Qbi's Weblog

Kürzlich ging eine Erschütterung durch die Welt der Kryptografie. Das Paper Quantum Algorithms for Lattice Problems versprach einen neuen Angriff gegen bestimmte Algorithmen. Diese heißen Learning-With-Errors (LWE) und bilden eine Grundlage für Algorithmen, die gegen Quantencomputer sicher sein sollen. Hier spielt eine Menge Mathematik mit hinein. Als Beispiel seht ihr eine halbe Seite aus dem Paper:

Das Thema klang hinreichend interessant und ich wollte mich ein wenig einlesen. Zum konkreten Paper muss man sagen, dass mittlerweile ein Fehler im Algorithmus gefunden wurde und die Autoren schreiben:

Now the claim of showing a polynomial time quantum algorithm for solving LWE with polynomial modulus-noise ratios does not hold.

Beim Lesen fiel mir wieder etwas auf, was mir schon früher auffiel. Es gibt Sätze, die kommen recht unschuldig daher und klingen leicht verständlich. Dennoch steckt soviel Theorie dahinter, dass es eine Weile dauern könnte, um diese zu durchdringen.

Gleich in der Einführung findet sich ein Beispiel: An n-dimensional lattice L is a discrete additive subgroup of ℝⁿ. (Ein n-dimensionales Gitter L ist eine diskrete additive Untergruppe von ℝⁿ.)

Welche Begriffe muss man verstehen oder interpretieren können, um die Definition zu verstehen?

1. n-dimensional
2. diskrete additive Untergruppe
3. ℝⁿ

Das heißt, nahezu jedes Wort ist erklärungsbedürftig und mit Schulwissen kaum zu durchdringen. Wenn wir jetzt die Wikipedia konsultieren, kommen wir ein Stück weiter. Dort findet sich auch eine Definition des Gitters als diskrete Untergruppe eines euklidischen Raums sowie einige Beispiele. Wenn wir beide Definitionen vergleichen, steht in dem Paper zusätzlich das Wort additiv und anstatt euklidischer Raum wird von ℝⁿ gesprochen. Aus der Wikipedia-Seite zum euklidischen Raum wird schnell klar, dass ℝⁿ ein euklidischer Raum ist. Also sind beide Definitionen ähnlich. Das heißt, mit kleinen Einschränkungen können wir mit der Wikipedia-Definition weiterarbeiten.

Um den Satz nun zu verstehen, sollten wir uns dem zweiten Begriff, der diskreten additiven Untergruppe, zuwenden. Beim Aufdröseln ergeben sich neue Begriffe, die man entweder kennen oder lernen muss.

• Untergruppe
  • Eine Untergruppe hat eine Verknüpfung (Addition, Multiplikation etc.) und bildet eine Gruppe.
    • Eine Gruppe ist eine Menge mit einer Verknüpfung (Addition, Multiplikation etc.). Bei der Verknüpfung ist es egal, wie man Klammern setzt (Assoziativgesetz), es gibt ein so genanntes neutrales Element und ein inverses Element. Wenn man ein neutrales Element verknüpft, ändert sich nichts, so wie bei einer Addition mit 0. Wenn man ein Element der Menge mit dessem inversen Element verknüpft, erhält man das neutrale Element (12-12=0 bei der Addition, -12 ist das inverse Element).
• Additive Untergruppe
  • Das ist eine Untergruppe, wo die Verknüpfung Addition heißt.
• Diskrete Untergruppe
  • Eigentlich geht es hier um diskrete Teilmengen eines Raumes mit der zusätzlichen Eigenschaft, dass diese Teilmenge eine Untergruppe bildet.
  • Eine Teilmenge ist, wie der Name schon sagt, ein Teil der Menge.
  • Diskret bedeutet nun, dass jedes Element der Menge eine Umgebung hat, dass kein weiteres Element der Teilmenge enthält. Das heißt, die einzelnen Elemente der Menge sind isolierte Punkte.
  • Die ganzen Zahlen …, -2, -1, 0, 1, 2, … sind als Teilmenge der reellen Zahlen eine solche Menge. Denn bei jeder Zahl gibt es nach links und rechts einen Abstand, wo sich keine andere Zahl drin findet. Bei den Brüchen (rationale Zahlen) ist das anders. Dort finden sich keine zwei Zahlen mit einem kleinen Abstand, dass keine andere rationale drin läge. Daher ist das keine diskrete Teilmenge.
• ℝⁿ
  • ℝⁿ ist der n-dimensionale Raum der reellen Zahlen. Aus der Schule kennt man ℝ¹ (Zahlenstrahl), ℝ² (Zahlenebene) und ℝ³ (dreidimensionaler Raum).

Damit haben wir alle Bauteile zusammen, um den obigen Satz zu verstehen. Wobei ich zugeben, muss, dass ich oben einige Abkürzungen genommen habe und auf intuitives Verständnis gesetzt habe. Dennoch reicht das in der Mathematik oftmals nicht. Es ist sinnvoll, sich Beispiele auszudenken. Diese sollten sowohl den positiven Fall abdecken (erfüllt die Definition), aber auch den negativen Fall (erfüllt die Definition nicht). Das sorgt dann wirklich für ein Verständnis des Ganzen.

Das war es auch, was ich am Anfang meinte, als ich von dem kleinen unschuldig klingenden Satz schrieb. Um den zu verstehen, muss man entweder tief im irgendwann mal Erlernten graben oder neues lernen und es dauert eine längere Zeit, bis man ein Paper einmal durchgearbeitet hat. Noch viel länger dauert es, bis man es verstanden hat.

Der obige Satz war der Einstieg in das Paper und nur die Einleitung. Später geht es um gaussche Funktionen und Fouriertransformationen. Das sind Konzepte über die es semesterlange Vorlesungen gibt. Das heißt, um das zu verstehen, kann man wirklich aus den Tiefen der Mathematik schöpfen. Ich wünsche euch viel Spaß bei der Lektüre.

Mit dem Paper haben sich einige andere auseinandergesetzt. Hier findet ihr interessante Lektüre dazu:

• Implications of the Proposed Quantum Attack on LWE
• A quick post on Chen’s algorithm

Der Journalist Martin Debes hat sich vor der diesjährigen Wahl den demokratischen Verhältnissen in Thüringen gewidmet. Auf 280 Seiten geht er auf die Verhältnisse in den vergangenen einhundert Jahren im Freistaat ein. Ein Schwerpunkt des Buches »Deutschland der Extreme: Wie Thüringen die Demokratie herausfordert« liegt dabei auf den letzten dreißig Jahren.

Thüringen war lange Zeit der Inbegriff der Kleinstaaterei und später das Testlabor der Nazis. Debes zeichnet diese Geschichte nach und geht dann auf wichtige historische Marken der DDR wie auch der Wendezeit ein. Das kann helfen, die jüngere Geschehnisse besser zu verstehen und einzuordnen. Die Zeit ab ca. 1990 wird dann sehr detailliert besprochen. Hier liest man die Erfahrung und persönlichen Erkenntnisse des Journalisten gut heraus. Er kennt die Interna der Thüringer Politik und so glänzt das Buch mit vielerlei Hintergrundwissen.

Natürlich spielt die Entwicklung der AfD wie auch dessen Spitzenkandidaten eine große Rolle. Debes beschreibt, wie die anderen Parteien vor sich her getrieben werden, jegliche Fehler ausgenutzt werden und auch, wie erschöpft die aktuelle Koalition zu sein scheint.

Insgesamt liest sich das Buch wie ein spannender Roman. Leider sind die Fakten nicht erfunden, sondern Realität. Leider gibt es im Buch kein Happy End. Vielmehr sind die Bürger:innen gefragt, hier ein solches herbeizuführen.

Ich kann das Buch allen Interessierten nur ans Herz legen. Insgesamt entsteht beim Lesen der Eindruck, dass das, was in Thüringen im Kleinen passiert, auch bundesweit im Großen passieren könnte.

Vor etwa einem Jahr schrieb ich hier einen Beitrag zu Mastodon und der DSGVO. Darin beschrieb ich, was Betreiber:innen zur Einhaltung der DSGVO zu beachten haben. Daraufhin wurde ich von der Stiftung Datenschutz kontaktiert. Sie wollten gern einen Leitfaden zum Datenschutz bei Mastodon schreiben und fragten mich, ob ich gern daran mitarbeiten wolle. Natürlich wollte ich.

So entstand in einer Zusammenarbeit mit Rebecca Sieber und Malte Engeler der Leitfaden als PDF-Datei sowie weitere sehr hilfreiche Dokumente. Ich habe die Zusammenarbeit sehr genossen und insbesondere der wissenschaftliche Aufsatz von Rebecca Sieber bringt viele interessante Aspekte beim Betrieb des Dienstes ans Licht.

Wenn also jemand von euch Mastodon betreibt, kann ich euch die Lektüre der Dokumente bzw. die Umsetzung unserer Hinweise nur raten. Viele der Hinweise lassen sich auch auf andere Dienste im Fediverse übertragen. Das heißt, auch hier bieten die Dokumente einen Mehrwert. Wenn ihr Fragen, Hinweise oder Kommentare habt, freue ich mich sehr über einen Kommentar hier im Blog. Ihr könnt natürlich auch die Stiftung Datenschutz gern direkt kontaktieren.

Viel Spaß beim Lesen und Umsetzen.

Continue reading "Leitfaden für Mastodon"

Daniel Moßbrucker hat ein Buch geschrieben, was sich einem heiklen und emotional sehr aufgeladenen Thema widmet: sexualisierte Gewalt an Kindern und dessen Dokumentation. In der öffentlichen Diskussion wird oftmals der verharmlosende Begriff Kinderpornographie verwendet.

Moßbrucker versucht mit dem Buch, Fakten zu liefern. Dazu hat er in diversen Foren recherchiert. Dies ist insbesondere schwer, da schon der Versuch der Beschaffung eine Straftat ist. Moßbrucker schildert in dem Buch beeindruckend, dass er mit drastischen Mitteln versuchte, keine solchen Darstellungen angezeigt zu bekommen. So war es ihm möglich, die Foren zu betreten und anhand der Dateinamen und anderer Eigenschaften abzuschätzen, was dort passiert.

Seine Recherchen führten bereits in der Vergangenheit zu überraschenden Erkenntnissen. Denn offensichtlich bleiben die Darstellungen im Netz und niemand kümmert sich um die Entfernung der Inhalte:

• Kindesmissbrauch: Warum löscht die Polizei die Bilder nicht?
• Das Netz vergisst nichts, solange es nicht vergessen soll
• Lage der Nation 291: Affenpocken, Gerhard Schröder & unsere Aufmerksamkeit, Feedback: Gewalt gegen Kinder, Update: BKA lässt „Kinderpornos“ im Netz, BAföG-Reform
• Wie recherchiert man als Journalist in pädokriminellen Foren?

Mit dem Buch geht Daniel Moßbrucker analytisch vor. Er beschreibt zunächst das Problem, erklärt, woher die Darstellungen kommen und wie diese dann in den Foren landen. Dabei geht nicht nur um reine Nackt- oder schlimmere Darstellungen, sondern um eine große Bandbreite. So wird von einem Benutzer berichtet, der tausende Bilder von Kindern in Daunenjacken teilte. Im Kontext wird dann klar, dass diese Bilder in einem sexuellen Kontext gelesen werden.

Dieser Teil des Buches macht klar, wie hier vorgegangen wird, welche Art von Darstellungen interessant sind und auch wie diese technisch gehostet werden. Das liefert dann die Grundlage für den nächsten Teil. Dort geht es um mögliche Maßnahmen. Dabei werden sowohl solche besprochen, die seitens der Politik immer wieder diskutiert werden wie auch solche, die eventuell zielführender erscheinen.

Moßbrucker beschreibt die Sachverhalte in einem nüchteren, unaufgeregtem Ton. Aufgrund seiner Erfahrungen wirkt der Text glaubwürdig und er macht sich viele Gedanken, wie sich die Lage wirklich verbessern kann.

Ich würde mir sehr wünschen, wenn das Buch gerade von Fachleuten in dem Bereich gelesen wird und sich diese mit den Erkenntnissen wirklich dem Schutz von Kindern widmen würden.

Beim MDR wurde vor kurzem die Sendung “You are fucked” ausgestrahlt. Über sechs Sendungen stellte Marcel Roth den Sicherheitsvorfall im Landkreis Anhalt-Bitterfeld vor.

Bei dem Sicherheitsvorfall wurden Rechner des Landkreises mit einer Schadsoftware infiziert. Nach der Infektion erkundeten die Kriminellen das Netzwerk und als sie genug Daten bzw. Informationen gesammelt hatten, verschlüsselten sie die Rechner. Dies führte dazu, dass der Landkreis nicht mehr arbeitsfähig war und den Katastrophenfall ausrief.

In den Sendungen geht es um den Vorfall an sich, es wird eine zeitliche Beschreibung der Vorfälle präsentiert, die Auswirkungen werden diskutiert und Roth versucht auch, in einer Sendung auf die Hintermänner einzugehen. Insgesamt kann ich euch die sechs Folgen nur ans Herz legen. Es ist interessant aufbereitet und man erfährt viel über die Hintergründe.

Ein Nachteil des Formats ist, dass nur Audioinhalte zur Verfügung gestellt werden. Weiterführende Informationen, wie etwa die Shownotes bei Podcasts, vermisse ich. Gerade im Teil 5 “We know who you are” werden einige Experten interviewt und auf deren Dokumente verwiesen. Da hätte ich mir die Shownotes sehr gewünscht. So habe ich einige der Links gesammelt und will sie mit euch teilen. Die Links gehen teils zu Wikipedia-Seiten (deutsch, englisch), zum Teil verlinke ich auch Fahndungsaufrufe bei FBI oder BKA oder ich verwende andere Quellen, die mir sinnvoll erscheinen.

Ransomware-Gruppen

In der Sendung ging es viel um die Gruppen, die Schadsoftware in Form von Ransomware verbreiten, und deren Hintermänner. Der Ursprung lag bei Jewgeni Bogatschow. Er entwickelte die Zeus-Schadsoftware. Deren Sinn war es anfangs, Kontodaten abzugreifen und die Bankkonten leerzuräumen. Diese war so “erfolgreich”, dass er andere benötigte, um alles abzuwickeln. Die Gruppe nannte sich dann The Business Club. Später wurde die Zeus-Software so geändert, dass die mehr militärische Geheimnisse ausleitete. Eine wichtige Person beim Business Club war Maksim Jakubez (Fahndungsseite beim FBI).

Dieser arbeitete später u.a. mit Igor Turaschew (Fahndungsseite beim BKA und beim FBI) in der Gruppe Evil Corp (Beiträge bei Brian Krebs) zusammen. Aus dieser Gruppe entstand schließlich PayOrGrief, die den Angriff gegen den Landkreis durchführten.

Gegen einige der Beteiligten gibt es Haftbefehle, Anklagen und ähnliches:

• Indictment USA vs. Yakubets, Turashev
• Criminal Complaint des Bundesstaates Nebraska
• Eventuelle Teilnahme von Turaschew an einem Hackathon der Gruppe Wagner

Das sind ein paar Informationen zur Einführung. Die Genese der Gruppen und deren Schadsoftware ist ein eigenes Kapitel. Hier könnt ihr gern weiter suchen. Wenn ihr interessante Links findet, freue ich mich über Kommentare. Solltet ihr einen Einblick in das Leben einiger der Akteure haben wollen, schaut bei YouTube und anderen Seiten. Da findet sich einiges.

Experten in der Sendung

Brett Callow

Zuerst kam Brett Callow zu Wort. Er arbeitet bei Emsisoft und schrieb als einer der Ersten über die Gruppe PayOrGrief:

• Thread bei Twitter/X
• Account bei Mastodon: @brett@infosec.exchange

Jon DiMaggio

Jon DiMaggio arbeitet bei Analyst1 und ist der Autor des Berichts “Nationstate Ransomware”. In der Sendung wird recht häufig aus diesem Bericht zitiert und die Titelseite sehr ausführlich beschrieben. Im Bericht findet ihr sehr detaillierte Angaben zu den obigen Ransomware-Gruppen, wer mit dahintersteckt, welche Software die benutzt haben usw. Der ist sehr lesenswert.

Marco di Felice

Marco di Felice ist ein Forscher im Bereich der IT-Sicherheit und hat auf DataBreaches.net einiges veröffentlicht. Unter dem Titel »Claiming to be the “new generation,” threat actors declare, “No more discounts or long negotiations”« ist das Statement der Gruppe PayOrGrief zu finden, welches auch in der Sendung verlesen wurde:

Who are we? We are the new generation… No more Discounts, time of long-term negotiations with brainwashing and tons of proofs is finished. The game is over for companies who like long negotiations, pay or grief come to you. We have all leaked files… On our website What about GDPR? Everyone just talks about GDPR. Nobody obeys this law. Plenty of hacked companies that leaked files including id, confidential information, scans etc wasn’t sanctioned for leak. We could stay inside the companies for weeks. It is enough for downloading confidential information, mails, id and other We have analyzed many ransomware groups and we are not like they. Companies are spending a lot of money hiring company-negotiatiors. Where is the result? Nothing. They spend money and time while the documents are publishing. Who won? Company-negotiatiors/Insurance companies. Now we define the rules of the game, fuck discounts, fuck negotiations, fuck time wasting… Pay or Grief. This is our statement

Weitere Informationen:

• Webseite: suspectfile.com
• Mastodon: @amvinfe@infosec.exchange

Molfar

Die Firma Molfar bzw. deren CEO Artem Starosiek machen Analysen aufgrund offener Quellen (OSINT). Dabei stießen sie auf einen Hackathon der Gruppe Wagner. Dort tauchte jemand auf, der sehr viele Ähnlichkeiten zu Turaschew hat und vermutlich mit der identisch ist.

Ich hoffe, ihr fandet die Sammlung oben hilfreich. Wenn ihr mehr Hinweise oder Links habt, kommentiert gern.

Falls du die Einträge im Blog regelmäßig liest, wirst du dich jetzt vielleicht wundern. Gab es den Beitrag mit dem Titel nicht schon einmal? Richtig. Doch lies mal beide Beiträge. Fällt dir ein Unterschied auf?

---

Weihnachten ist schon etwas her. Manchmal denken wir noch daran. Die Autorin Yrsa Sigurðardóttir lässt uns daran denken. Sie stammt von der Insel Island. Ihr aktuelles Buch heißt “Schnee”.

Yrsa Sigurðardóttir schrieb viele Krimis. Hauptperson ist der Polizist Huldar oder die Psychologin Freyja. In manchen Krimis gibt es auch die Anwältin Þóra Guðmundsdóttir.

Sigurðardóttir schrieb das Buch “Schnee” im Jahr 2020. Die Geschichte ist spannend und etwas gruselig. Sie besteht aus drei Teilen:

• Eine Gruppe von Freunden gehen auf eine Wanderung. Sie treffen jemanden, der sich mit dem Aufbau der Erde auskennt. Diese Personen nennt man Geologen. Die Freunde und der Geologe wollen einen Gletscher anschauen. Auf dem Weg zum Gletscher erleben sie seltsame Dinge.
• Der andere Teil beschreibt eine Suchaktion. Eine fast nackte Frau lag im Schnee. Sie wurde gefunden. Die Suchenden finden noch mehr Menschen. Alle tragen fast keine Kleidung.
• Im letzten Teil geht es um einen Mann. Er arbeitet in einer Radarstation. Vor ihm arbeitete jemand anderes in der Radarstation. Der wurde dabei verrückt. Später tötete er sich. Der neue Mann hört Stimmen an einem Telefon. Dieses Telefon funktioniert eigentlich nicht. Er erlebt Sachen und wird selbst verrückt.

Im Buch sind die drei Teile unabhängig voneinander. Ich hatte den Eindruck, dass die ersten beiden Teile zusammengehören. Dabei war ich nicht sicher. Der dritte Teil hatte keine Verbindung zu den anderen Teilen. Ich wusste nicht, wie alle zusammenpassen. Am Ende werden alle Teile vereint. Das Ende ist überraschend.

Das Buch ist spannend und packend. Es wird immer gruseliger und spannender. Die Lösung wird am Ende gut erklärt. Beim Lesen fand ich das Buch gut. Allerdings fielen mir später Dinge auf, die ich übertrieben fand. Andere Dinge passten logisch nicht zueinander. Die Autorin nutzte Übertreibungen. So wurde das Buch spannender. Sie erklärte nicht, warum sie das machte. Dies gefiel mir nicht so gut.

Am Ende war ich ein bisschen enttäuscht. Wenn ihr die Übertreibung oder die unlogischen Stellen ignorieren könnt, dann ist das Buch sehr gut zum Lesen.

---

Was fiel euch beim Lesen auf? Welche Unterschiede seht ihr zwischen beiden Beiträgen und welcher gefällt euch besser?

Die Auflösung gibt es später in einem separaten Beitrag.

Weihnachten ist nun schon etwas länger her und doch hinterlässt es hier noch seine Spuren. Ein “Andenken” ist das Buch “Schnee” von Yrsa Sigurðardóttir. Die isländische Autorin ist durch Krimis mit Kommissar Huldar und Psychologin Freyja oder auch der Rechtsanwältin Þóra Guðmundsdóttir bekannt geworden.

Im Jahr 2020 hat sie das Buch “Schnee” herausgegeben. In der für sie typischen Manier erzählt sie in mehreren Strängen einen Kriminalroman mit starkem Gruselanteil:

1. Ein Strang erzählt die Geschichte einer Wandergruppe. Ein paar Freunde machen sich mit einem Geologen auf, um einen Gletscher zu erkunden. Stück für Stück führt sie der Weg in die Kälte und sie erleben dort einige Merkwürdigkeiten.
2. Ein zweiter Strang dreht sich um eine Rettungs- oder Suchaktion. An einer Hütte wurde im Schnee in eisiger Kälte die nahezu nackte Leiche einer Frau gefunden. Später finden die Rettungstrupps dann noch mehr Menschen. Allen ist gemein, dass sie wenig bis gar nicht bekleidet sind.
3. Im letzten Strang erfährt man von einem Mann, der auf einer Radarstation arbeitet. Sein Vorgänger ist während der Arbeit der Erzählung nach wahnsinnig geworden und hat sich selbst getötet. Aber auch der Mann fängt an Stimmen an einem Telefon zu hören, was eigentlich nicht mehr angeschlossen ist und hat einige Erlebnisse, die ihn an seinem Verstand zweifeln lassen.

Diese drei Teile bilden die Geschichte und werden Stück für Stück zusammengeführt. Am Ende erfährt man die Auflösung, die einige unerwartete Überraschungen parat hat.

Die drei Stränge stehen zunächst für sich und haben keine Überschneidungen. Ich ahnte zwar, dass der Teil eins mit den Wanderern und Teil zwei mit den Leichen miteinander zu tun haben. Allerdings hielt ich das eine längere Zeit für einen Trick, der in die Irre führen soll. Denn bis weit über die Hälfte des Buches hätten sich auch andere Erklärungen finden lassen. Bis kurz vor Schluss bleibt aber unklar, was der dritte Strang mit den anderen beiden zu tun hat. Das Ende ist dann umso fulminanter und überraschender.

Insgesamt ist es der Autorin hier gelungen, ein sehr spannendes und mitreißendes Werk zu schreiben. Die Spannung und der Grusel steigern sich mit der Zeit und werden letztlich gut aufgelöst. Wenn man dann das Buch weglegt und nicht mehr darüber nachdenkt, bleibt es auch ein schönes Leseerlebnis. Spult man jedoch zurück und versucht, die Auflösung mit einzelnen Szenen in Übereinstimmung zu bringen, so finden sich häufig unlogische Stellen und starke Übertreibungen. Mit letzteren schaffte sie es, die Spannung zu erzeugen. Diese lassen sich allerdings nicht klar auflösen.

Insofern hatte ich am Ende doch einen schalen Beigeschmack. Wenn ihr das aber ignorieren könnt, ist das Buch eine deutliche Leseempfehlung.