Vor vielen Jahren legte ich mir bei Amazon eine Wunschliste an. Diese war zum einen als Merkzettel für mich gedacht und zum anderen konnten andere darauf zugreifen, um mir einen Wunsch zu erfüllen.

Dort landete unter anderem auch das Buch »Privacy on the line« von Whitfield Diffie und Susan Landau (Sie ist u.a. auch Tor-Unterstützerin.). Die Beschreibung klang sehr interessant:

In Privacy on the Line, Whitfield Diffie and Susan Landau strip away the hype surrounding the policy debate over privacy to examine the national security, law enforcement, commercial, and civil liberties issues. They discuss the social function of privacy, how it underlies a democratic society, and what happens when it is lost. This updated and expanded edition revises their original—and prescient—discussions of both policy and technology in light of recent controversies over NSA spying and other government threats to communications privacy.

Aber weder kaufte ich das Buch noch kaufte es mir eine andere Person. Aber jetzt habe ich einen Grund, es zu lesen. Das Buch kann über die Webseite kostenlos heruntergeladen werden. Auf https://mitpress.mit.edu/books/privacy-line findet ihr einen Download-Link, der euch direkt zur PDF-Version bringt. Das Buch ist weiterhin im Handel erhältlich und vermutlich werde ich es nach einigem Schmökern, dann doch endlich kaufen.

In meiner Inbox fand ich heute dieses nette Stück Spam:

<html>                                                                                                             
<head><title>401 Authorization Required</title></head>                                                             
<body bgcolor=“white”>                                                                                             
<center><h1>401 Authorization Required</h1></center>                                                               
<hr><center>nginx/1.2.1</center>                                                                                   
</body>                                                                                                            
</html>
 

Wenn man das HTML interpretiert, kommt dann sowas raus:

Ich verstehe nicht, warum man sowas als Spam in die Welt hinaus schickt. Die Nachricht wurde von einer IP-Adresse aus Südafrika eingeliefert. Neben der From:-Adresse hat der Spammer keine weiteren Header-Zeilen übermittelt. Vielleicht wollte derjenige einfach, dass ich das blogge.

Der UN-Berichterstatter für die freie Meinungsäußerung (freedom of expression), David Kaye, hat heute den Report on encryption, anonymity, and the human rights framework veröffentlicht. In dem Bericht geht es um zwei Fragen:

1. Wird verschlüsselte und/oder anonymisierte Onlinekommunikation durch das Recht auf Privatsphäre und die Redefreiheit geschützt?
2. Wie können Regierungen diese Rechte gegebenenfalls einschränken.

Das Dokument ist im DOC-Format auf der Seite zu finden. Ich habe auch eine Variante als PDF auf meiner Seite abgelegt.

Das Dokument beginnt mit ein paar einleitenden Worten und diskutiert dann Sicherheit sowie Privatsphäre in digitalen Medien. Die Kapitel 3 (Encryption, anonymity and the rights to freedom of opinion and expression and privacy) und 4 (Evaluating restrictions on encryption and anonymity) beschäftigen sich dann detaillierter mit den obigen Fragen. Das fünfte Kapitel hat dann Schlussfolgerungen und Empfehlungen an Staaten sowie verschiedene Organisationen.

Vom ersten Überfliegen bietet der Report einige wichtige Aussagen. So wird anerkannt, dass Verschlüsselung wie auch Anonymisierung wichtige Werkzeuge sind, um das Recht auf freie Meinungsäußerung ausüben zu können.  Staaten wird nahegelegt, entsprechende Gesetze auf den Weg zu bringen und die Diskussion nicht immer nur im Hinblick auf möglichen Missbrauch (Stichwort: Terrorgefahr) zu führen. So steht in Absatz 59:

States should promote strong encryption and anonymity. National laws should recognize that individuals are free to protect the privacy of their digital communications by using encryption technology and tools that allow anonymity online. Legislation and regulations protecting human rights defenders and journalists should also include provisions enabling access and providing support to use the technologies to secure their communications.

Aber auch Firmen und private Unternehmen sollen Verschlüsselung und sichere Kommunikation fördern!

Nach dem ersten Überfliegen habe ich den Eindruck, dass das ein sehr interessantes Dokument ist. Wir sollten es inbesondere diversen Politikern als Bettlektüre mitgeben.

Update: Das Projekt scheint nicht mehr zu existieren. Github hat noch den Quellcode.

Ich plane gerade eine Reise nach Spanien. Diese fällt in die Zeit des Fallas-Fests. Neben imposanten Figuren sind in der Stadt auch viele Taschendiebe zu finden. Doch mit welchen Bildern könnte ein Bericht zu den Dieben unterlegt werden? Ich vermute, vielen von euch fällt gleich etwas dazu ein. Ein Hand in der Tasche, eine leere Tasche mit entsprechendem Gesicht des Besitzers und vieles andere sind so Motive. Doch was ist, wenn jemand eure Daten »klaut« bzw. wenn ihr die weitergebt ohne es zu wollen? Dann wird es mit einer ansprechenden Darstellung schon schwieriger.

Bei Wired ist gerade wieder ein Versuch zu bewundern: die Datenblumen. Ihr könnt auf der Webseite eine URL eingeben. Dann wird die Webseite analysiert und eine Grafik ausgegeben. Je kleiner die Blume ist, desto besser ist es. Außerdem sollten alle aufgerufenden Dateien in einem Kreis liegen. Das bedeutet, dass alles vom selben Webserver kommt. Die Datenblume von kubieziel.de ist so ein Beispiel.

 

 

 

Bei den Datenblumen von Jenapolis und der Jena-Ausgabe der OTZ sieht das Bild schon ganz anders aus. Dort eröffnen sich weitere kleine Kreise. Das bedeutet, dass andere Inhalte geladen werden und eure Daten, die der Browser übermittelt, auch an die Drittseiten gehen.

Die Webseite erklärt die Struktur der Blumen. Probiert es einfach selbst aus.

Einen ähnlichen Ansatz gibt es auch als Plugin für den Firefox. Lightbeam zeigt über den Verlauf einer Sitzung an, wo Daten hingeschickt werden. Gerade weil dort auch der Verlauf abgebildet wird, finde ich den Ansatz noch interessanter. Meist ist es recht schockierend zu sehen, wie mit wenigen Seitenaufrufen eine große Menge an unerwünschten Drittseiten aufgerufen wird.

Anfang September soll der Datenschutz etwas greifbarer gemacht werden. Ich werde zusammen mit Dirk Adams einen Datenschutzspaziergang machen. Wir wollen einige Stationen in Jenas Innenstadt ansteuern und über die Sicherheit oder Unsicherheit unserer personenbezogenen Daten reden.

Wir starten am Dienstag, den 2. September 2014 um 18 Uhr am Ernst-Abbe-Platz in Jena und wollen folgende Stationen ansteuern.

1. Ernst-Abbe-Platz
2. Telekomladen in der Goethegalerie
3. dm am Teichgraben
4. Rathaus am Markt
5. Paradiesbahnhof

Falls jemand noch weitere Hinweise hat, kann es natürlich sein, dass sich die Route geringfügig verschiebt. Die Orte bieten viel Gelegenheit, um über Probleme und Lösungen beim Datenschutz zu reden. Kommt vorbei und spaziert mit.

Die operative Hektik angesichts der Heartbleed-Lücke bei OpenSSL legt sich langsam. Ein Großteil der Server scheint gepatcht zu sein und diverse Zeitungen wie andere Medien bringen zur Prime-Time Warnungen an die Nutzer. Jetzt beginnt die Zeit der Spekulation, woher der Bug kommt, ob der absichtlich eingebaut wurde und es wird auch die Frage diskutiert, ob Open Source sicherer bzw. besser als Closed Source ist.

Auf der einen Seite steht u.a. Linus’ Law als Argument. Der Erschaffer von GNU/Linux wird mit dem Spruch »Given enough eyeballs, all bugs are shallow« zitiert. Das heißt, wenn nur genügend Leute einen Blick in den Quellcode werfen, so wird jeder Bug gefunden und am Ende ist die Software »rein«. Am Beispiel des Linuxkernel ist zu sehen, wie gut das Modell funktioniert. Allerdings gibt es eine Reihe von anderer Open-Source-Software, wo offensichtlich niemand einen Blick in den Quellcode wirft. Dort bleiben dann zahlreiche Fehler unentdeckt. Das ist dann auch gleich das Argument der Befürworter von Closed Source. Denn dort bekommt niemand den Code zu sehen und kann daher auch keine Fehler finden. So lautet die etwas vereinfachte Argumentation.

Forscher vom Lehrstuhl für Betriebssysteme der TU Dresden haben sich dieser Frage im Jahr 2010 genähert. Für ihre Veröffentlichung The Mathematics of Obscurity: On the Trustworthiness of Open Source schufen sie ein Modell, in dem verschiedene Personen versuchen, Schwachstellen in Code zu finden. Wenn die Verteidiger zuerst sind, können sie die Lücke schließen. Die Angreifer haben auf der anderen Seite eine Lücke, über die sie ins System eindringen können.

Das Modell widerspricht dem obigen Gesetz von Linus Torvalds. Das Modell erbringt die Aussage, dass die Angreifer bei Open Source immer leicht im Vorteil sind. So nehmen die Forscher an, dass bei einem Open-Source-Projekt die Verteidiger in 6 von 10 Fällen einen Fehler vor dem Angreifer finden. Je nach den weiteren Modellannahmen braucht das Projekt mehr als Tausend oder gar mehr als Zehntausend Mitwirkende. Für den Fall, dass sogar in 9 von 10 Fällen der Fehler von den Verteidigern gefunden wird, können die Forscher zeigen, dass dies unmöglich ist. Alles in allem erscheint Closed-Source-Software besser aufgestellt zu sein.

Jedoch sagen die Forscher weiter, dass sie hier einen eingegrenzten Aspekt betrachten. In der Realität beheben die Hersteller von Closed Source die Fehler nicht sofort. Außerdem gibt es dort wirtschaftlichen Druck, Programme zu einem festen Datum herauszubringen. Dies führt dann dazu, dass die Programme nicht getestet sind. Alldies bringt die Forscher zu der Meinung, dass Open Source in der Gesamtschau vermutlich doch Vorteile mit sich bringt. Letztlich bringt gerade Freie Software die Vier Freiheiten mit.

Alles in allem kann ich nur nochmal den Aufruf aus meinem letzten Eintrag wiederholen. Nutzt Freie Software, schaut in den Quellcode oder versucht anderweitig zu der Software beizutragen. Damit helft ihr allen!

Vor einem Jahr interviewte mich Teresa Sickert für Radio Trackback zur Zensur in China und zur Anonymität. In der heutigen Sendung wurde das nochmal ausgestrahlt und ihr könnt das als MP3 anhören. Viel Spass dabei!