LNP078 Bugdoor

Freiheit statt Angst — Cryptocalypse! — Smartphones — Swift-Daten — Vorratsdatenspeicherung für die DEA — WikiLeaks — Glücksspiel-Netzsperren — Funkzellenabfragen

Linus ist wieder aus den USA zurück und hat zwar die Freiheit statt Angst-Demo verpasst, aber dafür andere Erlebnisse verbucht. Wir fassen die Ereignisse der letzten zwei Wochen zusammen, wobei sich sogar ein kleine gute Nachricht eingeschlichen hat.

avatar
Linus Neumann
avatar
Tim Pritlove

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove
Guten Morgen Linus.
Linus Neumann
Guten Morgen Liebe. Guten Morgen Tim.
Tim Pritlove
Haben sie dich, haben sie dich wieder rausgelassen?
Linus Neumann
Ja. Haben sie.
Tim Pritlove
Das finde ich sehr beruhigend. Ja, hier ist Logbuch Netzpolitik, achtundsiebzigste Ausgabe. Da sind wir wieder komplett. Ja. Ja. Muss auch dein Mikrofon einschalten. Auf jeden Fall ist ganz wichtig.
Linus Neumann
Ja. Ich muss das Mikrofon einschalten. So sieht's aus. Ja, sie haben mich wieder rausgelassen. Sie haben mich auch reingelassen.
Tim Pritlove
So erfreulich.
Linus Neumann
Ja, es gibt ja es gibt ja den, es gibt ja diese No-Fly-Liste und es gibt ja auch die Please-Fly-Liste, hatte ich, glaube ich, ja schon mal erwähnt, ne. Also so.
Tim Pritlove
Nicht nicht du darfst nicht rein und du darfst äh du sollst möglichst raus.
Linus Neumann
Es gibt die, du darfst nicht reinliste, das ist aber erst das ist noch nicht ganz, du bist noch nicht ganz oben angekommen. Die, das ist.
Tim Pritlove
Hm.
Linus Neumann
Und deswegen äh wenn du reinkommst, heißt das, hast du halt noch eine Chance auf die Ehre, der der richtigen, auf die richtige Ehre, dass du halt nicht mehr rauskommst. Aber äh beide, beide Formen der Ehre sind mir verwehrt geblieben. Von mir wollten sie nur Fingerabdrücke und ein Nacktfoto, was wir mit diesen Terrainherzscanern machen.
Tim Pritlove
Naja, das brauchst du ja gar nicht mehr, brauchst ja gar nicht mehr auffassen irgendwie. Nacktfotos gibt's von dir ja sowieso überall im Internet, auf den Fingerabdrücke kriegen sie jetzt von Apple.
Linus Neumann
Nee, äh ich glaube ja nicht an an äh an Fingerabdrücke als äh Sicherheitsmerkmale, ne. Das. Ist ja klar. Ist ja Unsinn.
Tim Pritlove
Wegen der Zwillinge oder wegen der Leute, die keine haben.
Linus Neumann
Weil ähm die viel zu leicht zu fehlt, fälschen sind. Also ich meine, wie viele Fingerabdrücke lässt du denn auf deinem iPhone, ja? Also ich meine, ist wirklich ziemlich dämlich aufm Gerät, was eine Oberfläche hat, wo du die ganze Zeit mit deinem Daumen drauf rumtappst, direkt da unten drunter als Sicherheitsmerkmal ein äh Fingerabdrucksensor zu machen.
Tim Pritlove
Naja.
Linus Neumann
Also Fingerabdrücke fälschen, ist äh eines unserer Hobbys.
Tim Pritlove
Jetzt hier keine Techsendung draus machen, aber da bin ich mal gespannt, wie das Ding wirklich äh funktioniert, ob dieses äh.
Linus Neumann
Wenn sie nicht blöd sind, haben sie.
Tim Pritlove
Modell des Kopierens an der Stelle eigentlich greift.
Linus Neumann
Ah, das wird sicherlich nochmal ein bisschen schwieriger sein.
Tim Pritlove
Naja gut, aber dafür äh werden wir ja hier nicht nicht bezahlt, ja? Sondern wir werden ja hier nicht bezahlt dafür, dass wir, uns mit äh Netzpolitik auseinandersetzen. Ähm ja, du warst ja jetzt letzte Woche hast du dich ja gedrückt, ne? Du wolltest ja ein Demonstration von deinem Demonstrationsrecht keinen Gebrauch machen, stattdessen lieber irgendwie mit der Freiheit knutschen.
Linus Neumann
Nee, ich so, vor so einer war ich nicht dran. Ich bin ja nur, ich habe ja irgendwie einen einen äh Traum verwirklicht und bin Hubschrauber geflogen, Das war ja, was weiß ich schon immer mal machen wollte, Und ich bin mit dem Hubschrauber über New York geflogen. Fand ich ganz cool. War nicht nah genug dran, um die äh Freiheitsstatue dann tatsächlich auch zu küssen.
Tim Pritlove
Aber gesehen hast du sie.
Linus Neumann
Gesehen habe ich sie, habe ich Fotos von gemacht, ja. Nee und äh ansonsten habe ich noch ein paar äh Aktivisten und Hacker in Amerika getroffen. War eine angenehme Zeit.
Tim Pritlove
Freiheitsstatue statt Angst.
Linus Neumann
Freiheit statt Angst, ja. Freiheit, Staat und Angst, keine. Wie war's denn? Erzähl doch mal von der äh Freiheitsstatue. Äh von der von der.
Tim Pritlove
Wir haben lange im Busch gelegen und. Ja, wie war's denn auf der Freiheit Angst? Ich habe so ein bisschen Schwierigkeiten, das äh zusammenzufassen, aber, Ähm naja, es waren, Es waren nicht so wenige da, dass man das man sagen könnte, da wäre ja keiner hingegangen. Also es war schon eine gefühlt, gut gefühlte Demo, ja? Ich hab's jetzt nicht alle durchgezählt. Ich finde so die generellen Schätzungen, die kursieren von zehntausend halbwegs akkurat. Ähm na ja, dann lief man halt so durch Berlin Mitte und, Touristen wunderten sich, was sind da äh wohl los ist? Also es war ein relativ großes Medieninteresse, hatte ich den Eindruck, es war, durchaus mediale Beobachtungen, inwieweit das dann wirklich in die Berichterstattung gemündet hat. Weiß ich nicht. Habe ich jetzt nicht genug Fernsehen geguckt dafür. Ähm, Als außergewöhnliches Event ist es jetzt auf jeden Fall nicht wahrgenommen worden, denn, Eindruck werde ich nicht los, ja. Also, es hat sich eigentlich das fortgesetzt, was wir ja eigentlich die ganze Zeit schon äh jetzt auch mit diesem NSA-Skandal, im Auge beobachten, dass diese Thematik irgendwie nicht verfängt, Also es ist einfach ein grundsätzliches Problem, dass. Entweder wird es ignoriert, weil äh schon zu viel Angst herrscht oder es wird einfach nicht verstanden. Ich glaube, es ist eine Mischung aus beiden. Vielleicht nochmal zur äh Demo selbst ähm es gab dann halt zu allerlei äh Parteigänger, die dort natürlich auch farbenschwingend dabei waren. Da konnte den Piraten in dem Sinne keiner was vormachen. Die waren da äh definitiv am zahlreichsten vertreten, dicht gefolgt von den äh Grünen, die da auch, total für Freiheit waren und äh ja so am Ende, ruften dann noch so zehn FDPs FDP, Julis oder was das waren irgendwie rum mit irgendwelchen Jugendfotos von Sabine Leuthäuser, Schnarrenberger auf den Plakaten und waren auch für Freiheit.
Linus Neumann
Die FDP ist aber seit die sind also Juli ist da, die sind seit Jahren ähm bei der bei der Freiheit Angst immer. Die habe ich glaube ich erstmal nicht zweitausendacht da gesehen und die für schwedische Neonazis gehalten. Weil die so, Ich habe da auch noch irgendwo äh ein ein Foto von so einem, der seid echt aus wie so ein schwedischer Neonazi. Ähm.
Tim Pritlove
Also äh gefühlt, wie gesagt, das ist alles gefühlt. Also ich war äh verhältnismäßig pünktlich da. Ich habe mir so den ersten Teil der Demo die ganzen äh Reden und so weiter mitgegeben hat mal wieder eine feurige Ansprache gehalten und auch den entsprechenden Zuspruch bekommen. Überhaupt waren so die Reden, wurden da äh amtlich beklatscht und da war durchaus Stimmung auch, also es war jetzt auch nicht total langweilig, musste dann immer kleinere Pausen einlegen und konnte jetzt auch nicht die ganze die ganze Demo mitlatschen, weil ich halt einfach noch die Kinder dabei hatten, die waren jetzt, sagen wir mal nicht in der Lage, da die ganze, zu gehen, habe dann die Demo auf dem Rückweg wieder eingefangen. Ja.
Linus Neumann
Also zehntausend Leute sind doch erstmal nicht wenig oder? Ich weiß gar nicht, alle.
Tim Pritlove
Es ist nicht wenig, deswegen meinte ich ja auch, ne, es ist nicht so, dass man jetzt das Gefühl gehabt hätte, es wäre keiner hingegangen. Aber es ist halt auch irgendwo klar, glaube damit diese Demo äh in der politischen Landschaft und auch in diesem Wahlkampf in irgendeiner Form wirklich als äh nennenswert wahrgenommen werden würde, dann, also ummenswert wahrgenommen zu werden, hätte es wahrscheinlich die zehnfache Menge von Leuten gebraucht.
Linus Neumann
Ja, da hätte man dann natürlich in anderen Bereichen, Auch für die äh Demo werben müssen, ne. Das äh hat ja jetzt sage ich mal, der der Outreach aus der eigenen Filter-Bubble heraus aus der, zitierten Netzgemeinde raus, ihn woanders hin, ähm hat ja jetzt nicht in so einem überzeugenden, riesigen Ausmaße da stattgefunden. Man könnte ja jetzt nicht, also ich hätte jetzt auch nicht damit gerechnet, dass plötzlich ähm. Die Allgemeinbevölkerung zu dieser Demo kommt. Diesen da, Ja, ich hatte das ja in der letzten Sendung schon angedeutet. Es gab es gibt ja auch ärgerlicherweise sehr bedauerlich, ähm gab es ja schon weit im voraus zu dieser Demo dann äh Streitereien. Unter äh Beteiligten ähm es gibt jetzt natürlich nach der Demo auch welche. Ähm, An sowas äh ja beteilige ich mich nicht, Ähm das ist mir irgendwie zu doof. Also dafür ist diese Demo zu wichtig. Wobei ich auch, wobei ich schon auch, ja, zumindest notwendig sein wird, dass man, sage ich mal, intern, bestimmte Konsequenzen draus zieht und um dafür zu sorgen, dass es nächstes Mal ein bisschen vorzeigbarer alles ist, ja? Ähm. Jacob Apple waren wir da. Anne Roth hat gesprochen, Parker Higgins. Mit dem habe ich gestern noch ein Bierchen getrunken von der IFF. Coole Visitenkarte steht Aktivist drauf. Ja und ähm.
Tim Pritlove
Wie war dessen Einschätzung? Hast du ihn dazu befragt.
Linus Neumann
Genau, was guck mal, der ist ein Ami, der hat doch noch nie eine Demo mit zehntausend Leuten gesehen, so ungefähr, ne, also.
Tim Pritlove
War das natürlich total aufregend, wa?
Linus Neumann
Ja, also äh der hat jetzt schon er hat schon große Demos gesehen. Er hat eine Zeit lang in Deutschland gelebt, aber ähm. Tja, ich meine, es es wurde halt von von vielen Seiten, inklusive der Presse, ja, dann da auch daran gearbeitet, dass dieses Ding möglichst irgendwie schon von vorne herein runtergearbeitet wird, ja? Und von den ähm, von denen, die sich den Hauptfut zur Organisation dieser Demo aufgesetzt haben, ähm habe ich dann letztendlich relativ wenig ähm, Also ich habe relativ wenig Werbung für diese Demo gesehen. Klebte irgendwo mal ein Plakat.
Tim Pritlove
Es gab Flyer.
Linus Neumann
Und wo sind die?
Tim Pritlove
Mir sogar hier in meinem eigenen Kiez von einer mir bis dahin unbekannten Personen einen Flyer auf der Straße in die Hand gedrückt worden. Das fand ich irgendwie doch relativ bemerkenswert.
Linus Neumann
Okay, dann nehme ich das zurück. Also dann war das ein subjektiver Eindruck von mir, dass das da die.
Tim Pritlove
Also ob das jetzt äh wiederum ob das jetzt wiederum äh, ein Beispiel dafür ist, wie es überall gelaufen ist, keine Ahnung so. Es ist sicherlich irgendwas getan worden, aber Ich glaube, das ist an der Stelle jetzt auch gar nicht so wichtig ist, was jetzt konkret getan worden ist, um das zu verbreitern. Meine Eingangsthese gilt ja noch, das ist einfach irgendwie verfängt das Thema nicht, Weiß nicht, ob das hier an diesen Themen, auch ob es an diesem Titel liegt, ja? Freiheit statt Angst, das ist ja auch alles sehr. Weißt du, wie ich meine, was willst du denn erklären, worum's denn hier geht? Freiheit statt Angst. Klar, dass da steckt irgendwie schon eine eine eine gewisse auch wahre und nachvollziehbare Botschaft drin. Ja, aber was was ist jetzt hier wirklich das äh das Konkrete, was eigentlich, kritisiert wird. Das bleibt so ein bisschen auf der äh Strecke, wenn man das jetzt unter diesem Titel subsumiert. Also ich bin mir nicht so sicher, ob das wirklich so zukunftsfähig ist so, dieses Modell oder ob man da nicht äh einfach äh auch mal ähm nicht nur einen griffigeren Slogan äh finden muss, darum geht's mir jetzt nicht nur so wie die Verpackung äh so ist, sondern dass man vielleicht auch selber mal wieder einen Schritt äh zurückgehen sollte in der Szene und überlegen sollte, ja, lass uns doch mal dieses ganze scheiße find, Potenzial was so da ist mal aufschnüren, mal gucken aus was es eigentlich besteht, Ja und was was sind eigentlich so äh die ähm die wichtigen äh Argumente und die die wichtigen Punkte äh auf die man sich konzentrieren soll, weil ich merke halt auch immer mehr so zersetzende Diskussion innerhalb äh dieser Szene, ja, wo es sehr unterschiedliche Auffassungen gibt über Datenschutz äh Umgang äh mit Überwachung äh äh zum anderen. Vielleicht muss ich das einfach wieder neu sortieren. Habe da jetzt auch kein, kein Patentrezept grade äh im Blick. Ich sehe halt nur so richtig explodieren tut's nicht.
Linus Neumann
Ja was ich weiß jetzt nicht, Debatten innerhalb der Szene, weiß nicht, grade jetzt okay unterschiedlich an sich zu Datenschutz, wupp die du. Also ich meine, das Problem ist echt ein bisschen größer als irgendwie irgendwie die Arschverletztheit von ein paar Leuten, die zu irgendeinen Teilaspekt einer Debatte irgendwie eine andere Meinung haben als andere Leute. Ähm also es, Gibt da größere Probleme als irgendwie diese ähm, Verhältnis im Verhältnis dazu, relativ. Nicht so sehr bedeutsame Zeug aufgrund dessen jetzt wieder irgendwie zwanzig Mann äh irgendwie meinen sie Die Netzgemeinde wäre nicht mehr ihre. Also wenn ich so einen Quatsch schon höre, also allein schon die Idee mit mit diesem Begriff der Netzgemeinde an so eine Demo heranzugehen. Jetzt zeugt schon davon, dass man da offensichtlich auf dem falschen Dampfer ist Es geht hier um gesellschaftliches Problem, da geht's nicht darum, dass irgendwie, irgendwelche äh Leute mit ein paar tausend Twitter Followern meinen, dass dass das jetzt da irgendwie ihr Szenetreffen wäre oder so, ja? Und ähm, Man wird äh damit leben müssen, dass man bei solchen großen Protesten, ja, also geh mal irgendwie, geh mal fahr mal nach äh ins Wendland da zu den Atomkraft äh äh Protesten. Da hast du auch nicht alles nur genau deine spitzen Typen, mit denen du jetzt immer äh in in der Seabase äh rumrennen. Da sind halt auch Leute, wo du denkst, naja okay ähm, Mit denen gehe ich halt für heute mal ein Bündnis ein, ja? Ähm aber wenn man ähm. Wenn's um die großen Dinge der Gesellschaft geht, dann muss man sich eben auch mit, zufrieden geben, dass nicht jeder, der da steht, Uniform genauso über jeden Teil der äh Teilaspekt des Lebens denkt, wie man selber. Ohne da jetzt, also weißt du, das ist eine Grundvoraussetzung, wo man einfach mal eine Grundeinstellung, wo man mit klarkommen muss, Ich sage jetzt nicht, dass da irgendjemand recht hat oder Unrecht oder dass das Anliegen des einen wichtiger ist, als das Anderen. Ich sage auch nicht, dass man da jetzt Nazis unbedingt dulden müsste. Ja, aber äh zu solchen Fragen kommen wir ja überhaupt nicht.
Tim Pritlove
Okay, ich verstehe, verstehe deinen äh Punkt vollkommen und äh da hast du sicherlich auch äh äh Recht. Ich glaube, ich wollte es auch ein bisschen auf was anderes äh hinschieben. Es ist äh was mich so persönlich so ein bisschen äh, stört, aber es ist jetzt auch wirklich sagen wir mal ein ein persönliches Ding, ja? Äh es hat halt auch so was ritualisiertes mittlerweile, ja. Also so, und nächstes Jahr machen wir dann das und das anders und dann haben wir irgendwie ein rotes Plakat und kein blaues Plakat so ja? Aber dieser Protest ist quasi jetzt schon eingepreist. Man hat sich schon mal äh äh für den nächsten September vielleicht sogar schon mal seinen Hostel äh gesichert, so ja, man fährt dann halt mal wieder hin so, ähm während jetzt so eine eigentliche Demo ja, also so richtig so jetzt reicht's uns aber mal wirklich und, Jetzt ist mal wieder was zusammengekommen, da müssen wir jetzt mal dagegen äh vorgehen, ja, die sich an äh. Einzelnen oder auch zusammengefassten Trends und Ereignissen festmacht und die da äh gegen dann auch wirklich ähm, Gesicht zeigt, ist schon noch ein bisschen was anderes, einfach nur so äh die Love-Preate äh äh der Anti-Überwachung, Brust ein bisschen spitze. Mir kam nämlich genau dieses Gefühl doppelt, weil als ich dann äh weg musste von dieser Demo und äh eine Querstraße weitergelaufen bin, kamen halt kamen mir halt die irgendwie von links nach rechts über die Straße, wo irgendwie gefühlt genauso viele Leute äh teilnahmen, ja? Und ähm, mir so, ja, bin ich jetzt auf der falschen Parade mitgelaufen?
Linus Neumann
Ja, also wenn man sich, wenn man sich überlegt, eine Demo in Berlin zu veranstalten, dann lohnt halt teilweise der Blick auf den Kalender, ja. Vor allem, wenn man.
Tim Pritlove
Frage, wer da zuerst draufgeguckt hat, ne.
Linus Neumann
Aus der Ferne macht.
Tim Pritlove
Na gut, wir lassen das äh offen. Ich bin da irgendwie auch mit mir noch nicht so ganz.
Linus Neumann
Also was, was für mich ein bisschen stört, ist dieses dieses diese Demo jetzt runter Gerede, vor allem in der Öffentlichkeit. Also da da tut man sich einfach keinen Gefallen mit. Ja, also wer, Demo ist eine Demo, eine Demo mit zehntausend Mann, ist immer eine Demo mit zehn äh mit zehntausend Teilnehmern, Entschuldigung, mit zehntausend Teilnehmern, ist immerhin eine Demo mit zehntausend Teilnehmern. Die muss man auch nicht, Die muss man auch nicht kleinreden, ja? Es war natürlich hätte man jetzt wär's schöner gewesen, wenn es hunderttausend gewesen wären. Ähm gab verschiedene Faktoren, die dazu geführt haben, ist wichtig, daraus jetzt auch einfach mal vernünftig, zu ziehen, zu lernen, zu akzeptieren, wie man sowas vielleicht in Zukunft besser hinbekommen kann wieder, Aber dieses dieses öffentliche breit gedrehte von irgendwelchen Müllereien. Das finde ich schon sehr, sehr kleingeistig, teilweise.
Tim Pritlove
Ja Na, vielleicht soll es positiver Aspekt, die Person, die mir diesen Flyer auf der Straße äh in die Hand gedrückt hat, war auch äh in keiner Hinsicht irgendwie organisiert, ja, weil ich äh versuchte es auch so mit seinem kleinen äh Witz, ob, äh sie denn nun Teil der jüdischen Volksfront oder der Volksfront von äh Judäa äh wäre. So ein bisschen in Anspielung dadrauf und ähm, Der Witz verfing überhaupt nicht, weil äh es sich offensichtlich hier einfach mal um Leute handelt, die, einfach wirklich über das Thema auch auf diese Demo äh gestoßen sind, ohne äh bisher schon in irgendwelchen Strukturen festgenagelt zu sein, Das gab's also auch.
Linus Neumann
Und ist also, Ich würde jetzt auch mal noch ganz kurz die Frage nur in den Raum stellen, ob das jetzt so tragisch ist, wenn jemand, wenn sich eine Partei an dieser Demo beteiligt, ja? Also alle waren immer ja, die Piraten, die Piraten kommen mit ihren Fahnen und kapern die ganze Demo. Ja, gut. Bringt halt selber Fahnen mit und sorgt dafür, dass sie's nicht machen.
Tim Pritlove
Klang das so, dass ich das so rüber.
Linus Neumann
Nee, nee, nein, nein, nein, nein, nicht bei dir, also dich meinte ich jetzt nicht spezifisch, aber das ist schon etwas, was ich sehr, sehr häufig ähm.
Tim Pritlove
Ich finde das in gewisser Hinsicht sogar sehr gut. Weil ich meine in dem Moment, wo wo eine Partei der Meinung ist, sie müsste sich sogar einer Demo anschließen, um nicht den Eindruck zu erwecken, sie würde jetzt diese Forderung äh einfach ignorieren.
Linus Neumann
Da kann man doch super fotografieren. Kann man die jahrelang dran erinnern. Liebe Partei, schau mal, was was da wann haben wir damals für eine schöne Zeit gehabt, die ihr mit den Schildern da, ne? Forderungen.
Tim Pritlove
Genau. Na leider war die CDU nicht da.
Linus Neumann
Ja, die CDU. Für das ja kein Thema. Nee, das.
Tim Pritlove
Auch sehr überraschend auch auch von der CSU, ja, also vom C-Netz, keine Ahnung, ob die da waren.
Linus Neumann
Nein, das ist kein Thema der Politik, Tim. Hast du doch gehört hier, ne? Ist kein Thema der Politik.
Tim Pritlove
Nee, das äh ist kein Thema der Politik.
Linus Neumann
Wie heißt der Missfelder der Hüftgelenk Missfelder hat ich soll mich ja nicht mehr verächtlich über über Menschen äußern die.
Tim Pritlove
Nee, wir sollen uns hier auch äh wir müssen uns bemühen, neutral zu sein. Und unaufgeregt.
Linus Neumann
Nein, das ist auch in ist auch ist auch nicht akzeptabel, Menschen. Also solche Menschen dann. Also auch für die anderen Menschen, ne, mit denen man sie vergleicht jetzt. Also ich habe scharfe Kritik, dass ich ähm.
Tim Pritlove
Falsch oder gleiche gezogen.
Linus Neumann
Vergleiche gezogen habe, damit ganze Bevölkerungsgruppen verunglimpft habe.
Tim Pritlove
Hm, ja, das wollen wir natürlich nicht.
Linus Neumann
Muss ich mich für so Missfelder, ein verdientes Mitglied der Gesellschaft in ähm junge Union, Vorsitzender.
Tim Pritlove
Ja, schon einiges erreicht in seinem Leben.
Linus Neumann
Für die Volkswirtschaft wertvolle Beiträge geleistet, die mit dem Vorschlag, dass man rennt an keine Hüftgelenke mehr macht, weil die ja eh, sterben und keinen Beitrag mehr leisten zu zum gesellschaftlichen Wert, zur gesellschaftlichen Wertschöpfungskette. Ja, Das war dann Thema der Politik. Okay, wir wenden wir uns dem den interessanten Ding vor. Kryptokalypse.
Tim Pritlove
Schöner Name.
Linus Neumann
Kryptokalypse.
Tim Pritlove
Dir das gerade ausgedacht oder hast du das schon irgendwo gele.
Linus Neumann
Nö, der also ich weiß es, das ist der ein fester Begriff in Amerika.
Tim Pritlove
Mittlerweile oder? Ach so.
Linus Neumann
War das nämlich am Donnerstag äh äh stellte sich dann heraus, nein, wer hätte das gedacht? Die NSA, Äh versucht sich darin Verschlüsselungen zu knacken und macht äh das ein oder andere Mal auch guten Fortschritt. Ja ähm.
Tim Pritlove
Da ging es jetzt primär um SSL, aber vielleicht nicht nur unbedingt darum, Sondern es ging generell eigentlich um die Botschaft äh und auch hier waren das, glaube ich, wieder Snowden-Dokumente, die äh die Quelle waren. Das äh bei der NSA ist nicht nur so etwas gibt wie Prison, sondern da gibt es auch noch, gibt's eigentlich einen Namen dafür, das habe ich jetzt gerade, Ah ja, genau. Ein Projekt Bull Run, was äh jetzt nicht äh falsch äh mich erinnere, das Zehnfache des Etats hat, Im Vergleich zu Prison und dementsprechend auch eine entsprechende.
Linus Neumann
Braucht man ja auch.
Tim Pritlove
Bedeutung hat, ja, weil hier müssen ja richtig kluge Leute engagiert werden, die sich eben Gedanken darüber machen, wie man Kryptographie bricht im Netz. Hier geht es also ganz konkret um die Fähigkeit der Geheimdienste, die Verschlüsselung, die ja bisweilen immer wieder so als allgemein gültiger Schutzschild in Stellung gebracht wird, Ähm möglichst so umgehen und dabei ähm das bedeutet dann konkret sowohl das Erarbeiten möglicher äh Schwachstellen so, was es ja, generell eine Aufgabe auch der der Kryptogemeinde sein sollte, dass äh äh immer wieder Algorithmen, die Verwendung äh sind oder als zukünftige Standards vorgeschlagen werden, analysiert werden, auf Schwachstellen hin abgeklopft werden und es fällt ja immer mal wieder was. Also viele Algorithmen, die in den letzten zwanzig, dreißig Jahren so ähm vorgeschlagen und dann eben auch teilweise äh benutzt wurden oder sogar als Standards eingesetzt wurden, haben dann auf einmal starke äh Schwächen gezeigt, als eben Methoden angewendet wurden, die so vorher noch nicht ähm, genauer untersucht worden sind. Und dann äh zeigt sich auf einmal, dass eben in den mathematischen Modellen da generelle Schwächen äh sind, die eben diese ähm, Kryptographie Algorithmen angreifbar machen.
Linus Neumann
Ja, das ist das ist ein Fall. Also man kann zum Beispiel was weiß ich, theoretisch also es gibt, gibt diesen Fall, der wird jetzt auch gerade häufiger zitiert über den Einfluss der NSA, als der als D ES spezifiziert wurde. Standard, müsste einige Zeit her sein, wird heute äh, relativ allgemein gerne mal geknackt, deswegen gibt's jetzt seit äh wiederum einiger Zeit schon ähm als DES spezifiziert wurde, meldete sich die NSA zu Wort und sagte, ey Jungs, und den Teil müsst ihr anders machen. Wir sagen euch aber nicht wieso. Und ähm wenige Zeit später kam quasi. Wurde dann äh öffentlich eine Methode bekannt, die dann gereicht hätte, um die, anders spezifizierte DS zu knacken. Das heißt, die NSA hatte dann Wissensvorsprung zu dieser ähm vielzitierte Geschichte, wie die NSA quasi damals auch in die die Spezifizierung des Standards eingriff und ihn sicherer machte. Ähm gleichzeitig äh greift ihr aber natürlich auch in Spezifikationen von Standards ein, wo man eben nicht weiß, ob ihr Beitrag jetzt ähm den, den Algorithmus selber sicherer macht oder nicht. Hm, also wo man dann nur vermuten kann. Ähm der Hintergrund ist, Das allgemeine Problem ist, es gibt einfach eine ganze Menge äh Verschlüsselungsalgorithmen und mit großer Sicherheit können die nicht jeden davon knacken. Ähm. Allerdings, nur weil der Standard vernünftig spezifiziert ist, heißt das nicht, dass die Implementierung es auch sind, dass die Implementierung auch sicher sind. Wir kennen dieses wird ja jetzt gerade in den Medien auch immer äh viel behandelt. Ähm Kryptographie äh benötigt zur Generierung der Schlüssel sehr gute Zufallszahlen. Zufallszahlen von hoher Qualität. Diese Zufallzahl zu generieren ist aber für den Computer keine triviale Aufgabe, weil der ganze Prozessor ja erstmal prinzipiell in deterministisches System ist. Das heißt, man braucht irgendwelche, zufälligen, Quellen, also Quellen von Zufall, die man in den Computer einspeist, um ihm dabei zu helfen, Zufall generieren zu können. Also, viele Dinge äh die da Einfluss finden und jetzt werden werden natürlich überall grade die Zufallszahlengeneratoren abge, und da ähm hat sich jetzt schon grade in den letzten Wochen auch schon vor den ganzen NSA Sachen wurden da äh spannende Sachen gefunden, wie zum Beispiel aus der Zufallshallengenerator bei Android irgendwie nicht, vernünftig funktioniert. Ähm, wodurch dann einige Krypto- und auch Bitcoin Apps äh gefallen sind. Ähm, Na ja, bei Closed implementierung, wie jetzt bei Microsoft. Ich meine, keine Ahnung, wenn die.
Tim Pritlove
Nicht nur bei Microsoft generell, eigentlich bei allen geschlossenen Systemen, äh da ist Apple genauso mit reinzurechnen Ja, das andere Problem ist, ich meine, wenn es so schwierig ist, also manchmal ist es auch einfacher, auf andere Methoden, äh mit anderen Methoden einfach an den Schlüssel heranzukommen, anstatt jetzt äh groß daran zu arbeiten, wie man ihn sich errechnen kann, ja. Ich meine, es ist doch sehr viel einfacher, wenn man eine Hintertür hat einfach mal kurz klopft und mit so, ja gib mal her den Schlüssel äh und dann schickt man ihn halt mal schnell übers Netz so, dann dann hat man ja das, was man eigentlich haben will. Und das ist natürlich auch so ein generelles Vertrauensproblem. Ich glaube, das ist auch so ein bisschen jetzt auch das, damit aufziehende äh Thema, auch wenn das schon durch Prison in gewisser Hinsicht schon gekommen ist, aber dass man eben jetzt auch grundsätzlich, den System in zunehmenden Maße weniger traut, so nicht? Dann gibt's diese Funktion, das hat man glaube ich auch schon in Windows mit dem, Äh mit den SSL-Zertifikaten, ja, wo dann mal soeben, äh wenn ein unbekanntes SSL-Zertifikat äh angetroffen wird in einem Webbrowser, das dann eben nachweislich dieses Windows dann nach hinten mal nach Hause telefoniert und irgendwie ob's denn da nicht vielleicht ein passendes äh Zertifikat äh gibt, was das jetzt dann doch äh abdeckt, ja? Das ist natürlich eine Art von Sicherheit, wo man dann überhaupt nicht mehr sagen kann.
Linus Neumann
Also ein ein wenn das.
Tim Pritlove
Ein legitimes, ist das ein legitimes Update von bekannten, vertrauenswürdigen Zertifikats äh Dienstleitern, ja, den äh Dienstleistern, den Affarities oder, gibt's da temporäre Autoritäten, die eben auch noch äh was zu sagen haben. Man weiß es nicht. Ich kann da jetzt gar nichts unter unterstellen. Es ist nur so, es.
Linus Neumann
Das ist schon relativ das ist schon relativ offensichtlich was was da mit den Zertifikaten bei Microsoft passiert, ja? Also, der schöne Teil daran ist, wenn daran, dass sie solche backdoors haben und die nutzen, siehst du das eigentlich der Algorithmus selber, Ähm doch ganz gut zu sein scheint, ja? Also wenn sie alle Kryptobrechen könnten, ähm.
Tim Pritlove
Diesen Aufwand nicht zu machen.
Linus Neumann
Bräuchten sie nicht, sagen wir mal, eine bräuchten sie ja keine Backdoors mehr, ja? Also diese gesamte Idee des Trojanisierens äh von von Maschinen viele dann weg. Also Krypto. Um jetzt mal zum zum Fazit zu kommen. Krypto funktioniert. Die Frage ist jetzt ein bisschen, Welche Spezifikationen nicht so gut sind? Unter Verdacht steht einmal ähm ein Standard EC, also elektrische Kurven Kryptographie, wo die elektrischen Kurven in dem Standard von von der NSA vorgeschlagen wurden, das heißt, es könnte gut sein, dass sie, dass die Schwäche sich da in den, Kurven, die dem Algorithmus zugrunde liegen liegt, während der Algorithmus selber ähm gut ist, dass die NSA da irgendwelche, Kurven bestimmte Eigenschaften drunter gelegt hat, die ähm fehlerhaft sind. Das hat sich auch schon größtenteils so bestätigt, dass es bei Teilen von so war, Es gibt den Verdacht, dass sie vielleicht RSA mit tausendvierundzwanzig Bit hinkriegen könnten, wenn sie sich irgendeinen völlig irren Supercomputer gebaut haben, und ja, Krypto RC4 steht irgendwie noch so ein bisschen unter Verdacht, ob sie da nicht vielleicht drangekommen sind. Das Schlimme und das Tragische an dieser ganzen Publikation ist aber, dass ja diejenigen, diese Papiere eingesehen haben, wissen, welche Algorithmen betroffen sind, und das nach Absprache mit der US-Regierung nicht veröffentlicht haben. Ja, also Bruce Nayer hat selber ja äh auch bekannt gegeben, dass er diese Originaldokumente gesehen hat. Ist ein relativ bekannter ähm Security-Vollziehen, ja. So, ich meine es ist so einer der Securitys. So und der hat das hat das Ding eingesehen und äh durften dann alle nicht darüber sprechen. Ähm, Interessanterweise hat Brust Schneider aber ein bisschen ähm so durchblicken lassen, was nicht kaputt ist. Denn er hat äh in seinem Artikel benannt, welche Tools er während seiner Recherche wie benutzt hat. So und er sprach dann eben davon, dass er was weiß ich, Das wird dann ganz viel zitiert, ne? Brustschneider nutzt OTR zum Verschlüsselung von Instant Messages, Bruce Schneider nutzt Tor zum zum Surfen, Bruce Schneider nutzt, für E-Mails oder so und er hat dann ähm seinen erneuert, hat einen neuen veröffentlicht und, quasi in dem wenn er sagt so, ich habe diese Dokumente gelesen, ich sage nicht, welche Standards äh irgendwie geknackt sind, aber übrigens, dann gibt er eine relativ guten was ich leider nicht gefunden habe ich hab aber nur auf einem Kieser war nur kurz gesucht, was sein Alter war. Das wäre natürlich jetzt das Interessante, was was Buh Schneiders alter PGP ist, weil der ist ja offensichtlich äh Murks. Was er jetzt hat, ist, glaube ich, äh viertausendsechsundneunzig bit RSA.
Tim Pritlove
Müsste der nicht als Revote dann auf den Servern nur verbleiben.
Linus Neumann
Wenn er ihn, wenn er ihn jemals aufm aufm Kieser geladen hat. Aber das stand, also war oft, ich habe nur kurz geschaut, ja. Aber da da ist jetzt.
Tim Pritlove
Lässt sich sicherlich rausfinden, wie sein Alter, weil irgendjemand wird dir ja bestimmt mal benutzt haben.
Linus Neumann
Irgendjemand wird den mal benutzt haben, vielleicht hat das vielleicht ja vorher auch kein PGP benutzt. Also auf jeden Fall da, da verbirgt sich ein bisschen Info drin. Selbst wenn sie jetzt, sagen wir mal, in der Lage sind, Nehmen wir mal an, die können jetzt irgendwie, ähm viel aufmachen, ja. Dann wird sie das immer noch sehr viel Rechenleistung kosten und sie werden im Zweifelsfall nicht alles, andauernd die ganze Zeit knacken. Also so viel so, viel so gut wurden die Algorithmen schon abgeklopft, als dass man jetzt da so eine, so eine offensichtliche Schwäche, die ohne äh großartigen Rechenaufwand von der NSA ausnutzbar wäre, ähm drin vermuten könnte, Geht beim Knacken von Krypto auch nur darum den Problemraum irgendwie von unendlich auf halbwegs endlich äh zurückzuführen und dann reicht's ja, dass es dann, dass du weißt, dass du es im Notfall kannst.
Tim Pritlove
Eine Fragestellung, die äh auch aufkam, glaube ich, mit dieser Berichterstattung, ich hab's jetzt nicht so genau nachgeforscht, ist ja auch dieses, ähm wie ist denn das denn mit den konkreten Implementierungen? Hast du ja vorhin schon angesprochen.
Linus Neumann
Die sind das das größere Problem.
Tim Pritlove
Ja, äh äh sozusagen oh, da gibt es eine Sicherheitslücke bei Cisco, sage ich jetzt mal so, also es hat sicherlich schon mal Sicherheitslücken bei Cisco äh gegeben. Die Frage ist halt, wem sind die bekannt? Und wann wird da was auf welchem Maßstab dagegen getan, ja? Oder wird vielleicht deshalb nichts dagegen getan, weil das quasi äh ja eine sehr dankbare Hintertür ist, Das betrifft jetzt im Übrigen gar nicht mal nur Geheimdienste, sondern genauso gut eben auch andere Strukturen, die da vielleicht einen Vorteil von haben.
Linus Neumann
Was ja üblicherweise bei sowas gilt, ist, dass man dass diese Fehler in den Implementierungen oder die Backdoors ähm da gibt's jetzt so diesen Begriff der Backdorn, ne, also der, plausibel, verleugbaren, des kleinen Backs, der irgendwie zu einer kleinen Schwäche geführt hat, die ein findiger Angreifer ähm ausnutzen konnte. Ähm aber rein bei Sourcecode ähm Review man immer noch sagen kann, ja okay, hey, das war keine böse Absicht, das.
Tim Pritlove
Nur ein Kommafehler.
Linus Neumann
Ein kleiner Kommafehler hier drin, ne? Oder es muss ja auch nicht so, so offensichtlich, sage ich mal, es sind Verfahren denkbar, dass, über die Zeit, über kleine Unterschiede, ähm jemand, der längere Zeit so einen anschaut, irgendwie, wenn er ein Vorwissen hat über eine Schwäche, daraus den Kiedern wieder, ähm dass er so mitgeliebt wird, geheime genau so, das das solche Ding.
Tim Pritlove
Ticanographische Mitteilung.
Linus Neumann
Quasi, ja, also quasi stehen nur, steht ja nur grafisch irgendwie in Abhängigkeit vom Kiesig der minimal verändert und das eigentlich auch ein Rauschen ist, während wenn man allerdings weiß, wie er sich ändert, dass man daraus den Kiel wiedererkennt, also vieles denkbar Ich denke, dass äh man sich, die das Fazit ist, dass man sich auf die Open-Source-Implementierung stürzen sollte, die ja jetzt auf jeden Fall nochmal gut abgeklopft werden und dass man sich vor allem über die Zufallszahlengeneratoren Gedanken machen muss, und dass sich Webseitenanbieter, auch das wohl jetzt schon wird auch schon seit langer Zeit gefordert. Ähm, in ihren SSL Implementierungen, bitteschön so ein also äh implementieren sollten, also ein Verfahren, das dazu führt, dass ein, dass ein Angreifer, der im Nachhinein in den Besitz des tatsächlichen Zertifikates kommt, nicht mehr den in der Vergangenheit aufgezeichneten, verschlüsselten Traffic äh wieder entschlüsseln kann. Es.
Tim Pritlove
Normale Schüssel dann immer noch mit etwas anderem kombiniert wird, was ich so nicht nachvollziehen lässt.
Linus Neumann
Ja, der wird, wenn, wird am Anfang, beim Handshake, ein, eine Operation durchgeführt, die dazu führt, dass, beide ähm Parteien ein geteiltes Geheimnis haben, was sie aber niemals wirklich über den Kanal ausgetauscht haben, wäre jetzt ein bisschen zu kompliziert das genau zu erklären, aber heißt, jemand, der im Nachhinein an den Schlüssel kommt, kann trotzdem nicht in der Vergangenheit ausgetauschte Nachrichten, entschlüsseln. Das ist bei OTR der Fall, was was gerne genutzt wird für ähm, Für und das kann man halt bei äh bei SSL auch aktivieren, machen aber viele nicht. Und das wäre zwar so ein Schritt, den man auf jeden Fall mal verlangen sollte. Google macht's übrigens.
Tim Pritlove
Das das ist übrigens etwas, was äh gegen diesen Full Take äh Ansatz äh helfen kann, also die Methode einfach alles mitzuschneiden, so wie's ja tempora, nachweislich äh tut, also das äh Spionageprogramm der Briten, wo sie da auf den Glasfaserleitungen äh sitzen und mal soeben für drei Tage erstmal alles mitschneiden. Alles für immer mitschneiden, das ist irgendwie die SSDs noch nicht erfunden worden, also da ist einfach noch ein Kapazitätsproblem, man kann in gewisser Hinsicht auch nicht das Ganze den ganzen Kommunikations, Traffic des Netzes kann man nicht speichern. Also das ist äh kann viel speichern, man kann äh vor allem die Metadaten speichern, man kann auf Basis dieser Metadaten äh in Echtzeit versuchen, schnell herauszufinden, was vielleicht des Speichers äh würdig ist, so. Das heißt, wenn man unter Beobachtung, also unter aktiver Beobachtung steht, dann muss man auch davon ausgehen einfach mal alles mitgeschnitten wird und auch lange aufbewahrt wird und genau an der Stelle sind dann eben solche Mechanismen äh wichtig. Wie kann man sich denn da selber überprüfen, ob äh die eigene Infrastruktur das.
Linus Neumann
Webseiten, die das machen, PFS, SSL Check, also ich weiß, dass warte mal, wo kann man das sehen? Also es gibt, machen wir mal in die Shownotes. Ähm da gibt's also äh Webseiten, die das, die das ausgeben. Wie gesagt, die meisten machen's erstmal nicht mit der Angriff, der dann immer noch möglich wäre, ist das der Geheimdienst, also Mittel ist, dafür braucht er aber eben das entsprechende, Zertifikat oder so, ne. Wobei da weiß man ja auch wieder, dass sie das unter Umständen haben.
Tim Pritlove
Ja, das ist natürlich auch eine eine generelle Schwäche des gesamten ähm SSL-Systems derzeit, dass man eben um überhaupt erstmal Verschlüsselung anbieten zu können, ein signiertes Zertifikat haben muss, also äh etwas, was einen Ausweis als ich bin, hm und ich habe hier einen Schlüssel und, dass ich behaupten darf, dass ich ich bin. Das hat mir eben eine, Ja, das hat mir so eine total vertrauenswürdige Organisation, die ich noch nie in meinem Leben gesehen habe, äh die irgendwo in Südafrika äh oder sonst irgendwo sitzt. Und äh mir billig, billig für ein paar Mark äh dieses Zertifikat, bestempelt, ja? Die hat das bestätigt.
Linus Neumann
Na ja, also genau, wie sie wie sieht das aus im Browser oder im Betriebssystem mitgeliefert werden, weiß ich nicht, wie viele Zertifikate, denen man von Organisationen, denen man per se vertraut, wenn sie für jemanden anderen bürgen.
Tim Pritlove
Genau, also wenn sagt, dass ich ich bin, dann bin ich ich.
Linus Neumann
Genau und ähm was man ja auch schon, ich glaube, das haben wir hier, glaube ich, auch damals berichtet, als Digi-Notar aufgemacht wurde. Also, das war genau so eine CA. Äh, hat jemand geknackt und hat dann da sich am laufenden Band, ähm, Zertifikate für alle möglichen Websites, äh, erstellt.
Tim Pritlove
Wobei das Knacken und das Angreifen, das ist nur das eine Szenario, das andere ist halt auch so etwas, ich meine, was macht äh ein Laden wie wenn die NSA äh kommt und sagt, ja hier äh ihr dürft nicht darüber reden, aber es ist mal total wichtig für die nationale Sicherheit und wir müssen da jetzt mal äh neben euren Mitarbeitern mal unseren Mitarbeiter daneben sitzen, damit das auch alles so läuft, dass hier die USA nicht abbrennt.
Linus Neumann
Mal ein Backup für euch.
Tim Pritlove
Das wäre jetzt bis vor kurzem wäre das, glaube ich, noch so ein Aluhutszenario gewesen, aber mittlerweile muss man von sowas eben also nicht unbedingt fest davon ausgehen, dass es stattfindet, aber es ist auf jeden Fall überhaupt kein Science-Fiction äh sich sowas vorzustellen, das äh das so oder ähnlich stattfindet.
Linus Neumann
Also es gibt zum Beispiel einen Anbieter aus Israel sehr, sehr günstig, sehr kostengünstig. Ähm erstmal im Zertifikate, ja? Die kriegst kostenlos dein Zertifikat signiert, die äh signieren dir auch deine äh ein SSL-Zertifikat kostenlos für ein Jahr, ähm.
Tim Pritlove
Was wissen die denn dann in dem Moment, wo sie mich äh signieren?
Linus Neumann
Das ist nicht das äh also.
Tim Pritlove
Meine mein privaten Schlüssel in dem Sinne haben sie ja nicht.
Linus Neumann
Du gibst denen ein äh CSR Sig.
Tim Pritlove
Signing Requisit.
Linus Neumann
Und äh sie signieren dann ein Zertifikat ohne tatsächlich den Private Key gesehen zu haben. Also so viel ist so viel ist alles in Ordnung, die werden auch im Zweifelsfall nicht ähm, da irgendeine Vektor haben, um dein Zertifikat zu prüfen äh zu zu fälschen oder zu kopieren. Der Witz ist doch eher, dass sie dadurch natürlich relativ beliebt sind, verbreitet sind, überall auf den System sind und dann natürlich für für alle Welt in der Lage sind, einfach äh zu bürgen. Also du brauchst ja nur eine kompromittierte CA, um zu sagen, dass du jetzt Google bist. Und die gibt's ja garantiert. Und so diese israelischen Anbieter stehen da natürlich per se schon immer im Verdacht. Wer man möchte, kann ja mal seine seine äh Zertifikats äh CA Liste durchschauen in Betriebssysteme und Webbrowser und schauen, was was alles, was es alles so für Institutionen auf der Welt gibt, denen man uneingeschränkt vertraut, wenn sie behaupten Der Mälzer war, mit dem du da gerade redest. Das ist der Google, ja, das ist der Google. Die ähm Gegenmaßnahme da ist, äh was jetzt auch von vielen ähm.
Tim Pritlove
Hunderteinundachtzig solcher Zertifikate befinden sich auf meinem äh US-Ten.
Linus Neumann
So und dann hast du nochmal ein paar in Firefox, muss mal gucken, ob da weniger oder mehr sind und wie die über äh, Überschneidungen sind. Ähm die das Problem ist aber nicht zu lösen, nicht so wirklich, also es um diese ganzen CA's gibt's eine ja, mehr oder weniger eine Mafia, weil der Der Punkt ist ja, du musst als CA, also ich kann ja auch eine CA sein, ich kann auch dein Zertifikate signieren. Das Problem ist, dass mir nicht automatisch jeder Browser traut. Und genau das ist das, was diese äh CAs zu Geld machen, indem sie eben für ihre Signaturen ähm, bestimmte Preise verlangen. Und ähm das, Problem, was sich also ergibt, wenn man sich sagt, man möchte sich von diesem CA Modell entfernen, ist, dass man dann keine Basis mehr hat für das Vertrauen wer der gegenüber ist. Was aber jetzt als Verfahren von vielen, ähm ja, verteidigt wird von vielen Leuten, die sich mit dem Thema auseinandergesetzt haben, ist die äh Tofupolisy, Trust on First use. Das heißt, beim allerersten Mal, wenn ich mich mit dem Anbieter verbinde, Zertifikat und das merke ich mir.
Tim Pritlove
Nach dem Motto, du solltest dich nicht ändern.
Linus Neumann
Ja und mir ist die Signatur darunter, ist mir, ist mir erstmal sekundär, interessiert mich nicht so sehr. Ich achte eher darauf, dass ich beim ersten Mal, dass ich das nicht mehr ändert. Das heißt, wenn der Angreifer müsste schon bei der ersten Verbindung dazwischen hängen und irgendwie Unsinn machen, oder tatsächlich im Besitz dieses Zertifikats.
Tim Pritlove
Wird's aber schwierig, wenn dieses Zertifikat wirklich mal aus irgendwelchen Gründen äh zurückgezogen wird?
Linus Neumann
Das ändert sich ja auch regelmäßig, das ist richtig. Ähm dafür sind dann so Ideen wie verteilted Hashtags oder so, dass man irgendwie quasi mappt, wer sieht wo auf der Welt welches Zertifikat und nehmen wir mal als Beispiel das Zertifikat jetzt von Gmail, ne. Ähm, es würde sich unglaublich schnell, würde die gesamte Welt feststellen, dass sich das Zertifikat geändert hat. Ja, das heißt, es wären wer nur für wenige Sekunden, ein Problem, bis sie es wissen, propagiert wäre, Jimmy hat ein neues Set.
Tim Pritlove
So ein bisschen wie bei Bitcoin, weil die Masse der Meinung ist, das wäre schon okay, muss es wahrscheinlich auch in Ordnung.
Linus Neumann
Genau. Und in dem Moment, wo und in dem Moment, wo du aber der Einzige bist, der da so ein anderes Zertifikat hat, ähm gehen natürlich alle Lampen auf, Und äh solche, solche Modelle, über solche Modelle wird da jetzt nachgedacht. Aber das beim CA Modell auf jeden Fall kann man davon ausgehen, dass da überall die Dienste drin hängen.
Tim Pritlove
Na gut, wir wollen jetzt hier nicht äh zu sehr äh in die Tech-Aufklärung gehen. Ich glaube, dieses Zertifikatsthema ist äh auch was schönes hier für die äh Freakshow. Ähm die nächste, die Kryptokalypse soweit ausreichend vorhergesagt oder dokumentiert.
Linus Neumann
Also wie gesagt, ja, ich fahre ich würde nur noch mal gerne echt, also das, das, das, das Interessante, ich ich sage immer, das Interessante, das Spannende, aber das was mich an dieser Sache ärgert, ist, dass es da Menschen, gibt, die jetzt wissen, welche Algorithmen betroffen sind und dass sie das nicht öffentlich machen und dass die ähm dass Absprachen gehalten wurden mit den mit der US-Regierung hey mal wieder ne? Hey wir liegen hier mal wieder was von euch sagt mal was wir streichen sollen die US Regierung sagt Jungs hör mal hier den und den zu knacken das hat uns irgendwie so und so viele hundert Millionen gekostet und es wäre schön wenn wir die jetzt mal erstmal nicht wegwerfen müssten die ganze Hardware und das ganze Wissen, was wir da reingesteckt haben, deswegen sagt mal bitte nicht, welcher Cypher kaputt ist und führt außerdem dazu noch, ähm, Dazu, dass die gesamte Welt darüber spekuliert und niemand mehr der Krypto traut, ja? Also ist doch wunderschön, also diese Veröffentlichung ist doch absolut im Sinne der USA, Und das finde ich sehr äh finde ich sehr ärgerlich, dass das so stattfindet. Also da jetzt echt äh das Verlangen, dass da gesagt wird, welches Hafer sind kaputt, bitte schön. Und welche Implementierungen sind kaputt? Gerade SSL, also noch noch ganz kurze Seitennotes, es gibt nicht viele Implementierungen von SSL. Die wenn die Open SSL Library kaputt ist, gibt's noch die eine Alternative. Polar SSL oder wie das heißt? Darauf basiert der gesamte Open Source äh Kryptokram in allen Richtungen, ja. Also, traut sich ja auch kaum jemand äh Krypto selber, also Krypto Algorithmen selber zu schreiben, gerade weil man dabei so viele tausend Fehler machen kann.
Tim Pritlove
Ja, ist nicht einfach.
Linus Neumann
Alles nicht so einfach. Und da äh kann man jetzt sagen, der der schöne Teil ist, dass jetzt grade natürlich alle, wie die Irren auf die üblichst auf die meist verwendetsten Crypto Libraries und äh Zufallszahlen, Generatoren draufklopfen und ähm insofern betrachte ich das eigentlich als ein ja, also ich blicke der Sache relativ gelassen entgegen.
Tim Pritlove
Weil du meinst, dass es dann auch gefunden würde.
Linus Neumann
Ich ja.
Tim Pritlove
Das ist zumindest zu Verbesserungen beiträgt, dass jetzt so viel Aufmerksamkeit.
Linus Neumann
Also entweder ist entweder es wird was gefunden oder die der Angriff, den die NSA auf diese macht, ist zumindest so komplex, dass sie es nicht bei allen grundsätzlich immer machen können. Oder oder irgendwie äh die Grundannahmen der Kryptographie sind alle kaputt und äh wir können doch große äh große Zahlen faktorisieren und die NSA hat einen Quantencomputer und wir sind alle verloren. Aber das halte ich für unwahrscheinlich.
Tim Pritlove
Aber was wir heute für unwahrscheinlich gehalten haben, könnte morgen schon in der Zeitung stehen, Ja, was ihr wohl auch äh können, Sie, sagen wir immer, Sie die Geheimdienste der US-Geheimdienst.
Linus Neumann
Gesunde Portion Anti-Amerikainismus bitte immer reinbringen, sonst machen wir uns glaubwürdig.
Tim Pritlove
Ja, ja. Ja. Ja, äh, es überrascht nicht wenig, aber auch Smartphones stehen äh im Visier.
Linus Neumann
Ja gut ähm auch das, ich meine, wir hatten's glaube ich in der letzten Sendung oder vorletzten Sendung schon, dass ja selbst privat äh Anbieter ähm hier Stichwort Gamma äh Smartphones infizieren können spannender Punkt ist dieser blackberry Kram, aber das war auch, damit war auch zu rechnen. Ähm Blackberry. Das Sicherheitskonzept von Blackberry ist ja, dass dass sie da der, dass sie männende Mittel sind bei allem, was du tust. Also die, die lesen deine E-Mails mit und äh verschlüsseln sie dann noch mal auf dem Weg zu dir, anders als als als normal gemacht wird, so dass, Also, ich meine, der Blackberry traut. Und das das Blackberry geknackt werden kann. Meine Güte, seit wie vielen Jahren gebe ich irgendwie Radio-Interviews zu Blackberry? Das Letzte habe ich irgendwie äh, Oder eines eines der letzten war, als als in als in London. Die Leute ähm randaliert haben, ja? Paar Jahre her. Ich glaube, das war zu Zeiten des Camps in Deutschland. Also zwei Jahre ziemlich genau. Ähm in London äh haben die Leute auf den Straßen randaliert, ähm und dann stand auf einmal in der Presse, ja, die Plünderer kommunizieren über den Blackberry Messenger und der ist ja verschlüsselt, Und äh deswegen kann keiner was gegen diese Plünderer in der Hand. Woraufhin ähm Blackberry sagte, oh ähm sollte das der Fall sein, wir kooperieren natürlich mit den Behörden, und geben diese geben die Schlüsse sofort raus, wenn müsst ihr euch nur bei bei meldet euch bei uns, wir wollen nicht die schlechte Presse haben, das Randaliererhandy zu sein, Ja, vielen Dank. Ich meine, das war natürlich sehr PR-mäßig, sehr ungünstig, äh zu zeigen, okay, bei dem ersten, bei dem ersten Rascheln im Walde, ähm, verrät Blackberry.
Tim Pritlove
Dass Blackberry überhaupt zugelassen wurde, wo war das? Das war sogar noch davor, glaube ich, die Meldung, dass äh um den Arabischen Emiraten da überhaupt äh zum Deal zu kommen, äh war es sozusagen schon äh notwendig, da äh die Hose runterzulassen, weil sonst äh hätte das gar nicht erst installiert. Also das ist halt in den Ländern, oder dieser Gattung von Ländern, da ist es halt so äh, abhören, wenn da totales Abhören nicht ein Produktfeature ist, dann braucht man da auch überhaupt gar nicht erst was hinzuschicken.
Linus Neumann
Richtig. Also da, da gibt's mehrere Länder, Indien gab's da glaube ich auch Streitvereinigte Arabische Ratte. Ich habe das immer bei Netzpolitik dann behandelt. Ähm genau, es gibt.
Tim Pritlove
Saudi-Arabien.
Linus Neumann
Ja, irgendwie so diese ganzen äh Achse der Freiheit. Und die haben also mit denen die, kooperiert Blackberry in äh aus ausführlichem Maße und wäre jetzt natürlich verwunderlich gewesen, wenn es ausgerechnet mit dem freundlichen Nachbarn.
Tim Pritlove
Ja. Und was man an der Stelle, genau, was was jetzt schon angedeutet, was man noch mal sagen soll, ist, glaube ich, nicht jedem so klar, Blackberry ist kein US-amerikanisches Unternehmen.
Linus Neumann
Kanada.
Tim Pritlove
Sondern äh es ist natürlich jetzt nicht so weit entfernt und äh Kanada.
Linus Neumann
Der Five Eyes.
Tim Pritlove
Genau, also äh von daher äh sollte man das nicht zu hoch aufhängen. Also auch das hilft nicht viel, Also und zwar generell nicht, nicht nur, weil sie jetzt äh Teil von Five Eyes sind, sondern allein durch diesen öffentlichen Druck eine Marke niederzumachen, größere Unternehmen, insbesondere äh Public Trade Unternehmen, wo also was weiß ich zahlreiche Shareholder eine Menge Geld halten, äh einfach schnell da in die Bredouille gebracht. Ja, also selbst wenn Facebook oder Google jetzt äh irgendein, weiß ich, auf einmal so ihren äh ihren Freiheitsinstinkt wieder äh entdecken am Ende des Tages zählt dann doch der und der sagt halt nicht, sag mal so so freiheitsliebend wie es irgendwie geht, sondern äh Dividende, Dividende, Dividende, ja und in dem Moment, wo die Staaten halt sagen, na ja, also wenn ich jetzt hier nicht mitspiele, dann machen wir aber den Laden zu. Da ist halt nicht so gut für die Dividende.
Linus Neumann
Ja, das also gibt viele Wege, wie die Staaten da zwangen, ausüben können, auf solche Anbieter.
Tim Pritlove
Ja, aber es gibt ja auch Staaten, die geben die Daten einfach äh einfach frei raus. So, weil da kann ja nichts passieren, wird ja wohl schon ordentlich mit äh umgegangen werden, so geschieht es ja hier in Europa schon lange lange Zeit, es gibt eine ganze Serie von Abkommen, zum Beispiel die Fluggastdaten Übermittlung, wo ich jedes Mal wieder die tolle Abkürzung davon.
Linus Neumann
Passengers.
Tim Pritlove
Genau, vergesse. Ähm und dann gibt's noch so eine andere schöne Abkürzung namens äh Swift, die eigentlich bisher auch äh so recht keiner äh kannte, nur jetzt wo man die ganze Zeit E-Mails von seiner Bank bekommt oder von anderen Unternehmen, wo einem angekündigt wird, dass ich ja unglaublich viel ändert, weil äh sie ja jetzt eine Zahl in eine andere Zahl äh umrechnen müssen Ist ja auch komplett automatisch können, aber irgendwie muss man dann bei der Hälfte der Unternehmen dann doch wieder äh seine Bankdaten eingeben, nur weil die jetzt anders notiert werden Stichwort SEPA Überweisung, die jetzt äh eingeführt wird und dann muss man eben auch mit so Begriffen wie Swift Codes äh hantieren.
Linus Neumann
Swift ist die Society for World White interbank finantial Telekomunikation.
Tim Pritlove
Auch mal anders gesagt, dass Bankprotokoll, also da, wo so das Geld hin und her geht.
Linus Neumann
Und was haben wir? Swift abkommen seit wann war das? Zweitausendzehn oder was? Äh ich hatte. Da nicht den. Äh ich hatte mir den Link glaube ich rausgesucht. Das Swift-Abkommen stammt glaube ich aus dem Jahre zweitausendzehn.
Tim Pritlove
Das weiß ich jetzt gerade nicht.
Linus Neumann
Zweite, am am achten Juli zweitausendzehn durch das Europäische Parlament gebilligt. Und das ist ein völkerrechtliches Abkommen zwischen der Europäischen Union und den vereinigten Staaten, den Zugriff US-amerikanischer Behörden auf die Daten der Swift ähm regelt. Ja, also die US, Behörden haben Zugriff auf die Bankransaktionsdaten in der Europäischen Union.
Tim Pritlove
Schon irgendwie echt ein starkes äh Stück ist, aber bisher so von niemandem wirklich ernst genommen. Ja, wir.
Linus Neumann
Wegen Terror. Ja, es hat wegen Terror, ne? Nicht, dass sie, ne.
Tim Pritlove
Vergaß. Ja, na dann, ja, okay.
Linus Neumann
Gespeichert äh werden Namen von Absender und Empfänger einer Überweisung und die Adresse bis zu fünf Jahre gespeichert. Betroffene werden nicht informiert. Ähm, Angeblich werden innereuropäische äh Überweisungen nicht erfasst. Ähm aber Bargeldanweisungen schon, Also dieses dieses Swift, nee, nee, wie heißt's, Bargeld, so Western Union Style, ne, wo man also quasi einen jemanden.
Tim Pritlove
Manietransfer.
Linus Neumann
Für genau, ja, sowas habe ich auch nur einmal gemacht. Ähm.
Tim Pritlove
Ja, jetzt äh regt sich auf jeden Fall äh ein wenig der Widerstand. Ähm ich glaube, es steht ohnehin mal für uns an, demnächst mal wieder ein Update aus äh dem Europäischen Parlament, zu äh holen, weil äh es wird so viel kolportiert, dass sich jetzt so viel geändert hätte durch die äh Snowden Leaks. Ähm und zwar ähm selbstverständlich des Parlaments und ihrer Bereitschaft äh den USA, aber eben auch Britannien, da sozusagen eine Konzession nach der anderen zu unterschreiben, so wie sie das bisher immer äh gemacht haben. Und wir haben ja auch ausführlich darüber berichtet, dass die ähm, diese ganze Datenschutzverordnung, ja vor allem auch von amerikanischen Unternehmen, da kräftig von Anfang an torpediert wurde, schon, ja, mit als Erster. Äh das wird jetzt mittlerweile etwas kritischer gesehen. Wie kritisch und von wem in welchem Maße, zieht sich meiner äh Kenntnis, aber das müssen wir uns auf jeden Fall hier nochmal reinholen. Um Swift ist jetzt die aktuelle äh Debatte neu entflammt, weil das ja dann irgendwie auch nicht ähm, Ja, weil man jetzt so langsam das Gefühl hat, es könnte vielleicht doch nicht so eine gute Idee sein.
Linus Neumann
Ähm ja.
Tim Pritlove
Was die Aktivisten ja schon immer gesagt haben.
Linus Neumann
Es wurde dann äh gesagt, na ja ähm Wirtschaftsspionage, ne, mittels dieser Swift-Daten. Ich meine, was die mit den Menschen über die Metadaten der Kommunikation machen, machen sie natürlich da auch, den Überweisungsdaten, wer überweist an wen Geld? Und ähm da gab es dann sogar fühlte sich dann hier James Klapper, der Director of National Intelligence ähm gezwungen, was zu blocken, aus seinem Tumbler Block. Ja, wo er. Dot com und sagte, ja, diese Information sammeln wir aus vielen, vielen wichtigen Gründen überwachen wir die Transaktion kompletter, kompletter Kontinent, ja. Ähm da könnten wir frühe Warnungen durchbekommen, äh wenn's nochmal wieder eine Finanzkrise gibt. Mhm, Finanzkrise wisst ihr ja, was scheiße für euch, liebe Bürger, ne, als ihr da alle äh ne, insofern davor schützen wir euch. Deswegen überwachen wir andere Kontinen.
Tim Pritlove
Das ist.
Linus Neumann
Ähm es könnte auch Einsichten, Äh in deren äh in die Wirtschaftspracy ähm anderer Länder geben, die irgendwie großartigen Einfluss auf die globalen Märkte haben mit anderen Worten, wenn da irgendwie einer was macht, was was für uns von Nachteil ist, dann können wir das sehen, und natürlich äh wir retten Menschenleben dadurch, dass wir sehen, wie äh Terroristen sich, wie Terroristen finanziert werden, ja. Äh also wir haben wieder jetzt ohne Ende hier, ne, Waffenhändler äh, so damit äh festgenommen, ne, also gibt's wahrscheinlich nennen sie wieder keine Zahl, aber ne, wird wird Terror durch verhindert, dass sie einfach mal den gesamten, Finanzverkehr überwachen. Ja, vielen Dank dafür. Gleichzeitig Ich denke, da braucht man jetzt gar nicht so viel zu sagen so. Wurde lange Zeit vor gewarnt, das war immer irgendwie klar, dass sie diese Daten sicherlich auch missbrauchen würden Wenn er sagt, äh wir können damit sehen, welche wirtschaftspolitischen Entscheidungen in anderen Ländern getroffen werden, die unter Umständen den globalen Markt betreffen könnten, dann, das ja schon sehr klar, dass sie sehr genau darauf schauen. Ähm vielleicht kann man dem gegenübersetzen, es gab ja diesen wunderschönen, kleinen Zwischenfall, dass in Frankfurt. Mal kurz mit einem Hubschrauber über das Generalkonsulat der USA geflogen wurde, um mal zu schauen, mit einer Kamera, was sie denn alles so für Antennen auf ihrem Dach haben.
Tim Pritlove
Da hilft nur doch Hubschraubereinsatz. Hubschraubereinsatz.
Linus Neumann
Ja, äh. So, also.
Tim Pritlove
Ja. Ja, das ist schon ein, das ist schon wirklich.
Linus Neumann
Bundespolizei, die Bundespolizei ist dahin geflogen und hat einfach mal ein äh Fotos von verdächtigen Antennen gemacht. So eine Botschaft hat natürlich viele Antennen auf dem Dach, ne? Und ist ja auch relativ klar, wenn du schon irgendwie ein kleines Stückchen so einen kleinen Landsitz hast, in einem anderen Land, dass du da vielleicht auch mal eine so Amateurfunker mit reinlässt, ne, die mal so ein bisschen Antenne anmachen.
Tim Pritlove
Botschaft hat Antenne auf dem Dach. Und dann sind Antennen kann man überhaupt nix sehen. Da kann man überhaupt nichts dran sehen. Es ist wieder so eine Null-Aktion äh gewesen, wo man sich wirklich fragt, was soll denn das jetzt? Das ist so ein bisschen so die Bundesregierung tut was. Hier wir haben Hubschrauber äh Einsatzgefahren, Wir wissen jetzt Bescheid, wir haben das äh Generalkonsulat gescannt. Hätten sie wahrscheinlich auf Google auch schon nachschlagen können, aber durften sie wahrscheinlich nicht draufgucken, weil das äh bei ihren Behörde irgendwie gesperrt ist, Super, erinnert mich immer an dieses schöne äh äh Titanic-Plakat so aus den äh Achtzigern. Endlich. Bonn rettet den Wald, So ein Schild an so einem Baum rangenagelt, Waldsterben verboten. So ähnlich kommt mir diese ganze Spionagebekämpfung hier äh auch vor. Ja Gesetz und so. Es ist wirklich äh, Unterhaltsam. Aber bleiben wir nochmal kurz bei dieser Swift äh Sache und in dieser Wirtschaftsausspiel. Ähm, Ein bisschen haarig war ja, dass jetzt in dieser Geschichte auch ganz konkret dieser brasilianische Ölkonzern Petro, Bass berücksichtigt wurde da in dieser Spielniererei. Das kommt in Brasilien sicherlich richtig gut an, ja? Das Land ist ja ohnehin schon recht amerikakritisch und beherbigt, beherbergt auch noch den äh Glen green wollt, der ja auch mit einem Brasilianer, verheiratet ist, also äh mir ist so die Situation vor Ort nicht so äh im Detail bekannt, aber ich glaube, so richtig gute Karten haben die da gerade nicht.
Linus Neumann
Ja, also genau, da geht's um geht's um Möbelkonzern. Die USA haben ja überhaupt gar kein Interesse an äh an den weltweiten Ölmarkt oder so. Das ist ja, nein, nein. Das äh interessiert die überhaupt nicht. Das.
Tim Pritlove
Nein. Nein nein. Ist ja gar keine Zukunftstechnologie.
Linus Neumann
Da gucken die nur, wie sich halt die Märkte der globale Markt in Zukunft entwickelt.
Tim Pritlove
Falls mal einer umkippt oder so, so ein Markt, kann ja sein.
Linus Neumann
Ja Größeren Ärger in den USA machen dann solche äh also die Amerikaner ähm regen sich ja immer, Also scheinen sich ja immer nur dann aufzuregen, wenn es um sie selber geht bei dieser Überwachung. Und was stellt sich raus, seit neunzehnhundertsiebenundachtzig? Betreibt ATNT-Vorratsdatenspeicherung? Das noch nicht mal für einen Geheimdienst, sondern für die Drug and Force mit Agency. DeA, das sind die ähm, Das müsste ja klar, äh sein, die ähm ja wie eine gibt's sowas in Deutschland? Nee, also es sind die Drogenfarme, sind die, die sich um Drogen kümmern, also Hank bei Breaking Bad.
Tim Pritlove
Also in so einer solchen Struktur gibt's das in Deutschland äh äh nicht auf keinen Fall. Und die DEA ist ja im Prinzip auch schon so ein bisschen das ähm Kleine Beispiel des Warenterror gewesen, ja, das war dann halt der War und Drugs auch sehr erfolgreich, Ja, also ein durchschlagender Erfolg äh auf äh ganzer Linie, das äh kann man jederzeit, Norden Mexikos gerade äh täglich nachfühlen. Und, auch da ging's natürlich immer um das Ausloten von internationalen Finanzströmen et cetera und das wäre mit wem Spielchen ist da früh gespielt worden, Ja und äh ich weiß nicht, ist das durch irgendwas abgedeckt offiziell diese Speicherung der Verbindungsdaten bei oder ist das jetzt so herausgekommen, dass es einfach trotzdem stattgefunden hat oder ist das wieder irgendein Geheimgesetz, was es erlaubt hat.
Linus Neumann
Ich habe die Frage jetzt nicht verstanden.
Tim Pritlove
Ähm ich habe von der News jetzt nur äh am Rande mitbekommen.
Linus Neumann
Mhm. Kriege ich das nicht so richtig zugeordnet? Also es.
Tim Pritlove
Nicht so richtig zugeordnet. Also, was genau ist jetzt herausgekommen?
Linus Neumann
Also das das Spannende ist oder was was die New York Times irgendwie herausgefunden hat, ist jetzt unklar, ob's, also es scheint nicht unbedingt aus dem Snowdenfundus zu kommen. Ähm.
Tim Pritlove
Graben jetzt auch selber, ne? Also es ist jetzt mehr als nur wir schreiben jetzt mal hier äh die Leaks auf, sondern es äh äh es wird wieder recherchiert.
Linus Neumann
Ja, ist doch schön.
Tim Pritlove
Ja, das ist schön. Ist ein schöner Nebeneffekt.
Linus Neumann
Und da kriegen sie ähm bekommen sie dann zu den Vertrags und äh von den Vertragsdaten der Kunden, so die im Sieben, also die International Mobile Subscriber Identity, die IMEI der Geräte, ähm also Equipment, Identity, die die Leute so nutzen und das Spannende für für die für die bei diesen bei diesen ähm, Programm ist, dass sie äh sehen, wenn Telefone verschwinden, Und plötzlich eine neue Nummer auftaucht, die ein ähnliches Kommunikationsverhalten hat. Oder das zum Beispiel stattfindet bei einer ganzen Gruppe von Telefon. Also sagen wir mal, es gibt, irgendwie, Eine Gruppe von zehn Telefonen, die ganze Zeit untereinander kommunizieren, vom einen auf den anderen Tag sind genau diese zehn Telefone platt, weil die kriminelle Bande sich, regelmäßig, weil sie versucht, schlau zu sein, neue Telefone holt und dann poppen neue Telefone auf, die wiederum das gleiche Kommunikationsmuster zeigen, solche Sachen lassen sich dadurch natürlich feststellen. Also kleine Nutzung von Mobiltelefonen lässt sich wird dadurch werden versuchen sie irgendwie zu verhindern gleichzeitig gucken Sie natürlich, wenn jemand so sein eigenes Privattelefon hat und zwei Telefon, was er irgendwie anonym nutzen möchte, dann kann man natürlich sehen, dass sich dieses zwei Telefon durch das Netz genauso bewegt wie das Erstelefon. Das heißt, da kann man anonyme Nutzung von Telefon dann.
Tim Pritlove
Und nicht zeitgleich und so. Hm.
Linus Neumann
Äh ja und das das geht natürlich alles mit solchen Daten. Ähm und irgendwie ähm Telefone, die sehr, sehr viel ins Ausland telefonieren, interessieren sie natürlich auch, ähm dadurch, dass die USA einfach so groß sind, dass man da selten aus dem Land raus telefoniert oder so. Naja, ich denke, da geht's natürlich dann um Telefone, die plötzlich äh häufig aus Mexiko angerufen werden oder so. Seit neunzehnhundertsiebenundachtzig, wunderbar, Kampf gegen die Drogen.
Tim Pritlove
Ja, aber ich weiß gar nicht, was du hast. Das ist doch gegen Verbrecher.
Linus Neumann
Ja, ich gebe das, Tim, ich gebe das inzwischen nur noch so wieder. Also das.
Tim Pritlove
Ist neutral.
Linus Neumann
Es es ist ja auch immer nur das Gleiche, also was man lernt ja nichts Neues mehr. Man sieht, ah, es fallen irgendwo Daten an. Diejenigen, für die sie interessant sind, nutzen diese Daten. Ja, äh gut, Nee, es ist nicht so what, aber das das Muster ist immer das Gleiche, ja? Es gibt was Neues von.
Tim Pritlove
Oh ja, äh Julia ist jetzt zum äh Präsidenten gewählt worden in Australien. Ah, nicht?
Linus Neumann
Fast hätte es geschafft, so viele Stimmen zu bekommen, dass äh Wahlkampfkostenrückerstattung erhält, aber nur fast.
Tim Pritlove
Das ist auch noch gescheitert.
Linus Neumann
So las ich, also äh wir hatten das, glaube ich, auch gar nicht behandelt. Es gab eine Wiki-League-Partei, die hat dann da irgendwie einen größeren Zirkus veranstaltet und äh wurde jetzt nicht gewählt. So viel dazu. Ansonsten gibt's neue Leaks bei Wiki Leaks, nämlich ein drittes Update der Spikfiles. Ähm ähm wo es also wieder um die Auftragsfirmen der Geheimdienste geht und um Überwachungstechnologien. Das kam kurz nach dem Gamma League, was ich ja irgendwie, auch in der letzten Sendung noch behandelt hatte. Da sind jetzt wieder neue Materialien von allerhand Firmen und deren Equipment zu finden.
Tim Pritlove
Also wer baut was und liefert an wen?
Linus Neumann
An wen die liefern ist da, glaube ich, eher selten. Ähm mit überliefert. Aber man kann sich das ja ungefähr vorstellen, je nachdem was es also für Equipment ist, was da gebaut wird und so. Ich habe aber noch nicht reingeschaut, aber ähm sicherlich äh wie immer bei den Spikes ein interesting read. So, also viel mehr kann ich da jetzt fällt mir jetzt zu Wiki Leaks nicht ein. Nee. Chelsea Manning hat ähm, Gnadengesuch gestellt, wie auch schon angekündigt war, an den US-Präsidenten werden wir jetzt sehen, wie viel Gnade er da jetzt äh walten lassen wird. Der gute Obama.
Tim Pritlove
Ich glaube nicht, dass das äh in irgendeiner Form Früchte äh tragen könnte, also nach dem ganzen Heckmeck, den sie jetzt äh um diese Geschichte gemacht und nach wie vor machen und mit dem sie da versuchen, irgendwie den Snowden da aus dem Planeten herauszukämmen. Also das äh ist alles. Pointles. Da kann man sich noch so sehr reumütig zeigen und der Meinung sein, das wäre ja alles ein totaler Fehler gewesen. Ja. So, Letzter Punkt.
Linus Neumann
Gute Nachrichten. Oh.
Tim Pritlove
Oh, das kommt aber jetzt sehr überraschend.
Linus Neumann
Das Beste zum Schluss, das Beste zum Schluss.
Tim Pritlove
Jetzt heitern wir euch nochmal richtig auf.
Linus Neumann
Gestern wurde im Europaparlament, gegen Netzsperren äh gestimmt. Sie haben gesagt, sie wollen Schwarze und Schwarze listen von Webseiten haben, aber sie wollen keine Zugang sperren, ja
Tim Pritlove
Hä? Doch sie wollen's irgendwo auflisten oder was?
Linus Neumann
Sie haben ihren ihren komischen Text dann am Ende so auseinandergefrickelt, dass sie zwar immer noch äh diese Listen anfertigen wollen, von von illegalen Websites. Äh sie wollen aber trotzdem nicht ähm sie wollen sie nicht sperren.
Tim Pritlove
Aber sie wollen sie veröffentlichen.
Linus Neumann
Ich habe keine Ahnung, was sie mit den Listen wollen. Ich glaube, das wissen die auch selber nicht.
Tim Pritlove
Sie machen jetzt eine Liste von Glücksspielen und sagen, das ist total böse, geht da nicht hin.
Linus Neumann
Ich habe keine Ahnung, was sie machen. Entscheidend ist, dass sie äh dass sie, ja, mit ihrem Bericht über die Online Glückspiele, irgendwelche Netzsperren einführen wollten. Und das ist jetzt tatsächlich nicht so gewesen. Also, achthundertfünfundachtzig Abgeordnete haben für die Streichung der Sperren gestimmt. Und wahrscheinlich haben sie dann nur die Sperren gestrichen und jetzt steht da irgendwie noch so ein verwaister Absatz, dass sie ähm weiße Listen von illegalen Websites haben wollen. Da haben aber vierhundertneunundfünfzig Parlamentarier für gestimmt.
Tim Pritlove
Listen illegaler Webseiten, also sie wollen sozusagen.
Linus Neumann
Andreas falsch äh ja.
Tim Pritlove
Notiert hat, weil so klingt ja so ein bisschen so, als ob man da irgendwo einen äh Internetzugang hat, wo man ausschließlich zu diesen illegalen Glücksspielseiten durchkommt. Das wäre doch mal ein Service.
Linus Neumann
Du, ich habe keine Ahnung. Äh das das Entscheidende ist, sie haben die Netzsperren da rausgehalten und der Rest soll mir egal sein. Ähm.
Tim Pritlove
Ähm.
Linus Neumann
Können Listen machen, wie sie wollen, Haupt. Geben sie ihr dann eh der NSA. Und äh wo wir gerade bei Andre sind, das äh gibt auch nochmal wieder Neues zur Funkzellenabfrage in ähm Deutschland. Das sind jetzt so Breaking News. Ähm. Da hat gab's eine Anfrage in Nordrhein-Westfalen.
Tim Pritlove
Also Andre, Andre, Meister, Netzpolitik, Org und Funzellenabfrage ist ja einer seiner Lieblingsdisziplin. Da hat er sich ja schon.
Linus Neumann
Na das ist sein Thema. Also das hat er ja überhaupt erst auf die auf die Themenliste gesetzt.
Tim Pritlove
Schwer in die Bresche geworfen, ja.
Linus Neumann
Also die Abfrage von Nutzern in äh in Mobilfunk, Netzwerken, wer war wann, wo? Das prominente Beispiel, die Demo in Dresden, Ähm und da gab's jetzt eine eine hatten sie ein paar, Fragen, die sie an viele Landtagsfraktionen geschickt haben und äh die Piratenfraktion in Nordrhein-Westfalen hat jetzt diese Fragen aufgenommen, eine kleine Anfrage draus gemacht und die Antwort bekommen, die jetzt bei Netzpolitik org ähm, veröffentlicht wurde und darin findet sich der schöne Satz für den Zeitraum vom siebten Dezember zweitausendzehn bis zweiundzwanzigsten August zweitausenddreizehn, sind zehntausenddreihundertdreiunddreißig fünfzehn Abfragen bei der Polizei in Nordrhein-Westfalen erfasst. Das sind mehr als zehn Funkzellenabfragen an pro Tag. Nur in Nordrhein-Westfalen. Also, wie gesagt, wir gingen bei der Demo in äh in Dresden bei der Anti-Nazi-Demo in Dresden von einem. Einzelfall aus? Wir gingen weiter zu der Erfahrung, dass es in Berlin eingesetzt wurde, weil als da die Autos immer wieder brannten, um den Brandstifter zu finden. Und wir sind jetzt bei zehntausend Abfragen. Pro Tag in Nordrhein-Westfalen pro Tag. Im Schnitt.
Tim Pritlove
Das ist äh eine Menge.
Linus Neumann
In Berlin waren das ja also da gibt's eine kleine Tabelle von Andre. Nordrhein-Westfalen, wie gesagt, zweitausendelf, dreitausendzweihundertzehn, zweitausendzwölf, viertausendzweihundertzweiundsiebzig, zweitausenddreizehn, zweitausendsiebenhundertzweiundsiebzig, zweiundzwanzig aber das Jahr ist ja auch noch nicht zu Ende Schleswig-Holstein waren das dann immer so eine dreistellige Zahl.
Tim Pritlove
Also jeden Tag zehn, nicht zehntausend.
Linus Neumann
Jeden Tag zehn. Insgesamt zehntausend.
Tim Pritlove
Ja genau, eben haben wir uns so verplappert.
Linus Neumann
Ah, okay. Verzeihung.
Tim Pritlove
Eindruck.
Linus Neumann
Jeden Tag zehn Mal in Nordrhein-Westfalen greift die äh Polizei auf Daten des Mobilfunknetzes zu, um festzustellen, welche Personen sich wann wo aufgehalten.
Tim Pritlove
Findest du das viel?
Linus Neumann
Ja, das finde ich ganz besonders viel, weil das äh weil das skaliert auf ungefähr fünfzig Funkzellenabfragen in Deutschland. Wenn man jetzt mal so nur die Daten aus Berlin Schleswig-Holstein und NRW, die bis jetzt bekannt sind, äh hochrechnet. Und ähm der. Punkt ist, es ist ja eigentlich ähm nur bei schwersten Straftaten, möglich sein soll. Schwerste Straftaten gegen Leib, leben und sexuelle Selbstbestimmung. Sinn, dafür ist dieses, dafür soll diese äh Maßnahme zum Einsatz kommen. Tatsächlich wird's ja aber irgendwie wegen Diebstahl, Bandendiebstahl, Raub und Erpressung äh eingesetzt und das ist dann schon, ne, wenn man sich.
Tim Pritlove
Wäre aber mal interessant, das jetzt mal mit der konkreten äh Verbrechensstatistik zu korrigieren, um mal wirklich herauszufinden, wie viele Fälle denn nun tatsächlich in dieser Kategorie bearbeitet worden sind. Wir machen jetzt quasi eine Aussage über die über die Kriminalitätslage äh die wir jetzt so gar nicht mit Zahlen äh unterfüttern können, ja. Was weiß ich, vielleicht ist ja schon die Zombikalypse ausgebrochen äh im Pott und äh, Leib und Leben ist mehrfach gefährdet jeden Tag.
Linus Neumann
Halte ich für, auch wenn da, das ist der einzige Ort auf der Erde ist, wo mein Leib und Leben jemals in Gefahr waren, äh halte ich das immer noch für äh unwahrscheinlich. Der entscheidende Punkt ist hier, glaube ich, dass, Mobilfunknetze in dem Fall zu einem Überwachungs äh zu einem Teil der Überwachung geworden sind oder zu einem, Das war ja schon bekannt, aber zu welchem Ausmaß davon auch äh Gebrauch gemacht wird. Das ist, glaube ich, ähm da sind diese Zahlen ja dann doch sehr, Augen öffnet. Wie gesagt, wir als der ganze Kram überhaupt erstmal an. Herauskam, dass die Bevölkerung überhaupt davon wusste, dass so etwas gemacht wird. Da redeten wir von einem Tag, einer Demonstration, die Grundrechte der Menschen da ganz offensichtlich verletzt wurden. Und wir reden jetzt plötzlich von ja einer Hochrechnung von vielleicht um die fünfzig, die das an einem Tag geschieht.
Tim Pritlove
Bezieht sich denn die Zahl auf Personen oder bezieht sich das auf Vorgänge? Also.
Linus Neumann
Das ist dann ein Vorgang pro Funktion.
Tim Pritlove
Pro Funkzelle, wer da alles war. Okay. Nicht wie viele Leute da jetzt betroffen waren. War halt, wer auch immer da gerade bei ihm war.
Linus Neumann
Wie viele Anfragen? Wobei jetzt ich mir nicht hundertprozentig darüber klar bin, ob ähm, eine Abfrage quasi mehrere Funktionen beinhalten kann oder ob das äh mehrere ob man pro Funkzelle eine Abfrage stellen muss, Ja aber es das Entscheidende ist und das steht dir ja auch als Fazit so, äh dieses ähm dieses Ermittlungsinstrument ist alltäglich.
Tim Pritlove
Ja, das kann man, glaube ich, äh festhalten.
Linus Neumann
Und der der Grundrechtseingriff und der Datenschutzeingriff, der damit dabei stattfindet, ist nicht unerheblich.
Tim Pritlove
Linus, nun mal ans Ende gekommen, diese Ausgabe sind wir. Wir müssen uns erstmal wieder ein bisschen eintun, ne?
Linus Neumann
Ja, ich muss auch sagen, das war jetzt auch wieder so viel schöne Nachrichten, dass ich jetzt heute nicht so viel äh äh so viel Lust hatte, auf diesen Podcast.
Tim Pritlove
Ja, kann ich verstehen. Ich hoffe, ich hab's rausgerissen. Ja. Denk einfach an die ganzen Hörer da draußen.
Linus Neumann
Freude bereiten. Hallo.
Tim Pritlove
Wird einem doch warm ums Herz. Ja äh vielen Dank fürs Zuhören hier. Äh obwohl wir eigentlich der schlechte Nachrichten äh Podcast sind, aber es wird zugehört und das finden wir toll. Linus.
Linus Neumann
Vielen Dank fürs Hören, vielen Dank fürs Vettern.
Tim Pritlove
Genau. Und äh wir sagen tschüss, bis bald. Tschüss, bis bald.
Linus Neumann
Tschüss, bis bald.

Shownotes

Freiheit statt Angst

Cryptocalypse!

Smartphones

Swift-Daten

Vorratsdatenspeicherung für die DEA

Neues von WikiLeaks

Keine Glücksspiel-Netzsperren

Funkzellenabfragen

23 Gedanken zu „LNP078 Bugdoor

  1. Ich habe den Podcast am Arbeitsweg gehört. Jetzt wollte ich mir den Link heraussuchen um Webseiten auf SSL-Schwächen zu testen. Leider wurde dieser Link hier dann doch nicht aufgeführt.
    Wäre super, wenn man diesen nachliefern könnte

  2. Als Antwort auf euren Schluss: natürlich vielen Dank für’s Senden! LNP ist weiterhin einer der wenigen Podcasts, die ich sofort nach Erscheinen hören, allein schon um bei der andauernden ‚Schlechtwetterfront‘ was Nachrichten angeht ein klein wenig mehr Durchblick verzeichnen zu können.

  3. Also dass man die Fingerabdrücke die man überall auf der Oberfläche eines Iphones hinterlässt, verwenden kann um sich damit Zugang zu verschaffen ist nicht möglich, da der Sensor die Geometrie der subkutanen Blutgefäße erfasst und nicht wirklich den Fingerabdruck. Ob man das Ganze nun aber braucht sei dennoch mal dahin gestellt.

    Auf jeden Fall vielen Dank für die vielen schlechten Nachrichten. LNP ist für mich eine unersetzliche Institution geworden um mich, auch wenn ich mal nicht so viel Zeit habe, auf dem Laufenden zu halten. Danke dass Ihr das durchzieht auch wenn Ihr mal eigentlich keine Lust habt. ;)

    • Authentec, die Biometrie-Bude, die Apple sich dafür gekauft hat, ist auf jeden Fall eine der, wenn nicht die fortgeschrittenste Firma in dem Bereich.
      Die generellen Problem biometrischee Merkmalen aber bleiben erhalten:

      1. Man kann sie nicht loswerden oder wechseln.
      Du hast nur 2 Daumen, 2 Retinae, ein Genom usw.
      Ich habe zum Beispiel bei meiner USA-Reise alle 4 Finger und den Daumen „verbrannt“ und kann sie jetzt schon nirgendwo mehr einsetzen.

      Daher gilt das zweite Problem:

      2. Der Scanner muss vor allem die Echtheit des Fingers prüfen
      Denn: Jedes Gerät bzw. jede Institution, bei der ich meinen Finger je aufgelegt habe, ist potenziell auch in der Lage, eine funktionale Kopie zu erstellen und somit bei anderen damit durchzukommen.

      Wer Finger fälscht, hat dann so Herausforderungen wie Hautwiderstandsmessungen zu meistern, die aber im Sinne der Nutzerfreundlichkeit immer noch ausreichende Toleranz haben.

      Kollegen von mir haben zum Beispiel bei der OHM Workshops im Fingerprint-Spoofing gemacht. Zweifelsohne freuen die sich bestimmt auf das neue iPhone und eine neue Herausforderung ;-)

      Linus

      • die diskussion über sinn und unsinn des neuen iphone-sensors ist spannend. aber ich wundere mich, dass der securityfachmann mit veralteten fälschungstechniken argumentiert. diese ganze graphit-latex-kleber-nummer entspricht schon länger nicht mehr dem stand der dinge. denn das merkmal „lebendig“ lässt sich auf mehreren ebenen überpüfen (temperatur, feuchtgkeit, widerstand, o2-sättigung, verlagerung der scanebene auf tiefere hautschichten und die kombination von allem). darüber hinaus ist zu unterscheiden zwischen reinen verschlüsselungstechniken, für die ein fingerabdruck sicherlich nicht optimal ist, weil jeder polizist mit etwas nachdruck den finger auf den sensor führen kann, und identifizierung. bei letzterem kann gerade bei im alltag zigmal auftretenden situationen der fingerabdruck sehr wohl eine interessanter ansatz sein. was übrigens auch in dem von dir zitierten workshop so gesehen wurde: „Andererseits gestand Dexter auch ein, dass es Graubereiche gibt, in denen die Verschlüsselung mittels Fingerabdruck durchaus Sinn ergibt, beispielsweise bei Smartphones.“
        wir sind alle keine propheten und sollten abwarten, was apple wirklich gebastelt hat.

        • Ben und Dexter sind meine Arbeitskollegen und bisher haben sie jeden Sensor ausgetrickst.

          Selbst wenn mal als Graubereich annimmt, dass das iPhone den Print nur als Hash speichert, und auch nur im TPM und nicht an Apple sendet und das das auch alles sicher ist, so kann ich diese Annahme nicht bei meiner US-Einreise machen:

          Es ist ein Unterschied, ob man sein eigenes Gerät damit sichert, oder ob man sich gegenüber Geräten dritter damit identifiziert. Das meint Dexter.

          Denn: Jedes Gerät, das einem nicht gehört, oder das man nicht selbst vollständig kontrolliert, kann ebenso gut einfach nur in Messgerät für all die Faktoren sein, die ein anderer Sensor prüft.

          Beim iPhone liegt der Graubereich aber dann wohl darin, dass unklar ist, ob man dieses closed-Source-DRM-Ungetüm noch als „mein Gerät“ bezeichnen kann ;-)

          Ob wir irgendwann gejailbreakte iPhones als Fingerabdruck-Kopiermaschinen sehen werden, wird sich zeigen, aber das Kernproblem bleibt:

          Du hast nur 2 Daumen, 2 Retinae, ein Genom usw.

          …und du trägst sie mehr oder weniger offen mit dir herum und hinterlässt sie quasi überall.

          Die Darmflora soll übrigens auch bei jedem Menschen individuell und einzigartig sein.

          • PS: Allerdings gebe ich zu, dass es für all jene Leute, die ihr Phone bisher noch nicht einmal mit einem 4stelligen Code sichern, ein großer Zuwachs an Sicherheit ist. Aber als

            der securityfachmann

            ist das nicht mein Vergleichswert.

                • Ach komm, das ist so vorhersehbar, wie lächerlich.

                  Nochmal: Ich hinterlasse meinen Fingerabdruck auf dem Gerät, ich verliere es auf einer öffentlichen Toilette oder sonstwo, eine unbekannte unerhliche Finderin macht es auf.

                  Dann soll ich mich hinstellen und sagen „HAHA, nicht gehackt, sondern nur umgangen!“

                  Ich bitte dich.

                  Den wichtigsten Punkt macht Frank: Zum Erkennen (also Überwachen) gut, zum Authentifizieren nicht. Punkt.

                  • Aber darum ging es doch auch nie.
                    Den vierstelligen Pin umgeht man noch einfacher, das kann jeder. Schlicht durch
                    Probieren.
                    Hier wird doch aber die Hürde höher gelegt bis jemand das Telefon entsperren kann. Schließlich hat nicht jeder das KnowHow und die technischen Möglichkeiten eine Kopie deines Fingerabdrucks herzustellen.

                    Und wenn man jetzt TouchID mit einem längeren Passwort kombiniert, dann bleibt für den User weiterhin der Komfort erhalten, aber trotzdem steigt Sicherheit in der breiten Masse.

                    Du predigst doch immer das es keine totale Sicherheit gibt, dann mach das bitte auch jetzt und erkläre den Leuten warum und kläre sie sinnvoll über die Möglichkeiten auf.

                    Nebenbei sollte die eigentlich relevante Frage sein ob man aus dem Chip den Fingerabdruck extrahieren kann.

                    • Den vierstelligen Pin umgeht man noch einfacher, das kann jeder. Schlicht durch
                      Probieren.

                      Die Wahrscheinlichkeit, damit Erfolg zu haben, liegt bei p=0.001 bei 10 Versuchen, denn danach wiped sich das iPhone.

                      die eigentlich relevante Frage sein ob man aus dem Chip den Fingerabdruck extrahieren kann.

                      Das ist auch eine interessant Frage, um die sich Menschen kümmern werden. Wird aber teuer, weil dafür das TPM reversed bzw gesliced werden muss, oder ein Fehler in der Kommunikation exploitet werden muss.

                      Wieso aber sollte jemand den Aufwand betreiben, wenn der Fingerabdruck auf dem Gerät klebt?

                      Das ist allenfalls für remote-Angriffe interessant und dafür bräuchte man erstmal einen Exploit für iOS 7.

  4. zu Handybetriebssystem:
    Ich rette mich ja immer noch in die romantisch verklärte Vorstellung, dass ich mit meinem antiquierten Windows Mobile nichts zu befürchten hab im Hinblick auf spy und malware ;-)

  5. Nee, ich hab da nichts durcheinander gehauen. Im Bericht vom Parlament steht tatsächlich „die Erstellung weißer und schwarzer Listen von illegalen Websites“. Dass das keinen Sinn ergibt haben EDRi und wir selbst geschrieben und natürlich auch den Abgeordneten gesagt – aber die haben anscheinend das Problem nicht erkennen wollen.

  6. Ja, eine Funkzellenabfrage ist ein Vorgang, der fast immer mehrere Funkzellen betrifft. Meistens mindestens vier, eine pro Netz. Leider gibt es keine Zahlen, wie viele Funkzellen durchschnittlich betroffen sind, ich schätze mal zwischen fünf und weit mehr als 20. Zu den anderen Zahlen gab es was aus Schleswig-Holstein:

    Die kürzeste Funkzellenabfrage dauerte drei Minuten, die längste mehr als einen Monat. Die Bandbreite der übermittelten Verkehrsdatensätze liegt zwischen einem und 2.397.982 […]. Die Anzahl der betroffenen Mobilfunkanschlüsse lag zwischen einem und 303.092.

  7. Die Kletterhalle setzt mit ihrer Architektur
    und ihrer überdurchschnittlichen Ausstattung
    neue Maßstäbe im Freizeitbereich „Klettern“ und gehört
    somit wohl zweifellos zu den schönsten Kletterhallen in Deutschland.

    Ich biete an: * Kindergeburtstage von 5- 9 Jahren * Eventgeburtstage ab 10 Jahren für Teenager+ Jugendliche
    * Geburtstage für Erwachsene * außerschulischen Kunstunterricht * (Schul-)Klassen Exkursionen * Workshops zum kreativen Gestalten und Entspannen
    * Betriebsausflüge * Weihnachtsfeiern Außerdem biete ich an: *Selbstgestaltete Geschenke, z.B.
    ein erwachsener Betreuer, täglich buchbar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.