Gestern hatte ich Gelegenheit im ARD Hauptstadtstudio zu erklären, warum die Bemühungen, Huawei aus deutschen 5G-Netzen heraus zu halten falsch begründet und nicht zielführend sind.
Author Archives: Linus Neumann
“Die Kunst des Trollens” bei arte flick flack
Für das Kunst- und Kulturmagazin “Flick Flack” habe ich erklärt, welche Bedeutung der Begriff “Trolling” für mich hat – und welche nicht.
Spoiler: Die landläufige Auffassung, dass Hass und Hetze im Netz diese Definition erfüllen, teile ich nicht. Hass und Hetze sind einfach nur Hass und Hetze.
Continue readingWeitere Gedanken zum Contact Tracing mit “Corona Apps”
Updates:
- 2020-04-26: Nachdem die Bundesregierung zuletzt einen zentralen Ansatz bevorzugte, wird nun ein dezentraler Ansatz verfolgt. Das ist sehr zu begrüßen.
- 2020-04-22: Die Debatte wird aktuell unübersichtlich. Weiterhin stehen dezentrale Ansätze wie DP-3T, Apple/Google und der von mir unten beschriebene Ansatz den “zentralen” Ansätzen gegenüber.
Der Hauptunterschied ist, wo die Entscheidung über Alarmierung getroffen wird. In dezentralen Ansätzen erfolgen Analyse und Entscheidung für Alarmierung auf den Geräten der Nutzerinnen. In zentralen Ansätzen geschieht dies auf dem bzw. einem Server.
Ich habe habe den Stand der Debatte und die jeweiligen Argumente in einem Interview mit der Wirtschaftswoche zusammengefasst.
Meine These: Apple und Google geben jetzt den Ton an, die meisten Diskussionen haben sich erübrigt. Ähnlich habe ich den Stand auch in Logbuch:Netzpolitik Folge 341 zusammengefasst. - 2020-04-10: Wie zu erwarten war, haben Apple und Google einen gemeinsamen Standard für Contact Tracing entwickelt und veröffentlicht:
- 2020-04-09: Martin Holland und Jürgen Kuri haben das Thema heute in der heise-Show mit mir als Gast besprochen.
- 2020-04-06: CCC veröffentlicht 10 Prüfsteine für die Beurteilung von “Contact Tracing”-Apps
Logbuch:Netzpolitik
In der neuen Folge unseres Podcasts Logbuch:Netzpolitik habe ich unter anderem mit einer Reihe an Missverständnissen zu den Möglichkeiten und Grenzen sogenannter “Corona Apps” auseinander gesetzt.
Zur vollständigen Episode geht es hier: LNP339 Die Fantasie kennt keine Grenzen beim Setzen von Grenzen.
Logbuch:Netzpolitik ist werbefrei, kostenlos und kann überall abonniert werden, wo es Podcasts gibt.
Deutschlandfunk: Computer und Kommunikation
In der aktuellen Folge von Computer und Kommunikation wird der technische Stand von Entwicklung und Diskussion sehr gut von Peter Welchering und Manfred Kloiber zusammengefasst:
„Corona-Apps“: Sinn und Unsinn von Tracking
Updates:
- 2020-04-26: Nachdem die Bundesregierung zuletzt einen zentralen Ansatz bevorzugte, wird nun ein dezentraler Ansatz verfolgt. Das ist sehr zu begrüßen.
- 2020-04-22: Die Debatte wird unübersichtlich und hitzig. Weiterhin stehen dezentrale Ansätze wie DP-3T, Apple/Google und der von mir unten beschriebene Ansatz den “zentralen” Ansätzen gegenüber.
Der Hauptunterschied ist, wo die Entscheidung über Alarmierung getroffen wird. In dezentralen Ansätzen erfolgen Analyse und Entscheidung für Alarmierung auf den Geräten der Nutzerinnen. In zentralen Ansätzen geschieht dies auf dem bzw. einem Server.
Ich habe habe den Stand der Debatte und die jeweiligen Argumente in einem Interview mit der Wirtschaftswoche zusammengefasst.
Meine These: Apple und Google geben jetzt den Ton an, die meisten Diskussionen haben sich erübrigt. Ähnlich habe ich den Stand auch in Logbuch:Netzpolitik Folge 341 zusammengefasst. - 2020-04-10: Wie zu erwarten war, haben Apple und Google einen gemeinsamen Standard für Contact Tracing entwickelt und veröffentlicht:
- 2020-04-05: Tim Pritlove und ich diskutieren gesellschaftliche und technische Anforderungen in LNP339 Die Fantasie kennt keine Grenzen beim Setzen von Grenzen
- 2020-04-02: Interview zum Thema bei Markus Lanz (youtube)
- 2020-03-31: Tim Pritlove und erklären das allgemeine Konzept in LNP338 Corona Tracking App
- 2020-03-31: Interview bei phoenix (youtube)
- 2020-03-31: Beitrag WDR aktuelle Stunde hinzugefügt
- 2020-03-29: FAQ am Ende des Artikels hinzugefügt
Über eine technisch gestützte Rückverfolgung von Corona-Infektionen werden zur Zeit verschiedene Debatten heiß geführt. Es begann mit der Weitergabe von Bewegungsdaten durch Mobilfunkanbieter an das Robert-Koch-Institut und natürlich ließen auch Gesetzesänderungen zum vollumfänglichen Location-Tracking nicht lang auf sich warten.
Im Folgenden erkläre ich, warum Location-Tracking völlig ungeeignet ist, und welche Methoden stattdessen zielführend sein könnten. Wichtig ist immer, Sinn und Ziel einer solchen App nicht aus den Augen zu verlieren:
Wenn bei einer Person zum Zeitpunkt t eine Infektion festgestellt wird, soll sie in der Lage sein, ihre Kontakte der letzen t–14 Tage darüber zu informieren. Nicht mehr, aber auch nicht weniger. Primäres Ziel sollte also sein, die Kontakte reliabel zu erfassen.
Datentypen
In der Debatte werden die Begriffe „Standortdaten“, „Bewegungsdaten“ und „Kontaktdaten“ wild gemischt. Zunächst müssen wir also klären, wovon überhaupt die Rede ist.
1. Standortdaten: Person x war zum Zeitpunkt t an Ort A
Problem 1: Die räumliche Auflösung via GPS ist ziemlich ungenau.
Ob sich zwei Personen nah genug gekommen sind, um einander zu infizieren, oder ob sie mehrere Meter voneinander entfernt waren, lässt sich anhand der Genauigkeit von GPS einfach nicht entscheiden – eine Unmenge an false positives wäre die Folge.
Problem 2: Da wir uns bewegen, entsteht natürlich eine sehr lange Liste für jede Person. Die Länge der Liste richtet sich dabei nach der Frequenz der Erfassung. Noch dazu sind die Daten personengebunden. Da wir uns zurzeit weitestgehend isolieren, wäre der größte Teil der erfassten Daten zudem noch absolut irrelevant!
Fazit: Standortdaten sind aufgrund ihrer Ungenauigkeit schlichtweg ungeeignet. Schon das allein disqualifiziert sie, so dass wir die immensen Datenschutz- und Grundrechtsverletzungen gar nicht erst zu diskutieren brauchen.
2. Bewegungsdaten: In Zeitraum Δt haben sich n Personen von Bereich A in Bereich B bewegt.
Bewegungsdaten sind also im Gegensatz zu Standortdaten räumlich und zeitlich geringer aufgelöst. Sie sollten darüber hinaus über mehrere Personen aggregiert sein, so das die Identifikation der Bewegungen einzelner nicht möglich sein sollte.
Anwendungszweck: Diese Art Daten eignen sich gut zur Messung der Effektivität von Maßnahmen zur Senkung der Mobilität.Das ist im weitesten Sinne das, was von den Mobilfunknetzen an das RKI gegeben wird – ein Anspruch also, für den es eine seit Jahren existierende Lösung gibt. Diese Lösung wurde kommerziell übrigens allen angeboten, die bereit sind, dafür zu bezahlen. Das RKI ist in der Reihe der Abnehmer vermutlich noch der am wenigsten problematische.
Problem 1: Je nach zeitlicher und räumlicher Auflösung sind diese Daten ggf. von einer böswilligen Anwenderin durchaus de-anonymisierbar.
Problem 2: Für das Identifizieren von Kontakten sind die Daten nicht geeignet.
3. Kontaktdaten: Person a und Person b hatten zum Zeitpunkt t für einen Zeitraum länger als Δt Kontakt.
Dies ist der einzige relevante Messwert, um den es hier wirklich gehen soll. Wo dieser Kontakt stattgefunden hat, oder an welchem Ort a und b davor und danach waren, ist absolut uninteressant. Wieso sollte das also überhaupt erfasst werden?
Halten wir fest: alles, was erfasst werden muss, sind Kontaktdaten.
Datenspeicherung
Viele vorgeschlagene Konzepte sehen eine zentrale Speicherung von Standort- oder Bewegungsdaten vor. Hierbei würde eine Unmenge an irrelevanten Daten (kein Kontakt) gespeichert. Darüber hinaus ist eine zentrale Datenhaltung aus offensichtlichen Gründen abzulehnen: IANAL; aber nicht nur unterliegen wir hier dem Bereich der DSGVO, sondern auch den besonderen Anforderungen für sensible Gesundheitsdaten.
Die offensichtliche Anforderung ist also, sämtliche Daten dezentral und anonym vorzuhalten – und zwar auf eine Weise anonymisiert, die auch keine Deanonymisierung zulässt.
Es ergeben sich folgende Anforderungen:
- Dezentralität: Jede Person sammelt nur Daten für sich selbst. Diese werden nicht automatisiert weitergegeben.
- Anonymität:
- Die Daten, die jede Person sammelt, sind nicht geeignet zur Deanonymisierung anderer.
- Die Daten, die jede Person sammelt, sind nicht geeignet zur Deanonymisierung der Person selbst.
- Datensparsamkeit: Nur im Infektionsfall kann eine Person ihre Daten weitergeben. Auch in diesem Fall geben die Daten aber weder die Identität der infizierten Person, noch die Identität ihrer Kontaktpersonen preis.
Als Mitglied der Jury des Hackathons „Wir vs Virus“ hatte ich die Freude, eine Reihe von Einreichungen zu begutachten, die eine kluge Lösung gefunden haben, diese Anforderungen zu vereinen. Zur Veranschaulichung stark vereinfacht möchte ich sie hier einmal grob darstellen:
- Mein Handy sendet in regelmäßigen Abständen mittels Bluetooth Low Energy Beacon einen zufälligen Code aus. Dieser Code ändert sich regelmäßig, bspw. alle 30 Minuten.
- Empfängt mein Handy den Code eines anderen Handys, wird anhand der Signalstärke der Abstand geschätzt. Ist der Abstand gering genug, speichert mein Handy diesen Code. Da sich der Code der anderen Person bald wieder ändern wird, hat mein Handy keine personengebundenen Daten erfasst und ist auch nicht in der Lage, die andere Person längere Zeit zu tracken.
- Werde ich als infiziert diagnostiziert, veröffentliche ich an zentraler Stelle alle Codes, die ich je gesendet habe auf einem zentralen Server. Hier werden auch die Codes von allen anderen Menschen veröffentlicht, die diagnostiziert wurden.
- Alle anderen Nutzer laden regelmäßig die veröffentlichten als „infiziert“ markierten Codes herunter. Diese Codes sind ohne jede Aussage über Ort, Zeit oder Personen. Sie haben nur Informationswert für jene Personen, mit denen ich Kontakt hatte.
- Der Abgleich der veröffentlichten mit den lokal auf meinem Handy gespeicherten Codes ermöglicht das Berechnen meiner Exposition. Dabei ist es unerheblich, ob ich 10 Stunden mit einer infizierten Person verbracht habe, oder jeweils 20 halbe Stunden mit unterschiedlichen infizierten Personen. Selbst das kann aus den Daten nicht rekonstruiert werden.
- Auf dem zentralen Server befinden sich keinerlei Daten darüber, welche Personen infiziert sind, wo sie sich wann aufgehalten haben, oder welche Personen sie wo getroffen haben.
Trotzdem haben wir auf diese weise den Datensatz bester Qualität, weil genau nur unsere Kontakte aufgezeichnet wurden – jene Daten also, auf die es wirklich ankommt.
Elegante Lösungen
Diesen Anforderungen entsprechen folgende Einreichungen zum Hackathon „Wir vs. Virus“, die alle mittels Bluetooth ausgetauschte, zeitlich beschränkte Codes nutzen. Ich verlinke sie hier ohne Anspruch auf Vollständigkeit, weil ich nicht weiß ob ich alle Einreichungen zu diesem Thema reviewed habe:
- Update: Inzwischen haben sich drei der Projekte zusammengeschlossen:
ito – track infections, not people!, früher:Den weiteren Fortschriff von ito kann man hier begutachten und sich einbringen. - CovidEncounters
Für Menschen ohne Smartphone würde sich mit leichten Abstrichen in eine QR-Code-Lösung anbieten, bei der die Privatsphäre der Personen zumindest gegenüber wohlmeinenden Kontakten sichergestellt werden könnte – natürlich fehlt dem QR-Code aber die Benachrichtigungsfunktion: Tracking Infection Awareness Alert (IAA)
Wir lernen also: Die Daten der höchsten Qualität und Aussagekraft lassen sich vollständig anonym und dezentral erfassen. Ein wunderschönes Beispiel, wie wir ohne zentralisierte Massenüberwachung sogar ein besseres Ergebnis bekommen – und dabei entspannt und frei weiterleben können, ohne der Corona-Krise gleich noch eine selbstverschuldete Grundrechtskrise folgen zu lassen.
Mein Lob, meine Anerkennung und mein Glückwunsch gilt den „Wir vs Virus“-Teams!
Der Teufel steckt im Detail
Natürlich muss aber auch angemerkt werden, dass nur minimale Änderungen ausreichen würden, die Anonymität oder Dezentralität zu zerstören. Beispielsweise, den Code nicht regelmäßig zu ändern, oder alle Codes immer zentral zu erfassen. Selbstverständlich kann so eine App ausschließlich auf freiwilliger Basis verbreitet werden. Wenn die hier skizzierten Anforderungen kompromisslos erfüllt sind, hätte ich aber keinerlei Bedenken, die App zu nutzen – und ich denke dass es vielen Menschen ähnlich ginge.
Medienberichte
In den Tagesthemen konnte ich gestern diese Gedanken zum Teil ausführen:
Continue readingHirne Hacken #36C3
Beim 36C3 habe ich einen Vortrag über menschliche Faktoren der IT-Sicherheit gehalten:
Die überwältigende Mehrheit der erfolgreichen Hacks in freier Wildbahn setzen auf menschliche Faktoren. Wie können wir Systeme und Interfaces gestalten, um diese Schwachstellen zu mindern?
Ob Ransomware oder Phishing, APT-Angriffe oder Stalking: Die am häufigsten ausgenutzte Schwachstelle ist der Mensch.
Ein Problem, das nur wenig Forschung tatsächlich angehen will. Stattdessen begnügen wir uns damit, den Usern Dummheit zu unterstellen und menschliche Faktoren der IT-Sicherheit “out of scope” zu sehen.
Der Vortrag wurde aufgezeichnet und ist bei YouTube und auf media.ccc.de verfügbar:
- Youtube: Hirne Hacken – Menschliche Faktoren der IT-Sicherheit
- media.ccc.de: Hirne Hacken – Menschliche Faktoren der IT-Sicherheit
Der Vortrag kann unter diesem Link anonym bewertet werden.
Ausführlicheres Feedback und Anregungen nehme ich auch gern direkt entgegen.
Analyse des Staatstrojaners FinSpy #36C3
In den letzten Monaten haben Thorsten Schröder und ich endlich mal wieder ein kleines CCC-Projekt zusammen gemacht, das wir beim Congress endlich der Öffentlichkeit präsentieren konnten: Wir haben den Staatstrojaner Finspy in der Android-Version analysiert.
Anlass ist die Strafanzeige der Gesellschaft für Freiheitsrechte. Wie immer ist das Ganze ein bisschen eskaliert und am Ende haben wir nicht einen, sondern 28 Versionen des Staatstrojaners analysiert und die Samples natürlich auf Github veröffentlicht, um der Community weitere Analysen zu ermöglichen.
Der Fall ist politisch pikant, weil auch deutsche Strafverfolger FinSpy kaufen und einsetzen, während diese Schadsoftware aus völlig unerklärlichen Gründen immer wieder in autoritären Regimen beim Einsatz gegen demokratische Kräfte entdeckt wird. Die Zusammenhänge sind in diesem Tagesschau-Beitrag gut erklärt.
Es ist immer eine große Freude und Ehre, mit Thorsten zu arbeiten.
Ich freue mich, dass es sich gelohnt hat:
- CCC analysiert Münchner Staatstrojaner FinSpy (Pressemitteilung)
- Evolution einer privatwirtschaftlichen Schadsoftware für staatliche Akteure – FinFisher FinSpy für Android 2012-2019 (60 Seiten PDF, ~3MB)
- Github-Repo mit Dokumentation und Samples
- Github-Repo mit Analyse-Tools
Pressespiegel (Auswahl)
- Youtube: Ermittlungen gegen FinFisher: Gutachten des CCC (Tagesschau vom 28.12.2019)
- Deutschlandfunk: Deutsche Spionagesoftware gegen türkische Oppositionelle?
- br.de: Chaos Computer Club verfolgt Spur von Spähsoftware
- sueddeutsche: FinFisher: Spionagesoftware made in Germany?
- Deutschlandfunk: Kein Export von Spionagesoftware
- heise.de: Bundestag: Auch Zollfahnder dürfen künftig den Bundestrojaner einsetzen
- zeit.de: Exportkontrolle von Digitalwaffen funktioniert nicht
Was ist eigentlich dieses Darknet?
Das Internet und seine Auswirkungen auf die Demokratie
Gestern habe ich bei der Schwarzkopf-Stiftung Junges Europa einen Vortrag über die großartigen Chancen und aktuellen Probleme des Internets für die Demokratie gehalten:
Verheißung oder Bedrohung? Das Internet und seine Auswirkungen auf die Demokratie [YouTube-Link].
Mein persönliches Highlight war die anschließende Diskussion.
Continue reading
Wann, wenn nicht wir* | Sicherheit in selbst-organisierenden Systemen
“Wann, wenn nicht wir*” erscheint am 4. September 2019 im Verlag S. Fischer. Das Buch versammelt Fakten über bereits sichtbare Folgen der Klimakrise und ruft zum Handeln auf. Für alle nachvollziehbar, konkret und undogmatisch erklärt es, wie sich das Rebellieren organisieren lässt: Von der gewaltfreien Kommunikation über das Errichten von Straßenblockaden und die Vorbereitung anderer Protestaktionen bis hin zum Kochrezept für mehrere hundert Menschen.
Das Handbuch von, zu und für Extinction Rebellion ruft zu massenhaftem gewaltfreien zivilen Ungehorsam gegen die Klimakrise und das Massenaussterben auf. Ich habe einen kurzen Beitrag über sichere digitale Vernetzung beigesteuert:
Sicherheit in selbst-organisierenden Systemen
Neben dem Zusammenkommen in den Aktionen im öffentlichen Raum ist die digitale Kommunikation die Grundlage für unsere Vernetzung und Zusammenarbeit. Das Internet ist das perfekte Werkzeug für Überwachung, Kontrolle und Macht – und gleichzeitig das perfekte Werkzeug für ihr Gegenteil: Dezentrale Vernetzung, Befreiung und soziale Veränderung. Es liegt an uns, das befreiende Potenzial der Dezentralität auszuschöpfen, Ihre Schwächen zu kennen, und uns gegen zentralisierte Überwachung zu schützen.
Aus technischer und sozialer Sicht birgt aber auch die Dezentralität einige Risiken – insbesondere im Digitalen: Die größte technische Gefahr besteht in den massenhaften digitalen Spuren, die wir hinterlassen. Das größte soziale Risiko ist die Unterwanderung.
Hack und Back vom BND?
In der vergangenen Woche wurden erstmals die konkreten Pläne der Bundesregierung bekannt, in den Cyber-Krieg zu ziehen. Ich sehe in diesem Vorgehen 3 Kernprobleme:
- Spontanes Hacking auf Befehl geht nicht – ein Hack braucht lange Vorbereitung, im Zweifelsfall muss die Infiltration schon lange erfolgt sein, bevor der Befehl zur Sabotage ausgeführt wird.
- Ein Hack setzt bekannte Schwachstellen voraus – diese müssen geheim gehalten werden und auf allen Systemen ungepatcht sein. So werden wir alle einem Risiko ausgesetzt, auf das Wannacry nur ein Vorgeschmack war.
- Schadenabwehr durch Gegenangriff funktioniert nicht – Es fällt auch der Bundesregierung schwer, einen Fall zu konstruieren, in dem ein Gegenangriff zu signifikanter Schadenminderung oder gar -abwehr beigetragen hat oder hätte.
Von den 3 Problemen möchte die Bundesregierung nur dem ersten begegnen: Weil spontane Hacks nicht funktionieren, sollen die Offensiv-Kapazitäten beim BND angesiedelt werden. Der BND würde damit von der reinen Spionage zur Sabotage übergehen, von der NSA zur CIA werden. Begriffe wie “Hackback”, “Abwehr” oder “Verteidigung” sind dabei nicht zutreffend, weil die Infiltration der Zielsysteme bereits vorher erfolgt. In Logbuch:Netzpolitik Folge 248 haben wir dafür den Begriff “Hack & Back” eingeführt.
Ausführlich haben wir das Thema mit Frank Rieger in “LNP272 Alles zerfragen” behandelt. In der aktuellen Folge von Logbuch:Netzpolitik gehen wir auf die aktuellen Entwicklungen ein. Teile meiner Kritik durfte ich bei Deutschlandfunk Nova und in der Tagesschau vertreten:
Links:
- tagesschau.de: Die Hackback-Pläne der Bundesregierung
- logbuch:netzpolitik: LNP248 Hack & Back
- logbuch:netzpolitik: LNP272 Alles zerfragen
- logbuch:netzpolitik: LNP303 Halt mal meinen Pflaumenschnaps
- BR24: Abwehr von Cyberattacken: Seehofer plant den Gegenangriff
- Deutschlandfunk Nova: Cyberattacke – Seehofer plant den Gegenangriff
Vortrag bei der #rp19 TINCON
Die Berliner Netz-Konferenz re:publica pflegt seit einiger Zeit auch eine erfolgreiche Sub-Konferenz, die sich spezifisch an Jugendliche richtet: die TINCON. Klarer Fall, dass das die coolere – und auch die wichtigere – Konferenz ist.
Ich durfte mit dem Vortrag “Wie Hacker hacken (und möglichst nicht mich)” einen Beitrag zum Programm leisten:
Zu Gast beim Kinderkanal
In der vergangenen Woche war ich zu Gast bei Timster, einer Wissenssendung auf dem Kinderkanal. Ich war sehr positiv beeindruckt, wie viel Mühe, Vorbereitung, Nachdenken und Aufwand in die Produktion dieser Kindersendung geht. Das Team hat großen Wert darauf gelegt, die Dinge korrekt und kindergerecht zu erklären – gar keine einfache Aufgabe!
Continue readingLehren aus den Doxing-Angriffen
Nach dem öffentlichen Bekanntwerden konnten Täter und Mittäter hinter den ausführlichen Datenveröffentlichungen im “Doxing-Adventskalender” sehr zügig dingfest gemacht werden. Nun ist es Zeit, daraus die richtigen Lehren zu ziehen.
War das ein Superhack?
Nein. Es ist auch nichts, worauf man stolz sein könnte.
- “Nur” 50 der 1.000 betroffenen Personen wurde wirklich gehackt – der Rest der Daten stammte aus diesen illegalen Zugriffen und vermutlich aus weiteren Recherchen.
- Das Vorgehen war simpel, hatte keine besondere technische Komponente und
- der Täter verstand es nicht, seine Spuren zu verwischen um sich nicht erwischen zu lassen.
Das bedeutet aber auch:
Continue readingMenschliche Faktoren der IT-Sicherheit
Für die Ausgabe 11/12.2018 von Report Psychologie habe ich einen Beitrag über die menschlichen Faktoren beim Hacking beigesteuert:
Wenn Hacker Menschen hacken
»Unser System ist unhackbar«, hören wir diverse Hersteller von Software oder Hardware immer wieder betonen. Und immer und immer wieder werden sie eines Besseren belehrt, sobald Fachkundige mit gutartiger oder bösartiger Motivation diese Aussage auf die Probe stellen.
Wie aber funktioniert eigentlich dieses Hacken? In der Breite der Gesellschaft herrscht über diese Frage eine ausgeprägte Unkenntnis, in deren Schatten sich allerlei mythische Theorien breitmachen…
Have you been wp-gdpr-compliance’d?
An ugly vulnerabilty in the wordpress plugin wp-gdpr-compliance was recently discovered and reported by Mikey Veenstra of wordfence. Please read his very comprehensive write-up of the vulnerability and its IOC right after updating to the latest version to be safe.
Since I was also using the plugin, this vulnerability was giving me a headache today. Based on wordfences report, I wrote a quick and dirty shellscript to search for indicators of compromise on the various wordpress hosts I am sadly administrating. As usual, please do not run the script without thouroughly checking und understanding what it does. You will likely need to modify constants and paths.
Also, please make sure you stay up to date and on top of things while other researchers discover more indicators of compromise and develop better detection techniques. Continue reading
Damit es der Russe(TM) nicht macht: CCC hackt die Bundestagswahl
Zusammen mit Thorsten Schröder und Martin Tschirsich habe ich mir in den letzten Wochen die zur Organisation, Erfassung, Berechnung, grafischen Präsentation, Meldung und statistische Nachbereitung von Wahlen verwendete Software PC-Wahl angeschaut.
Dabei ist uns einer Reihe an Sicherheitslücken aufgefallen, die sich zu drei unterschiedlichen praktikablen Angriffszenarien auf die Bundestagswahl kombinieren lassen. Die Ergebnisse haben wir in einem 23-seitigen Bericht zusammengefasst und die im Rahmen der Analyse entwickelten Angriffe auf github veröffentlicht.
Darüber berichtet die ZEIT auf Papier und online darüber, ebenso wie Spiegel Online und netzpolitik.org. In Logbuch:Netzpolitik 228 berichten wir darüber hinaus ausführlich und in lockerer Atmosphäre von der Analyse.
„Es ist einfach nicht das richtige Bundestagswahljahrtausend, um in Fragen der IT-Sicherheit bei Wahlen ein Auge zuzudrücken“, sagte Linus Neumann. „Wirksame technische Schutzmaßnahmen sind teilweise seit Jahrzehnten verfügbar. Es ist nicht nachvollziehbar, warum diese keine Anwendung finden.“
- Bericht: Analyse einer Wahlsoftware
- Repository: Walruss PC-Wahl 10 Hacking Tools
- Podcast: Logbuch:Netzpolitik 228 Interessierte Bürger
- Pressemitteilung CCC: Software zur Auswertung der Bundestagswahl unsicher und angreifbar
Austellungseröffnung “Wahlcomputer” im Heinz-Nixdorf-Forum
Im Heinz-Nixdorf-Forum zu Paderborn wurde heute die Ausstellung “Helfer oder Fälscher – Computer im Wahleinsatz” eröffnet.
Zu diesem Auftakt habe ich keinen kurzen Vortrag über Wahlcomputer gehalten, in dem ich (hoffentlich) leicht verständlich gemacht habe, warum der Einsatz von Computern als Wahlgeräte eine ziemlich dumme Idee ist.
Abschließend nehme ich noch kurzen Bezug auf verbleibende Sorgen, wie DER RUSSE(TM) die Bundestagswahl 2017 – laut BSI – hacken könnte.
Eine Aufzeichnung gibt es hier, bei Vimeo und auch bei Youtube.
[embedyt] https://www.youtube.com/watch?v=eqk4oAeUu1U[/embedyt]
Zu Gast im SWR Forum zum Bundestagswahlkampf
Mit der Einflussnahme auf Wahlen beschäftige ich mich seit einem Jahr ausführlich.
Nicht nur im Logbuch:Netzpolitik behandeln wir das Thema regelmäßig – auch im Bundestag musste ich inzwischen mehrmals dazu Rede und Antwort stehen.
Am Mittwoch habe ich im SWR mit
- Dr. Jeanette Hofmann, Professorin für Internetpolitik an der Freien Universität Berlin
- Robert Heinrich, Wahlkampfmanager Bündnis90/Die Grünen
darüber diskutiert. Moderiert wurde die Sendung von Claus Heinrich.
Anzeigen bei Google, persönliche Tweets mit Hilfe von Big-Data, die Abwehr von Fake-News. Noch nie wurde in Deutschland von den Parteien so viel in digitale Medien investiert wie bei diesem Bundestags-Wahlkampf. Für die meisten Politiker heißt das experimentieren im “Neuland”. Lohnt sich der Aufwand? Welche Online-Strategien sind bei welchen Zielgruppen erfolgreich? Führt das “Like” bei Facebook tatsächlich zum Kreuz bei der Wahl? In den USA haben Hacker den Ausgang der Präsidentenwahl über sogenannte Social Bots beeinflusst. In Deutschland wollen alle Parteien auf diese Meinungsroboter verzichten. Reicht das aus, um den Wahlkampf im Netz vor Manipulation zu schützen?
Die Sendung gibt es hier auch direkt zum Download.
Stellungnahme zum Staatstrojaner
Am 31.05.2017 fand im Rechtsausschuss eine Sachverständigenanhörung zum Einsatz von Staatstrojanern im Rahmen der StPO statt. Mit der vorgeschlagenen Gesetzesänderung würden Staatstrojaner nicht mehr wie bisher zur Abwehr von Terrorismus, sondern auch zur Verfolgung von “Alltagskriminalität” zugelassen werden.
Als Vertreter des Chaos Computer Clubs habe ich mich in der Anhörung vehement dagegen ausgesprochen. Meine schriftliche Stellungnahme findet sich hier. Continue reading
Sendung mit dem Chaos: Samsung S8 Iris Scanner
starbug hat mal wieder einen Biometrie-Sensor überlistet.
Dabei kam dieses kleine Video heraus. (Ich hatte die Ehre, Kamera, Schnitt und Ton zu machen 😉
Das Video haben wir bei media.ccc.de veröffentlicht.
[embedyt] https://www.youtube.com/watch?v=4VrqufsHpS4[/embedyt]