Ein Add-On für den Firefox, welches 4 von 5 Sternen hat und von mehr als sieben Millionen Nutzer installiert wurde, sollte doch halbwegs vertrauenswürdig sein. Zumindest legt Linus’ Law diese Erkenntnis nahe. Das Add-On Ant Video Downloader straft diese Annahme nun Lügen.
Der Ant Video Downloader soll Videos von Youtube, Facebook und vielen anderen Seiten auf einfache Weise herunterladen. Daneben hat die Software noch einen anderen Zweck. Sie sammelt Daten über jede Seite, die der Benutzer besucht. Dazu wird eine eindeutige Nummer, die so genannte Ant-UID, angelegt. Wenn eine Webseite aufgerufen wird, sendet Ant eine zweite Anfrage mit eben dieser Nummer, der URL der aufgerufenen Seite sowie der Browserkennung an die Adresse rpc.ant.com. Somit kommt dort jeder Seitenaufruf (also auch interne URLs im privaten Netzwerk) an, den ihr jemals gemacht habt. Damit aber noch nicht genug. Bei der Deinstallation der Software wird die Informationen mit der eindeutigen Nummer, der Ant-UID, behalten. Wenn ihr die Software später neu installiert, wird genau dieselbe Nummer wieder verwendet. Das ist also eine massive Verletzung der Privatsphäre der Nutzer.
Wie ein Witz klingt da die Privacy Policy von Ant.com:
As a responsible member of the community of website owners, Ant.com solutions (Here in after Ant.com) takes the privacy and security of its users with the highest regard.
Insgesamt finde ich in der Policy keinen Hinweis auf diese Spionagemaßnahme. Glücklicherweise haben die Betreiber der Add-On-Seite die Notbremse gezogen. Zunächst wurde der Download der Software komplett deaktiviert und jetzt ist diese als experimentell gekennzeichnet. Damit sollten nur erfahrenere Nutzer diese installieren können.
Das Beispiel zeigt mal wieder, das man sich offensichtlich auf keine Software verlassen kann und insbesondere das die Warnungen bezüglich der Add-Ons sehr ernst zu nehmen sind.
via InterWeb Task Force und The Register
Eine Nachricht von Anonymous zu ACTA, Zensur und Copyright:
Continue reading "Operation Payback"
Ein kurzer Hinweis: Heute, am 30. November, findet der q/Talk zum Thema Opferschutz oder die Angst vor dem mündigen Bürger statt. Dort werde ich zusammen mit Oskar Obereder von Silver Server zum Thema Zensur im Internet diskutieren.
Unsere Politiker fordern ja in regelmäßigen Abständen Sperren oder Stoppschilder für das Internet. Die Aktivisten des AK Zensur und andere sagen in regelmäßigen Abständen, dass dies nicht funktioniert. In diesen Reigen reihte sich nun auch der thailändische Abteilungsleiter für Computerkriminalität, Thongchai Sangsiri, ein. Auf dem Asia-Pacific Telecommunity Cybersecurity Forum sagte er:
Blacklisting doesn’t work.
Angesichts der Größe der Liste entstehen zahlreiche Probleme für die Internetprovider. Nun würde man denken, wenn die Filter nutzlos sind, dann können sie in Thailand deaktiviert werden. Aber dem stellt sich Sangsiri entgegen. Denn seiner Meinung nach, denkt die Öffentlichkeit, dass die Regierung was tut und das ist gut. Also sind wir hier wieder bei derselben Einstellung wie in Deutschland.
Genaueres findet ihr bei dem Bericht Our blacklist has failed us: Thai minister von ZDNet.
via Netzpolitik.
Heise meldete, dass die Türkei Youtube entsperrt hat. In den vergangenen Jahren wurde das Videoportal im Land gesperrt, da auf Youtube Videos über Atatürk zu sehen waren. Diese wurden als beleidigend empfunden. Googles Transparenzreport zeigt eine Spitze im Traffic an. Das heißt in der Tat kamen in den letzten Tagen etwa dreimal soviele Nutzer aus der Türkei als sonst.
Youtube hat die Atatürk-Videos wieder ins Netz gestellt. Mal sehen, wie lange es dauert, bis die Seiten innerhalb der Türkei wieder gesperrt sind. Sollte das passieren, kann man ja immer noch den Premier fragen. Vielleicht gibt er wieder Hinweise, wie die Zensur zu umgehen ist. 
Update: Das ging ja schnell: YouTube faces new ban in Turkey as court rules in favor of former party leader
Im Kampf gegen Zensur ist das Wissen, was überhaupt gesperrt ist, wichtig. Ein Ansatz dazu liefert Herdict. Dort kann jeder Nutzer melden, welche Webseite in seinem Land bzw. von seinem Internetanschluss nicht erreichbar ist. Mit der Zeit entstand eine schöne Dokumentation, welche Seite gesperrt sind. Ich nutze das gern für Vorträge. Denn so findet man schnell eine gesperrte Seite und kann das live vorführen.
Auf der Konferenz Internet at Liberty 2010 stellte Google seinen Transparenzreport vor. Dort kann jeder ein Land und einen Google-Dienst wählen. Danach wird das Zugriffsmuster angezeigt. Am Beispiel von Iran unten sieht man recht schön, wann das Land die Zugriffe auf Youtube gesperrt hat und wie sich die Zugriffe danach entwickelten.
Der Dienst sieht recht nützlich aus und ist eine schöne Ergänzung zu Herdict und Co.
Im Juli 2009 betrat mit Haystack eine neue Anti-Zensur-Lösung die Weltbühne. Speziell für iranische Nutzer sollte eine Lösung geschaffen werden, mit der man vorbei an der staatlichen Firewall kommunizieren kann. Mich interessierte natürlich diese Lösung. Denn ein mehr an Programmen ist für die zensierten Nutzer auf jeden Fall hilfreich. Nach der Erstmeldung passierte jedoch nicht viel Neues. Das heißt, weder war Quellcode noch eine Beschreibung über die Funktionsweise verfügbar. Weiterhin verfolgen Zensoren genauso die Presse wie andere Leute. Wenn eine Software medial als Anti-Zensur-Lösung daher kommt, werden die Leute die Software schon von Anfang an im Blick haben. Die Erfolgsaussichten sind dann geringer. Daher beschloss ich zu warten.
Im Laufe der Zeit poppte immer mal wieder eine Meldung hoch. Aber es gab nichts wesentlich Neues. Anfang Juni 2010 kontaktierte mich ein Journalist und wollte etwas zu Haystack wissen. Ich teilte meine Bedenken mit und fragte bei diversen Leuten in der Szene nach. Die Antworten waren alle ähnlich gelagert. Im August gab es mehr Presseberichte und Kryptografen fragten bei dem Projekt nach Informationen. Auf einer Krypto-Mailingliste war dann zu lesen:
I emailed the author Austin Heap again yesterday to ask for some technical details. He responded and declined to provide any information.
At this point, I have seen no evidence that Haystack exists.
Die Kritik an Haystack ward immer lauter. Nach meinem Eindruck bekam niemand Einlick in die Software. Jewgeni Morozov äußerte in seinem Beitrag Hay-what? lautstark Kritik. Schließlich bekam Jacob Appelbaum dann die Möglichkeit, sich die Software tiefer anzuschauen. Das Ergebnis war eindeutig:
Haystack is the worst piece of software I have ever had the displeasure of ripping apart. [..]
Später entschuldigte er sich für die Wortwahl. Das Ergebnis blieb und so stoppte Haystack den Testlauf. Nun soll die Software von dritter Seite getestet und eventuell wieder freigegeben werden. Einige Stimmen sagen schon vorher, dass die Software für immer unter dem Tisch verschwindet, Falls sie wirklich so schlecht ist, wie Jake schrieb, ist das gut so. Diverse Alternativen existieren.
Foto von tfruechtenicht.
