Skip to content

Einbindung von Flickr doch konform zur DS-GVO

GDPR
GDPR & ePrivacy Regulations von Dennis van der Hejden. Original bei Flickr

Vor kurzem stellte ich mir hier im Blog die Frage, ob man noch Bilder des Dienstes Flickr einbinden kann. Nach meiner Prüfung kam ich zu dem Schluss, dass dies nicht mehr der Fall ist und entfernte die Bilder aus meinem Blog.

Heute hielt ich einen Workshop, der u.a. auch die Datenschutz-Grundverordnung zum Thema hatte. Dort fragte mich ein Teilnehmer, ob denn das Land Thüringen eine korrekte Datenschutzerklärung (DSE) hat. Der folgende Abschnitt brachte mich dann doch ins Staunen:

Flickr

Innerhalb unseres Onlineangebotes können Funktionen und Inhalte des Dienstes Flickr eingebunden sein. Flickr ist ein Foto- und Bilder-Dienst des amerikanischen Unternehmens SmugMug Inc. (67 E. Evelyn Ave, Suite 200
Mountain View, California, U.S.)Wenn Sie selber Flickr aktiv nutzen und ein Bild oder Video veröffentlichen, können wir ihn ebenfalls sehen, wenn Sie ihn jedermann zugänglich gemacht haben oder wenn wir Ihnen über Flickr folgen. Ebenfalls können wir Ihre Angaben auf Flickr sehen, wenn thueringen.de Ihrem Profil folgt. Einzelheiten zur Verarbeitung der Daten bei Flickr und den Sichtbarkeitseinstellungen entnehmen Sie bitte den Datenschutzbedingungen von Flickr bzw. Oath (ehemals Yahoo): policies.oath.com/ie/de/oath/privacy/index.html  

Das heißt, das Land Thüringen ist der Meinung, rechtmäßig Flickr-Bilder einbinden zu können. Wie kann das sein?

Weder Flickr noch Yahoo! noch eine der anderen Firmen steht bisher auf der Privacy-Shield-Liste. Und die Datenschutzbedingungen von Flickr gaben doch bisher auch nichts her. Aber: Unter anderen ist das Datenschutzcenter von Oath mit verlinkt. Dort steht gleich am Anfang:

Für Produkte oder Dienste von Oath, auf die ohne Anmeldung bei einem Account zugegriffen wird, gilt diese Datenschutzerklärung für diese Produkte und Dienste ab 25. Mai 2018.  

Flickr gehört mit zu Oath. Also gelten diese Bedingungen auch für Flickr. In der DSE steht drin, dass die Oath (EMEA) Limited in Dublin diese Dienste bereitstellt und damit wohl Verantwortlicher im Sinne der DS-GVO ist. Also werden die Daten von einem Unternehmen mit Sitz in der EU verarbeitet und die DS-GVO möchte ja den freien Verkehr personenbezogener Daten fördern (oder zumindest nicht einschränken).

Weiterhin erklärt Oath, dass sie die Standardvertragsklauseln der EU-Kommission verwenden bzw. nur Daten mit Unternehmen austauschen, die nach Privacy Shield zertifiziert sind.

Insgesamt scheint die Datenschutzerklärung den Anforderungen der Art. 13 und 14 DS-GVO zu entsprechen. Und auch inhaltlich ist es jetzt so, dass man wohl doch bedenkenlos Bilder von Flickr in seinem Blog einbinden kann.

Onion Services zum Mitnehmen

Eines meiner Hauptthemen hier im Blog ist Tor bzw. die Anonymität. So versuche auch ich dogfooding zu betreiben, also Tor beim täglichen Browsen zu verwenden. Hin und wieder stoße ich dabei auf Probleme. Entweder ich stoße auf die CAPTCHAs von CloudFlare oder die Seite öffnet sich gleich gar nicht. In letzteren Fällen wird Tor aktiv ausgesperrt. Doch was tun, wenn man die Seiten dennoch per Tor besuchen will?

Zum Glück gibt es das »Darknet«. :-) Mittels Tor Onion Services ist es möglich, beliebige Seiten zu spiegeln. Das heißt, eine Rechner ruft die Seite auf und liefert das Ergebnis über eine Onion-Seite aus. Bei der praktischen Umsetzung hilft das Enterprise Onion Toolkit (EOTK).

Untenstehend findet ihr einige Onion Services, die ich für mich oder andere aufgesetzt habe. Wenn ihr weitere Wünsche habt, hinterlasst einen Kommentar. Ich erwarte, dass die Liste im Laufe der Zeit weiter wächst:

Ich erhielt eine Nachfrage, Wikipedia auch als Onion Service anzubieten. Die Seite lässt sich über Tor problemlos aufrufen und sperrt Bearbeitungen von Tor-Servern. Alec Muffett hat dies schon versucht und mir dringend abgeraten, dies ebenfalls zu tun. Hier erscheint es sinnvoller, Überzeugungsarbeit bei Wikipedia zu leisten.

Wer ist hinter APT3?

Habt ihr schon mal von APT3 oder Gothic Panda oder Buckeye gehört? Oder sagen euch die Operationen Double Tap oder Clandestine Fox etwas?

Zugegeben sind die Aktionen aus dem Jahr 2014 und damit schon etwas älter. Die Gruppe, die als APT3, UPS, Gothic Panda, Buckeye etc., bekannt ist, ist schon weit älter. Das Unternehmen FireEye berichtete bereits im Jahr 2010 zum ersten Mal darüber.

Die Operation Double Tap bestand aus einer Phishing Mail, die Leute zu einer Mitgliedschaft in einem Playboysclub einlud. Wer dann auf den Link in der Mail klickte, gelangte auf eine Webseite, die einen Exploit ausnutzte. Dieser installierte letztlich eine Schadsoftware auf dem Rechner und diese kommunizierte mit einem Server. FireEye hat mehr Details zu der Operation. Die Operation Clandestine Fox war ähnlich interessant.

Nun fragen sich viele, wer eigentlich hinter der Gruppe steckt. Wenn man aktuelle Pressemitteilungen liest, so ergibt sich der Eindruck, dass es immer entweder russische oder chinesische Angreifer sind. Im Falle von APT3 gibt es noch ein paar mehr Hinweise:

  • Die Domainnamen müssen von einer Person registriert werden. Dabei wurde die E-Mail-Adresse mxmtmw@gmail.com angegeben. Ausgehend davon gelang es, eine Person mit dem Namen Wu Yingzhou zu ermitteln. Die Seite https://intrusiontruth.wordpress.com/2017/05/02/who-is-mr-wu/ hat alle Details dazu.

  • Auch bei einer zweiten Domain spielte eine andere E-Mail-Adresse eine wesentliche Rolle. Die Forscher konnten die Person Dong Hao ermitteln.

  • Beide Personen sind Eigentümer der Firma Boyusec. Diese Firma wiederum ist Auftragnehmer des Ministeriums für Staatssicherheit in China.

Das ist doch ein recht klarer Hinweis, dass Boyusec hinter APT3 steckt. Dies folgt einem Trend. Denn viele Dienste lagern die Aufgaben an Privatfirmen aus.

Infosec Bytes -- Videoanleitungen zur sicheren Kommunikation

Ich habe in den letzten Tagen ein wenig mit Infosec Bytes zusammengearbeitet. Die Organisation enstammt dem Centre for Investigative Journalism und möchte anderen Journalisten Trainings im sicheren Umgang mit dem Rechner und dem Netz bieten. Hierzu wurden eine Reihe von Videos veröffentlicht, andere Publikationen sind noch in der Pipeline.

Hier findet ihr beispielsweise eine kleine Einführung zu Tor:

Why journalists and whistleblowers need to understand infosecurity

Geheimdienst versucht, Tor-Admin anzuwerben

Bei Buro Jansen & Jansen erschien ein Bericht eines Tor-Admins. Der niederländische Geheimdienst versuchte, ihn anzuwerben.

Laut seiner Aussage versucht der Geheimdienst eine Joint SIGINT Cyber Unit (JSCU) aufzubauen und spricht dafür, Studentinnen und Studenten aus dem IT-Bereich an. Insbesondere sollte die Person auch Deutschland bereisen und hier Hackspaces sowie Vertretungen des CCC besuchen. Dem Geheimdienst schien es besonders wichtig zu sein, Landsleute im Ausland zu beobachten. Außerdem schienen sie Leute im Umfeld von Tor und Tails zu suchen.

Insgesamt passiert es Hackerinnen und Hackern immer wieder, dass diese von Geheimdiensten oder Militärs angesprochen werden. Ich würde auch davon ausgehen, dass das in Deutschland vermehrt passiert, da auch hier die Behörden mehr Cyber machen wollen. Daher ist es wichtig, sich so zu verhalten, wie der junge Mann in dem Bericht. Er hat seinen Besuchern klar gesagt, dass er kein Interesse an einer Zusammenarbeit hat. Auch nach den dann folgenden Drohungen ist er nicht eingebrochen.

Die IT-Industrie insbesondere im Bereich IT-Sicherheit bietet jungen Talenten genügend Möglichkeiten, sich auf einem ethisch sauberen Weg zu betätigen. Viele Privatpersonen und Firmen haben großen Bedarf in der Absicherung ihrer Infrastruktur. Hier könnt ihr helfen. Weiterhin versucht die Initiative Security without Borders bei Bedrohungen im Bereich der IT-Sicherheit zu helfen. Sucht euch daher lieber ein solches Thema und helft den Menschen da draußen!

Tor-Browser in der Sandbox betreiben

Das Tor-Projekt stellt seit langem den Tor-Browser zur Verfügung. Die Entwickler investieren viel Zeit und Energie, um den zugrunde liegenden Mozilla Firefox abzusichern und gegen Angriffe auf die Privatsphäre zu schützen. Seit kurzem ist für GNU/Linux wieder ein Baustein hinzugekommen: die Sandbox. Diese gaukelt dem Browser ein eigenes System vor. Sollte jemand den Browser angreifen, so kann er in die Sandbox vordringen, aber eben nicht auf den Rechner.

In der Ankündigung zur Version 6.5a6 wird kurz darauf eingegangen. Wenn ihr die Variante testen wollt, braucht ihr einen Kernel, der Linux Namespaces unterstützt. Standardmäßig machen das alle neueren Versionen. Weiterhin müsst ihr bubblewrap und ggf. Gtk installieren. Die aktuelle Version 0.0.2 der Sandbox greift noch auf ein Adwaita-Verzeichnis zu. Daher benötigt ihr ggf. das Paket gnome-themes-standard-data unter Debian-artigen Systemen. Spätere Versionen haben diese Abhängigkeit nicht mehr.

Nach all der Vorarbeit ladet ihr die Version herunter, prüft die Signatur und entpackt das Archiv. Darin befindet sich eine ausführbare Datei namens sandboxed-tor-browser. Nachdem die gestartet ist, werdet ihr gefragt, welchen Tor-Browser ihr verwenden wollt. Der wird dann heruntergeladen und ein letzter Konfigurationsdialog erscheint. Dort könnt ihr Bridges und weiteres einstellen. Nachdem dies bestätigt ist, startet der Tor-Browser wie gewohnt und kann benutzt werden.

Im Hintergrund nimmt die Tor-Software über Unix-Sockets eine Verbindung zum Browser auf. Früher wurde eine TCP-Verbindung auf der lokalen Maschine verwendet. Durch die Nutzung einfacher Dateien fällt dies nun weg. Die Entwickler überlegen auch, ob es nicht möglich ist, diverse Netzwerkbibliotheken aus dem Browser zu entfernen. Wozu benötigt ein Browser denn solche Sachen? :-)

Solltet ihr Fehler finden, schreibt eine Meldung in den Bugtracker. Das Wiki von Tor hat weitere Informationen zur Sandbox. Viel Spaß beim Testen!

Gedanken zur Sicherheit bei Wikipedia

Kürzlich fragte mich Sebastian Wallroth, ob ich nicht eine Folge seines Podcasts Wikistammtisch mit gestalten könne. Natürlich sagte ich zu und so entstand die Folge 14 der Sendung.

Das Thema sollte Sicherheit und Wikipedia sein. In der Sendung konzentrierten wir uns auf die Wikipedianer, die Texte lesen und editieren wollen. Dies sollte allen Menschen auf der Welt möglich sein. Daher war Tor und offene Proxys einer unserer Diskussionspunkte. Weiterhin sprachen wir HTTPS bzw. TLS kurz an. Passwortsicherheit und Mailverschlüsselung waren weitere Punkte, die wir ansprachen. Ich hätte natürlich noch viel länger zu dem Thema erzählen können. :-) Einige Punkte will ich untenstehend kurz erläutern.

Sicherheit in der Wikipedia für Anwender

Die meisten Menschen nutzen die Wikipedia, um Artikel bzw. Lemmata zu lesen. Einige bearbeiten Artikel. Aber es gibt unter den Leuten, die ich als Anwender sehe noch weitere Rollen:

  • Sichter: Diese Leute haben durch ihre Mitarbeit einen Vertrauensstatus gewonnen und deren Änderungen werden automatisch sichtbar. Weiterhin können sie Änderungen anderen anschauen und diese Änderungen als frei von Vandalismus markieren. Dadurch wird die Version auch unangemeldeten Besuchern angezeigt (siehe Gesichtete Artikel).
  • Administrator: aus der Hilfeseite:
    Sie haben die Möglichkeit, Benutzer zu (aktiven) Sichtern zu machen, ihnen diesen Status zu entziehen, Benutzer zu sperren und solche Sperren wieder aufzuheben. Außerdem können sie einzelne Versionen einer Seite löschen, so dass diese nur noch für Administratoren einsehbar sind.

    Das heißt, diese Benutzergruppe hat besondere Rechte. und darf insbesondere auf personenbezogene Daten zugreifen.

  • Bürokrat: Diese dürfen andere Benutzerrollen vergeben. Insbesondere dürfen sie auch Personen zu Administratoren ernennen.
  • Checkuser: Dieser Personenkreis kann sehr tiefgreifende Änderungen vornehmen und diese sollten ihren Zugang entsprechend stark schützen.
  • Daneben gibt es noch weitere Rollen. Diese unterscheiden sich aus meiner Sicht nicht großartig von einem normalen angemeldeten Benutzer.

Nicht angemeldete Anwender

Personen, die die Wikipedia besuchen, ohne sich ein Benutzerkonto angelegt zu haben, haben einige Anforderungen bezüglich der IT-Sicherheit. So wollen sie bei der Eingabe der URL http://de.wikipedia.org/ auch auf der Wikipedia-Seite landen.

Nach der Eingabe der URL macht das System zunächst eine DNS-Abfrage und erhält die IP-Adresse zurück. Diese Antwort kann natürlich gefälscht werden. Hier wäre es sinnvoll, wenn die Anfrage schon in einer gesicherten Form zurückkommt, so dass zumindest Fälschungen erkannt werden. Ich verweise mal auf die 33. Sendung des Datenkanals zu DNSSEC.

Nun versucht der Browser die Wikipedia-Seite zu besuchen. Wie ich beim Wikistammtisch erwähnte, erfolgt der die Eingabe zumeist per HTTP. Die diversen Wikipedia.org-Seiten sind einigen Browsern vorab bekannt und werden sofort per HTTPS geladen. Dies geschieht ohne das jemand eingreifen muss. Sollte ein Browser dieses Vorwissen nicht haben, so sagt der Webserver der Wikipedia, dass der Browser zur HTTPS-Version der Webseite wechseln soll. Die HTTPS-Version ist von einer externen Stelle (Certificate Authority) bestätigt und so wird versucht sicherzustellen, dass sich niemand zwischen die Verbindung mogeln kann. Damit ist nun eine Verbindung zu einer Seite aufgebaut, wo Anwender sicher sein können, dass es sich um die Wikipedia handelt. Ausnahmen hatte ich im Podcast beschrieben.

Wenn sich Personen auf den Seiten der Wikipedia bewegen, wollen sie die Inhalte sehen und weder Werbung noch Schadsoftware erhalten. Hier hat der Serverbetreiber eine Verantwortung sich um die Sicherheit der Server wie auch der Anwendung zu kümmern. Hin und wieder kommt es vor, dass in Server eingebrochen wird, um Schadsoftware zu verteilen. Ähnliches passiert bei Werbenetzwerken. Auch da wird gern versucht, über Werbung Schadsoftware zu verteilen.

Weiter gibt es in den USA die »Expectation of Privacy«, die sich aus dem Vierten Verfassungszusatz ergibt. Auch in Deutschland haben wir ein starkes Datenschutzrecht. Hier wäre es interessant zu wissen, welche personenbezogenen Daten die Wikipedia speichert und natürlich wie lange. Derzeit wird von der Seite ein Cookie gesetzt, der zwei Monate Gültigkeit hat und nur über einen sicheren Kanal (HTTPS) übertragen wird. Weitere Cookies werden nach Beendigung der Browsersitzung gelöscht. Die Foundation hat eine längere Erklärung zu den Cookies. Wenn ein Artikel bearbeitet wird, so verbleibt die IP-Adresse im Logbuch der letzten Änderungen.

Angemeldete Benutzer

Wenn sich jemand entscheidet, ein Benutzerkonto anzulegen, kommen weitere Betrachtungen hinzu. Insondere stellt sich die Frage nach der Sicherheit des Passworts. Für mich ist hier wesentlich, dass das Wikipedia-Passwort verschieden zu anderen sein sollte. Was die Länge und die Gestalt des Passworts betrifft, sollte man sich überlegen, wie wichtig das Konto ist. Denn wenn jemand das Passwort errät, kann diese Person im Namen des andere Bearbeitungen durchführen und am Ende wird das Konto vielleicht gesperrt. Das heißt, der Schaden für normale Benutzer hält sich in Grenzen. Daher würde ich die Anforderungen an das Passwort nicht so hoch ansetzen.

Die Lage ändert sich, wenn jemand CheckuserAdministrator bzw. Bürokrat ist. Diese Rollen habenhat wesentlich mehr Rechte und der potenzielle Schaden ist größer. Daher würde ich erwarten, dass es bei diesen Rollen stärkere Anforderungen an das Passwort bzw. andere Authentifizierungsverfahren gibt.

Im Podcast sprachen wir das Thema Mail an. So bekommt ein angemeldeter Nutzer verschiedentlich Mails. Facebook hat eine Möglichkeit geschaffen, einen OpenPGP-Schlüssel in seinem Profil zu hinterlegen. Alle Mails von Facebook kommen dann automatisch verschlüsselt und signiert an. Dadurch ist es unter anderem recht einfach Spam von echten Facebook-Mails zu unterscheiden. Es wäre wundervoll, wenn Wikipedia auch diese Möglichkeit bieten würde.

Sicherheit in der Wikipedia für andere

Wie ihr seht, sind die obigen Betrachtungen schon recht lang geworden. Aber innerhalb des Wikipedia-Universums gibt es noch andere Personengruppen. So betreiben Administratoren die Server. Das heißt, sie pflegen die Hard- wie auch die Software. Welche Anforderungen müssen diese Personen erfüllen? Auch gibt es einen Personenkreis, der die Software programmiert. Hier kann man sich ebenfalls Gedanken zu den Anforderungen bezüglich der Sicherheit machen. Doch beides wird sehr lang und viel. Daher lagere ich das mal auf einen eventuellen zukünftigen Artikel aus.

Wunsch für die Zukunft

Im Rahmen meiner Überlegungen zur Sicherheit in und um die Wikipedia fiel mir noch ein großer Wunsch ein:

Es wäre phantastisch, wenn die Wikipedia als Tor Onion Service zur Verfügung stehen würde. Dies macht es gerade Leuten in zensierten Ländern viel einfacher, die Seiten zu erreichen. Die Webseite ist von einem Ende zum nächsten verschlüsselt und es macht es Angreifern viel schwerer, die Verbindung aufzubrechen. Unter anderem macht es Facebook mit der Seite https://facebookcorewwwi.onion/ vor. Aber auch DuckDuckGo (http://3g2upl4pq6kufc4m.onion/) sowie Debian und Tor selbst betreiben viele Seiten im Tor-Netz. Daher wäre Wikipedia ein wundervolles Beispiel für einen weiteren Tor Onion Service, der vermutlich vielen Menschen großen Nutzen bringt.

Update: In der Diskussion wies mich Raymond darauf hin, dass Administratoren doch nicht die großen Rechte haben, die ich vermutete. Diese sind erst bei Checkusern gegeben. Daraufhin habe ich den Artikel angepasst.

tweetbackcheck