Donnerstag, 25. Oktober 2007

Ein Weblog des Terrors

Erschienen in der Telepolis - geschrieben von Ernst Corinth 22.10.2007

Die Lebensgefährtin des Soziologen Andrej Holm, ein Opfer staatlicher Überwachung, schildert ihren Alltag.

Über den unter Terrorismusverdacht stehenden Berliner Stadtsoziologen Andrej Holm ist in den letzten Wochen viel geschrieben wurden (Andrej H., § 129a und die verdächtigen Begriffe). Es gab Solidaritäts-bekundungen auch aus dem Ausland und von angesehenen Kollegen. Und einige der gegen ihn erhobenen Vorwürfe sind mehr als absurd. Dennoch wird Andrej Holm auch nach seiner vorzeitigen Haftentlassung vom BKA und der Bundesanwaltschaft weiterhin wie ein Staatsfeind Nr. 1 behandelt und davon betroffen ist auch seine Familie, seine Lebensgefährtin und ihre zwei Kinder.

Wie ein Leben unter ständiger Beobachtung durch das BKA ausschaut, schildert Holms Lebensgefährtin seit Anfang Oktober in dem Weblog Annalist. Ihr Versuch, die Isolierung aufzubrechen, Gegenöffentlichkeit herzustellen und auch der Versuch die staatlichen Beobachter zumindest ein Stück weit selber unter Beobachtung zu stellen. Gleichzeitig hat man zuweilen den Eindruck, dass beim BKA technische Dilettanten am Werke sind oder sollen die offensichtlichen Pannen die Überwachten zusätzlich verunsichern?

weiterlesen

Donnerstag, 11. Oktober 2007

Zypries hält Klage gegen Vorratsdatenspeicherung geheim (09.10.2007)

 Das Bundesjustizministerium hat die Herausgabe einer Klageschrift gegen die EG-Richtlinie zur Vorratsdatenspeicherung verweigert. Bürgerrechtler werten dies als Ausdruck einer zunehmenden Nervosität der Bundesregierung und der zuständigen Ministerin Brigitte Zypries in Bezug auf eine laufende Nichtigkeitsklage gegen die Richtlinie.
weiter ...

Dienstag, 14. August 2007

Verschärfter Hackerparagraph inkraftgetreten

Entnommen heise online

Hauptsächlicher Stein des Anstoßes rund um das 41. Strafrechtsänderungsgesetz ist der neue Paragraph 202c StGB. Danach soll die

"Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden."
Die damit kriminalisierten "Hacker-Tools" dienen jedoch auch Systemadministratoren, Programmierern und Beratern dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen. Laut einer Zusatzerklärung des Bundestag-Rechtsausschusses, der für die unveränderte Absegnung des Regierungsentwurfs durch das Parlament sorgte, soll diese schwammige Bestimmung eingeschränkte Wirkung entfalten. Betroffen sehen wollen die Abgeordneten allein Computerprogramme, die in erster Linie dafür ausgelegt oder hergestellt werden, um Computerstraftaten zu begehen.

Der ebenfalls neue Paragraph 202b sieht vor, dass mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe belegt wird, wer sich oder anderen mit solchen Hilfsmitteln unbefugt Daten aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft. Paragraph 202a wird so verändert, dass er bereits den unbefugten Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen kriminalisiert. Mit Paragraph 303b wird Computersabotage deutlich schärfer und mit maximal zehn Jahren Gefängnis zu ahnden sein. Neben Betrieben, Unternehmen und Behörden soll damit künftig auch die private Datenverarbeitung gegen "erhebliche Störungen" geschützt werden.

Den neuen Gesetzestext lesen Sie hier.

Chaos Communication Camp: von Holzpferden und Holzpfaden


Zu lesen auf heise online

Tag vier des Chaos Communication Camp in Finowfurt: Das dritte Sommerzeltlager des Chaos Computer Club mag anwesende Betrachter zwar nicht unbedingt an das gängige Erscheinungsbild von Expertenkonferenzen zu Fragen aktueller IT-bezogener Politik erinnern, aber das, was hier an Stements bislang laut geworden ist, dürfte in der Summe keineswegs weniger Substanz aufweisen als das, was für gewöhnlich aus klimatisierten Stadthallen und Kongresszentren an die Medien dringt. Dabei geht es etwa um die Begehrlichkeiten von Innenpolitikern, Strafverfolgungsbehörden und Geheimdiensten bezüglich des Zugriffs auf private Computer mit Hilfe staatlich eingesetzter Spionagesoftware.

Im Urteil des Virenexperten Toralv Dirro von McAfee ist der "Bundestrojaner" eine Art Magic Lantern 2.O, eine Wiederholung jenes sagenhaften FBI-Programms: viel Hype, wenig Substanz. Anders sieht es der Jurist Marco Gercke: Für ihn besteht dieses Objekt von Ermittlerhoffnungen und Bürgerbefürchtungen derzeit zwar auch aus viel heißer Luft, die aber vom politischen Kalkül erhitzt wird. Gefährlich wird es nach Gercke dann, wenn Regierung und Software-Industrie gemeinsam daran gehen, dem Trojaner das Laufen beizubringen. Schade nur, dass Gercke und Dirro beim CCC-Event nicht direkt miteinander diskutierten, da sie an verschiedenen Tagen auftraten.


weiterlesen ...

Donnerstag, 9. August 2007

All your base are belong to us!

ULD-Gutachten: Vorratsdatenspeicherung verfassungswidrig

Das Gutachten des Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) kommt zu dem Schluss:

Entwurf zu Vorratsdatenspeicherung, Telekommunikationsüberwachung und heimliche Ermittlungsmaßnahmen ist europarechts- und verfassungswidrig


In einer Pressemitteilung vom 28. Juni 2007 wird erklärt:
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat im Auftrag des Innen- und Rechtsausschusses des Schleswig-Holsteinischen Landtags eine ausführliche Stellungnahme zum Entwurf für ein „Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG“ erstellt und an diesen übermittelt. Die wesentlichen Ergebnisse der rechtlichen Bewertung sind Folgende:

Wir appellieren an den Bundesgesetzgeber, von der Vorratsdatenspeicherung Abstand zu nehmen. Vor einer Umsetzung der Richtlinie sollte dringendst das bereits beim Europäischen Gerichtshof hiergegen anhängige Verfahren abgewartet werden. Möglicherweise wird die Richtlinie bereits dort für unwirksam erklärt.

* Die Vorratsdatenspeicherung ist unverhältnismäßig und damit verfassungswidrig. Sie verstößt gegen das national durch Art. 10 GG sowie europarechtlich durch Art. 8 EMRK geschützte Fernmeldegeheimnis und gegen das Verbot der Speicherung „nicht anonymisierter Daten auf Vorrat zu unbestimmten oder noch nicht bestimmbaren Zwecken“ (BVerfGE 65, 1, 47). Die Zwecke der Vorratsdatenspeicherung sind unbestimmt, weil die Verkehrs- und Standortdaten aller Teilnehmer und Netze öffentlicher elektronischer Kommunikationsdienste pauschal und ohne jeden konkreten Anhaltspunkt für eine konkrete Straftat der betroffenen Personen gespeichert werden.

weiterlesen

Datenfrei kommunizieren

Während eine Vorratsdatenspeicherung Anbieter zur Protokollierung Ihrer Kommunikation verpflichten würde, speichern die Firmen Telekommunikationsdaten schon heute verbreitet auf freiwilliger Basis. Vollziehen Sie Ihren persönlichen Ausstieg aus dieser "kleinen Vorratsdatenspeicherung"! Wir zeigen Ihnen sechs Möglichkeiten, um eine Protokollierung Ihrer Kommunikation zu verhindern. Die Palette reicht von einfachen Maßnahmen bis hin zu technisch anspruchsvollen Lösungen.

Weiterlesen unter www.vorratsdatenspeicherung.de

Dammbruch bei Telekommunikationsdurchleuchtung droht

Entnommen von vorratsdatenspeicherung.de
Pressemitteilung vom 06.07.2007:

Der Bundestag berät heute in erster Lesung den Gesetzentwurf zur Einführung einer allgemeinen Speicherung von Kommunikations-, Bewegungs- und Internetdaten (sog. Vorratsdatenspeicherung). Die Bundesregierung hatte zuvor ihre Unterstützung für weitere Verschärfungen des Vorhabens signalisiert.
Nach Plänen von SPD und Union soll ab 2008 über Monate hinweg gespeichert werden, wer mit wem per Telefon, Handy oder E-Mail in Verbindung gestanden hat. »Erstmals sollen ohne jeden Verdacht einer Straftat sensible Informationen über die sozialen Beziehungen, die Bewegungen und die individuelle Lebenssituation (z. B. Kontakte mit Ärzten, Rechtsanwälten, Telefonseelsorge, AIDS-Beratung) von über 80 Millionen Bundesbürgerinnen und Bundesbürgern gesammelt werden«, kritisiert Twister (Bettina Winsemann) vom Arbeitskreis Vorratsdatenspeicherung. »Dieses beispiellose Vorhaben stellt die bislang größte Gefahr für unser Recht auf ein selbstbestimmtes und privates Leben dar.«

Die Bundesregierung befürwortet weitere Verschärfungen des Gesetzentwurfs. In ihrer Gegenäußerung zur Stellungnahme des Bundesrats unterstützt sie die Forderung, auch privaten »Rechteinhabern« die Identifizierung von Internetnutzern zu ermöglichen, etwa um die Nutzung von Tauschbörsen im Internet abmahnen zu können. Selbst zur Verfolgung von Ordnungswidrigkeiten wie Falschparken will die Bundesregierung die Nutzung der Vorratsdaten zulassen.

»Dies bestätigt unsere Warnung, dass alle Dämme brechen, sobald unser Kommunikationsverhalten erst einmal erfasst und protokolliert ist«, kommentiert Patricki Breyer vom Arbeitskreis Vorratsdatenspeicherung. »Wegen der Dateninkontinenz des Gesetzgebers ist der einzig effektive Schutz vor der staatlichen Überwachungslust, schon die verfassungswidrige Anhäufung der sensiblen Daten zu unterbinden. Dass die Regierung laut Haushaltsplan 2008 jetzt auch die ›Auswertung von Massendaten‹ verbessern will, zeigt, dass wir noch lange nicht am Ende der Überwachungsrutschbahn von CDU/CSU und SPD angekommen sind, sondern immer weiter in Richtung Kontroll- und Überwachungsstaat abgleiten.«

Der Arbeitskreis Vorratsdatenspeicherung, ein bundesweiter Zusammenschluss von Bürgerrechtlern, Datenschützern und Internet-Nutzern, fordert einen Stopp des Gesetzesvorhabens.

PrivacyDongle - Anonym im Internet surfen

Mit dem PrivacyDongle des FoeBuD e.V. können alle Menschen anonym im Internet surfen. Der kleine USB-Stick beherbergt die Software TorPark, mit der anonyme Kommunikation ohne vorherigen Installationsaufwand möglich ist. Der PrivacyDongle wird einfach in den USB-Port des Windowsrechners am Arbeitsplatz (wenn die private Nutzung der Rechner nicht verboten ist), bei Freunden oder im Internetcafe gesteckt. Dann wählen Sie den Stick an, klicken auf das Programm-Icon, und schon kann es los gehen.

Anonyme Kommunikation im Internet kann ganz einfach sein: Mit dem PrivacyDongle. Der FoeBuD e.V. möchte damit das Recht auf Privatsphäre im Internet stärken und ein Zeichen gegen die geplante Vorratsdatenspeicherung setzen. Der PrivacyDongle besteht aus einem USB-Stick und der Software TorPark (die man übrigens auch beim FoeBuD e.V. herunterladen kann). Der PrivacyDongle kann im FoeBuD-Unterstützungs-Shop gekauft und damit die Arbeit des FoeBuD e.V. unterstützt werden.

Weiterlesen auf der FoeBuD e.V. Website

Biometrie

Mehr über Gesichtserkennung, Fingerabdrücke und Gen-Datenbanken
Biometrische Erkennungsmerkmale werden als Non-Plus-Ultra-Lösung für Sicherheitssysteme propagiert. Wie unsicher sie wirklich sind und wie sie überlistet werden können, lesen Sie auf der Webseite von Jan Krissler und Lisa Thalheim
Schwachstellen biometrischer Verfahren im Allgemeinen:
Biometrische Systeme lassen sich auf unterschiedliche Art und Weise überwinden, wobei gezielt Schwächen des jeweiligen Teilsystems ausgenutzt werden. Dabei gibt es:
Angriff unter Verwendung der Sensors
Mit diesen Angriffen wird dem Sensor vorgetäuscht, dass er das Merkmal eines berechtigten Benutzers detektiert. In Wirklichkeit handelt es sich aber um eine Fälschung (Bilder, Attrappen oder andere Kopien). Dabei gibt es für die einzelnen Sensortypen ganz unterschiedliche Überwindungsszenarien. Diese werden hier genauer beschrieben.
Angriff auf die Datenkommunikation
Da die meisten Sensoren über ein Kabel (USB, seriell, parallel) mit der Verarbeitungseinheit (Computer) verbunden sind ist es möglich den Angriff dort anzusetzen. Oft werden die Daten gänzlich unverschlüsselt übertragen, was ein Abfangen und Auswerten einfach macht. Dabei können Hard- oder Softwarelösungen zum Einsatz kommen. Hardwaresniffer werden meist zwischen das Gerät und den Computer gesteckt, können sich aber auch im Gerät selber oder am Kabel befinden. Dabei werden entweder induktive Abnehmer verwendet oder die Einzelkabel direkt kontaktiert. Softwaresniffer setzen meistens zwischen dem Devicetreiber und dem Betriebssystem an. Somit kann jedes Bit der stattfindenden Kommunikation protokolliert werden. Vorsicht, hierbei können sehr grosse Datenmengen anfallen.
Die so gewonnenen Informationen dienen zum Anfertigen von Attrappen oder als Ausgangspunkt für Replay Attacken. Dabei emuliert ein Computer das biometrische Device und sendet auf Anfrage des Systems die vorher gesnifften Daten. Keinen besonders grossen Schutz bietet hierbei die Verwendung von Timestamps der Einzelpackete, da diese auf dem Angriffsrechner manipuliert werden könne.
Einzig starke Verschlüsselung der Daten verhindert Replay Attacken wirkungsvoll.
Angriff auf die Templatedaten
Personen zu erkennen heisst, aktuell aufgenommene Merkmale mit Referenzdaten zu vergleichen, die zuvor eindeutig der Person zugeordnet wurden. Diese Referenzdaten werden in Form von Templates im System gespeichert. Wird es einem Angreifer ermöglicht auf diese Daten Einfluss zu nehmen kann er sie so verändern, dass er statt oder neben der berechtigten Person erkannt wird. Da es heutzutage allerdings recht einfach ist Schreibzugriffe auf die Daten zu unterbinden sind solche Angriffe ehr selten. Vielmehr bieten sie sich an um sich im System festzusetzen. Die Templatedaten werden meistens in einem eigenen Verzeichnis auf der Festplatte des Computers oder auf einem seperaten Medium (Chipkarte, Smartcard) gespeichert. Erhält man Schreibzugriff kann man gezielt Veränderungen vornehmen. Löscht man die Templates ist der berechtigte Benutzer nicht mehr in der Lage sich anzumelden und wird, sofern es keine Backuplösung gibt aus dem System ausgeschlossen. Ersetzt man die Templates hingegen mit denen der eigenen Person wird man als der berechtigte Benutzer erkannt und besitzt gegenüber dem System dessen Identität. In beiden Fällen merkt der Attackierte allerdings sehr schnell, dass die Daten manipuliert wurden. Gelingt es allerdings Templates einzuschleusen, die sowohl den eigentlichen Besitzer als auch den Angreifer repräsentieren können beide den gleichhen Account benutzen. Eine solche Doppelbelegung fällt legiglich durch zusätzliche Logs oder Timestamps von Dateien auf. Aber auch dies sollte bei entsprechendem Wissen und ausreichenden Zugriffsrechten keine Hürde darstellen.

 

Aktion UBERWACH!