Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de


LNP025 Von führenden Diktatoren empfohlen

Staatstrojaner — Exploithandel — Netzneutralität — Corratsdatenspeicherung — GEMA vs. YouTube — C3S

Willkommen zu einer Sendung ohne Tims altbekannte Stimme, welche wegen akuter Heiserkeit zur heutigen Sendung nicht erscheinen konnte. Linus nutzt die Gelegenheit, ohne Widerworte die Sendung ins Chaos zu treiben.

https://logbuch-netzpolitik.de/lnp025-von-fuehrenden-diktatoren-empfohlen
Veröffentlicht am: 23. Mai 2012
Dauer: 0:37:31


Kapitel

  1. Begrüßung 00:00:00.000
  2. Staatstrojaner 00:00:22.333
  3. Exploithandel, full und responsible disclosure 00:09:26.026
  4. Verletzungen der Netzneutralität 00:19:36.875
  5. Innenminister bietet Kompromiss bei Vorratsdatenspeicherung an 00:21:34.224
  6. Korrektur: Instacast mit Flattr-Integration 00:22:55.896
  7. Gema vs. YouTube 2. Teil 00:24:42.078
  8. SIGINT: C3S als Gema-Alternative 00:28:56.276
  9. Nachtrag zur SIGINT 00:35:23.776

Transkript

Tim Pritlove
0:00:00
Linus Neumann
0:00:00
Tim Pritlove
0:00:03
Linus Neumann
0:00:06
Tim Pritlove
0:00:08
Linus Neumann
0:00:09
Tim Pritlove
0:00:11
Linus Neumann
0:00:26
Tim Pritlove
0:00:49
Linus Neumann
0:00:51
Tim Pritlove
0:00:52
Linus Neumann
0:00:55
Tim Pritlove
0:01:36
Linus Neumann
0:01:37

Tools entdeckt zu werden und sich irgendwie ein bisschen äh doof zu verhalten, aber auch da ist das Wissen natürlich noch relativ verbreitet. Es gibt äh Trojaner, die sich wirklich seit seit vielen Jahren sehr beständig eigentlich halten, ähm man achtet da ein bisschen auf ähm Wandelbarkeit oder so, aber wie gesagt, es gibt Trojaner, die sind über viele Jahre erfolgreich, Ähm das, was ich eigentlich als das äh als das Entscheidende sehe, ist eher so die Infektion. Ja, also irgendwie, wie kriege ich das Ding da jemals drauf? Diese, das sind ja die Sicherheitslücken, die immer wieder neu gefunden werden müssen, wenn es nicht welche sind, die nicht metigierbar sind, wovon es relativ wenige gibt. Aber die gibt's natürlich auch, ne. Ähm Firewire ist irgendwie so ein so eine Problematik, ja, das sind eine Fire-Wire-Pod am Computer ermöglicht, glaube ich nicht sinnvoll umgehbar, Zugriff direkt auf den Speicher, wodurch man dann Passwortsperren umgehen kann, ähm ist mir jetzt keine ernstzunehmende Gegenmaßnahme bekannt, außer diesen komplett abzumachen oder auszuschalten, eine eine der Problematiken, die so ein bisschen, aber gegen die meisten Sicherheitszünden gibt's ja irgendwelche Abwehrmaßnahmen so, ne. Und ähm. Aber grade also quasi man könnte sagen, so der der interessante Teil, den man immer weiterentwickeln muss, ist eher so der Infektionsweg. Weniger als die Software selber. Und ähm, Hat äh Konstanz natürlich recht, dass äh wenn man jetzt irgendwie von staatlichen Behörden spricht, die machen halt irgendwie einen Hausbesuch, ja, oder am Flughafen oder sonst was. Also und die können ja auch sehr gezielt vorgehen, das heißt, sie können irgendwie so machen und sind jetzt vielleicht gar nicht so darauf, äh, angewiesen wir infizieren alle irgendwie zu fahren, und dass deswegen in diesem Bereich vielleicht die Anforderungen doch nicht so hoch sind, wie ich sie ähm beim letzten Mal dargestellt habe. Ähm Fazit, ähm. Ich würde sagen, äh also man muss trotzdem eben bedenken, das ist kein Produkt, das irgendwann fertig ist, sondern dauernd dauerhaft gepflegt werden muss von jemandem, der sich, der davon Ahnung hat, vor allem, wenn man betrachtet, was für ein, Desaster eigentlich mit der Entdeckung einherging. Als die ähm als der als der letzte Staatstrojaner, der von Digitalstar irgendwie vergeigt worden war, als der gefunden wurde, war ja gleichzeitig, alle mit diesen Maschinen äh infizierten Trojanern theoretisch der Zugriff für alle Personen offen. Und ähm für alle, die damit infiziert waren, die Möglichkeit gegeben, äh sich dieser Infektion zu entledigen.

Tim Pritlove
0:04:14
Linus Neumann
0:04:16
Tim Pritlove
0:05:34
Linus Neumann
0:05:39
Tim Pritlove
0:06:21
Linus Neumann
0:06:23
Tim Pritlove
0:06:49
Linus Neumann
0:06:50
Tim Pritlove
0:07:21
Linus Neumann
0:07:23
Tim Pritlove
0:07:28
Linus Neumann
0:07:32
Tim Pritlove
0:07:35
Linus Neumann
0:07:39
Tim Pritlove
0:07:41
Linus Neumann
0:07:48
Tim Pritlove
0:08:49
Linus Neumann
0:08:53
Tim Pritlove
0:09:25
Linus Neumann
0:09:28

Genau, dann noch ein ganz kurzer, ganz kurzer äh Ausflug, weil wir weil ich bei der letzten Sendung so viel davon erzählt habe, was man alles mit Sicherheitslücken böses machen kann, an wem man sie alles verkaufen kann. Ähm es gibt natürlich auch, sage ich mal, den redlichen Sicherheitsforscher. Ähm der sich häufig die Frage fallen lassen muss, warum macht ihr das überhaupt? Warum sucht ihr die? Ja? Ähm, da gibt's natürlich verschiedene Motivationen. Also ich glaube, die Zentrale ist einfach, dass es Spaß macht, was eine intellektuelle Herausforderung ist, es gibt natürlich auch irgendwie sowas wie Anerkennung in der Hackerszene, man möchte in der Regel auch einen positiven Effekt haben, nämlich dass diese ähm, Sicherheitslücke geschlossen wird, ähm irgendwie Aufmerksamkeit, Fame, seinen eigenen Marktwert steigern, vielleicht äh auf dem Arbeitsmarkt ähm, Aber die meisten Sicherheitsforscher haben ja schon ein sehr ausgeprägte soziale Verantwortlichkeit und wollen so eine große ähm, so eine große Ausnutzung dieser Sicherheitslücke eigentlich verhindern. Und der Prozess, der sich da durchgesetzt hat, ist eben unter der Annahme, dass es auch immer andere können, ähm ein Prozess. Das heißt, ich finde Sicherheitslücke a in Technologie X, und informiere dann den Hersteller dieser Technologie. Völlig egal, ob das jetzt Open Source oder oder ist und sage, pass mal auf, dieses und jenes Problem habt ihr. Und dann setzt man eine Frist, Um einen Druck, also eine sinnvolle Frist, wann man diese Sicherheitslücke veröffentlicht oder die das Wissen über diese Sicherheitslücke veröffentlicht, um einen mäßigen Druck auf die Verantwortlichen auszuüben, sich dieses Problems anzunehmen, Ähm das wird immer mal wieder, leider dann auch missverstanden als Erpressung. Ähm aber zeigt's eigentlich, dass es der beste Kompromiss ist aus, Betroffene zu schützen und gleichzeitig Druck auszuüben, um eine schnelle äh Lösung des Konfliktes herbei, äh dieser, dieses, dieser Situation herbeizuführen. Es hat sich irgendwie die Erfahrung zeigt, wenn man das nicht damit verbindet zu sagen, übrigens Freunde, in drei Monaten halte ich darüber einen Vortrag beim Kongress, dass dann vielleicht nicht ganz so sehr mit Hochdruck an der Beheerung der Sicherheitslücke. Gearbeitet wird. Einige äh setzen auch auf die, also das so die Strategie, Ähm und einige setzen auch immer mal wieder auf die, da wir jetzt so als als klassisches Beispiel aus der letzten Zeit wahrscheinlich dieser WhatsApp-Catcher für Android zu nennen, das erschien mir eher so 'ne, so 'ne Sache in dieser Richtung zu sein, wo man also eine die Sicherheitslücke komplett fertig ähm, also zum direkten zur direkten Anwendung für jedermann äh in die Welt haut. Ohne dem ohne eventuell sogar den den Hersteller vorzuwarnen oder ihn nur sehr kurzfristig vorzuwarnen und ihm keine Gelegenheit zu geben, die Lücke irgendwie zu patchen, Ähm das wird häufig mit der äh mit der Annahme getan, dass durch dieses Veröffentlichen der Druck einfach noch höher ist und die Lücke noch schneller, gefixt wird. Dahinter verbirgt sich, wie gesagt, immer implizit die Annahme, dass das, was ich herausgefunden habe, auch andere herausfinden können und die könnten böse sein. Unter den Umständen äh unter der rationale wird dann entsprechend ähm gehandelt.

Tim Pritlove
0:13:09
Linus Neumann
0:13:18

Also vorherrscht. Da habe ich auch so drüber nachgedacht. Ich habe eigentlich den Eindruck, dass ähm. Bei Disclosure, damit geht eigentlich einher, dass die ganze Sache wahrscheinlich nicht so große Wellen schlägt. Und ähm. Ich glaube, dass eigentlich schon äh ein sehr großer Teil äh oder der größere Teil auf jeden Fall responsible Disclosure ist. Fälle sind selten näher, ja. Also denken wir mal an, also du musst ja denken Überlegen, wenn wenn du irgendwie so ein so ein mercOS Update kriegst, wo du dann deine zwanzig äh Remote Excel-Cusion, Abitur record Execution steht ja dann immer so schön da. Das sind ja Sicherheits äh Probleme, sage ich mal, der höchsten, Ebene. Die hat Apple ja im Zweifelsfall nicht alle einfach nur selber vor sich hingesucht, Da ist eher von auszugehen, dass da genau das passiert ist, dass einer sagt, hier Freunde, das und das habe ich gemacht und so kann man die Kiste infizieren und bitte tut mal was. Ähm wie gesagt, der könnte dann eben auch sagen, wenn es so in einem halben Jahr veröffentliche ich das oder sonst was, Das ist ein wird dann gerne mal missverstanden. Und was man auch nicht machen sollte, ist dann irgendwie sehr klar zu verstehen geben, dass man übrigens gerade einen Job sucht oder so. Ähm diese Annahmen, also diese, Idee ist natürlich im Prinzip natürlich schon mit dabei, dass man dass man quasi so ein Disclose auch als eine Bewerbung bei dem Unternehmen sehen kann ähm, Wird aber von einigen äh Liegeabteilungen der Unternehmen dann auch mal ein bisschen äh anders wahrgenommen, weil die häufig das Kommunikationsproblem haben, nicht zu verstehen, warum hat er überhaupt diese Sicherheitslücke gesucht? Was hat der gegen uns? Die nicht wirklich verstehen, dass äh Hacker das einfach machen, weil es interessant ist, weil da ein schönes Puzzleteil liegt und weil einer gesagt hat, äh hier diese Kiste ist unknackbar und dass dann jeder denkt so, Mensch, da habe ich ja mal eine Herausforderung, da kann ich ja mal gucken.

Tim Pritlove
0:15:24
Linus Neumann
0:15:32
Tim Pritlove
0:15:44
Linus Neumann
0:15:49
Tim Pritlove
0:16:16
Linus Neumann
0:16:18
Tim Pritlove
0:16:33
Linus Neumann
0:17:02

Ich habe noch nie einen Explode verkauft und also man muss sich auch diesen Markt nicht vorstellen, wie äh dass das jetzt ein Marktplatz ist, wo Leute sich hinstellen, ne, also ähm dieses Beispiel, was ich letzte Mal hatte, das äh wupen, diese Firma, die quasi eigentlich die die guten Wettbewerbe nutzt, um Aufmerksamkeit auf sich zu generieren, ähm also dieses, also jeder, der irgendwie einen Explod verkauft, ist natürlich relativ schweigsam darüber, dass er es überhaupt gemacht hat und an wen, Insofern ist da relativ wenig belastbares zu sagen, wer kauft diese Dinger? Ähm eventuell ist es auch tatsächlich so, dass äh selber, diese äh kaufen. Das würden sie aber äh im Zweifelsfall nicht zugeben, ja, weil ähm du würdest dich ja im Prinzip zum Affen machen, wenn rauskommt, dass du deine eigenen für sehr viel Geld kaufst. Ähm andererseits kann es auch sehr gut sein oder oder deine eigenen Wahl-Rabilitys kaufst. Ähm. Weiterhin kommen die ja so kommst du ja immer in diesen in diesen äh drei rein, dass das der, man irgendwie von Erpressungen reden kann oder könnte. Ja, es ist schon häufiger auch vorgekommen, dass Hacker mit mit einem auf einmal irgendwie die Anwälte äh dranhängen hatten, Und wenn das schon bei bei sage ich mal lauteren ähm Hacker so ist, dann ist das natürlich bei jemandem, der irgendwie Explodes verkauft, noch noch viel eher so, es wird eher weniger beworben und ist ein sehr schwieriges Feld, wo man jetzt nicht so wirklich was, zu sagen kann.

Tim Pritlove
0:18:49
Linus Neumann
0:19:08
Tim Pritlove
0:19:31
Linus Neumann
0:19:48
Tim Pritlove
0:20:20
Linus Neumann
0:20:21
Tim Pritlove
0:20:22
Linus Neumann
0:20:25
Tim Pritlove
0:20:41
Linus Neumann
0:20:42
Tim Pritlove
0:21:33
Linus Neumann
0:21:39
Tim Pritlove
0:21:46
Linus Neumann
0:21:47
Tim Pritlove
0:22:54
Linus Neumann
0:23:10
Tim Pritlove
0:24:05
Linus Neumann
0:24:13
Tim Pritlove
0:24:14
Linus Neumann
0:24:41
Tim Pritlove
0:25:21
Linus Neumann
0:25:33

Ähnlich wie wie Hertha jetzt mit diesem äh Fußballspiel. Ähm und jetzt Begründung auch da, aber wieder einleuchtend, zumindest laut äh GEMA ähm, Laut Gamer PM, dass sie nach dem Urteil zurück an den Verhandlungstisch gegangen sind, aber die Berufungsfrist ist ja relativ kurz. Du hast ja nur eine bestimmte Zeit äh Berufung einzulegen. Und haben gesagt, na ja, es sieht ein bisschen danach aus, Oder wir wollen nicht riskieren, dass die Berufungsfrist abläuft und wir da an den Tisch hängen und dann ist dieses Urteil da und dann sind wir am Ende doch nicht wieder damit zufrieden. Und laut Gamer von YouTube habe ich da keine offizielle, vernünftige Verlautbarung zugefunden. Laut GEMA ist YouTube nicht bereit, die Ergebnisse der Verhandlungen offen zu legen wo ich da dabei gehe ich davon aus, dass da dran drin stünde, was weiß ich, welche welche Preise da gezahlt werden. Und es ist ja in der Tat so, dass YouTube da äh nicht, Offiziell irgendwie das nicht so ganz klar ist, weil das natürlich auch in verschiedenen Ländern, die wollen natürlich nicht ihre Verhandlungspositionen irgendwie für die über hundert Länder der Welt schwächen, bei denen sie das noch nicht gemacht haben. Und ähm, quasi also die die äh YouTube sagt, wenn wir mit euch eine Einigung finden, dann wollen wir nicht, dass irgendwo steht, wie viel wir euch zahlen. Und die GEMA sagt, na ja, ähm wir sind rechtlich zur Veröffentlichung verpflichtet. Wir müssen sagen, was wir da kriegen, und das scheint also jetzt da, dass das Problem zu sein, wenn ich diese Gamer Pressemitteilung richtig deute. Man muss allerdings dazu sagen, dass die, diese Pressemitteilung eventuell nicht hundertprozentig, sauber formuliert ist, weil der ist auch sehr schöner, der findet sich dieser Satz drin nach dem erstinstanzlichen Urteil kann YouTube die Rechte nicht mehr einfach nur auf das von YouTube eingerichtet. Content Verifizierungsverfahren verweisen. Die angebotenen Musikwerte müssen darüber hinaus, Fingerprints bestückt werden. Was ich so wie, wie bestückst du denn ein, ein, ein Musikstück mit einem Fingerprint, also.

Tim Pritlove
0:27:48
Linus Neumann
0:27:50
Tim Pritlove
0:27:56
Linus Neumann
0:28:00
Tim Pritlove
0:28:20
Linus Neumann
0:28:23
Tim Pritlove
0:28:55
Linus Neumann
0:29:04
Tim Pritlove
0:29:06
Linus Neumann
0:29:07
Tim Pritlove
0:29:56
Linus Neumann
0:30:02
Tim Pritlove
0:30:29
Linus Neumann
0:30:36
Tim Pritlove
0:30:39
Linus Neumann
0:30:43
Tim Pritlove
0:30:45
Linus Neumann
0:30:57
Tim Pritlove
0:31:08
Linus Neumann
0:31:19
Tim Pritlove
0:31:20
Linus Neumann
0:31:37
Tim Pritlove
0:32:42
Linus Neumann
0:32:50
Tim Pritlove
0:32:57
Linus Neumann
0:33:04

Also keiner kann sich noch lange dauern. So und das sind also die beiden Ausgangspunkte, warum jetzt äh der, wie heißt der denn? Heike, ne, hingeht und ein ein anderes Modell äh sich vorzuschlagen, anschickt. Und aus diesen äh, genau, es nennt sich dann die Society, C3S, die ihr dann irgendwie die Idee wieder irgendwie patentieren oder was und das soll dann ein ein alternativ Modell zur GEMA sein. Und ihr sagt also genau diese Kulturwerkmarkt oder sonstwas Kulturwerk Marktmodelle oder Piratenparteiansätze sind einfach nicht so, würden nicht so schnell eine Möglichkeit herbeiführen. Und er sagt, er möchte dann also einen Kompromiss verfolgen mit diesem, C drei S. Ähm und zwar soll das nichtkommenzielle Tauschen ähm, erlaubt sein und die Künstler sollen trotzdem angemessen angemessen vergütet werden ähm und es soll irgendwie hauptsächlich so Lizenzen basiert sein. Ähm und quasi so eine Abstufungshiarchie äh steht, dahinter steht, wie man ein Werk weiterverarbeiten darf äh und äh wie nicht, ähm wie er sich das jetzt einhundert Prozent ähm im im Detail vorstellt, äh sehe ich, Allerdings auch noch nicht zu einhundert Prozent. Ähm. Es ist ja ohnehin irgendwie so, ich hatte das ja erwähnt, dass das Problem ist, äh dass die. Das das ist eben für diesen ganzen freien Kram noch nicht so wirklich das Verwertungsmodell, gibt und die Beispiele jener Künstler, die mit reich geworden sind, äh leider noch nicht so zahlreich sind. Und mit dieser äh C drei S wird äh dieses Problem versucht anzugehen. Deswegen ist das eine ähm eine interessante, ein interessanter Ansatz, auf den ihr mal ähm verwiesen sei.

Tim Pritlove
0:35:21
Linus Neumann
0:35:39
Tim Pritlove
0:36:02
Linus Neumann
0:36:04
Tim Pritlove
0:36:31
Linus Neumann
0:36:32
Tim Pritlove
0:37:01
Linus Neumann
0:37:13
Tim Pritlove
0:37:19
Linus Neumann
0:37:27
Tim Pritlove
0:37:29