Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de
NSA-Datenaustausch und -Datenschützer — Backdoors in Open-Source-Software — Spionage und der “private Sektor”
Nicht einer nicht ganz so Neuigkeiten-verseuchten Woche schalten wir mehr in einen Hintergrundmodus und diskutieren die internationale Zusammenarbeit der Geheimdienste ein paar generelle Entwicklungen im Bereich der "Cybersecurity" und dem damit verbundenen Verflechtung von Unternehmen und Regierungen.
https://logbuch-netzpolitik.de/lnp079-lass-uns-nochmal-ueber-den-preis-reden
Veröffentlicht am: 20. September 2013
Dauer: 1:07:12
Weil das ist jetzt nicht die skurrilste Nachricht, die man so vom sozialen Netzwerk bekommt. Weißt du, was ich an diesen äh Twitter-E-Mails da so gut fand? Ähm die haben das ungeachtet der Einstellung, ob man noch Notifications haben will, an wirklich jeden einzelnen Twitter-Account geschickt den ich habe. Und es war sehr interessant, weil ich erst dachte Probleme, vierzig E-Mails und dann ja, das war ganz gut. Jetzt habe ich.
Ja Also vielen Dank, jetzt haben wir endlich mal Klarheit, ein bisschen Überblick. Bei mir sind's nicht ganz so viele, aber es kamen auch schon so einiges zusammen, so. Das ist ja schön. Also wenn unsere Stimme zählt, dann äh wollen wir sie auch mal wieder äh erheben hier in der, Na? Was haben wir denn jetzt? Neunundsiebzigsten Ausgabe von Logbuch äh Netzpolitik und wir begrüßen natürlich alle äh da draußen an ihren Hörgeräten, die sicherlich schon danach dürsten, welche ähm, Welche abgesackt aufs Abendland jetzt schon wieder auf.
Ist auch wieder eine sehr schöne Moment, wo ich mir immer wieder denke, so ähm also jeder überlegt jetzt, was wähle ich, viele es mag so Leute geben, sagen, ja hier, meine Partei und so weiter, habe ich schon mal gewählt oder ich bin total davon überzeugt, wenn ich an die Macht komme, dann wird alles anders und so. Ne, aber den meisten Leuten geht's ja anders. Und im Prinzip, Hast du einerseits das Problem, alles verteilt sich auf mehrere Parteien, andererseits, Möchtest du dann irgendwie auch, dass deine Stimme auch wirklich zählt? Ja, und da gibt's ja dieses Problem mit stimmig für was, was nicht äh den Anschein erweckt, äh Erfolg zu haben, ja, so.
Ne, also es ist unter anderem das Problem der Piraten, ja. So, sodass mir dann irgendwie sage, okay, man kann eh davon ausgehen, dass sehr viele Stimmen eigentlich überhaupt gar nicht, dass Aussagen, was eigentlich der Wunsch ist und das äh ist natürlich so ein generelles Problem. Also ich bin schwer für eine Änderung des Wahlprozederes, wo man einfach beliebig vielen äh Parteien, ihre äh seine Stimme geben kann, seine ihre Stimme geben kann.
Genau, ja klar, weil ich meine, das ist ja das, was du sagen willst. Du sagst ja so, ich könnte leben mit was weiß ich, ja, also ähm Ich nehme alle außer FDP oder wenn irgendwie die Linken nicht dabei sind, dann passt das schon. Oder also von welchem Spektrum da auch immer kommst, aber was viel inklusiver ist und viel, Äh äh viel mehr sagt, was du eigentlich willst, wovon du dich wirklich vertreten äh findest. Und äh ich glaube, dass die Wahlergebnisse dann am Ende auch, Einfach viel konsensualer werden, Also, dass sie sehr viel mehr das ausdrücken, was auch wirklich gemeint wird und man dann eben auch nicht so bekloppte Wahlkämpfe führen muss, wie jetzt.
Ja und dadurch, dass alle strategisch wählen, weiß man dann eigentlich auch schon wieder nix. Ist schon ganz schön bekloppt, das jetzt so schnell nicht äh geändert, aber wir wollten mal hier unser äh Mist äh behagen zum Ausdruck bringen. Das haben wir jetzt gemacht. Was können wir denn sonst noch so zum äh Ausdruck bringen?
Es geht ja noch weiter. Also Datensätze war jetzt nicht genauer gesagt, dass das eine Person betrifft. Ich würde aber mal davon ausgehen, dass Personen die Einheit ist, bei auf die sich bei Geheimdiensten, Datensätze beziehen. Ja? Also das wäre jetzt nicht äh das wäre schon sinnvoll, wenn das der Unique Key für einen Datensatz ist in der in bei einem Geheimnis. Ähm außerdem, man darf jetzt ein, das finde ich ja viel, viel schöner. Ähm, regelmäßig treffen die sich für bewertete Sachverhaltsdarstellungen und es finden hier in Berlin Treptom ja? Kennst du das Gemeinsame Terrorismusabwehrzentrum in Berlin Treptow?
Bisher hat bisher war der Aufreger ausreichend dafür, dass ähm, Ähm bisher war die Aufregung dafür ja schon ausreichend genug, dass wir die verschiedenen Behörden, Sicherheitsbehörden der Länder und des Bundes dort ähm, absoluter Ignoranz unseres Trennungsgebotes, der Geheimdienste und der Polizeibehörden äh gemeinsam wirken lassen, das war ja schon, kritisch genug an diesem gesamten gemeinsamen Terrorismusabwehrzentrum. Weil wir ja äh wir erinnern uns, äh die Überlegung immer ist, dass man die Geheimdienste und die Polizei aus verschiedenen gründen, voneinander trennt, da ja die Polizei die die ähm den Arm der Strafverfolgung hat, und für den Arm der Strafverfolgung ja gewisse Rechte zum Schutze der Beschuldigten gelten ähm an die sich ein Geheimdienst nicht ähm hält, und nicht zu halten braucht, dafür jedoch nicht die ähm. Nicht die äh wie nennt man das? Nicht das Recht zur Strafverfolgung hat, ja? Ähm hat was damit zu tun, dass man sicherstellen möchte, dass Menschen einen fairen Prozess bekommen. Und ähm, Die Sorge ist ja, wenn die Kooperation zwischen Geheimdiensten und Strafverfolgungsbehörden zu groß wird, dass dann genau das passiert, was man jetzt aus den USA, immer wieder hört, dass quasi die Geheimdienste einen Hinweis über eine Straftat bekommen, welche erfolgt ist, und dann der Polizei sagen, wie sie quasi diese Information reinwaschen kann, indem sie eine Beweiskette oder eine Indizienkette aufbaut, die sie dorthin führt, ja? Und äh.
War das zu kompliziert? Also Polizei ähm kann zum Beispiel nicht einfach alle Leute abhören, Ja, die äh brauchen richterliche Beschlüsse, um jetzt zum Beispiel mein Telefon abzuhören. Welche während das der Geheimdienst des Bundesamts für Verfassungsschutz einfach machen kann, gehen wir jetzt mal, also zumindest rechtlich, jetzt technisches mal so. Das heißt, wenn die Polizei, nicht abhören möchte, muss sie immerhin einen Richter äh die zwei Minuten abbringen, eben den äh, den Wisch zu unterschreiben. Ja, das ist die Hürde, die der Polizei steht. Die hat der Geheimdienst nicht. Die können einfach überall mal reinhören und wenn ich dann am Telefon irgendwie äh ex zwei Kilo Ecstasy verkaufe, dann ähm, dürfen die aber nicht zur Polizei gehen und sagen, ey, guck mal beim Neumann, äh der hat zwei Kilo Ecstasy im Keller. Werden morgen abgeholt, der will die verkaufen, ja? Und ähm, Spannend wäre es aber doch jetzt, wenn die alle zusammen in einer Cafeteria säßen, Und der zufällig einfach mal wäre so, hör mal, wenn ihr morgen den Neumann zufällig in der Verkehrskontrolle mal in den Kofferraum guckt, Dann könntet ihr feststellen, dass der zwei Kilo Ecstasy im Kofferraum hat. Ja und genau das soll halt verhindert werden. Jetzt, dass ich halt weiter schön Ecstasy verkaufen kann. Soll nicht verhindert werden, So, äh jetzt, okay, ich glaube, das Ding ist jetzt geklärt. So und jetzt haben sie da ähm.
Das machen wir gleich. So ähm jetzt haben wir also den, haben wir den äh haben wir dieses Trennungsgebot, für das es gute Gründe gibt, diese Gründe lassen sich natürlich auch zurückverfolgen in ähm ne, haben immer auch historische Gründe, auch in gerade in, Deutschland dann auch historische Gründe und so weiter und so fort. Und jetzt haben wir aber schon seit längerer Zeit dieses äh und das finde ich sehr schön, das wird GTAZ abgekürzt auf der Wikipedia. Was mich so ein bisschen an Grofats erinnert. Geht. Geht taz. Gemeinsames Terror abwehrzentrum. Terrorismus, Abwehrzentrum. Ähm und da wollte ich jetzt nochmal sehen, wer ist denn da alles drin? Meine neuen Arbeitsgruppen ja und. Ja, okay, also ich ich krieg's jetzt hier gerade nicht einfach mal eine schnelle Liste, wo einfach drin steht, wer da alles ist, aber äh auf jeden Fall äh polizeiliche Behörden und ähm, Nachrichtendienste sind ab. Wir haben sicherlich gleich jemand im Kommentar, der das nochmal genau aufschlüsselt. Und dort treffen sie sich wöchentlich mit äh mit der NSA, und machen, unterhalten sich so zur allgemeinen Lage und, die Gegenleistung der NSA an den Verfassungsschutz für diese äh achthundertvierundsechzig Datensätze sind dann solche Werkzeuge zur Analyse des Routings, die Dekodierung verschleierter Übertragungen.
Gib mir mal ein, wenn ihr solange wir wissen, dass ihr die Informationen damit holt, die wir auch gerne haben wollen, zeigen wir euch gerne mal, äh wie so die Abhör, das sind natürlich jetzt genau die Verstrickungen, die man seit Anfang an vermutet bei dem Verhalten der Bundesregierung, in dieser Affäre.
Dieses Geflecht ist äh es ist schon sehr interessant, wie diese Geheimnisse, natürlich auch irgendwie untereinander versuchen zu kooperieren, gleichzeitig das Aber in diese Kooperation irgendwie für sie zu einem Gewinn führt netto und ähm das ist schon sehr ähm, sehr durchwachsene alles, wie die so miteinander umgehen.
Ja, also ich meine, das ist ja auch, sagen wir mal, das, was sich jetzt hier abzeichnet, was schon lange, äh, von führenden Verschwörungs äh, äh, Freunden an die Wand gemalt wurde, ja, generelle Unterstellung eines, intern, also ich formuliere das jetzt bewusst zurückhaltend. Ähm. Weißt du, man kennt sich, ja, also sozusagen so diese Geheimdienstapparate, die alle mehr oder weniger äh so eine Isolationsschicht haben gegenüber äh dem Verantwortlichen Teil äh der Politik äh treiben da halt so Dinge und im äh und und und weil halt der äh Zweck dann doch äh die Mittel häufiger heiligt, ähm baut sich da einfach so ein Vertrauensgeflecht aus, was einfach jeglich, fern jeglicher äh öffentlicher Kontrolle ist, ne. Und ähm das, Das ist einfach ein Problem. Man hat das schon bei Five Eis gesehen. Man, dass Israel da jetzt in gewisser Hinsicht auch äh äh mitspielt, ist keine, Basti ist jetzt kein Schocker, oder? Also, ich meine, es ist irgendwie echt äh super naheliegend und klar, das würde sagen, das war schon immer klar, Maß der Integration, dieser Geheimdienste, das mag jetzt vielleicht noch äh von Interesse sein, aber das dient sich da halt absprechen, das ist vollkommen klar, Aber es war's natürlich recht, ne? Es ist so dieses, man will auch nicht zu viel geben, weil man will ja auch immer noch seine Vorteile haben. Man will auch immer noch ne, was in der Hinterhand haben, um äh im Zeitsfall auch Druck äh ausüben zu können. Von daher ist das schon, Ein interessantes politisches Spiel.
Ja, was fernab jeder, ernst zu nehmenden Legitimierung da stattfindet, ne? Also diese bei bei wenn man sich überlegt, welche technische Macht, ähm und welche Freiheit, der Ausübung die Geheimdienste in den letzten Jahren genossen haben, dann, werden halt bestimmte, Theorien über deren Einflussnahme auch in den ähm in den politischen Bereich, also darüber hinaus ein Dienstleister der Regierung zu sein, auch immer ähm, Wahrscheinlicher.
Ja, nicht wahrscheinlich nicht nur ein ein ein Dienstleister der Regierung, sondern äh ihre wesentliche Dienstleistung steht da drin, sich auch gut auszusuchen, wer denn nun in dieser Regierung kommt oder nicht, Also, wir werden sicherlich auch noch ein paar andere Länder äh sehen in der nächsten Zeit, die da auch nochmal, ich meine, wir haben viel über England und Deutschland gesprochen, weil Deutschland unser Fokus ist, aber im Prinzip äh ja, was ist mit Spanien, was ist mit äh vielleicht sogar mit Frankreich? Ja, wo man sich das noch am wenigsten vorstellen kann irgendwie, aber dann letztlich kann man sich sowieso mittlerweile alles vorstellen. All diese Länder äh sind genauso interessant oder uninteressant wie Deutschland auch. In gewisser Hinsicht ist Deutschland ja eigentlich noch das Uninteressanteste.
Genau, Etha äh aber auch was, sagen wir mal, jetzt die internationalen Aspekte betrifft. So Frankreich hat natürlich einfach eine ganz andere Verknüpfung mit der arabischen Welt, allein durch ihre äh Kolonisations äh äh Zeit und und und ihre Präsenz in nordafrikanischen und so weiter. Man merkt das jetzt auch bei Syrien. Also sie sind einfach bei bestimmten Bereichen der Welt ganz anders involviert, ne. Na gut.
Ja, wie gesagt, ich ich denke, dass das wird jetzt so, also meine Prognose ist, das wird jetzt also gut, hm, die die Gefahr sehe ich ja seit längerem, bis jetzt ist sie noch nicht so wirklich eingetreten, aber da werden jetzt noch so viele große und kleine und sonstige, Skandale und die Informationen und Details über Zusammenarbeiten und Verstrickungen von Geheimdiensten ans Licht kommen, dass man da sehr, also.
Aber, aber, aber. Es wird äh es wird äh Besserungen geben, denn, die NS die NSA hat eine Stelle ausgeschrieben und zwar suchen die einen, Datenschützer, die wollen Datenschutzbeauftragten jetzt haben. Hundertachtzig Tausend Dollar Jahresgehalt, muss ja dann noch versteuert werden, aber ist, glaube ich, nascht auch nachsteuern noch ganz okay.
Äh für einen Job, wo man am Ende natürlich wenig zu tun hat, ne. Also es wurde gesagt, ja, also ganz klar, ne, der Job ist nach nach vorne gerichtet, das heißt ähm zum Job gehört dann jetzt nicht, äh sich den ganzen, Ärger abzuarbeiten, den man denen sich die NSA bis jetzt eingehandelt hat, aber ähm, den Zukünftigen. Ähm währenddessen ähm sagt dann der ähm Ex-NSA-Schiff, XNSA-Chef äh Terroristen lieben Gmail, G-Mail ausgerechnet G-Mail nutzen die nutzen also die Terroristen. Insofern um mal da warum er das auch immer gesagt hat. Also die drehen da jetzt grade so ein bisschen ähm frei. Und ähm, schreiben ja dann auch so irgendwie da gab's ja dann dieses Brief irgendwie an die eigenen Mitarbeiter ähm haltet irgendwie, durch in Zeiten der Krise, bald werden die Menschen wieder verstehen, dass wir ein Geschenk für die Freiheit sind in der in den USA ist diese diese Angelegenheit offensichtlich noch nicht ganz äh, Abgeschlossen wie es in Deutschland ja schon ist, ne? Glücklich zur Bundestagswahl allen abgeschlossen das Thema.
Das ist das ist das, das ist der größte Aufreger in den USA, waren ja die Verbindungsdaten mit den der Telefone und der Fisk urteilte, ja, Verbindungsdaten, sind ja nicht äh Teil der Privatsphäre, weil man sich ja wohl denken kann, dass die Telefonprovider die speichern und dass die Geheimdienste dann darauf zugreifen. Deshalb braucht es auch keinen kein Richterbeschluss, um darauf zuzugreifen.
Man kann, Könnten wissen, dass ihre Verbindungsdaten einfach in den Providern gespeichert werden, können deshalb auch nicht erwarten, dass die Regierung darauf keinen Zugriff bekommen würde. Und jetzt, ich finde das ja mal echt, Cool, weil das heißt, genau das, was immer gesagt wird, baut gar nicht erst die Datenberge, wenn sie da sind, werden sie missbraucht, wenn völlig egal, bei wem du dein Datenberg hinlegst, und ähm das bestätigt dieser dieses Urteil. Außerdem haben sie gesagt, naja, Außerdem hätten sich die Provider ja wehren können, die hätten ja widersprechen können, Es gibt zwar kein Verfahren dazu und in den Briefen, die sie denen schicken, steht auch nur drin, halt die Fresse gibt die Daten und wenn du irgendwas machst, dann äh kommst du für immer ins Gefängnis. Aber ähm der Fisk, Ist sich nicht zu schade zu sagen, naja, ihr hättet ja widersprechen können, Stimmt, hätten sie, hätten sie machen können. Gibt's ja auch, wir haben ja jetzt die Beispiele von Leuten, die das gemacht haben, ne, hier Lavabit, und so.
Genau und dazu dem diesen vier Punkte Plan zuzurechnen, ist jetzt auch, dass man sagt, hey, wir machen jetzt ein Datenschützer, die NSA bekommt einen Datenschützer. Das wird bestimmt auch schön. Bin ich mir, bin ich sehr gespannt. Ähm wie der, also auf was für einer ja, in welcher Rolle der da stehen wird. Wobei weißt du.
Genau, der der jetzt, Ein Datenschutzbeauftragten bekommen soll. Das heißt, diese Stelle gab's noch nicht mal. Das war in deren gesamten Organisationsstruktur nicht vorgesehen, da auch nur ein Handpuppenkorrektiv, für Demokratie und Freiheit zu haben, ja? Da spricht schon Bände, das also das ist ich kann's gar nicht.
Ist bestimmt äh geiler Job, ja, ist so ein bisschen bisschen so wie Militärpastor irgendwie, wenn du da so, Afghanistan stationiert bist und dann so Leute, wir können uns aber doch alle lieb haben, also ja, ja, ist okay, aber wir müssen jetzt raus zum Einsatz, Wir kommen dann nachher zum Messer, irgendwie legst schon mal die Oblaten raus. Wir fressen dann irgendwie äh nach den Hamburgern fressen wir noch ein bisschen Leib, Christian, dass alles wieder gut. Naja.
Dann geht's ähm, Ich hatte es ja in der letzten Sendung schon so ein bisschen angesprochen, dass jetzt natürlich ganz viele, Implementierung, äh von Sicherheitssoftware ähm abgeklopft werden auf äh auf Schwächen, die man sich da vielleicht geleistet hat bei der Implementierung. Und ähm, dass der ganze Kram jetzt natürlich nochmal reviewt wird und so. Und da gab's jetzt zwei äh ganz interessante. Meldung, einmal Open BSD, da wendete sich also ein ehemaliger, zu der zum Open zu Open BSD an den ich glaube momentanen Menthen, Ähm und sagt, übrigens mein NBA mit dem FBI Essenz ausgelaufen, und ich wollte dir nur sagen, dass ähm das FBI eine Reihe an Backdoors und Side-Channel-Key Leaking Macanizons, Das also, das ist das, was ich letzte Mal schon sagte. Das ist vielleicht, dass der eigentliche Key über einen, Quasi einen sogenannten Seitenkanal, über quasi minimale Veränderungen an einer anderen Stelle oder im dann sich über Zeit äh wieder errechnen lässt, äh eingebaut wurde in den äh entscheidende Teile von Open Bearsy, behauptet er jetzt. Und sagt, die Firma, für die er da gearbeitet hat und ähm, Seine Aufgabe war, in zum Beispiel den IP-Sec äh Stick von Open BSD ähm einzubauen.
Und er behauptet weiterhin, dass das äh für Open, BSD vermutlich deshalb, eingestellt wurde, weil sie, weil da paar davon Wind bekommen hatte, dass das FBI Open BST spezifisch schwächen lässt. Open BSD ist, das ähm das äh das Derivat, was als äh so das absolut äh sicherste gilt. Ultra Secure, Free Functional and Secure, only tool remote in the die Fall in staled in the hack of the long time. Also sie, das ist so das, was als das sichere Unix gilt.
Ja, ist ja interessant. Also bin mal gespannt. Ich meine, das ist ja immer so eine so eine so eine generelle These bei Open Source, so Jahr, tausende von Augen schauen sich irgendwie alles an, ja, das ist natürlich eine schöne Theorie, Realität nicht so, weil das meiste wird dann doch im Wesentlichen nur von sehr wenigen wirklich überhaupt angeschaut und dann äh meistens auch auf ganz andere Aspekte hin Security an sich betrifft, klar, da wird natürlich dann auch durch ähm Für Security-Firmen natürlich sowas auch immer wieder äh getestet, vielleicht auch teilweise das Horsecode äh durchgelesen, um einfach äh generelle Schwachstellen zu entdecken. Und da wird ja auch eine ganze Menge gefunden und das ist ja auch Teil des normalen äh Prozesses. Aber äh es ist schon was ganz anderes, wenn man eben solche. Also Kleinigkeiten äh platziert, die jetzt so offensichtlich erstmal überhaupt nicht unbedingt nach Fehler aussehen sondern die einfach konzeptioneller Art sind, ja? Also die im Algorithmus angesiedelt sind et cetera was erstmal auf den ersten Blick versucht das richtige zu tun aber dann eben wenn man genauer versteht warum das so gemacht wurde eben Hintertüren eröffnet. Und das ist natürlich sehr schwierig zu finden. In gewisser Hinsicht find ich's jetzt mal ganz schön, dass äh durch diesen öffentlichen Druck, es jetzt in zunehmenden Maße solche Aktivitäten in der Open Source besonders in der Betriebssystemszene gibt, sich sowas mal genauer anzuschauen. Also ich denke, Betriebssysteme sind jetzt gerade deshalb so wichtig, weil die ja dann meistens es ist, überall zum Einsatz kommen, ja, also auf wie vielen Rechnern auf diesem Planeten läuft LiNux mit, halbwegs äh kritischen Anwendungen, ja, das ist eine nicht ohne Weiteres zu beziffernde äh Größe und ähm, Ja, dementsprechend, das gilt natürlich auch für Open-BSD. Das ist zwar jetzt nicht so verbreitet, aber eben wie du schon gesagt hast, äh war schon immer äh für die ähm, besonders für die Aluhüte eine besonders interessante Option so. Naja und jetzt ist zumindest klar, dass hier explizit. Mindestens vor zehn Jahren einmal äh dort eben auch wirklich versucht wurde durch Geldzahlung und Einflussnahme auf einzelne Personen, Solche äh Dinge dann auch zu verändern.
Nee, nee, das, der, das ist alt, also das ist nur, dass jetzt genau da werden diese Themen die jetzt wieder aufgegriffen, ne? Also da da gucken natürlich jetzt wieder welche drauf. Und dann denkt man sich, ach damals haben wir denn auch wirklich genug geguckt, als wir damals den Hinweis bekommen haben? Ja, also das ist.
Eine neuere Entwicklung, auf die wollte ich jetzt hinaus. Ich wollte noch vorher noch ganz, also kann ich kann ich nachher auch sagen. Linus Torvels wurde auf einem auf irgend so ein Panel, der sitzt ja auch nur noch auf Penels. Linox Con oder sowas, gefragt, ob er jemals wurde ähm von der Regierung mit dem Ziel, eine Vektor in Linux einzubauen, und als Reaktion auf diese Frage nickt er und sagt nein. Da kann man sich jetzt auch draus machen, was man möchte. Und dann lachen alle und danach sagt er, nein. Aber ähm ja, also es ne, diese vier Anzahlen T und Down Geschichte wird jetzt gerade äh ganz groß. Ich wollte noch zu dem, Zu der ähm, Ich wollte noch zu der äh Open Sache sagen, da gibt's einen gibt's immer einen, ich glaube, der findet jährlich statt, den International Opferscater Sea Code Contest, IOC, ist also ein, internationaler Wettbewerb, in dem man ein C-Programm schreibt, mit einer Vektor, Und diesen.
Code, dann zu diesem Contest einreicht. Und es geht dann dabei darum, dass andere diese Vektor finden, und schon das ähm führt regelmäßig nicht zu Ergebnissen. Ja, also es geht bei bei dieser Es geht eben bei den bei den Schwächen, die Leute oder die, die man als als Pectors in diese Open Source Tools einbaut, eben nicht darum, dass da irgendwie was was gleich so ungefähr sondern, Es geht halt, es ist beim Programmieren eben nicht so, dass jemand, der den Quelltext gesehen hat mit einer großen Wahrscheinlichkeit, ähm sagen kann, dass da jetzt keine Vektor sich drin verbirgt, Deswegen besteht dieses Problem und besteht dieses Problem auch in dieser Größe.
Ähm also im Bereich gucken jetzt natürlich wieder alle, aber so viele so wie viel Erfolg da jetzt sein wird, weiß man nicht. Dieser eine äh Typ, der sich da geoutet hat, ich weiß nicht, ob wie gut die ihr Virtual äh unter Kontrolle haben über die zehn, zwölf, dreizehn Jahre, die das jetzt her ist, ob sie noch sehen, welcher Code aus seiner Feder stammt und dann wenigstens nur sich seinen Code angucken können oder so, wer weiß? Ähnliche ähm, Überlegung gibt's natürlich aber jetzt auch im privaten Sektor. Das heißt also, bei der bei der im Software und im Dienstleistungsbereich, wo sich dann, aufgrund eines Freedom of Information, herausstellte, wenig überraschend, dass die Firma Hupen, Franzosen, ähm, ein Angebot macht namens Innendepffary Analysis and Exployd. Das ist also so ein Abo Abonnement-Service, wo sie zu. Öffentlich bekannten und irgendwie so, Informationen geben, also oder vermutlich sich der mir sowas vor wie weiß ich nicht. Die wird bekannt und sie haben dann in diesem Abonnement-Service direkt das Explod dazu oder so, ne, also irgendwie Wissen über ähm, über Exploits in diesem Abonnement-Service haben, aber das reine Wissen kann man sich auf, weiß ich nicht, auf zehn Webseiten und Mailinglisten des Internets in in aller Umfänglichkeit geben Ähm insofern gehe ich davon aus, dass ihre Dienstleistung bei diesem Abonnement noch darüber hinausgeht und wahrscheinlich da in Richtung geht. Ähm und das äh da kauft unter anderem die NSA dieses Abonnement. Gleichzeitig bietet Wuppen aber auch noch den, Offensive Security, Abonnement, äh Dienst an, wo sie wohl eher so was wie die unbekannten Sicherheitslücken haben nicht öffentlich sind. Ähm vielleicht kurz zur Erinnerung, wupen habe ich, glaube ich, auch schon häufiger mal hier in der Sendung erwähnt. Das sind die, die zu den, Open Saurs Owning Contest gehen, also so on oder so was, was Google dann da veranstaltet und sagt, hier ähm wenn ihr es schafft, einen, Driveby, Explode für den Chrome zu schreiben, der darin resultiert, dass ihr also, ne, den Crash in den Browser hervorruft, dann aus der Sandbox rausklettert, alle siebenundzwanzig Sicherheitsmechanismen überwindet und dann einen, Code Execution auf dem Zielsystem bekommt, dann äh kriegt ihr von uns sechzigtausend Dollar.
Ja, aber die, die, diese, die Formulierung, die sie hier haben, ja. Vor ofensive security, get access to extrem leay, so great. Ist auch geil, ja? Government Great, Zero Day Exploits, Dasign for Critical and Offensive Cyber Operation. Um das nochmal so, Ne, also hier können sie sich Zugriff auf total ausgefuchste äh Government Great, also es ist wirklich geil, ja, es ist nicht irgendwie ein normaler privat äh Firmenscheiß, sondern es ist einfach Government Great. Da hat sagen so, du führst Krieg gegen ein Land. Haben wir, ja? Äh Zero Day Exploys, also sie haben sozusagen, Sie behaupten, versteht es richtig, dass sie quasi sagen so, ja wir wir wissen einfach Schwachstellen, kennen wir.
Also Zero, vielleicht müssen wir den Begriff Zero Day noch kurz erklären. Also als Zero Day bezeichnet man eine noch nicht öffentlich dokumentierte, Sicherheitslücke. Und üblicherweise dann, also, in Kombination mit einem. Das heißt, nicht nur, dass die die theoretische Existenz der Sicherheitslücke gezeigt wurde, sondern dass man das diese Sicherheitslücke auch umgebaut hat in oder an ein auf diese Sicherheitslücke, zugeschnittenes.
Friseur, der nicht irgendwie sich einen spaßigen Namen will, wie wie mit Podcast Episoden, ne. Das könnte eigentlich in der Security äh Szene auch langsam mal, eingeführt werden oder vielleicht auch in der Parteienlandschaft, das wäre auch nochmal ganz lustig. Also die Partei äh und da schon gut vorangegangen.
Das heißt, sie haben noch nicht alles durchdrungen äh sie können noch nicht alle Krypto immer knacken, also sie brauchen überhaupt noch, Ich meine, inzwischen war ja die Theorie, in greifbarer Nähe gerückt, dass die vielleicht überhaupt diese gesamte Security Theater quasi auf einer ganz anderen Ebene ist, weil die NSA sowieso schon jeden Computer äh vollständig durchdrungen hat, weil er mit hundertachtundvierzig.
Man kann die also ich meine diese Trennung zwischen dem Privaten, dem Government Sektor, der findet ja schon in der NSA nicht statt. Meine Herr Snowden war galt ja in gewisser Hinsicht als NSA-Mitarbeiter war es aber de facto auf dem Papier so gar nicht sondern es war halt eine outgesourste Firma, also wo sozusagen irgendein Teil des äh Apparats, der im Rahmen von was weiß ich, welchen Einsparungs äh Maßnahmen oder anderen Argumentationen mal privatisiert wurde ja dann aber genauso mit dem selben Sicherheitslevel und auch höherem Sicherheitslevel, wie sich ja äh wie sich's ja gezeigt hat, ausgestattet sind und im Prinzip kann man natürlich auch solche Unternehmen, die jetzt hier solche äh Abos verkaufen und Government Great Produkte anbieten äh gehören ja letzten Endes auch zu diesem Gesamtkomplex. Es ist alles nicht so eindeutig voneinander zu trennen. Ja, also die müssen nicht unbedingt, Wissen dann auch unbedingt innerhalb ihrer Government-Organisation haben, weil sie eben auf dieses Geflecht privater Unternehmen so auch setzen, und die auch speziell Dienstleistungen dafür an äh bieten, ja, so wie Waffen ja auch nicht in Eigenherstellung äh.
Die Familie Braunbärens, Burkhardt von Bronbehrens, alles äh schön beleuchtet damals von einer Aktion des Zentrums für politische Schönheit, äh packe ich auch nochmal in die Links. Ähm, Jetzt haben also, dieser Freedom of Information äh Act Reque Quest, der da ausgesprochen oder der da gestellt wurde, bezog sich spezifisch auf Wuppen. Und also spezifisch auf welche Verträge hat die NSA mit wuppen? Und der ähm, wie ich gerade schon sagte, die Information, ob sie auch das das Zero-Day-Paket bestellt haben, Ähm befand sich darin nicht die, müsste man aber auch nach dem Freedom of Information Act nicht geben, weil das ja irgendwie, Relationen zur nationalen Sicherheit hat. So und jetzt meldete sich dann der, der CEO von Wuppen und fing auf Twitter anzufluchen und sagte, ha, naja, ihr habt aber keine, bezüglich der Firma, und Harris gestellt. Das finde ich verdächtig. Woraufhin ihm dann geantwortet wurde, ah na ja ähm, die kommen bestimmt bald oder warum schreibst du dir nicht einfach selber, wie reichen die für dich ein? Woraufhin ähm. Dann der äh CEO von nach einigen Tweetwechseln antwortete, alles klar, machen wir. Das heißt, dieses kleine bisschen stechen und das hat ja funktioniert eben. Tatsächlich, das hat ja auch damals, bei äh interessante Parallele. Das hat nämlich damals auch bei Cross Maffei so schön funktioniert, dass du dir du pikst dir einfach mal einen raus, und hängst den nach draußen zum Trocknen und die werden fühlen sich sofort ungerecht behandelt und zeigen mit den Fingern auf die anderen. Und das finde ich ganz schön. Das heißt, also einfach nur, um wupen, von denen es eh jeder wusste, da mal einen Tag schlechte Presse ähm zu geben, führt sofort dazu, dass der mit dem Finger auf andere, dass ihr mitm Finger auf andere zeigen und man nochmal ein paar weitere von diesen Firmen, in die in die Öffentlichkeit zerren kann. Das zeigt, wie dass diese Menschen eben sich doch, Na ja, zumindest irgendwie so ein Halbwesenverständnis dafür haben, dass das, was sie da machen, vielleicht nicht ganz so cool ist.
Ja, aber Frankreich ja auch, mit Wuppen. Also, aus der Nummer komme ich nicht raus. Gamma, Newsoft und, haben einen in der Schweiz einen Exportantrag gestellt und wollen Überwachungssoftware nach Türkmenistan und Oman verkaufen. Haben wir, glaube ich, ausreichend behandelt. DreamLab ist eine Zulieferfirma von Gamma, die ähm, vor kurzem wohl eine äh ihre gesamte Überwachungs- und Zulieferungsfirma, ihre Überwachungs- und Gamma Zulieferung sparte in eine neue Firmengründung, in eine neue Firma ausgegliedert haben, die jetzt, heißt oder Nylaps? Und ähm, gibt's, glaube ich, noch so als Zeitnote. Das kam auch jetzt, glaube ich, so in der letzten Woche dann raus, um diese Firma DreamLab gibt's ein längere, Batte, weil die ja im Rahmen der Spyfiles jetzt auch auf Wiki Leaks landete. Als Zulieferer für Gamma beziehungsweise auch mit eigenen ähm, Angriffstools ähm dann da dokumentiert war in der neuen Runde des.
Ne, das äh gut, dass du es ansprichst. Das zeigt doch einfach mal, Gamma ist eine Gruppe. Die haben doch überall irgend so eine Briefkastenfirma. Das, doch, also gemessen an deren an deren Auftragsvolumen ist es doch eine relativ kleiner Scherz, mal eben irgendwo noch eine Briefkastenfirma zu haben. In Deutschland verkaufen sie äh als Edermann, oder verkaufen sie vermittelt durch Edermann, an äh an die Bundesregierung ihren Trojaner ähm in anderen Ländern machen sie's eben anders. Wenn ihnen jetzt die Briten damit drohen, wie wir ja schon seit einiger Zeit verfolgen, dass sie ein Exportverbot bekommen, dann verkaufen sie es halt aus der Schweiz, ist denen doch völlig egal, wir reden von, größtenteils Softwarelösungen, die sie, ja oder ja Software die sie mit bestimmter Software versehen. Die sind ja nicht wirklich an an Export gebunden, wenn sie mit ihrem Laptop, mit dem über irgendeine Grenze gehen.
Immer ein lokales Produkt und ob der das, das zeigt einfach mal auch ein ganz, dieses ganze Problem auf zu sagen, ja, wir müssen da irgendwie Exportkontrollen machen. Wenn du das ernsthaft vernünftig machen willst, dann geht's nur auf EU-Ebene. Und selbst dann äh hast du die Jungs halt als nächstes in der Schweiz sitzen.
Ja gut, aber auch da muss auf jeden Fall auch mal ein Antrag gestellt werden. Also ist jetzt nicht so, dass man nicht durch äh internationale Vereinbarungen äh da nicht zumindest ähm Bremse, weiß ich nicht, ob das schon die richtige Bezeichnung ist, aber zumindest so eine Entschleunigung äh in die Sache da mit reinbekommt.
Dein Name, da die Sprach jetzt grade auf DreamLab viel? Ähm DreamLab reagierte dann auf die, auf die Erwähnung in den damit, dass sie sagten, ja äh, wir sind froh, dass das jetzt mal rauskommt, dass wir vor ein paar Jahren an Gamma geliefert haben, denn jetzt können wir endlich mal darüber sprechen, denn eigentlich unterliegen wir ja noch diesen ein NDA mit Gamma Und ähm wir möchten dazu sagen, dass wir äh äh dass das alles diese Kooperation mit Gamma von einem ehemaligen Mitarbeiter von uns angeleiert wurde, der ähm, uns davon überzeugt hat, dass die Zusammenarbeit nicht moralisch bedenklich sei, obwohl wir das die ganze Zeit vermutet haben. Er hat außerdem jetzt die ähm, die Firma schon vor einiger Zeit verlassen und ist, weiterhin in diesem Bereich tätig, wir sind's aber nicht, Das war so ungefähr die die Äußerung von dem Niko.
Und kurz darauf, Erschien dann ein vom CCC veröffentlicht, ein Vorabdruck aus der Datenschleuder, in dem sich die betroffene Person beziehungsweise betroffenen Personen, die also kurze Zeit für gearbeitet haben, ähm, Dazu äußern wie es irgendwie dazu kam, dass sie, Na ja, etwas gebaut haben, das jetzt sich in der Produktpalette von Gama wiederfindet.
Ist ein ganz interessanter, interessanter ähm eine ganz interessante Geschichte, mehrere Seiten weil sie auch so lang ist, wie ich sie jetzt gar nicht wirklich ähm zusammenfassen. Der Kern der Aussage ist denke ich, dass der Übergang eben sehr schleichend ist, dass du als Sicherheitsforscher an irgendeiner Demo arbeitest und ähm ehe du dich versiehst, jemand anders deine Arbeit äh an die falschen Leute verkauft.
Ja offensichtlich scheint einfach diese ganze Geheimdienstverpflichtung in der äh privat äh Privatunternehmen Bereich aber auch nicht mehr jetzt so populär zu sein. Wenn man sich hier anschaut, wie die dann sozusagen alle jetzt so am ausgegründen äh, Liedern in andere Unternehmen sind und verstehst du? So, sagen ihre eigenen Brand möglichst freihalten wollen von solchen Aktivitäten. Das zeigt, dass es zumindest die Sensibilität dort äh zugenommen hat. Ich meine, wir hatten ja diese Debatte auch rund um die Ohm nicht wahr? Man hat ja gesehen, was das für Wellen geschlagen hat in der Szene. Insofern ist es sicherlich hilfreich, dass auch weiterhin, detailliert zu beobachten, um da mal so ein bisschen die Akteure vor sich herzutreiben.
Nö, also diese, wie gesagt, diesen CCC-Bericht kann man da auf jeden Fall mal lesen für alle, die denen vielleicht diese diese Security-Branche garn gar nicht so bekannt ist und unter welchen, ja, was da so das zweischneidige Schwert der Security-Forschung sein kann und diese Erfahrung von diesem, Aussteiger bei dieser diesen beiden Aussteigern da einfach auch mal relativ schonungslos zu lesen, erst gedacht, dass das jetzt irgendwie so eine große und Hände in Unschuld waschen äh Geschichte werden würde, ist es aber nicht, relativ selbstkritisch.
Ja. Ne, die, ja, das ist natürlich auch so ein wiederkehrendes äh Meme so in der Hackergeschichte, Zur Problematik, ne? Äh die Geister, die ich rief, ähm also diese diese Lust am am Spielen mit Technik und die Lust am Ausprobieren, was was geht, was was kann ich, was kann ich alles noch rauskitzeln, Das hat einfach an an vielen Stellen, aber vor allem in diesen Security-Bereich immer wieder, Momente, wo man mit Dingen und Prozessen in Berührung kommt, wo man selber sich so sagt, so, was mache ich jetzt hier eigentlich, wo man irgendwie auch mal einen Schritt, zurückgehen muss. Ich hab das. Interessanterweise hat mich das auch am Anfang so ein bisschen in diese Szene geführt so, ne, weil ich mal äh noch so als so als Miniaturprogrammierer ja, habe ich mal für so einen, Kleinanzeigen laden, so diese Erfassungssoftware gemacht, weißt du? So diese frühe Zeit, Anfang der neunziger Jahre, als die Dinge überhaupt erstmal digitalisiert wurden, beziehungsweise als vielleicht eine schon existierende Digitalisierung dann so auf PCs umzog, Und ich machte da halt so meinen Teil. Und dann kam dann irgendwann so diese Anforderungen reingeflattert. Ja und wenn die Software dann doch bitte auch nochmal feststellen könnte, dass der entsprechende Terminalbediener, zehn Minuten lang jetzt hier keine Taste mehr angefasst hat ja? Dann machen wir da noch eine Nachricht für den Administrator. Na ja so, du hattest halt so dein Terminal, wo so jemand eingeloggt war und in der zentralen Datenbank Kleinanzeigen erfasste. Aber wenn halt mal jemand zehn Minuten lang aufgehört hat, Kleinanzeigen zu erfassen.
Das stand dann so in meiner in meiner Anforderung, ne? Und weiß nicht mehr ganz genau, ich habe das dann irgendwie implementiert. Ich weiß nicht mehr ganz genau, wie, Ähm das im Einzelnen ausging. Aber ich merkte dann halt so, dass ich dann auf einmal ein echt schlechtes Gewissen hatte, ne. Ich dachte mir so, oh Mann, Meine so ich baue jetzt hier das Werkzeug, mit dem so Leute da aus ihrem Job rausgehe, kickt werden. Ich baue jetzt hier irgendwie Überwachungssoftware und ich meine, das ist natürlich jetzt, im Maßstab von heutigen Auswirkungen, von insbesondere dem, was wir jetzt gerade besprochen haben, überhaupt gar keinen Vergleich, ne. Aber es war so, Es war so, so ein Kristallisations äh Moment, wo das wo das Thema auf einmal für mich äh ganz ganz greifbar äh wurde und ich auch, was so die Auswirkungen solche elektronischer Werkzeuge eben auch äh sein kann, ne? Und wie schnell man da auch so äh korrumpiert äh wird, sowohl als Auftrag ähnehmer als auch als Auftraggeber, weil sowas muss einem ja auch erstmal einfallen, ne. Also, Was ich nicht mehr, was ich nicht beantworten kann und damals, glaube ich, auch nicht schon nicht beantworten konnte, so diese Frage so, ja, wissen die das? Ja, sozusagen, dass sie da so 'ne, so 'ne Zeituhr mitlaufen haben oder wissen sie es nicht, ne? Aber ich hatte dann irgendwie auch die Schnauze voll und hatte ich dann auch.
Ich erinnere mich jetzt auch echt nicht mehr, in welchen Zustand ich denn die Software letztlich übergeben habe. Ich habe so ein bisschen meine Zweifel, dass das äh dieses Feature so jemals wirklich äh, funktioniert hat, aber ich erinnere mich einfach nur noch daran, dass es mich einfach verstört hat. So und dass das nicht wollte. Ja. Und dass das.
Und jetzt stell dir das vor im im Bereich irgendwie na Sicherheitslücke, die irgendwie, ganze Menge Computer betrifft. Und die Sicherheitsbegriffe, um die es da geht, vielleicht kann man ja noch kurz erzählen. Gerade weil das nicht so gut beschrieben ist in dem in dem in dem CCC-Artikel da selber, Es gibt eine Technik, die sich DMA nennt. Direct Memory Excess, und insbesondere bei Firewire eine Rolle spielt.
Genau. Und der Trick dabei ist, dass die Schnittstelle eigentlich direkt in den Ram schreiben kann, ne? Und in dem Rahmen steht ja unter Umständen auch die Informationen drin, die der Computer braucht, wenn er sich mit einem Passwort abschließt gegen seinen Benutzer, dann muss der Computer ja im Arbeitsspeicher stehen haben was, zu tun ist, um sich zu öffnen oder was welche Prüfung er durchführen muss, wenn ein Passwort eingegeben wurde, In dem Ramm steht unter Umständen dann auch drin, wie das, wie der Schlüssel ist zu der verschlüsselten Festplatte, die der Computer zu dem Zeitpunkt noch hat. Also im Rahmen stehen so allerlei Dinge drin, die für einen Angreifer.
Das Tool, was da also gebaut wurde, ist ein äh genau dieser Angriffsweg, dass man einen Fire Wirekabel an den Opferrechner steckt und daraufhin dann alle ähm Passwortsperren einfach umgangen, sind man Zugriff auf den Rechner, um dann den äh Finn Fischer zu installieren. Das Produkt heißt äh Fin Fireway, das ist das Produkt, was da entwickelt wurde. Und das besonders Ärgerliche daran ist eben, dass die Schwäche, sicher in der Hardware selber verbirgt, das heißt, die ist auch nicht, der ist auch nicht beizukommen. Die lässt sich nicht äh abschalten, es sei denn, man äh deaktiviert den äh Firewei-up äh Port seines Rechners und das schöne Beispiel war dann immer, dass die, ganzen die ja dann betroffen sind, weil's insbesondere natürlich sich auch auf Windows richtete. Die haben ja dann immer noch den äh PCI Express Slot und den muss das auch noch mit deaktivieren, weil dafür gab's wieder Karten, die man reinstecken konnte und so. Ja und so wird man dann eben, durch kleine Spielereien. Hör mal, könnte klappt das eigentlich auch unter Windows achtundneunzig? Bei Mac müsste das doch eigentlich auch gehen. Äh und wie ist eigentlich mit Linox und Volldiskription, ja, dass man da irgendwie mit fünf Nachfragen auf einmal eine, eine Waffe geschaffen hat für die halt ja der die Menschheit dann ausgeliefert ist.
Kruzberg, genau, Berlin, Rutschberg, unweit des Bieterhauses und ja, da gibt's irgendwie Bar und Tam Tam und äh ab fünfzehn Uhr ist da auch irgendwie offen, sechzehn Uhr legen wir da los und dann machen wir da irgendwie, Wahlbegleitung und schauen mal wie das wird, da gibt's noch diverse Unwegbarkeiten, da müssen wir jetzt noch ein bisschen arbeiten, wie das so ist und ansonsten, Was steht noch so an? Derzeit ist eigentlich gar nichts groß im Kommen.