Qbi's Weblog

Jacob Appelbaum hat bei der Konferenz eine Keynote gehalten. Er geht hier sehr stark auf den Begriff der Freiheit ein, den Richard Stallman geprägt hat und erzählt etwas über Lawful Interception sowie Zensur.

Um den Staatstrojaner ist es nach den diversen Veröffentlichungen wieder recht ruhig geworden. Daher haben die Macher von 0zapftis.info Aktionstage gegen den Staatstrojaner ausgerufen. Zuerst wird es in Berlin am 19. November 2011 eine Demonstration gegen staatliche Überwachung geben. Alle Teilnehmer treffen sich am Rathaus Neukölln und wandern anschließend zum BKA. Ich würde mich sehr freuen, wenn es in anderen Bundesländern ähnliche Aktionen geben würde.

Ein Add-On für den Firefox, welches 4 von 5 Sternen hat und von mehr als sieben Millionen Nutzer installiert wurde, sollte doch halbwegs vertrauenswürdig sein. Zumindest legt Linus’ Law diese Erkenntnis nahe. Das Add-On Ant Video Downloader straft diese Annahme nun Lügen.

Der Ant Video Downloader soll Videos von Youtube, Facebook und vielen anderen Seiten auf einfache Weise herunterladen. Daneben hat die Software noch einen anderen Zweck. Sie sammelt Daten über jede Seite, die der Benutzer besucht. Dazu wird eine eindeutige Nummer, die so genannte Ant-UID, angelegt. Wenn eine Webseite aufgerufen wird, sendet Ant eine zweite Anfrage mit eben dieser Nummer, der URL der aufgerufenen Seite sowie der Browserkennung an die Adresse rpc.ant.com.  Somit kommt dort jeder Seitenaufruf (also auch interne URLs im privaten Netzwerk) an, den ihr jemals gemacht habt. Damit aber noch nicht genug. Bei der Deinstallation der Software wird die Informationen mit der eindeutigen Nummer, der Ant-UID, behalten. Wenn ihr die Software später neu installiert, wird genau dieselbe Nummer wieder verwendet. Das ist also eine massive Verletzung der Privatsphäre der Nutzer.

Wie ein Witz klingt da die Privacy Policy von Ant.com:

As a responsible member of the community of website owners, Ant.com solutions (Here in after Ant.com) takes the privacy and security of its users with the highest regard.

Insgesamt finde ich in der Policy keinen Hinweis auf diese Spionagemaßnahme. Glücklicherweise haben die Betreiber der Add-On-Seite die Notbremse gezogen. Zunächst wurde der Download der Software komplett deaktiviert und jetzt ist diese als experimentell gekennzeichnet. Damit sollten nur erfahrenere Nutzer diese installieren können.

Das Beispiel zeigt mal wieder, das man sich offensichtlich auf keine Software verlassen kann und insbesondere das die Warnungen bezüglich der Add-Ons sehr ernst zu nehmen sind.

via InterWeb Task Force und The Register

Der Anonymisierungsdienst Tor ist so aufgebaut, dass jeder einen Server aufsetzen und Daten für andere weiterleiten kann. Einige kommen auf die schlechte Idee, den Verkehr mitzuschneiden. Da Tor-Nutzer sich manchmal bei unverschlüsselten Seiten anmelden, erhält der Betreiber des Tor-Servers in dem Fall die Login-Informationen. Dan Egerstad war einer dieser Leute.

Die Entwickler hinter dem Tor-Projekt, genauer die Betreiber der Verzeichnisserver, versuchen, schadhaftes Verhalten zu erkennen und den Server dann im Netzwerk zu sperren. Hierfür wird der Server als BadExit markiert. In der Folge darf der Server nur noch internen Verkehr weiterleiten.

Doch wie erkennt man, ob jemand wirklich die Inhalte mitschneidet? Wo ist die Grenze zwischen falscher Konfiguration und Böswilligkeit? Eine Frage, die sich schwer beantworten lässt und gleichzeitig auf der Mailingliste des Projekts hohe Wellen schlug.

Am Anfang stand die Frage „Is “gatereloaded” a Bad Exit?“ und im Verlauf der Diskussion wurden verschiedene Standpunkte diskutiert. Der Tor-Server gatereloaded lässt ausgehenden Verkehr nur für bestimmte Ports zu. Üblicherweise wird über diese (FTP, HTTP, POP3) im Klartext kommuniziert. Weiterhin ist es üblich, über diese Ports auch Login-Informationen zu senden. Das sind also ideale Bedingungen für einen Schnüffler. Gleichzeitig sind in den Informationen zum Server keine oder falsche Kontaktinformationen hinterlegt. Es gibt also keine Möglichkeit, sich mit dem Betreiber über die Sache auszutauschen.

Nach einiger Diskussion wurde der und andere Router in die Liste mit nicht vertrauenswürdigen Routern eingetragen. Einige Menschen auf der Mailingliste protestierten. Denn zum einen wollten sie nicht, dass irgendjemand diktiert, wer welche Ports erlaubt und zum anderen wurde durch die „Schließung“ angeblich mehr Last auf die anderen Server gelegt. Schließlich kam das Killerargument, dass ja jeder Verkehr mitschneiden könne.

Ich halte die Entscheidung der Admins der Verzeichnisserver für richtig und nachvollziehbar. Denn, wie sie später erklärten, läuft der Algorithmus ungefähr wie folgt:

1. Suche nach verdächtigen ExitPolicys.
   
2. Hat der Betreiber Kontaktinformationen gesetzt?
3. Falls ja, wird der Betreiber kontaktiert und um Auskunft gebeten bzw. über die „falsche“ Policy aufgeklärt. Wenn er die Policy anpasst bzw. eine gute Erklärung für seine Entscheidung liefert, ist alles in Ordnung. Antwortet er nicht, dann wird der Server als BadExit markiert.
4. Falls keine Kontaktinformationen angegeben sind, wird der Server als BadExit markiert.

In Abhängigkeit vom Einzelfall kann der Weg natürlich auch anders aussehen. Aber auf jeden Fall wird nicht blind versucht, irgendwelche Server, die Einzelpersonen nicht passen, auszuschalten. Sondern vielmehr versuchen die Personen wenig invasiv vorzugehen und einvernehmliche Lösungen zu finden.

In der Zwischenzeit kontaktierte einer der Administratoren der gesperrten Server das Tor-Projekt und erklärte, dass ihm die Formulierung der ExitPolicys zu schwierig war. Daher hat er einige naheliegende Ports freigegeben. Das Tor-Projekt klärte denjenigen auf, er änderte seine Einstellungen und nun ist er kein BadExit mehr.

Ich frage mich jetzt, warum der Admin Kontakt aufgenommen hat. Nach meiner Meinung/Erfahrung dürfte der durchlaufende Datenverkehr gleich geblieben sein. Denn er kann immer noch Daten innerhalb des Netzwerks weiterleiten. Also müsste dieser Fakt rausfallen. Weiterhin halte ich es für einen normalen Betreiber eines Servers für unerheblich, ob nun Verkehr nach außen geht oder innerhalb des Netzes bleibt. Momentan mag mir nur ein Grund einfallen: Der Scanner, mit dem Daten mitgeschnitten wurden, blieb leer. Was also liegt näher, als nach dem Grund zu fragen? Vielleicht ist meine Phantasie zu eingeschränkt und es gibt noch einen anderen plausiblen Grund. Meine torrc hat auf jeden Fall einen Eintrag mehr für die Option ExcludeExitNodes.

Snuggly, der Sicherheitsbär, erklärt die Pläne zur Überwachung des Internets. Wer nichts zu verbergen hat, ... Ausgedacht wurde der Bär von Mark Fiore. Er hat auf seiner Webseite mehr schöne Sachen.

Anne Roth hat in ihrem Blogbeitrag mehr Details.

via Rop.

Update: Das alte Video wurde entfernt. Link aktualisiert.

Alexander Lehmann, der Macher von Rette Deine Freiheit, Cleanternet und einigem mehr, hat wieder zugeschlagen. In dem Video geht er auf die allfällige Videoüberwachung (Buugle Streetview), Nacktscanner (Buugle Bodyview) und das SWIFT-Abkommen (Buugle Kontoview) ein. Sehr schönes Video (Bei annalist gibt Links zum Nachlesen:

Am Samstag mittag startet in Jena eine Kamerasafari. Die Guten und die Thüringer PIRATEN organisieren das Ganze. Alle Interessierten können sich am 26. Juni 2010 gegen 12:00 Uhr in der Löbderstraße (gleich vor an den Straßenbahnschienen). Von dort aus könnt ihr ausschwärmen und alle Überwachungskameras in Jena aufschreiben, fotografieren und dokumentieren. Das Ziel ist, dass meine Karte bzw. die von Martin Michel ausgebaut und aktualisiert wird. Ich würde mich über rege Teilnahme freuen!

Am Dienstag, den 15. Juni 2010, findet an der FSU Jena eine Podiumsdiskussion zum Thema Überwachung statt. Genauer gesagt, wurde vom Fachschaftsrat Philosophie das Zitat von Benjamin Franklin Diejenigen, die für ein wenig vorübergehende Sicherheit grundlegende Freiheiten aufgeben, verdienen weder Freiheit noch Sicherheit. als Diskussionsgrundlage gewählt. Auf der Bühne diskutieren der Direktor der Jenaer Polizeidirektion Heiko Böhme, Gerald Albe von den Piraten Jena sowie meine Wenigkeit. Professor Oppellander wird als Moderator dafür sorgen, dass die Fetzen nicht allzustark fliegen. Wer von euch also Interesse hat, sollte um 18 Uhr im Hörsaal 3 am Carl-Zeiss-Platz vorbeischauen. Ich hoffe, es wird eine interessante Runde!

Viele haben es bereits vermutet und nun hat es eine Komission bestätigt. Das Überwachungsprogramm in der Regierungszeit von George W. Bush hatte ungeahnte Ausmaße. Ein Team von Inspektoren aus dem Verteidigungs-, Justizministerium sowie von verschiedenen Geheimdienstbehörden legte den Bericht Unclassified Report on the President’s Surveillance Program (interaktive Version bei der NYTimes) vor. Hierfür befragten sie insgesamt 200 Mitarbeiter innerhalb und außerhalb der Regierung. Dabei wollten sich fünf Leute (der stellvertretende Generalstaatsanwalt John Yoo, Generalstaatsanwalt John Ashcroft, CIA-Direktor George Tenet, Stabschef Andrew Card und David S. Addington) nicht zu den Fragen äußern. Wobei gerade der letztgenannte angeblich direkt entscheiden konnte, wer Zugang zu dem Programm bekam. Die Maßnahmen wurden von Bush direkt nach dem Angriffen vom 11. September authorisiert und viele der Überwachten hatten, wen wunderts, keine Verbindungen zum Terrorismus. Laut dem Report ist unklar, welche Erkenntnisse durch die Überwachungsmaßnahmen konkret gewonnen wurden. Die Washington Post hat einen Bericht zu den Maßnahmen und dort findet sich folgendes schönes Zitat:

... Harman said that when she had asked Gonzales two years earlier if the government was conducting any other undisclosed intelligence activities, he denied it.

“He looked me in the eye and said ‘no,’” she said Friday.

Robert Bork Jr., Gonzales’ spokesman, said, “It has clearly been determined that he did not intend to mislead anyone.”

Wenn ihr also am Wochenende Zeit habt, findet ihr hier spannende Lektüre.

Das Video zeigt sehr eindrucksvoll einige der Überwachungsmaßnahmen, die zuletzt in Gesetzesform gegossen wurden:

Du bist Terrorist from lexela on Vimeo.

via Netzpolitik

Bei einem Spaziergang durch Jena kam ich unter anderem wieder an der Überwachungskamera vorbei, die am Gebäude der Merkurbank hängt. Sie ist mit auf der Karte der Kameras in Jena vermerkt. Im Gegensatz zum nebenstehenden Bild war der Winkel anders. Zuerst dachte ich, dass die Kamera steil nach unten zeigt. Ein genauerer Blick zeigte jedoch, dass das Objektiv nach oben gerichtet ist. So wird jetzt immer das darüberliegende Schild gefilmt.

Das fühlt sich natürlich nach einem Scherzbold an, der einfach den Winkel der Kamera geändert hat. Jedoch war auch hinter dem Haus eine Kamera angebracht, die den Eingang überwacht hat. Diese ist verschwunden oder zumindest nicht mehr zu entdecken. Daher könnte es auch sein, dass sich die Betreiber für eine datenschutzfreundliche Lösung entschieden haben. Weiß jemand genaueres?

Update: Ein Hinweis aus anonymer Quelle bestätigte die Version mit dem Scherzbold. Angeblich wurde die Kamera schon vor längerer Zeit “umgebogen” ohne das sich der Betreiber darum kümmert.

Nachdem die alten Wochnungen wieder kommen, gibt es nun wieder IMs.

siehe dazu den Artikel in der jW

In der Online-Ausgabe der Welt las ich gerade einen Artikel zur Videoüberwachung. Danach gab es in der Kaffeekette Balzac Kameras, die unter anderem die Sitzgelegenheiten überwachten. Eine Person klagte dagegen und bekam Recht. Demnach dürfen Bereiche, in denen Tische oder Sitzgelegenheiten stehen, nicht durch Kameras beobachtet werden.

Gerade in Jena gibt es einige Lokale, die intensiv Videoüberwachung einsetzen. Insbesondere wird immer wieder das Gatto Bello genannt. Das wurde Anfang 2007 in dieser Sache verklagt (Beitrag bei Monoteque, Beitrag bei Restaurant-Kritik). Leider konnte ich nicht rausfinden, was dabei rauskam. Falls jemand näheres weiß, würde ich mich über einen Kommentar freuen. Aber auch weitere Restaurants und Kneipen setzen derartige Maßnahmen ein. Vielleicht werde ich die betreffenden Örtlichkeiten mal auf das Urteil hinweisen. Mit etwas Glück gibt es dann ein paar Kameras in Jena weniger.

via Daten-Speicherung.de

Foto von Cristiano Betta

Videoüberwachung schützt uns vor Straftaten! So oder so ähnlich wird immer wieder die Formel von Sicherheitspolitikern heruntergebetet. Nun haben sich ein paar Aktivisten der Ortsgruppe Hannover des AK Vorrat mal an einen praktischen Test gemacht. Sie legten im Rahmen einer Kunstaktion vor dem Justiz-, dem Sozialministerium sowie vor dem Landtag eine Bombe und warteten, wann diese entfernt wird. Wie man sich unschwer denken kann, mussten die Aktivisten ihr “explosives Kunstwerk” nach einiger Zeit unverrichteter Dinge mit nach Hause nehmen. Niemand kam und schaute wenigstens nach dem guten Stück.

Ein Video der Aktion ist an zwei Stellen verfügbar.

Auch in Jena tut sich was: Noch vor einem Monat berichtete ich über den Abbau einer Kamera. So staunte ich gestern nicht schlecht, sie mich bei einem Spaziergang durch die Stadt wieder anlächelte. Es wird wohl Zeit, wirklich etwas dagegen zu tun.

Letzte Woche leitete ich in Magdeburg ein Seminar zum Thema Datenschutz und -sicherheit. Passend dazu brachte die Volksstimme zur Wochenmitte die Nachricht, dass am Magdeburger Justizzentrum gefilmt und abgehört wird. Der Landesdatenschutzbeauftragte trat daraufhin in Aktion und unterband die Praxis. Für mein Seminar war das natürlich ein gelungener Aufhänger für die morgenliche Diskussionsrunde.

Aber auch in Jena gab es Kameras, die filmen und mithören konnten. Am Intershop-Tower gibt es das Einkaufszentrum “Neue Mitte”. Diese setzen sehr stark auf Videoüberwachung. Im Gebäude gibt es nahezu keine Ecke, wo man nicht beobachtet wird und an den Außenwänden gab es drei Kameras. Interessanterweise erklärte man auf Nachfrage, dass sich unter dem Abdeckungen keine Kameras befinden würden und dass die Außenkameras nicht Töne aufzeichnen könne. Daraufhin habe ich mir die Abdeckungen nochmal genau angeschaut und eindeutig Kameras darunter erkennen können. Weiterhin ist auf der Webseite von Mobotix die Mobotix DualNight M12D eindeutig als Kamera mit Mikrofon gekennzeichnet. Also gehe ich von bewusster Falschinformation aus.

Eine der Außenkameras filmte noch dazu auf die Johannisstraße. Das ist eine von Jenas meistfrequentierten Fußgängerzonen. Insbesondere diese Tatsache störte mich und so wollte ich versuchen, auf offiziellem Weg die Kamera entfernen zu lassen. Als ich dann endlich die Zeit fand, ein Schreiben aufzusetzen, traute ich kaum meinen Augen. Das Schreiben war absendefertig und die Kamera war weg. Anfangs glaubte ich noch an Reparaturmaßnahmen. Doch mittlerweile ist reichlich Zeit vergangen und auch eine weitere Kamera wurde abgebaut.

Ich hoffe, dass dies so bleibt. Falls nicht, kann ich meinen Beschwerdebrief doch noch loswerden.