle von Gesprächen Merkels tatsächlich echt seien und von wem sie stammen. Dabei zähle er auf die Hilfe von Behörden wie dem Bundesnachrichtendienst, dem Bundesamt für Sicherheit in der Informationstechnik und dem Verfassungsschutz.Ja, klar, denn wenn jemand gegen die NSA auf unsere Seite der Barrikaden kämpft, dann sind es BND, Verfassungsschutz und BSI!1!!
Ich denke, ich greife da mal ein bisschen vor. Der Generalbundesanwalt ist durchaus willens und in der Lage, gegen die NSA zu ermitteln. Alles, was er braucht, ist ein notariell beglaubigtes Geständnis von Obama und allen NSA-Mitarbeitern der letzten 15 Jahre. Und natürlich Fingerabdrücke, DNA-Beweise, Zeugenaussagen, die Original-Abhörbänder, Satellitenfotos der Abhörer und Baupläne der Wanzenbauer. DANN könnte er was tun. Aber so? (Danke, Stefan)
Die Dobrinth-Maut, die Vorratsdatenspeicherung, NSU, selbst wenn man nur die aktuell stark schwelenden Krisen zählt! die NSA-Affäre, die Flüchtlinge, die Griechenland-Krise, … die verkackt ja wirklich alles, was sie anfasst! Und zwar so nachdrücklich, dass die "Welt" — DIE WELT!! — vom "hässlichen Deutschen" spricht.
Beim Nachdenken über Metaphern zu Wahlen in diesem Land ist mir aufgefallen, dass die Farben auf einem Roulette-Rad Schwarz und Rot sind, und die Null ist in Grün. Und so ist das ja auch bei der Wahl. Man kann sein Geld auf Rot oder Schwarz setzen, oder, wenn man auf ganz geringe Erfolgschancen setzt, auf Grün, und am Ende gewinnt die Bank.
Und wie im Casino sind die Leute offenbar zu blöde zu verstehen, dass sie gerade ihre Altersversorgung und den College-Fonds für die Kinder verzocken.
Gut.
Hier ist der Lacher des Tages für heute: Julian Assange sagt an, dass er dem NSA-Untersuchungsausschuss auch gerne die ungeschwärzten Nummern übergeben würde :-)
Wählt man diesen Blickwinkel, lässt sich die Snowden-Saga ganz anders erzählen.Na aber hallo!
Als mögliche Agenten hinter dem Agenten kommen für die Vereinigten Staaten vor allem Russland und China in Frage.Ja und was ist mit Nordkorea und dem Iran?
Beide Länder wollen Amerika seiner moralischen Vorreiterrolle in der Cyberdiplomatie berauben.Seiner, äh, … was? o_O
Die taktischen und technischen Einsichten aufgrund der Daten wären auch eine wichtige Verhandlungsmasse bei Alliierten von China und Russland wie Syrien und Nordkorea.A-Ha! Syrien und Nordkorea! Und was ist mit dem Iran? Afghanistan! Pakistan!! Ach was sage ich, das ist bestimmt die Hisbollah gewesen! Oder doch die Nazis von der anderen Seite des Mondes?
Russland und China wären in besonderem Maß in der Lage, eine solche Situation zu konstruieren.Was für eine Situation jetzt genau? *blätter* Steht da nicht.
Wie konnte ein mittlerer Mitarbeiter eines Contractors als Einzeltäter jemals so unglaublich viele geheime und streng geheime Dokumente zu sich kanalisieren und unbemerkt exfiltrieren?Ja aber echt mal! WAKE UP SHEEPLE!
Vielleicht gab es aber auch professionelle Helfer. Warum ist Edward Snowden nach Osten geflüchtet und nicht nach Süden?Mal abgesehen von dem Detail, dass Snowden nicht nach Russland geflohen ist, sondern von den USA gegen seinen Willen in Moskau gestrandet wurde, bin ich mir sicher, dass hier noch ein ganz großartiger Punkt kommt, der aus dieser falschen Prämisse gefolgert wird.
Aber verschiedene südamerikanische Länder wären besser erreichbar gewesen und hätten ihm ebenfalls Asyl gewährt.Besser erreichbar? Ja, gut, zu südamerikanischen Ländern hätte es aus Hongkong möglicherweise bessere Flugverbindungen als über Moskau gegeben. Aber die wären über US-Luftraum geflogen und abgefangen worden. Aber hey, seit wann lassen sich Technikphilosophen von Fakten ablenken!
Kann man Snowden glauben, dass er China und Russland keine Kopien der 1,7 Millionen geheimer und streng geheimer Dokumente gegeben hat?Also fassen wir mal zusammen. Snowden landet in Moskau mit den Akten in der Tasche. Und dann lassen ihn die Russen nicht mit Kusshand rein gegen Aushändigung der Dokumente sondern er gammelt da monatelang am Flughafen rum?
Leuchtet ein! Das muss dieser vielbeschworene Unterschied zwischen Natur- und Geisteswissenschaften sein!
Warum sind eigentlich in diesen Massen der Leaks bislang nur Dokumente aufgetaucht, die klar die europäisch-amerikanischen Verhältnisse belasten und nichts über China und Russland oder über deren Alliierte im Mittleren Osten enthalten?Hinweis der Redaktion: Wenn Herr Gaycken "mittlerer Osten" schreibt, meint er "naher Osten". Das ist nicht aufgetaucht, weil sich das nicht so gut verkauft hätte. Die Medien sind in den USA nicht im Auftrag der Aufklärung unterwegs, sondern im Auftrag der Leserzahlen und Zuschauerquoten. Keine Sau interessiert sich dafür, wenn die NSA Menschen abhört, die ihrem Auftrag entsprechen.
Aber ich will mal nicht zu hart mit Sandro sein. In einer Sache hat er ja völlig Recht:
Nichts davon lässt sich belegen.Amen. (Danke, Thorsten)
Richard hatte denen eine Liste an Telefonnummern und Email-Adressen gegeben und wollte wissen, ob irgendwas davon auf der NSA-Selektorliste war. Antwort:
Eine Auskunft dazu, ob die von Ihnen benannten Daten zu Ihrer Person, insbesondere die genannten Telefonnummern und Email-Adressen, sich unter den an das Bundeskanzleramt gemeldeten Selektoren, befinden, ist dem Bundesnachrichtendienst nicht möglich. Es handelt sich um Material der National Security Agency (NSA). Der Bundesnachrichtendienst kann nicht frei über dieses Material verfügen.Man würde ja denken, so viele Linguisten wie beim BND arbeiten, dass sie wenigstens in ihren Textbausteinen die Kommasetzung hinkriegen.
Die Amerikaner waren auch überrascht.
Amerikanische Geheimdienste sind erstaunt über die "zögerlichen Reaktionen" der Deutschen, nachdem der Lauschangriff der US-Behörde NSA auf Angela Merkels Handy bekannt wurde.Die Amis dachte, dass Deutschland zumindest mal den Botschafter einberuft und ihnen Botschaftspersonal ausweist. Denn das hätten sie gemacht, wenn rauskäme, dass der BND Obama bespitzelt. Dann gäbe es sofort "harte nachrichtendienstliche Sanktionen gegen Deutschland".
Wenn man die USA fragt, bzw guckt, wen die so abhören, dann neben dem "Spiegel" auch die "NZZ" und das "Handelsblatt".
BND-Chef Schindler hat die Behörde jetzt energisch verteidigt: Die Kooperation mit der NSA sei kein Skandal. Außerdem mache der BND weniger Fehler als andere Behörden.Ja super, Herr Schindler! "Andere sind noch schlechter!" Das ist immer eine ausgezeichnete Verteidigung. Was wollen Sie denn mit mir, ich bin doch nur Doppelmörder! Suchen Sie doch lieber Vierfachmörder! Und wenn nicht alles über den BND geheim wäre und wir die Skandale immer von außen rausrecherchieren oder aus Leaks lernen müssten, wäre das vielleicht auch fast sowas wie ein Argument. So ist es das aber nicht.
Aber, der Neugier halber. Welche anderen Behörden meint er denn konkret?
Das Bundesverwaltungsamt etwa verliere jedes Jahr zahlreiche Rechtsstreitigkeiten wegen rechtswidriger BAföG-Rückforderungsbescheide. Wenn aber der BND einen Prozess verliere, dann gelte er als kriminelle Organisation.Herr Schindler, tut mir leid, wenn ausgerechnet ich derjenige sein muss, der Ihnen das mitteilt, aber: Der BND gilt auch als kriminelle Organisation, wenn er Prozesse gewinnt. Das ist einfach eine Folge der Geheimhaltung. Beim Bundesverwaltungsamt können wir sehen, wenn die Mist bauen, und dann können wir klagen. Beim BND sieht man nichts und Klagen werden abgewiesen.
Aber der mit Abstand coolste Spruch ist der hier:
"Für Nachrichtendienste gibt es ein Sonderrecht, und das gilt."NEIN wie geil! Es gilt, aber nicht für euch, ja? Oder habt ihr die DECIX-Sache schon wieder verdrängt?
Aber wartet, ein Sahnehäubchen gibt es noch. Achtung, stabil hinsetzen:
Auch der BND mache Fehler, räumte Schindler ein - aber andere Behörden machten weit mehr Fehler und seien weniger transparent.Kann hier jemand eine weniger transparente Behörde als den BND nennen? Na? Mir fällt auch keine ein.
XKEYSCORE is a piece of Linux software that is typically deployed on Red Hat servers. It uses the Apache web server and stores collected data in MySQL databases. File systems in a cluster are handled by the NFS distributed file system and the autofs service, and scheduled tasks are handled by the cron scheduling service. Systems administrators who maintain XKEYSCORE servers use SSH to connect to them, and they use tools such as rsync and vim, as well as a comprehensive command-line tool, to manage the software.Vielleicht hört mir jetzt endlich jemand zu, wenn ich sage, dass wir bei Lizenzen für freie Software eine Klausel gegen Militär und Geheimdienste brauchen?Aber wartet, einen Lacher habe ich noch:
John Adams, former security lead and senior operations engineer for Twitter, says that one of the most interesting things about XKEYSCORE’s architecture is “that they were able to achieve so much success with such a poorly designed system. Data ingest, day-to-day operations, and searching is all poorly designed. There are many open source offerings that would function far better than this design with very little work. Their operations team must be extremely unhappy.”Der Mann hat jahrelang einen Cluster aus Ruby-Schnarchware verwaltet, seine Firma ist vor allem bekannt für den Failwhale, und DER will jetzt anderen Leuten sagen, wie man sowas macht! Dass ich nicht lache!Aber bei aller Schelte für die NSA. Eine Sache haben sie doch richtig gemacht:
Analysts connect to XKEYSCORE over HTTPS using standard web browsers such as Firefox. Internet Explorer is not supported.MWAHAHAHA
Ich weiß, dass das auch in Gefängnissen so gemacht wird.
Ich befürchte, dass wir es hier mit einem Vorläufer der nächsten Kryptokriege zu tun haben. Das schrittweise die Bedeutung von Menschenrechten wie dem Briefgeheimnis immer weiter abgeschwächt werden, genau wie die NSA-Enthüllungen ja das Gefühl abgeschwächt haben, dass man sich im Internet ungestört unterhalten kann (das war übrigens noch nie gerechtfertigt, das Gefühl).
Verschlüsselung ist unsere letzte Verteidigungslinie. Wir haben uns schon von dei meisten anderen Prinzipien der Aufklärung verabschiedet.
Wir lassen unsere Nachbarn nicht in unser Internet, weil wir uns daran gewöhnt haben, dass Internet Geld kostet und das Haftungsfragen aufwirft. Ja warum eigentlich?
Wir haben uns von der Idee verabschiedet, dass man sich im Netz bewegen kann, ohne abgehört zu werden. Ja warum eigentlich?
Und jetzt versuchen sie, uns der Reihe nach abzugewöhnen, dass wir ein Recht auf Verschlüsselung haben. Erst in so Kontrollhochburgen und Randgebieten wie Gefängnissen und der Bundeswehr, dann werden sie der Reihe nach alle anderen Argumente durchprobieren. Terrorismus, organisierte Kriminalität, Kindesmissbrauch, Jugendschutz, und am Ende wird die Contentmafia in eure SSL-Verbindungen reingucken wollen, um zu prüfen, dass ihr keine Musik raubkopiert.
Ich möchte betonen, dass es keinen weiteren Rückzugsraum gibt. Wenn wir uns die Verschlüsselung wegnehmen lassen, dann können wir das Internet auch gleich wieder zumachen. Und ich rede hier von Ende-zu-Ende-Verschlüsselung, denn alles andere ist Schlangenöl. Das haben sie ja auch schon versucht, uns das als "das ist doch auch verschlüsselt dann, das reicht doch!1!!" zu verkaufen. Fallt auf sowas nicht rein.
Achtet da mal drauf. Ich sage voraus, dass das in nächster Zeit zunehmen wird, dass öffentlich "Probleme" thematisiert werden, die wir haben, weil jemand verschlüsselt hat. "Diesen Terroristen konnten wir nicht aufhalten, denn er hat seine Festplatte verschlüsselt". Das gab es schon mal zaghaft im Zusammenhang mit Skype, aber das fiel ja gleich wieder in sich zusammen, als wir darauf hinwiesen, dass Skype natürlich gesetzeskonform Abhörschnittstellen anbietet.
Update: Kommentar per Mail:
was Du unter http://blog.fefe.de/?ts=ab6b87e5 bei der Bundeswehr ansprichst, ist für Hamburger Schulen seit einiger Zeit normal.
Der feuchte Traum der bis zum Anschlag im Arsch der Contentmafia steckenden Schulbehörde ist es, jederzeit kontrollieren zu können, wer was im Internet macht (Lehrer, Schüler, etc.).
Die zu diesem Zweck ausgerollte "Lösung" nennt sich "Time for Kids" "Schulrouter Plus" und ist insgesamt ein "Internet minus", etwas derartig zusammengestricktes habe ich bisher noch nicht gesehen. Dass Sachkenntnis in diesem Bereich gerne von Stock-Fotos und bunten Flyern ersetzt wird, versteht sich von selbst…
Wobei ich ja sagen muss, dass ich das in Hamburg durchaus verstehen kann. Da ist man ja quasi direkt in der Nachbarschaft des LG Hamburg.
Update: Noch einer:
nicht nur die Bundeswehr macht das, sondern auch das Arbeitsamt. Für die habe ich mal ein Jahr lang Tech Support gemacht. Da sitzt dann ein Squid mit nem selbstgepopelten root certificate davor, was auf allen Rechnern verteilt ist. Zumindest im IE funktioniert das. Man hatte auch mal versucht, da Firefox einzuführen, aber der blockt, sobald er etwas nicht erkennt.
Update: Auch an Berliner Schulen, in mindestens einer öffentlichen Verwaltung und die Rentenversicherungen setzen sowas anscheinend ein. Wie gruselig! Schade, dass wir keine Parteien haben, die sich um Bürgerrechte kümmern, sonst würde man das gesetzlich verbieten. Fernmeldegeheimnis und so. Das kann ja wohl nicht sein, dass eine Organisation erfolgreich argumentieren kann, das Fernmeldegeheimnis sei nicht verletzt, weil da ja kein Mensch sondern nur eine Software mitliest. Das wäre ja wie wenn man behauptet, Videoüberwachung sei nicht schlimm, weil das eine Kamera und kein Mensch ist.
Oh und sagte ich Selektoren? Nicht nur Selektoren! Auch für das "gibt keine Beweise für Merkel-Bespitzeln" des Generalbundesanwalts wird die Luft dünn.
hier noch eine kleine Ergänzung: Attensity ist beteiligt an der Entwicklung von SMILA, einem Eclipse-Projekt. SMILA ist ein (OS-)Framework zur Analyse und Indizierung unstrukturierter Daten. Die ursprünglichen (deutschen) Autoren arbeiten im Eclipse-Projekt u.A. mit dem Deutschen Forschungszentrum für Künstliche Intelligenz (DFKI) zusammen. Attensity kam erst später dazu.Da zeigt sich mal wieder, dass man an gewissen Feldern am besten gar nicht herum forscht, weil das am Ende nur den Militärs beim Töten hilft. Attensity hat laut der Meldung oben konkret Lehrgänge für das Kriegsministerium durchgeführt. Attensity und Palantir wurden vom Risikokapitalarm der CIA, In-Q-Tel, finanziert. Attensity bietet Natural Language Processing auf Volltextdaten an. Das ist seit Jahren der feuchte Traum der Geheimdienste, dass sie alle ihre abgefangenen und eingesammelten Daten einfach in einen großen Computer reinpumpen, und auf der anderen Seite fällt eine Datenbank mit Zusammenhängen und Verbindungen raus. Als ich mich mit dem Forschungsbereich beschäftigt habe, vor vielen Jahren, war das alles noch nichts. Ob das inzwischen besser geworden ist, kann ich gerade nicht beurteilen. Die Selbstdarstellung klingt durchaus hochtrabend.
With sophisticated categorization and linguistic knowledge models for Retail Banking, Insurance, Telco, Consumer Electronics and Hospitality, Attensity helps you discover key patterns, trends, insights, anomalies and themes hidden in unstructured text. Powerful knowledge engineering and intuitive workflow allows clients to customize the linguistic models to match the intricacies and subtleties of their market place, industry and customers.Rein intuitiv würde ich erstmal laut Bullshit rufen. Aber wer weiß. Solche Buzzwords gab es auch damals schon. War nicht viel hinter.Die andere Firma, Palantir, ist hingegen ein alter Bekannter. Die fallen seit Jahren dadurch auf, noch hipsteriger als die anderen Hipster zu sein. Schon der Name ist eine Frechheit (ein Palantir ist beim Herrn der Ringe eine Art Glaskugel, im Film sieht man Saruman mit einem Palantir). Die positionieren sich als Nerds, um Nerds als Mitarbeiter einzusammeln. Ihre Produkte heißen Gotham und Metropolis. Das ist auch so "du pumpst deine Rohdaten bei uns rein und wir generieren dir Zusammenhänge daraus"-Geschichten. Unter der Hand hört man häufiger, dass die Dienste mit den Palantir-Produkten zufrieden sind, aber ich halte sowas für selbsterfüllende Prophezeihungen und pseudoreligiöse Effekte wie auch bei den Ayn-Rand-Gläubigen. Um solche Tools zu kaufen, muss man fest daran glauben, dass der Computer Dinge sehen kann, die ich nicht sehen kann, und dann nimmt man die Ausgaben von solchen Tools eben auch als göttliche Vorsehung hin. In früheren Zeiten hatte man für sowas Leute wie Hanussen.
Aber das Potential besteht natürlich, dass die Dienste tatsächlich mit solchen Tools Zusammenhänge über uns dataminen können. Daher predigt der CCC ja seit vielen Jahren Datensparsamkeit. Denn nur wenn Daten nicht anfallen, kann man daraus nichst dataminen.
Zu Palantir und Attensity gibt es auch Wikipedia-Seiten. (Danke, Reiner)
Und, weiter unten dann:
Ein angemessen ausgestattetes BSI wäre das, was man sich unter einer guten NSA vorstellen könnte.Alleine die Vorstellung einer "guten NSA" zeigt, dass da einige Leute immer noch im freien Fall sind und noch nicht den klärenden Einschlag erlebt haben.
Und überhaupt, eine "gute NSA" schaffen, was kann DA schon schiefgehen!1!! (Danke, Norbert)
Cybersecurity companies, including the Moscow-headquartered Kaspersky Lab, were targeted by government agencies to gain intelligence of the latest exploits. Details of the security software’s inner workings were deciphered by agencies through a process called software reverse engineering (SRE), which allowed them to analyze and exploit the software suites.Seit Jahrzehnten sage ich das, dass man sich mit "Personal Firewalls" und "Antiviren" die Angriffsoberfläche vervielfacht. Aber ich bin mir sicher, die "Fachpresse" wird weiterhin Antiviren empfehlen und Vergleichstests machen, welches Schlangenöl am schönsten schlängelt.Documents also disclosed efforts by the NSA of intercepting “leaky” data being sent from users’ computers to the Kaspersky Lab servers. Such data, including sensitive user information, was embedded in “User-Agent” strings in the HTTP requests and could be used to assess and track users’ activity.Ja na sowas! Also DAMIT konnte ja wohl NIEMAND rechnen!1!! Oh, warte.
Wie? Nein. Nicht die Aufklärung der Nazizeit. Was? Nein. Auch nicht die Leuna-Affäre. Wer hat da Gauck gesagt? Nein, nicht Gauck. Die Bundesregierung zur NSA-Selektorenliste!
Man stelle sich das mal in jedem anderen Kontext vor. Wo lässt man denn bitte den Tatverdächtigen den Ermittler auswählen?! Soll das ein Scherz sein?!?
Die beste Demokratie, die man für Geld kaufen kann!
Update: Oh und sie sagen direkt an, dass der das Parlament "nur eingeschränkt informieren" wird. Was für eine Farce!
Die Liste der NSA-Selektoren, in die der Ausschuss mit Nachdruck Einblick fordert, habe er selbst nicht eingesehen oder dies beauftragt, sagte Uhrlau. "Das Suchprofil mag für Sie interessant sein, für mich war es das damals nicht." Die Behördenleitung sei da jedenfalls "nicht eingestiegen". Es könne sein, dass jemand reingeguckt habe, aber "es hat mich nicht erreicht".Ja, nee, klar, langweiliger geht es ja kaum! Wenig interessiert Geheimdienste bekanntlich weniger als woran andere Dienste Interesse haben! Das erkennt man ja schon daran, dass wir einen eigenen Geheimdienst dafür haben, ausländische Spionage abzuwehren. Nicht lachen! Den "Verfassungsschutz"! Die sind dann wohl sozusagen die Verkörperung der Langeweile.
Er könne auch nicht sagen, welche BND-Abteilung dafür aussagefähig sei.Nein, natürlich nicht! Das kann man ja wohl von einem BND-Präsidenten nicht erwarten, dass er auf Zuruf sagen kann, welche Abteilung wofür zuständig ist! Wo käme man da hin? Am Ende wollte noch jemand das komplette Totalversagen der Politik zu den ganzen einzelnen Versagern rückverfolgen, die zuständig gewesen wären? Das geht doch nun wirklich nicht!
Wait, what?
Nein, wirklich!
Das Kanzleramt hat sich demnach trotzdem für dieses Vorgehen entschieden, weil die US-Regierung einem Einblick deutscher Parlamentarier ihre Zustimmung verweigert habe. Die sei aber völkerrechtlich notwendig.Seht ihr? Das Völkerrecht sagt ganz klar: Wir dürfen nicht sehen, mit welchen Selektoren uns die NSA abhört, selbst wenn die NSA diese Selektoren unserem Geheimdienst gibt und unsere Regierung Kenntnis von ihnen hat.
Wie, habt ihr das nicht auch so in der Schule gelernt? Im Völkerrechts-Unterricht?
Ich habe da ja mal einen Vorschlag zu machen: Machen wir es wie Belgien. Fahren wir die Regierung für ein-zwei Jahre runter. Es gibt noch eine Verwaltung, die das Tagesgeschäft führt, und in Notfällen kann man ein Notfall-Kabinett einberufen, aber ansonsten fährt man das einfach alles runter. Dann kann man in Ruhe die Software neu installieren, und von mir aus die Hardware tauschen (Hey, warum auch nicht!1!! Ich tausch ja auch immer meine Hardware, wenn ich zu faul zum Reinstallieren bin, und der Steuerzahler auf der Rechnung sitzen bleibt!). Wisst ihr was? Wenn wir schon dabei sind, können wir auch gleich die Parlamentarier austauschen. Ich kann mich gerade nicht erinnern, wann die zum letzten Mal nach ihrem Gewissen und nicht nach Fraktionszwang abgestimmt haben. Oder wann da mal jemand vor dem Abstimmen die Gesetzesentwürfe gelesen hat. Und sich Gedanken gemacht hat.
Diese Art von Parlament braucht niemand hier. Einfach mal ein paar Jahre ins Abklingbecken, dann können die auch nichts mehr mit ihrem Diplomatie-Getrampel noch schlimmer machen in Sachen Griechenland, und dann steht auch niemand einer Aufklärung beim NSA-Skandal im Wege.
Einwände?
Update: Die Regierung natürlich auch gleich mit ins Abklingbecken, falls das jetzt jemand nicht zwischen den Zeilen gelesen hat.
Under the draft agreement, the EU would be barred from requiring the personal data of its citizens to be held within European borders, an idea currently under discussion in Germany.“No Party may require a service supplier, as a condition for supplying a service or investing in its territory, to: (a) use computing facilities located in the Party’s territory,” the leaked draft stipulates.
Update: Wird noch schlimmer:
Danach soll es Staaten künftig untersagt sein, den Transfer und Zugang zu Softwarequellen als Bedingung für Software-Dienstleistungen festzusetzen, wenn der Entwickler aus einem anderen Vertragsstaat stammt.
Mit anderen Worten: Die Amis wollen verhindern, dass sich Europa gegen NSA-Hintertüren wehren kann.
ALL DER SCHEISS, ALL DIE JAHRE und ihr habt nicht mal die CA geprüft!?!?
War ja auch nicht Priorität, wichtiger war, dass alle Daten in Echtzeit zur NSA abgeschnorchelt werden können, gell? Wer interessiert sich da schon für ordentlichen Authentisierung!
Behaltet das mal im Hinterkopf, wenn sie euch mal wieder biometrische Daten abnehmen wollen, damit die Pässe noch fälschungssicherer werden.
Was für eine Frechheit.
Na DA bin ich ja mal sehr gespannt, wie unerträglich peinlich das jetzt wird in Sachen Reaktion im Vergleich zu der Reaktion auf die NSA-Hackereien. Geht schon gut los:
In den aktuellen Fall hat sich nach Informationen von SPIEGEL ONLINE inzwischen Generalbundesanwalt Harald Range eingeschaltet.Oho! Ach? Der schaltet sich auch mal von alleine ein in sowas? Also wenn das jetzt wie die NSA behandelt wird, dann passiert monatelang gar nichts und dann wird das eingestellt, wegen Mangels an Beweisen. Ich kann es kaum erwarten!1!!
Und was steht da so? Snowden ist ein "Held des internationalen Terrorismus", "Putins Propaganda-Pudel", "keinen einzigen NSA-Gesetzesbruch nachweisen können", der Snowden verrät aus Moskau heraus, wie die USA China und Pakistan abhören, … fehlt nur noch der Geheimdienst-Talking-Point mit "gefährdet die Leben unserer Soldaten!1!!"
Wow. Selbst für "Bild"-Verhältnisse. Wow.
The administration decision ensures that beginning at 5pm ET on 1 June, for the first time since October 2001 the NSA will no longer collect en masse Americans’ phone records.Da werden ja jetzt bei dem Snowden die Korken knallen!Schade nur, dass das Nicht-Amerikanern nicht weiterhilft.
Ich habe ja mein SSH schon vor einer Weile auf djb-Krypto umgestellt (hier hatte ich das beschrieben). Es ist leider auffallend schwierig, mit regulären Browsern djb-Krypto im TLS hinzukriegen. Firefox supported das noch nicht (warum eigentlich nicht?), Chrome supported es angeblich, aber ich kriege das nicht negotiated. OpenSSL kann es nicht (es gibt einen alten Patch, der aber nicht auf aktuelle Versionen passt), PolarSSL kann es nicht, BoringSSL kann es zwar, aber die Knalltüten haben das Buildsystem auf cmake umgestellt, und da krieg ich die dietlibc nicht reingepfriemelt. Das muss mir auch noch mal jemand erklären, wieso heutzutage jedes gammelige Hipsterprojekt sein eigenes Buildsystem braucht. Bei autoconf ist wenigstens dokumentiert, wie man da von außen eingreifen kann. Aber dieses cmake ist in der Beziehung nur für den Arsch, ich komm aus dem Fluchen gar nicht raus.
Und so bleibt mir im Moment nur LibreSSL, das kommt in der portablen Version mit autoconf und funktioniert mit dietlibc, und da taucht das auch in der Cipherliste auf, und wenn ich mit openssl s_client die Verbindung aufmache, kriege ich auch ECDHE-ECDSA-CHACHA20-POLY1305, aber mit Chrome? Kein Glück.
Und, mal unter uns, solange man da nicht von Hand noch eine ordentliche Kurve konfiguriert, ist das auch Mist. Von den Kurven, die OpenSSL unterstützt, scheint nur secp256k1 akzeptabel.
Ja, schon, aber: Damit fällt jeder Anreiz für den Hersteller weg, gleich ein ordentliches Produkt auszuliefern. Und dieser ganze Update-Scheiß sorgt auch dafür, dass derjenige, der die Update-Server kontrolliert, der ganzen Welt Malware unterschieben kann.
Paranoia? Die NSA hat daran gearbeitet, über den Android-Store Malware zu verteilen. Und ja, das ist völlig unüberraschend. Das hätte ich an deren Stelle auch getan. Die wären blöd, wenn sie das nicht täten!
Nun ist das glücklicherweise nicht so einfach, weil Google relativ frühzeitig mit Certificate Pinning angefangen hat. Da müsste die NSA also mehr machen als sich auf Netzseite einzuklinken (wir wissen, dass sie das können). Sie müssten auch Schlüssel von Google klauen (davon ist bisher nichts bekannt). Oder sie müssten eine Krypto-Schwachstelle ausnutzen. Ich kenne jetzt die Struktur des Android App Store nicht genug, um sagen zu können, ob dafür das Diffie-Hellman-Problem von gestern reichen würde oder nicht. Aber selbst wenn nicht: Habt ihr schon ein Update für eure alten Androids gesehen?
Ach was sage ich! "Mittlerweile ist im NSA-Untersuchungsausschuss von Millionen Selektoren die Rede"!
Ach naja, NSA-Selektoren galten beim BND halt als "unproblematisch".
Update: Zum Vergleich:
Als handfeste Zahl kann man die Angaben zum aktiven, d. h. in seinen Werken nachweisbaren Wortschatz bei Goethe ansehen, der im 3. Band des Goethe-Wörterbuchs auf ca. 90.000 Wörter beziffert wird.
Das Problem ist, dass Diffie Hellman praktisch die Basis von allen Online-Public-Key-Kryptographiesystemen da draußen ist — SSH, TLS, IPsec, … Schlimmer noch: Wir haben das bei TLS massiv forciert, weil Diffie Hellman erst für Perfect Forward Secrecy sorgt. Das ist die Eigenschaft eines Protokolls, dass wenn die Cops kommen und den Server mit dem Schlüssel drauf beschlagnahmen, sie damit trotzdem nicht vorherige verschlüsselte Verbindungen entschlüsseln können.
Was ist jetzt genau das Problem?
Erstens gibt es eine Downgrade Attack. Downgrade Attack heißt, dass jemand von außen die Pakete im Netz manipuliert. Nehmen wir an, ich verbinde mich zu https://blog.fefe.de/, und die NSA sieht die Pakete und manipuliert sie. Eine Downgrade Attack heißt jetzt, dass die NSA (vereinfacht gesagt) in meinen Handshake-Paketen die ganzen harten Verfahren aus der Liste der unterstützten Kryptoverfahren rausnimmt. Der Server nimmt sich das härteste vorhandene Verfahren, aber wenn die NSA die Liste manipulieren kann, dann ist das halt nicht sehr hart. TLS hat dagegen bezüglich der Cipherliste Vorkehrungen getroffen, aber jetzt kommt raus, dass die NSA von außen die Diffie-Hellman-Bitzahl auf 512-Bit runterschrauben kann. Das ist eine Katastrophe. Die einzige Lösung hierfür wäre, wenn die Server schlicht keine schwachen Diffie-Hellman-Schlüssel mehr zulassen würden. Dann käme keine abhörbare Verbindung zustande. Die NSA kann dann zwar immer noch verhindern, dass ich eine Verbindung aufnehme, aber das kann sie eh, unabhängig von Krypto.
Das zweite Problem ist noch gruseliger. Und zwar galten die Diffie-Hellman-Parameter immer als öffentlich. Das ist sowas wie ein Zahlenraum, auf den man sich einigt, in dem man dann seine Krypto-Operationen macht. Das hat dazu geführt, dass viele Server am Ende des Tages die selben Parameter verwenden. Jetzt stellt sich aber raus, dass der erste Schritt im Algorithmus zum Brechen von Diffie Hellman nur auf diesen Parametern basiert, nur auf einer Primzahl. Und wenn da alle die selbe verwenden, dann muss ein Angreifer diesen ersten Teil auch nur einmal machen. Das ist eine ganz doll gruselige Erkenntnis!
Was kann man denn jetzt tun? Zwei Dinge. Erstens müssen wir jetzt dafür sorgen, dass unsere Server "Export-Verschlüsselung" (also absichtlich geschwächte Krypto) auch bei Diffie Hellman nicht mehr akzeptieren. Ich glaube im Moment, dass man dafür die SSL-Libraries patchen muss, weil es kein API gibt. Aber ich kann mich da auch irren, vielleicht gibt es ein API. In dem Fall müsste man die ganzen Server patchen, damit sie das API benutzen.
Und der zweite Schritt ist, dass man dem Server schlicht Diffie-Hellman-Parameter vorgibt. Die erzeugt man unter Unix mit
$ openssl dhparam -out dhparams.pem 2048Man kann auch noch größere Parameter machen, aber das sollte man dann über die Mittagspause laufen lassen, das dauert ewig und drei Tage. Und dann muss man der Serversoftware sagen, dass sie diese DH-Parameter verwenden soll. Lest die Dokumentation. Das ist wichtig!
Klingt alles schon apokalyptisch genug? Wartet, kommt noch krasser!
Breaking the single, most common 1024-bit prime used by web servers would allow passive eavesdropping on connections to 18% of the Top 1 Million HTTPS domains. A second prime would allow passive decryption of connections to 66% of VPN servers and 26% of SSH servers. A close reading of published NSA leaks shows that the agency's attacks on VPNs are consistent with having achieved such a break.Update: Ich hatte vor nem Jahr mal bei https://blog.fefe.de/ 2048-Bit-Diffie-Hellman-Parameter generiert und das hat mir jetzt wohl den Arsch gerettet an der Stelle. Ein bisschen Paranoia schadet halt nicht :-)
Update: Wer in Firefox die rote Box auf der Logjam-Seite weghaben will, muss in about:config die dhe (nicht die ecdhe!)-Ciphersuiten wegkonfigurieren.
Update: Und natürlich will man auch die ganzen RC4-Ciphersuites wegkonfigurieren, das hatte ich in dem Screenshot jetzt nicht drin, weil ich nur die Einstellungen fett haben wollte, die für Logjam relevant sind.
Deutsche Sicherheitskreise sprachen von "unrichtigen Behauptungen". Anfangs- und Endpunkt einer Strecke eines Netzbetreibers hätten keine Aussagekraft über die Anfangs- und Endpunkte der über diese Strecke geleiteten Telekommunikationsverbindungen.Sehr ihr? Das ist doch völlig klar! Nur weil wir im Auftrag der NSA die Leitung zwischen Luxemburg und Österreich abgehört haben, heißt das doch nicht, dass wir Luxemburg oder Österreich abgehört haben!1!! Es ging uns lediglich um die fehlgerouteten Datenpakete zwischen dem Pakistan und Syrien! Das kommt immer wieder vor, dass die versehentlich über Österreich und Luxemburg geroutet werden!1!! Und dann wollen wir die doch sehen! Gegen den Terrorismus und so!!1!
Herr D. B. [Unterabteilungsleiter Technische Aufklärung] erklärte telefonisch einige Stunden später, die erwähnte Weitergabe von Rohdaten an [die NSA] sei in der Tat nicht explizit im Rahmen des Besuchs des behördlichen Datenschutzes in Bad Aibling erwähnt worden. Grund hierfür sei, dass man das Thema „Metadatenanalyse bzw. -erhebung“ habe zugunsten der Erörterung anderer Themen ausklammern wollen. Herr B. bestätigt auf Nachfrage, dass die vorgenannte Weitergabe von Rohdaten an [die NSA] in großem Umfang stattfinde. Es würden auf bestimmten Übertragungswegen im Ausland alle durch den BND erhobenen Daten an [die NSA] weitergegeben. Eine inhaltliche Sichtung bzw. eine Eingrenzung der erhobenen Daten anhand von wie auch immer gearteten Kriterien finde nicht statt.Ach soooo, das habt ihr den Datenschützern gegenüber ausklammern wollen. Na dann ist ja alles klar! Ich klammere dann auch nächstes Mal dem Finanzamt gegenüber meine Einnahmen aus. Das senkt nur die Lebensqualität, wenn das Finanzamt davon erfährt!
Ich fand das ja schon die ganze Zeit auffallend, dass der Snowden per Cloud-Dienst mit der Welt sprach. Nicht dass Skype besser wäre, aber Cloud ist Cloud. Man kann genau niemandem vertrauen von diesen Cloud-Fuzzies. Jeder Anbieter unterliegt irgendwo irgendeiner Fascho-Regierung mit Orwellschen WIR MÜSSEN ALLES ENTSCHLÜSSELN KÖNNEN!!1! Ideen.
Der einzige Weg, wie man ordentliche Krypto hinkriegt, ist wenn man die Infrastruktur selber betreibt.
Ist die Krypto in WebRTC eigentlich Ende-zu-Ende? Ich glaube ja.
Warum sollte das bei Video auch anders sein als bei Email und Instant Messaging. Wenn man da irgendein Walled-Garden-System und intransparente kommerzielle Client-Software hat, dann hängt man von dem ab, was die einem vorsetzen. Vertrauenswürdigkeit ist was anderes.
Update: Hups, Link vergessen.
Update: WebRTC ist zwar Ende-zu-Ende-verschlüsselt, aber mit einem self signed Cert, d.h. hilft nur gegen Angreifer, die den Inhalt des Überseekabels komplett abgreifen, nicht gegen aktive Angreifer, die sich in die Mitte setzen und beiden Seiten gegenüber so tun, als seien sie die Gegenseite.
Die Antwort ist: Der BND ist wie die NSA an der Stelle; die erheben einfach alle Daten, an die sie rankommen, ob sie die brauchen oder nicht. Zum Beispiel die Internetleitung zwischen Luxemburg und Wien. Ich weiß, ich weiß, eine traditionelle Brutstätte des Terrorismus!1!! Völlig klar, das musste der BND abhören. Denn das sind ja offensichtlich befeindete Nationen, die wir nur in die EU gelassen haben, damit wir sie besser überwachen können! Das sehen die NIE kommen, wenn wir ansonsten so tun, als seien wir befreundet, und z.B. die Grenzen öffnen und eine gemeinsame Währung haben und so!
Die Internetleitung Luxemburg–Wien: Verkehr, der auf dieser Strecke lief, wurde ab 2005 vom deutschen Bundesnachrichtendienst (BND) abgesaugt. Das belegt eine interne E-Mail der Deutschen Telekom AG, die der grüne Nationalratsabgeordnete Peter Pilz am Freitagvormittag präsentierte. In dem Schriftverkehr informiert ein Mitarbeiter der Deutschen Telekom seinen Kontakt beim BND, dass nach der "großen Umschaltaktion" die Strecke Luxemburg–Wien nun wieder abgeschöpft werden könne. Diese Leitung war vom US-Geheimdienst NSA mit besonderer Priorität bewertet und der Wunsch an den BND weitergegeben worden.
Dass US-amerikanische Nachrichtendienste auch deutsche Unternehmen ausgespäht haben könnten, dafür gebe es "bislang keine Beweise". Nach den Snowden-Enthüllungen habe er die deutsche Wirtschaft um Einzelheiten gebeten. "Derartige Informationen sind mir bis heute nicht vorgelegt worden", sagte Maaßen.Also ich für meinen Teil merke das ja immer sofort, wenn die NSA über den BND meine Pakete auf dem Weg kopiert!1!! Das riecht man doch!!1!
Aber der Lacher an dieser Geschichte ist das hier:
So for the N.S.A., which has been internally questioning the cost effectiveness of bulk collection for years, the bill would make the agency’s searches somewhat less efficient, but it would not wipe them out.Wait, what? Das klang aber neulich noch ganz anders! Sie haben auch Bulk Colletion via National Security Letters eingeschränkt. Ich denke mal, dass sie das zurück ändern, sobald wieder ein Republikaner Präsident ist.
Hier gelang es auch, die Urheber der Hetzkampagne zu benennen: die Jugendorganisation der trotzkistischen Partei für soziale Gleichheit.Trotzkisten-Jugend, ja?
Übrigens hat RT zu den britischen Polizeistaatsgesetzen neue Details und auch dort gibt es einen Gender-Winkel:
These measures will focus on reducing the presence of those who incite hatred against gender, race or religion on social media and in print.Damit ist ja dann wohl auch klar, von wem keine Gegenwehr kommen wird. Und an sich ist das echt nicht doof gemacht, denn wer kann da schon dagegen sein, dass mal jemand was gegen diese fiesen Hassprediger unternimmt!1!! Und die Vorzensur gilt ja auch nicht immer und für alle, sondern nur für Leute, die schonmal negativ aufgefallen sind. Die Details obliegen der Diskretion der Polizei.They will also target those who perpetrate harmful activities for the “purpose of overthrowing democracy.”Also mit anderen Worten: Demonstranten.Ich glaube ja, dass hier die gleichen Mechanismen greifen, die überhaupt erst zur Wahl von so Leuten die Cameron führen, die für die 1% Politik machen und den Rest in die Gosse treten. Das ist der Amerikanische Traum. Diese völlig irrationale Idee, man könne ja irgendwann zu den Besserverdienenen gehören. Die Idee, die dazu führt, dass Leute Multimedia-Startups in Berlin gründen, sich dann zehn Jahre für teilweise weniger als Hartz IV den Rücken krumm arbeiten. Und dann aber gegen die Vermögenssteuer ab 1 Million sind, weil sie ja auch irgendwann Vermögen haben könnten. Ja nee, klar.
Und genau so läuft das hier glaube ich auch ab. Die Leute leben unter der irrationalen Wahnvorstellung, das Gesetz werde schon nur gegen die Bösen angewendet werden, nicht gegen sie. Sie haben ja nie was böses getan. Wieso würde jemand sie plattmachen wollen? Das merkt man halt erst, wenn man wie ein Fußballfan gekleidet Bahn fahren will. Oder wenn man bei einer Demonstration rausgegriffen wird.
Leute, ihr müsst da mal anders herum drangehen. Wenn das Gesetz auf euch angewendet werden könnte, dann ist es auch für genau dafür gemeint. Und wie weit die Politik da mit kreativer Wortauswahl und -umdefinition geht, das kann man ja gerade prima beim NSA-Skandal sehen.
Senators declined to provide any details as they left the secure briefing room in the U.S. Capitol. FBI Director James Comey also refused to answer any questions as he left the briefing.
Überschrift: Wikileaks erntet Kritik für 1380 Seiten
Teaser: Aus der Politik und vom Verfassungsschutz hagelt es dafür Kritik.
Text:
Patrick Sensburg [CDU] […] kritisiert die Veröffentlichung der Dokumente […]That's it. "Die Politik", laut tagesschau.de, sind die Vertuscher und Betonköpfe der CDU. Die, die an der ganzen Geheimdienstscheiße die Schuld tragen. Die, die jetzt mit Geheimhaltung und Aktenschwärzen nach Kräften den demokratischen Willen nach Aufklärung zu unterlaufen versuchen. Ich finde es schon beschämend, dass CDU-Leute überhaupt befragt wurden, wenn es um Geheimdienstsachen geht. Die sollten alle auf der Anklagebank sitzen, nicht vor einem Mikrofon.Die CDU-Obfrau im NSA-Untersuchungsausschuss, Nina Warken, ging noch weiter […]
Auch Verfassungsschutzpräsident Hans-Georg Maaßen kritisierte die Veröffentlichung scharf
Aber das jetzt so hinzustellen, als sei die Politik geschlossen gegen die Wikileaks-Veröffentlichungen, das ist ja wohl grotesk. DIE TÄTER sind dagegen, dass Beweise gegen sie öffentlich werden. Das wäre mal die korrekte Schlagzeile gewesen.
Kriminelle sprechen sich dagegen aus, dass inkriminierende Beweise gegen sie erhoben oder veröffentlicht werden.
#Fahimi: Verbesserung von #BND-Ausstattung prüfen für mehr Unabhängigkeit von #NSA. #spdpk #BNDNSAWer hat uns verraten?
Wie kommt das eigentlich, dass wir uns über so elementare Demokratie-Grundfesten wie einen Geheimdienstskandal-Aufarbeitungsausschuss über eine ausländische Whistleblower-Site informieren müssen?
Das Treffen muss ja großartig gewesen sein. "Hey, BND, überwacht mal bitte diese Firma hier!" "Äh, Cheffe, die Abteilung da … die betreibt einer unserer Mitarbeiter."
Update: Übrigens, das Money Quote ist wie so häufig ganz am Ende:
Dem Bericht zufolge kooperiert der BND aktuell mit 451 Geheimdiensten aus 167 Ländern.
Es sei nicht ausgeschlossen, dass die zum Teil dementen Damen mit ihrem Gesang Urheberrechte verletzten.Woher weiß denn die Gema, dass da Senioren singen? Na mit NSA-Methoden, ist doch klar! Big Data!
Auf die Schliche gekommen ist die Gema dem Seniorenkränzchen durch die systematische Auswertung von Zeitungsmeldungen. Nach Angaben von Gema-Sprecherin Gaby Schilcher werten Mitarbeiter des Vereins täglich „Tausende solcher Meldungen“ aus.Dieser eiternde Stachel im Fleisch unserer Gesellschaft muss endlich zugemacht werden. Wie alle anderen Geheimdienste auch.
He just forgot.“This was not an untruth or a falsehood. This was just a mistake on his part,” Robert Litt, the general counsel for the Office of the Director of National Intelligence, said during a panel discussion hosted by the Advisory Committee on Transparency on Friday.
“We all make mistakes.”
Oh ach sooo, der ist kein Lügner, der hat bloß Alzheimer! Na dann ist ja alles gut!1!!
Wie? Nein, nicht das, mit dem sie euch abschnorcheln. Das, mit dem sie US-Bürger abschnorcheln! Pfft, was glaubt ihr denn!? Ihr habt natürlich nach wie vor keine Rechte.
Dann so: Die Daten, die aus den NSA-Selektoren fielen, hat der BND nicht protokolliert.
Jetzt so: Der BND hat die Selektoren gelöscht.
Ihr werdet jetzt sicher genau so überrascht sein wie ich!1!! Wieso existiert der BND eigentlich noch? Welche fadenscheinige Ausrede hält den davon ab, geschlossen zu werden?
Öh, welche Weitergabe? Bis heute morgen hat die Merkel-Junta das doch noch rundheraus geleugnet!
Sehr schön auch die SEO-URL: "bnd-gibt-weniger-daten-an-nsa-weiter". Hey, wie wäre es mit "BND gibt gar keine Daten weiter"? Oder mit "BND erhebt die Daten überhaupt gar nicht erst"?!
Ist der deutsche bzw. europäische Datenschutz aus deiner Sicht innovationsfeindlich?
Nein, im Gegenteil.
Er wird europäischen Startups einen Marktvorteil verschaffen, wenn sie willens sind, Lösungen zu ersinnen, die die Privatsphäre schützen, während in Übersee nur an möglichst vollständiger Auswertung der Daten gearbeitet wird.Wie glaubst du wird die neue EU-Datenschutzverordnung, sollte sie denn irgendwann in Kraft treten, die IT-Branche verändern?
Ich hoffe zum Besseren.
Im Moment sind die Internet-Geschäftsmodelle alle auf möglichst vollständige Erhebung aus Auswertung der privaten Daten der Benutzer ausgelegt.
Die Benutzer sind die Ware, nicht die Kunden.Das kann eigentlich nur besser werden, wenn wir eine Datenschutzverordnung kriegen, selbst wenn die eher mittelmäßig bis schlecht ist.
Welche Bereiche müsste sie sinnvollerweise regulieren? Wo geht die aktuelle Diskussion über Datenschutz womöglich an der Realität vorbei?
Hier gibt es ein paar Fragen der Weltanschauung zu klären.
Wenn der Markt sich so entwickelt, dass man Dinge "kostenlos" kriegt, aber dafür seine Datenhoheit verliert, und die Menschen das mit sich machen lassen — ist der Staat dann in der Pflicht, die wehrlosen Bürger vor sich selbst zu schützen oder fällt das in die Verantwortung der Bürger? Betrachten wir die Datenweitergabe wie Rauchen und schützen die Bürger vor sich selbst und zum Beispiel den Verlockungen der Werbung? Ich halte das für unausweichlich. Gegenbeispiele gibt es kaum. Egal ob Flugzeuge, Autos, Schwimmbäder, Jahrmarkt-Attraktionen, Glücksspiel, Alkoholverkauf, Wendeltreppen, … wenn es von Menschen gemacht ist, dann sind der Hersteller und der Aufsteller in der Haftung und können sich nicht einfach damit rausreden, dass der Kunde ja hätte sehen können, dass an der Treppe kein Geländer war, und er selber Schuld ist, dass er runterfiel und sich das Bein brach.In den USA sind libertäre Ansichten verbreiteter als hier, besonders im Silicon Valley. Da kommen Firmen eher damit davon, wenn sie sagen, der Kunde hätte sich ja besser informieren können. Eine gute Analogie dazu sind die "EULA"-Kleingedrucktes-Lizenzen, die häufig von Software bei der Installation angezeigt werden. Nach amerikanischem Recht ist der Kunde selber Schuld, wenn er auf sowas klickt. Das deutsche Recht sagt aber: Unerwartete Einschränkungen, die man erst nach dem Kauf sehen kann, sind unwirksam. Die europäische Rechtstradition hat ja auch Konzepte wie "Sittenwidrigkeit".
Ich glaube daher, dass sich der Schutz des Kunden in Europa zwangsläufig früher oder später auch auf Datenweitergabe erstrecken muss.
Das Hauptproblem bei einer Datenschutzverordnung ist, wie man dem ganzen Regularium Biss gibt. Wenn ein europäischer User im Internet auf einer US-amerikanischen Webseite etwas klickt, wie kann ihn dann die EU-Verordnung schützen? Hier müsste man bilaterale Verträge mit den USA machen, um für Rechtssicherheit zu sorgen. Und dann blieben immer noch all die anderen Länder. Das zeichnet sich leider alles nicht ab. Im Gegenteil ist die EU bisher immer eingeknickt und hat im Zweifelsfall gegen ihre eigenen Bürger entschieden. Von Fluggastdaten bis zur SWIFT-Datenweitergabe ist die Liste hier lang.
Bei Datenweitergabe von Firmen gibt es das Konzept des "Safe Harbor". Da können sich amerikanische Firmen selbst als datenschutzkonform zertifizieren. Die versprechen einfach nebulös und nicht nachprüfbar, bei ihnen seien die Daten schon sicher. Was dann tatsächlich mit den Daten passiert, kann der Benutzer nicht prüfen, und wenn die Daten wegkommen, hat er keine realistische Handhabe.
Daher ist aus meiner Sicht das größte Risiko bei allen europäischen Datenschutzreformen, dass die uns am Ende nur auf dem Papier helfen. Die Politik ist damit zufrieden. Deren Ziel war es ja bloß, ein bisschen Aktivismus und Handlungsfähigkeit zu demonstrieren. Je weniger das den Freihandel mit den USA einschränkt, desto besser.
Für wie erfolgsversprechend hälst du die Klage von Max Schrems?
Vor Gericht und auf hoher See sind wir in Gottes Hand, wie es so schön heißt.
Ich wünsche ihm viel Erfolg, aber er kämpft letztendlich gegen Windmühlen. Das europäische Rechtssystem ist (vorsätzlich!) so ausgelegt, dass Freihandel mit den USA wichtiger ist als Datenschutzinteressen der EU-Bürger.[Anm.: Hier hätte ich besser Architektur der EU als europäisches Rechtssystem sagen sollen]
Da kann man vielleicht mal hier und da ein Scharmützel gewinnen, aber den Krieg haben wir als Gesellschaft im Grunde schon aufgegeben.Der NSA-Skandal hat das Gefühl der Hilflosigkeit nur noch verstärkt.
Lassen sich amerikanische Konzerne wie Facebook, deren Geschäftsmodell auf personenbezogenen Daten beruht, überhaupt regulieren?
Natürlich!
Unternehmen tun alles, was das Gesetz sie tun lässt.
Wenn man die Gesetze ändert, ändert sich auch das Verhalten von Facebook und co.
Die wollen sich ja am Ende des Tages ihr Gehalt auszahlen können, und zahlen auch Steuern, wenn das Gesetz sie zwingt. Wenn das Gesetz Schlupflöcher bietet, nutzen sie die freilich.
Als Mitarbeiter einer kriminellen Vereinigung gibt es keine Aktienoptionen. Die richten sich im Allgemeinen schon nach den Gesetzen.Es muss aber der politische Wille dafür da sein, ordentliche Gesetze zu machen.
Julian Assange hat behauptet Google verhalte sich mehr wie eine Regierung als ein Unternehmen und Harald Welzer hat im Spiegel gesagt, wir würden längst im Totalitarismus leben ohne es zu merken. Hälst du eine Zukunft, in der Unternehmen wie Google die Politik lenken für realistisch? Wie sähe der „worst case“aus? Ein modernes 1984? Und wie könnte man sinnvoll damit umgehen?
Unternehmen wie Google lenken jetzt schon die Politik.
https://www.opensecrets.org/lobby/indusclient.php?id=B13&year=2014
Google gibt soviel für Lobbyismus aus wie die nächsten beiden (Microsoft und Facebook) zusammen.Gerade in den USA kann man ganz gut nachvollziehen, welcher Politiker von welchem Unternehmen wie hohe Zuwendungen erhalten hat, und wofür der dann so gestimmt hat.
Die Science Fiction-Literatur beschäftigt sich seit vielen Jahren mit dem Konzept der Corporatocracy.
http://en.wikipedia.org/wiki/Corporatocracy1984 ist da nicht der richtige Vergleich, eher Cyberpunk, sowas wie Shadowrun oder Neuromancer, oder, wenn Sie es moderner mögen, Daemon.
Können Sie sich erinnern, wann die Politik zuletzt offensichtlich im Interesse der Bürger aber gegen die Interessen der Industrie gehandelt hat?
Im Roman „The Circle“ wird eine Gesellschaft beschrieben, in Leitsprüche wie „Privacy is theft“ gelten und alles mit dem „greater good“ gerechtfertigt wird. Auch die verschiedenen Dienste und Plattformen sind in riesigen Datensammlungen über jeden einzelnen vereint. In der Realität gibt es mittlerweile Software, die es Arbeitgebern möglich macht ihre Mitarbeiter komplett zu überwachen und sogar deren zukünftiges Verhalten voraussehen zu können.Wie viel Wahrheit steckt aus deiner Sicht in einer solchen Dystopie? Kann das unsere Zukunft sein? Wie sähe sie aus?
Je nach Blickwinkel ist das keine Dystopie, das ist Praxis.
Alle großen Firmen machen zur Gefahrenabwehr Network Monitoring und erheben Metadaten über Netzwerkverkehr ihrer Benutzer. Um dem europäischen Datenschutzrecht zu genügen, wird sowas in Europa pseudonymisiert, und man denkt sich Methoden aus, wie man den Zugriff so beschränkt, dass die Daten nur im echten Notfall wieder deanonymisiert werden können.Dinge, die in Europa selbstverständlich sind, nämlich dass ich auf dem Arbeitsplatz auch private Emails verschicken darf, und dass der Arbeitgeber die nicht einfach mitlesen darf, sind Errungenschaften unserer Rechtskultur und der Gewerkschaften. In anderen Ländern gibt es so einen Schutz nicht.
Die Gefahr ist daher bei uns weniger der Chef, der per Webcam seiner Sekretärin in den Ausschnitt guckt, als vielmehr eine diffuse Bedrohung durch Metadaten, wie bei der NSA.
Obwohl es solche Chefs sicher auch geben wird. Gerade im Einzelhandel gibt es ja flächendeckend Überwachungskameras, um Ladendiebstahl erkennen zu können.
Update: Besserer opensecrets-Link.
Gabriel nennt auch die NSA den "großen Bruder" des BND in dem Interview.
Update: Hat eigentlich von euch schon mal jemand vom Teltower Verfahren gehört? Wieso weiß Wikipedia da nichts von? Hat sich der Gabriel das gerade aus dem Arsch gezogen?
Update: Es stellt sich raus, dass es sich um um das Treptower Verfahren handelt, nicht um das Teltower :-)
Update: Es heißt Treptower Verfahren, weil man als Abgeordneter nach Berlin-Treptow fahren muss, um dort Einsicht in die Akten zu nehmen. m(
Das Bundesamt für Verfassungsschutz unterhält in Treptow Räumlichkeiten.
Geheimbericht zu NSA-Kooperation: BND entlastet sich selbstÖh, entlasten? Können sie nachweisen, dass sie doch nicht mit der NSA kooperiert haben? Das wäre ja eher bizarr, wenn sie es schon zugegeben haben.
Und so stellt sich raus: Nein, können sie nicht. Aber sie können uns ein bisschen ins Gesicht lügen!
In dem geheimen Bericht räumt der Dienst zwar gravierende Mängel ein. Echter Schaden, so das Ergebnis, sei aber wohl nicht entstanden.Aber natürlich nicht, mein Herr! Das ist doch kein echter Schaden, wenn die NSA ihren Pudel BND für sich einmal um den Block springen lässt. Gut, der deutsche Steuerzahler zahlt für den BND. Aber man muss das mal arbeitsrechtlich betrachten. Wenn die NSA dem BND nicht gelegentlich was zu tun geben würde, dann würden die doch sanft entschlummern! Und hey, dass da ein paar Daten abhanden kommen, was sind schon ein paar Daten unter Freunden!1!!
Bekämpft wird heutzutage aber nicht derjenige, der Gewalt ausübt, ob bei der Annexion der Krim oder gegen Bürger, die sich ein Radrennen anschauen wollen - sondern derjenige, der anderer Meinung ist.Ah ah ah, man riecht es schon, gleich kommt eine weinerliche "das wird man doch wohl mal sagen dürfen" Heulboje… und tatsächlich!
So werden im Netz Todesdrohungen gegen Sichtweisen ausgestoßen, die nicht dem eigenen Weltbild entsprechen.Was sagt ihr? Was hier noch ein bisschen zu kurz kommt, ist die Panikmache? Keine Sorge!
Dazu braucht man nicht in erster Linie die Rhetorik des Krieges - wohl aber das Bewusstsein, dass es Zehntausende gutorganisierte Fanatiker gibt, die mit kriegerischen Mitteln auch gegen Deutschland kämpfen.Oha! Zehntausende gutorganisierte Fanatiker? Und ich glaube fast, dass der damit nicht BND und NSA meint!
Bei einer Überprüfung von Suchbegriffen (Selektoren) der Amerikaner für die Kommunikationsüberwachung in seiner Abhörstation im bayerischen Bad Aibling habe der BND nach Bestandteilen wie „gov“, „diplo“ und „Bundesamt“ gesucht, berichtet die „Bild am Sonntag“. Dabei habe es 12.000 Treffer gegeben, wie aus einer internen E-Mail des BND vom 14. August 2013 hervorgehe. Mailadressen mit dem Bestandteil „Bundesamt“ richteten sich gegen Österreich, erfuhr die Zeitung aus weiteren Quellen. Er tauchte demnach in mehr als zehn Anfragen der NSA auf.Es gibt für "Bundesamt" noch eine andere Erklärung. Auch in Deutschland gibt es Bundesämter. Zum Beispiel das Bundesamt für Verfassungsschutz (und, mal ehrlich, das wäre ja sogar eine gute Nachricht, wenn da wenigstens die Amis mal ein Auge drauf hätten, was diese Rogue Agency so treibt) das Bundesamt für Sicherheit in der Informationstechnik (die sind für Regierungs-Krypto zuständig, also auch ein naheliegendes Spionage-Ziel) und das Bundesamt für Wirtschaft und Ausfuhrkontrolle (wenn die Amis kontrollieren wollen, ob Deutschland schön Russland, Iran und Kuba sinnlos boykottiert).
Wo die Kanzlerin ist? WO DIE KANZLERIN IST????Na dann ist ja alles gut. Übrigens, falls sich jemand fragt, wie das konkret aussieht, wenn die Kanzlerin das ihrige tut im BND-Skandal: Frau Merkel ist bei der Arbeit gesichtet worden.Sie tut das Ihrige im BND-Skandal, Herr von und zu Leitner! Das IHRIGE!
https://www.youtube.com/watch?v=qHV1uXjvgy8Und sie freut sich aufs Erscheinen im NSA-Untersuchungsausschuss! Hören
Sie? SIE FREUT SICH! https://www.youtube.com/watch?v=IA61ve_m1pY
First things first, wie man so schön sagt!
Update: Oh das ist ja noch viel schöner! Das Pinguinfoto ist schon ein paar Jahre alt und ist hier bloß Symbolfoto. Das tatsächliche aktuelle Foto ist in der FAZ zu sehen (beachtet auch den schönen Dateinamen, den die Bildredaktion da vergeben hat!)
Sensburg betonte, dass zu diesem Zeitpunkt noch kein Gesamtbild der Lage vorliege. "Grundsätzlich glaube ich nicht, dass der BND Steigbügelhalter für die amerikanischen Geheimdienste war. Sondern dass man - sollten sich Details der gemeinsamen Spionagetätigkeit konkretisieren - höchstens von Versehen auf organisatorischer Ebene sprechen kann", sagte der CDU-Politiker weiter.Mal völlig abgesehen von der Frage, auf was für Konkretisierungen er da noch warten will, ist es m.E. an der Zeit, offiziell ein neues Wort zu definieren.
sensburgen [Verb]: Ein massives, strukturelles Problem als kleines "Versehen auf organisatorischer Ebene" erklären.
Sie lassen es die Arschkriecher guten Freunde vom BND machen!
Mindestens seit dem Jahr 2008 fiel BND-Mitarbeitern mehrfach auf, dass einige dieser Selektoren dem Aufgabenprofil des deutschen Auslandsgeheimdienstes zuwiderlaufen - und auch nicht von dem "Memorandum of Agreement" abgedeckt sind, das die Deutschen und die Amerikaner zur gemeinsamen Bekämpfung des globalen Terrorismus 2002 ausgehandelt hatten. Stattdessen suchte die NSA gezielt nach Informationen etwa über den Rüstungskonzern EADS, Eurocopter oder französische Behörden. Der BND nahm das offenbar jedoch nicht zum Anlass, die Selektorenliste systematisch zu überprüfen.Ja wie, natürlich nicht! Denken schmerzt! Das lassen wir lieber unsere transatlantischen Freunde machen!
Wenn ich daran denke, wie wir im Westen uns damals über die DDR lustig gemacht haben, weil von den Russen immer demonstrativ als ihren Freunden gesprochen haben. Dabei war das doch völlig offensichtlich eine Besatzungsmacht, die walten und schalten konnte, wie sie wollte. Eher sowas wie Hausherr und Bediensteter. Dabei war und ist das bei uns genau so, eher noch schmieriger.
zu Deinem Post http://blog.fefe.de/?ts=abc8718c wäre es total super gewesen, wenn Du in dem Zug auf das eigentlich, viel gravierendere Problem hingewiesen hättest. Die betroffene Bibliothek AFNetwork ist ein Symptom für eine große Unsitte, nicht nur bei App-Entwicklern. AFNetwork ist eine externe Bibliothek für Netzwerk-Aufgaben. Es gibt nichts in AFNetwork, dass sich nicht mit wenigen Handgriffen mit Bordmitteln von iOS durchführen ließe. AFNetwork ist im Großen und Ganzen nur ein Wrapper für das URL Loading System. Es ist aber unter App-Entwicklern total hipp, per Cocoapods (externer Paketmanager) solche Libs einzubauen, weil … hey … ich benutze viele Libs mit wohlklingenden Namen … meine App muss gut und ich wichtig sein! AFNetwork wird häufig nur dazu benutzt, Certificate Pinning zu machen. Nativ sind das knapp 10 Zeilen Code:(Hervorhebungen aus dem Original zitiert)-(BOOL)checkCertificate:(NSURLAuthenticationChallenge *)challenge{ if ([[[challenge protectionSpace] authenticationMethod] isEqualToString: NSURLAuthenticationMethodServerTrust]) { SecTrustRef serverTrust = [[challenge protectionSpace] serverTrust]; BOOL trustedCert = NO; NSData *theData; NSArray *theHashes = [NSArray arrayWithArray:[EAPConfig eapCloudHashes]]; if(serverTrust != NULL) { CFIndex theCertCount = SecTrustGetCertificateCount(serverTrust); for(CFIndex theCertIndex = 0; theCertIndex < theCertCount; theCertIndex++) { SecCertificateRef theCert = SecTrustGetCertificateAtIndex(serverTrust, theCertIndex); theData = (__bridge_transfer NSData *)SecCertificateCopyData(theCert); for (NSString *theHash in theHashes) { if([theHash caseInsensitiveCompare:[EAPConfig sha1HexDigest:theData]] == NSOrderedSame){ trustedCert = YES; break; } else { trustedCert = NO; } } } } }Das müsste man sich aber entweder googeln oder selbst aus der Doku zusammensuchen. Und dafür braucht man Hintergrundwissen über X509. Viel zu anstrengend. Da klebe ich mir lieber eine Lib mit tausenden Zeilen von Code in meine App und habe keinen blassen Schimmer, was die tut. Und schlauer werde ich damit auch nicht.Ich habe schon viele Apps auditiert. Die Anzahl der Apps, bei denen keine externen Libs für Trivialaufgaben verwendet werden, kann ich an einem Finger abzählen. SDL … my ass!
Von mir sei als zusätzlicher Hinweis noch erlaubt, dass in meiner Berufserfahrung fast alle Apps für mobile Endgeräte keine ordentliche Zertifikatsprüfung machen.
Update: Hier gibt es eine Übersicht der ganzen grottigen Java-APIs an der Stelle. Wenn wir schon dabei sind, in der Kanalisation herumzurühren …
Ich denke mal, das ist ein klarer Fall von "wenn mich schon keiner wählt, reiß ich wenigstens die Demokraten mit runter". (Danke, Mathias)
Die IETF ist echt nur noch eine Lachnummer. Sehr bedauerlich.
Your security and well being are our primary concerns. By visiting this website from outside of the U.S. and contacting us, you may be subject to monitoring by security or intelligence services, or other third parties that do not adhere to U.S. Internet privacy laws. While we employ numerous safeguards to help minimize this risk, we suggest that you not use your home or work computer to contact us. Use instead a computer where you are entirely unknown. Although our website is encrypted, it is still possible for others to see that you have visited CIA.gov. As an added precaution, we recommend you use current web browsers and clean the computer's search and/or browser histories after you visit the website."third parties that do not adhere to U.S. Internet privacy laws", ja? Die meinen damit so fiese Rogue Agencies wie die DEA und die NSA, nehme ich an?
The Bolivian Ambassador to Russia, Maria Luisa Ramos, directly defied WikiLeaks founder Julian Assange by publicly asking him whether he apologized to President Morales for putting his life at risk by leaking false information that NSA whistleblower Edward Snowden was on his plane in July 2013.Lulz. Ja nee, klar, das ist Assanges Schuld, dass die Amis aufs Völkerrecht scheißen, und Morales' Flugzeug runterholen lassen.
“It’s mostly porn,” a former intelligence officer who worked on counterterrorism operations, told The Daily Beast. At the headquarters of the NSA in Ft. Meade, Md., another former intelligence officer said, there is a closed room set aside for watching porno clips.In another context, a dedicated “porn room” might be the greatest office perk imaginable. But watching hours of the stuff becomes monotonous, analysts say.
Och Gottchen. Das Schnüffeln in anderer Leute Daten überanstrengt die Schnüffler? Ich finde gerade mein Mitleid nicht, es muss hinter das Sofa gerutscht sein.
Die List der VernunftEin Gastkommentar von Peter Mühlbauer, Telepolis
Warum wir dem Handelsblatt im Nachhinein für die Paperboy-Klage dankbar sein müssen (oder vielleicht auch nicht)Aus Deutschland kamen in letzter Zeit eher wenige Medieninnovationen. Das hat in der Nation, die das Leistungsschutzrecht für Presseverlage und Abmahnen als Geschäftsmodell erfunden hat, unter anderem juristische Gründe. Solche juristischen Gegebenheiten waren es auch, die dazu führten, dass sich Felix von Leitner heute nicht auf den Milliarden ausruht, die ihm Google vielleicht für die von ihm erfundene Nachrichtensuchmaschine Paperboy gezahlt hätte, wenn die Startup-Firma nicht vom Handelsblatt verklagt worden wäre. Deren Geschäftsführer und Juristen glaubten, Links und Hinweise auf ihre Artikel seien nicht in erster Linie Werbung, sondern Konkurrenz – und klagten so lange, bis ihnen (wie Markus Kompa es formulierte) „die Richter am BGH […] erklärten, wie das Internet funktioniert“. Unmittelbar nach der Urteilsverkündung ging dann Google News online.
Felix von Leitner stellte am 31. März 2005 – vor genau zehn Jahren – trotzdem eine regelmäßige Nachrichtensammlung ins Netz. Sie war (anders als Paperboy das sein sollte) nicht so gestaltet, dass man mit ihr Geld verdienen konnte – aber vielleicht gerade deshalb inhaltlich interessant. Und sie entwickelte sich zu etwas, in das man bei Telepolis jeden Morgen genauso selbstverständlich hineinsieht wie in Google News oder die Twitter-Timeline. Hegel hätte diese unabsehbare Entwicklung etwas Größerem aus einer Niederlage eine „List der Vernunft“ genannt. Aber vielleicht hätte es Fefes Blog ja auch gegeben, wenn Paperboy nicht vom Handelsblatt verklagt worden wäre. Wer weiß das schon im Nachhinein.
In Fefes Blog (dessen Layout sich frei wählen lässt) zeigte der Programmierer in jedem Fall, dass er nicht nur zu technischen Innovationen fähig war, sondern auch zu stilistischen: Mit oft nur ein bis zwei Sätzen umriss er eine Nachricht nicht bloß, sondern zeigte gleichzeitig noch, was das Groteske, Widersprüchliche oder sonstwie Bemerkenswerte daran war. So wurde er bald zu einer unersetzlichen Hilfe, wenn es darum ging,in anderen Medien vernachlässigte Themen zu finden und dort weiter zu recherchieren. Das galt unter anderem für Polizeiübergriffe, zu denen man das Blog spätestens seit den dort veröffentlichten Videoaufnahmen zur Freiheit-statt-Angst-Demonstration 2009 auch in den Mainstreammedien regelmäßig konsultiert.
Nicht alles, was Fefe von Lesern zugeschickt bekommt und – häufig augenzwinkernd – verlinkt, hält einer Recherche stand. Aber bemerkenswert vieles, was vor zehn Jahren außerhalb des Blogs (und des Chaos Computer Clubs, in dem Fefe Mitglied ist) als Verschwörungstheorie abgetan wurde, gilt heute als anerkannte Tatsache: Allem voran die Totalüberwachung der elektronischen Kommunikation durch den US-amerikanischen Geheimdienst NSA, den dessen ehemaliger Mitarbeiter Edward Snowden 2013 in einer Weise enthüllte, die auch den Mainstream auf die Problematik aufmerksam machte.
Ähnliches gilt für die Arbeitsweise von Banken, die erst nach und nach einer größeren Öffentlichkeit bekannt wurde. Und für die Politik der NATO, der EU, der Bundesregierung und anderer politischer Akteure. Als sehr hellsichtig erwies sich Fefe auch in der Einschätzung der Piratenpartei, deren gravierende Personalprobleme er deutlich früher erkannte als alle anderen Medien.
Seine Distanz zu den Objekten seiner Berichte und Analysen macht Felix von Leitner kenntlich, indem er konsequent pejorative Ausdrücke verwendet: Die SPD (die sich trotz einer Anfrage von Telepolis nicht zum Jubiläum von Fefes Blog äußern wollte), ist bei ihm die „Verräterpartei“ und die CDU die „schwarze Pest“. Das ist nicht ganz BBC-Ton, zeigt aber eine Unabhängigkeit, die es in große Zeitungen (und vor allem in öffentlich-rechtlichen Fernsehsendern) nicht gibt.
Ich arbeite für die „Schlangenölindustrie" (manchmal hast Du wirklich recht… :), derzeit bei einem grossen amerikanischen Hersteller (dem in verschiedenen Kreisen Verbindungen zur NSA nachgesagt werden…), betreue dort Kunden wie die T-Systems (und andere, deren Namen ich nicht nennen darf..) und bin überzeugter Fan der Homöopathie (für Denkanstösse dazu siehe unten - wenn Du magst) - ach ja, und diese E-Mail entsteht gerade auf einem Macbook Air ;-)
The FBI said they do not believe the incident is related to terrorism. Law enforcement sources say there are initial indications that the vehicle used by the suspects was stolen. The FBI evidence response team is on the scene investigating and testing for the possible presence of drugs.
At the center of it is an anti-Iranian group calling itself “United Against Nuclear Iran” (UANI), which is very likely a front for some combination of the Israeli and U.S. intelligence services. When launched, NBC described its mission as waging “economic and psychological warfare” against Iran. The group was founded and is run and guided by a roster of U.S., Israeli and British neocon extremists such as Joe Lieberman, former Bush Homeland Security adviser (and current CNN “analyst”) Fran Townsend, former CIA Director James Woolsey, and former Mossad Director Meir Dagan. One of its key advisers is Olli Heinonen, who just co-authored a Washington Post Op-Ed with former Bush CIA/NSA Director Michael Hayden arguing that Washington is being too soft on Tehran.DIE Art von Geheimdienstausgliederung. Aber auf der anderen Seite peinlich bemüht, keine Beziehungen zu US-Behörden zu haben.The New York Times’s Matt Apuzzo noted at the time that “the group is not affiliated with the government, and lists no government contracts on its tax forms. The government has cited no precedent for using the so-called state secrets privilege to quash a private lawsuit that does not focus on government activity.” He quoted the ACLU’s Ben Wizner as saying: “I have never seen anything like this.” Reuters’s Allison Frankel labeled the DOJ’s involvement a “mystery” and said “the government’s brief is maddeningly opaque about its interest in a private libel case.”Wie krass.
Neulich forwardete mir jemand eine ähnliche Sache, nur hat dort der ISP ernsthaft argumentiert, gegen die NSA könne man ja eh nichts machen, daher lohnt sich Krypto nicht. (Danke, Florian)
The state of Israel does not conduct espionage against the United States or Israel’s other allies.Einziges Problem:Israel’s claim is not only incredible on its face. It is also squarely contradicted by top-secret NSA documents, which state that Israel targets the U.S. government for invasive electronic surveillance, and does so more aggressively and threateningly than almost any other country in the world. Indeed, so concerted and aggressive are Israeli efforts against the U.S. that some key U.S. government documents — including the top secret 2013 intelligence budget — list Israel among the U.S.’s most threatening cyber-adversaries and as a “hostile” foreign intelligence service.Der Anlass für dieses Statement war übrigens, dass Obama ein paar Papierchen darüber hat leaken lassen, dass Israel die US-Friedensverhandlungen mit dem Iran abgehört und die Ergebnisse den Republikanern im US-Unterhaus weitergeleitet hat.
Malmström glaubt an die Vorteile des Abkommens mit den USA, nicht nur von Amts wegen. Eine Einigung über niedrigere Zölle und die Angleichung von Regeln für Airbags, Autoblinker und Klimaanlagen sollen neue Jobs schaffen, aber auch ein geopolitisches Signal senden: Die USA und Europa haben sich auch in Zeiten von NSA nicht völlig auseinandergelebt. "Putin würde TTIP nicht mögen", sagte die EU-Kommissarin kürzlich.Die sind alle so in ihrer Transatlantik-Rhetorik gefangen, dass sie selber nicht mehr zwischen Realität und Fiktion unterscheiden können. Putin ist der Böse, also ist Putin Ärgern gut!1!!
Der Vortragende dort hat jetzt eine Karte mit deutschen NSA-Standorten ins Netz gestellt und ruft zum Fotografieren auf :-) (Danke, Felix)
NSA und CIA spionieren auch mithilfe deutscher Technik. Der IT-Konzern SAP hat die US-Geheimdienste sogar gezielt durch Firmenzukäufe und Verträge als Kunden gewonnen.Es geht wohl um Hana, da gab es ja neulich schon die Story mit der BND und Hana. (Danke, Rainer)
Der pensionierte Brigadegeneral bestätigte am Donnerstag im NSA-Untersuchungsausschuss des Bundestags einen Bericht, wonach es der US-Geheimdienst im Kooperationsprojekt Eikonal etwa auch auf "EADS", "Eurocopter" und "französische Behörden" abgesehen hatte.Also so einen glasklaren Fall von Terrorbekämpfung hatten wir ja schon lange nicht mehr!
Ich erwähne das, weil sich der eine oder andere (hoffentlich!) gefragt haben wird, wieso wir von dem halbwegs wohlverstandenen Antik-BIOS zu dem klaffenden Sicherheitsloch UEFI wechseln, und wieso Lenovo uns Krypto-Technologien aufdrängen will, die uns daran hindern, etwaige NSA-Hintertüren im BIOS (wir erinnern uns bei der Gelegenheit an die "Bad-BIOS"-Geschichten) durch Flashen eines eigenen BIOS zu ersetzen.
Ja, das liegt an der NSA. Vollumfänglich liegt das an der NSA.
Was mir besonders auf den Sack geht, sind die Leute, die jetzt so tun, als ginge es bei TPM ja nur um Measured Boot, und dieser Bootguard-Scheiß sei bloß eine Aberration. Nein, ist es nicht. Das war der ursprüngliche Plan. Als die Geschichte noch Palladium hieß und ein Microsoft-Projekt war, um den NSA-Anforderungen zu genügen. Damals hieß es: Im Moment können wir TPM nur als passive Komponente neben die CPU löten, aber in der nächsten Generation (wir reden hier von Pentium 4-Zeiten!) ist das dann in der CPU und dann kann man das auch nicht mehr abschalten. Damals haben wir massive Proteste losgetreten, woraufhin das TPM eine (optionale!) passive Komponente neben der CPU blieb. Das Narrativ der NSA-Schergen änderte sich daraufhin zu "aber guckt mal, ihr könnt doch selber Schlüssel hochladen, und dann könnt ihr damit euer Linux absichern!1!!" Und einige Elemente unserer Community haben diesen Bullshit auch noch geglaubt!
Liebe Leute, wir befinden uns hier gerade in einem Krieg um unsere informationstechnischen Plattformen. Wer die Plattform besitzt, kontrolliert auch die auf ihr stattfindenden Dinge. Das sollte spätestens seit Facebook auch dem letzten Idioten klar sein, ist es aber offensichtlich nicht.
Intel glaubt jetzt offenbar, hey, die Leute da draußen sind alle dümmer als ein Stück Brot. Wir probieren das einfach nochmal und tun das TPM in die CPU. Damit es keiner merkt, nennen wir es "Boot Guard" und lassen das TPM daneben bestehen. Für die Plausible Deniability machen wir das "optional", und dann kriegt Lenovo den Gegenwind ab und nicht wir. Und wenn wir Glück haben, dann kommen so Spezialexperten wie Patrick Georgi und erkennen nicht nur nicht, dass Boot Guard ein TPM wie ursprünglich geplant ist, sondern bringen auch noch das Argument, dass das ja was anderes als "das TPM" sei, und versteigen sich dann auch noch zu der Ansage, dass TPM uns retten wird vor Boot Guard. Ach ja, ist das so? OK, zeig mal. Ich hab hier ein System, auf das habe ich coreboot geflasht, und es bootet nicht mehr. Zeig mir doch mal, wie TPM mich jetzt rettet, Patrick!
Warum reibe ich mich so an diesem einzelnen Verirrten? Weil der eigentlich auf unserer Seite kämpft! Das ist ein Coreboot-Entwickler! Ich will dem jetzt nicht unterstellen, ein NSA-Uboot zu sein. Aber vom Effekt seiner Aussagen her könnte er kaum mehr auf Seite der NSA kämpfen.
Liebe Nerds, so geht das nicht weiter. Schlimm genug, wenn die Politik keine Folgenabschätzung macht. Schlimm genug, wenn die Physiker Atombomben bauen, ohne zu wissen, ob deren Detonation am Ende unsere Atmosphäre verbrennen wird. Wenigstens wir müssen uns bei solchen Sachen langfristige Gedanken machen! Und nicht auf Geheimdienste und ihre Talking Points reinfallen!
Es reicht nicht, über die Politik zu meckern, wenn die unsere Freiheit auf dem Altar der Sicherheit opfern. Secure Boot ist genau das selbe in grün.
Daraufhin, so Spiegel Online, habe das Kanzleramt den BND um Nachprüfung gebeten, "ob diese Unterlagen dem Untersuchungsausschuss vollumfänglich vorgelegt wurden", wie es in einem Schreiben an den Untersuchungsausschuss heiße. Die Antwort der Geheimdienstler: Man habe "etwa 130 Dokumente (…) aufgrund eines Versehens dem Untersuchungsausschuss bislang nicht übermittelt". Die Behörde wurde gebeten, "Stellung zu nehmen, wie es dazu kommen konnte".Ich möchte an der Stelle mal die Wörter hervorheben, die das reale Dienstverhältnis hier widerspiegeln.
Doch nicht. So ist das halt mit US-Firmen. Die sind dann auch dem Einfluss der US-Behörden ausgesetzt. Jemand wird denen beim Bierchen gesagt haben, dass das kontraproduktiv für weitere Cloud-Großaufträge von Regierungsbehörden wäre, wenn man jetzt nicht mehr an die Daten auf konfiszierten Android-Geräten rankäme. Und dann vielleicht noch ein bisschen mit Strafverfolgung argumentieren, damit Google versteht, aus welchem Winkel die Presse darüber berichten würde. "Wir konnten diesen Kinderschänder nicht fangen, weil sei Android-Telefon verschlüsselt war! Schaut euch nur dieses kleine, unschuldige blonde Mädchen an, das wir jetzt nicht finden können!1!!"
Hillary Rodham Clinton exclusively used a personal email account to conduct government business as secretary of state, State Department officials said, and may have violated federal requirements that officials’ correspondence be retained as part of the agency’s record.Mrs. Clinton did not have a government email address during her four-year tenure at the State Department. Her aides took no actions to have her personal emails preserved on department servers at the time, as required by the Federal Records Act.
Das ist ja schon krass. Die haben ihr da keine Email-Adresse eingerichtet?! WTF?Naja, jedenfalls springen da jetzt die Clinton-Hasser drauf als gäbe es kein Morgen.
Und die Details sind in der Tat aromatisch. So hätte sie ja mit ihrer Privat-Emailadresse die rausgehenden Mails zumindest durch Regierungsserver routen können. Hat sie aber nicht. Sie hat lieber zuhause im Keller selbst einen Server aufgesetzt und dann den genommen.
Was ich ja nicht verstehe: Wieso fragen sie nicht einfach die NSA und fertig ist die Laube?
Das verschlüsselte Handy des NSA-Ausschussvorsitzenden Sensburg wurde womöglich gehackt. Das defekte Gerät wurde zur Untersuchung vom Bundestag nach Bonn geschickt. Der Behälter kam an - aufgebrochen.Da haben die Amis uns aber mal ganz deutlich gezeigt, wer hier die Infrastruktur kontrolliert und wer nicht. :)
Oder, um es mit einem Kumpel zu formulieren:
einen blackberry (!) per post (!) zur sicherheitsprüfung (!) ans bsi (!)Die Nerds haben jetzt jedenfalls Spaß :)
In particular, a network attacker can send the certificate of any arbitrary website, and skip the rest of the protocol messages. A vulnerable JSSE client is then willing to accept the certificate and start exchanging unencrypted application data. In other words, the JSSE implementation of TLS has been providing virtually no security guarantee (no authentication, no integrity, no confidentiality) for the past several years.Die Experten von Sun mal wieder! Wie war das noch? Java setzt man wegen der Sicherheit ein? Oh nein, warte, wegen der Performance!1!!Auch auf der Webseite: FREAK. Da geht es darum, dass offenbar diverse Webserver noch einen Export-Modus implementieren, aus Krypto-Uhrzeiten. Das ist ein Krypto-Downgrade, das man anscheinend auch triggern kann, dass die benutzt werden. Und dann wird ein so schwacher Schlüssel verwendet, dass man den für $50 knacken kann. Und das betraf anscheinend auch mal wieder OpenSSL.
Update: Achtet auch auf den Screenshot, wo sie den Angriff gegen NSA.gov fahren.
Kunden von denen sind so Firmen wie Intel, Samsung, TSMC (wo u.a. AMD fertigen lässt). Damit wären einmal alle CPUs abgedeckt, auf Desktops und in Mobiltelefonen.
Update: Die Lithographiemaschinen reichen nicht für so einen Hack. Da lädt man seine Masken rein, die vorher aus einer Layoutsoftware gefallen sind. Die müsste man also auch schon gehackt haben. Ansonsten kann man mit gehackten Lithographiemaschinen natürlich Industriespionage betreiben. Aber auch da wäre man wohl eher an den Layouts interessiert als an den Masken. Oder an beidem, eigentlich.
Nein, natürlich nicht! So Leute wie Oettinger, die die Five Eyes einfach machen lassen, sind unser Feind! (Danke, Bernhard)
Der Grund, wieso Schlüsselaustausch mit PGP so auffallend nervig ist, ist dass PGP nicht lügt an der Stelle. Schlüsselaustausch ist das zentrale Problem bei der Verschlüsselung. Es gibt drei Lösungsansätze.
Entweder nimmt man ein zentralisiertes System, dann kann man sich die Verschlüsselung auch gleich sparen. Denn dann geht die NSA halt zu TextSecure und liefert MITM-Schlüssel aus. National Security Letter und so weiter.
Oder man tut einfach so, als gäbe es kein Problem. So macht OTR das. So gut wie niemand hat da jemals den Schlüssel der Gegenseite validiert. Geht ja auch so!1!! Dann kann man sich die Kryptographie im Grunde auch direkt sparen.
Oder man macht das wie PGP und steht dazu, dass das halt ein wichtiges Problem ist, und der Benutzer muss die Entscheidungen selber treffen. Nachteil: Ist nervig. Vorteil: Niemand drückt dir irgendwelche Schlüssel rein. Wenn du Schlüssel einfach so akzeptierst, ist das deine Entscheidung. PGP warnt dich jedes Mal, bis du den Schlüssel nochmal von Hand bestätigst.
PGP ist nicht "Krypto aus den 90ern". Mein ranziges GPG 1.x hier kann SHA512 und AES256. Klar, Perfect Forward Secrecy gibt es nicht bei einem Store+Forward-Medium. Wer das haben will, sorgt zusätzlich für STARTTLS auf dem Weg. Aber hey, STARTTLS funktioniert nicht ordentlich. Warum nicht? Es scheitert am Schlüsselaustausch. NA SOWAS.
Update: Haha, jetzt kommen hier Beschwerden rein, ordentlich implementiertes OTR würde ja auch ordentlich warnen, wenn man den Schlüssel nicht verifiziert hat. Ja wo ist dann der angebliche Vorteil gegenüber GPG? Richtig. Nicht da.
Auf einer gewissen Ebene hat er natürlich Recht. Auf der anderen Seite hat Snowden seinen Scheiß halt nicht mit Moxies Scheiß vor der NSA gerettet sondern mit GPG. Und am Ende kommt er dann mit:
GPG isn’t the thing that’s going to take us to ubiquitous end to end encryption, and if it were, it’d be kind of a shame to finally get there with 1990’s cryptography.Damit wären wir wieder bei den Ansprüchen. GPG hat nicht den Anspruch, universelle Ende-zu-Ende-Verschlüsselung zu machen. GPG ist für Email. Nicht für Webseiten, nicht für Chat (obwohl man es in XMPP verwenden kann), nicht für Telefonieverschlüsselung. Die Kritik ist unwürdig.Ich will da jetzt nicht groß ins Detail gehen, aber so richtig vollständig überzeugend ist auch Moxies Software bisher nicht. Die andere Sache, die sich durchgesetzt hat, ist OTR. Auch das ist nicht von Moxie. Ich finde das nicht angemessen, wenn er sich da so aus dem Fenster lehnt. GPG ist nicht schlecht, weil es alt ist. OTR nicht gut, weil es neue Krypto benutzt. Moxie macht sich das hier viel zu einfach.
Ich will dem mal entgegen halten, dass praktisch alle Linux-Distributionen, die überhaupt Krypto zum Validieren der Paketintegrität einsetzen, dafür GPG benutzen. Das muss man erst mal schaffen, so eine Marktdurchdringung.
Die Leute, die das in Deutschland fordern, kämpfen also auf der selben Seite wie die NSA. Gegen uns alle.
Da stellt sich gleich mal direkt die Frage, wieso da überhaupt irgendwelche Schlüssel auf irgendwelchen Servern liegen, und wieso diese Server dann in irgendeinem Netz hängen, wo man sie angreifen kann.
Update: Das ist eigentlich schon vor zwei Jahren rausgekommen, aber jetzt hat das wohl jemand in der freien Wildbahn (?) gefunden, isoliert und analysiert.
Update: Beitrag aus dem Jahre 2013 dazu
Außerdem sei man in den vergangenen 70 – aber vor allem den vergangenen 25 – Jahren ein beständiger Partner beim weiteren Eintreten für diese Rechte gewesen. Gelegentlich wünsche er sich deshalb, dass "uns die Deutschen einen Vertrauensvorschuss geben, anstatt das Schlimmste anzunehmen". Wenn man auf ein fundamentales Vertrauen aufbauen könne, würde das auch durch auftauchende Meinungsverschiedenheiten nicht zerstört.Dass der sich überhaupt traut, uns mit diesem Spruch zu kommen, nach dem Folterbericht und dem NSA-Skandal! Krass.
Und wie sich rausstellt hat der BND dann halt auch ihre eigene Seite unterwandert. Und viele gibt es ja nicht, die auf deren Seite kämpfen. Da muss man schon zu einem Reservistenverband gehen.
Und wenn man der "Welt" glauben darf, ist genau das passiert, und das ist der eigentliche Grund, wieso der Amerika-Versteher und überzeugte Transatlantiker-Reservist Kiesewetter seinen CDU-Whitewashing-Posten im NSA-Untersuchungsausschuss hingeworfen hat. Krass.
Gar nicht. Schon klar. Ich meinte jetzt abgesehen davon. Was tun die da, um sich davon zu überzeugen, dass das schon alles rechtens ist?
Heise berichtet aus dem NSA-Ausschuss:
Konstantin von Notz (Grüne) sprach von einer reinen "Schlüssigkeitsprüfung", was Golke nach einer seiner vielen Überlegenspausen bejahte. Letztlich wisse nur der BND selbst, ob die tatsächlich eingesetzte Maschine dieselbe sei wie die im Entwicklungsstadium begutachtete: "Man muss sich eh auf die überprüfte Stelle verlassen." Hinterher könnten Geräte beliebig zusammengestöpselt werden. Ihm fehlten Rechte für spätere Inspektionen beim BND.Aber wartet, geht noch besser! Es gab da nämlich einen Laborbesuch beim BND. Der lief wie folgt ab:
Beim Laborbesuch beim BND habe es eine wichtige Rolle gespielt, "Vertrauen aufzubauen", dass "die das so machen, wie in den Dokumenten beschrieben". Es sei wichtig, "welches Gefühl ich da habe".Ja super! Der hat den BND-Ausflug mit einem Besuch beim Psychologen verwechselt!
Soviel dazu. Ich fände es ja total knorke, wenn wir da mal von faith based auf fact based umstellen könnten. (Danke, Stefan)
Happy Data Privacy Day!!m(
ECDHE silently downgrades to ECDH [Client] (CVE-2014-3572)Wait, what?
========================================================== Severity: Low
RSA silently downgrades to EXPORT_RSA [Client] (CVE-2015-0204) ============================================================== Severity: LowSurely some mistake?
DH client certificates accepted without verification [Server] (CVE-2015-0205) ============================================================================= Severity: LowUnd zu guter letzt kann auch noch der Fingerprint modifiziert werden und ihre Quadrier-Routine verrechnet sich gelegentlich. Ihr seht schon: Alles totale Randgruppenprobleme, kein Grund zur Beunruhigung.
Update: Falls jemandem die Signifikanz nicht klar war: Der Unterschied zwischen ECDHE und ECDH ist Perfect Forward Secrecy. Das heißt, dass wenn die Polizei den Serverschlüssel beschlagnahmt, sie trotzdem nicht damit die alten NSA-Mitschnitte entschlüsseln kann. TLS ohne Perfect Forward Secrecy auszurollen kann man sich meiner Meinung nach auch gleich sparen.
Der trug da eine geschmeidige, einstudiert wirkende Präsentation vor, die man von ihrem Stil her auch im Fernsehen hätte bringen können. Eine Show, sozusagen. Der Mann war Anfang-Mitte der 80er Jahre in Berlin im NSA-Abhörstützpunkt auf dem Berliner Teufelsberg stationiert, und erzählte da seine Geschichte. Das war aber nicht eine technische, nerdige Geschichte (und man darf davon ausgehen, dass die technischen Details bis heute alle geheim sind und er sich strafbar gemacht hätte, wenn er die ausgeplaudert hätte), sondern eine Reihe von Anekdoten über das Leben als NSA-Analyst.
Ich weiß nicht, was ich da erwartet habe. Und je mehr ich mich fragte, was ich eigentlich erwartet habe, desto klarer wurde mir, dass ich im Grunde keinerlei Präzedenzfall hatte, auf den stützend ich irgendeine Erwartungshaltung hätte haben können. Der Vortrag war durchaus kurzweilig, aber die Q&A-Sektion habe ich mir gespart und bin rausgelaufen, um noch einen Sitzplatz im anderen Saal zu kriegen. Wie ich später hörte, wurde er in der Sektion im Wesentlichen vom Publikum beschimpft.
Während des Vortrages und beim Rausgehen hatte ich irgendwie so ein unbestimmtes Gefühl der Unzufriedenheit mit dem Vortrag, aber je mehr Abstand ich gewinne, desto weniger bleibt davon übrig. Der hat genau das geliefert, was er liefern konnte, ohne sich Repressalien auszusetzen. Mehr kann man nicht erwarten.
Ich traf den dann abends nochmal an der Bar ganz oben im Gebäude und wir haben noch ein paar Stunden geplaudert. Dabei kamen dann noch ein paar Aspekte dazu, die mich in dieser Einschätzung noch bestärkt haben. Eine Sache davon will ich mal berichten, weil ich sie so überraschend fand. Und zwar meinte er, er habe schon damit gerechnet, dass er sich danach Beschimpfungen anhören muss, aber er hat in seiner Zeit in Berlin die Deutschen als ausgesucht höfliches Völkchen kennengelernt. Nie würde jemand "Du Arsch" sagen, sagte er, sondern nur sowas wie "Mit Verlaub, ohne Ihnen jetzt zu nahe treten zu wollen, ich halte Sie für ein Arschloch". Und diese Floskeln fehlten bei der Publikumsbeschimpfung. Das hat auf ihn viel stärker gewirkt als die eigentlichen Beschimpfungen. Er hatte den Eindruck, die Leute sind wirklich aus tiefster Seele wütend auf ihn. Das hatte er noch nicht erlebt, dass ein Deutscher so die Contenance verliert.
Wenn man mich nach den Ländern mit den höflichsten Menschen fragen würde, wäre Deutschland eher weiter unten auf der Liste. Insofern sehr erstaunlich, wie er da eine völlig andere Wahrnehmung hatte.
Ich hab ihm dann gesagt: Hör mal zu, du bist der erste und wahrscheinlich einzige, den wir jemals hier haben werden, der zu dem Thema was berichten kann. Du hättest vor allen Leuten auf die Bühne pinkeln können und das wäre noch der beste Vortrag zu dem Thema gewesen, den es beim CCC je gab. Er hatte die Show wohl tatsächlich von langer Hand vorbereitet und war nervös und hatte das vor dem Spiegel geübt und alles. Ich habe ihm jedenfalls nochmal ausdrücklich meinen Dank ausgedrückt, dass er überhaupt gekommen ist, und uns diesen Vortrag gehalten hat. Und ich fand es auch sehr bemerkenswert, dass er schon vor der Fragesektion von sich aus im Vortrag Rationalisierungen eingebaut hatte, und da seine Arbeit zu verteidigen anfing. Ohne seine Arbeit wären Bomben geflogen und wir wären alle tot, und so. Und er hat sich da auch großflächig von Bush distanziert, und Wert darauf gelegt, dass wir verstehen, dass sie damals ja sehr gezielt abgehört hätte und nicht einmal alles mitgenommen haben wie heute. Das glaube ich für meinen Teil eher nicht, aber ich glaube ihm, dass das deren Eindruck von sich und ihrer Arbeit war damals.
Insgesamt habe ich in dem Vortrag neue Perspektiven gewonnen und empfehle ihn daher weiter. Aber nicht nur so mal eben konsumieren und dann weitergehen. Rezipieren und ne Nacht drüber schlafen, da mal in Ruhe drüber nachdenken.
Ich finde es gut, dass der Vortrag so anekdotenhaft war. Denn aus unserer Sicht als abgehörte Berliner war das damals sowas wie eine Sturmtruppen-Kaserne voller gesichtsloser Roboter oder Drohnen. Er hat jetzt gezeigt, dass das auch Menschen waren. Und das finde ich eine sehr wichtige Lektion, dass das alles Menschen waren. Und zwar keine bösen Menschen. Wenn ich in den USA geboren worden wäre zu der Zeit, hätte das auch ich sein können. Diese Rationalisierungen sind jetzt, nachträglich und aus meiner Perspektive offensichtliche Rationalisierungsversuche, aber wenn ich da an seiner Stelle gewesen wäre, bin ich mir nicht sicher, ob sie mir nicht auch gereicht hätten, um das doch zu machen.
Und das ist die Sache, über die wir meiner Ansicht nach alle nochmal dediziert nachdenken müssen. Hätte ich den Job gemacht? Hätte ich das damals als Täter so gesehen wie ich es jetzt als Opfer sehe?
Ich glaube, dass die meisten Meckerer aus dem Publikum einfach ein Ventil brauchten nach Snowden, und dieser Mann war der erste, der sich nahe genug rantraute, dass man ihn direkt beschimpfen konnte. Ich kann das schon auch nachvollziehen, auf menschlicher Ebene, aber es ist auch etwas beschämend, so mit unseren Gästen umzugehen. Und dass er verstanden hat, was er da tut, das ist ja klargeworden bei seinem Vortrag, das hätte man ihn nicht noch rhetorisch fragen müssen danach.
Also, lange Rede kurzer Sinn: Klare Anguckempfehlung. Einmalige Gelegenheit. Nutzt sie. Hier gibt es das Video.
Update: Einen noch, ohne da jetzt Details ausplaudern zu wollen, die er mir noch erzählt hat. Von der Einstellung und seinen Werten her fand ich den näher daran, „einer von uns“ zu sein als „einer von denen“. Ob man so eine NSA-Vergangenheit verzeihen kann, das muss jeder von euch für sich selber entscheiden. So wie ich das verstanden habe ist der jedenfalls nicht mit der Show auf Tournee, auch wenn sie routiniert erschien, sondern hat die nur für uns so vorbereitet und geübt.
Highlights, die sich anzugucken lohnen, sind (völlig subjektiv, versteht sich):
Mit der Fnord-Show war ich dieses Jahr selber nicht so zufrieden. Wir hatten zu viele Folien. Das wussten wir auch vorher, aber wir hatten schon einen gehoben zweistelligen Prozentsatz an potentiellen Folien vorher weggeschmissen. Das werden wir nächstes Jahr anders machen. Dem Publikum hat es anscheinend trotzdem ganz gut gefallen, insofern will ich da jetzt mal nicht zu schlecht gelaunt sein. Aber zufrieden war ich nicht. Bin ich aber so gut wie nie nach meinen Vorträgen, wäre ja auch langweilig.
Den heutigen dritten Tag nutze ich hauptsächlich für Socializen und vielleicht das eine oder andere Interview. Für Erich Möchls Vortrag heute morgen konnte ich mich leider nicht rechtzeitig aus dem Bett quälen. Das will man sicher auf Video gesehen haben, er sprach über NSA-Niederlassungen in Österreich.
Meiner Einschätzung nach sollte man heute um 17:15 den DP5-Vortrag nicht verpassen, aber der leider parallel liegende Vortrag "What Ever Happened to Nuclear Weapons" ist mindestens genau so wichtig. Ich schau mal, wo ich einen guten Sitzplatz finde, und den anderen gucke ich dann auf Video. Um 18:30 würde ich den Thunderstrike-Vortrag gucken.
Um 21:15 gibt es in Saal 2 einen Vortrag über Nordkorea, der wird bestimmt voll :-)
Um 22:00 verspricht der Perl-Vortrag hochkarätig zu werden.
Heute morgen bin ich direkt von einem FAZ-Reporter zu Regin befragt worden, und habe das ein bisschen auf eine generelle Malware-Schiene umzubiegen versucht. Mal gucken, wie das wird. Danach wurde ich direkt von Tilo Jung abgefangen, der hier auf dem Congress herumrennt und Interviews führt. Wir haben uns vorher ein bisschen darüber unterhalten, was wir für ein gutes Interview halten, und ob der Interviewer da Positionen bekleiden sollte oder nur den Interviewpartner reden lassen sollte. Ich finde ja letzteres. Das optimale Interview ist eines, bei dem der Interviewer dem Interviewgast ein paar Stichworte hinlegt und ihm dann nicht dabei im Wege steht, wenn er sich um Kopf und Kragen redet. Tilo war kürzlich in Israel und Paälstina und hat dort mit allen Seiten Interviews geführt, und erzählte, dass er dann erst dafür kritisiert wurde, er würde ja nur die eine Seite zu Wort kommen lassen, und als er dann mit den anderen redete, wurde er dafür kritisiert, denen nicht ins Wort gefallen zu sein, als die da krude Parolen äußerten und sich zum Klops machten. Dieses Muster (jetzt nicht mit Israel und Palästina) habe ich schon häufiger beobachten können und finde es ausgesprochen deprimierend. Ich hatte da vor ein paar Wochen schonmal was zu gebloggt, und so fragte mich dann Tilo auch zu Ken Jebsen. Ich hoffe, ich habe mich da jetzt nicht zu sehr um Kopf und Kragen geredet *hust*. Soviel ist jedenfalls klar: Je weniger Struktur der Interviewer vorgibt, desto mehr Gelegenheiten zum Verplappern hat der Interviewpartner. Vorsicht bei Interviews mit Tilo! :-)
Auf dem ersten Cyberdialog zwischen der EU und den USA lobte ein Vertreter der Generaldirektion Innen der EU-Kommission die guten transatlantischen Beziehungen im Internetbereich nachdem der NSA-Skandal abgeklungen ist.
Update: Die EU-Kommission spricht da ernsthaft von einer "Snowden-Hysterie". Was für eine Frechheit.
Das Dokument trägt den schlichten Titel "Beste Praktiken bei der Aufstandsbekämpfung", kommt aber schon in der Unterzeile zur Sache: "Wie man Operationen mit hochwertiger Zielauswahl zu einem effektiven Mittel der Aufstandsbekämpfung macht". Entstanden ist das Papier über das "High-Value Targeting" im Office of Transnational Issues (OTI), das sich auf der Website der CIA damit rühmt, es habe "einzigartige funktionale Sachkompetenz anzubieten, um bestehende und entstehende Bedrohungen für die Sicherheit der USA einschätzen zu können".Das Dokument, um das es hier geht, ist das Meuchelmord-Manual der CIA, geleakt von Wikileaks.
"Wenn Sie der Kanzler von Deutschland sind, haben Sie kein privates Mobiltelefon"
Prof. Papier hat phantasiert und das wissen nicht nur wir MdB, sondern auch sein UmfeldProf. Papier war von der CDU unter dem Vorsitz von Kiesewetter als Zeuge geladen worden. Wer zu Kiesewetter noch Fragen hat, kann mal die "Mitgliedschaften"-Liste bei Wikipedia lesen.
Der Senat hatte kurz davor ohne großes Aufsehen einstimmig einen Absatz eingefügt, der das Ausspähen US-amerikanischer Grundrechtsträger gestattet.Die Democrats sind Mittäter.
Wo bleibt eigentlich die Revolution?
Der Klopper:
Das Innenministerium bestätigt einen Vertrag mit dem Bundeskriminalamt. Dabei soll der im April verkündete “No-Spy-Erlass” zur Anwendung kommen: CSC verspricht, keine Daten an die NSA zu geben.Sorry, aber da kann mir keiner was von Naivität erklären. Das ist Vorsatz. Das ist keine Regierung, das ist eine Junta.
Netzpolitik.org hat ein paar Emails zugespielt gekriegt, in denen CSC ihren Mitarbeitern gegenüber mit den neuen Aufträgen prahlt. Hier ist die Liste:
CSC freut sich, “weitere Rahmenverträge” mit sechs bundesdeutschen Behörden abgeschlossen zu haben. Dazu zählen:Spätestens bei der Bundeswehr ist dann hoffentlich jedem klar, was das bedeutet. Dort sollen sie übrigens Software entwickeln.
- Landeskriminalamt Bayern: Rahmenvertrag neues polizeiliches Vorgangsbearbeitungssystem (IGVPFE)
- Bundeskriminalamt: Rahmenvertrag IT-Dienstleistungen
- Bundesverwaltungsamt: Fachverfahren Elektronisches Personal-, Organisations- und Stellenmanagement der Bundesverwaltung (EPOS)
- Bundesagentur für Arbeit (BA): Rahmenvertrag Systementwicklung (SE)
- Bundesagentur für Arbeit (BA): Partner der MID GmbH im Rahmenvertrag Systementwicklung (SE)
- Bundeswehr und BWI/HERKULES: Zusammenfassung der gewonnen Rahmenverträge
Doch nach monatelanger Prüfung kommt das Bundesjustizministerium zu dem Schluss, dass "die Beantwortung der Frage, ob Herr Snowden (…) an die USA ausgeliefert werden kann, (…) nicht zwangsläufig erforderlich [ist] für die Klärung der Sachverhalte, für die der Untersuchungsausschuss eingesetzt wurde". Vermutlich würde das der Untersuchungsausschuss lieber selbst beurteilen.Was hätte da auch sonst passieren sollen, das Ministerium ist schließlich in der Hand der Verräterpartei.
Die Abgeordneten dürften geheime Akten ja nicht öffentlich machen, aber es sei doch bezeichnend, dass BND-Zeugen immer wieder bestimmte Dinge in nichtöffentlicher Sitzung anders darstellten.Na sowas!
Nach einer halbstündigen nicht-öffentlichen Beratung einigten sich beide Seiten darauf, dass Linke und Grüne den Vorwurf der konkreten Falschaussage fallen ließen.Ja super. So ist das halt, wenn die Opposition zu schwach ist.
"We didn't want to interfere with NSA/GCHQ operations," he told Mashable, explaining that everyone seemed to be waiting for someone else to disclose details of Regin first, not wanting to impede legitimate operations related to "global security."Na gut, Fox IT ist eine üble Trojanerbude. Wie sieht es denn mit seriösen Antivirenfirmen aus, sagen wir mal F-Secure?Mikko Hypponen, a renowned security expert and chief research officer for F-Secure, said that while they had detected some parts of Regin since 2009, they were not at liberty to discuss their discovery due to confidentiality agreements with customers who asked them not to publish details of hacks they suffered.2009!!!
Und überhaupt, die fiesen Islamisten entziehen sich mehr und mehr der NSA-Überwachung (ja wie denn eigentlich?), und daran Schuld ist nur dieser fiese Vaterlandsverräter Snowden!
Ich sage euch, ohne diesen fiesen Snowden, da hätte die NSA die ISIS-Leute genau so topp im Griff wie damals Al Kaida bei 9/11, oder die Islamisten beim Boston Marathon. Oder wie beim ersten WTC-Bombing. Oder bei diesem Anthrax-Ding — oh warte, das waren ja gar keine Islamisten. Na trotzdem, ohne Snowden hätte die NSA das vorher gewusst!1!! Ein Scheiß mit diesem Snowden!
Die kolportierten 500 Millionen Datensätze […] waren laut einem führenden Beamten des Geheimdienstes eine "durchaus normale" Größe. Anfangs sei man "sehr erstaunt" gewesen über die hohe Zahl […] Aber in Bezug auf Metadaten könne man die Größenordnung nachvollziehen.Ach sooo, sind nur Metadaten! Na DANN ist das ja nicht so schlimm!1!!
Im Übrigen ist dieses Erbsenzählen ja eh nicht zielführend:
Es mache aber keinen Sinn, derlei Werte anzuführen, da einzelne Ereignisse wie Telefonate schon Dutzende Verbindungsdaten produzierten.Seht ihr? Da fällt so viel an Daten an, wer macht sich denn da bitte noch die Mühe und zählt das! Totale Zeitverschwendung. Vor allem, was man in der Zeit schon wieder für weitere Daten hätte an die NSA weiterleiten können!
Denkt denn hier niemand an die Kinder?!
Ein Iphone-Denkmal (!) an einer russischen Schule (!!) wurde jetzt abgebaut, weil Tim Cook sich geoutet hat (!!!). Damit war klar: Man muss den russischen Gesetzen genügen, und die Kinder vor Schwulen-Propaganda schützen. Außerdem kann man so ja auch dagegen Protestieren, dass Apple ja der NSA geholfen haben soll.
LOLWUT?!
Update: War wenig überraschend ein Hoax.
Das wird natürlich auch nicht funktionieren. Die Amis haben schon vor fast 40 Jahren Unterseekabel angezapft. Insofern ist das nur eine politische Geste, aber eine schöne.
At the same time that he was running the United States' biggest intelligence-gathering organization, former National Security Agency Director Keith Alexander owned and sold shares in commodities linked to China and Russia, two countries that the NSA was spying on heavily.
Oh und bei den heißen Eisen, z.B. der "Glasfasererfassung" u.a. am DE-CIX, da war sie dann gar nicht erst eingebunden.
Die kriminelle Energie der Geheimdienste kennt keine Grenzen. Zumachen, abreißen, und alle in den Knast.
Update: Oh und noch ein Detail:
Auf die IT-Sicherheit achte im BND ein gesonderter großer Bereich, führte die Zeugin weiter aus. Sie bat daher um Verständnis, dass sie vom möglichen Ausnutzen von Zero-Day-Exploits keine Kenntnis und das Wort auch gerade zum ersten Mal gehört habe. Sie selbst sei "technisch nicht vorgebildet" und könnte daher etwa mit Quellcode nichts anfanngen
Das muss ja ein langwieriger Auswahlprozess gewesen sein, bis sie eine Datenschutzbeauftragte gefunden haben, die noch nie das Wort 0day gehört hat. Ob das deshalb eine Frau geworden ist, weil die CSU-Wähler beim BND dachten, dann sei gewährleistet, dass die nichts kann und nicht aufmuckt? Dafür hat die aber getan was sie konnte, muss ich ja mal anerkennen. Es wäre noch schöner gewesen, wenn sie das von sich aus an die Medien geleakt hätte, oder von mir aus an den Bundesdatenschutzbeauftragten, als das noch nicht diese furchtbare Voßhoff war.
In der Pause ein kleiner Hinweis. Dass der BND Verbindungsdaten über fünf Ebenen speichert, ist eine kleine Sensation. Laut Kleine-Welt-Phänomen lässt sich zwischen jeden zwei beliebigen Menschen auf der Erde eine Verbindung über nur sechs Ebenen herstellen. Die NSA wertet hingegen “nur” drei Hops ausYeah! Wir sind wieder wer! Deutschland ist endlich mal wieder in irgendwas führend! (Danke, Markus)
Das ist ja ein starkes Stück. Dann war das nicht mal Arschkriecherei und Amerikahörigkeit und kann wirklich gar nicht mehr mit nur minder kriminellen Gründen weggestikuliert werden. Die Zuständigen gehören hinter Gitter, und zwar sofort, und zwar für sehr lange Zeit.
Update: Noch ein Money Quote:
Das G10-Gesetz solle "so gut wie möglich" eingehalten werden, sagte Kiesewetter.
Diese Leute fühlen sich an das Grundgesetz und die Menschenrechte ungefähr so stark gebunden wie normale Bürger an die Straßenverkehrsordnung. "So gut wie möglich", das darf ja wohl nicht wahr sein.
Der Name des Providers ist in den Akten für den Untersuchungsausschuss geschwärzt, aber Insider wissen, dass die Deutsche Telekom dem Dienst behilflich sein musste. BND und Telekom schlossen einen Vertrag, die Firma stellte dem BND den Zugang zu seinen Servern zur Verfügung - und bekam dafür monatlich 6000 Euro.Das ist recht witzig, weil die Telekom immer eine ziemlich ablehnende Grundhaltung gegenüber DE-CIX hatte. Der BND hat dann einen Trafficfilter gebastelt, damit die Amis "nur ausländischen Traffic sehen können", aber der hat von Anfang an nicht funktioniert.
Besonders heikel: Das G10-Gremium wurde nicht informiert. Die Geheimdienstaufsicht wurde absichtlich belogen und betrogen. Wir wussten ja schon vorher, dass eine parlamentaische Geheimdienstaufsicht nicht möglich ist, aber das sollte dann wohl alle Restzweifel ausräumen.
Die Geheimdienste und das Kanzleramt halten sie mit der Begründung zurück, in den Dokumenten seien ausländische Interessen berührt, daher müssten die entsprechenden Länder zuerst einmal gefragt werden, ob die Aufklärer des Parlaments in die Akten schauen dürften.Das ist natürlich eine tolle Idee, das machen wir mit dem Finanzamt ab jetzt auch so. Steuerhinterzieher können entscheiden, ob die Steuerfahndung ihre Akten sehen darf. Geht's noch?!
Das ist so jedenfalls einer Parlamentarier-Delegation aus ganz Europa erzählt worden, die auf Einladung des US-Abgeordneten Robert Pittenger nach Washington gereist waren.
Lacher am Rande: Ströbele wollte auch mit, aber sie haben ihm kein Visum gegeben, bis das Auswärtige Amt dann interveniert hat. Voll souverän, diese Amis! (Danke, Linus)
Aber es ist natürlich im Kontext "Schengen-Routing" ganz besonders schön. Ich habe ja damals, als die Telekom erstmals mit dem Argument kam, argumentiert, dass man durch Zentralisierung des Netzes das Abhören eher einfacher macht. Dann müssten die Dienste nur noch bei der Telekom rein und hätten alles. Schlimmer noch, man musste damals schon annehmen, dass der BND bei der Telekom schon drin ist und das dann im Ringtausch mit Five Eyes gegen andere Dinge tauscht.
Und bevor sich das hier wie Telekom-Bashing anhört: Ich glaube für nicht eine Sekunde, dass die anderen Netze weniger angezapft sind. Das Dogma der Geheimdienste ist: Wenn es existiert, wird es abgehört.
The U.S. government threatened to fine Yahoo $250,000 a day in 2008 if it failed to comply with a broad demand to hand over user communications — a request the company believed was unconstitutional — according to court documents unsealed Thursday that illuminate how federal officials forced American tech companies to participate in the National Security Agency’s controversial PRISM program.Da sieht man mal, wie wertlos eine Demokratie ohne unabhängige Richter und Gerichte ist.
Vor allem die Dokumente mit der Einstufung "geheim" und "streng geheim" seien so umfassend geschwärzt, dass sie keine Hilfe seien. Hans-Christian Ströbele (Grüne) könne deswegen problemlos daraus zitieren, obwohl ihm das eigentlich untersagt ist. Ein Schreiben beginnt demnach mit "Sehr geehrte Damen und Herren, in der obigen Angelegenheit teilen wir ihnen Folgendes mit…". Danach folgen vier vollständig geschwärzte Seiten und dann wieder lesbar "mit freundlichen Grüßen." Auch die Fraktion der Linkspartei habe bestätigt, dass ganze Ordner vollständig aus Schwärzungen bestünden.Ja was ist denn da nicht geschwärzt, werdet ihr euch fragen?
Die relativ wenig geschwärzten Akten der Einstufung "nur für den Dienstgebrauch" bestehen demnach vor allem aus alten Zeitungsartikeln.Die haben alle sowas von einen Arschtritt verdient, das geht ja wohl auf keine Kuhhaut, was die da abziehen.
In addition to Google, the $300 million project will be jointly managed by China Mobile International, China Telecom Global, Global Transit, KDDI, and SingTel, with NEC as the system supplier.KDDI ist auch aus China, Global Transit aus Malaysia. Mit anderen Worten: außer Google arbeitet da keine US-Firma mit. Das sieht fast aus, als wolle Google mal so einen richtig großen Stinkefinger in Richtung NSA schicken. Dabei wird das am Ende natürlich auf jeden Fall komplett unterwandert sein, weil das schlicht das Gesetz ist in den USA. Aber es ist natürlich trotzdem ein ziemlich krasser Wink mit dem Zaunpfahl.Ich denke mal, das da jetzt einigen Carriern der Arsch auf Grundeis gehen wird.
Update: KDDI ist aus Japan, nicht aus China. War ja auch irgendwie klar, dass an dem Kabel ein japanischer Partner beteiligt sein muss, es kommt ja in Japan raus. Und es ist schön zu sehen, dass Japan und China zumindest bei sowas zusammenarbeiten können. Die diplomatischen Verhältnisse zwischen denen sahen ja nicht immer positiv aus in letzter Zeit.
Er wolle den Bundestag gerne dabei unterstützen, wenn es um eine "ernsthafte Untersuchung" der Ausforschung von Deutschen durch die NSA gehe, schreibt Greenwald. Durch die Ablehnung, den "Schlüsselzeugen" Snowden zu vernehmen, hätten deutsche Politiker jedoch gezeigt, dass es ihnen wichtiger sei, die USA nicht zu verärgern, statt die NSA-Spionage ernsthaft aufklären zu wollen.Sehr schön!
Aber eine Gruppe von Menschen gibt es, die an Verizon glauben, und ihre Aktien kaufen. Die Richter, die die NSA-Schnüffelprogramme durchwinken.
Whomever is chosen to take over as the new communications director should have at least 10 years of experience, the NSA said, as well as “demonstrated credible crisis management training and experience” and an “absolute record of discretion, confidentiality in all matters with a professional and appropriate demeanor and reputation maintained inside and outside the work place.”
Das wollte die Linkspartei wissen.
Antwort: Na was sie immer sagen, wenn sie beim Brechen von Gesetzen erwischt werden. Leugnen, relativieren, kleinreden, rumdrucksen, ablenken. Wie Berufskriminelle. Die haben das so trainiert.
SPD-Fraktionschef Oppermann hat es abgelehnt, deutsche Nachrichtendienste als Reaktion auf die NSA-Affäre aufzurüsten. Wichtiger sei eine bessere Kooperation mit den USA.Wer hat uns verraten? (Danke, Christian)
Subcategories in Framework: 98.
… promoting secure software: 0.This is how the money is spent.
Inhaltlich hat er natürlich völlig Recht. Das ganze System baut darauf auf, dass alle Beteiligten mit Bullshit abgelenkt werden, damit es nicht dazu kommt, dass jemand tatsächlich was tut, um die Lage zu verbessern.
Yesterday, BND head Gerhard Schindler issued the following denial to the Zeit online news site: "No telecommunication-intelligence is conducted from the German embassy in Washington." Not exactly a denial of spying on us, is it?MwahahahahaIst leider nur Huffington Post, und die verkacken dann auch direkt mal den unteren Teil, wo sie den Over-the-Horizon-Radar als Spionageinstrument brandmarken. Das dient dem Erkennen von Atomraketenstarts und ist durch internationale Verträge gedeckt.
Update: Übrigens: Netzpolitik hat mal den spannenden Abschnitt aus dem zitierten Buch übersetzt. (Danke, Michael)
Update: Kiesewetter ist übrigens auch Vorsitzender des Verbandes der Reservisten der Bundeswehr.
Der interessante Teil ist: das betrifft auch die letzten Rudimente der Post-Privacy-Spackeria. Nun würde man denken, dass die sofort ein Neocon-Loblied anstimmen, immerhin setzt mal jemand konsequent ihre Weltsicht um. Stattdessen gibt es hollywoodreifes Heulen und Zähneknirschen und NSA-Vergleiche.
Wobei, vielleicht verstehe ich das auch alles falsch und der NSA-Vergleich war als Lob gemeint. Die NSA und die Post-Privacy-Bewegung stimmen ja inhaltlich bei der Grundeinstellung gegenüber anderer Leute Daten im Wesentlichen überein. Ironischerweise stellt sich jetzt raus, dass sie auch von der Einstellung zu ihren eigenen Daten her im selben Team laufen.
Update: Hier gehen gerade Mitteilungen ein, dass dieser archivierende Pirat ganz fies und gemein ist und sich wegen justiziablen Beleidigungen vor Gericht verantworten musste und so weiter (das ist übrigens gar nicht so einfach, jemanden justiziabel zu beleidigen, denn das Gesetz sieht vor, dass es nicht zählt, wenn sich zwei gegenseitig beleidigen). Das mag ja alles sein, aber es geht nicht um den sondern um die Reaktion der Post-Privacy-Fraktion.
Dennoch, ein Detail will ich mal weitergeben. Der Lange gilt selbst als Erfinder des Wortes "Gesinnungsdatenbank", natürlich im Bezug auf andere, und sah sich selbst immer als edler Streiter für den Datenschutz. Die Ironie geht also in beide Richtungen hier.
Update: Da sind offensichtlich nicht nur Mobber oder gar nur Mobbing-Tweets in der Datenbank, sondern der hat dann auch gleich NSA-Style "potentielle Terroristen" aus dem Umfeld mitarchiviert. Wie das ja immer passiert, wenn Leute soziale Probleme mit Datenbanken lösen wollen. Ich frage mich, wie lange es diese Site schon gibt. Und warum das gerade jetzt platzt.
Update: Ich bekam gerade Mail von Simon. Er sagt, das Archiv geht nicht nach Personen sondern nach Schlüsselwörtern und Hashtags, daher die Unschärfe. Im Übrigen verteidigt er den Begriff "Gesinnungsdatenbank" in seiner Anwendung auf die sogenannte "ständige Mitgliederversammlung" der Berliner Piraten, weil dort politische Positionen mit Klarnamen unbegrenzt gespeichert werden sollen. Zumindest den Teil mit "geht nicht nach Personen" kann ich angesichts von Archivtweets wie diesem hier nicht so recht nachvollziehen. Welcher Selektor (um da mal im NSA-Jargon zu bleiben) hat denn diesen Tweet als interessant markiert?
Update: Haha, Der Kindergarten geht weiter.
Wir befinden uns derzeit in der juristischen Prüfung, ob und wenn ja wie, rechtlich gegen die genannte Tweetsammlung vorgegangen werden kann.
Hat da jemand einen Streisand-Effekt beantragt?
Wieso hätten die sich auch ändern sollen seit COINTELPRO. Da wird dann immer was von "besserer Geheimdienstkontrolle" gefaselt und das Stimmvieh nimmt an, dass alles besser geworden ist.
Die auf der Hand liegenden Konsequenzen sind, dass man dann keine Flug- oder Hotelbuchungen für Flüge im/ins Ausland mehr online machen kann, oder womöglich überhaupt gar nicht mehr.
Und natürlich freuen sich die inländischen Geheimdienste.
Aber jetzt versetzt euch mal in die andere Position. Stellt euch vor, ihr seid Russland, und die Daten eurer Bürger werden millionenfach von Google, Facebook, NSA und co gesammelt und gerastert, und ihr wollt da mal was gegen tun. Und euer Parlament ist nicht ganz so eine lächerliche Luftnummer wie unseres und lügt uns oben was von Empörung ins Gesicht, befördert das aber unten weiter. (Danke, Max)
Bevor ihr jetzt NEIN! DOCH! OH! ruft: Der soll den NSA-Ausschuss für die USA ausspioniert haben.
Update: ordentlicher Link. Ich bin mal gespannt, ob der BND weiterhin mit seinem "wir würden nie auf Geheiß der Amis gegen unser eigenes Land spionieren!1!!" durchkommt.
Update: Zuständig für die Abwehr ausländischer Spione wie des BND ist ja der "Verfassungsschutz". Das wäre ja schon sehr schön, wenn die jetzt offiziell das BND-Hauptquartier mit diesem gelben Polizei-Absperr-Band versiegeln würden :-)
Update: Verschwörungstheorie: Der spionierte für die Russen, und die haben ihm gesagt: "Wenn du erwischt wirst, sag, du seist für die NSA hier". Denn wenn der wirklich für die Amis da gewesen wäre, wäre der ja nicht verhaftet worden. Das weiß ja nun hoffentlich inzwischen jeder, dass die Amerikaner unsere Freunde sind und per Definition nur unser Bestes wollen und daher niemals wegen Spionage verhaftet werden würden. Es ist jedenfalls tatsächlich festgenommen worden, weil sie dachten, der arbeite für die Russen. Das kam für die deutsche Seite überraschend, dass der dann sagte, er sei für die Amis hier.
XKeyscore werde seit 2007 eingesetzt und diene der Erfassung und Analyse von Internetdaten.Seit 2007 haben die Amis ihre Freunde vom BND in ihren Datenbankcluster integriert, und da kann man jetzt direkt per XKeyscore drin herum suchen und muss nicht mehr die ganzen Daten einmal um den Planeten schicken. Viel effizienter, wissenschon. (Danke, Bernd)
Aber da war ja auch nichts anderes zu erwarten, wenn wir mal realistisch sind. Das Außenministerium wird gerade von Steinmeier geleitet, der damals auch dafür verantwortlich war, dass der BND die DE-CIX-Daten an die NSA weitergereicht hat. Von so jemandem kann man keine Aufklärung erwarten. Der sollte im Knast sitzen, nicht im Außenministerium.
Ich auch nicht.
Gysi so: Unser Bundestagspräsident wird von der NSA abgehört.
Lammert so: Ich trage das im Gegensatz zu Ihnen mit Fassung.
Wait, what?!
Wie sich jetzt rausstellt: Beides formal korrekt. Denn nicht das BSI sondern der BND hat geschnorchelt und die Daten jahrelang direkt an den NSA weitergeleitet. Aber keine Daten von Deutschen, versteht sich!1!! Denn das wäre ja illegal gewesen, und das weise uns erstmal jemand nach, dass wir hier ständig die Gesetze brechen!1!! Die Details sind schließlich alle geheim.
Kommt ihr NIE drauf!
Ja, das gleiche Verizon, das eine der ersten Enthüllungen von Snowden war, weil die NSA dort einmal alle Daten rausträgt.
Und wer kennt sich besser mit Cyberangriffen aus als der Mann, der Hintertüren in Router einbauen und Krypto-Standards schwächen ließ.
So richtig überraschend sind die Standorte jetzt nicht. Bai Aibling war seit vielen Jahren bekannt, der Dagger Complex auch, der offizielle Hauptsitz eh, das US-Konsulat in Frankfurt und die US-Botschaft in Berlin werden jetzt auch niemanden wirklich überraschen. Aber hey. Immerhin gibt es auch ein paar echte Neuigkeiten:
Interne Berichte beschreiben etwa die Kooperation der NSA mit den deutschen Diensten und sogar mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) - das die deutschen Nutzer eigentlich vor Cyber-Bedrohungen von außen schützen sollte.Jetzt ist natürlich die Frage, was genau die da kooperiert haben. Auch die offizielle Zusammenarbeit bei der Krypto-Standardisierung ist ja eine Kooperation.
Aber das eigentliche Lügengebäude, das jetzt endlich einstürzt, ist das hier:
Vor allem aber belegt das Deutschland-Dossier die enge Zusammenarbeit zwischen NSA und BND. Nicht nur abgefangene Informationen werden geteilt: Die NSA veranstaltet Lehrgänge, man zeigt sich gegenseitig Spähfähigkeiten und tauscht untereinander Überwachungssoftware aus. So haben die Deutschen das mächtige XKeyscore bekommen, die Amerikaner durften MIRA4 und VERAS ausprobieren.Damit fallen die ganzen Argumente in sich zusammen, bei uns habe niemand von irgendwas gewusst. Nicht nur Mitwisser sind wir, sondern Kollaborateure! Das ist jetzt nicht mehr zu leugnen. Außer vom Generalbundesanwalt, natürlich.
Update: Die ganzen Dokumente gibt es hier.
Die Zeitungsbranche ist ja generell in der Krise gerade. Die meisten Verleger und Journalisten gehen in so einer Situation "in den Energiesparmodus", um mal Computer-Terminologie zu verwenden. Die fangen an, sich zu überlegen, wie sie möglichst wenig Aufwand in ihre Zeitung tun können, um mit der gegebenen Kohle möglichst lange durchzuhalten. Das Ergebnis ist eine Zeitung, die keiner mehr lesen will, weil da keiner Aufwand reingesteckt hat.
Schirrmacher hat nicht gefragt, was er tun muss, damit die FAZ möglichst lange macht. Er hat gefragt, was jetzt getan werden muss. Und das hat er dann getan.
Nicht was jetzt für die FAZ getan werden muss.
Was getan werden muss.
Er hat natürlich auch die ganze Zeit (soweit ich das aus meinen paar Begegnungen und Gesprächen beurteilen kann) im Hinterkopf Sorgen gehabt, wie es weitergehen soll, und wo es hingehen soll. Aber das ist ja eh immer so. Um nicht zu sagen: Wenn das nicht so ist, ist man gerade in einer Blase, die bald platzen wird, das ist noch schlimmer.
Aber er hat sich nicht irre machen lassen, sondern hat gemacht, was die Welt gerade brauchte. Er hat, um das mal ganz Hollywood-platt zu sagen, die Bedürfnisse und Nöte der Gesellschaft über die seiner Zeitung und seiner selbst gestellt, und für wichtige Dinge wie den Staatstrojaner damals eben Platz gemacht, auch wenn das hieß, dass dafür andere Dinge hinten runter fielen, weil kein Platz mehr war. Oder für das Genom. Für die NSA-Geschichte.
Das ist kurzfristig riskant, aber hat sich eigentlich immer ausgezahlt. Jedenfalls erinnert man sich nachher nicht an die Fälle, bei denen es mal nicht funktioniert hat, weil es da auch nicht schlechter war als das Energiesparmodus-Programm der Konkurrenz.
Ich wünschte, mehr Zeitungen würden so gemacht werden.
Und mehr Teile der FAZ.
NSA told a federal court that its spying operations are too massive and technically complex to comply with an order to preserve evidence.Nach "too big to fail" bei Banken jetzt "too big to be regulated" bei der NSA. Tolle Welt, in der wir da leben!
Update: Mir erzählt gerade jemand, der das länger als ich durchgehalten hat, dass der Seite zwei seiner Unterlagen auslässt und dann später wiederfindet und dann stark verwirrt wirkt.
Update: Wer sich nicht erinnert hat: Das ist der selbe Mann, der letztes Mal "NASA" sagte und GCHQ ablesen musste.
The agency intercepts “millions of images per day” — including about 55,000 “facial recognition quality images” — which translate into “tremendous untapped potential,” according to 2011 documents obtained from the former agency contractor Edward J. Snowden.
Sehe ich das richtig, dass die Sache, die uns gerade vor Juncker bewahrt, ausgerechnet David Cameron ist? Die Welt wird ja echt immer bizarrer.
Oh und: Ist euch aufgefallen, dass die BND-Klarstellung, dass sie die 300 Millionen für Internet-Spionage haben wollen, ausgerechnet am Jahrestag von Snowden kam? Und die auch noch die Stirn hatten, das mit Snowden zu begründen? Dank Snowden wüssten wir ja jetzt, dass die NSA das kann, also brauchen wir das auch? Da bin ich ja fast aus dem Stuhl gefallen.
Ich finde, es wird Zeit für eine konzertierte Aktion zur Abschaffung der Geheimdienste.
In the shadows, U.S. hackers at the National Security Agency (NSA) have broken into Chinese computers in order to find out what information has been stolen from American companies and who in the Chinese government is backing the operations.Ach DESHALB hackt die NSA in anderen Ländern herum!1!! So rechtfertigen die ihre Untaten vor sich selbst.
The NSA says releasing records about Snowden's employment status "would constitute a clearly unwarranted invasion of personal privacy."*schenkelklopf*
Ach?
Aber wartet, wird noch besser!
“Sollte Snowden nicht bald Beweise in Form von Originaldokumenten vorlegen, verliert er jedwede Glaubwürdigkeit für den Untersuchungsausschuss”, erklärte Sensburg.Und DIESE GESTALTEN haben auch noch STIMMEN gekriegt bei der Europawahl!
Dafür muss man sich mal ein paar Stunden Zeit nehmen, aber die sind es wert.
Nochmal zusammengefasst: Deutsche Beamte – inklusive der Regierung – dürfen die von Snowden geleakten Dokumente über die Totalüberwachung digitaler Kommunikation nicht lesen. Tun sie das doch, machen sie sich strafbar.Da stellt sich ja schon die Frage, wie unser Staat uns da jemals vor Spionage schützen soll, wenn sie sich strafbar macht, wenn sie davon erfährt.
Wofür haben wir den noch gleich? Was muss passieren, damit der tätig wird?
Update: Die Begründung ist erwartungsgemäß auch eine Lachnummer.
Das ist ja nicht zu fassen! Unsere Junta lässt uns auch noch die Rechnung dafür zahlen, dass die NSA unsere Daten abschnorcheln kann?! Das ist ja absolut unglaublich. Und SPD und CDU kriegen bei der Europawahl immer noch zusammen die Mehrheit der Stimmen!?!? In was für einem Land leben wir hier eigentlich? Wohnen da nur Lobotomierte?
Und:
wenn andere Dienste Daten über Deutsche an deutsche Dienste übermitteln, müssen diese ebenfalls deutschen Gesetzen entsprechenMoney Quote von dem Papier:
Wenn deutsche Behörden Grundrechtsbeschränkungen durch ausländische Dienste dulden, dann sind diese Eingriffe den deutsche Behörden zuzurechnen und fallen unter deutschen Grundrechtsschutz. Auch wenn Gesetze anderer Staaten das anders sehen.
Ich an Microsofts Stelle hätte da sofort gefixt, denn so sieht es nach "die NSA hat um noch ein paar Wochen Zeit gebeten" aus.
Schließlich, sagt er, seien die Amerikaner trotz NSA und alledem "unser wichtigster Sicherheitspartner".Der Fisch stinkt immer vom Kopf her, wie man so schön sagt.
Edward Snowden sei aus Sicht der deutschen Regierung ein Straftäter, der das Gesetz gebrochen habe, das Auslieferungsgesuchen der Amerikaner sei rechtmäßig und werde wenn möglich umgesetzt. Snowden habe keine Zukunft in Deutschland.#notmygovernment
Und was gibt der Chef des Bundesamtes für Verfassungsschutz da zu Protokoll?
"Für meinen Dienst kann ich sagen, dass die transatlantischen Beziehungen, die Beziehungen zu den amerikanischen Diensten, nach wie vor gut sind"Das, meine Damen und Herren, ist deren Zielvorstellung. Nicht die Spionage der NSA zu verhindern, sondern die "guten Beziehungen" zur NSA zu schützen.
Es gibt schlicht keine Entschuldigung für die Existenz dieser Behörde. Ich schlage vor, deren Hauptquartier in einen Parkplatz oder einen schönen Park umzuwandeln.
For example, there is one modified LED bulb that will send audio over 300 meters, a nasty ultrasonic audio implant that sends room audio via fortuitous audio pathways, and a kit that allows the attacker to modify any color LED light found in a common appliance and turn it into an audio transmitter.
Das Schönste ist ihre Begründung dafür:
Der Bundesnachrichtendienst (BND) arbeitet an einem Frühwarnsystem gegen Cyber-Attacken über das Internet. Bis zum Jahr 2020 sind dafür rund 300 Millionen Euro veranschlagt.Ob die da einen schlechte-Ausreden-Generator haben? Oder vielleicht kam das bei einem Trinkspiel raus. Nach ein paar Tagen, versteht sich, denn BNDler haben dem Vernehmen nach eine beeindruckende Alkohol-Resistenz aufgebaut, durch langjähriges hartes Training.
Das wäre doch mal ein schöner Wahlkampfslogan. Dümmer geht immer. SPD.
Update: Die Greenwald-Unterlagen sind ein ziemlicher Totalschaden für Microsoft, so ab Page 113 wird es richtig übel. Money Quote (Page 115):
MS, working with the FBI, developed a surveillance capability to deal with the new SSL.
Update: Da stand "ab 2002", so kam das bei mir rein, aber ich glaube eher 2012.
Update: Das Folienlayout, die gezeigten Geräte und die Firmennamen deuten doch irgendwie eher auf 2002 an. Mhh.
Von der NSA geht nach ihrer Einschätzung aber keine Gefahr für die deutsche Wirtschaft aus.Ja nee, natürlich nicht! Außer bei Airbus. Oder vielleicht meinen sie ja auch bloß, dass die größere Gefahr von der CIA ausgeht?
Spannenderweise haben sie sich bei ihren Vorwürfen gegen Snowden verplappert. Sie werfen ihm den Verrat illegaler Geheimnisse vor, was gesetzlich so definiert ist:
Tatsachen, die gegen die freiheitlich demokratische Grundordnung verstoßenDamit hat die Bundesregierung über Bande die NSA-Aktionen als Verstoß gegen die FDGO geadelt.
Aber das Fass zum überlaufen gebracht hat das hier (es geht um das No-Spy-Abkommen, und dass die Regierung Informationen zu den Verhandlungen dazu dem NSA-Ausschuss nicht offenlegen will):
Diese seien tabu, weil es sich um ein "laufendes Verfahren" handele, sagte nach Informationen des SPIEGEL ein hochrangiger Regierungsbeamter. Außerdem gehe es dabei um den "Kernbereich der exekutiven Eigenverantwortung", der verfassungsrechtlich geschützt sei.Diese Formulierung löst in mir eine enorme Wut aus, besonders um Zusammenhang damit, dass sie hier mit Verfassungsrecht argumentieren, weil mir das so dermaßen wie ein Taschenspielertrick vorkommt, um den vom Verfassungsgericht immer wieder zitierten Kernbereich privater Lebensgestaltung zu missbrauchen, um für ihre, na sagen wir mal, "Arbeit" einen ähnlich starken Schutz zu konstruieren. Aber es stellt sich raus, dass ich da bloß ignorant war. Den Begriff gibt es wirklich, den haben sie schon 2007 benutzt, um die Geheimdienste vor der parlamentarischen Kontrolle zu schützen. Und schon damals haben sie dafür vom Verfassungsgericht auf die Fresse bekommen. Das ganze geht zurück auf ein Urteil des Verfassungsgerichtes aus dem Jahre 1984. Da ging es pikanterweise um den Flick-Untersuchungsausschuss. Historisch gesehen passt das also mal wieder ganz großartig. Eine korrupte Mischpoke, unsere Politik. Damals wie heute.
Die deutschen Abgeordneten könnten sich demnach nicht mehr sicher sein, ob sie bei der nächsten US-Reise nicht vielleicht in Haft genommen werden.Wie jetzt, denkt ihr euch vielleicht, die haben doch diplomatische Immunität?!
Die Immunität der Bundestagsabgeordneten werde möglicherweise in den USA anerkannt. Die Vereinigten Staaten seien "aber nicht dazu verpflichtet".What the fuck!? Das ist ja selbst nach den Bush-Maßstäben eine bodenlose Frechheit. Aber wartet, es wird noch krasser. Dieses "Gutachten" droht sogar, es könne bereits jetzt zu spät sein.
Die US-Juristen beurteilen dagegen schon die Vereinbarung, Snowden zu befragen, kritisch. Bereits das stelle eine "kriminelle Verabredung" dar.Man stelle sich das mal anders herum vor. Nicht zu fassen.
Ich persönlich halte DSA in allen Ausprägungen inzwischen für eine NSA-Hintertür und rate von der Verwendung ab. Der Grund ist, dass DSA so ausgelegt ist, dass man einen Zufallswert nimmt pro Operation mit dem geheimen Schlüssel, und wenn man zweimal den gleichen verwendet, dann fällt auf der anderen Seite der geheime Schlüssel aus einer vergleichsweise einfachen arithmetischen Umformung heraus. Das ist offensichtlich völlig unakzeptabel. Wie DSA überhaupt jemals soweit kommen konnte, dass es ein internationaler Standard wurde, erläutert djb in seinem Blog.
Kommen wir zu GCM. GCM ist der Galois Counter Mode. TLS hat einen Geburtsfehler, der seit vielen Jahren bekannt ist, und uns in letzter Zeit vermehrt auf den Fuß fällt. Nehmen wir mal an, Alice schickt Bob eine verschlüsselte Nachricht. Dann will man nicht nur, dass die Nachricht nicht von jemandem auf dem Weg gelesen werden kann, sondern auch, dass sie nicht verändert werden kann. Deshalb machen Protokolle wie TLS immer zwei Schritte: Verschlüsseln und eine Integritätssicherstellung. Dafür verwendet man sogenannte Message Authentication Codes, oder MAC. Dafür verwendet man häufig eine kryptographische Hash-Funktion mit einem beiden Seiten bekannten Geheimnis, aber man kann sowas auch anders konstruieren.
So, wenn man verschlüsseln will, verschlüsselt man dann erst und macht dann den MAC? Oder macht man erst den MAC und dann verschlüsselt man? Das war lange Jahre nicht so klar, ob das eine oder das andere besser ist. TLS macht erst MAC und verschlüsselt dann. Das hat über die Jahre zu einem Haufen an Bugs und Problemen geführt, so dass heute klar ist, dass man das besser anders herum machen sollte. Die IETF-Arbeitsgruppe zu TLS weiß das seit vielen Jahren, aber (u.a. durch Sandsack- und Betoniertätigkeiten der NSA) konnte sie sich noch nicht durchringen, da was zu tun. Das ist eine Schande für alle Beteiligten und sollte zu einem fetten Arschtritt für die NSA-Abgesandten führen — tat es aber bisher nicht.
Warum erzähle ich das alles? Weil jemand auf die Idee kam, "aus Performance-Gründen" Verschlüsselung und Authentication in einem zu machen, und zwar mit einem Verfahren namens Galois Counter Mode. Ein Mode ist eine Art, wie man einen Block Cipher wie AES aufruft. Das heißt Block Cipher, weil es nicht auf einem Bytestrom arbeitet, sondern auf Blöcken von Daten. Wenn die Daten keinen ganzen Block füllen, muss man am Ende mit sogenanntem "Padding" auffüllen. Da gab es schon Stress in TLS. Man kann jeden Block mit dem selben Schlüssel verschlüsseln ("ECB"), aber das ist eine ganz schlechte Idee. Wikipedia hat eine schöne Visualisierung anhand eines Pinguin-Bildes. Welchen Modus man benutzt ist also wichtig. ECB ist offensichtlich doof, daher haben wir halt alle immer CBC genommen. Das flog uns dann mit BEAST um die Ohren.
Übrig blieben Cipher-Suites auf Basis von RC4 (von dem wir inzwischen wissen, dass die NSA es in Echtzeit entschlüsseln kann) und GCM.
Warum ich das jetzt hier alles ausführe: GCM ist auch Scheiße. Das Paper dazu kommt von Niels Ferguson. Es sei noch angemerkt, dass man GCM in Software schon mal gleich so gut wie gar nicht ohne Timing-Probleme implementieren kann. Intel hat in ihren neueren CPUs Hardware-Support für GCM eingebaut, damit geht das dann. Aber fühlt sich damit jemand wohl?
Was können wir denn jetzt überhaupt noch tun? Wir können entweder warten, bis die TLS Working Group mal ihren Arsch hochkriegt und den offensichtlich notwendigen Schritt geht. Es gibt da Bemühungen, aber das kann sich noch um Jahre handeln. Die Situation ist gänzlich unakzeptabel.
Bleibt die Einsicht, dass uns gerade nur djb-Krypto überhaupt noch realistisch retten kann. djb hat als Konkurrenz zu ECDSA ein Verfahren namens ed25519 gemacht, das könnte den public key Teil abdecken. ed25519 wird u.a. in der neuesten Version von openssh unterstützt. Und als Ersatz für AES mit irgendwelchen grottigen Modi könnte man ChaCha20 einbauen. Das ist in Chrome schon eingebaut, aber hat es m.W. in noch keine einzige öffentlich verfügbare TLS-Library geschafft. Es ist alles zum Heulen.
Ich habe ja jahrelang nicht verstanden, wieso djb nie versucht hat, TLS zu fixen. Ich glaube, so langsam kann ich es nachvollziehen.
Update: CBC ist nicht an sich unsicher, sondern wie TLS 1.0 es angewendet hat. Ein Upgrade auf TLS 1.2 galt damals noch als unrealistisch, inzwischen ist es weitgehend vollzogen.
Glaubt uns doch endlich, Bürger, der Russe ist viel gefährlicher als NSA und GCHQ!!1!
Und wie perfide die vorgehen! Unglaublich! Die laden Leute in ihre Botschaft ein und sprechen sie dann an! Das ist ja un-glaub-lich! Und viel gefährlicher als wenn die britische Delegation bei der EU-Kommission plötzlich mit 10 zusätzlichen Mitarbeitern auftaucht, die einen texanischen Akzent haben. Weitergehen, hier gibt es nichts zu sehen!
Die Amerikaner sind unsere Freunde! Die haben uns sogar freundschaftlich beim Gesetze-Schreiben geholfen!
Aber die Kernbotschaft, egal ab wann Geheimdienste das exploited haben, ist: Geheimdienste arbeiten gegen ihre eigene Bevölkerung, nicht für sie. Die Geheimdienste wussten davon und haben nichts gesagt.
Oh und eine Sache noch: Das sieht jetzt hier aus wie eine Bankrotterklärung von Open Source. Das stimmt nicht. Der Bug wurde von zwei Leuten gleichzeitig gefunden und gemeldet. Einmal von einer Security-Firma, die eine Testsuite für SSL-Bugs programmiert hat. Die hätte das auch bei einem Nicht-Open-Source-SSL gefunden. Aber der andere Finder war ein Google-Angestellter, der einen Quellcode-Audit gemacht hat. Den hätte es so bei einem Nicht-Open-Source-SSL nicht gegeben. Wir haben hier also die Chancen direkt verdoppelt, solche Bugs zu finden. Wer weiß, was in Kommerzsoftware noch so für Untiefen lauern.
Meiner Erfahrung nach variiert die Codequalität bei Open Source und bei kommerzieller Software immens, und der Durchschnitt liegt ungefähr auf einem vergleichbaren Niveau. Man kann nicht davon ausgehen, dass kommerzielle Software grundsätzlich ein höheres Niveau hat.
Übrigens stört mich an der Debatte ein bisschen, dass so wenig Leute daraus Konsequenzen ziehen. Wir benutzen alle die ganze Zeit Open Source Software, ohne dafür zu zahlen, und wir benutzen Kommerzsoftware und bezahlen dafür. Dann wundern wir uns, dass die Hersteller von Kommerzsoftware Geld haben, um davon Audits machen zu lassen, aber die Open Source-Leute warten müssen, bis Google mal vorbeikommt.
Eine mögliche Konsequenz aus dem aktuellen Geschehen könnte sein, dass man mal einen Fonds macht, in den Benutzer von Open Source-Software einzahlen, und mit dem dann Qualitätssicherungsmaßnahmen bezahlt werden, für die Freiwillige bei den jeweiligen Projekten nicht die Motivation aufbringen. Das meint natürlich Security-Audits, aber es meint auch sowas wie ordentliche Testsuiten basteln; Dokumentation bereitstellen.
Update: Die US-Regierung dementiert. Was sollen die auch sonst sagen. Sie behaupten sogar, dass sie alle Lücken reporten, die sie finden. Ja nee, klar.
Die NSA so: Nein.
Update: Jemand weist darauf hin, dass das als Erklärung taugt, wo die Amerikaner das Kompromat für die Morales-Aktion damals her hatten :-)
Ich bin eher skeptisch, dass wir unmittelbar von den USA sämtliche Antworten bekommen und dass wir sie dann auch dem Parlament öffentlich bekannt geben können.Aber er findet natürlich auch, dass er alles getan hat, was er tun konnte, um die Amerikaner zum Antworten zu bringen. (Danke, Matthias)
Interessant ist der zweite Extended-Random-Autor Eric Rescorla, der heute als Mozilla-Mitarbeiter an der Weiterentwicklung des TLS-Standards arbeitet.Aha, Mozilla. Das waren die, die mit TLS 1.2 nicht aus dem Knick kamen, nicht wahr? Keine weiteren Fragen. *seufz*
Update: Übrigens gibt es von RSA eine lustige Stellungnahme, in der sie darauf hinweisen, dass Extended Random auch bei ihnen in den letzten sechs Monaten ausgeschaltet wurde. Hmm, sechs Monate sagt ihr? Was war denn nochmal vor sechs Monaten…? Ach der Snowden! Na dann ist ja alles klar.
Ort: Darmstadt-WestDaneben ein Disclaimer, dass solche automatischen Lokalisierungen schonmal grob falsch sein können. Und ein Kartenausschnitt, auf dem man das Epizentrum in Norden von Pfungstadt sehen konnte.
Lage des Epizentrums:
Länge: 08.59
Breite: 49.81
Tiefe: n.b.
Magnitude 3.2
Qualität: D
Der Abstand sieht auf Google Maps sowas wie 4km aus. Ein bisschen zu groß, um da einen Zusammenhang zu konstruieren, aber wer weiß, jetzt wo der Datensatz gelöscht wurde, … vielleicht haben die da ja größere Katakombenanlagen und ihnen ihr Quantencomputer hat eine Minisingularität gebildet :-)
Update: Ah, der Datensatz ist nicht weg, der wurde nur verschoben und anscheinend dynamisch erzeugt. Die Übersicht ist hier. Soviel zur schönen Verschwörungstheorie :-)
Dies erlaubte es dem US-Geheimdienst nach Ansicht von Experten, Aufklärungsbilder abzufangen oder den Jet gar lahmzulegen.(Danke, Petra)
To catch fraudsters, US financial regulators have launched their own version of stop-and-frisk program called "Operation Choke Point". The regulators frisk the bank by sending a subpoena for all the financial information on their clients that could potentially be up to no good. If the government finds something suspicious, it investigates further.Die beschlagnahmen da wild Daten, um Leute zu finden, die möglicherweise eventuell sich zukünftig als nicht koscher herausstellen könnten. Aber achtet auch mal auf die Polizeistaat-und-Militär-Rhetorik alleine in dem Statement da.
Die Annexion der Krim durch Russland lässt die Partner diesseits und jenseits des Atlantiks wieder zusammenrücken - trotz der NSA-Ausspähaffäre und trotz der von Europäern mit einiger Nervosität verfolgten Hinwendung der Regierung Obama zu Asien.Nichts eint innenpolitisch oder innerhalb von Bündnissen so gut wie ein schöner außenpolitischer Feind, so ein richtiger Widerling, je übler desto besser.
Update: Ich lass das mal hier so stehen.
Im Artikel:
US-Präsident Barack Obama will die massenweise Speicherung von Daten über Telefongespräche durch den Geheimdienst NSA (National Security Agency) beenden.
Und was ist wirklich passiert? Obama will das Schnüffeln in den USA auf gesetzliche Füße stellen. Nicht abschaffen, nicht beenden. Ein Gesetz machen.
Natürlich mit den selben rhetorischen Tricks wie vorher. Richtervorbehalt. Das haben wir ja alle gesehen, wie gut das hilft.
Update: Oh und natürlich betrifft das alles bloß Amerikaner. Ausländer wie wir sind nach wie vor Freiwild.
NSA uses its technical capabilities only to support lawful and appropriate foreign intelligence operations, all of which must be carried out in strict accordance with its authorities. Technical capability must be understood within the legal, policy, and operational context within which the capability must be employed.Seht ihr? Damit ist ja dann wohl alles gesagt. Unter diesen Umständen kann ja wohl niemand ein Problem damit haben. (Danke, Manuel)
Nun, Matt Blaze hat mal nachgemessen und meint, die Dämpfung bei seinem Kühlschrank reicht nicht, wenn man in der Nähe eines Funkmastes wohnt.
Gut, dass wir das mal geklärt haben.
Selbst der Snowden ist noch nicht paranoid genug.
Edward Snowden hat Fragen des EU-Parlaments beantwortet, und da hat er diesen Punkt auch noch einmal explizit angesprochen.
In einer Antwort auf Fragen des Europaparlaments schreibt Snowden: "Deutschland wurde bedrängt, sein G-10-Gesetz zu ändern, um die NSA zu befriedigen, und hat die verfassungsmäßigen Rechte deutscher Bürger untergraben." Das G-10-Gesetz regelt Eingriffe in die Telekommunikationsfreiheit und das Abhören von Telefonen.Es erfüllt mich mit großer Freude, dass er das angesprochen hat. Er schreibt auch ausdrücklich, dass dies auf Druck der NSA geschehen ist. Und — der Teil war mir neu — dass es ähnliche Einflussnahme auch in anderen Ländern gab. Er nennt Schweden, die Niederlande und Neuseeland.
[Cabinet Secretary] Heywood demanded the return of Snowden's files. And, in passing, suggested the newspaper was now itself under secret observation. "I wonder where our guys are?" he said, gesturing vaguely to the flats opposite.undWithin hours of publication of the first one – which revealed that the NSA was mass-scooping data from the US telecoms company Verizon – diggers arrived outside the Guardian's loft office in Broadway. It was a Wednesday evening. They dug up the pavement and replaced it. The same thing happened outside the Guardian's Washington bureau, four blocks from the White House, and the Brooklyn home of US editor-in-chief Janine Gibson. Coincidence? Perhaps.undI had been leaving my own laptop in the safe of my hotel room each day; returning from meeting Greenwald I found the safe would no longer lock.und, die schönste Stelle:I was writing a chapter on the NSA's close, and largely hidden, relationship with Silicon Valley. I wrote that Snowden's revelations had damaged US tech companies and their bottom line. Something odd happened. The paragraph I had just written began to self-delete. The cursor moved rapidly from the left, gobbling text. I watched my words vanish. When I tried to close my OpenOffice file the keyboard began flashing and bleeping.
AT&T, wir erinnern uns, das waren die, die Bush-Kritik aus Konzertmitschnitten herausgeschnitten haben, und die als erster großer Provider beim alles-an-die-NSA-Weiterleiten erwischt wurden. Die haben damals argumentiert, die Handbücher dürften nicht als Beweis zugelassen werden, weil das die Sicherheit des AT&T-Netzwerks beeinträchtigen würde. Seit so vielen Jahren sind das immer die selben Ausreden.
Update: Hups, falsche URL gepasted.
Auch inhaltlich sind die Enthüllungen völlig unglaublich! Wer hätte gedacht, dass die NSA nicht nur die Kanzlerin sondern auch den Innenminister abhören würde? Also DAMIT konnte ja wohl NIEMAND rechnen!
Ich amüsiere mich ja ein bisschen darüber, dass die alle nicht verstanden haben, das "die NSA hört alle ab" auch Merkel und de Maiziere beinhalten würde. Und wer weiß wer nächstes Wochenende rauskommt. Die kriegen ja alles raus. Alles kriegen die raus!
Telefone abhören, Räume verwanzen und in Computer eindringen: All dies soll dem Schweizer Nachrichtendienst erlaubt sein – auch wenn keine Straftat vorliegt. Zudem soll er wie die NSA das Internet anzapfen dürfen.Die Formulierung ist natürlich eine Nebelkerze. Die Aufgabe von Geheimdiensten war noch nie die Strafverfolgung, die waren also auch noch nie daran gebunden, dass eine Straftat vorliegt.
Es ist auch nicht so, dass Schweizer Geheimdienste das alles im Moment noch nicht dürfen. Nur halt nicht einfach so gegen Schweizer Bürger. Was sie wahrscheinlich nicht daran gehindert hat, es trotzdem gegen Schweizer Bürger anzuwenden, weshalb jetzt schnell das Gesetz geändert wird. So läuft das ja immer bei den Diensten.
Aus meiner Sicht:
Aus welchem Blickwinkel kommt sowas überhaupt auch nur in die Vorrunde? Weil da "wir haben aber Krypto!1!!" steht? Ich würde keinem von diesen Anbietern, die sich da jetzt gerade versuchen, mit dem NSA-Skandal eine goldene Nase zu verdienen, über den Weg trauen.
Von den Permissions her könnte das Teil in Echtzeit deine Location an die NSA melden und deine Kontaktliste und SMSsen in Utah hochladen.
Wahrscheinlich meinen die es nicht böse und sind eine tolle Firma, ich habe keine konkreten Anhaltspunkte für andere Annahmen, aber Vertrauen muss man sich erarbeiten, das kann man nicht einfach einfordern.
Smartphones sind eine inhärent nicht vertrauenswürdige Plattform. Damit macht man am besten gar keine Dinge, von denen es einem unangenehm wäre, wenn andere Menschen davon erführen.
Oh und das Android-Permission-Modell ist voll für den Arsch. Google sollte sich was schämen.
Oh und einer noch: Schönen Gruß an all die Leute, die ihre Daten Whatsapp anvertraut haben, um sie nicht Facebook geben zu müssen. *wink*
Update: Ich sollte das ein bisschen konkretisieren. Unter der Annahme, dass die tatsächlich starke Krypto benutzen, wäre das in der Tat ein Schritt in Richtung SIGINT-Abteilung der NSA ärgern. Dann würde die NSA halt das Phone hacken oder euch eine bösartige Version der App unterjubeln. Das wäre auch schon mal ein Gewinn. Aber halt kein sonderlich großer. Im Übrigen sei darauf verwiesen, dass die Schweiz natürlich auch fleißig mitschneiden lässt.
Übrigens, weil die Leute immer von nationalen Netzen reden. Anscheinend haben einige von euch dieses Quantum-System der NSA nicht mitgekriegt. Damit übernehmen sie eure TCP-Verbindung, indem sie schneller antworten als der Server, mit dem ihr eigentlich reden wolltet. Das funktioniert nur, wenn sie auch netztechnisch näher an euch dran sind als der Server. Die haben also Server in Europa, wahrscheinlich auch in Deutschland verteilt. Und damit die die Befehle auch rechtzeitig kriegen, müssen auch die Anfrage-Daten schneller bei der NSA als beim richtigen Server sein. Ergo: Auch die Abhörstulpen stecken tief bei uns im Netz. Wenn wir jetzt die Grenzen dichtmachen, haben wir also nichts gewonnen. So ein Vorschlag kann überhaupt nur von einem Rattenfänger kommen.
Das finde ich alles plausibel. Genau so habe ich das erwartet. "Es geht doch hier gar nicht um zivile Ziele", das ist 1:1 aus dem Ausreden-Handbuch der NSA. Und es ist natürlich eine glatte Lüge. Signalaufklärung geht auch und gerade um zivile Signale.
Im Übrigen halte ich es für glaubwürdig, dass die da noch zu nichts gekommen sind. Wir reden hier von der Bundeswehr. Das Ding ist im Oktober geliefert worden. Bis das seinen Gang geht, wo das jetzt hinsoll, wer das bedient, was man da mal testen könnte, … und dann ging vielleicht irgendwas nicht, ist ja bloß ein Demonstrator, also vermutlich auch technisch ein Prototyp, bei dem noch Dinge klemmen. All zu große praktische Sorgen würde ich mir da im Moment noch nicht machen, dass die Bundeswehr uns mit sowas belauscht. Aber eines Tages wird das "zur Unterstützung der lokalen Einsatzkräfte im Krisenfall" neben Demos stehen, und daher ist das schon wichtig, dass wir da jetzt opponieren. Und natürlich nicht nur gegen dieses Gerät sondern auch die Vorgängerhardware, die da im Moment im Einsatz ist.
No. MediaWiki doesn't target this type of environment, and our policy is to be open about the fact that we are not built for that, since security problems in an unmaintained, half-done approach are likely to crop up constantly.If you actually need fancy read restrictions to keep some of your own people from reading each others' writing, MediaWiki is not the right software for you.
I hadn't realized this bug was actually still open, I'm resolving it as WONTFIX.
*schenkelklopf* (Danke, Lukas)
Erstens: Wieso eine Lizenz, da scheißen die Dienste doch eh drauf, die scheißen ja schon aufs Grundgesetz. Nein, tun sie nicht. Sie erfinden kreative Auslegungen der bestehenden Gesetze, um ihr Tun "rechtfertigen" zu können. In deren Weltbild sind die die Guten, sind die ganze Zeit im Recht und tun, was getan werden muss. Wenn unsere Software unter einer Lizenz ist, die Militärs und Diensten ihre Verwendung untersagt, würden die sich wahrscheinlich dran halten. Natürlich ist das in der Praxis egal, weil man Lizenzverletzungen im Allgemeinen nicht nachweisen können wird. Aber das ist auch nicht der Punkt. Ich will das nicht haben, damit ich die Dienste verklagen kann. Obwohl das schon sehr geil wäre, wenn ich dann der Nebenkläger wäre. Die NSA steht vor Gericht wegen Drohnenmorden in Afghanistan, wegen Lügen unter Eid, und *blätter* wegen der Verletzung einer Lizenz eines Unix-Tools aus Deutschland. Der Punkt ist, dass unsere Lizenzen ihnen das im Moment explizit erlauben. Damit kann ich nicht ruhig schlafen. Ich will denen nicht helfen bei ihrem Tun, auch nicht indirekt. Das ist eine moralische Sache für mich als Softwareautor.
Die andere erschütternde Frage ist: Wie hätten die denn ohne Vorratsdatenspeicherung von der IP den Namen finden sollen. Na genau so wie sie bei diesen Porno-Streaming-Abmahnungen ohne Vorratsdatenspeicherung die Leute abmahnen konnten. Duh.
Wir erinnern uns: Seit über einem halben Jahr kann sich die EU nicht durchringen, die Freihandels-Verhandlungen wegen der NSA auf Eis zu legen. Aber wenn die Schweiz etwas tut, was die EU selbst schon seit Jahren tut, dann kommen ganz schnell die großen Kanonen raus.
In seiner Resolution zur NSA-Affäre wird der Innenausschuss wohl Sicherheitsgarantien und auch Asyl für Edward Snowden in der EU ablehnen.Wo kämen wir da auch hin. Und es ging hier noch nicht mal um eine tatsächliche Garantie, nur um einen unverbindlichen Vorschlag in Richtung der Mitgliedsländer.
Und nur fürs Archiv, weil das ja im Grunde eh klar ist: Wer ist Schuld? Na klar!
Dagegen stehen die größte Fraktion, die christdemokratische Europäische Volkspartei (EVP) mit den deutschen Unionsabgeordneten sowie die nationalkonservative ECR. Und die Sozialisten als zweitstärkste Kraft im Parlament sind gespalten. "Ich sehe bei uns keine Mehrheit für den Schutzantrag", sagt die SPD-Innenexpertin Birgit Sippel SPIEGEL ONLINE. "Aber wenn wir nicht geschlossen dafür stimmen, reicht es nicht."
Ihre zweite Veröffentlichung ist, dass die NSA-Daten zu Zielkoordinaten für Drohnenmorde werden, und dass sie dafür viel zu unzuverlässig und schlecht sind.
In one tactic, the NSA “geolocates” the SIM card or handset of a suspected terrorist’s mobile phoneNur falls jemand sich dachte, hey, wenn die sagen, dass Mobiltelefone Peilsender sind, das ist bestimmt bloß rhetorische Überspitzung. Nein, ist es nicht.Und woher weiß die NSA, welche SIM-Karte wem gehört?
the NSA often locates drone targets by analyzing the activity of a SIM card, rather than the actual content of the calls. Based on his experience, he has come to believe that the drone program amounts to little more than death by unreliable metadata.
Ich wäre sehr erstaunt, wenn da was rauskommen würde. Das wäre für zu viele Mittäter in Amt und Würden zu peinlich.
Alles klar, würde man denken. Problem gelöst, Akte zu. Aber es stellt sich raus, dass das nur ein Verfahren ist, das die haben. Das andere heißt … tja, das würde ich euch jetzt gerne sagen, aber das Verfahren riecht offensichtlich so dermaßen überwältigend schlecht, dass sie in den FOIA-Antworten sogar den Namen davon zensiert haben. Und so gibt es da eine tolle Folie: "Why [ZENSIERT] Are Constitutionally Valid". Ja wenn das so verfassungskonform ist, wieso zensiert ihr es dann?
Es geht in dem Foliensatz um "4 workable methods of combining IC & LEA information for LEA benefit in trials". IC = Intelligence Community, d.h. Geheimdienste. LEA = Law Enforcement Agency = Strafverfolgungsbehörden. Tja, und von der ersten erfahren wir nichts. Die zweite ist: man sagt vor Gericht, die Beweise seien halt geheim; lacht nicht, dafür gibt es extra ein Gesetz namens CIPA. Die dritte ist: Der FISA Court, das sind die Geheimgerichte, bei denen der Angeklagte nicht mal angehört wird. Der vierte ist Parallel Construction, also das Zusammenlügen einer alternativen Erklärung für die Verdachtsmomente.
Der beste Rechtsstaat, den man für Geld kaufen kann!
Und PrivateCore macht … RAM-Verschlüsselung. Nein, wirklich!
vCage validates the integrity of the hardware environmentGemeint ist hier Trusted Computing, TPM-Measuring.provides a hardened hypervisor based on KVMHardened und "based on KVM" in einem Satz? Oioioio!and secures server random access memory (RAM) with AES encryption.Wie soll das funktionieren? Na ganz einfach!This is done by loading a secure hypervisor into CPU cache and acting as a gateway to encrypt memory paging in and out between the CPU cache and RAM.Soso, paging! Zwischen CPU-Cache und RAM, ja? Paging?Ob deren Produktbeschreibung aus irgendeinem Nonsens-Paper-Generator rausgefallen ist?
Das wäre ja alles höchst unterhaltsam, wenn nicht die Marketing-Ansage wäre: Wenn ihr das macht, müsst ihr dem Cloud-Provider nicht mehr vertrauen! Eure Anwendung kann dann vertrauenswürdig laufen, auch wenn die Hardware, auf der sie läuft, nicht vertrauenswürdig ist! Überhaupt hat Intel eine Technologie namens TXT im Angebot, von der sie versprechen, dass man damit TPM-Attestation bis hinein in die Anwendung haben kann, die in der VM läuft.
Wenn ihr übrigens mal Rüdiger Weis beim Meckern über TPM zugehört habt, werdet ihr die Einsicht mitgenommen haben, dass TPM nicht dazu da ist, den Anwender zu schützen, sondern die Software von Microsoft vor dem Anwender. Rüdi malt dann immer das Bild an die Wand, dass das Booten von Linux verhindert werden soll. TPM selbst kann das nicht, der führt immer auch unvalidierten Code aus. Aber wenn der Code fragt, ob er validiert wurde, dann kann ihm TPM sagen, ob das Windows in einer vertrauenswürdigen Umgebung hochgekommen ist oder nicht. Und da kommt dann halt bei manipulierten System (z.B. zum Linux-Booten, wenn man keinen TPM-fähigen Bootloader nimmt) "falsch" zurück als Antwort. Dieses Detail war das Feigenblatt, hinter dem sich die Trusted-Computing-Leute vor Rüdi versteckt haben. Intel hat allerdings noch mehr in ihren Prozessoren drin, das über das TPM-Zeugs hinausgeht. Da kann im Prozessor auch hinterlegt werden, dass nur als vertrauenswürdig signierter Code zur Ausführung kommen soll. Das nennt sich dann Launch Control Policy. Wenn Rüdi das hört, kriegt er einen Schlaganfall.
Update: Krass, Privatecore macht sogar explizit Werbung, dass ihr Produkt Cloudserver vor der NSA schützt. Was für eine Frechheit!
New hotness: GCHQ macht einen DDOS gegen Anonymous.
The documents, from a PowerPoint presentation prepared for a 2012 NSA conference called SIGDEV, show that the unit known as the Joint Threat Research Intelligence Group, or JTRIG, boasted of using the DDOS attack – which it dubbed Rolling Thunder — and other techniques to scare away 80 percent of the users of Anonymous internet chat rooms.Das muss man sich mal auf der Zunge zergehen lassen! Mit Steuergeldern fahren die da Angriffe gegen Internet-Infrastruktur! Denn DDOS greift ja nicht das Ziel an, sondern die Leitung zum Ziel.Oh und wer noch Zweifel hat bezüglich GCHQ:
The documents also show that JTRIG infiltrated chat rooms known as IRCs and identified individual hackers who had taken confidential information from websites. In one case JTRIG helped send a hacktivist to prison for stealing data from PayPal, and in another it helped identify hacktivists who attacked government websites.Das Argument gegen Hacktivisten ist ja, dass sie Infrastruktur kaputt machen. GCHQ kämpft gegen Hacktivisten, indem sie auch Infrastruktur kaputtmachen. Damit ist aus meiner Sicht völlig klar, dass die in den selben Knast gehören, in den sie die Hacktivisten gesteckt haben. In die Nachbarzelle.Im Übrigen bin ich der Meinung, dass alle Geheimdienste sofort geschlossen werden müssen.
Besonders schön ist die Stelle, als sie die Gründungsunterlagen der NSA sehen wollen. Die sind aber geheim. Also hat Pike die NSA angewiesen, diese Unterlagen vorzuzeigen. Das Pentagon hat dann ihren Geheimdienst-"Zaren" Albert Hall vor das Pike Committee geschickt — aber ohne NSA-Charter. Weil die ja geheim ist. Daraufhin ist Pike der Kragen geplatzt.
“It seems incredible to me, very frankly, that we are asked to appropriate large amounts of money for that agency which employs large numbers of people without being provided a copy of the piece of paper by which the agency is authorized.”Also hat er sich mal in Ruhe die Geheimdienst-Budgets angeguckt und kam zu diesem Ergebnis:Broken down, he discovered that about one-fifth of the FBI’s budget went to counterintelligence, largely wasted except as it targeted and harassed leftist dissidents and political opponents. He estimated that the CIA spent about a third of its budget bribing or funding foreign political parties and foreign politicians, including in allied countries like Italy.Sowas kann man natürlich nicht aufdecken, ohne sich Feinde zu machen. Als er dann auch noch seinen Report vorstellte, der massive Budget-Einschnitte forderte, verloren die Dienste entgültig ihre Contenance:the special counsel to CIA director George H. W. Bush called Pike’s office and warned that if the report was approved, “we’ll destroy him for this.”Konkret:“I’m serious, there will be retaliation,” Rogovin said. “Any political ambitions that Pike had in New York are through. We will destroy him for this.”Und tatsächlich: Das war 1976, Pikes politische Karriere endete 1978, er trat nicht mehr an. (Danke, Vincent)
US-amerikanischen, britischen und deutschen Geheimdienstagenten und ihre Vorgesetzten, dem Bundesminister des Inneren sowie der Bundeskanzlerin werden verbotene geheimdienstliche Agententätigkeiten sowie Beihilfe hierzu, Verletzungen des persönlichen Lebens- und Geheimbereichs und Strafvereitelung im Amt durch Duldung und Kooperation mit der NSA und dem GCHQ vorgeworfen.
Dieses Argument ist natürlich ein Klassiker der unfairen Argumentation, mit der Geheimdienste, Lobbyisten und PR-Agenturen die Diskussion zu lenken versuchen. Auf der einen Seite ist das ein klassisches Ablenkungsmanöver, auf der anderen Seite soll damit der NSA-Kritiker als Unmensch diffamiert werden, der sich mit Kleinigkeiten wie dem NSA-Fehlverhalten beschäftigt, während in Afrika Kinder verhungern!1!! Das ist natürlich als Argument völlig wertlos, denn wenn man es als Argument zulässt, müsste man die NSA erst Recht zumachen, weil man mit dem gesparten Geld den Hunger in der Welt komplett beenden könnte.
Darauf angesprochen kommt dann gelegentlich noch die Ausflucht, mit dem Verweis auf Afrika seien ja die ganzen Diktaturen gemeint, nicht das Verhungern. Die Leute in Afrika müssen Angst haben, im Bürgerkrieg von Milizen ermordet zu werden, und ihr beschäftigt euch hier mit winzigen unwichtigen Randdetails wie der NSA!1!! Das Argument ist natürlich auch Blödsinn. Rop erklärt das in seinem Blog anhand des Kopenhagen-Klimagipfels. Überwachung ist ein Werkzeug der Machthaber, um den Status Quo zu bewahren.
Ich habe jetzt übrigens aus mehreren Ecken gehört, dass Occupy Wallstreet daran verstorben ist, dass sie von der "wir müssen erstmal uns selbst herrschaftsfrei kriegen"-Sabotagebewegung von innen zerfressen worden sind. Die selbe Bewegung, die auch beim CCC Creepercards verteilt hat, und an der seit Jahren ein linkes Projekt nach dem nächsten kläglich eingeht. Leute, deren Interesse nicht am Mitmachen besteht, sondern am Validieren ihres Weltbildes, das sie hier die Opfer sind und von allen anderen in eine Opferrolle gedrängt werden. Und wenn dir das nicht klar ist, und sich das mit Fakten nicht belegen lässt, dann liegt das daran, dass du Täter bist. Die Tatsache, dass du deine Schuld nicht sehen kannst, ist ein eindeutiger Beleg für deine Schuld. Du solltest dich was schämen!
In Deutschland begegnet einem das am häufigsten bei den Antideutschen, die auch schon weite Teile des Netzfeminismus unterwandert haben mit dieser Ideologie.
Update: Mist, ich meinte die Critical Whiteness-Fraktion, nicht die Antideutschen. Aber da gibt es große Überschneidungen.
Kommt ihr NIE drauf!
Ihr wisst schon, der Klimagipfel, bei dem die NSA herumspioniert hat!
Na?
Logistics at the summit was handled by the Danish Ministry of Foreign Affairs in collaboration with the UN and the Danish Security and Intelligence Service (PET). Together with the IT companies ATEA and CSC, the ministry had designed a whole new infrastructure for the more than 25.000 registered participants, which focused on both physical and digital security in relation to the technical installations.CSC!! Wie geil ist DAS denn! Der NSA-Contractor CSC. Nein, wirklich!to CSC, the “systems integrator” that runs NSA’s internal IT system, defense and intelligenceCSC, wir erinnern uns, waren auch die, die für die Bundesregierung den Bundestrojaner zertifizieren. Und die der CIA Business-Jets für ihre "Rendition"-Folterknast-Entführungs-Flüge geliehen haben.Na DAMIT konnte ja dann NIEMAND rechnen, dass die NSA da gut informiert sein würde am Ende!1!! (Danke, Reiner)
Ich gehe davon aus, dass die Amerikaner sich an amerikanisches Recht halten. Und das sieht nicht vor, Industriespionage durch amerikanische Dienste zu betreibenJa nee, natürlich nicht, Herr Maaßen! Warum würden sie das auch tun, Herr Maaßen!
But wait, there's more!
Wir haben weder valide Erkenntnisse, dass die Amerikaner Breitbandkabel in Deutschland anzapfen, noch ob aus der US-Botschaft in Berlin das Handy der Kanzlerin abgehört worden istMan würde denken, mit den Argumenten sind sie schon vor Monaten gescheitert, das Interview ist bestimmt vom August oder so. Aber nein, das ist frisch.
Ich würde ja auf die Primärquelle linken, aber die haben bei mir verschissen bis in die Steinzeit.
Aber eine Sache ist ja wohl sonnenklar. Nach dieser vollumfänglichen Bankrotterklärung des Verfassungsschutzes kann niemand mehr dagegen sein, den ganzen Laden sofort zu schließen. NSA und GCHQ prahlen in Powerpoint-Folien über ihre Fähigkeiten und der Verfassungsschutz schafft es in sechs Monaten Ermittlungsarbeit nicht, irgendwas davon aufzuklären. Was haben die die ganze Zeit gemacht? V-Leute in der NSA anzuwerben versucht?! Zumachen, jetzt! (Danke, Marc)
Besorgt fragten sich die Ermittler, ob der Rechtsstaat aus den Fugen gerät. Die schlichte Antwort: Nein, sofern die Vorratsdatenspeicherung ausgeweitet wird.Wait, what?
Argumente brauchten die Herren Esoteriker dafür nicht, denn das ist ja alles total selbstevident.
Ein weiterer Höhepunkt:
Maaßen lobte die deutsch-US-amerikanische Zusammenarbeit, die in Afghanistan 30 Terroranschläge pro Woche verhindereMaaßen ist der Präsident des Bundesamtes für Verfassungsschutz. Der stellt sich da ernsthaft hin und lobt die Zusammenarbeit mit den Amerikanern. SO WEGGETRETEN SIND DIE ALLE!
Aber wartet, da geht noch was!
Als probates Gegenmittel gegen Auswüchse wie dem NSA-Skandal forderte [der Berliner Datenschutzbeauftragte] Dix stärkere parlamentarische Kontrollgremien mit Befugnissen zu unangemeldeten Kontrollen. Hier widersprach Verfassungsschützer Maaßen: Man sei nicht gegen Kontrollen ohne Ankündigung, habe aber ein gutes Kontrollsystem, in dem vor allem der Bundesdatenschützer ein besonderes Vertrauen genieße.Ist damit schon das Maximum erreicht? Nein! Da geht immer noch was! Hören wir uns mal an, was BDK-Funktionär Rolf Jäger vorzubringen hat:
Jäger verwies im Gegenzug auf die Vergreisung der Republik und meinte unter großem Beifall, dass bei rasant zunehmenden Telefonverbrechen wie dem Enkeltrick der Zugriff auf Vorratsdaten ermöglicht werden müsste.Das ging ja schnell! Von Terrorismusabwehr zum Enkeltrick!
So dürfen Facebook, Microsoft und Co. nun die Gesamtzahl aller Anfragen bezogen auf die nationale Sicherheit (National Security Letter und geheimgerichtliche Verfügungen) in Schritten von 250 veröffentlichen, statt wie bisher von 1000.Ein Meilenstein in der Transparenz staatlicher Stellen!1!!
Offensichtlich ging es den Internet-Firmen nicht um inhaltliche Dinge, sondern sie wollten nur mal zeigen, dass sie sich auch echt ganz doll gewehrt haben. Und sobald ihnen jemand eine Möhre hinhält, ziehen sie ihre Beschwerde zurück und ziehen den NSA-Karren weiter durch den Datensumpf.
Mit Alliierten wie diesen braucht man keine Feinde mehr.
Perfect Scenario — Target uploading photo to a social media site taken with a mobile device.
Wobei, wenn der Foschepoth Recht hat, dann war das gar keine Lüge.
Nun stellt sich raus: Auf diesem D-Wave-Teil haben sie den Shor-Algorithmus noch nicht zu laufen gekriegt und auch ansonsten performt das Teil nicht besser als vorherige Simulationsverfahren.
Die erwähnen da explizit Simulated Annealing, das ist ein gut parallelisierbares Verfahren aus der Machine-Learning-Ecke, das auch für generelle Optimierungsprobleme angewendet werden kann. Die Ergebnisse sind ausgesprochen ernüchternd für die Quantencomputing-Ecke und speziell für D-Wave.
Ist das jetzt Entwarnung in Kryptofragen? Nein. Es ist durchaus denkbar, dass das alles im Prinzip funktioniert, aber halt nur noch nicht auf diesen konkreten Geräten. Wir müssen trotzdem unsere RSA-Schlüssel schön lang machen und davon ausgehen, dass uns das eines Tages jemand kaputtmacht. Aber die Gefahr, die von diesen real existierenden Geräten ausgeht, scheint eher gering zu sein. Es ist bekannt, dass Lockheed Martin, Google und die NASA mit diesen Geräten arbeitet. Ich würde mich wundern, wenn die NSA etwas besseres hat, aber ausschließen kann man es natürlich nicht.
Ich für meinen Teil schlafe jetzt jedenfalls erstmal ein bisschen besser. (Danke, Detlef)
Update: Wieso würde die NSA deren Pakete abfangen wollen? Sie arbeitet im Tor Core Team mit. (Danke, Dietrich)
Kommt ihr NIE drauf!
Booz Allen Hamilton, the firm that employed whistleblower Edward Snowden, is now looking to make sure they prevent anymore security disasters. The new job, called “Insider Threat Analyst”, was posted on January 17th of the this year and describes a position that requires over 5 years of experience with “insider threat issues” with a background in “counterintelligence, information assurance, security, network engineering, or data science.”Hey, die kennen sich auf dem Gebiet wenigstens aus!1!!"NSA" steht da jetzt nicht explizit, das könnte auch eine andere US-Regierungsbehörde sein, die den Auftrag erteilt hat. Aber ich behaupte mal einfach aus dramaturgischen Gründen, es sei die NSA :-) (Danke, Rop)
Die NSA kann keinen Ausschluss-Filter "ist US-Abgeordneter" machen, weil das eine Auswahl nach Amerikanern wäre, und das dürfen sie laut Gesetz nicht, um die Privatsphäre der Amerikaner zu schützen.
Und dann ist da noch dieses tolle Herumwieseln:
Gen. Keith Alexander, who heads the agency, insisted that nothing the NSA "does can fairly be characterized as 'spying on Members of Congress or American elected officials.'"Wir spionieren ja hier nicht Abgeordnete aus, wir spionieren JEDEN aus!1!!
Immerhin:
Bitte behandeln Sie Ihre Bewerbung diskret.Soll noch mal jemand sagen, niemand habe von der NSA-Affäre was gelernt! (Danke, Florian)[…]
Bitte senden Sie keine Einschreibebriefe oder Päckchen und bewerben Sie sich nicht per E-Mail.
Ich habe das damals bei SAR Lupe erzählt, dem Spionagesatelliten der Bundeswehr. Der ist technologisch Weltklasse. Dabei braucht die Bundeswehr das natürlich nicht, im Zweifelsfall geben uns unsere Nato-Partner das Material von deren Satelliten.
Der Punkt, wieso Deutschland in solche Tech überhaupt investiert hat, ist dass das Abhörmaterial zwischen den Diensten "gehandelt" wird. Das ist eine Art Bazaar. Man möchte dort auf Augenhöhe mitspielen und auch was beizutragen haben. Und man möchte im Zweifelsfall einen Hebel haben, um anderen Ländern etwas anbieten zu können, wenn die mal ein Satellitenbild nicht rausrücken wollen, weil der Satellit gerade was anderes filmen soll.
Und unter dem Aspekt muss man auch diese Schlandnet-Geschichte sehen. Die Dienste nutzen den NSA-Skandal als Hebel, um ihr Standing im weltweiten Geheimdienste-Apparat zu verbessern. Die haben das ja schon über diese No-Spy-Geschichte probiert, was sich ja eher um eine Mitgliedschaft bei Five Eyes handelte als um ein Abkommen, das gegenseitige Spionage untersagt. Das steht da zwar auch drin, aber wie wir inzwischen wissen, haben die Amerikaner da drauf geschissen und trotzdem ihre "Partner" abgeschnorchelt.
Wenn wir jetzt ein nationales Internet schaffen, dann hat das neben allen anderen schlechten Aspekten auch noch den, dass dann der BND mehr Daten zum international verhökern hat. Glaubt nicht eine Sekunde, dass dann weniger abgeschnorchelt wird. Es ändert sich bloß, dass der BND davon "profitiert".
Wir sollten den BND zumachen, nicht aufwerten.
Aber jetzt gibt es auch einen Gesetzentwurf in Washington State, und da gibt es tatsächlich eine NSA-Installation als Teil einer Militärbasis. Diese Offnow-Pressure-Group scheint auch in anderen Bundesländern an Einfluss zu gewinnen. Mal sehen, was daraus noch wird.
Die schlechte Nachricht:
Among those on the panel are: Joseph Nye, former dean of the Kennedy school of governance at Harvard; Sir David Omand, former head of GCHQ; Michael Chertoff, former secretary of the US homeland security department and co-author of the Patriot Act that expanded NSA surveillance powers; the MEP Marietje Schaake, who has been a leading advocate of internet freedom; Latha Reddy, former deputy national security adviser of India; and Patricia Lewis, research director in the international security department at Chatham House, who said: "Internet governance is too important to be left just to governments."Seht ihr? Alles in Butter! GCHQ und NSA kümmert sich jetzt darum, dass das Internet wieder vertrauenswürdig wird! (Danke, Sabine)
Die Vorratsdatenspeicherung […] hat […] mit einer erheblichen Einschränkung von Freiheitsrechten, wie immer wieder behauptet wird, nicht viel zu tun.Denn (festhalten!) nicht der Staat speichert ja die Daten, sondern die Industrie auf Geheiß des Staates. Das ist genau der gleiche Taschenspielertrick, den auch Obama gerade probiert. Aber De Maiziere formuliert das mal schön vor für die doofen Deutschen:
Ich verstehe durchaus, dass Bürger auch angesichts der aktuellen Debatte über die NSA sagen: Das wollen wir nicht. Darum geht es aber gar nicht. Unser Staat will und wird keine Verbindungsdaten sammeln. Unser Staat verlangt vielmehr, dass Unternehmen Verbindungsdaten, die sie ohnehin haben, unter ganz bestimmten sicheren Bedingungen und für eine genau bestimmte Frist speichern.Und dann geht es zurück zu den alten Taschenspielertricks aus der letzten Iteration:
Und dann soll der Staat nur zur Verfolgung schwerer Straftaten und nur dann, wenn ein Richter das zugelassen hat, darauf zugreifen dürfen.Ja nee klar. Kennen wir schon, auch aus der EU. So geht das immer. Vorher lügen sie uns ins Gesicht, es ginge nur um schwerste Straftaten und am Ende wird es gegen Falschparker und Haschischkonsumenten eingesetzt.
Die nächste Sprechblase ist, dass die Unternehmen ja verpflichtet werden, die Daten sicher zu speichern. Im Gegensatz zu ihren ganzen anderen Daten, die alle Nase lang wegkommen. Der Punkt ist: Wir können diese Daten nicht sicher speichern. Der einzige Weg, wie wir sicher verhindern können, dass diese Daten missbraucht werden, ist indem wir sie gar nicht erst erfassen.
Und am Ende kommt noch die beliebte Schuldumkehr, wie man sie von Vergewaltigungsfällen kennt. Der Staat ist ja das eigentliche Opfer hier, weil er von den bösen Datenkrakenfirmen und der NSA einen schlechten Ruf kriegt.
Es liegt an uns allen, dafür zu sorgen, dass denen niemand dieses Narrativ abkauft.
Übrigens: Dieses Motiv der Schuldumkehrung findet sich auch in Obamas NSA-Rede:
In fact, even the United States proved not to be immune to the abuse of surveillance.Seht ihr? Die USA sind hier nicht Täter sondern Opfer! Oh und wo wir gerade bei Obama und der USA waren: Die New York Times ist ein Vergleich zwischen Empfehlung des Whitewash-Reförmchen-Feigenblattkommittees und was Obama tatsächlich tut.
Mr. Obama plans to increase limits on access to bulk telephone data, call for privacy safeguards for foreigners and propose the creation of a public advocate to represent privacy concerns at a secret intelligence court.Die einzige konkrete Ansage darin ist, dass es jetzt einen Anwalt geben soll, der vor dem Geheimgericht (an der Stelle können wir eigentlich auch direkt drüber zu reden aufhören) — nein, nicht die Opfer vertreten wird. Der Anwalt ist dazu da, "to represent privacy concerts". Der soll also Privatsphäreargumente vertreten. Die tun nicht mal so, als ob vor ihrem Geheimgericht (GEHEIMGERICHT!!) jemand die Opfer vertreten würde. Und der Rest ist eh unkonkretes Blablah.Ich freue mich ja am meisten über "safeguards for foreigners". Das sind wir, diese Ausländer. Das kann ja nur eine riesige Lachnummer werden, was die da für Safeguards einführen wollen.
Man beachte übrigens auch die Formulierungen genau. "limits on access of bulk telephone data" kann auch heißen, dass die NSA nach wie vor alle Daten kriegt, aber verspricht, besser auf sie aufzupassen. Was sie ja schon die ganze Zeit sagen, dass sie da ordentlich drauf aufpassen.
Ich muss ja bei diesen ganzen Geschichten an Dragos Ruiu und sein Badbios-Zeug denken. Wie viele den nicht ernst nehmen konnten. Als er erzählte, seine Rechner, die nicht am Internet hängen, seien gehackt worden, und er vermute, das ginge über Audio außerhalb des hörbaren Spektrums. Nicht nur ist seit dem eine Open Source Chat-Anwendung basierend auf dem Prinzip auf github aufgetaucht, jetzt haben wir dank Snowden auch ein paar Details.
The technology, which the agency has used since at least 2008, relies on a covert channel of radio waves that can be transmitted from tiny circuit boards and USB cards inserted surreptitiously into the computers. In some cases, they are sent to a briefcase-size relay station that intelligence agencies can set up miles away from the target.Rückblickend ist ein Funksignal von bösartiger Hardware natürlich technisch glaubwürdiger als was Dragos sich da zusammengereimt hat, aber vor dem 30c3 war das eben bei den Hackern noch nicht so auf dem Radar, dass man seine Komponenten nicht online ordern darf, weil die NSA sonst Hintertüren eingepflanzt hat. Ich kauf meinen Kram gerne lokal im Laden ein, aber weniger aus Angst vor der NSA als weil ich die lokalen Läden als Infrastruktur gerne erhalten möchte. Rückblickend bin ich da ganz froh drüber.Naja, sehr schön ist auch das Neusprech-Layer, das die NSA da aufbaut. Sie sprechen da nicht von Angriffsmethoden, sondern von "active defense". Kommentar der New York Times:
But when Chinese attackers place similar software on the computer systems of American companies or government agencies, American officials have protested, often at the presidential level.Das ist halt wie mit der Merkel und ihrem Telefon :-)
A stunning Federal Security Services (FSB) report on the nearly two million highly classified top-secret documents obtained from the United States Department of Defense (DOD) run National Security Agency-Central Security Service (NSA/CSS) by the American ex-patriot Edward Snowden states that this information is providing “incontrovertible proof” that an “alien/extraterrestrial intelligence agenda” is driving US domestic and international policy, and has been doing so since at least 1945, Whatdoesitmean.com reported.Wait, what? Ooooh, whatdoesitmean.com! Na wenn das eine SO seriöse Quelle schreibt, dann muss es ja wahr sein! m(
Frage: Glauben Sie, dass die Kritik an Ihrer Amtsführung während der NSA-Affäre dazu beigetragen hat, dass Sie das Innenministerium abgeben mussten?Ja, äh … was denn so? Das will auch der Interviewer wissen. Antwort:Dr. Friedrich: Nein, die NSA-Affäre hat nichts damit zu tun. Schon einmal hat die CSU in einer Großen Koalition das Innenministerium abgeben müssen: 1966 wechselte der damalige Innenminister Höcherl ins Landwirtschaftsressort. Als Innenminister hatte ich übrigens wichtigere Themen als die NSA-Affäre.
Dr. Friedrich: Wie gehen wir mit Zuwanderung nach Deutschland um, wie kann Integration funktionieren und wie müssen unsere Sicherheitsbehörden besser zusammenarbeiten. In all diesen Fragen habe ich klare Positionen im Interesse der Bevölkerung bezogen.Keine weiteren Fragen, Herr Landwirtschaftsminister.
Update: Wow, die haben die Webseite dichtgemacht. Da ist wohl der Zensor von der Pinkelpause zurückgekommen und hat schnell Schadensbegrenzung betrieben. Hier zitiert die "Zeit", hier das ehemalige Nachrichtenmagazin.
Update: Die haben bloß die URL geändert.
Ich wüsste ja gerne, welche Art von Belohnung die Five Eyes Deutschland für die Einführung des elektronischen Personalausweises in Aussicht gestellt haben. Der Rest der Welt führt Perfect Forward Secrecy ein, unsere Regierung führt kryptographisch sichere Zuweisbarkeit einer IP zu einem Menschen ein. Mit hinreichend starker Krypto für geheimdienstliche Zuordnung, aber zu schwacher Krypto für tatsächliche Sicherheit. Abgesehen davon, dass man richtige kryptographische Zuordnung ja generell nicht haben will, weil das die Metadaten der NSA vergoldet.
Im Übrigen habe ich den Ausführungen von Cory Doctorow an der Stelle nichts hinzuzufügen.
Update: Heise hat auch was. (Danke, Horst)
These basic values have been enshrined in Jewish law. The Torah prohibits intrusion (Deuteronomy 24:10-11) and gossip (Leviticus 19:16) and the ancient rabbis extended these prohibitions to include looking into another's property. In the 10th Century, the great Frensh sage Gershom ben Judah expanded those rules to forbid readong another person's mail. Later authorities went even further, arguing that the prohibition should apply to postcards, whose contents are easily visible.Mit anderen Worten: Selbst wenn eine Person weniger Privatsphäre annimmt, muss man sie ihm trotzdem in Gänze gewähren.Nach dem Zitat von Glenn Greenwald, dass Überwachung zu Konformität führt, kommt dann noch diese Ansage:
Similarly, our tradition celebrates the uniqueness of every individual, even seeing God’s greatness as revealed through human diversity (Mishnah, Sanhedrin 4:5). Violating privacy diminishes individuality and minimizes diversity, and is therefore an assault on human dignity and an affront to God.Ui, das ist ja echt der ganz große Hammer.Update: Oh, schön, den Artikel gibt es auch bei dem Autor ohne Paywall online. (Danke, Dorothea)
Übrigens, Lacher am Rande:
The satellites are provided by prime contractor Airbus Defence and Space and payload-maker Thales Alenia Space. Neither company was available for comment.Ach nee, Airbus? Dann ist das vielleicht gar keine Aktion der Franzosen sondern des Bundesnachrichtendienstes?
Update: Dell hat übrigens ganz offen eine "NSA-Serie" im Programm :-) (Danke, Thumay)
Danach habe ich mir den Foschepoth angeguckt. Den hatte ich auch schon im Blog, das war der mit dem Buch dazu, wie Westdeutschland Post und Telefonate abgehört hat, und wie da eigentlich die Gesetzeslagen sind. Der Vortrag war noch krasser als ich befürchtet hatte. Am Ende muss man schlecht gelaunt konstatieren, dass der Pofalla uns nicht mal anlügen musste, als er uns ins Gesicht sagte, dass keine deutschen Gesetze verletzt wurden. Es ist alles ganz furchtbar. Auch hier: Klare Empfehlung, angucken!
Der nächste Talk war Advanced Arm Exploitation, den ich nicht empfehlen kann. Das war ein Amerikaner, der da Werbung für Produkte machte, die man in seinem Webshop kaufen kann. Auch fand ich das inhaltlich nicht sonderlich advanced. Im Wesentlichen beschrieb er, was er so tat, und wann immer es ein Problem gab, kaufte er sich irgendwo ein Gadget, das genau dieses Problem für einen löst. Der Typ verkauft auch Trainings und erwähnte das gefühlt ein halbes Dutzend mal, während er zitterig weite Teile seiner Folien übersprang. Ich kam mir jedenfalls vor wie in einem Verkaufsgespräch, nicht wie in einem Vortrag.
Danach kam This Year in Crypto, der zwar für Leser meines Blogs zum Großteil nicht neu war, aber die letzten beiden Folien oder so waren an mir vorbei gegangen. Da war einmal ein absolut grandioses NSA-Dementi bei, episch, ein Meilenstein des überspezifischen Dementi, das nichts wirklich abstreitet. Aber seht selbst. Lohnt sich auch.
Danach war bei mir Pause, aber ich werde mir von dem Tag noch das Car Hacking, V wie Verfassungsschutz, Revisiting Trusting Trust und Bullshit made in Germany als Video downloaden.
Im 22 Uhr Slot hab ich nur die letzten Minuten von Security of the IC Backside mitgekriegt, das guck ich mir sicher auch noch auf Video an, und Art of Exploit und der Talk über Kernel Patches muss ich mir auch downloaden.
Der absolute Hammer an dem Tag war aber Seeing The Secret State: Six Landscapes. Ich kann mich gar nicht lobend genug äußern. Das ist ein Typ, der die CIA-Cover-Fluglinien aufgedeckt hat, der nachts Spionagesatelliten fotografiert und Fotos von Area 51 und so brachte. Unglaublich.
Danach gab es den CCC-Jahresrückblick zum Ausklang. Das war leider ziemlich deprimierend dieses Jahr. Dafür gab es am Anfang ein tolles Video anlässlich 30 Jahre CCC, das das Publikum so geflasht hat, dass sie es gleich nochmal sehen wollten. Hoffentlich kommt das auf dem Download auch so schön rüber.
Die CIA hat natürlich den Wetwork-Teil übernommen ("covert action program"), und die NSA hat halt gemacht, was sie immer macht:
The secret assistance, which also includes substantial eavesdropping help from the National Security Agency, is funded through a multibillion-dollar black budget.
I have confidence in the fact that the NSA is not engaging in domestic surveillance or snooping aroundMit anderen Worten: Alles total super, feiert mal Weihnachten, Leute, gibt nichts zu sehen hier!
Inhaltlich dachte ich erst, dass ich da so viel nicht zu sagen kann, weil ja die möglichen Plotpunkte im Großen und Ganzen abgearbeitet sind. Wir wissen jetzt, was wir im Grunde auch schon vorher wussten: Dass für die Geheimdienste Geld keine Rolle spielt, und dass die alles abgreifen, was sie kriegen können, ob das nützlich erscheint oder nicht. Der "Bedarf" in deren Euphemismus "Bedarfsträger" spielt schon länger keine Rolle mehr. Mir war daher nicht klar, was ich da groß in Sachen Ausblick bieten könnte.
Mit Einordnung meinte der Tagesspiegel, dass in meinem Blog häufiger die Einschätzung durchscheint, dass das ja alles nicht wirklich überraschende Enthüllungen sind.
Aber als ich da eine Nacht drüber geschlafen hatte, fielen mir doch ein paar spannende Aspekte auf, über die ich bisher noch nicht explizit geredet habe. Und zwar hat ja der Snowden sowohl für die NSA als auch für die CIA gearbeitet. Die Enthüllungen betreffen aber nur die NSA bisher. Warum eigentlich?
Ich bin gerade dabei, dafür eine Theorie aufzubauen. In der vom Tagesspiegel geänderten Version des Artikels schlägt sich der Gedanke so nieder:
Ist es ein Zufall, dass die CIA bei den Veröffentlichungen der Snowden-Dokumente im Vergleich zur NSA bisher so gut wegkommt? Oder werden wir hier Zeuge eines Grabenkrieges zwischen NSA und CIA?So war das nicht gemeint, aber es ist auch irgendwie passend. Ich stelle mir das so vor. Die Washington Post erfährt von einem Snowden-Dokument. Wie üblich in solchen Fällen legt sie es den zuständigen Stellen mit Bitte um Kommentar vor. Der übliche Kommentar vom Militär bei sowas ist grundsätzlich: Diese Veröffentlichung gefährden Menschenleben, das dürfen Sie nicht publizieren!
Die CIA faselt immer von National Security, aber bringt am Ende auch immer das Argument, dass Menschenleben gefährdet wären. Wenn nicht von ihren Agenten, dann doch von ihren Informanten. Das ist so schwammig und unnachprüfbar, dass die Zeitungen das normalerweise einfach hinnehmen und Dinge jahrelang unter Verschluss halten — oder überhaupt nie veröffentlichen.
Die NSA kann das bisher nicht bringen. Das Image der NSA ist, dass die keine Informanten haben. Für Informanten ist die CIA zuständig. Die NSA hat Satelliten und zapft Kabel an. Daher ist das für eine Zeitung relativ unglaubwürdig, wenn die NSA von gefährdeten Menschenleben faseln würde. Ich glaube, dass das der Grund ist, wieso wir bisher so viele NSA-Enthüllungen und so wenige CIA-Enthüllungen kriegen.
Snowdens wenige Äußerungen klingen so, als habe er bei beiden Dokumente rausgetragen.
Rückblickend ergibt damit auch diese Rede des NSA-Bosses bei der Blackhat viel mehr Sinn für mich. Da (und auch bei anderen Gelegenheiten) hat die NSA nämlich extra betont, dass sie auch Agenten haben, die sie nach Afghanistan schicken, wo sie die Soldaten beschützen.
Ich habe zu dem Zeitpunkt gar nicht verstanden, was die mir damit sagen wollen. Welche Rolle spielt denn Afghanistan, wir reden hier von abgeschnorchelten Daten aus Europa! Aber unter diesem Gesichtspunkt ergibt das plötzlich Sinn. Ich glaube inzwischen, dass die NSA damit ein Narrativ aufbauen wollte, das es ihnen in Zukunft erlaubt, bei Leaks einfach genau wie die CIA behaupten zu können, es seien Menschenleben ihrer Agenten in Gefahr.
Eine Sache, die mir auffiel bei den Änderungen des Tagesspiegels: Die waren konfrontativer als ich. Die wollten mit dem Finger auf Institutionen und spezifische Personen zeigen. Ich bin z.B. der Meinung, dass es sich nicht lohnt, den Rücktritt des Generalbundesanwalts zu fordern. Der Mann ist weisungsgebunden. Der ist nicht das Problem, der ist nur das Symptom. Über den kann man sich prima lustig machen, weil er NSA und NASA verwechselt hat. Aber dass der kein Verfahren lostritt, das ist nicht der Mann persönlich, das ist unser System.
Der Big Data Abschnitt kam übrigens so zustande, dass der Tagesspiegel den rausnehmen wollte, weil sie nicht verstanden, was ich damit sagen will. Als ich ihnen erklärte, was ich damit meinte, haben sie einen Teil der Erklärung in den Artikel übernommen.
Nach einer Washington-Reise sagte Uhl dem „Focus“, in den USA gebe es auf der Fachebene nur Arroganz und Desinteresse an Berlins Empörung über die NSA-Aktivitäten.Tja, Herr Uhl, da müssen wir wohl mal schleunigst die Vorratsdatenspeicherung einführen, gell? Haben Sie das heute schon gefordert? Nicht? Komisch, bei dem Thema schlägt uns nämlich immer nur Arroganz und Desinteresse entgegen.
Finally, we cannot discount the risk, in light of the lessons of our own history, that at some point in the future, high-level government officials will decide that this massive database of extraordinarily sensitive private information is there for the plucking. Americans must never make the mistake of wholly “trusting” our public officials. As the Church Committee observed more than 35 years ago, when the capacity of government to collect massive amounts of data about individual Americans was still in its infancy, the “massive centralization of . . . information creates a temptation to use it for improper purposes, threatens to ‘chill’ the exercise of First Amendment rights, and is inimical to the privacy of citizens.”Uiuiui! Wenn sie das doch nur jemand vorher gewarnt hätte!1!!Public Officials, um hier mal einer Fehlübersetzung vorzubeugen, sind nicht bloß Politiker. Das sind auch Staatssekretäre, der FBI-Chef, das Personal des DHS, die Leute von NSA und CIA und so weiter.
Wie, ihr habt doch nicht ernsthaft geglaubt, dass dieser Ranz-Zufallszahlengenerator per Zufall in BSAFE gelandet ist, oder?
Was ich ja besonders geil finde: Die PR-Schlipse von RSA wagen es jetzt auch noch, dieses Statement hier rauszubringen:
RSA always acts in the best interest of its customers and under no circumstances does RSA design or enable any back doors in our products. Decisions about the features and functionality of RSA products are our own.Und das nachdem von Snowden geleakte Dokumente zeigen, dass dieser Vertrag über 10 Millionen Dollar zustande gekommen ist!Ich würde ja jetzt Kommentare über die Glaubwürdigkeit von RSA machen, aber die hat sich eh erledigt.
European Commission says latest revelations on GCHQ/NSA snooping 'are unacceptable and deserve our strongest condemnation'.Vielleicht wacht da ja doch mal jemand aus dem Dornröschenschlaf auf und schreibt einen "strongly worded letter"
(1) Governments should not use surveillance to steal industry secrets to advantage their domestic industrie;
(2) Governments should not use their offensive cyber capabilities to change the amounts held in financial accounts or otherwise manipulate the financial systemMit anderen Worten: Wir müssen endlich mit der Industriespionage aufhören, und wir sollten auch nicht mehr bei Banken die Kontostände hacken.
Our review suggests that the information contributed to terrorist investigations by the use of section 215 telephony meta-data was not essential to preventing attacks and could readily have been obtained in a timely manner using conventional section 215 orders.Und schon die "Terroranschläge", die sie da verhindert haben wollen, wirkten ja irgendwie vorgeschoben.
In diesem Zusammenhang sei auch auf ihre Position vom Juli verwiesen, die in winzigen Details subtile Diskrepanzen aufwies.
Wer sich jetzt denkt, holla, ist die Merkel etwa doch lernfähig? Hat die sowas wie kognitive Fakultäten? Da kann ich Entwarnung geben:
Merkel was particularly angry that, based on the disclosures, "the NSA clearly couldn't be trusted with private information, because they let Snowden clean them out."Was sie den Amis übelnimmt ist nicht das Schnüffeln, sondern dass sie sich erwischen ließen.
Man beachte auch das Bild, das die New York Times da einblendet bei der Story.
Da könnten wir uns jetzt ordentlich drüber entrüsten, aber das wäre genau so heuchlerisch wie unsere Entrüstung über die NSA, denn während Ostdeutschland durch den Zwei+Vier-Vertrag zu einer atomwaffenfreien Zone erklärt wird, haben die Amerikaner ihre auf Russland zeigenden Atomraketen in Westdeutschland nie abgezogen.
Update: Das sind nicht Mittel- sondern Kurzstreckenraketen. (Danke, Michael)
Eingangs konfrontierte er General Alexander mit der angeblich in der Bevölkerung umgehenden Befürchtung, die NSA schneide alle Telefongespräche der Amerikaner mit und schreibe alle ihre Emails ab. Dankbar gab der General Entwarnung!WHOA! Na ein Glück, dass wir das mal aufgeklärt haben! Ein Meilenstein des investigativen Journalismus. Und bizarrerweise hat CBS das tatsächlich als das zu verkaufen versucht. Eine ganz peinliche Sache.
Dass die Amerikaner im Gegensatz zu den Russen nicht Schach sondern Poker spielen, konnte man an dem FUD-Sähen zur Merkel-Frage gut beobachten. Keith Alexander hat das Merkel-Abschnorcheln kurz gefasst damit begründet, dass die Deutschen ja vermutlich auch das Weiße Haus abhören. Jedenfalls könnten die Deutschen diesen Verdacht nicht ausräumen, und man wisse ja, dass die Deutschen "große Geheimdienstkapazitäten haben und dass sie im Ausland Informationen sammeln — genau wie wir". Spätestens jetzt wäre der perfekte Moment, den BND endlich zuzumachen. Dann haben auch die Amerikaner keinen moralischen Vorwand mehr für ihr Tun.
Das Highlight für die Techniker unter uns war dann, als die investigativen Journalisten von CBS anfingen, chinesische Computersabotage anzuprangern. Die Aussage der NSA-Direktorin für Information Assurance Debora Plunkett (die ist vermutlich daran Schuld, dass Microsoft Secure Boot bei Windows 8 erfordert, das ist der zentrale Talking Point der Information Assurance-Leute aus der US-Regierung, und deren Zentrale ist die NSA) wird von CBS aufgesaugt wie Muttermilch. Die Chinesen hätten eine Super-Malware, die alle PCs "bricken" kann (d.h. so kaputt machen, dass sie nur noch als Briefbeschwerer nützlich sind). Wenn der Benutzer erst mal infiziert ist, muss er nur noch auf den Knopf drücken, der diese Wunder-Software startet, und dann macht die den PC kaputt! Das kann die ganze Wirtschaft der USA kaputtmachen!1!!
Um das mal ein bisschen abzukürzen: Die Frau hat Recht! Hier ist diese Super-Malware aus China!1!!
Der Punkt ist: Wenn der PC infiziert ist, ist er bereits kaputt. Den dann zu bricken ist keine Errungenschaft. Und wenn der Benutzer erst irgendwo draufklicken muss, dann senkt das die Gefährlichkeit der "Malware" unter die "müsste sich mal jemand kümmern"-Schranke. An der Stelle sei auch der Hinweis erlaubt, dass die "Antiviren"-Industrie auch regelmäßig fünf- bis sechsstellig viele PCs brickt, weil ihr Ranz irgendwelche inneren Organe von Windows als Malware "erkennt".
Schon die Idee, dass man mit sowas eine "Kettenreaktion" auslösen kann, um die US-Wirtschaft kaputtzumachen, ist grotesk. Wenn der PC gebrickt ist, kann er keine anderen mehr infizieren. Und wenn der User erst klicken muss, ergibt sich keine Kettenreaktion. Abgesehen davon: Wenn die US-Wirtschaft tot ist, wer kauft dann den Chinesen ihren Plunder ab? Dann implodiert doch deren Wirtschaft gleich mit! Aber soweit haben die "Journalisten" von CBS nicht gedacht.
Meine Theorie dazu: Die Aufsichtsgremien haben in einem seltenen Moment des Aufsichswillens vorsichtig angefragt, ob die NSA weiß, was da alles weggekommen ist. Die NSA hat eine Liste gemacht, un sich gedacht: Hmm, von dem hier wissen die noch nichts, das hier wäre peinlich, das hier haben wir auch bisher vor denen verschwiegen … wenn wir jetzt die Liste rüberrücken, dann räumen wir damit ohne Not ein, diese ganzen fiesen Dinge zu tun. Diese Aufsichtsgremien sind ja wie bei uns der Friedrich. Die brauchen plausible deniability. Die müssen sagen können: Davon höre ich zum ersten Mal!11! Und das muss man ihnen abnehmen. Daher sagen die Dienste denen nichts, und die fragen bei den Diensten auch nicht nach. So kann man das im Notfall auf ein Kommunikationsproblem schieben, alle Seiten sind entrüstet und entsetzt, dass es soweit kommen konnte, und niemand muss seinen Hut nehmen.
Vor der Wahl, ob sie die jetzt erstmal informieren, was sie alles für gruselige Black Ops machen, oder ob sie lieber wie inkompetente Idioten dastehen, haben sich die NSA-Entscheider halt für Letzteres entschieden.
Und inhaltlich ergibt das auch überhaupt keinen Sinn, die Modems alle zu hacken, weil die dünnste Leitung die zwischen eurem Modem und dem DSLAM ist. Wenn man da Daten rausleiten wollen würde, dann an zentralerer Stelle. Und von da wissen wir ja auch schon, dass da Daten rausgeleitet werden können, weil es dafür gesetzlich vorgeschriebene Schnittstellen gibt. Ob euer Modem auch noch mal gehackt wird oder nicht spielt also gar keine Rolle für euch.
So und jetzt bitte alle einmal notieren: Finger weg von diesen ganzen unseriösen Illuminaten-Bullshitbingo-Webseiten aus dem Infowars-Dunstkreis. Und vor dem Fefe anmailen bitte kurz selber das Hirn anschalten! :-)
Ich weiß, ich weiß! DAMIT konnte ja wohl NIEMAND rechnen!1!!
Update: Und wo wir gerade dabei sind: Die EU-Kommission hat ja auch neulich das SWIFT-Schnorchel-Abkommen mit den USA verlängert, obwohl das Parlament (der einzige demokratisch legitimierte Teil an dem ganzen Laden) für die Kündigung gestimmt hatte.
Ein in deutschen Medien veröffentlichtes angebliches NSA-Dokument genüge jedenfalls nicht, um damit einen Anfangsverdacht zu begründen.Komisch, wenn der Staat gegen Demonstranten vorgeht, reicht normalerweise viel weniger.
Und weil wir hier bei Springer sind, geht es nahtlos zu "ABER DIE TERRORISTEN!!1!" über. Ganz großes Hallentennis!
Ich hatte vorgestern so ein Erlebnis in der Bahn: Da habe ich mich auch unterhalten über Überwachung mit einem Fremden. Der kam dann auch mit "habe ja nichts zu verbergen" - da habe ich gefragt"Haben Sie ein Handy?"
"Ja"
"Geben Sie mir das mal"
"Warum?"
"Ja ich will das mal durchsehen"
"Ja das geht Sie nix an"
"ACH WAS!!! Aber wenn die NSA und der Staat das täglich tun ist das okay?"
- Stille -
Die Beispiel-Zielorganisation ist übrigens das Brasilianische Energieministerium. Ein Schelm, wer Böses dabei denkt.
Update: Die Software haben einige Einsender als das Open-Source-Datenintegrationstool Kettle wiedererkannt. Das ist mit Plugins erweiterbar und anscheinend von einer Firma in Kommerz-Software umgewandelt worden, heißt jetzt Pentaho Data Integration.
Die SPD ließ sich schnell überzeugen, schließlich gab es da einen unliebsamen Antrag der Grünen und der Linken zum Gebaren von Angela Merkels CDU in der NSA-Affäre. Aus atmosphärischen Gründen wollten die Sozialdemokraten im Bundestag nicht mitstimmen. Ablehnung hätte auch komisch ausgesehen, schließlich sitzt die SPD noch nicht in der Regierung. Um also die Abstimmung zu verzögern, musste der Antrag an einen Ausschuss überwiesen werden.Die Verräterpartei fällt schon um, bevor sie überhaupt an der Regierung ist!
Ich bin zwar nach wie vor der Meinung, dass die Geheimdienste alle zerschlagen gehören, aber WENN die schon jemanden ausspionieren, abschnorcheln, überwachen und bespitzeln, dann bin ich damit einverstanden, dass sie die G20-Gipfel-Teilnehmer nehmen.
Wenn ihr also das nächste Mal online Pornos guckt, erinnert euch daran, dass der NSA-Kontaktbereichsbeamte euch gerade über die Schulter guckt :-)
New hotness: Im HTML-Kommentar der Obamacare-Webseite steht "you have no reasonable expectation of privacy".
Wie geil ist DAS denn! Die wussten, dass sie die Datensicherheit verkacken würden, und dass das alles direkt von der NSA abgeschnorchelt wird, und schreiben dann einfach einen Disclaimer in einen HTML-Kommentar. Das ist ja mal der neue Goldstandard für Verbraucherschutz. Der Brüller! (Danke, Klaus)
When the media and members of Congress say the NSA spies on Americans, what they really mean is that the FBI helps the NSA do it, providing a technical and legal infrastructure that permits the NSA, which by law collects foreign intelligence, to operate on U.S. soil. It's the FBI, a domestic U.S. law enforcement agency, that collects digital information from at least nine American technology companies as part of the NSA's Prism system. It was the FBI that petitioned the Foreign Intelligence Surveillance Court to order Verizon Business Network Services, one of the United States' biggest telecom carriers for corporations, to hand over the call records of millions of its customers to the NSA.Ein weiterer Vorzeige-Sieg für die parlamentarische Geheimdienstaufsicht! (Danke, Stefan)
But the officials also didn't think his resignation would solve the security problem and were concerned that letting him leave would wrongly hand Mr. Snowden a win, the former defense official said.
Allein das parlamentarische Kontrollgremium der Geheimdienste - in den Zeiten der NSA-Affäre nicht vollkommen überflüssig - besteht zur Zeit lediglich aus zwei abgewählten FDP-Abgeordneten, also Privatpersonen ohne jegliche Legitimation.DAS erklärt ja wohl EINIGES.
government lawyers claimed ordinary Americans cannot legally challenge it.Wo kämen wir da auch hin, wenn die Leute einfach so klagen könnten!
Department of Justice attorney Stuart Delery said ordinary Americans have no standing to challenge the collection of their call records. Citing a 1979 Supreme Court ruling, he said Americans have no reasonable expectation of privacy for those records, and that only phone companies can challenge their collection.Wenig überraschend hat noch nie eine Telco gegen die Datenherausgabe geklagt. Warum auch, die werden ja fürstlich dafür entlohnt. Und wer will schon die Regierung gegen sich aufbringen als Firma. Da fängt man sich doch nur Steuerprüfungen ein.Oh ach ja, und außerdem haben sie dem Richter gesagt, er sei inkompetent und solle solche Dinge den Experten überlassen.
Dated February 2012, the memo was written after PRISM and many of the other programs that have since outraged the public were implemented. It describes a four-year plan to push the NSA past its current status and into “the golden age of SIGINT,” code for signals intelligence.Aber halt, nicht alles ist rosig bei der NSA! Denn sie brauchen mehr Befugnisse!1!!“The interpretation and guidelines for applying our authorities, and in some cases the authorities themselves, have not kept pace with the complexity of the technology and target environments, or the operational expectations levied on NSA’s mission.”Total überraschend, nicht wahr?
Wie, ihr dachtet, die zerschlagen jetzt ihren Geheimdienstapparat und führen Rechtsstaat und Menschenrechte ein?
The Swedish citizens will get all their phone calls and e-mail traffic wiretapped in real time not just by the Swedish NSA branch, but also by police, customs, the tax authority, and others.
In 2007, the rules were changed to allow the NSA to analyse and retain any British citizens' mobile phone and fax numbers, emails and IP addresses swept up by its dragnet. Previously, this data had been stripped out of NSA databases – "minimized", in intelligence agency parlance – under rules agreed between the two countries.NATÜRLICH hat die NSA Restriktionen über Briten ignoriert. Ist doch offensichtlich, wenn die sich nichtmal an Restriktionen über ihre eigenen Landsmänner halten, wieso sollten die dann die Briten rausfiltern?
Die Reaktion der norwegischen Dienste? Nee nee, das war ja gar nicht die NSA, das waren wir, und wir haben die Daten dann der NSA gegeben. Äh, ach? Und das macht es jetzt besser, weil…!? WTF? Haben die gedacht, sie müssten ihren Ruf retten, dass sie soviel kriminelle Energie nicht hätten?
Microsoft habe ausdrücklich abgestritten, der NSA Zugriff auf ihren gesamten Datenbestand für die Massenauswertung zu gewährenAch, das ist jetzt der Goldstandard? "Hey, haben Sie diese Bank ausgeraubt?" "Nein." "OK, Freispruch!"
Analysts had expected Cisco’s business in emerging markets to increase 6%, but instead it dropped 12%, sending shares of Cisco plunging 10% in after-hours trading.This completely unexpected turn, which Chambers said was the fastest swing he had ever seen in emerging markets
Tja, dumm gelaufen, liebe US-Regierung. Aber hey, ihr könnt das ja über mehr Militär-Käufe mit frisch gedrucktem Geld kompensieren, ganz wie früher!
Der würde die Untaten der NSA legalisieren.
Snowden habe insgesamt 20 bis 25 Kollegen mit der Begründung zur Herausgabe ihrer Passwörter gebracht, er benötige sie für seine Tätigkeit als System-Administrator.Die BESTEN der BESTEN der BESTEN, SIR! (Danke, Felix)
Wir wussten ja, dass Geheimdienstler Verlierer sind. Aber nicht, dass es so schlechte Verlierer sind. Geheimdienstler in Springer-Presse: Ströbele agiert für den FSB und die Interessen Russlands. Überhaupt sei der Snowden-Besuch komplett vom FSB geplant. ACH NEE.
Ich finde ja, dass der FSB in dieser ganzen Sache der einzige Geheimdienst ist, der sich die Kategorisierung als Partner-Geheimdienst verdient hat.
Und wofür jetzt die Kopfschmerztabletten? Für diesen absoluten Kracher ganz am Ende:
Innenminister Hans-Peter Friedrich (CSU) plädierte angesichts der Spähaffäre dafür, Internetanbieter künftig in einem IT-Sicherheitsgesetz zu verpflichten, Datenverkehr in Europa ausschließlich über europäische Netze zu leiten.OH DIE SCHMERZEN! Damit die Daten der GCHQ ins Netz gehen und nicht direkt der NSA? Oder wie?
Ich wundere mich ja immer, dass wir überhaupt über PISA reden. Die Bayern sind doch immer so stolz über ihr tolles Bildungssystem. Und da ist DER nicht nur durchgekommen, sondern konnte sogar noch promovieren!! Da braucht man keine PISA-Studien mehr, um herauszufinden, dass wir dem Untergang geweiht sind.
Die Strategen in Washington sehen laut "New York Times" derzeit keine praktikable Alternative zum massenhaften Abfischen von Daten.Die NSA-Massenschnorchelei ist alternativlos!
Update: Und die NSA glaubt jetzt, die Deutschen sind deshalb muffelig gerade, weil sie nicht eingeladen wurden.
Wobei das ja durchaus lustig werden kann, wenn die NSA keinen Bock mehr hat, für ihre "Partner" den Kopf hinzuhalten und mal wirklich ein paar Details lecken lässt. So wie hier z.B.
Na ich denke mal, dass sie da nicht groß werden drängen müssen. Wir reden hier immerhin von der Verräterpartei. Eine Opposition haben wir ja nicht mehr jetzt.
Übrigens: Wenn zwei Firmen sich zusammentun, um gemeinsam eine marktbeherrschende Stellung einzunehmen, schreitet das Kartellamt ein. Wieso gibt es keine Vorschriften dagegen, dass sich zwei ranzige Parteien zu einem Kartell zusammenschließen und so die Opposition marginalisieren?
Ciscos Hack ist, dass sie jetzt einen H.264-Codec als Plugin verschenken, ordentlich lizenziert. Das darf sich dann jeder installieren und damit H.264 abspielen, ohne dass Lizenzgebühren fällig werden.
Sieht erstmal elegant aus, aber ist in vielerlei Hinsicht ein Desaster. Erstens haben wir uns damit erpressen lassen. Damit hat das System "Lizenzgebühren für internationale Standards" gewonnen. Soweit hätte es nie kommen dürfen, aber jetzt ist klar: Der Widerstand dagegen ist gescheitert.
Zweitens heißt das, dass man jetzt für H.264 das Cisco-Modul verwenden muss, dann muss man keine Lizenzgebühren zahlen. Wer wäre unter diesen Umständen so doof, ein anderes Modul zu nehmen? Niemand. Wenn sich dieses System einbürgert, dann haben wir alle verloren, weil für die nächste Iteration von Standard nicht mehr ein Konkurrenzkampf an Implementationen die Qualität hochtreiben wird, sondern es wird genau einen Binärblob von Cisco gehen.
Damit sind wir beim dritten Problem. Was, wenn da ein Bug drin ist? Ein Sicherheitsloch? Eine Hintertür? Damit wäre dann die ganze Welt davon abhängig, dass Cisco den Kram wartet. Und um Cisco ranken sich seit mindestens 20 Jahren Gerüchte, dass sie im Gegenzug für Exporterlaubnisse Hintertüren für die US-Regierung eingebaut hätten. Dieser H.264-Blob wäre quasi das perfekte Einfallstor für die NSA. Die NSA wäre doof, da nicht sofort aufzuspringen.
Oh und nehmen wir mal an, das wird jetzt der große Erfolg, nach dem es aussieht. Wieso würde das dann beim nächsten Codec nicht genau einen Lizenznehmer geben? Wer sich unter diesen Umständen noch eine Lizenz von denen kauft, ist doch doof! Das muss sich auch die MPEG-Mafia gerade durch den Kopf gehen lassen. Und die einzige Antwort ist, diese Klausel rauszunehmen für die nächsten Codecs.
Ich persönlich halte es daher jetzt für noch wichtiger als bisher, H.264 loszuwerden, und hoffe auf Daala.
Der Typ hinter Ogg Vorbis und Daala sieht das übrigens ziemlich ähnlich.
Auch würden die Europäer massiv Daten eigener Bürger sammeln.Oh yes! Bitte gebt uns da doch noch ein paar mehr Details, liebe NSA! Das wäre ja eine schöne Win-Win-Situation, wenn die NSA jetzt mal in Ruhe ausbreitet, was unsere Regierung noch so an Skeletten im Keller hat.
But Tokyo decided it could not do so because under current legislation, it cannot intercept such communications even if the aim is to prevent a terrorist act.Whoa! Sind die zivilisatorisch dem Rest der Welt so weit voraus?! Beeindruckend!
Die Feinstein ist übrigens ansonsten Chefin des Politarms der Contentmafia und steht für Copyright- und Patent-Laufzeit-Verlängerungen und Kampf gegen Raubkopierer und so weiter. Eine ganz widerliche Person.
Die sollte vielleicht mal ihre Auftraggeber aus Hollywood bitten, Polit-Oscars zu vergeben, denn was da gerade abgeht ist filmreif. Die linke Hälfte der Schmierenschauspieler tut so, als hätten sie nicht gewusst, dass sie abgehört werden, und die rechte Hälfte tut so, als hätten sie nicht gewusst, dass sie abhören lassen. Der Reagan hatte wenigstens Berufserfahrung!
Update: Oops, falscher Link.
Dort [in Washington] will eine deutsche Geheimdienstdelegation in den kommenden Tagen Antworten auf die immer neuen Fragen finden, die diese Affäre aufwirft.Aber hey, was erwartet man in einem Land wie dem unseren, wo man Leute wie den Mehdorn für den Hauptstadtflughafen zuständig macht.
Und wenn das nichts fruchtet, dann wird er möglicherweise eine gemeine Expertenbefragung machen müssen. Oder vielleicht einen Ausschuss einberufen? Wie wäre es mit einem Arbeitskreis!
Aber irgendwie erfüllt es mich mit großer Genugtuung, dass die Merkel jetzt mit den selben Hohlphrasen abgespeist wird, mit denen sie sonst uns abspeist.
Ich freu mich schon darauf, dass der Clapper den NSA-Skandal für beendet erklärt.
Oh und die Presse hat entdeckt, dass Obamas Schnüffelprogramm mit Ansage war :-)
Im Juli 2008 versprach Obama, es werde eine Ära anbrechen, in der „Verbündete einander zuhören werden“Na seht ihr! Da kann doch keiner sagen, das sei total überraschend jetzt!1!!
Der Special Collection Service unterhält in der Berliner Botschaft der USA am Pariser Platz eine nicht legal angemeldete Spionagedependance. Dort überwachen Mitarbeiter der NSA und der CIA mit modernen Hochleistungsantennen Kommunikation im Regierungsviertel.Bitte was? Es gibt ein Formular, um sich amtlich als "Spionagedependance" anzumelden!? Wo kriegt man das her? Da brauchen wir für den 30C3 mal ein paar von als Deko!
Often left out of this conversation, though, is the massive private surveillance industry that provides services to law enforcement, defense agencies and corporations in the U.S. and abroad – a sprawling constellation of companies and municipalities. "It's a circle where everyone [in these industries] is benefitting," says Eric King, lead researcher of watchdog group Privacy International. "Everyone gets more powerful, and richer."
In some cases, one part of the cooperating government may know about the collaboration while others — such as the foreign ministry — may not, the officials said. The documents, if disclosed, could compromise operations, officials said.Mit anderen Worten: Die Amis machen sich jetzt Sorgen, dass die Regierungen gar nicht von ihren Handlern bei den Geheimdiensten gebrieft wurden, dass es da eine Zusammenarbeit gibt. Und befürchten jetzt, dass das peinlich werden könnte, wenn Regierungen aus der Zeitung erfahren, was ihre Vorgesetzten bei den Geheimdiensten hinter ihrem Rücken so für schattige Deals gemacht haben.
In dem Papier heißt es laut "Le Monde" allerdings, dass die israelischen Geheimdienste Mossad und ISNU von der NSA "bewusst" nicht gefragt worden seien.HARR HARR HARR
Die Bundesregierung ist der Meinung, die NSA-Affäre sei "niemals für beendet" erklärt worden. Das erklärte der Vize-Regierungssprecher Georg Streiter und sorgte damit für Erheiterung in der Bundespressekonferenz.m(
According to Matzzie, Hayden was on a call with reporters and was speaking under the condition of anonymity, intending to be cited only as "a former senior administration official."Man würde denken, dass gerade der eigentlich das besser wissen müsste.Und zu guter Letzt hat er den NSA-Typ auch noch gefragt, ob er ein Foto mit ihm machen darf. Großartig.
Der NSA-Skandal sei nicht neu für Europa. "Aber da Angela Merkel jetzt persönlich betroffen ist, hat die Affäre plötzlich ein spektakuläres Ausmaß angenommen."HARR HARR HARR
The sharpness of the German complaint direct to an American president strongly suggested that Berlin had no doubt about the grounds for protest. Seibert voiced irritation that the Germans had waited for months for proper answers from Washington to Berlin on the NSA operations.Außerdem ist es natürlich eine wunderbare Ironie, dass die Amis ausgerechnet die Merkel-Junta, die Weltmeister des überspezifischen Dementis, wenn man mit der Hand in der Brieftasche von jemand anderem erwischt wird, mit einem ebensolchen abzuspeisen versucht haben. Die haben den Braten natürlich umgehend gerochen.
But Berlin promptly signalled that the rebuttal referred to the present and the future and did not deny that Merkel's communications had been monitored in the past.HARR HARR HARR
Der Datentransfer soll so lange ausgesetzt bleiben, bis das Weiße Haus Berichte über den Missbrauch der Daten widerlegt hat oder solche illegalen Aktivitäten aufgibt.Wie sollten die USA das denn widerlegen? Den Serienlügner Clapper schicken? Den haben sie ja gerade erst wieder aus der Puppenkiste geholt, damit er die Frankreich-Spionagevorwürfe leugnet. Schade nur, dass der seine Glaubwürdigkeit verspielt hat seit dieser Geschichte im Senat.
Lacher am Rande: Merkel beschwert sich bei Obama, dass die Amis ihr Handy abgehört haben. DA HÖRT DER SPASS AUF!1!! 80 Millionen Deutsche, kein Thema, kann man mal verzeihen, aber MEIN HANDY!?!? Da ist die Grenze überschritten!1!!
However, intelligence agencies moved slower than non-spy government units when it came to installing anti-leak software, the news agency reported.HAHAHAHA
Jetzt stellt sich natürlich sofort die offensichtliche Frage, ob da die NSA ihre Finger im Spiel hatte. Denkbar wäre das. Der erste Cipher auf der Liste sollte am besten etwas starkes sein, z.B. AES256, einen ordentlichen Hash verwenden, z.B. SHA256, und Perfect Forward Secrecy erlauben. Ob man jetzt außenrum RSA oder elliptische Kurven spricht, das ist im Moment im Wesentlichen eine Glaubensfrage. Leider spricht Firefox immer noch nicht TLS 1.2 (obwohl ihre Krypto-Library NSS das inzwischen partiell unterstützt), und kann immer noch nichts stärkeres als SHA-1. :-(
Inhaltlich geht es natürlich um die NSA, aber wir haben uns gedacht, wir sollten da nicht bloß "HAHA HABEN WIR JA GLEICH GESAGT" bringen, sondern die Gelegenheit für einen Überblick über die Geschichte von Abhören und Verschlüsselung und Brechen von Verschlüsselung nutzen.
Übrigens hat Chrome in der Zwischenzeit Support für Opus eingebaut, aber es ist nicht standardmäßig aktiviert. Öffnet mal ein Tab mit "about:flags" und sucht da nach Opus. Wenn ihr das anschaltet, reduziert sich die Downloadgröße deutlich.
Die Sendung ist mit fast drei Stunden recht lang geworden. Wir fanden, dass wir nach der langen Pause lieber eine etwas längere Sendung machen sollten als eine normal lange. Es gibt ja auch viel zu sagen zu dem Thema.
Viel Spaß beim Anhören!
One project official described the electrical troubles—so-called arc fault failures—as "a flash of lightning inside a 2-foot box." These failures create fiery explosions, melt metal and cause circuits to fail, the official said.
Aber der wichtigste Hinweis bisher ist, dass sie so auch diesen lästigen Feigenblatt-"Aufklärungs"-Ausschuss zum NSA-Skandal auf Eis gelegt haben. Die Krönung überhaupt war ja, dass der Clapper sich ernsthaft vor die Kameras stellte und was von Nationaler Sicherheit faselte. Durch die Schließung stünden so viele Regierungsmitarbeiter plötzlich ohne Geld da, dass das eine perfekte Flanke für Bestechungsversuche aus dem Ausland öffne!1!!
Umfagen zufolge sind die Republikaner gerade fett am Abstürzen. Das sind allerdings Umfragen von Demokraten-nahen Organisationen. Mal gucken, wann da belastbare Zahlen kommen.
Update: Mit Metadaten ist hier eine Trafficanalyse gemeint.
Die gute Nachricht: Das ist alles weitgehend wie angenommen. An Tor selbst haben sie sich bisher die Zähne ausgebissen, bezeichnen es als "very secure" und bringen Sprüche wie
- We will never be able to de-anonymize all Tor users all the time.
- With manual analysis we can de-anonymize a very small fraction of Tor users, however, no success de-anonymizing a user in response to a TOPI request/on demand
Auch an Firefox haben sie sich weitgehend die Zähne ausgebissen, das hat mich auch gewundert. Firefox ist keine besonders tolle Codebasis. Da haben sie offenbar echt geknabbert, bis sie einen funktionierenden Exploit hatten. Ich habe da gerade keine Theorie zu. Das deckt sich nicht mit den Annahmen über die Fähigkeiten der NSA. Das hätte für die kein Problem sein sollen, wenn die wirklich alle verfügbaren Exploits mitnehmen.
Andere Aspekte wurden voll bestätigt, z.B. dass GCHQ Tor-Nodes betreibt.
Sie haben auch den von mir angesprochenen Weg probiert, nämlich aus ihren Packet Traces am Ziel und an möglichen Quellen die Pakete zu korrelieren. Das ist die Achillesferse von Tor, weil das ja für interaktives Webklicken gedacht ist, daher sind da keine größeren Verzögerungen zum zeitlichen Entkoppeln möglich. Aber offensichtlich reichen die kleinen Jitter schon, die Tor einbaut. Hier ist der Stand laut der Guardian-Folien:
Current: GCHQ has working version (QUICKANT). R has alpha tested NSA's version. NSA's version produced no obvious candidate selectors.Meine früheren Überlegungen zu Tor sind hier.
Ein Highlight aus dem 2. Teil der Tor-Folien ist auch, dass sie da erstaunt schreiben, das Tor-Projekt sähe ja immer noch China und Iran als Haupt-Gegner. Um dann konsterniert festzustellen, dass die Änderungen an Tor, um dem iranischen Zensurfilter zu entgehen, auch ihre nicht sonderlich überzeugenden Detektions-Filter kaputtgemacht haben :-)
We're sorry, but we will not be tweeting or responding to @ replies during the government #shutdown.Mir tun ja die Satiriker leid. Die Abgeordneten, die an dem Shutdown Schuld sind, werden natürlich weiterbezahlt. Ich vermute mal, dass die NSA auch nicht betroffen sein wird.CNN hat eine Liste, was da gerade alles runterfährt. Kurzzusammenfassung: Wer gerade ein paar Chemieabfälle unauffällig dumpen will, oder an der Börse ein paar schattige Deals durchführen will, für den ist das die perfekte Gelegenheit jetzt. Hier gibt es auch eine Aufschlüsselung für das Department of Homeland Security, was die so für essentiell halten und was nicht. Es wäre offenbar auch ein guter Zeitpunkt für Bürgerrechtsverletzungen gerade.
Asked by Udall whether it was the NSA's aim to collect the records of all Americans, Alexander replied: "I believe it is in the nation's best interest to put all the phone records into a lockbox – yes."
Das mit Nairobi ist aber ein Eigentor, wenn man sich die Lage genauer anguckt. Die Amerikaner und Israel hatten nämlich dem Präsidenten von Kenia versprochen, ihn vor Anschlägen zu warnen. Mit anderen Worten: Die NSA hat genau das versprochen und nicht halten können, was sie jetzt für Amerika versprechen, als ob sie es dort halten könnten. Dass Schnüffelprogramme Terroranschläge verhindern können.
Dabei wissen wir ja schon seit dem Anschlag auf den Bostoner Marathon, dass das Bullshit ist. Aber dass der NSA-Boss da ausgerechnet Nairobi zitiert, das ist schon bizarr.
Oh und die NSA wusste auch vorher vom Mauerbau aber hat niemanden informiert. Warum auch. Das ist ein Geheimdienst! Natürlich sind deren Erkenntnisse dann geheim, wo kämen wir da hin, wenn die das einfach so rumerzählen würden!
Täglich würden derartig viele Taschen und Koffer, die einfach vergessen worden waren, bei den Fundbüros der U-Bahn abgeben, dass es völlig sinnlos sei, dies als Alarmsituation für ein automatisiertes System zu definieren.Ja und warum machen wir es dann?
Die Frage, wer angesichts solcher Faktoren denn die Überwachungsspirale immer weiterdrehe, beantwortete Kreissl eindeutig: "Es sind die Hersteller des Equipments. Die Überwachungsindustrie hält die Politiker hier in Geiselhaft."Geiselhaft finde ich jetzt zu hart formuliert, denn die haben ja nichts, womit sie die Politiker erpressen können. Die nutzen halt den perfekten Sturm aus Inkompetenz, Ignoranz und kurzfristigem PR-Moment-Erheischen in der Politik aus.
Und als weiteren Höhepunkt zitieren sie einen Ex-Microsoft-Datenschutzfuzzy, der folgendes zu Protokoll gibt:
Die für schwere Datenschutzverstöße momentan im Entwurf vorgesehenen Höchststrafe von zwei Prozent des Umsatzes eines Großkonzerns müssten verzehnfacht werden, sagte Bowden. Die während seiner Zeit bei Microsoft von der EU verhängten Kartellstrafen im unteren Milliardenbereich habe man nämlich aus der Portokasse bezahlt. Die jahrelange Beibehaltung dieser inkriminierten Geschäftspraktiken sei einfach profitabler gewesen, weil sie das Strafmaß weit übertrafen, so der Experte abschließend.
It has been discouraging to see how our Agency frequently has been portrayed in the news as more of a rogue element than a national treasure.National Treasure! Na dann ist ja jetzt geklärt, wo das Realitätsverzerrungsfeld von Steve Jobs jetzt hin ist.
Aber jetzt wird die Story gerade spannend, denn der Vupen-Chef fühlt sich unfair herausgepickt und liefert die Namen seiner möglicherweise weniger bekannten Konkurrenten, mit der Aufforderungen, doch auch mal über die FOIA-Anfragen zu stellen. *Händereib* Da können wir nur alle bei gewinnen, wenn da mal ein bisschen Licht ins Dunkel kommt :-)
Das Internet sei «durch und durch amerikanisch», meint der ehemalige CIA- und NSA-Chef Michael Hayden. Deshalb habe das Land auch das Recht, sich eine Kopie zu ziehen.Na dann ist ja alles klar. (Danke, Martin)
With government certifications this broken, the NSA may not need backdoorsHihi (Danke, Jens)
Die schlechte: RSA BSAFE benutzt das als Default-RNG. Und nicht nur die, NIST hat eine Liste. Cisco, Apple, Juniper, McAfee, Blackberry, … bei den meisten wird das allerdings nicht Default sein.
Die gute Nachricht: BSAFE wird von keiner freien Software eingesetzt. Wenn ihr also Firefox unter Linux einsetzt, seid ihr sicher.
Ich bin mir gerade nicht sicher, wie das unter Windows ist. Da gibt es ein TLS vom System namens "SChannel". Das wird meines Wissens u.a. von IE und Chrome verwendet. Benutzt der BSAFE? Vermutlich. Es gab mal eine Zeit, da konnte man RSA und co gar nicht ohne BSAFE legal einsetzen in den USA, aus Patentgründen. Das müsste mal jemand herausfinden, wie das ist, und ob Windows den NSA-RNG einsetzt.
OpenSSL ist auch auf der Liste, aber die haben schon angesagt, dass sie das nur implementiert haben, weil ihnen jemand dafür Geld gegeben hat, und das ist nur an, wenn man den FIPS-Modus aktiviert, von dem sie im Übrigen dringend abraten und was nicht der Default ist.
Sollte das Programm in den Regelbetrieb gehen, hat sich das BfV den Unterlagen zufolge verpflichtet, alle Erkenntnisse mit der NSA zu teilen. Das hatte der Präsident des Bundesamtes, Hans-Georg Maaßen, seinen US-Kollegen bei zwei Besuchen im Januar und Mai diesen Jahres zugesichert.Auflösen. Jetzt.
Man muss ihm das nachsehen. Oder erweckt der Mann auf irgendjemanden den Eindruck, er bewege sich sicher in dem Zahlenraum über 100?
Die Grundthese ist, dass Ingenieuere und Erfinder nur bauen können, was sie sich vorstellen können, und Star Trek als einzige halbwegs realistische und positive Zukunftsvision in der Kindheit der aktuell das Szepter in der Hand habenden Generation im Silicon Valley in deren Kindheit im Fernsehen lief und die alle geprägt hat.
Wenn man verstehen will, warum Leute Dinge tun, ist der beste Weg immer, deren Selbstbild zu verstehen. Im Allgemeinen tun Leute schlechte Dinge ja nicht, weil sie schon immer mal ein Supervillain aus dem Comic sein wollen, sondern weil sie sich in ihrer Selbstwahrnehmung als Helden sehen, die tun, was getan werden muss, oder gar was aus ihrer Sicht das Richtige ist, und der Rest der Welt weiß es nur noch nicht. Der Widerspruch zwischen "wir sammeln alle Daten" und "don't be evil" ist einer der erstaunlichsten Widersprüche dieser Art, wie ich finde, und der lässt sich mit der Star-Trek-Theorie erklären.
Update: Ich muss mich hier gerade von meinen Freunden beschimpfen lassen, dass ich da zu wenig Meinung drin hatte und zu viel Gedankengänge dem Publikum überlassen habe. Insbesondere hätte ich sagen sollen, dass die Welt nicht wie bei Star Trek ist, und es keinen Captain Picard gibt, sondern nur so Leute wie General Alexander und Sergei Brin. Dass wir jetzt die schlechteste aller Welten haben, indem wir die Star Trek Tech gebaut haben, ohne den Captain Picard an der Konsole sitzen zu haben.
Ich schrieb das nicht explizit in den Artikel, weil ich es a) für offensichtliche Schlussfolgerungen hielt, die besser wirken, wenn das Publikum selber drauf kommt, und b) ich den Artikel so neutral wie möglich halten wollte, für Bashing einzelner Personen oder Personengruppen ist mein Blog zuständig. Es hat mich aber gefreut, dass jemand die Referenz auf Section 31 erkannt hat.
Ein bisschen unglücklich ist gelaufen, dass die Captain Kirk in den Titel getan haben statt Captain Picard, wie es gemeint war. Ich schiebe das mal auf den Generationsunterschied zwischen mir und den Redakteuren bei der FAZ :-)
Update: Reason ist übrigens ein radikales Freimarkt-Libertären-Schmierblatt, und die Oathkeeper sind keine linke Gutmenschen-Truppe.
Der Punkt ist jedenfalls, dass es nicht nur eine solche Kurve gibt, sondern sehr viele. Um Kryptographie zu machen, einigt man sich daher vorher auf eine davon. Und hier kommt das Problem. Das wichtigste Standardisierungsgremium für diese Kurven ist NIST, und die sagen offen an, dass ihre Kurven von der NSA kommen. Überhaupt empfiehlt die NSA seit vielen Jahren offen elliptische Kurven. Alleine deshalb trauen viele elliptischen Kurven nicht.
Wenn man Krypto-Verfahren designed, und da tauchen Konstanten auf, wie z.B. bei den S-Boxen (einem internen Substitutionsschritt), dann kann man da entweder irgendwelche Zahlen reinschreiben, und behaupten, die seien zufällig gewählt, oder man kann absichtlich unzufällige Zahlen nehmen, wie z.B. die ersten Ziffern von Pi oder von der Wurzel von 2 oder sowas. Üblicherweise macht man letzteres. Das Konzept nennt sich Nothing up my sleeve number :-) Die NSA-Kurven machen ersteres. Daher liegt die Vermutung nahe, dass die NSA da solange Kurven ausprobiert hat, bis sie eine gefunden hat, die "leichter knackbar ist", nach einem Verfahren, das außer ihnen niemand kennt. Und genau diese Vermutung macht jetzt die Runde.
Der Vollständigkeit halber sei gesagt, dass die Kryptographen natürlich schon länger gemerkt haben, dass da möglicherweise was schlecht riecht. Man kann das z.B. in diesen Folien hier sehen, die sind von vor Snowden.
Sind elliptische Kurven jetzt vergiftet? Ich kenne mich da nicht genug aus, um das tatsächlich selbst beurteilen zu können. Daher vertraue ich da im Zweifelsfall Dan Bernstein, der hält die Verfahren selbst für gut, und traut nur den Kurven der Dienste nicht.
Update: Ein bisschen Kontext gibt es bei diesem Thread.
Incredibly, intelligence officials said today that no one at the NSA fully understood how its own surveillance system worked at the time so they could not adequately explain it to the court.Zufall? Aber nicht doch! "Intelligent" Design!the NSA's surveillance apparatus, for years, was so complex and compartmentalized that no single person could comprehend it.Die trauen sich ja auch innerhalb der NSA gegenseitig nicht über den Weg. Dementsprechend sind dann natürlich auch Anforderungen von außen nicht oder nur partiell erfüllbar. Z.B. die Anforderung, dass man für das Abhören von Amerikanern in der Lage sein muss, ein paar Verdachtsmomente angemessen artikulieren zu können. Das fand jedenfalls das Geheimgericht. Offensichtlich hatten die Richter da doch noch sowas wie Selbstwertgefühl übrig.The court had told the NSA they were only allowed to query numbers that had "reasonable articulable suspicion (RAS)" of being involved in terrorism.Und wie viele Verdachtsmomente konnte die NSA artikulieren?Apparently, out of the more than 17,000 numbers on this list in 2009, the NSA only had RAS for 1,800 of them.So um die 10%.
Now, just more specifically, then, on Brazil and Mexico. I said that I would look into the allegations. I mean, part of the problem here is we get these through the press and then I've got to go back and find out what’s going on with respect to these particular allegations — I don’t subscribe to all these newspapers, although I think the NSA does — now at least.Der arme Pressesprecher Obama wird immer auf dem falschen Fuß erwischt mit irgendwelchen Veröffentlichungen, die der bis dahin vertretenen Parteilinie widersprechen, und dann muss er zum Herrchen laufen und fragen, mit welchen Soundbites er darauf reagieren soll.
Update: Übrigens, falls jemand die Referenz nicht kennt: Casablanca.
We collect this information for many important reasons: for one, it could provide the United States and our allies early warning of international financial crises which could negatively impact the global economy. It also could provide insight into other countries' economic policy or behavior which could affect global markets.Und wie das so ist, da braucht man doch offensichtlich einen gutmütigen allwissenden Diktator! Jemanden wie, … die NSA! (Danke, Mathias)
Dieses Problem betrifft die ganzen MIPS-Linux-basierten Plastikrouter da draußen. SSL oder VPN oder so besser lieber nicht damit machen.
Update: Und die WLAN-APs natürlich, das fasste ich mal unter Plastikrouter zusammen.
The Obama administration secretly won permission from a surveillance court in 2011 to reverse restrictions on the National Security Agency’s use of intercepted phone calls and e-mails[…]
In addition, the court extended the length of time that the NSA is allowed to retain intercepted U.S. communications from five years to six years — and more under special circumstances
Weitergehen, hier gibt es nichts zu sehen!
Jedenfalls sind die Amerikaner schockiert und entsetzt, dass jemand sie beschnüffeln würde und hat eine scharfe Protestnote geschickt :-)
Übrigens, cooles Projekt dazu: Fotos von Botschaftsantennen, aus Streeview extrahiert.
Ich frage mich ja, ob die eigentlich merken, wie sehr sie den Wirtschaftsstandort USA in Verruf gebracht haben mit ihrem Geschnüffel.
Er gibt mir keine Daten her. Er muss mir die Daten geben. Geh’ hol mir einen Funkwagen her bitte. Mein Handy ist leer, und das Funkgerät ist auch vor zwei Minuten leer geworden.
Erstens: "Known Plaintext" heißt die Angriffsart, bei der der Angreifer sowohl den Klartext als auch die verschlüsselten Daten hat und daraus den Schlüssel errechnen will. Intuitiv würde man denken, dass das total einfach sein muss, dann den Schlüssel zu errechnen. Bei antiken Verfahren ist das auch so, bei modernen nicht. Die von Truecrypt verwendeten Verfahren haben allesamt die Eigenschaft, dass bei ihrem Design darauf geachtet wurde, dass das nicht signifikant leichter geht, als mögliche Schlüssel durchzuprobieren.
Dann: Durchprobieren. Die Kryptographie geht schon immer davon aus, dass der Gegenüber über unbegrenzte Geld- und Material-Möglichkeiten verfügt und über das beste Know-How, das es auf der Welt gibt. Überspitzt gesagt, ist das Modell des Gegenübers, vor dem wir uns mit Kryptographie schützen wollen, die NSA. Schon immer. Unter der Annahme, dass sie Roswell-Technologie reverse engineered und im Einsatz haben. Verfahren werden grundsätzlich mit so großen Sicherheits-Margen versehen, dass selbst unter pessimistischsten Annahmen (und Kryptographien sind ausgesprochen pessimistisch, wenn es um die NSA geht) noch genug Raum für ein paar Jahrzehnte stetig schneller werdende Hardware drin ist. Die NSA hat über die Jahre mehrere Anläufe genommen, um Krypto-Standards mitzudefinieren. Weil allen anderen Beteiligten völlig klar ist, was die Kernaufgabe der NSA ist, traut denen grundsätzlich genau niemand über den Weg. Man lässt die dann ihren Standard machen, aber niemand benutzt ihn. Die Angriffe, über die man beim Diskutieren von Verfahren redet, sind daher nicht in der Liga "das wäre aber sehr teuer" sondern in der Liga "das würde so lange dauern, dass die Erde vorher in die Sonne stürzen wird". Hier rechnet das mal jemand für 256-Bit-Schlüssel aus.
Es hat sich daher aus meiner Sicht nichts geändert bei der Kryptographie. Wo sich etwas geändert hat, ist bei der Frage, wo man seine Krypto-Software eigentlich her hat, und ob man dem trauen kann. Aus meiner Sicht ist es jetzt an der Zeit, dass sich mal die Hacker der Welt zusammen tun, und in aller Ruhe und mit größter Sorgfalt die ganze Krypto-Software da draußen auditieren. Eine wirklich gute Hintertür sieht man bei einem Audit auch nicht notwendigerweise, aber wann soll man sowas denn bitte in Angriff nehmen wenn nicht jetzt? Ich für meinen Teil habe mir ja seit einigen Jahren vorgenommen, mal eine SSL-Library zu schreiben. Einen X.509-Parser habe ich schon, aber die ganzen Cipher und so noch nicht. So viel Arbeit ist das nicht, aber ich bin halt Hacker und kein professioneller Kryptograph und mache mir da natürlich Sorgen, einen subtilen Fehler zu machen, der dann meine Benutzer kompromittieren würde. Das (und die Komplexität der Sache) hat mich bisher davon abgehalten, das mal "einfach zu machen".
Übrigens, falls jemand mal sehen will, wie so NSA-Einflussnahme in der Praxis ausschaut: Dieser Thread hier scheint in der Hinsicht zu liefern. Die Sache mit IPsec ist seit Jahren bekannt, das Paper von Bruce Schneier ist von 2003.
Übrigens, der von der NSA unterwanderte Krypto-Standard, der in der New York Times erwähnt wird, ist wohl Dual EC DRBG.
Update: Übrigens forschen auch seit Jahren schon Leute daran, wie man weiter Daten verschlüsseln kann, wenn Quantencomputing eine Realität wird.
In her witness statement submitted to the British court on Friday, Detective Superintendent Caroline Goode, who said she was in charge of Scotland Yard's Snowden-related investigation, said that among materials officials had seized from Miranda while detaining him was an "external hard drive" containing data encrypted by a system called "True Crypt," which Goode said "renders the material extremely difficult to access."Goode said the hard drive contained around 60 gigabytes of data, "of which only 20 have been accessed to date." She said that she had been advised that the hard drive contains "approximately 58,000 UK documents which are highly classified in nature, to the highest level."
Goode said the process to decode the material was complex and that "so far only 75 documents have been reconstructed since the property was initially received."
Dazu gibt es ein paar Dinge zu sagen. Erstens: Der Weg, wie man Truecrypt angreift, ist dass man Passphrases durchprobiert. Die Komplexität eines Schlüssels ist viel höher als die typische Komplexität einer Passphrase, selbst wenn sich jemand Mühe gibt. Wir reden hier von mehreren Größenordnungen Unterschied. Das ist also schonmal ein Widerspruch zwischen deren Aussage und der Realität. Man greift da nicht einzelne Dateien an.Zweitens: In einem Truecrypt-Volume ist ein Abbild eines Dateisystems. Das ist eine komplexe Datenstruktur. Verschlüsselt wird pro Sektor innerhalb des Images. Der Schlüssel pro Sektor wird aus einem Masterschlüssel errechnet, der sich aus der Passphrase ergibt. Das Verfahren, wie man zu dem Schlüssel für einen Sektor kommt, wenn man den Masterschlüssel hat, ist bekannt, weil der Quellcode von Truecrypt ja offen ist. Die behaupten jetzt also, dass sie die Dateien zählen können. Das ist völlig unglaubwürdig. Wenn sie das könnten, hätten sie den Masterschlüssel, und mit dem könnten sie auch alle Dateien entschlüsseln. Die Frau hat da mit hoher Wahrscheinlichkeit keine Ahnung, wovon sie redet, und hat ein paar Dinge durcheinandergeworfen.
Die NSA hat Supercomputer, die genau mit dem Ziel gebaut wurden, möglichst effizient Passphrases für Truecrypt durchzuprobieren. Das dauert ewig und drei Tage, selbst mit Spezialhardware. Kurz: ich glaube nicht, dass die da überhaupt etwas entschlüsselt haben können in der Zwischenzeit. Wenn, dann nur weil sie die Passphrase raten konnten. Und wenn das der Fall wäre, hätten sie damit alles entschlüsseln können.
Ich bin jetzt kein Experte darin, wie Truecrypt intern funktioniert. Vielleicht ist es ja besonders schwierig, von einem Sektor-Schlüssel zum Masterschlüssel zurückzurechnen. Müsste mal jemand nachgucken, wie die das intern machen. Aber das ist normalerweise nicht der Angriffsweg bei sowas, wieso würde man da also besondere Schritte unternehmen, um das schwierig zu machen. Der Punkt ist, dass schon der Schlüssel für den Sektor so groß ist, dass man den nicht realistisch durch Durchprobieren erraten kann.
Ich habe mir in den letzten Tagen angefangen, Sorgen zu machen, dass die NSA dieses ganze Bruhaha für PSYOP nutzt. Wenn sie nur genügend häufig Truecrypt erwähnen und dass sie da Spezialhardware haben, dann kriegen die Leute vielleicht Angst und wechseln zu einem anderen, weniger sicheren System. Solange da nicht noch weitere, krasse Details rauskommen, würde ich Truecrypt weiterhin für so sicher halten, wie eure Passphrase halt ist. Wenn die kurz oder ratbar ist, dann bringt natürlich die tollste Verschlüsselung nichts.
"We believe NSA has not lost any credibility as a neutral arbiter and technical capability adviser. We continue to partner with federal organizations, private industry and academia," NSA spokeswoman Vanee Vines said.Gut, welche Glaubwürdigkeit, könnte man da jetzt fragen. So meinten die das aber nicht, glaube ich.
Since I started working with Snowden's documents, I have been using GPG, Silent Circle, Tails, OTR, TrueCrypt, BleachBit, and a few other things I'm not going to write about. There's an undocumented encryption feature in my Password Safe program from the command line); I've been using that as well.PAAAAAANIK!
The document reveals that the agency has capabilities against widely used online protocols, such as HTTPS, voice-over-IP and Secure Sockets Layer (SSL), used to protect online shopping and banking.Und auch eine andere Verschwörungstheorie wird endlich bestätigt.A more general NSA classification guide reveals more detail on the agency's deep partnerships with industry, and its ability to modify products. It cautions analysts that two facts must remain top secret: that NSA makes modifications to commercial encryption software and devices "to make them exploitable", and that NSA "obtains cryptographic details of commercial cryptographic information security systems through industry relationships".
Auf der anderen Seite haben sie das so getimed, dass noch Ballmer Schuld ist, nicht der Nachfolger. Das könnte man so deuten, dass sie selber nicht an den Erfolg des Deals glauben.
Und zuletzt saß Nokia auf dem einzigen Mobilfunk-Ökosystem außerhalb des NSA-Zugriffs. Wobei das natürlich auch nicht wirklich sicher ist. Nokia hat ja auch eine Handelspräsenz in den USA, insofern hätten die Amis da einen Hebel gehabt.
Nun, Thomas Oppermann, der für die SPD im Geheimdienstkontrollgremium sitzt, hat mal ein Foto getweetet. Keine weiteren Fragen, Euer Ehren. (Danke, Sven)
Die Folien dazu sind auch sehr spannend, besonders Folie 5, "Unique Project Features". Bei Folie 6 geht die Furcht vor dem Projekt dann ein bisschen zurück, als sie beschreiben, dass sie da Word-Attachments herummailen :-)
But the document shows that 21 percent of the intelligence budget — around $11 billion — is dedicated to the Consolidated Cryptologic Program that staffs 35,000 employees in the NSA and the armed forces.Das "Intelligence Budget" insgesamt beträgt 52.6 Milliarden Dollar. Zum Vergleich: Das ist rund ein Sechstel des Bruttoinlandsproduktes von Griechenland. Der Haushalt von Griechenland beträgt ca 150 Milliarden Dollar.Money Quote aus den Unterlagen:
“Also,” Clapper writes in a line marked “top secret,” “we are investing in groundbreaking cryptanalytic capabilities to defeat adversarial cryptography and exploit internet traffic.”Unerwartet war auch, dass die NSA rund 10 Milliarden kriegt, aber die CIA fast 15 Milliarden. Die Annahme war bisher immer, dass die NSA der größte Laden ist. Ein weiteres Money Quote ist:counterintelligence operations “are strategically focused against [the] priority targets of China, Russia, Iran, Cuba and Israel.”Die Prioritätsziele für Spionageabwehr sind … Iran, Kuba und Israel?!
“The damage, on a scale of 1 to 10, is a 12,” said a former intelligence official.
Hans-Georg Maaßen, Präsident des Bundesamts für Verfassungsschutz, weist im Zusammenhang mit der NSA-Affäre laut gewordene Wirtschaftsspionage-Vorwürfe gegen die USA und Großbritannien zurück.Aha. Soso. Aus dem Osten? Wie damals mit dem ICE und dem TGV? Oh, der andere Osten! Enercon?[…]
Tatsächlich wurde bis zum heutigen Tage in ganz Europa kein einziger Fall amerikanischer oder britischer Wirtschaftsspionage nachgewiesen."
Regiert wird das Land von einem Diktator, der im Westen Medizin studiert hat. Er war Chef der Computer Society und war Internet-Vorreiter in Syrien. Will sagen: Der ist nicht doof, der hat gesehen, wie Medien funktionieren, und der hält sich im Internet auf. Der muss wissen, was die Welt von ihm und seinem Regime hält. Und der muss die NSA-Geschichte gesehen haben. Der hat live beobachten können, wie das damals mit dem Irak-Krieg losging mit den angeblichen Inkubator-Babies. Und DER soll jetzt Chemiewaffen gegen seine eigene Bevölkerung eingesetzt haben? Dass da Chemiewaffen eingesetzt wurden, erscheint ziemlich klar, aber was hat denn Assad dabei zu gewinnen? Bzw in welchem Szenario hat der damit etwas anderes als massive Verluste zu erwarten?
Das erscheint mir alles ausgesprochen unglaubwürdig, was da gerade abläuft.
Auch die Geschichten mit den Uno-Beobachtern ist so ein Ding. Ich finde es ja alleine schon grotesk, dass ausgerechnet die USA es wagen, überhaupt den Mund aufzumachen beim Thema Chemiewaffen und Uno-Inspektoren. Aber hey, ignorieren wir das mal. Syrien lässt also Inspektoren rein. Und beschießt sie dann mit Scharfschützen. Ergibt das für irgendjemanden auch nur den Hauch eines Sinns? Für mich nicht.
Dann stellt sich natürlich die Frage, ob man den Rebellen zutrauen kann, diese ganze Geschichte zu inszenieren. Das kann ich nicht einschätzen. Aber ganz ohne Hilfe ausländischer Geheimdienste werden die nicht auskommen müssen.
Oh und sie unterhalten Schnüffelprogramme aus den US-Botschaften. NEIN! DOCH! OH!
GRAYSON: It's possible - one of my colleagues asked the NSA point blank will you give me a copy of my own record and the NSA said no, we won't. They didn't say no we don't have one. They said no we won't. So that's possible.Und damit ist klar, wie es kommen konnte, dass das Budget der NSA-Programme nicht weggestrichen wurde. Und der Meister am Hebel ist offenbar dieser General Alexander, der auch auf der Blackhat sprach.“We jokingly referred to him as Emperor Alexander—with good cause, because whatever Keith wants, Keith gets,” says one former senior CIA official who agreed to speak on condition of anonymity. “We would sit back literally in awe of what he was able to get from Congress, from the White House, and at the expense of everybody else.”
The recent acting head of the CIA, Michael Morell, will be among what President Obama called a “high-level group of outside experts” scrutinizing the controversial programs.Joining Morell on the panel will be former White House officials Richard Clarke, Cass Sunstein and Peter Swire.
Der CIA-Chef soll für Transparenz und Aufklärung sorgen. Der Mann war am 11. September 2001 derjenige, der Bush gebrieft hat. Ein echter Sieger-Typ also.Oh, und Richard Clarke, nach dem haben wir beim Fnord-Jahresrückblick einen Award benannt. Der Dick Clarke Award für Cyber-Bullshitting. Auch ein echter Sieger-Typ, der Mann.
Was ist mit dem nächten? Cass Sunstein? Nun, den hatten wir hier auch schon mal im Blog. Er schlug damals vor, die Regierung solle V-Leute schicken, um Verschwörungstheoretiker-Gruppen verdeckt zu infiltrieren. Genau die Art von Person will man doch haben auf so einem Posten!
Peter Swire, der vierte im Bunde, scheint da das Privatsphäre-Feigenblatt zu sein.
Schon die Selbstbeschreibung ist großartig.
Created at the direction of the President of the United States, IC ON THE RECORD provides immediate, ongoing and direct access to factual information related to the lawful foreign surveillance activities carried out by the U.S. Intelligence Community."factual information related to" ist ja an sich schon großartig. Und dann dieses "lawful" da! Harrharrharr
The system has the capacity to reach roughly 75% of all U.S. Internet traffic in the hunt for foreign intelligenceDas ist wieder eine von diesen "geahnt haben wir es schon länger"-Dingern. Wissen konnte man das seit 2006, as Scott Marcus "Room 641A" aufgedeckt hat. In diesem Blog stand es im April 2006. Neu ist, dass wir jetzt die Namen der NSA-Programme kennen: Blarney, Fairview, Oakstar, Lithium und Stormbrew.
Was mich aber an der ganzen Affäre besonders freut, ist dass der Guardian die Berichterstattung demonstrativ von anderen Journalisten als Greenwald selber machen lässt. Wer da jetzt alles an Reportern aus dem Unterholz kommt, die vorher noch nicht so an der Story dran waren. Ich glaube ja, das war irgendein kleiner homophober Neanderthaler, der das angeordnet hat, und der kann jetzt gar nicht fassen, wie sie mit der Aktion der Gegenseite Sympathien zuspielen. Auch dieses Bild, das der Guardian da immer drantut, an die Geschichte, mit den glücklich und zufrieden aussehenden Männern, das ist ganz großes Kino. Erinnert ein bisschen an dieses Bild hier. An der Stelle stellt sich die Frage nicht mehr, welche Seite da im Recht ist.
Mit drastischen Worten haben dagegen die Publizisten Hans Magnus Enzensberger und Frank Schirrmacher in der ARD auf die Bedeutung der NSA-Überwachungsaffäre hingewiesen. Auf die Frage, ob Edward Snowden ein Verräter sei, erklärte Enzensberger "solche Leute sind wahrscheinlich die Helden des 21. Jahrhunderts". Es sei inzwischen klar, dass wir die Demokratie bereits verlassen haben und "in einem postdemokratischen System" leben.*Strike*!
Ja haben die denn das Memo nicht gekriegt? Unsere Bahn ist doch schon von unserer Politik in Grund und Boden gewirtschaftet worden! Und das nachhaltiger, als es irgendwelche Terroristen je könnten. Und wir haben sogar einen Buhmann, den Mehdorn!
Update: Es fällt auf, dass das Terrorpanikzentrum jetzt mit der "Bild" zusammenarbeitet und nicht mehr wie früher mit dem ehemaligen Nachrichtenmagazin. Nanu? War das so ein Einschnitt, dass der Mascolo weg ist? Oder ist das eher ein "BKA mit Spon, NSA mit Bild" Ding?
Die New York Times berichtet über ein Verhältnis von 100 fehlerhaften zu 20 Millionen Anfragen an die NSA-Datenbanken pro Monat.Seht ihr? 20 Millionen pro Monat! Da muss man doch mal die Kirche im Dorf lassen. Wenn da nur 100 daneben gehen, dann ist das doch eine tolle Quote!1!!
Update: Glenn ist ziemlich schlecht gelaunt jetzt und weist darauf hin:
It's bad enough to prosecute and imprison sources. It's worse still to imprison journalists who report the truth. But to start detaining the family members and loved ones of journalists is simply despotic. Even the Mafia had ethical rules against targeting the family members of people they felt threatened by.
Congress did a review of this program over a four-year period, the Senate Select Committee on Intelligence. And over that four-year period, they found no willful or knowledgeable violations of the law or the intent of the law in this program.More specifically, they found no one at NSA had ever gone outside the boundaries of what we’ve been given. That’s the fact. What you’re hearing, what you’re seeing, what people are saying is, well, they could. The fact is they don’t. And if they did, our auditing tools would detect them, and they would be held accountable.
Ich erwähne das nur noch mal explizit, weil ja heute das hier rausgekommen ist. Nur falls mal wieder jemand versucht, euch etwas als wahr zu verkaufen, weil ein Geheimdienst etwas zugesagt hat. Jemand wie … unser Innenminister oder die Bundesregierung. Wissenschon. Die Washington Post ist auch leicht irritiert.Ich notier mir das jetzt jedenfalls in meinem Lebenslauf. Mir hat ein Geheimdienstchef persönlich in die Augen geguckt und mich belogen, dass sich die Balken biegen. :-)
The leader of the secret court that is supposed to provide critical oversight of the government’s vast spying programs said that its ability to do so is limited and that it must trust the government to report when it improperly spies on Americans.Also DAMIT konnte ja wohl NIEMAND rechnen!1!! Und ich dachte immer, Geheimdienstkontrolle funktioniert!!1!
Hat es überhaupt jemals irgendwo einen noch offensichtlicher inkompetenten Innenminister gegeben?
DIE SCHMERZEN!
The NSA audit obtained by The Post, dated May 2012, counted 2,776 incidents in the preceding 12 months of unauthorized collection, storage, access to or distribution of legally protected communications.Natürlich großtenteils nicht absichtlich. Denn die NSA-Mitarbeiter, müsst ihr wissen, sind ungeschickt und drücken dauernd auf die falschen Knöpfe. Das kann ja schon mal passieren, oder ein paar tausend Mal.A notable example in 2008 was the interception of a “large number” of calls placed from Washington when a programming error confused the U.S. area code 202 for 20, the international dialing code for Egypt, according to a “quality assurance” review that was not distributed to the NSA’s oversight staff.
Ich vermute mal, dass sie jetzt jemanden wie John Pointdexter nehmen. Oliver North bringt z.B. die nötige Erfahrung mit.
Das ist der Typ, der öffentlich zugeben musste, den Senat angelogen zu haben. Hier ist das Daily Show Segment dazu. JA, DER TYP! DER ist jetzt dafür zuständig, die NSA unabhängig zu untersuchen!!
Und wer sich jetzt denkt, hey, die Amis sind halt so, bei uns wäre das völlig anderes, der hat offensichtlich noch nicht die Pofalla-Statements von heute gehört. Hier könnt ihr sie euch anhören, wenn euer Magen widerstandsfähig genug ist. Ich halte das nur ein paar Sekunden durch, dieser Typ ist echt unfassbar furchtbar. Der und dieser Hintze prägen mein Bild der CDU. Und Wulff.
Das wäre alles viel spaßiger, wenn Pofalla nicht auf dem Papier für die Kontrolle der Geheimdienste zuständig wäre. Stattdessen liest er deren Lügen von einem Blatt Papier ab. Kontrolle? Dass ich nicht lache. Eher Pressesprecher. Krisen-PR.
Und daneben haltet ihr mal diesen Artikel, die Bildunterschrift unter dem zweiten Bild:
Der frühere Kanzleramtschef wollte sich überraschend vor dem Bundestags-Gremium für die Geheimdienste zur Ausspähaffäre äußern. Doch Union und FDP verhinderten seine Aussage.Die liefern sich da einen Triathlon in den Disziplinen Verlogenheit, Unehrlichkeit und Heuchelei. Wer kann das Volk am dreistesten belügen?
Gewinner gibt es keine. Nur Verlierer. Uns.
Nein, wirklich! Was steht da genau drin? Was haben denn die Amerikaner bisher gemacht, was das Abkommen in Zukunft verhindern soll? Das ist alles geheim, Pofalla ließ keine Fragen zu.
Mir fällt gar keine gute Analogie ein, um zu verdeutlichen, was für eine Verarschung das ist. Die tun nicht mal so, als würden sie uns irgendwas konkretes vorschlagen. Das einzige konkrete ist, dass es "Gespräche" geben wird, und zwar im September. Die werden sich dann hinziehen bis nach den Wahlen. Leider wird es bis zu den Wahlen noch keine Ergebnisse geben, und danach ist das ja eh nicht mehr so wichtig. Hauptsache das System Merkel bleibt an der Macht.
Die Lektüre dieses Artikels lohnt sich alleine schon wegen der Entstehungsgeschichte des MI5. Das ging nämlich auf hysterische "DIE DEUTSCHEN SPIONIEREN DIE BRITEN AUS!1!!"-Pamphlete eines verwirrten französischen Romanautors zurück.
Meine Lieblingsszene aus dem Artikel ist, als die Soviets einen ihrer Agenten loswerden wollen. Es geht um einen GCHQ-Mitarbeiter, das ist die SIGINT-Abteilung der Briten, sozusagen deren NSA. Der Mann war pädophil und benutzte seine GCHQ-Zugriffsmöglichkeiten, um herauszufinden, wann welche Kinder alleine zuhause sind, um dann hinzufahren und sie zu vergewaltigen. Den Sowjets war das unheimlich und sie wollten ihn loswerden, also luden sie ihn nach Wien zu einem Treffen ein.
Instead of meeting him secretly as they normally did, the Russians took him openly to the best restaurants where they knew Western intelligence agents would recognise them as KGB agents.But even then noone noticed them - or Prime.
BWAHAHAHAHA
In other news: Die NSA liest den kompletten Internetverkehr Neuseelands mit!
Herzlich willkommen bei der Inquisition, Obama. Das war genau das neue Feature bei der Inquisition. Dass der Angeklagte befragt (und angehört) wurde, bevor man ihn verurteilt hat.
Nobody expects the American inquisition!
Dementsprechend halte ich auch Obamas Ansage, jetzt eine "Transparenz-Webseite" für die NSA einzuführen, für eine Lachnummer.
Und man kann auch nur spekulieren, was sich in Kalifornien für Szenen abgespielt haben müssen. Hier ist ein Indiz. Was zur Hölle soll das werden, ein Aufruf zur Selbstjustiz? Was erwarten die denn, was sie mit so einer landesweiten Alarm-Meldung bewirken? Dass die örtliche NRA-Fraktion losläuft und blaue Nissans kaputtschießt?
Auf der anderen Seite lenkt das natürlich schön von der NSA-Geschichte ab. Wer weiß, vielleicht kommt ja noch eine Meldung, dass der Hinweis auf die NSA zurückgeht, wenn sie das Kind dann retten.
Das Notfallwarnsystem ist auch sonst gelegentlich für ein Kopfschütteln gut.
"Mit XKeyScore kann der BND weder auf NSA-Datenbanken zugreifen, noch hat die NSA Zugriff auf das beim BND eingesetzte System", versicherte der Auslandsgeheimdienst. "Durch den bloßen Einsatz des Programms ist der BND auch nicht Teil eines Netzwerkes der NSA."Nach all den Lügen, glaubt da wirklich jemand, dass wir ihnen das jetzt einfach so glauben?
Das geht dann wohl als die "NSA-Verteidigung" in die Geschichte ein. Aber Herr Richter, ich bin unschuldig, ich habe das ja nicht lange gebunkert sondern gleich weiterverkauft!1!! Taschenspielertrick-Rhetorik.
Members of Congress have been repeatedly thwarted when attempting to learn basic information about the National Security Agency (NSA) and the secret FISA court which authorizes its activities, documents provided by two House members demonstrate.Warum tun die das? Weil Parlamentarier ein Sonderrecht haben. Die können im Parlament so gut wie alles sagen, ohne dafür belangt werden zu können, inklusive Geheimnisverrat. Daher verhindern die Dienste, dass die irgendwas wissen, was sie ausplaudern könnten.
So sieht euch jedenfalls der Ex-NSA-Boss Hayden.
"If and when our government grabs Edward Snowden, and brings him back here to the United States for trial, what does this group do?" said retired air force general Michael Hayden, who from 1999 to 2009 ran the NSA and then the CIA, referring to "nihilists, anarchists, activists, Lulzsec, Anonymous, twentysomethings who haven't talked to the opposite sex in five or six years"."They may want to come after the US government, but frankly, you know, the dot-mil stuff is about the hardest target in the United States," Hayden said, using a shorthand for US military networks. "So if they can't create great harm to dot-mil, who are they going after? Who for them are the World Trade Centers? The World Trade Centers, as they were for al-Qaida."
Im Übrigen bestätigte er die Snowden-Enthüllungen und überführt damit diverse andere Amtsträger als Lügner.
Diese Annahme ist aus meiner Sicht fahrlässig bis grob fahrlässig. Das war schon länger einigermaßen klar. Aber wie das so ist: Die Hoffnung stirbt immer zuletzt. Jetzt ist es meiner Ansicht nach an der Zeit, die Hoffnung offiziell für tot zu erklären.
Der einzige Weg, wie Anonymität im Internet denkbar ist, ist bei Nicht-Echtzeit-Diensten. Aber sobald es eine vorhersagbare zeitliche Korrelation zwischen den verschiedenen Versionen des weitergeleiteten Traffics gibt, ist das für ein totales Überwachungssystem wie das der NSA zuweisbar. Man müsste dafür sorgen, dass der weitergeleitete Traffic weder in Zeit noch Größe eine Korrelation zeigt. Oder man müsste die ganze Zeit Cover Traffic haben, von dem sich die weitergeleiteten Nachrichten nicht unterscheiden. Das ist natürlich die Idee bei Tor, dass die ganzen anderen Tor-Nutzer für mich den Cover Traffic abgeben. Damit kann man Admins von Webforen, Stalker und die Polizei täuschen, aber vor der NSA kann man sich so nicht verstecken.
Übrigens, am Rande: ich las mir vorhin mal die Definition von Totalitarismus durch. Kann mir mal bitte kurz ein Experte erklären, wie man sich das in der Literatur so zurecht legt, damit die USA da nicht drunter fallen?
Update: Die IP-Adresse in der Tor-Malware kontaktiert übrigens eine IP-Adresse, die zur NSA gehört.
Update: Frank ist gerade sauer, dass ich sage, Tor sei gebrochen und hilft nicht und man soll sich doch am Besten gleich erschießen. Das sage ich nicht. Ob Tor im Moment noch hält oder nicht, das kann ich nicht sagen, weil alle vorliegenden Datenpunkte Hörensagen sind. Was ich aber beurteilen kann ist: Rein technisch gesehen gibt es keinen Grund für die Annahme, dass das nicht machbar ist, und wir wissen schon heute, dass die NSA die Verbindungsdaten langfristig speichert. Ich sage also im Moment nicht: benutzt kein Tor mehr. Im Gegenteil. Benutzt mehr Tor. Denn euer Traffic dient anderen als Cover Traffic. Aber denkt nicht, dass ihr deswegen sicher seid. Je mehr Leute Tor benutzen, desto größer ist das zu lösende Gleichungssystem. Dennoch ist das prinzipiell lösbar.
Meine eigentliche Aussage ist: Das Problem an sich, dass wir unseren Regierungen nicht mehr trauen können, und einer totalen Schnüffelei ausgesetzt sind, das ist kein Problem, das man technisch lösen kann.
The National Security Agency’s dominant role as the nation’s spy warehouse has spurred frequent tensions and turf fights with other federal intelligence agencies that want to use its surveillance tools for their own investigations, officials say.Seht ihr! Die NSA ist so ehrenhaft, nobel und gut, dass sie immer wieder die ungesetzlichen Anfragen anderer Behörden abweist!1!! OK, guter Punkt, lasst uns auch die ganzen anderen Behörden anklagen.
A slide from a presentation about a secretive information-sharing program run by the U.S. Drug Enforcement Administration s Special Operations Division (SOD) advises law-enforcement officials to disguise how they have gathered information for criminal cases by recreating the investigative trail through use of a practice called parallel construction. Some defense lawyers and former prosecutors say the practice could violate a defendant s constitutional right to a fair trial by burying evidence that could prove exculpatory.Wir haben also nicht nur geheime Gerichte in den USA, die geheime Schnüffelprogramme durchwinken, wir haben auch geheime Beweise und Lügen darüber in Gerichtsverfahren. Der beste Rechtsstaat, den man für Geld kaufen kann!Oh und überhaupt, dass diese ganzen NSA-Programme seit vielen Jahren laufen, das ist doch schon der erste Gegenbeweis für die Theorie, dass man sowas nicht geheimhalten kann. Im Übrigen stimmt das ja auch und sowas kann man wirklich nicht auf Dauer geheim halten. Aber die ersten, die darauf hinweisen, werden ja als Aluhutträger diffamiert und abgekanzelt, so bleibt das dann ein paar Jahre mehr unter Verschluss.
Man gehe davon aus, "dass die Sigad US-987LA und -LB" den Stellen "Bad Aibling und der Fernmeldeaufklärung in Afghanistan zugeordnet sind", erklärte der BND gegenüber dem SPIEGEL.Das ist besonders schön, weil Bad Aibling jahrelang NSA-Standort war, als Teil des Abhörnetzwerkes Echelon. Dann haben sich die Amerikaner irgendwann "zurückgezogen". Und jetzt hören wir, dass der BND einfach die Schnüffelei als Subunternehmer weiterbetrieben hat. Hände hoch, wer überrascht ist! Also DAMIT konnte ja wohl NIEMAND rechnen!1!!
deputy director John C Inglis conceded in a Senate hearing on Wednesday that at most one terrorist attack was prevented because of the bulk collection during the program's seven-year history.Das ist ein klarer Widerspruch zu den Äußerungen des NSA-Direktors auf der Blackhat. Warum würden die da widersprüchliche Ansagen machen? Weil eine Lüge vor einer Senatsanhörung nach US-Recht eine mit Gefängnisstrafe bewehrte Straftat ist.
Das Rating des Vereinigten Königreichs ist damit endgültig von souveräne Nation zu 51st State gedowngraded worden.
Mal abgesehen davon, dass mich das nicht beruhigt, wenn "nur" Maschinen meine Mails abschnorcheln und mitlesen, finde ich dieses Statement auch ausgesprochen besorgniserregend. Ich lese das in dem selben Kontext wie "Dafür gibt es keine Rechtsgrundlage" beim Bundestrojaner. Damit meinten die ja nicht "das geht halt nicht" sondern "wir brauchen dringend eine Rechtsgrundlage, lasst uns schnell ein Gesetz machen". Wann immer ich gerade höre "hey, soviele Leute haben die gar nicht", dann lese ich das als verdeckte Aufforderung an die Behörden, dann halt mehr Leute einzustellen. Die NSA sucht ja seit Jahren händeringend nach Übersetzern, insbesondere für Afghanistan und Iran, aber macht euch da mal nichts vor. Wer da auf dem Markt verfügbar ist, den kaufen die auch ein. Oder versuchen es zumindest.
Ich schlage daher vor, sehr empfindlich und negativ auf dieses "so viele Leute haben die doch gar nicht" zu reagieren.
Dass die sich überhaupt trauen, mit diesem Weltbild an die Öffentlichkeit zu gehen! Man stelle sich mal vor, der Snowden würde sich damit verteidigen, dass er ja nur einen Bruchteil der kopierten Akten analysiert habe, und noch weniger davon weitergegeben, dass er seine Herausgabe streng reglementiert hat, gut geschult war, und es perfekte Nachvollziehbarkeit gibt, was er geleakt hat. Das entspricht alles der Wahrheit. Wäre das für die NSA ein Trost? Was für ein groteskes Schauspiel.
Lustigerweise sagt ja auch Snowden zur NSA im Wesentlichen: Vertraut mir doch einfach. Er hat mehrfach betont, dass er nur Sachen leakt, bei denen keine Menschenleben oder legitimen Aktionen gefährdet werden. Und im Gegensatz zur NSA ist das öffentlich nachprüfbar. Namen von Personen waren da keine drin, und es waren auch noch keine Sachen zu konkreten Aktionen, nur zu den Schnüffelprogrammen an sich.
Ich hatte mich im Vorfeld ein bisschen gewundert, dass die überhaupt die NSA die Keynote machen lassen. Die NSA ist ja zumindest international gerade ziemlich der Buhmann. Da hätte es sicherlich unkontroversere Kandidaten gegeben.
Man könnte auch vermuten, dass die die NSA da reden lassen, um Kontroverse und damit Presseinteresse für ihre Veranstaltung zu generieren. Aber das war es nicht, denn sie haben keine Zuschauerfragen zugelassen. Das wäre wohl auch ziemlich nach hinten losgegangen. Ich für meinen Teil hätte da jedenfalls gerne eine Frage gestellt.
Ich hatte mir da als Kandidaten überlegt:
Wenn er öffentlich angesagt hätte, dass das schon OK ist, wenn die Briten seine Mail lesen, das wäre echt ein Höhepunkt gewesen.
Ich teile da die Einschätzung der US-Journalisten, mit denen ich mich unterhalten habe, die meinten, das hätte die NSA wohl nach den Snowden-Leaks am liebsten abgesagt, aber das hätte noch schlechter ausgesehen. Und so haben sie gute Miene zum schlechten Spiel gemacht und es mit Vorwärtsverteidigung versucht. Das ging allerdings ziemlich nach hinten los. Es gab das übliche Programm, was ich mal als die US-Version der Ziercke-Tournee bezeichnen will. Internetzensur begründet man mit Kinderpornographie, Abschnorcheln begründet man mit den Terroristen. Und so war jedes zweite Wort "Terrorist" in der Keynote. Die seien halt unter uns und da müsse ja jemand was tun. Ob er sich als Befehlsempfänger sieht oder als Akteur kam nicht wirklich rüber, weil er jedes Indiz auszuräumen versuchte, dass das in irgendeiner Art und Weise moralisch verwerflich sei, was die NSA da tut. Alles total harmlos! Wir haben da nur ein paar Telefonnummern und verknüpfen die, und damit geben wir dann wertvolle Hinweise an das FBI, und die laufen dann mit National Security Letters los, finden die Namen der Verdächtigen, haben dank unserer Daten "probable cause" und schicken dann einen Richter los. Man könnte es fast zusammenfassen als: Wenn hier einer zu viel Macht hat, dann das FBI!1!!
Das fiel ihm wohl auch selber auf, daher schloss sich eine Hollywood-mäßige Lobeshymne an. Das FBI sei eine großartige Behörde, und ihr Leiter Robert Mueller, das ist ja der tollste Mann, den er je kennengelernt hat. Das war echt wie eines dieser schmierigen Making-Of-Trailer aus Hollywood. Es sei ein Privileg und eine Ehre, mit allen diesen tollen Menschen zusammenzuarbeiten. Alle Mitarbeiter seien selbstlose, ehrenwerte Menschen, die Amerika zu einem besseren Ort machen wollen!
Oh und er habe ja gehört, dass die FISA Courts Rubber Stamps verteilen, d.h. alles einfach durchwinken. Nichts könnte ferner von der Wahrheit sein! Das sind alles knochenharte Karrierejuristen, die lassen sich von niemandem über den Tisch ziehen! Selbst er als Vier-Sterne-General habe sich da schon Rüffel abholen müssen!1!!
Ihr seht schon, das war Hollywood pur. Eine PR-Veranstaltung vom Feinsten. Bis dann, nach ca einer halben Stunde, von hinten eine einzelne Stimme "BULLSHIT!" brüllte. Andy Greenberg von Forbes hat den Typen ausfindig gemacht. Das war echt Popcorn-Kino, weil der NSA-Chef da schon drauf antworten wollte, aber nicht Bullshit sagen wollte. Er sei ja 14facher Großvater und müsse auf seinen Duktus achten. Greenberg hat den ganzen Dialog aus seiner Aufnahme transkribiert.
Zu meiner Überraschung kriegte der Herr General dann sogar noch zwei kurze Runden Applaus für seine Patrioten-Hollywood-Tränendrüsen-Aussagen, und konnte sogar öffentlich dazu aufrufen, die Hacker seien doch die Leute, die das alles verstehen, und wir sollten ihnen doch mal helfen, der Welt da draußen zu erklären, dass die NSA voll die Guten sind. Und im Übrigen sollen wir mithelfen. Gerade wenn wir nicht damit einverstanden sind, was die NSA so treibt. Gerade dann. Doppelt wichtig sei das dann, dass wir mithelfen. An der Stelle wirkte das ganze ein bisschen wie ein Steve Jobs Moment auf mich. Das Realitätsverzerrungsfeld sorgte für einen leichten Schwindelanfall.
Überhaupt, dass der Mann sich da auf die Bühne stellt und was von Transparenz, Offenheit und Fakten auf den Tisch faselt, während die Fakten ja gar nicht er auf den Tisch gelegt hat, sondern der Snowden, das war schon echt ein Dali-Moment.
Unter den Hackern, mit denen ich mich so unterhalten habe, war die Sache völlig klar. Kein einziger war da auf Seiten der NSA. Da aber in den USA die Hälfte der Hacker ihr Gehalt direkt oder indirekt in Abhängigkeit von der Regierung bezieht, sagen da aber nur wenige offen ihre Meinung.
Wir haben da in Europa echt etwas gutes aufgebaut. Unsere Hacker-Szene ist mir deutlich sympathischer.
Update: Den einen tollen Spruch hatte ich noch gar nicht erwähnt. An einer Stelle war er sichtlich erzürnt, dass die Leute bei solchen Angelegenheiten der Presse glauben. Und nicht "den Fakten", womit er wohl seinen Behauptungen-Katalog meinte. Auch sehr auffällig war, dass die Folien sich sehr deutlich von dem Powerpoint-Fegefeuer abhoben, die Snowden da geleakt hatte. Das war ihnen offensichtlich ein echtes Anliegen, da nicht wie blutige Anfänger zu wirken :-)
Update: Oh und falls das nicht klar war: Die Idee, dass jemand schon gegen die Datensammlung an sich sein könnte, und nicht bloß Sorgen hat, dass das missbraucht werden könnte, die ist völlig außerhalb der Vorstellungskraft der NSA. Die gesamte Verteidigung ging davon aus: Wir haben diese Daten, und vertraut uns doch einfach, dass wir damit keinen Mist machen.
Otto Schily rät der SPD, die NSA-Ausspähaffäre nicht im Wahlkampf zu thematisieren. Die größte Gefahr gehe vom Terrorismus aus, nicht von Geheimdiensten, sagte der frühere Innenminister dem SPIEGEL. Die Furcht vor dem Staat trage "wahnhafte Züge".Das sagt der, dessen "Otto-Katalog" dafür gesorgt hat, dass die Leute den Staat als größere Gefahr als die Terroristen wahrnehmen.
On Wednesday, the house voted 217 to 205 not to rein in the NSA’s phone-spying dragnet. It turns out that those 217 “no” voters received twice as much campaign financing from the defense and intelligence industry as the 205 “yes” voters.[…]
The investigation shows that defense cash was a better predictor of a member’s vote on the Amash amendment than party affiliation. House members who voted to continue the massive phone-call-metadata spy program, on average, raked in 122 percent more money from defense contractors than those who voted Wednesday to dismantle it.
Die Kontrolle über die Funkschlüssel sowie über die Sende- und Empfangsanlagen in der Drohne wie in der Bodenstation unterliegt der National Security Agency. So soll beim Euro Hawk wie bei den Global Hawks sichergestellt werden, dass die Drohnen nicht von Terroristen gekapert werden können.Mit anderen Worten: Die NSA steuert die Drohne, nicht wir. Sie lässt uns nur gelegentlich ein bisschen am Joystick spielen.
"Als Lieferumfang wurden selektive Einzelkomponenten der Trägerplattform (z.B. Kommunikations-/Kryptogeräte) und selektive Unterstützungsleistungen, wie Beistellung von Erprobungseinrichtungen und -personal, vereinbart."Wenn die Kommunikationsgeräte von der NSA sind, wie kann sich dann der Artikel darauf versteigen, dass die NSA nicht mitspioniert?! Die Kommunikationskabel durch Amerika werden abgehört, die Kommunikationskabel durch England werden abgehört, aber die Kommunikationskabel im Eurohawk werden nicht abgehört? Weil, äh, … sowas macht man nicht mit Verbündeten? Oder wie?
Da hätte Heise vielleicht mal jemanden fragen sollen, der sich mit sowas auskennt.
Dass massenhaft Daten an die amerikanische NSA übermittelt würden, sei falsch, nur zwei Datensätze seien weitergegeben wordenDas nenne ich professionelle Datenverarbeitung! Einmal eine Kopie von allem und dann nochmal ein Backup! Hey, Pofalla, wir haben die NSA-Folie gesehen, wo Deutschland die dichteste Überwachung in Europa hatte! Für wie blöde hälst du uns eigentlich?
Kein Wunder, dass der gerne als Roland Pofalla bezeichnet wird, bei so brutalstmöglicher Aufklärung!1!!
Update: Haha, die glauben echt, damit sei die Sache jetzt vom Tisch! Auf den Uhl ist ja eh immer Verlass bei sowas:
Hans-Peter Uhl, der für die CSU im PKG sitzt, stärkte dem BND-Chef vor der Sitzung den Rücken und zog zugleich die Enthüllungen des SPIEGEL in Zweifel. Wenn der BND-Chef in der Sitzung das Gegenteil der Berichterstattung behaupten sollte, "dann glaube ich dem Beamten und nicht den Pseudo-Enthüllungen irgendeines Magazins", sagte Uhl. Es habe auch schließlich schon mal die Hitler-Tagebücher gegeben.
"selektive Einzelkomponenten" wie Kommunikations- und Verschlüsselungsgeräte geliefert sowie Erprobungseinrichtungen und Personal zur Verfügung gestellt.Wir können also aufatmen, es besteht keinerlei Gefahr für die Bevölkerung!1!!
"There's no central method to search an e-mail at this time with the way our records are set up, unfortunately," NSA Freedom of Information Act officer Cindy Blacker told me last week. The system is "a little antiquated and archaic," she added.Tja, vielleicht hätten sie mal jemanden fragen sollen, der sich mit sowas auskennt. Google z.B.
SPIEGEL ONLINE und die Dokumentationsjournalisten des SPIEGEL machen den FaktencheckWHOA, es gibt beim Spiegel Journalisten, die Faktenchecks machen können?! Wo haben sie die denn all die Jahre gelagert?! In der Kryo-Kammer im Regierungsbunker? Gut, wenn man dann den Text liest, sind das eher "Journalisten" ala "Bild" und "Super-Illu". Currywurstjournalismus halt.
By September 2004, a new NSA technique enabled the agency to find cellphones even when they were turned off.Es geht um NSA-Operationen im Irak, aber wenn es so eine Technologie tatsächlich gibt, dann funktioniert die vermutlich auch anderswo. Ich vermute mal, dass das ein Software-"Update" ist, bei dem die Telefone dann ausgeschaltet aussehen aber in Wirklichkeit weiterlaufen.Übrigens gibt es das bei Smartphones heute als Feature. Dann sieht das Telefon nur abgeschaltet aus und das Base Band bleibt eingebucht und wacht periodisch auf für Zellen-Updates. Das nennt sich dann "Quick Boot" oder ähnliche Euphemismen.
Das ist aber noch nicht so richtig bei der Bevölkerung angekommen. Big Data ist noch viel zu positiv besetzt. Es liegt an uns allen, das zu ändern.
Als ersten Schritt müssen wir mal anfangen, Big Data Projekte als solche zu benennen. Die "LKW-Maut" ist z.B. Big Data. Die Gesundheitskarte ist Big Data. Elena ist Big Data.
Hier wird die NSAisierung der Bevölkerung betrieben.
Und einen Punkt möchte ich noch machen: Lasst euch niemals so ein Projekt mit Effizienzsteigerung als Argument verkaufen. Es ist Absicht, dass unsere Regierung ineffizient ist. Das ist absichtlich tiefgehend in die DNA unseres Rechtsstaates eingearbeitet. Bei Computerprogrammen will man Effizienz, weil man die vorher testen kann, auch mit Livedaten. Eine Regierung kann man nicht testen, daher muss man dafür sorgen, dass die Dinge langsam ablaufen. So langsam, dass man im Notfall eingreifen kann, bevor jemand zu großen Schaden anrichtet.
Und wenn man eine durch und durch kriminelle Regierung hat, die sich dieser durch Ineffizienz erzwungenen Transparenz entziehen will, bleiben ihr nur offensichtlich hintertriebene Schurkenmethoden wie einfach alle relevanten Handlungen als geheim zu erklären und Journalisten zu verfolgen, die trotzdem darüber berichten. Die Designer unseres Rechtsstaates haben nicht für möglich gehalten, dass jemals jemand so tief sinken würde. Die kannten halt die Merkel noch nicht.
Gewiss: Auch die deutschen Geheimdienste spähen Daten aus, auch von Bundesbürgern, auch sie greifen auf das Internet zu - aber sie tun es auf der Basis von Recht und Gesetz, gebunden an die Grundrechte, kontrolliert vom Bundesverfassungsgericht. Dieses Recht und dieses Gesetz hat die G-10-Kommission geschaffen, welche die Eingriffe der deutschen Geheimdienste in das Fernmeldegeheimnis nach Artikel 10 Grundgesetz genehmigen und kontrollieren soll.Was zur Hölle? Merkt der nicht selber, was er da schreibt? Die Amerikaner sind böse und gemein, weil sie in ihren Gesetzen nur die eigenen Bürger schützen und ansonsten alle zum Abschuss freigeben. Beim BND ist das genau so, und was schreibt Prantl hier? Der hält sich an Recht und Gesetz! Das tut die NSA auch! DAS IST DOCH GERADE DAS PROBLEM, HERR PRANTL! Auch der BND "schützt" nur deutsche Bürger und kann alle anderen gnadenlos ihrer Grundrechte berauben. Und wo kommt bitte die Behauptung her, unsere Geheimdienste hielten sich an Recht und Ordnung? Folgt der Mann nicht dem NSU-Ausschuss?! Unfassbar, mit was für eine kognitiven Dissonanz manche Zeitgenossen durch ihr Leben schreiten können.
Bin Ladens Schwiegersohn sagt, er sei von den Amis in einem Flugzeug gefoltert worden. Das gibt dem Wort "Folterflug" eine ganz neue Bedeutung!
Und zu guter letzt: Eines der Todesopfer des Asiana-Absturzes neulich starb, weil sie vom Feuerwehrtruck überfahren wurde. Das ist ja auch bitter. Überlebt einen Flugzeugabsturz und wird dann von der Feuerwehr überfahren.
Aber was ich gehört habe, fand ich so schlecht nicht. Ich fand es sehr erfreulich, dass der Yogeshwar die Frage stellte, wieviel ein Hitler mit der Technologie der NSA hätte anrichten können. Er sagte sowas wie "damit wäre die Endlösung der Judenfrage eine Sache von ein paar Tagen gewesen".
Ansonsten war das ja eine Goldgrube an schönen Zitaten, die Sendung. Wenn man bedenkt, dass das eine ARD-Talkshow war, war das deutlich unter par.
Besonders schön war ja, dass da keine Politiker drin waren. Das ist allen An- und Abwesenden so positiv aufgefallen, dass ich mir gerade eine Welt ausmale, in der im Wahljahr einfach mal überhaupt keine Politiker mehr zu Wort kommen im Fernsehen. Wie großartig wäre DAS denn? Man stelle sich das mal vor! Wenn wir diese Leute einfach wegignorieren! Die lügen und betrügen ja eh die ganze Zeit, sind nur mit Not- und anderen Lügen beschäftigt, wenn sie nicht gerade der Korruption fröhnen und/oder sich die Diäten erhöhen. Ich fände das super, wenn man die einfach komplett nicht mehr zu Wort kommen ließe. Nur noch indirekt berichten. Auch so 2. Reihe Leute wie den Ziercke einfach nicht mehr zu Wort kommen lassen. Dann würde dieses Terror-Theater mal aufhören.
Zu der Schirrmacher-Idee, die EU müsse mal ein Gegen-Google bauen, mit humanistischen Werten im Code verankert: Das halte ich für nicht wünschenswert. Erstens hat die EU in den letzten Jahren gezeigt, dass sie Experten darin sind, uns was von Humanismus und Menschenrechten ins Gesicht zu lügen, und dann hinternrum unsere Fluggastdaten und Bankdaten an die Amerikaner zu geben und geheime US-Folterknäste und Rendition-Flüge zu tolerieren, bis sie auffliegen, und dann wild herumzugestikulieren, dass man da jetzt auch nichts mehr machen kann. Ich traue denen nicht so weit wie ich sie werfen kann. Zweitens ist Code geduldig. Da kommt dann ein Ziercke-Klon und zelebriert seine Kinderporno-Horrorshow und flupps kriegt das EU-Google eine Hintertür für die Polizei. Dann kommt der Verfassungsschutzchef und blubbert was von Islamisten-Terror und schwuppdiewupp haben auch die Dienste eine Hintertür. Dann kommt das Militär und erzählt was von Katastrophenschutz und kriegt eine Hintertür, und dann kommen die Amis und sprechen von Verfolgung von Terroristen und kriegen eine Hintertür. Das wäre genau wie heute, nur dass ich Google vergleichsweise eher glaube, dass sie die Daten nicht freiwillig rausrücken.
Schirrmacher hat einen sehr wichtigen Satz gesprochen in der Sendung. Er meinte, so ein System der Vollüberwachung verändert nicht nur die Überwachten sondern auch die Überwacher, die entwickeln dann Allmachtsfantasien. Das halte ich für sehr richtig und möchte es auch auf die EU-Abgeordneten übertragen. Auf der einen Seite sind die durch die Zusammenarbeit mit den Amerikanern in einer privilegierten Position, das steigert ihr Selbstwertgefühl und deshalb müssen sie diesen Status Quo unbedingt beibehalten oder gar ausbauen. Zweitens: Selbst wenn die Bevölkerung noch nicht verinnerlich hat, wieviel Vertrauen die EU schon verspielt hat, die Abgeordneten wissen das, und deren Verhalten ändert sich dadurch auch. Ist der Ruf erst ruiniert, korrumpiert es sich ganz ungeniert.
Update: Ui hier lesen ja viele Golfer mit. Ich schrieb über par, weil ich mir dachte, das kapiert sonst keiner. Richtig ist "unter par", weil par beim Golf die Anzahl der Schläge ist, die man zu unterbieten versuchen soll. Weniger Schläge sind besser.
That was obvious when Rep. Bob Goodlatte, R-Va., asked Litt whether he really believed the government could keep such a vast surveillance program a secret forever."Well," Litt replied, "we tried."
Litt ist der Justiziar der NSA. (Danke, Mathias)
Sobald man einen E-Mail-Account auf dem Telefon einrichtet, kann man auf seinem Mailserver erfolgreiche Verbindungsversuche für IMAP und SMTP von der Adresse 68.171.232.33 sehen, und zwar mit dem Username und Passwort des Accounts, den man gerade eingerichtet hat.Wenn man nicht Zwangs-SSL eingeschaltet hat auf dem Mailserver, dann werden die Accountdaten im Klartext via NSA und GCHQ geroutet.Die Adresse gehört zum Netzbereich von Research In Motion, kurz RIM, der Herstellerfirma der Blackberry-Telefone in Kanada.
Ich würde das ja zum Bug des Tages küren, aber ich glaube nicht, dass das ein Bug ist. Die machen das absichtlich. Völlig unakzeptabel. Für mich ist das die Kategorie Fehler, von der sich eine Firma wie RIM nie wieder erholen kann. Es ist egal was die tun, ich werde von denen nie etwas kaufen.
Update: Nokia macht das auch, wird mir gerade versichert. zusätzlich zu dem Web-Traffic ihrer Kunden. Deren Produkte waren ja eh schon unkaufbar deswegen.
Der oben verlinkte Bericht handelt davon, dass der BND US-Schnüffelsoftware im Einsatz haben soll. Das ist natürlich eine Bankrotterklärung für einen Geheimdienst, wenn er nicht mal seine eigene Schnüffelsoftware herstellen kann sondern sich die Backdoors der Amis installieren muss, aber nach allem, was man so vom BND hört, kann das nicht wirklich verwundern.
Update: Auch die Bundeswehr soll in Afghanistan Zugriff auf PRISM gehabt haben.
Zu einem Bericht der Bild-Zeitung, wonach der Bundesnachrichtendienst (BND) schon lange von den umfangreichen Ausspähungen und Speicherungen der Daten deutscher Bürger durch die NSA gewusst haben soll, wollte sich die Bundesregierung nicht im Detail äußern. Die Informationen darüber blieben dem Bundestagsausschuss zur Kontrolle der Geheimdienste, dem Parlamentarischen Kontroll-Gremium (PKG), vorbehalten, sagte Regierungssprecher Steffen Seibert. Das geheim tagende Gremium berät am Dienstag über die NSA-Überwachung.Na dann!1!! (Danke, Georg)
Der hat sich neulich hingestellt und die NSA-Schnüffelprogramme mit der Aussage zu verteidigen versucht, dass man mit solchen Programmen ja 9/11 hätte verhindern können. Toller Talking Point, Herr Cheney! Zumindest bis jemandem auffällt, dass die NSA-Schnüffelprogramme zum Zeitpunkt von 9/11 schon 7 Monate liefen. Hups! Und man darf natürlich auch nicht vergessen, dass die NSA schon seit Jahrzehnten alle Ausländer komplett abhört, an die sie rankommt, Stichwort Echelon. Und die 9/11-Attentäter waren ja alles Ausländer. Update: Oh, Cheney hat inzwischen wieder einen Puls. Das hatte ich gar nicht mitgekriegt.
Update: Es gibt hier einen Agentenaustausch mit Russland, also ist doch mal einer erwischt worden. Update: Die offensichtliche Theorie ist natürlich, dass die BND-Beamten alle damit beschäftigt sind, das Internet am DE-CIX abzugreifen, auszudrucken, und dann containerweise an die NSA zu schicken. Bei soviel Arbeitslast kommt man gar nicht groß zum spionieren! Update: Hier kommt noch eine plausible Theorie rein: dazu gabs vor jahren mal eine doku in ich meine ard, wo ein ex-israelischer top mann, der in ägypten spionierte (jahre her, nicht mehr sicher, könnte sein daß das der war der damals den 7tage krieg auslöste), erzählte wie er von einem ägypter rumgeführt wurde: …und der da in der ecke, das ist hier der mann vom bnd. kategorie: der ist so unfähig, den lassen wir gar nicht auffliegen, sonst schicken die uns nachher noch nen fähigeren. Genau so wird es sein!
In den USA soll der Airbus unter anderem mit einer autonomen Technik ausgerüstet werden, die Raketengeschosse abwehren kann.Und sonst noch was, wenn man schon dabei ist?
Ein Mitglied des Verteidigungsausschusses, das dem schwarz-gelben Lager angehört und nicht genannt werden will, sagte dieser Zeitung: "Ich vermute, dass das Flugzeug nicht nur mit Abwehrtechnik, sondern mit neuester Überwachungs- und Spionagetechnik ausgerüstet wird.Macht Sinn. Rüstungstechnik für die Konrad Adenauer und Abhörschnüffelequipment für die Merkel. Passt wie Arsch auf Eimer!
Und da sieht man auch mal, dass die Merkel eine gewiefte Geschäftsfrau ist. Die lässt sich ihre NSA-Wanzen direkt vor Ort beim Hersteller einbauen. Nur so weiß man, dass die auch wirklich ordentlich installiert werden und kriegt auch richtigen Service, wenn die mal ausfällt.
One prominent SIGAD as of April 2013 is US-984XN, with an unclassified codename of PRISM. It is "the number one source of raw intelligence used for NSA analytic reports" according to National Security Agency sources in a document leaked by Edward Snowden. The President's Daily Brief, an all-source intelligence product, cited SIGAD US-984XN as a source in 1,477 items in 2012.Der US-Präsident liest wirklich unsere Emails. Persönlich. Und zwar nicht hier mal eine und da mal eine, sondern durchschnittlich vier pro Tag.
Daher: Im Übrigen bin ich dafür, dass die OSZE die GEMA zumacht.
Die Sendung war übrigens teilweise durchaus unterhaltsam. Popcorn bereithalten. Jake fragt z.B. den Schmidbauer, ob der BND eigentlich auch Leute abschnüffelt mit Trojanern und so. Daraufhin andere in der Runde "natürlich nicht" und der Schmidbauer dann "natürlich!" Die Szene ist echt großartig.
Aber tun Provider und Telefongesellschaften, die im Auftrag des Staates für einen bestimmten Zeitraum die Metadaten von Telefonaten, E-mails, SMS und anderen Verbindungen vorübergehend speichern, dasselbe wie Geheimdienste? Anders gefragt: In einem Land, in dem BND und NSA mit Stasi und Gestapo verglichen werden - wie muss es dort mit dem Verständnis von Freiheit bestellt sein?Diese ganzen Leute haben alle das Memo nicht gekriegt. Auch die NSA speichert nur "temporär". (Danke, Frank)
Einen Vergleich mit der Stasi wies Merkel als Verharmlosung der DDR zurück.HAHAHA, nee klar. Eine Verharmlosung der der Stasi wäre das!1!!
Die Merkel hat uns ins Gesicht gelogen, dann als es nicht mehr ging, hat sie die Geheimdienste verteidigt, die ihre eigene Bevölkerung beschnüffeln und die Daten ans Ausland weiterleiten. Wieso ist das eigentlich nicht Hochverrat? Wieso sitzt die Frau nicht auf der Anklagebank?
Das heißt, ich habe Ihnen gesagt, dass es (…) eine schon sehr lang zurückreichende Zusammenarbeit mit der NSA gibt, und zwar nach Recht und Gesetz. Der BND hält sich bei allem, was er tut, an Recht und Gesetz.Aha. Soso.
A person he claimed to have interviewed had been dead for more than a decade.UndIn a twist that hints at how widespread the fabrications in the background check system may be, the investigator who had vetted Smith was convicted in a separate falsification caseHarrharrharr
Update: Wenig überraschend gibt es auch sofort ein Dementi. Das trägt leider nicht zur Wahrheitsfindung bei. Das könnte auch heißen, dass die sich nur um die Stimmen der Polizeigewerkschaften bemühen.
Update: Mir mailt gerade jemand, dass das in Deutschland ähnlich aussieht. (Danke, Daniel)
In diesem Sinne: Popcorn bereithalten. Und was zum Anstoßen bereithalten für den Moment, wo sie in der ARD zur besten Sendezeit das Wort "Drohnenmord" in den Mund nimmt. Und möglicherweise (legale) Betäubungsmittel vorhalten, das ist halt eine Talkshow und über lange Strecken nur unter körperlichen Schmerzen ertragbar.
Aber die kognitive Dissonanz zwischen "also UNSERE Vorratsdatenspeicherung ist ja voll rechtsstaatlich und demokratisch legitimiert aber DEREN Vorratsdatenspeicherung ist böse und schlecht, verletzt die Privatsphäre und stellt alle Menschen unter Verdacht" ist durchaus unterhaltsam.
Update: Inhaltlich habe ich noch eine wichtige Sache anzubringen. Gabriel brachte mehrere Argumente, um seine kognitive Dissonanz zwischen der von seiner Partei vorangebrachten Vorratsdatenspeicherung und seiner Schelte für die US-Vorratsdatenspeicherung wegzureden. Das war um Wesentlichen: Die Daten werden ja bei uns nur auf Zeit gespeichert. Er versuchte sich auch noch an "aber die Daten liegen dezentral bei den Telcos und nicht bei den Diensten", woraufhin selbst dem Quoten-Amerikaner Denison nur noch heiseres Gelächter einfiel (das ist ja letztendlich genau das, was Prism tut. Da liegen die Daten auch bei Google und co und die Dienste holen sie sich halt ab). Besonders großartig wurde das, als Denison (leider kaum hörbar in dem Stimmengewirr) einzuwenden versuchte, auch die US-Programme seien ja gesetzlich klar geregelt und die Geheimdienste in den USA unterlägen ja auch strenger parlamentarischer Kontrolle. Das stimmt natürlich in jeder Hinsicht. (Deshalb ist es nicht ausreichend, wenn etwas legal ist. Auch Hitlers Machtergreifung war legal. Man braucht da höhere Maßstäbe) Gabriel selbst wandte mehrfach ein, man habe ja im NSU-Ausschuss sehen können, wieviel von Zusicherungen der Dienste und parlamentarischer Kontrolle zu halten sei. Ganz großes Kino. Die FAZ war jedenfalls ganz hingerissen von der wieselflinken politischen Wendigkeit von dem Gabriel, wie der da mal eben eine neue Vision für Europa formuliert hat aus dem Stegreif :-)
Ich für meinen Teil fand das sehr schön, dass Gabriel da überhaupt Denkprozesse erkennen ließ. Leider ist er noch nicht so weit, das Anfallen der Daten als das Problem zu erkennen. Wenn Daten irgendwo anfallen und gespeichert werden, werden sie auch missbraucht werden. Das ist ein historisches Faktum, mein Lieblingsbeispiel dafür ist immer die Geschichte, dass die Nazis prozentual in den Niederlanden eine höhere Juden-Mord-Quote hatten als in Deutschland, weil die Holländer in ihren amtlichen Registern völlig sinnlos die Religionszugehörigkeit abgefragt und gespeichert hatten. Daten werden missbraucht. Der einzige Schutz ist Datensparsamkeit. Constanze hat das angesprochen. Gabriel hat es noch nicht verstanden.
Oh, ach so, was ich eigentlich sagen wollte zu Gabriels Argumentation, die Vorratsdaten seien ja was anderes, weil die nur temporär gespeichert würden: Genau das behauptet die NSA auch. Die NSA löscht auch nach sechs Monaten, sagen sie. Außer die Daten sehen spannend aus, weil sie Bezug zu einem Terrorfall haben oder verschlüsselt sind. Verschlüsselte Daten heben die "zu Forschungszwecken" komplett auf. Aber wenn die ordentlich verschlüsselt sind, nützt ihnen das ja nicht viel. Mit anderen Worten: Ein Eigentor, dieses Argument. Hat leider in der Sendung niemand angesprochen, dass auch die NSA nur temporär speichert. Schade, denn dann hätten die Politiker mal erklären können, wieso Löschversprechungen unserer Behörden an der Stelle glaubwürdiger sein sollten als die der NSA.
The most senior US intelligence official told a Senate oversight panel that he “simply didn’t think” of the National Security Agency’s efforts to collect the phone records of millions of Americans when he testified in March that it did “not wittingly” snoop on their communications.Der Clinton hatte wenigstens noch den Anstand, dann mit "das kommt auf die Definition von 'sein' an" herumzueiern, um nicht direkt beim Lügen erwischt zu werden. Aber nicht einmal soviel Anstand haben diese Geheimdienstler. Und so kommt Captain Obvious dann zu der Einsicht, dass Geheimdienstler lügen. ÜBERRASCHUNG!!1!
Ich finde ja auch erschütternd, wie verroht und respektlos die Beziehungen zwischen Staaten heutzutage geworden sind. Das mit der Flugzeugumleitung von Evo Morales ist ja echt kaum zu toppen so als Mittelfinger-Geste. Die USA tun echt nicht mal mehr so, als hätten sie rudimentären Respekt für andere Regierungen. Früher haben sie das wenigstens offiziell simuliert, während sie hintenrum einen Militärputsch organisiert haben.
Bolivia's foreign minister says the plane bringing President Evo Morales home from Russia was rerouted to Austria after France and Portugal refused to let it to cross their airspace because of suspicions that NSA leaker Edward Snowden was on board.SO SEHR steckt Europa im Dickdarm der USA fest! Krasse Scheiße.Man stelle sich mal vor, Bolivien hätte Obamas Flugzeug die Überflugrechte verweigert, auf Bitte von Kuba, weil Kuba glaubte, Kissinger sei an Bord. WTF?!
Update: Oder ich verstehe das gerade völlig falsch und die hatten Angst, dass Snowden bei ihnen landen und Asyl beantragen könnte :-)
Hier gehen gerade verzweifelte Mails ein, ob sich der Einsatz von PGP denn überhaupt lohne, wenn man davon ausgehen müsse, dass das Windows darunter Hintertüren hat. DAS IST GENAU DER PUNKT. Es gibt Alternativen. Das hat viel Schweiß und Mühe gekostet, die soweit zu bringen, dass man mit ihnen arbeiten kann. Muss man sich dabei etwas zurücknehmen gegenüber polierten kommerziellen Systemen? Kommt drauf an. Ich als Softwareentwickler empfinde eher Arbeiten unter Windows als zurücknehmen. Grafikdesigner werden das möglicherweise anders erleben.
Aber dass wir überhaupt eine Infrastruktur haben, in der die Dienste sich gezwungen sehen, bei Google und Microsoft die entschlüsselten Daten abzugreifen, weil wir internetweit Verschlüsselung ausgerollt haben, das ist ein großer Sieg. Klar ist das alles immer noch nicht befriedigend. Schöner wäre es, wenn das Internet eine Blümchenwiese wäre. Aber wir haben es geschafft, dass man, wenn man will, gänzlich ohne Software-Hintertüren arbeiten kann. Wie weit man dabei gehen will, hängt natürlich von jedem einzelnen ab. Aber zur Not kann man heutzutage auch sein BIOS als Open Source haben.
Natürlich können auch in Linux und OpenBIOS theoretisch Hintertüren sein. Das liegt an jedem von euch, sich da genug einzulesen, um seinen Teil mitzuhelfen, die Wahrscheinlichkeit dafür zu senken. Muss man dann natürlich auch tun. Die Software kann man zwar kostenlos runterladen, aber man zahlt dann eben auf andere Art. Indem man sich einbringt.
Kurz gesagt: Dass wir überhaupt ein Gegenmodell zu "alle setzen walled garden backdoored NSA-technologie ein" haben, das ist ein immenser Sieg, der in den 80er Jahren, als diese ganzen Geschichten hochblubberten, wie ein feuchter Fiebertraum wirkte. Wir haben immens viel geschafft. Es liegt an uns, das konsequent einzusetzen und konsequent weiterzuentwickeln. Und es ist eure verdammte Pflicht, nachfolgenden Generationen dieses Stückchen Hoffnung zu erhalten. Helft mit!
Update: Um das mal ganz klar zu sagen: Linux einsetzen und Verschlüsseln ist keine Lösung für alles. Per Trafficanalyse wissen die immer noch, wer wann mit wem geredet hat. Nur nicht mehr notwendigerweise worüber. Das sehen die nur, wenn einer der Gesprächsteilnehmer Hintertüren im System hatte oder das dann auch auf Facebook oder Twitter rausposaunt oder bloggt. Open Source ist ein Werkzeug, nicht die Lösung. Ihr müsst auch euer Verhalten entsprechend ändern.
Wir schließen das aus: NSA und andere angelsächsische Dienste hatten und haben keinen solchen Zugang zu den von uns betriebenen Internetknoten und zugehörigen Glasfasernetzen.Ah, das läuft dann über eine strategische Kooperation mit dem BND oder wie? Mossad? Die Franzosen?
“You know, for us, this would have been a dream come true,” he said, recalling the days when he was a lieutenant colonel in the defunct communist country’s secret police, the Stasi.In those days, his department was limited to tapping 40 phones at a time, he recalled. Decide to spy on a new victim and an old one had to be dropped, because of a lack of equipment. He finds breathtaking the idea that the U.S. government receives daily reports on the cellphone usage of millions of Americans and can monitor the Internet traffic of millions more.
“So much information, on so many people,” he said.
Und dann, das Money Quote:“It is the height of naivete to think that once collected this information won’t be used,” he said. “This is the nature of secret government organizations. The only way to protect the people’s privacy is not to allow the government to collect their information in the first place.”
Oh und wisst ihr, wer sonst noch mit Quantencomputing experimentiert? Der technologische Inkubator der NSA, Google:
The new Vesuvius chip at USC is currently the only one in operation outside of D-Wave. A second such chip, owned by Google and housed at NASA's Ames Research Center in Moffett Field, California, is expected to become operational later this year.Aha. Beim Ames Research Center. Na dann.
Und das kommt auch gerade recht, denn denn es sind gerade neue Dokumente geleakt: Pro Monat schnorchelt die NSA eine halbe Milliarde Telefonate, Mails und SMS ab, und in den Dokumenten bezeichnet die NSA Deutschland als Angriffsziel.
Übrigens sind auch ein paar frische Folien veröffentlicht worden, auf denen man auch die Eingabemaske sieht und so.
He was particularly concerned about the “sanctimonious outcry” of political leaders who were “feigning shock” about recently disclosed spying operations such as PRISM while staying silent about their own role in global interception arrangements with the United States.“I can’t understand how Angela Merkel can keep a straight face – demanding assurances from Obama and the UK – while Germany has entered into those exact relationships”
Tja, das ist das System Merkel, lieber Wayne! Und wie ich weist auch er darauf hin, dass das alles aktenkundig ist. Allerdings hat er noch was zu erzählen, das bislang glaube ich noch nicht gesagt wurde:German political parties at the time of the EP inquiry had fiercely lobbied against claims that their country had colluded with the NSA, forcing a minority EP finding that bluntly stated: “The report by the Temporary Committee confirms the existence of the Echelon interception system which is administered by various countries, including the United Kingdom, a Member State of the European Union, with the cooperation of Germany.”Der NSA-Lauschposten in Berlin auf dem Teufelsberg ist recht bekannt, ansonsten gab es da noch einen recht großen in Bayern in Bad Aibling, und auch sonst noch einige andere. Fairerweise muss man aber auch dazu sagen, dass Deutschland nach dem verlorenen Krieg sich nicht groß wehren konnte. Aber jetzt so zu tun als habe es das alles nie gegeben, das ist Unehrlichkeit in einer Größenordnung, wie es sie nur in der Politik gibt.
The workforce “has executed its national security responsibilities with equal and full respect for civil liberties and privacy. The issue is one that is partly fueled by the sensational nature of the leaks and the way their timing has been carefully orchestrated to inflame and embarrass.”[…]
“Please do not let this distract you from your work or cause you to worry that your work is not valuable, valued, and honorable,” Alexander said to employees. “It is all three.
‘Let me say again how proud I am to lead this exceptional workforce, uniformed and civilian, civil service and contract personnel,” he continued. “Your dedication is unsurpassed, your patriotism unquestioned, and your skills are the envy of the world.”
*träneverdrück*
In a memo to the CIA workforce this week, Brennan says the "Honor the Oath," campaign is intended to "reinforce our corporate culture of secrecy" through education and training."corporate culture", ernsthaft?!
“We are now putting in place actions that would give us the ability to track our system administrators, what they are doing, what they’re taking, a two-man rule. We’ve changed the passwords. But at the end of the day, we have to trust that our people are gonna do the right thing.”Mit anderen Worten: die fahren da jetzt die Paranoia hoch und trauen ihren eigenen Admins nicht mehr. Das wird sie vermutlich paralysieren. Überlegt euch mal, wieviel Hardware da rumsteht. Da geht bestimmt dauernd was kaputt. Wenn die da jetzt jedesmal Vier-Augen-Prinzip fahren, damit keiner Wanzen oder Hintertüren einbaut, dann wird da alles zum erliegen kommen. Das scheint auch die NSA verstanden zu haben:This is an individual who is not acting, in my opinion, with noble intent … What Snowden has revealed has caused irreversible and significant damage to our country and to our allies.
"The bottom line is very simple: allies are supposed to treat each other in decent ways, and Putin always seems almost eager to put a finger in the eye of the United States, whether it is Syria, Iran and now of course with Snowden. That's not how allies should treat each other and I think it will have serious consequences for the United States-Russia relationship."Klar, wenn die USA ein anderes Land freundschaftlich und respektvoll behandelt, dann ist es ja wohl Russland!1!! Aber hier ist das versprochene Doppelsprech. Es ist von Keith Alexander, dem NSA-Chef."To say that we're willfully just collecting all sorts of data would give you the impression that we're just trying to canvass the whole world," Alexander said.Ja aber echt mal, was für eine Frechheit, aufgrund der Faktenlage diesen Eindruck zu erwecken!1!!"The fact is what we're trying to do is get the information our nation needs, the foreign intelligence, that primary mission. The case that Snowden has brought up is in defending this nation from a terrorist attack. I'm confident that we're following the laws that our country has in doing what we do. We have a set of laws that guide how NSA acts; we follow those laws. We have tremendous oversight by all three portions of the government: the courts, Congress and the administration."Ich frage mich ja, ob das bei irgendwem funktioniert, diese billige Taktik. Erst anzukündigen, dass man die Aussage widerlegen will, dass man die ganze Welt abhört. Und es dann einfach nicht zu tun. Was für ein billiger Taschenspielertrick. Naja und der Rest ist das übliche Blubberblah, das sie immer rausholen, wenn sie mit der Hand in der Keksdose erwischt werden. Terror!! TERROR!!!
The aim of SIMON and SPECK s to fill the need for secure, flexible, and analyzable lightweight block ciphers.Das ist natürlich anders gemeint als ich es jetzt klingen lasse, aber hey, die NSA. Die kennt sich mit Analysierbarkeit von Verschlüsselungsverfahren aus! Das Hauptkriterium war Performance, das betonen sie mehrfach. Sicherheit taucht eher am Rande auf. Ich finde es auch witzig, dass das Papier der "No Such Agency" ausgerechnet als 404.pdf veröffentlicht wird. (Danke, Mathias)
The NSA maintains a massive database of U.S. email addresses and phone numbers. The agency says it does this only to help determine who is a U.S. citizen and therefore make sure that it’s not accidentally spying on those people.Ach sooo, deshalb braucht ihr die Datenbank. Na DANN ist das ja was VÖLLIG anderes. Vielleicht muss denen mal jemand erklären, wie das mit den Vorwahlen funktioniert bei Telefonen. Wobei sich das vermutlich auf US-Bürger im Ausland beziehen soll.Übrigens muss man da auch noch ein Bild korrigieren, dass Leute vielleicht im Kopf haben. Die sagen ja, wenn sie versehentlich Daten über einen Ami haben, dann löschen sie sie. Aber vorher werten sie das noch ordentlich aus, versteht sich:
When the NSA does pick up purely domestic communications, it can still use or pass the intercepted call or email to the FBI or other federal agencies if there is evidence of a crime or a national security leak.Oh und sie speichert, wann sich welches Telefon wo aufgehalten hat. Das sind die Datenquellen, bei denen sie auch mal "versehentlich" Daten über US-Bürger erlangen. Kann ja mal vorkommen.'
Britain's technical capacity to tap into the cables that carry the world's communications – referred to in the documents as special source exploitation – has made GCHQ an intelligence superpower.By 2010, two years after the project was first trialled, it was able to boast it had the "biggest internet access" of any member of the Five Eyes electronic eavesdropping alliance, comprising the US, UK, Canada, Australia and New Zealand.
UK officials could also claim GCHQ "produces larger amounts of metadata than NSA". (Metadata describes basic information on who has been contacting whom, without detailing the content.)
Dass die Briten da gut dabei sind, ist auch seit Jahren bekannt. Aber man wird ja immer wie ein Aluhutträger behandelt, wenn man das erwähnt :-)
Testifying before the Senate Judiciary Committee, Mr. Mueller addressed a proposal to require telephone companies to retain calling logs for five years — the period the N.S.A. is keeping them — for investigators to consult, rather than allowing the government to collect and store them all. He cautioned that it would take time to subpoena the companies for numbers of interest and get the answers back.Seht ihr? Das wäre viel zu ineffizient. Denn Effizienz ist es ja, worum es hier geht. Nicht Rechtsstaatlichkeit oder Verfassungstreue oder so.
Update: Oh, warte, stimmt gar nicht, Ebay hatte ja Skype gekauft! War also doch eine US-Firma.
Ähnlich korrupt läuft das bei Anhörungen ab. Immerhin sind die ehrlich benannt. Anhörung. Da geht es nicht darum, die Wahrheit zu finden, oder seine Position zu ändern. Mit vorgetragenen Fakten ist da nichts zu falsifizieren. Niemand ändert da seine Meinung, weil man ihm zeigt, dass er irrt. Da werden nur aus verfahrenstechnischen Gründen die Kritiker angehört, damit die nicht danach das Verfahren insgesamt anfechten können, weil sie nicht gehört wurden. Niemand hört ihnen zu. Man lässt sie kommen und reden und es geschieht nichts.
Und der Höhepunkt ist, wenn das Parlament eine Anhörung von Leuten wie Ziercke macht. Die tun ja genau das, was politisch gewollt ist. Der Ziercke ist ja nicht zufällig auf seinem Posten. Und dann laden die den vor, um dem Volk gegenüber den Eindruck zu erwecken, es gäbe Checks & Balances und der müsse sich verantworten. Die Presse berichtet das dann auch brav, meistens. Dabei sind die eigentlich Schuldigen die Befragenden, nicht die Befragten.
Besonders schön kann man diese Muster gerade in den USA sehen. Die FISA-"Gerichte" sind ja genau so entstanden damals. Da gab es einen Skandal, weil die NSA illegal Amerikaner abgehört hat. Also hat man die Gesetze geändert, damit das legal wird. Und so entstand diese ganze Farce mit den alles abnickenden geheimen "Gerichten". Und jetzt, als das ganze am hochblubbern ist, beraumt das Parlament eine Anhörung an, und "befragt" die Bosse von FBI und NSA. Weil wie bei uns mit dem Ziercke auch in diesem Fall die eigentlichen Täter im Parlament sitzen, und die Befragten da nur zur Show die bösen Buben mimen, die sich zu verantworten haben für ihre Missetaten, sind die Fragen natürlich alle abgekartete Softball-Dinger ala "wie viele fiese Terroristen haben Sie denn mit diesem Programm gefangen". Und der FBI-Boss deckt den NSA-Boss und spielt ihm einen Pass nach dem anderen zu. Peinlich war bloß dieses Detail hier, am Ende. Der NSA-Direktor glaubte, das Saalmikrofon sei schon aus, und sagte dem FBI-Typen:
"Tell your boss," NSA Director Keith Alexander told the FBI deputy director, "I owe him another friggin' beer."Da sieht man sehr schön, was das für eine enorme Farce ist.Es gibt da ja am Rande noch das Detail, dass jemand mal geguckt hat, was das so für 50 angebliche Terrorfälle sind, die die NSA da verhindert haben will. Und der erste auf den sie gucken ist ein Fall, wo ein Typ angeblich Wall Street sprengen wollte. Der wurde tatsächlich gefasst und verurteilt, aber nicht wegen Terror sondern wegen eines Geldtransfers an Al Kaida. Lolwhut?
Übrigens: Hier ist, was Obama der Merkel gesagt hat:
"This is not a situation in which we are rifling through the ordinary emails of German citizens or American citizens or French citizens or anybody else. This is not a situation where we simply go into the internet and start searching any way that we want. This is a circumscribed, narrow system, directed at us being able to protect our people and all of it is done with the oversight of the courts."Erinnert das jemanden an was? Die Verteidigung des bayerischen Innenministers für das Staatstrojanerprogramm vielleicht?Und die Merkel entblödet sich nicht, die Sauerland-Gruppe als Beispiel für abgewehrte Terror-Angriffe zu nehmen und der NSA für ihre Hilfe zu danken. m(
Oh und warum würde der FBI-Typ die NSA decken? Weil der natürlich selber einen Skandal am Bein hat, von dem er hofft, dass der jetzt platzt und nicht nächste Woche, wenn die Leute nicht mehr mit der NSA abgelenkt sind. Deshalb spricht er ihn auch gleich mal selber an.
[FBI-Direktor] Robert Mueller tells Congress bureau uses drones in a 'very, very minimal way' as senators describe 'burgeoning concern'
"Governments should not have this capacity. But governments will use whatever technology is available to them to combat their primary enemy – which is their own population," he told the Guardian.
Faulk says he and others in his section of the NSA facility at Fort Gordon routinely shared salacious or tantalizing phone calls that had been intercepted, alerting office mates to certain time codes of "cuts" that were available on each operator's computer."Hey, check this out," Faulk says he would be told, "there's good phone sex or there's some pillow talk, pull up this call, it's really funny, go check it out. It would be some colonel making pillow talk and we would say, 'Wow, this was crazy'," Faulk told ABC News.
Die NSA hat Telefonsex von US-Soldaten abgehört.
Haha, dachte ich mir da, der ist doch nicht ernstzunehmen. Klar, der wirkt auch nicht wie jemand, der sich aus PR-Gründen den Plot überlegt, bei Jay Leno solche Geschichten zu erzählen. Aber ein toller Kronzeuge ist das nicht.
Aber wie sich rausstellt scheint da was dran zu sein. Die überspezifischen Dementis bestreiten nämlich nicht, dass die Telefonate aufgezeichnet werden. Nur dass sie wahllos benutzt werden. Das ist wie damals der Ziercke bei dem Bundestrojaner, der bestritten hat, dass die Polizei so ein Machtinstrument missbrauchen würde, und dachte, damit sei er aus der Nummer raus. Genau so läuft das in Amerika auch gerade. Und dann packet da auch noch dieser ehemalige FBI-Counterterrorismusexperte bei CNN aus und dementiert sein Statement später wieder, nachdem er offensichtlich von oben aufs Maul gekriegt hat. Aber da ist die Katze schon aus dem Sack.
Leute, was habt ihr denn gedacht, wieso die NSA so ein riesiges Rechenzentrum in Utah bauen will? Was dachtet ihr denn, was die da speichern wollen? Katzenbilder?
Update: Offenbar versagt twimg.com gerade, das Foto findet ihr auch bei hackerphotos.
Und wer sich jetzt denkt, hey, wenn das bei den Amis zu Missbrauch führt, wieso sollte das bei uns nicht zu Missbrauch führen? Der hat natürlich völlig Recht. Unsere parlamentarische Aufsicht ist genau so eine Luftnummer wie bei den Amis. Eher noch mehr. Denn bei den Amis traut sich immerhin gelegentlich mal jemand was zu sagen. Das ist bei uns natürlich völlig undenkbar. Grotesk, geradezu, die Vorstellung. Bei uns wird die Revolution abgesagt, weil das Betreten des Rasens verboten ist.
Heute: NSA admits listening to U.S. phone calls without warrants.
National Security Agency discloses in secret Capitol Hill briefing that thousands of analysts can listen to domestic phone calls. That authorization appears to extend to e-mail and text messages too.Hups… äh… bedauerliches Missverständnis. Der Mann war nicht gebrieft. Was sagen Sie? Das waren die beiden Vorsitzenden der parlamentarischen Geheimdienstaufsicht, und das wäre noch viel schlimmer, wenn die nicht gebrieft wären? Äh, öh, uhm, … oh schauen Sie, wie spät es schon ist! *wegrenn*
Aber der Hammer ab der Geschichte jetzt ist, wie dieser Abgeordnete seinen Vorstoß kommentiert:
‘If Obama has nothing to hide he has nothing to fear,’ says Stockman
Noch magenentleerender stößt mir auf, dass die Apple-Sprallos sich jetzt ernsthaft einen Heldenmythos zurechtlegen, dass Apple sich ja jahrelang geweigert hätte, mit der NSA zusammenzuarbeiten, und erst als der Heilige Steve in die ewigen Jagdgründe befohlen wurde, da knickte Apple ein!1!! Auf die Idee, dass Apple schlicht keine Rolle spielte als Kommunikationsinfrastrukturprovider, besonders für Terroristen, die ihr Geld lieber für Sprengstoff und Flugtickets ausgeben als für krass überteuerte Lifestyle-Gadgets, kommt natürlich niemand bei den Apple-Apologeten. m(
Auch das ist alles seit Jahrzehnten bekannt oder wird laut gemunkelt. Wirklich wissen tut man sowas natürlich nur in den seltensten Fällen. Aber in der Praxis gehe ich zumindest im Umgang mit Software aus den USA immer davon aus, dass da alle möglichen Dienste mal reingeguckt und nach 0day gesucht haben. Bei freier Software weiß man wenigstens, dass auch andere mal reingeguckt haben :-)
Update: Auch 0days werden laut Artikel rausgerückt, aber das bringt den Diensten weniger als den Quellcode rauszurücken. Denn das ist halt nur die Lücke, nicht der Exploit, und wenn man das von Microsoft kriegt, dann weiß man ja auch, dass die gerade dabei sind, das zu fixen. Daher gibt es nur ein sehr begrenztes Zeitfenster, in dem das tatsächlich ein 0day ist. Diese Vorab-Info über Sicherheitslücken an Regierungen ist übrigens auch seit Jahren bekannt.
He allowed that “security agencies” must be “controlled by the public” and that tapping phones should require court approval (the NSA is required to ask a court’s permission for each case, although that court has never actually said no). With such oversight, Putin said, “That’s more or less the way a civilized society should go about fighting terrorism with modern-day technology. As long as it is exercised within the boundaries of the law that regulates intelligence activities, it’s alright.”Money Quote:“That’s the way it’s done in the U.S., and that’s the way it’s done in Russia.”Und dann dieser Kracher:Putin’s only disagreement with the United States seemed to be President Obama’s argument, in explaining the programs, that “You can’t have 100 percent security and also then have 100 percent privacy and zero inconvenience.” Putin responded, “Yes you can.”HAHAHAHA
Auf der anderen Seite schreiben sie auch, dass der holländische Inlandsgeheimdienst AIVD "Dauergast" bei ihnen ist. Nur falls jemand dachte, bei uns sei das irgendwie besser als in Amerika.
Ein Mitarbeiter so: Psst, naja, äh, "umfassend" ist vielleicht etwas zuviel gesagt
Obama so: Na dann briefen wir sie halt jetzt schnell.
"What we learned in there," Sanchez said, "is significantly more than what is out in the media today."Lawmakers are barred from revealing the classified information they receive in intelligence briefings [..]
Das ist ja auch der Trick, mit dem sie Congressional Oversight machen und bei uns parlamentarische Geheimdienstaufsicht. Totaler Bullshit, wenn die Leute dann nicht öffentlich machen können, wenn sie üble Missstände vorfinden."I can't speak to what we learned in there, and I don't know if there are other leaks, if there's more information somewhere, if somebody else is going to step up, but I will tell you that I believe it's the tip of the iceberg," she said.Und weiter:Sanchez said lawmakers were "astounded" by what they heard."I think it's just broader than most people even realize, and I think that's, in one way, what astounded most of us, too," Sanchez said of the briefing.
Das muss man natürlich als das sehen, was es ist: Ass Covering. Also WIR Abgeordnete wussten ja von GAR NICHTS, das ist alles Schuld von Obama und der NSA!1!! Dabei haben sie die Gesetze durchgewunken.
Obama stellt sich hinter Clapper.
As the Obama administration insists that Congress was fully informed about the National Security Agency's widespread surveillance on Americans' phone recordsUnd dann kloppt Clapper diesen Kracher raus:James Clapper, the director of national intelligence, has now admitted he gave the "least untruthful" answer to a direct question in March about the extent of surveillance on US citizens.Hey, was wollt ihr denn, ich hätte noch viel mehr lügen können!1!!Update: Es gibt da einen alten Agenten-Spruch, der ganz gut passt. "If you don't ask me stupid questions, I don't need to tell you any lies."
Update: Bei uns läuft das ähnlich.
Und Anonymous(?) ruft zur Operation Troll The NSA auf. Brilliante Idee, Jungs!1!! Herzlich willkommen an Bord von Air Rendition auf unserem Flug CIA-23 nach Guantanamo…
Zwei wichtige Lektionen:
Regina Ip, chair of the pro-Beijing New People’s Party and formerly Hong Kong’s security secretary, said the city was “definitely not a safe harbour” for the NSA contractor, whom Washington lawmakers have demanded be returned to the US for prosecution.Ms Ip told reporters the city would be “obliged to comply with the terms” of the extradition treaty between Hong Kong and the US, which was signed in 1997, should the US submit an official extradition request. “It’s actually in his best interest to leave Hong Kong,” she said.
Aus der Formulierung lese ich eine gewisse Sympathie heraus, aber das hilft ihm ja auch nichts im Notfall. Er hatte in dem Interview angesagt, dass er gerne nach Island gehen würde, aber die Isländer haben auch schon abgewunken. Dort kann man nur Asyl beantragen, wenn man schon im Land ist. Da müsste er also erstmal irgendwie hinkommen, ohne auf dem Weg von den Amis abgegriffen zu werden. Und auch dann ist klar, dass der nirgendwo vor einer Rendition sicher ist. Die Amis haben da ja Erfahrung und eine weltweite Infrastruktur für das ungebetene Eindringen in Länder, Abgreifen von Menschen, und Verschwindenlassen in geheimen Folterknästen.Das einzige Argument für ihn ist, dass er jetzt eine weltbekannte Figur in den Medien ist, und es im Rest der Welt schlecht für das Image der USA wäre, wenn die den jetzt misshandeln. Aber hey, da haben die Amis ja noch nie was drauf gegeben, wie man am Fall Manning sehen kann.
I, sitting at my desk, certainly had the authority to wiretap anyone. From you or your accountant, to a federal judge and even the president, if I had a personal email.
Michael Hayden, who served most of his tenure as NSA director under George W Bush, said there was "incredible continuity" between the two presidents.A friend in need is a friend indeed :-)
“For me, it is literally – not figuratively – literally gut-wrenching to see this happen because of the huge, grave damage it does to our intelligence capabilities,” Clapper told NBC News’s Andrea Mitchell.Und Glenn Greenwald antwortet wunderschön böse :-)Vereinzelt gibt es schon Vergleiche zwischen Obama und Bush in den Mainstream-Medien. In einem Interview mit ABC News macht er noch den wichtigen Punkt, dass es ja auch in den USA angeblich parlamentarische Aufsicht über die Geheimdienste gibt. Das ist dort natürlich genau so ein nutzloses Feigenblatt wie bei uns. Konkret fragen da einige besorgte Abgeordnete seit Jahren nach Statistiken der NSA, wie schlimm das denn eigentlich konkret ist, wieviele Amerikaner betroffen sind (dass Untermenschen aus anderen Ländern komplett abgehört werden, da kräht natürlich kein Hahn nach). Und die NSA sagt dann immer, darüber läge keine Daten vor und sie könnten auch nicht mal eine grobe Schätzung abgeben. Und jetzt, in diesen Leak-Folien, sieht man eben sehr schön, dass sie da eben doch sehr genaue Statistiken haben intern. Ist ja auch logisch. Die lügen seit Jahrzehnten ihre parlamentarische "Aufsicht" an. Genau wie die Dienste bei uns. Auch sehr schön ist seine Antwort auf die Diskreditierungsversuche des Geheimdienstestablishments:
The only thing we've endangered is the reputation of the people in power who are building this massive spying apparatus without any accountability who are trying to hide from the American people what it is that they are doing. There is no national security harm from letting people know that they are collecting all phone records, that they are tapping into the Internet, that they are planning massive cyber attacks both foreign and — and even domestic. These are things that the American people have a right to know. The only thing being damaged is the credibility of political officials and the way they exercise power in the dark.*Strike*Update: Der Twitter-Feed von Glenn Greenwald ist übrigens auch ganz großes Kino gerade. Inklusive Fehdehandschuh :-)
Aber so harmlos, wie die es da klingen lassen, ist es nicht.
Erstens sind das keine Anfragen nach einem Telefonat, von einer Person, oder allen Telefonaten von einer Person, sondern das kann Muster und Regeln haben und am Ende ist dann doch unklar viel betroffen. Zweitens können die Firmen das natürlich nicht ablehnen, wenn das von einem Richter unterschrieben wurde, denn das entspricht ja tatsächlich der Gesetzeslage, auch wenn man die Gesetze jetzt illegitim und verwerflich finden mag. Drittens dürfen die Firmen auch nicht den Betroffenen Bescheid sagen oder auch nur Statistiken veröffentlichen. Mit anderen Worten: Das kann immer noch alles genau so schlimm sein wie es von Anfang an aussah. Das ist jetzt halt Schadensbegrenzungs-Spindoktoring. Wie immer von Obama. Große Worte. Und die Taten gehen dann in die Gegenrichtung. Der war ja schon immer gut darin, die Leute mit seinen Aussagen irrezuführen. Er hat ja nicht angesagt, dass er warrantless wiretapping abschafft, sondern dass er illegal warrantless wiretapping abschafft. Die Leute hörten: der schafft warrantless wiretapping ab. Tatsächlich hat er das einfach legal gemacht, damit ist die Aussage aus formaljuristischer Winkeladvokatsperspektive auch jedenfalls nicht gänzlich unwahr.
Update: Oh und der Guardian legt nach mit einer weiteren NSA-Folie. Die ist schon ziemlich eindeutig und sagt, dass die NSA nicht nur direkt die Daten von den Servern einsammelt ("Collection directly from the servers" ist schon echt schwierig wegzuspindoktorn. Das will ich mal sehen, wie Obamas Schergen das machen), sondern auch die Glasfasern komplett abgreift. Das ist auch nicht weiter neu oder überraschend, wenn man nicht gerade die letzten Jahrzehnte im Winterschlaf verbracht hat. Aber bei den Glasfasern kriegt man halt nur den verschlüsselten Traffic, daher PRISM. Damit Sie auch morgen noch kraftvoll abschnorcheln können.
Das Liveblog beim Guardian ist überhaupt ganz großes Popcornkino. Obamas National Security Pressefuzzy hat auf Twitter herumgefurzt, wenn man bei Wikileaks den Manning verfolge, wieso denn die Leute dann beim Ausleiten von "US national security information to a foreign news outlet" sich nicht größere Sorgen machen. Woraufhin der Guardian nicht nur erklärt, dass sie auch eine US-Niederlassung haben und der NSA bei allen Dokumenten, die sie zu veröffentlichen planen, Gelegenheit zum äußern von konkreten Bedenken zur nationalen Sicherheit gegeben haben. Und noch einen Scoop haben sie: sie haben mal geguckt, wo eigentlich so die Daten herkommen, die die NSA da so auswertet. Die Farbskala geht von grün für wenig Daten über Orange für viele Daten bis Rot für sehr viele Daten. Man sieht, dass da der Großteil der Welt grün ist. Rot sind Iran und Pakistan, Orange sind Ägypten und Indien, Russland, Libyen und Syrien (!?) sind grün, und als einzgie in Europa orange ist … Deutschland! Auch orange sind die USA. Der NSA ist explizit verboten, US-Bürger zu überwachen. Das ist ein ziemlicher Kracher.
HAHAHAHAHAHAHA, was für Vollpfosten! Sogar das EU-Parlament hat das schon festgestellt! Was kommt jetzt, Ilse Aigner kündigt ihren NSA-Account? Für wie blöde halten die uns eigentlich?
Oh übrigens, falls das noch nicht jedem klar war, wieso Europäische Regierungen solche Programme nicht nur gutheißen sondern noch fördern: Das konnte man bei der SWIFT-Affäre gut sehen. Die haben schlicht einen Deal mit den Amis gemacht. Die Amis kriegen unsere Daten, auf Zuruf kriegen die Europäer Auswertungen der Daten von den Amis, und dafür sind und bleiben die Amis die Alleinschuldigen, wenn es auffliegt. Und kein EU-Land hat sich die Finger schmutzig gemacht. So können wir weiter schön von Datenschutz und Privatsphäre herumheucheln. Auch bei diesem PRISM-Programm haben die Briten mitgeschnorchelt. So läuft das jedesmal. Und dann lügen sie uns ins Gesicht, sie hätten ja keine Ahnung gehabt, dass unsere Freunde in Amerika unsere Daten so missbrauchen würden!1!!
In Amerika war sowas noch nie ein Problem. Da stellt sich dann ernsthaft der Geheimdienstdirektor hin, nennt es verwerflich, dass das Programm öffentlich gemacht wurde, das gefährde die nationale Sicherheit, dann verfolgt man die Whistleblower und alles geht weiter wie vorher.
Dann: Dass das ehemalige Nachrichtenmagazin das als Obama-Programm bezeichnet, obwohl das schon seit 2007 läuft. Das schreiben sie sogar selber. Obama ist erst seit 2009 im Amt. Ihn trifft mehr als genug Schuld, keine Frage, aber das ist ein Bush-Programm, kein Obama-Programm. Obama hat genug Dreck am Stecken, da muss man nicht auch noch Bush-Dinger dazutun.
Und schließlich: Wie so nach und nach alle schönen Verschwörungstheorien, für die Leute über Jahrzehnte als paranoide Spinner verunglimpft wurden, sich als wahr herausstellen. Die Existenz der NSA war jahrelang eine Verschwörungstheorie, dann Echelon, dann dass sie auch Amis abhören. Das Nato-Stay-Behind-Netzwerk war Verschwörungstheorie. Dass die Polizei Undercover-Cops als Provokateure einsetzt, um einen Vorwand zu schaffen, Demonstranten plattzuprügeln, war lange Jahre eine Verschwörungstheorie. Dass auch der Westen unsere Post gelesen hat, nicht nur der Osten, war jahrelang Verschwörungstheorie. Dass die CDU sich über Schwarzgeld finanziert. Dass Atomkraftwerke gefährlich sind und in die Luft fliegen können. Dass in Militärlabors Krankheitserreger tiefergelegt werden, für höhere Tödlichkeit, zum Einsatz im Krieg. Dass Regierungen Gehirnwäsche-Programme haben. Bewaffnete Raumstationen. Orbitale Laserwaffen. Dass Entwicklungshilfe Industrieförderung ist. Dass vorgeblich humanitäre Kriege tatsächlich aus handfesten imperialistischen Gründen wie Ölrechte geführt werden. Hey, sogar dass der Westen in fernen Ländern an Putschen beteiligt ist, war mal nur eine Verschwörungstheorie. Oder dass Geheimdienste Drogen schmuggeln.
So langsam werden die Theorien knapp, die sich noch nicht als wahr herausgestellt haben. Was kommt als nächstes? Queen Elizabeth ist wirklich ein außerirdisches Reptil?!
Aber die größte kognitive Dissonanz tut sich gerade zwischen "wir hören seit Jahren insgeheim die gesamte Bevölkerung ab" und "Bradley Manning muss wegen Verrats lebenslänglich ins Gefängnis, weil er der Presse die Wahrheit verraten hat" auf, finde ich. Wie die ihr Abhör-Programm mit der gleichen "das ist für die nationale Sicherheit"-Floskel begründen wie ihr Verhalten gegenüber dem Manning. Stellt euch mal vor, der Manning hätte das NSA-Schnüffelprogramm verraten. Was die wohl mit dem machen, der dieses Dokumente dem Guardian zugesteckt hat?
Die Russen haben das übrigens schon seit Jahren gesagt, dass die NSA alle abhört. Hat ihnen keiner glauben wollen.
Und wisst ihr was? In ein paar Wochen wird das nahtlos zu "haben wir doch schon immer gewusst, dass die Amis das machen" übergehen. Wie es auch bei Echelon war. Und der Existenz der NSA. Erst "du bekloppter Verschwörungstheorietiker", dann kommen Beweise raus, und dann, nahtlos, haben es alle schon immer gewusst. Achtet mal drauf. Niemand wird sich in ein paar Wochen noch daran erinnern können, andere Leute als Verschwörungstheoretiker abgetan zu haben, weil sie behauptet haben, die NSA höre auch Amerikaner ab. Aus unserer Sicht in Europa kann das ja eh wurscht sein, dass wir alle abgehört werden ist ja schon seit den 80er Jahren keine Verschwörungstheorie mehr.
Update: Habt ihr übrigens auch gesehen, dass die betroffenen Firmen das alle dementieren? Lolwut?
The National Security Agency and the FBI are tapping directly into the central servers of nine leading U.S. Internet companies, extracting audio, video, photographs, e-mails, documents and connection logs that enable analysts to track a person’s movements and contacts over time.Und sie haben eine Liste der Teilnehmer:They are listed on a roster that bears their logos in order of entry into the program: “Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube, Apple.” PalTalk, although much smaller, has hosted significant traffic during the Arab Spring and in the ongoing Syrian civil war.Dropbox , the cloud storage and synchronization service, is described as “coming soon.”
Und DIE wollen der Welt Demokratie und Menschenrechte bringen!
The Chinese response, essentially: Look who’s talking. “You go in there, you sit across from your counterpart and say, ‘You spy, we spy, but you just steal the wrong stuff.’ That’s a hard conversation,” says Michael Hayden, who headed the NSA, and later the CIA, under Bush.Bwahahahaha! Oh und wo arbeitet der gute Mann jetzt? Bei der Chertoff Group! Chertoff, Chertoff, der Name kommt euch bekannt vor? Der hier.Angesprochen darauf, dass sie ja auch hacken, haben die Amis sich ein lustiges Rechtfertigungsgebilde zurechtgelegt:
The U.S. position is that some kinds of hacking are more acceptable than others—and the kind the NSA does is in keeping with unofficial, unspoken rules going back to the Cold War about what secrets are OK for one country to steal from another. “China is doing stuff you’re not supposed to do,” says Jacob OlcottJa nee klar. Die Amerikaner würden NIEEEEE Industriespionage betreiben, z.B. bei Airbus oder so. Völlig undenkbar!1!!Sehr schön auch, wie die NSA ihr Hacker-Team benannt hat:
The men and women who hack for the NSA belong to a secretive unit known as Tailored Access Operations.Tja und was machen die Amis jetzt, wo sie nicht gegen das Hacken der Chinesen wettern können, weil sie selber noch viel mehr hacken? Na klar! Erpressung, was sonst.Intelligence officials say one way to exert pressure on China is to change the subject from spying to trade—threatening restrictions on imports of goods made using stolen technology, or withholding visas for employees of companies that make such products.Ich finde das ja immer hochamüsant, wenn sich Schurken gegenseitig moralische Verfehlungen vorhalten.
They work primarily with the Ft. Meade customer … combination of offensive and defensive Cyber software engineering … Reverse Engineering, Penetration Testing, Malware Analysis, and the application of Big Data / Cloud technologies to Cyber problems … seeking Kernel and Device Driver Developers (Windows or Linux/Unix)Falls jemand nicht weiß, wer der Ft. Meade customer sein könnte: Wikipedia hilft. Da sitzen das United States Cyber Command und die NSA.
Viele kleinere und größere Details sind immer noch zensiert.
Update: Cryptome hat einen Mirror.
Update: Mir gehen gerade Screenshots zu, dass die nsa.gov unter der Last zusammenbricht. Dabei hab ich extra auf http und nicht auf https gelinkt. Bitte nicht mehr auf den Link klicken, ich will nicht nach Guantanamo.
CSC, CSC … CSC … da war doch was. Oh ja richtig! Das waren die hier, die ihre Business-Jets für Rendition-Flüge nach Guantanamo an die CIA ausgeliehen haben. Und nicht nur Guantanamo, auch an andere Folterknäste.
Nur falls jemand noch Zweifel hatte, wie diese Trojaner-Geschichte ethisch/moralisch einzuordnen ist. Das war damals der militärische Arm von Dyncorp, den hat CSC inzwischen wieder verkauft. Aber wisst ihr, was CSC noch so macht? Die machen den "Groundbreaker"-Rahmenvertrag für die NSA. Über zwei Milliarden Dollar ist der Vertrag wert. Mit anderen Worten: die NSA prüft hier über Bande den Trojaner des BKA.
Awarenessteam? Ja, wir hatten ein Awarenessteam. Das A-Team war mit 8 Teilnehmern sehr großzügig besetzt, wenn man bedenkt, dass es aus Sicht des Clubs keine Anzeichen dafür gab, dass es hier wirklich ein Problem gibt, und dass der Club an anderer Stelle Probleme hatte, genügend viele Freiwillige zu finden, um alle nötigen Aufgaben während des Kongresses erledigen zu können. Es gab auch mehrere Gender-Vorträge im Programm, das ist unter Hackerkonferenzen ein Alleinstellungsmerkmal. In einem Programm, das sich dann auch prompt als "hat zu wenig Tech-Talks" beschimpfen lassen musste.
Ich muss ein bisschen ausholen, um das Mimimi zu rechtfertigen, was gleich kommt. In der Berichterstattung über den 29c3 gab es den schönen Satz, dass die Hamburger Behörden das Konfliktpotential beim 29c3 geringer als bei einem Kirchentag einschätzen. Das würde ich sogar noch drastischer formulieren wollen. Wenn man auf dem Congress eine kaputte Fernbedienung irgendwo liegen lässt, wird die nicht nur nicht geklaut, sondern mit einer gewissen Wahrscheinlichkeit hat sie der Finder auch gleich noch repariert. Ein Kumpel hat auf dem Camp sein Auto abzuschließen vergessen. Das stand da ein paar Tage unabgeschlossen rum. Niemand hat es geklaut, auch das Autoradio war noch da. Nach dem Camp fuhr er in die Innenstadt, parkte, schloss ab, ging kurz was essen, kam zurück, da war das Auto aufgebrochen und der Inhalt geklaut. Hacker sind zwar manchmal sozial gestört, introvertiert, werden in der Schule gemobbt, aber gerade das sorgt dafür, dass sie Respekt vor der Privat- und Intimsphäre Anderer haben und nicht übergriffig werden. Gibt es Ausnahmen? Bestimmt. Außerdem kommen zu so einer Massenveranstaltung ja nicht nur Hacker. Und wir machen ja am Eingang keine Gesinnungskontrolle mit Lügendetektor. Und dann gibt es da noch den Einfluss von Alkohol und anderen Drogen.
Der Congress ist ein Community-Event. Das ist kein "die Orga macht und ihr konsumiert". Die Vorträge kommen aus der Community, die Helfer kommen aus der Community, die Orga rekrutiert sich aus der Community, sogar die Auswahl der Vorträge ist ein Community-Ding. Wer etwas auf dem Congress haben möchte, der bringt die nötigen Teile mit und macht es einfach. "Die Orga" schafft die nötige Infrastruktur (Strom, Licht, Wasser, Internet, Platz, Blog, Wiki), den Rest machen die Teilnehmer selbst. In diesem Kontext muss man sich die Bestürzung des A-Teams vorstellen, als der erste Konfliktpunkt war, dass jemand im Wiki eine Seite mit sexistischem Dummschwall hinterlassen hatte. Und das war jetzt nicht mal Kram, der Argumente hatte, und möglicherweise Schaden anrichten kann, weil er Leute umstimmen könnte, sondern offensichtlicher Vandalismus. Das ist ein Wiki. Die korrekte Reaktion wäre gewesen: Dummschwall löschen. Der Edit-Button ist auf der Seite selbst. Klicken, Text rausnehmen, Submit klicken, fertig. Ein Dutzend Menschen haben sich auf Twitter über diese Seite empört. Niemand hat den Edit-Button gefunden. Und keiner rief bei der Hotline an.
Ein anderes Beispiel war, dass jemand aus den Creepercards einen Frauenkörper gelegt hatte. Erinnern wir uns kurz daran, was ein Hacker ist. Ein Hacker ist jemand, der kreativ mit Dingen umgeht, die andere nur wie vorgesehen benutzen würden. Hier hat jemand Creepercards gesehen und ist damit kreativ umgegangen. Genau diese Art von Menschen wollen wir haben! Die aus an sich negativen Dingen Kunst machen können! Das war aus meiner Sicht auch das Hauptproblem und Auslöser für die unentspannten Momente, dass die meisten Besucher die Karten nicht ernst nahmen, sondern für einen Spaß hielten. In einem Umfeld, in dem Pro-Guttenberg-Demonstrationen organisiert werden und in dem Leute mit Fnord-T-Shirts herumlaufen, die täuschend echt nach dem Ford-Logo aussehen, ist das ja wohl auch nicht verwunderlich, denn die Karten erfüllten alle Kriterien von Satire: kein Ansprechpartner genannt, keine Anleitung oder Einführung zum Schaffen eines Problembewusstseins dabei, keine weiterführenden Links, anhand derer man sehen kann, was einem da eigentlich gerade konkret vorgeworfen wird und wie man sein Verhalten ändern soll, und aus Sicht der meisten Besucher bestand auch kein Bedarf an einer Lösung für das Sexismus-Problem, weil das Problem so nie wahrgenommen wurde. Ich würde sogar konstatieren, dass die Karten für ihren vorgeblichen Zweck offensichtlich völlig ungeeignet waren, aber das hat auch mit dem Congress zu tun, der ja nicht grundlos Chaos Communication Congress heißt. Beim Congress geht es um das Kommunizieren. Sexismus ist ein soziales Problem, sowas löst man, indem man miteinander redet. Diese Karten sind kein Kommunikationsmittel, sondern ein Kommunikationsbeendigungsmittel. Das ist kein Kommunizieren, das ist ein Pranger. Auf den roten Karten stand sinngemäß drauf, man solle froh sein, dass man nicht direkt einen in die Fresse gekriegt habe, und stattdessen nur diese Karte hier überreicht bekommen hat. Wer körperliche Gewalt androht, hat sich in jeder auf Kommunikation aufbauenden Kultur direkt vollständig und nachhaltig selbst disqualifiziert. Ich für meinen Teil habe die Debatte im Vorfeld partiell mitgekriegt und nahm an, dass die Karten ernst gemeint waren. Der Großteil der Congressteilnehmer wusste das nicht und hielt das für einen schlechten Scherz. Dementsprechend wurden dann damit gespielt. Das Spektrum ging vom erwähnten Frauenkörper über ein Penis aus grünen Karten, über eine Krone, ein Minecraft-Creeper, ein Brustpanzer (sehr meta!) bis hin zu Space Invaders. Für Penis und Frauenkörper gibt es inzwischen ein Bekennerschreiben. Das A-Team hat sich mit denen hingesetzt und ihnen erklärt, dass das eine Provokation sei und für die Gesamtsituation nicht förderlich, und dann war das weg und alles war wieder gut. Kommunikation hilft nämlich in solchen Situationen — im Gegensatz zu Pranger-Karten.
Der andere wohlpublizierte Fall war das Hacker Jeopardy, bei dem auf Twitter die größte Empörung von Menschen kam, die überhaupt nicht auf dem Congress waren. Und nur ein verschwindend geringer Bruchteil von denen hatte die Integrität, das auch dranzuschreiben an ihre Tweets. Ich empfehle jedem, sich erstmal in Ruhe den Stream anzugucken, bevor sich da irgendwelche Meinungen auf Basis von Hysterie-Tweets anderer Leute bilden. Die rote Karte ist ihrem Text nach zu urteilen ausdrücklich für wirklich widerliche, handgriffliche, physische Übergriffe gedacht, so Kategorie "Angreifer nähert sich mit heruntergelassener Hose und ausgestreckten Händen in Grabbelhaltung". Ich kann es den Moderatoren angesichts der geradezu lächerlichen Zoten, derer sie da angeklagt werden, nicht übel nehmen, dass sie die Übergabe der roten Karten für eine Satire-Handlung hielten. Zumal hier mit unproportionaler Agressivität auf Witze über die Creepercards reagiert wurde, nicht über Frauen oder Minderheiten. Über die Karten. Es gab danach ein Gespräch zwischen den Moderatoren und dem A-Team und jetzt sind die Missverständnisse ausgeräumt. Kommunikation hilft nämlich bei sowas, Karten nicht.
Sehr spannend beim Hacker Jeopardy ist auch, dass bei all dem gerechten Zorn und der Hysterie auf Twitter (bis hin zu "Macker-Jeopardy" und Aufrufen, die Moderatoren rauszuschmeißen und Hacker-Jeopardy zu verbieten!) kaum jemand sagen konnte, was eigentlich der Auslöser war. So nichtig war der Auslöser. Eine Version, die ich hörte, war dass jemand angesichts der offenen Frauenförderung der Moderatoren gegen die positive Diskriminierung protestieren wollte. Dem kann man sich jetzt inhaltlich anschließen oder nicht, aber eine rote Karte für positive Diskriminierung ist ja wohl völlig indiskutabel.
Unter dem Strich stellte sich bei Einigen die Befürchtung ein, dass es bei diesen Karten gar nicht darum geht, irgendein tatsächlich vorhandenes oder eingebildetes Sexismus- oder Übergriffsproblem zu lösen, sondern es nur um das Kaputtmachen des Kongresses geht. Es gab da im Vorfeld einige Tweets und Blogkommentare im Umfeld der Klotür-Geschichte, die sich so deuten ließen. Auf der anderen Seite soll man niemandem bösen Willen unterstellen, nur weil das Ergebnis ihrer Bemühungen negativ ist und sie ihren Kurs nicht korrigieren. Daher gab es Gespräche zwischen A-Team und der Flauscheria und (soweit bekannt) den Mitbringern der Creepercards, die am Ende in einer "Policccy"-Gesprächsrunde mündeten. Das Ergebnis war ernüchternd. Die Creepercard-Verantwortlichen schoben das Versagen der Karten der Congress-Orga in die Schuhe. Einige der üblichen Verdächtigen kamen gar nicht erst zu dem Treffen. Das hat die Fronten eher verhärtet, auf Clubseite fallen jetzt vereinzelt Wörter wie "Agitation", und es stellt sich das Gefühl ein, dass hier jemand angereist ist, um Vorwände für Empörung zu suchen, und wenn kein Problem da ist, dann konstruiert man halt eines, indem man zu einer Gameshow spät in der Nacht geht und dort die flapsige Moderation anprangert. Das fühlt sich alles an wie ein Trollversuch, nicht wie der berechtigte Hinweis auf ein tatsächliches Problem. Und der Verlierer ist am Ende der Kampf gegen den tatsächlichen Sexismus, denn hier werden Begriffe wie "Sexismus", "Vergewaltigung", "Rape Culture" u.ä. so inflationär durcheinandergeworfen, dass am Ende jemand mit einem wirklichen Übergriffsproblem statt der nötigen Hilfe ein "Haha, hat dir jemand was an die Klotür gemalt?" kriegt, weil drumherum so viel undifferenziert hyperventiliert wurde.
Wie fließend die Übergänge zwischen Satire und Realität waren, kann man anhand dieses Tweets an sich selber prüfen. Ist das jetzt ernst gemeint oder Satire? Die können doch nicht ernsthaft eine Flauschecke aufmachen und dann Knutschende rausschmeißen? Oder doch? Schon während des Kongresses hat die Presse angefangen, explizit nach Frauen auf dem 29c3 zu suchen. Ihr werdet doch bestimmt auch krass unterdrückt hier, oder? Operation erfolgreich, Patient tot.
Oder wie ist es hiermit? Die Karten haben nicht nur die Stimmung vergiftet, sondern selbst zu mehr Belästigung geführt als es vorher ohne sie gab und sie zu bekämpfen vorgaben. Klar, man kann da jetzt Unwissenheit, Naivität und Inkompetenz unterstellen. Oder man kann davon ausgehen, dass das die Absicht war. Ich habe mir meine Meinung noch nicht zu Ende gebildet an der Stelle, tendiere aber alleine aus verschwörungstheoretischen Gründen grundsätzlich zu Absicht.
Unabhängig davon ist der Schaden natürlich jetzt angerichtet. Weil hier ein paar Menschen ihr Lebensbild dem Rest der Welt aufdrängen wollten, hat der Kongress jetzt nicht nur Gender-Trolle sondern auch Maskulinisten am Bein, und Taliban aller Couleur. Hier wird "ich fühle mich belästigt" zum Maßstab für das Handeln aller Anderen erhoben. Was wenn nächstes Jahr die katholische Kirche oder die Scientologen ankommen und sich in ihrer Religionsausübung unterdrückt fühlen? Einer der Vorträge dieses Jahr war Sprache, Ungleichheit und Unfreiheit von Anatol Stefanovitsch. Das hätte die Debatte voranbringen können, aber ging so im Gezeter über "Macker-Jeopardy" unter.
Abschließend möchte ich noch darauf hinweisen, dass der CCC seit Jahren gegen die Vorratsdatenspeicherung kämpft, weil dort weite Teile der Bevölkerung unter Pauschal-Verdacht gestellt werden. Einer der NSA-Whistleblower hat in seinem Vortrag erwähnt, dass eine der wichtigsten Freiheiten die Freiheit von Verdacht und Ermittlung sei. Und jetzt kommen hier ein paar selbsternannte Aktivisten und fordern von uns, dass wir unsere Teilnehmer unter Pauschalverdacht stellen und Warnhinweisschilder aufstellen, dass sexuelle Übergriffe und Sexismus bei uns unerwünscht sind. Das zeugt von einem so geringen Ausmaß an sich vorher mal auf die Zielgruppe eingelassen habens, dass solche Leute bei mir direkt verloren haben und das auch nur unter größtem Aufwand wieder reparieren können. Überhaupt drängt sich der Eindruck auf, dass die lautesten Kritiker noch nie auf einem Kongress waren.
(Kurzes Intermezzo) Wo kommen diese Creeper-Cards eigentlich her? Aus den USA. Dort herrscht eine völlig andere Hacker-Konferenz-Kultur. Auf der Defcon liefen vor ein paar Jahren Porno-Modelle halbbekleidet herum und machten Werbung für diese Porno-Produktion, bei der ein Model die nmap-Homepage vorliest. Da gibt es auch eine ganz andere Prüderie und ein höheres Alterslimit für Alkohol, was sich dann auf Konferenzen so niederschlägt, dass hormonell unbalancierte Jugendliche zum ersten Mal Alkohol trinken und mit weiblichen Brüsten konfrontiert werden und dann enthemmt Frauen angraben. Die Leute, die diese Karten nach Deutschland geholt haben, kennen vermutlich weder die Defcon noch den Kongress. Die Defcon findet übrigens in Las Vegas statt, d.h. das Ambiente dort sind Spielhöllen, Showgirls und Stripper.
Die Lautesten unter den Empörten waren auch diesmal nicht vor Ort sondern empörten sich aus der Ferne. Einige kamen beim Kongress direkt mit einer Haltung wie "respektiert mich endlich auch mal und hört mit dem Grapschen auf" an, und wunderten sich dann über das Unverständnis derjenigen, die seit Jahren da sind und noch nie von Grapschproblemen gehört haben und bei denen man sich Respekt erarbeitet und nicht einfach nur einfordert.
Zusammenfassung: Probleme löst man, indem man über sie redet. Nicht indem man andere Leute öffentlich an den Pranger stellt. Die Creeper-Karten haben so viel Schaden angerichtet, dass selbst wenn jemand noch einen positiven Aspekt nachweisen kann, netto nur Verlust übrig bleibt. Das war alles vorher schon absehbar. Es ist eine Schande, dass Einzelne das Kaputtmachen einer so schönen Sache wie des Kongresses billigend in Kauf nahmen, und dabei noch als Kollateralschaden ihr vorgebliches Anliegen der Sexismusbekämpfung generell beschädigen. Ich hoffe sehr, dass da jetzt alle was draus gelernt haben.
Update: Hier kommt gerade eine Mail von einem der beiden rein, die die erste rote Karte überreicht haben, mit Bitte zum als Update dranhängen. Ich zitiere mal:
Wir haben uns spontan ueberlegt ob es gelb oder rot werden soll. Du hast recht: 'rot' sollte eigentlich bei krassen Grenzueberschreitungen, insbesondere auch taetlichen Uebergriffen, verwendet werden. Insofern haben wir uns auch die Frage gestellt, ob 'rot' vllt zu krass waere. Unser Argument fuer 'rot' war letztlich: diese Buehne, die ganze mediale Aufmerksamkeit — das wirkt alles als Multiplikator fuer den 'normalen' Alltagssexismus, der von der Moderation verbreitet wurde. Aus diesem Grund wurde es 'rot'.
Update: Und jetzt kommt auch noch raus, dass die vielzitierten angeblichen Übergriffsfälle einer der zentralen Anklägerinnen in Sachen Sexismus auf dem Kongress auch nur Hörensagen Dritter sind und als sie sich selbst als Opfer eines Übergriffs fühlte, rief sie nicht die Hotline an. Wenn ich einer der Hotline-Freiwilligen wäre, würde ich mir da auch ziemlich verarscht vorkommen. Und dann anzweifeln, dass man ihr geholfen hätte. Ganz großes Tennis. Ich stelle mir da so eine Stille Post vor, aber immer im Kreis herum und in einer Echokammer.
Update: Wird immer übler:
Ich rante wann und wo ich will. Und die Sache kann mich mal kreuzweise.
Update: Mir erzählten übrigens mehrere Leute, dass jemand eine gelbe Karte erhalten haben soll, weil er einer Frau die Tür aufgehalten habe. Weil das positive Diskriminierung ist.
Update: Hier ist übrigens die Liste der Verantwortlichen. Nota Bene: das sind alles Macker, die da den armen wehrlosen Frauen ihre Probleme "lösen", ob die einverstanden sind oder nicht. Und sie wollten ursprünglich nur gelbe und rote Karten drucken.
Ich hatte ansonsten nur noch Zeit für den Hashfunktionen-Vortrag, den ich auch nur empfehlen kann. Nicht nur kurzweilig und informativ sondern man kann auch direkt mal was konkretes mitnehmen, was man in seiner Programmierpraxis ändern kann. Ich habe übrigens angesichts dieses Vortrages auch mal einen Bug gegen gcc geöffnet, damit die die Hashfunktion in der C++-Laufzeitumgebung ändern. Mal gucken, was daraus wird.
Weil da schon einige Nachfragen kamen: das CCTV-Abflex-Video gibt es hier. Wir haben am Anfang ein bisschen gekürzt.
Wir möchten uns auch ausdrücklich bei Anne Roth entschuldigen, die die undankbare Aufgabe hatte, heute morgen als ersten Vortrag im Programm über den Verfassungsschutz zu sprechen, und die im Fnord-Rückblick zusehen musste, wie wir (nicht absichtlich, versteht sich) einige ihrer Pointen verbrannt haben. Tut uns leid! Ging uns aber partiell auch so; die NSA-Whistleblower hatten unter anderem eine Folie, die dazu aufrief, dass man doch bitte mehr Spam mit spannenden Schlüsselwörtern verschicken solle, und wir hatten eine Folie, dass der BND bei seiner "strategischen Email-Aufklärung" hauptsächlich mit Spam-Auswertung beschäftigt ist. Da muss man auf so einer Veranstaltung halt durch. Doppelt hält ja auch besser :-)
Ich bin insgesamt jedenfalls ausgesprochen erfreut, wie schön der Congress war, und möchte mich bei allen Organisatoren und Helfern bedanken, dass sie uns so ein cooles Event ermöglicht haben. Und der CCC hat unser aller Dank verdient, dass er das Event überhaupt veranstaltet hat, obwohl es bis zuletzt deutlich so aussah, als ob da rote Zahlen bei rauskommen würden. Zuletzt hörte ich, dass es nach einer schwarzen Null oder sogar einem kleinen Plus aussieht. Verdient, wie ich finde! Und unter solchen Umständen noch am eigenen Ast zu sägen und die Vorträge nicht nur live kostenlos ins Internet zu streamen sondern auch noch innerhalb von 24h bei Youtube oben zu haben, das muss man würdigen. Ich möchte an der Stelle auch darauf hinweisen, dass der CCC keine technischen Anforderungen an Mitglieder stellt. Man muss kein Hacker sein, nicht mal einen Computer haben, um beitreten zu können. Wer dem CCC also helfen will, der ist herzlich eingeladen Mitglied zu werden (und sich dann natürlich auch einzubringen). Aber man kann auch einfach nur so Mitglied werden, um regelmäßig über den Mitgliedsbeitrag den Club zu sponsorn.
Eine Beobachtung sei mir noch erlaubt: auf dem Congress gab es auch eine Flauschecke, und beim Rumlaufen glaubte ich beobachten zu können, dass das die Ecke mit den am wenigsten entspannt wirkenden Besuchern war. Ich weiß nicht, was da der Hintergrund war, aber wer auf einer Veranstaltung wie dem 29c3 abends nach Einsetzen der Dunkelheit nicht tiefenentspannt aussieht, während drumherum alle ausgelassen Party feiern oder mit Tschunkslushie im Bällebad chillen, der macht irgendetwas fundamental falsch.
Update: An der Stelle sei auch noch mal ausdrücklich FEM gelobt, die wieder einmal das Video-Team gestellt haben und die Videos zum Download anbieten. Ihr rockt! Mir ist keine andere Veranstaltung dieser Größenordnung bekannt, bei der das auch nur annähernd so gut klappt!
Und das war für mich auch der spannenste Teil an diesen NSA-Leuten und was sie zu sagen hatten. Die haben da 30-40 Jahre in diesem Umfeld gearbeitet, waren im SIGINT- und Datenbankauswerungsbereich tätig. Wenn jemand sehen kann, was das für eine massenhaften Verletzung von Menschenrechten ist, dann die. Und doch machen die da jahrelang mit. Ich hatte mir ja gedacht, wenn die da auf der Bühne stehen, dass die sich dann vielleicht ein "tut mir leid" oder so abringen können, denn Deutschland ist selbstverständlich auf der Liste der Länder, die die NSA abhört. Aber im Gegenteil hatte ich besonders bei dem ersten Whistleblower den Eindruck, dass dem gar nicht klar ist, dass er gerade nicht in den USA ist sondern in einem anderen Land, und während er sich auf der Bühne über die Ungeheuerlichkeit aufregt, dass Amerikaner jetzt abgehört werden, spricht er das Detail nicht an, dass alle im Publikum schon mehrere Dekaden lang auf der Liste standen, und weiterhin stehen. Soviel Empathie hatte ich erwartet. Selbst wenn man den Überwachungsstaat abschaltet, den die da kritisieren, dann wären wir Deutschen ja weiterhin Ziel für die "strategische Aufklärung", wie das ja auch der BND mit den Amis macht, und das ist selbstverständlich genau so verwerflich.
Aber in diese Richtung kam nicht der leisteste Anflug. Das war ein Niveau an kognitiver Dissonanz, das mich schockiert hat. Immerhin haben die ja persönlich jeweils mehrere Jahre lang Repressalien über sich ergehen lassen müssen, und wissen aus erster Hand, was das für Leute sind, die da die Finger auf den Daten haben — auf unseren Daten! Dass die Daten von ihren Freunden und Nachbarn da jetzt auch bei sind, das ist ein neues Phänomen. Aber das war das einzige, was sie daran aufregte.
Das wäre nicht so schockierend gewesen, wenn die da nicht so eine Indignation an den Tag gelegt hätten. WIE KÖNNEN DIE ES WAGEN, unsere Daten abzuhören!1!! Und sie beziehen sich neben US-Gesetzen auch ausdrücklich auf die Menschenrechtscharta der Vereinten Nationen. Aber den Schritt, dass die Menschen in anderen Ländern ja auch Menschenrechte haben, den ging da niemand.
Sehr beunruhigend. Gar nicht wegen dieser konkreten Leute, sondern zu sehen, wie sehr man sich da in eine gedankliche Ecke manövrieren kann, und beunruhigende Gedanken wie "meine ganze Karriere lang habe ich für diese Menschen gearbeitet" ausklammern kann. Und ich muss annehmen, dass mir das genau so ginge in deren Situation. Das ist der Aspekt, den ich am beunruhigensten finde an der Chose.
Der zweite NSA-Sprecher schein sich sogar im Kern gar nicht über die moralischen Probleme aufzuregen, sondern über die Vetternwirtschaft und ineffiziente Ressourcennutzung bei der Vergabe von Aufträgen. Die seien alle so inkompetent, sein Team habe das damals einfach machen können, aber man habe sie nicht gelassen, und jetzt koste das alles viel mehr und würde trotzdem nicht fertig. Man kann sich seine Whistleblower nicht aussuchen, aber das fand ich sehr ärmlich.
Danach hab ich mir den Vortrag "Die Wahrheit, was wirklich passierte und was in der Zeitung stand" vom Neusprech-Team angeguckt, der wie erwartet sehr gut war, auch wenn sie von mir aus gerne noch eine halbe Stunde hätten überziehen können. Auch klare Guckempfehlung.
Um 16 Uhr hab ich mir dann den Talk von Frank und Constanze über die Terrordatei angehört, der jetzt keine großen neuen Erkenntnisse für mich hatte, weil ich mir das eh schon hatte schildern lassen. Aber für alle anderen auch hier: klare Video-Guckempfehlung.
Im nächsten Slot habe ich mir den Vortrag in Saal 3 angehört, von der Digitalen Gesellschaft. War recht unterhaltsam und fluffig, auch Guckempfehlung.
Der nächste Vortrag war wieder Saal 1, über NSU und V-Leute. Von zwei Vortragenden aus dem Untersuchungsausschuss, die da eine schwindelig machende Liste an Daten und Fakten auf den Tisch gepackt haben, an deren Ende bei mir die Einsicht übrig blieb, dass von allen Abschätzungen darüber, wie furchtbar das alles bei den Geheimdiensten ist, die der Satiriker und Kabarettisten am nächsten an der Realität ist. Und die "Verfassungsschützer" sind auch alle völlig unfähig, auch nur die Anerkennung einzuräumen, dass diese NSU-Sache ein Fehler von ihnen gewesen sein könnte. In einer skizzierten Szene haben sich 5 Nazis auf einem Gipfeltreffen getroffen, um zu beraten, wie sie eine Demo organisieren sollen, und alle 5 waren V-Männer verschiedener Dienste. Wenn ihr nicht für alle Videos zeit habt, priosiert dieses hier höher als die anderen von heute.
Den Vortrag danach, von zwei NSA-Whistleblowern, hatte ich ja als Highlight des Tages eingeplant, auch weil Jake das in der Keynote als Meilenstein und wichtigsten Talk überhaupt angepriesen hatte, aber tatsächlich war es sehr enttäuschend. Die erste Rednerin war die Anwälte der beiden Whistleblower, die ein paar Gemeinplätze ala "Freedom, Liberty, Democracy" abließ, kein inhaltlicher Erkenntnisgewinn. Wie stolz sie doch sei, dass es solche Whistleblower gibt. Unbenommen, aber dafür hätten wir keine NSA-Whistleblower einfliegen müssen.
Der zweite Redner hat im Wesentlichen ein Patriotismus-Programm gefahren, um dann in gebrochenem Deutsch zu erklären, dass er nicht in einem Überwachungsstaat wie der DDR wohnen wollte, und sich nie hätte träumen lassen, dass die USA jetzt so sind. Machte lauter Kunstpausen, sein Vortrag bestand im Wesentlichen aus profunden Zitaten anderer Leute, selbst hatte er eher wenig bis nichts zu sagen. Der Dritte Redner hat dann ein paar lustige Anekdoten erzählt, wie er die Deppen ausmanövriert hat, die ihm da irgendwelche Bogus-Anklagen anhängen wollten. Die technischen Folien über die Möglichkeiten der NSA waren Buzzwords ala "latent semantic indexing" und "social network graph", leider auch nichts konkretes neues. Insgesamt schade, muss man sich nicht angucken.
Insgesamt bin ich positiv überrascht, weil es ja vorher aus mehreren Richtungen Gemecker gab über das Programm, und ich daher mit schlechteren Vorträgen gerechnet habe. Ich würde mir zwar auch mehr Technik-Talks wünschen, aber letztlich kann der Kongress auch nur Tech-Talks reinnehmen, wenn die eingereicht werden. Da müssen sich also die ganzen Techniker selber die Frage stellen lassen, wieso sie denn keine bahnbrechenden Tech-Talks eingereicht haben.
Other nations are increasingly employing cyber attacks without "any sense of restraint," a top U.S. cybersecurity official said on Friday, citing "reckless" behaviors that neither the United States nor the Soviet Union would have dared at the height of Cold War tensions.Klar, aber wenn die Amis Stuxnet verbreiten, dann ist das natürlich was GANZ anderes, denn da ging es um Freedom, Liberty und Justice. Wenn die anderen das machen, dann ist das "reckless" und "without any sense of restraint". Nee, klar. Die Vollpfosten hätten sich das vielleicht vorher überlegen sollen, bevor sie die Büchse der Pandora aufmachten.
Jeder, der behaupte, dass die NSA Millionen oder Milliarden an Dossiers über Personen pflege, liege komplett falsch. "Wir werden vom Kongress kontrolliert", verwies Alexander auf die parlamentarische Überwachung der Überwacher. Zudem habe auch ein gesondertes Gericht die Durchführung der Abhöraktivitäten im Blick.Bwahahaha, klar, ein gesonderes geheimes Gericht, bei dem der Betroffene weder angehört noch ihm die angeblichen Beweise oder Indizien gegen ihn gezeigt werden. Parlamentarische Aufsicht funktioniert in den USA genau so toll wie bei uns — gar nicht.
Der auch als Chef des US Cyber Command fungierende Armee-Vertreter umschmeichelte die Techniktüftler lieber mit einem Lob als "beste virtuelle Community der Welt".*Speih*
Man muss sein Leben aber natürlich immer so führen, als könnten sie uns alle beschnüffeln und würden es auch probieren.
Update: EPIC, nicht die EFF. Sorry.
The Italian news agency, ANSA, reported that the bonds were also discovered "alongside copies of the Treaty of Versailles rolled inside lead cylinders."…!?!?
Erstaunlicherweise verlinkt das ehemalige Nachrichtenmagazin ihre Originalquelle. Lobenswert! Was soll die NSA denn da genau tun?
The program uses NSA-developed “signatures,” or fingerprints of malicious code, and sequences of suspicious network behavior to filter the Internet traffic flowing to major defense contractors.Mit anderen Worten: ein IDS. Ein verhaltensgesteuertes IDS. Eine der übelsten Formen von Snake Oil in der ganzen Security-Industrie. Insofern geht es da offensichtlich um was anderes, denn IDS funktionieren nicht. Aber was tut so ein IDS? Es liest den gesamten Traffic mit. Das tut die NSA ja an sich sowieso, aber offensichtlich wollen sie da bessere Argumente haben, um die ISPs zur Kooperation zu bewegen.
Mark Klein, the former A.T. & T. employee who exposed the telecom-company wiretaps, is also dismayed by the Drake case. “I think it’s outrageous,” he says. “The Bush people have been let off. The telecom companies got immunity. The only people Obama has prosecuted are the whistle-blowers.”
Für uns klingt das grotesk, aber in den USA ist das durchaus üblich. Da haben echt viele Leute an ihrem Karriereanfang für die NSA o.ä. gearbeitet. Das liegt einfach daran, dass Studieren dort so teuer ist. Da hat man entweder reiche Eltern oder verschuldet sich auf Jahrzehnte hoch oder kriegt ein Stipendium. Oder man studiert halt nicht. Und in der Situation kommt dann die NSA und bietet dir an, dich für ein paar Jahre zu verpflichten, und dafür darfst du dann auch auf ihre Kosten studieren. Na klar machen die Leute das. Wenn man sonst keine Möglichkeit auf ein Studium hat?
Insofern: nicht zu viel reininterpretieren, bei den anderen US-Firmen in den Sicherheitsabteilungen sind auch viele Ex-NSA-Leute.
Das ist vor allem deshalb spannend, weil die NSA ja ein Geheimdienst ist und nicht für Gerechtigkeit, Recht und Gesetz zuständig ist, eher im Gegenteil :-)
Im Übrigen ist auch nicht klar, wieso sich da überhaupt US-Staatsanwälte für zuständig halten und ermitteln. Entweder trauen die den zuständigen Behörden in Afghanistan nicht (No Shit, Sherlock!), oder wir werden gerade verarscht. Na mal schauen, was da rauskommt.
How start?- Saddam moves against Kurds in north?
- US discovers Saddam connection to Sept. 11 attack or to anthrax attacks?
- Dispute over WMD inspections?
- Start now thinking about inspection demands.
Allerliebst!
An sich ist das ja alles nicht witzig, aber der folgende Absatz hat mich doch zum Schmunzeln gebracht:
Initial news stories indicated Williams had been stabbed, but police have since disputed that information, noting that — other than being stuffed into a duffel bag — there were no obvious signs of foul play. A toxicology report is expected Tuesday.Na dann… :-)
Und der Golf von Tonkin ist eben der offizielle Vorwand für den Vietnamkrieg gewesen. Die Amerikaner hatten Abhörschiffe losgeschickt, die die Nordvietnamesen ausspionieren sollten. Der Krieg ging dann los, als die Boote meldeten, sie würden von diversen Torpedos angegriffen. Später hat man dann keinerlei Hinweise auf tatsächliche Torpedos gefunden und das ist zu einer Sensor-Fehlfunktion umdeklariert worden, weil "wir haben gelogen, um einen Krieg führen zu können" ja auch eher peinlich ist.
Und was jetzt eben rausgekommen ist, ist dass auch die von diesem Boot gemeldeten "abgefangenen Funksprüche" erstunken und erlogen waren. Schon damals gab es direkt Zweifel an der Geschichte, ob die wirklich angegriffen worden seien. Die erfundenen Funksprüche "bestätigten", dass Vietnam Torpedos geschossen hatte.
Mr. Hanyok concluded in 2001 that N.S.A. officers had deliberately falsified intercepted communications in the incident to make it look like the attack on Aug. 4, 1964, had occurred, although he said they acted not out of political motives but to cover up earlier errors.Das ist aber an sich nicht der neue Teil, wie da schon steht, das ist von 2001. Neu sind die anderen Dokumente, mit denen sie belegen wollen, dass Congress und Senate sich die Entscheidung nicht leicht gemacht haben, ob sie auf Basis dieser Lügen einen Krieg gegen Vietnam führen sollen oder nicht. Im Grunde wußten sie, dass sie gerade verarscht werden, aber offensichtlich wollten sie echt gerne mal wieder Krieg führen, und haben daher nicht weiter nachgefragt.
NSA stops collecting some data to resolve issue with court
The ruling by Judge Walker, the chief judge of the Federal District Court in San Francisco, rejected the Justice Department’s claim — first asserted by the Bush administration and continued under President Obama — that the charity’s lawsuit should be dismissed without a ruling on the merits because allowing it to go forward could reveal state secrets.Sehr schön. Jetzt müssen sie nur noch aufhören, Ausländer zu beschnüffeln :-)
Eine Dokumentation über US-Geheimdienste, von James Bamford. Das ist der Mann, dem wir zu verdanken haben, dass die Existenz der NSA überhaupt bekannt ist.
Nun macht sich der eine oder andere sicher Sorgen, ob man denn Truecrypt jetzt noch einsetzen kann.
Ich würde mir da ehrlich gesagt nicht so viel Sorgen machen, denn auf der Liste der NSA-affiliated IP ranges sind auch Institutionen wie das MIT (da kommen Kerberos und X11 her), MCI/Verizon/UUnet, die Mercedes Benz AG, Microsoft, Myspace, Nacamar (?!?), Cogent, Princeton University, Qwest, das RIPE NCC (harhar), Savvis, Schlund und Partner AG, Sprint, Tiscali, Telecom Italia, Telefonica (denen gehört u.a. Hansenet), Telekom Austria, Telia, Telstra, T-Mobile Ungarn, T-Online Frankreich und Ungarn, Versatel, Wanadoo, den Weather Channel (hahaha), XS4ALL, Yahoo, Youtube, oh und Level 3. Wenn ihr jetzt mal ein Traceroute zu einem beliebigen Open Source Projekt im Internet macht, kommt ihr mit großer Wahrscheinlichkeit bei Cogent, Telia, Sprint, Savvis oder Level 3 vorbei. Ein Traceroute von mir zuhause zu Sourceforge geht z.B. durch Telia und Savvis. Ein Traceroute zu ftp.gnu.org geht durch Cogent. Oh und auch die Route zu cryptome.org geht für mich über telia und savvis. :-)
Jeder Linux-User benutzt X11, jeder Windows-User benutzt Kerberos, und Microsoft ist ja eh auf der Liste.
Wer sich also Sorgen macht, der kann sich ja die Truecrypt-Sourcen mal in Ruhe angucken. Deshalb kommt Truecrypt ja mit Sourcen.
Update: Im Übrigen möchte ich mal aus einem Chat zitieren:
<Fefe> truecrypt ist jetzt nsa-unterwandert!1!!
<Andreas> Fefe: "jetzt"?
<Fefe> Andreas: wie, war schon immer NSA-unterwandert?
<Andreas> Fefe: Natürlich!!1!
* Andreas hat keine Beweise, aber das zeigt ja schon, wie gut die bei der NSA sind!!
“Yuh. After 9/11, I haven’t written about this yet, but the Central Intelligence Agency was very deeply involved in domestic activities against people they thought to be enemies of the state. Without any legal authority for it. They haven’t been called on it yet. That does happen."Right now, today, there was a story in the New York Times that if you read it carefully mentioned something known as the Joint Special Operations Command — JSOC it’s called. It is a special wing of our special operations community that is set up independently. They do not report to anybody, except in the Bush-Cheney days, they reported directly to the Cheney office. They did not report to the chairman of the joint chiefs of staff or to Mr. [Robert] Gates, the secretary of defense. They reported directly to him. …
"Congress has no oversight of it. It’s an executive assassination ring essentially, and it’s been going on and on and on. Just today in the Times there was a story that its leaders, a three star admiral named [William H.] McRaven, ordered a stop to it because there were so many collateral deaths.
"Under President Bush’s authority, they’ve been going into countries, not talking to the ambassador or the CIA station chief, and finding people on a list and executing them and leaving. That’s been going on, in the name of all of us.
"It’s complicated because the guys doing it are not murderers, and yet they are committing what we would normally call murder. It’s a very complicated issue. Because they are young men that went into the Special Forces. The Delta Forces you’ve heard about. Navy Seal teams. Highly specialized.
"In many cases, they were the best and the brightest. Really, no exaggerations. Really fine guys that went in to do the kind of necessary jobs that they think you need to do to protect America. And then they find themselves torturing people.
"I’ve had people say to me — five years ago, I had one say: ‘What do you call it when you interrogate somebody and you leave them bleeding and they don’t get any medical committee and two days later he dies. Is that murder? What happens if I get before a committee?’
"But they’re not gonna get before a committee.”
Hersh faselt nicht. Das ganze wird ordentlich belegt in einem Buch erscheinen, aber das ist noch zwei-drei Jahre hin.
PLANS TO refurbish Trident nuclear weapons had to be put on hold because US scientists forgot how to manufacture a component of the warhead, a US congressional investigation has revealed.The US National Nuclear Security Administration (NNSA) "lost knowledge" of how to make a mysterious but very hazardous material codenamed Fogbank. As a result, the warhead refurbishment programme was put back by at least a year, and racked up an extra $69 million.
Das klingt doch mal wie ein Plot aus einem schlechten Videospiel! Fogbank! BwahahahahaUpdate: Hier hat jemand ein paar interessante Hypothesen, was Fogbank sein könnte.
Die eigentliche Überraschung ist, dass die Briten überrascht sind.
US intelligence kept a file “of personal nature” on Tony Blair while he was Prime Minister, in violation of an agreement between Britain and the US not to spy on each other’s leaders.HAHAHAHAHA, Mann sind die naiv! Der Lacher: auch die Amis geben sich jetzt Fake-schockiert:The NSA works closely with its British counterpart, the GCHQ, and shares information on a regular basis. “If it is true that we maintained a file on Blair, it would represent a huge breach of the agreement we have with the Brits,” said one former CIA official.Die CIA und die NSA sind ja seit vielen Jahren im Krieg, und in dem Kontext muss man das lesen.
Investigators should presuppose the existence of a fully functional quantum computer and consider what algorithmic tasks are particularly well suited to such a machine.Kryptographie, RSA oder elliptische Kurven erwähnen sie nicht ausdrücklich, aber hey, worum soll das sonst gehen.
"There's good phone sex or there's some pillow talk – pull it up, it's really funny," Faulk told ABC, recalling a conversation between eavesdroppers.Und die Lektion ist, wie immer: wenn man solche Befugnisse schafft, werden sie mißbraucht. Daher keine solchen Befugnisse schaffen. Ganz einfach.Der Brüller an der Story: das wird kaum nachzuweisen sein, weil:
Another US official noted that the agency's policies barred it from retaining or sharing any intercepted conversations between Americans that did "not constitute foreign intelligence".Ist das nicht super? Prächtige Policies haben sie da. Nicht das Abhören ist ihnen verboten, nur das Speichern und Weitergeben.
Scrollt mal runter, sucht nach "Littoral". Der Brüller! Sie haben da eine eierlegende Wollmilchsau ausgeschrieben, haben die billigsten Anbieter genommen, und die haben kleinere Werften im Angebot gehabt (bei denen hängt das Überleben von so einem Auftrag ab, die sagen da alle noch so abwegigen Deadlines und Kostenvoranschläge zu, wenn sie nur den Auftrag kriegen), und dann:
The first ship (LCS-1) was scheduled to deliver in late 2006. The Navy is now estimating that the first ship will deliver sometime in late 2008. The LCS-1 contractor team had barely started on their second ship (LCS-3) when the program ran into major cost problems earlier last year. The Navy then issued a stop work order on LCS-3 in order to reduce expenditures and limit further cost exposure on the program while it separately re-evaluated program cost estimates.Überraschung! Also haben sie denen die Pistole auf die Brust gesetzt. Die sollen für einen Festpreis beide Schiffe bauen oder das zweite Schiff wird ganz storniert.The Navy terminated the contract for LCS-3 for the convenience of the government. As a result of that termination, the government will take delivery of some sizeable inventory of equipment and material for the cancelled LCS-3.Equipment and material?! HAHAHAHA! Ich lese das so, dass die Navy den Metallschrott gekriegt hat, die sie für das Boot gekauft hatten. Gut bei den aktuellen Rohstoffpreisen wahrscheinlich ein paar tausend Dollar wert, da kann man schon mal zwei-drei Rollen Klopapier für kaufen beim aktuellen Klopapieranschaffkurs von Halliburton. Aber geht noch weiter. Sie haben parallel einen zweiten Unternehmer beauftragt, in der Hoffnung, dass wenigstens einer davon am Ende ein Boot für sie baut.The second contractor team had a contract to build two LCS vessels of another design (LCS-2 and LCS-4). The Navy awarded this contract almost a year later, so LCS-2 was roughly 1 year behind the LCS-1. The Navy went ahead with activities leading to the start of construction on LCS-4, despite internal warnings that the second contractor would face similar cost and schedule problems as those faced by the first contractor. Late last year, the same poor performance and fixed priced negotiation scenario also played out on the LCS-2 and LCS-4. This led the Navy to also cancel the LCS-4, again with the result that the government will take delivery of some sizeable inventory of equipment and material for the cancelled LCS-4.Grandios! Qualitäts-Projektmanagement! Und jetzt sind sie so verzweifelt, dass sie einen Wettbewerb machen, jeder teilnehmenden Werft wird zugesagt, dass sie mindestens ein Schiff bauen darf auf Kosten der Navy, und der Gewinner baut mehr. Klingt schlau, aber schon aus einem Schiff kann man eine veritable Goldmine machen. Immerhin haben sie zum Selbstschutz ein Kostenlimit gesetzt.Section 125 of the National Defense Authorization Act for Fiscal Year 2008 (Public Law 110-181) places a cost ceiling on LCS contracts of $460.0 million per ship, a dollar value provided by the Navy.Ich finde ja, das ist mindestens eine Presidential Medal of Freedom wert!Da sind noch mehr Klopper drin. Hier z.B.:
The budget request included $152.7 million in Aircraft Procurement, Navy (APN) for continuation of the Special Structural Inspection-Kits (SSI-K) program, which replaces fatigue-limited airframe structural components to enable the airframe to fully reach its designed service life."Wir haben uns minderwertige Scheiße andrehen lassen und müssen jetzt nachrüsten, damit die Flugzeuge überhaupt so lange in der Luft bleiben, wie man es uns ursprünglich zugesagt hatte". Bwahahahaha.Interessant auch "Tactical intelligence support" in der Air Force Sektion:
Biometric signature and forensic data collection capabilities and effective reach-back to national-level databases and processing are more widespread and well-received by tactical elements. More national human intelligence (HUMINT) and signals intelligence (SIGINT) databases are for the first time being pushed forward to support tactical unit operations with greater speed and frequency. Meanwhile, these capabilities are linked with airborne and ground-based intelligence capabilities that further enable the detection, identification, location, and tracking of high-value targets.Und da habt ihr den Grund, wieso wir Biometrie im Ausweis brauchen, und eine Vollüberwachung über Mautsystem o.ä. Wir brauchen nationale Biometrie-Datenbanken, damit das Militär damit besser "high-value targets" töten kann.Überhaupt ist es interessant, mal nach NSA zu greppen in der Datei.
The National Security Agency (NSA), with Special Operations Command and the Army, has developed special capabilities against modern signals encountered in Iraq and elsewhere. These capabilities are now engineered for fielding as tactical systems, on ground vehicles, and on airborne platforms. NSA and the Army are fielding the Triton III system on Mine Resistant Ambush Protected (MRAP) vehicles to support maneuver forces. A program called Final e-Curfew provides more advanced area-collection capabilities against the same target set from fixed locations. These systems work in conjunction with databases pushed forward to tactical echelons.Was das wohl ist? Handy-Ortung? "modern signals"?!? Google hilft weder bei e-curfew noch bei triton iii weiter.
Die NSA hat da so ein Hackerteam namens Red Team. Der Ami erzählte mir jetzt hier gerade, dass die da aus Behörden-Zuständigkeitsgründen keine Exploits schreiben dürfen. Die dürfen nur Exploits benutzen, die vorher veröffentlicht wurden. Auch keine 0days! Und das ist das Hackerteam der NSA?! Bwahahahahaha
Update: das Red Team ist nur für Defense, es gibt auch ein Angriffsteam, aber die können sie nirgendwo hin schicken, weil die Namen der Leute geheim sind und bleiben sollen.
The blueprint for the new Bush policy had actually been drawn up five years earlier by three of his top national security advisors. Soon to be appointed to senior administration positions, they were Richard Perle, Douglas Feith, and David Wurmser. Ironically, the plan was originally intended not fur Bush but for another world leader, Israeli Prime Minister Benjamin Netanyahu.At the time, the three officials were out of government and working for conservative pro-Israeli think tanks. Perle and Feith had previously served in high-level Pentagon positions during the presidency of Ronald Reagan. In a very unusual move, the former — and future — senior American officials were acting as a sort of American privy council to the new Israeli prime minister. The Perle task force to advise Netanyahu was set up by the Jerusalem-based Institute for Advanced Strategic and Political Studied, where Wurmser was working.
A key part of the plan was to get the United States to pull out of peace negotiations and simply let Israel take care of the Palestinians as it saw fit. "Israel," said the report, "can manage its own affairs. Such self-reliance will grant Israel greater freedom of action and remove a significant lever of pressure used against it in the past."
Oi, das war mir neu, dass das für Netanyahu gedacht war, und dass die teilweise sogar in Israel saßen, die Think Tanks.Das Buch schreibt weiter, dass der Plan vorsah, Iraq plattzumachen und eine Marionette Israels als Regierungschef zu installieren, und dann Syrien anzugreifen, und die Araber in der Gegend Schritt für Schritt "zurück zu rollen". Libanon sollte natürlich auch unprovoziert angegriffen werden, das ist ja jetzt sozusagen geschehen.
The recommendation of Feith, Perle, and Wurmser was for Israel to once again invade Lebanon with air strikes. But this time, to counter potentially hostile reactions from the American government and public, they suggested using a pretext. They would claim that the purpose of the invasion was to halt "Syria's drug money and counterfeiting infrastructure" located there. They were subjects in which Israel had virtually no interest, but they were ones, they said, "with which America can sympathize."Another way to win American support for a preemptive war against Syria, they suggested, was by "drawing attention to its weapons of mass destruction program." The claim would be that Israel's war was really all about protecting Americans from drugs, counterfeit bills, and WMD - nuclear, chemical and biological weapons.
Geht noch weiter, aber ich denke mal, ihr könnt euch denken in welche Richtung. Interessantes Detail am Rande: in dem Papier haben sie sogar Reden für Netanyahu geschrieben, die er dann im Fernsehen halten kann, um diesen Massenmord zu rechtfertigen. Diese Reden hat dann Bush gehalten, allerdings Irak statt Syrien und USA statt Israel.
Last winter, according to one intelligence analyst, some employees wore gloves in the office to try to keep warm, adding that it made for challenging typing.As part of its short-term effort to redirect power use and upgrade systems, the NSA has had to resort to partial, rolling brownouts at its computer "farms" and scheduled power outages, the senior intelligence official said, adding that these have become more frequent in recent months.
Die haben dann auch mal Geräte für neue Operationen angeschafft und nicht angeschlossen, weil sie keinen Strom haben, und der Platz ist offenbar auch echt eng geworden. Und der Brüller: die wußten seit 1998, daß ihnen das drohen würde, und wann es ihnen drohen würde, aber weil das so weit in der Zukunft war, haben sie es auf die lange Bank verschoben.
- Give the NSA the power to monitor foreigners without seeking FISA court approval, even if the surveillance is conducted by tapping phones and e-mail accounts in the United States.
- Triple the life span of a FISA warrant for a non-U.S. citizen from 120 days to one year, allowing the government to monitor much longer without checking back in with a judge.
- Give telecommunications companies immunity from civil liability for their cooperation with Bush's terrorist surveillance program.
- Extend from 72 hours to one week the amount of time the government can conduct surveillance without a court order in emergencies.
Lacher am Rande:
For about four years, Microsoft has tapped the spy agency for security expertise in reviewing its operating systems, including the Windows XP consumer version and the Windows Server 2003 for corporate customers.Und hey, bei XP konnte das ja jeder sehen, wie gut das geklappt hat. Die paar hundert Exploits, die es da gab, … ohne die NSA wären das sicher Tausende gewesen!
Oh, und der Fahrer von dem Daimler hat beim frz. Inlandsgeheimdienst gearbeitet und hatte £100.000 auf dem Konto. Zufälle gibt's…!
Wieso ist das interessant?
Es handele sich um das Flottendienstschiff "Alster", das "im Rahmen von UNIFIL" vor der libanesischen Küste im Einsatz sei, nicht aber Teil der von der deutschen Marine geführten UN-Mission.WTF? Nicht Teil der UN-Mission? "Wir waren nur zufällig in der Gegend, und da dachten wir uns, wir kommen mal zu Besuch" oder wie?
Sie sind mit hochmodernen, elektromagnetischen, hydroakustischen und elektro-optischen Ortungsgeräten ausgestattet und sind in der Vergangenheit bereits mehrfach mit großem Erfolg für Aufgaben der strategischen Informationsgewinnung in Krisengebieten eingesetzt worden.Ob die da mal gucken sollten, wo die Israelis unsere nuklearen Zweitschlagsuboote parken?
Cryptome hat Satellitenbilder der Gegend, aber da sieht man nicht das Feuer drauf, falls das jetzt jemand gehofft hat.
Aber das tun die Terroristen nicht.
Die entführen lieber zu neunzehnt synchron Passagierflugzeuge und bringen sich selbst um, indem sie die Flugzeuge in Gebäude fliegen.
Nur mal so unter uns: wie wahrscheinlich ist das eurer Meinung nach?
Please Note: There will be no attendee list for this event.
In a letter to the EFF, AT&T objected to the filing of the documents in any manner, saying that they contain sensitive trade secrets and "could be used to 'hack' into the AT&T network, compromising its integrity."
The attorney general argued that Fisa did and did not apply; that the administration was operating within it, while flouting it; and that it didn't matter. The president's "inherent" power, after all, allowed him to do whatever he wanted. It was all, Gonzales said, "totally consistent". His explanation, observed Senator Arlen Specter, the Republican chairman of the judiciary committee, "defies logic and plain English".
Some U.S. intelligence officials recognized before the invasion that the U.S. occupation of Iraq would present opportunities for new kinds of intelligence collection inside Iraq. In practice, however, many of those opportunities were squandered because of the lack of planning for the postinvasion period. American sources say, for example, that the National Security Agency had a plan to create a front company that would have managed cellular telephone service in postwar Iraq. That would have given the NSA the ability fo eavesdrop on every cell phone call in the country and would have made it extremely difficult for insurgents to use electronic communications without being detected by American intelligence. But sources say that the NSA delayed its plans for so long that the CPA under Paul Bremer finally opened cell-phone franchises to bidding by private companies.Daran sind mehrere Dinge interessant.Update: Frank weist zu Recht darauf hin, daß man auch als Kern der Geschichte sehen kann, daß sie das deshalb 2002 zurück gehalten haben, um keine peinlichen Vergleiche mit dem Irakkrieg zu provozieren.
Bush öffnet den Brief, und er scheint eine verschlüsselte Botschaft zu beinhalten:
370HSSV-0773H
Bush ist verwirrt, und so schreibt er eine Mail an Colin Powell. Der versteht es auch nicht, und so forwarden sie das zur CIA, dann zur NSA, und schließlich fragen sie verzweifelt die EU um Rat. Die Antwort der EU: "du hast es falsch herum gehalten" :-)