Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de


LNP079 Lass uns nochmal über den Preis reden

NSA-Datenaustausch und -Datenschützer — Backdoors in Open-Source-Software — Spionage und der “private Sektor”

Nicht einer nicht ganz so Neuigkeiten-verseuchten Woche schalten wir mehr in einen Hintergrundmodus und diskutieren die internationale Zusammenarbeit der Geheimdienste ein paar generelle Entwicklungen im Bereich der "Cybersecurity" und dem damit verbundenen Verflechtung von Unternehmen und Regierungen.

https://logbuch-netzpolitik.de/lnp079-lass-uns-nochmal-ueber-den-preis-reden
Veröffentlicht am: 20. September 2013
Dauer: 1:07:12


Kapitel

  1. Intro 00:00:00.000
  2. Prolog 00:00:35.000
  3. Vielleicht 2, vielleicht mehr oder weniger, vielleicht 864 00:04:20.625
  4. NSA-Datenschützer 00:20:11.625
  5. Backdoors in Open-Source-Software 00:29:01.250
  6. Spionage und der “private Sektor” 00:37:48.625
  7. Epilog 01:05:24.125

Transkript

Tim Pritlove
0:00:00
Linus Neumann
0:00:00
Tim Pritlove
0:00:01
Linus Neumann
0:00:10
Tim Pritlove
0:00:56
Linus Neumann
0:00:57
Tim Pritlove
0:01:05
Linus Neumann
0:01:37
Tim Pritlove
0:01:43
Linus Neumann
0:01:45
Tim Pritlove
0:01:48
Linus Neumann
0:01:49
Tim Pritlove
0:01:51
Linus Neumann
0:02:32
Tim Pritlove
0:02:33
Linus Neumann
0:02:35
Tim Pritlove
0:02:36
Linus Neumann
0:03:07
Tim Pritlove
0:03:10
Linus Neumann
0:03:52
Tim Pritlove
0:04:01
Linus Neumann
0:04:03
Tim Pritlove
0:04:05
Linus Neumann
0:04:23
Tim Pritlove
0:04:34
Linus Neumann
0:04:35
Tim Pritlove
0:04:41
Linus Neumann
0:04:44
Tim Pritlove
0:05:09
Linus Neumann
0:05:10
Tim Pritlove
0:05:19
Linus Neumann
0:05:22
Tim Pritlove
0:05:29
Linus Neumann
0:05:35
Tim Pritlove
0:05:37
Linus Neumann
0:05:40
Tim Pritlove
0:05:41
Linus Neumann
0:05:46
Tim Pritlove
0:05:49
Linus Neumann
0:05:52
Tim Pritlove
0:06:32
Linus Neumann
0:06:33
Tim Pritlove
0:06:35
Linus Neumann
0:06:40
Tim Pritlove
0:06:48
Linus Neumann
0:06:52
Tim Pritlove
0:06:54
Linus Neumann
0:06:57
Tim Pritlove
0:07:05
Linus Neumann
0:07:07
Tim Pritlove
0:07:13
Linus Neumann
0:07:17
Tim Pritlove
0:07:22
Linus Neumann
0:07:27

Bisher hat bisher war der Aufreger ausreichend dafür, dass ähm, Ähm bisher war die Aufregung dafür ja schon ausreichend genug, dass wir die verschiedenen Behörden, Sicherheitsbehörden der Länder und des Bundes dort ähm, absoluter Ignoranz unseres Trennungsgebotes, der Geheimdienste und der Polizeibehörden äh gemeinsam wirken lassen, das war ja schon, kritisch genug an diesem gesamten gemeinsamen Terrorismusabwehrzentrum. Weil wir ja äh wir erinnern uns, äh die Überlegung immer ist, dass man die Geheimdienste und die Polizei aus verschiedenen gründen, voneinander trennt, da ja die Polizei die die ähm den Arm der Strafverfolgung hat, und für den Arm der Strafverfolgung ja gewisse Rechte zum Schutze der Beschuldigten gelten ähm an die sich ein Geheimdienst nicht ähm hält, und nicht zu halten braucht, dafür jedoch nicht die ähm. Nicht die äh wie nennt man das? Nicht das Recht zur Strafverfolgung hat, ja? Ähm hat was damit zu tun, dass man sicherstellen möchte, dass Menschen einen fairen Prozess bekommen. Und ähm, Die Sorge ist ja, wenn die Kooperation zwischen Geheimdiensten und Strafverfolgungsbehörden zu groß wird, dass dann genau das passiert, was man jetzt aus den USA, immer wieder hört, dass quasi die Geheimdienste einen Hinweis über eine Straftat bekommen, welche erfolgt ist, und dann der Polizei sagen, wie sie quasi diese Information reinwaschen kann, indem sie eine Beweiskette oder eine Indizienkette aufbaut, die sie dorthin führt, ja? Und äh.

Tim Pritlove
0:09:31
Linus Neumann
0:09:34
Tim Pritlove
0:11:06
Linus Neumann
0:11:11
Tim Pritlove
0:12:53
Linus Neumann
0:12:57
Tim Pritlove
0:13:22
Linus Neumann
0:13:24
Tim Pritlove
0:13:32
Linus Neumann
0:13:41
Tim Pritlove
0:13:46
Linus Neumann
0:13:50
Tim Pritlove
0:14:01
Linus Neumann
0:14:02
Tim Pritlove
0:14:10
Linus Neumann
0:14:15
Tim Pritlove
0:14:19
Linus Neumann
0:14:21
Tim Pritlove
0:14:34
Linus Neumann
0:14:35
Tim Pritlove
0:15:03
Linus Neumann
0:15:07
Tim Pritlove
0:15:35

Ja, also ich meine, das ist ja auch, sagen wir mal, das, was sich jetzt hier abzeichnet, was schon lange, äh, von führenden Verschwörungs äh, äh, Freunden an die Wand gemalt wurde, ja, generelle Unterstellung eines, intern, also ich formuliere das jetzt bewusst zurückhaltend. Ähm. Weißt du, man kennt sich, ja, also sozusagen so diese Geheimdienstapparate, die alle mehr oder weniger äh so eine Isolationsschicht haben gegenüber äh dem Verantwortlichen Teil äh der Politik äh treiben da halt so Dinge und im äh und und und weil halt der äh Zweck dann doch äh die Mittel häufiger heiligt, ähm baut sich da einfach so ein Vertrauensgeflecht aus, was einfach jeglich, fern jeglicher äh öffentlicher Kontrolle ist, ne. Und ähm das, Das ist einfach ein Problem. Man hat das schon bei Five Eis gesehen. Man, dass Israel da jetzt in gewisser Hinsicht auch äh äh mitspielt, ist keine, Basti ist jetzt kein Schocker, oder? Also, ich meine, es ist irgendwie echt äh super naheliegend und klar, das würde sagen, das war schon immer klar, Maß der Integration, dieser Geheimdienste, das mag jetzt vielleicht noch äh von Interesse sein, aber das dient sich da halt absprechen, das ist vollkommen klar, Aber es war's natürlich recht, ne? Es ist so dieses, man will auch nicht zu viel geben, weil man will ja auch immer noch seine Vorteile haben. Man will auch immer noch ne, was in der Hinterhand haben, um äh im Zeitsfall auch Druck äh ausüben zu können. Von daher ist das schon, Ein interessantes politisches Spiel.

Linus Neumann
0:17:20
Tim Pritlove
0:18:07
Linus Neumann
0:18:49
Tim Pritlove
0:19:07
Linus Neumann
0:19:36
Tim Pritlove
0:20:04
Linus Neumann
0:20:07
Tim Pritlove
0:20:09
Linus Neumann
0:20:11
Tim Pritlove
0:20:48
Linus Neumann
0:20:49
Tim Pritlove
0:22:15
Linus Neumann
0:22:17
Tim Pritlove
0:22:18
Linus Neumann
0:22:33
Tim Pritlove
0:22:39
Linus Neumann
0:22:41
Tim Pritlove
0:22:53
Linus Neumann
0:22:57
Tim Pritlove
0:23:10
Linus Neumann
0:23:17
Tim Pritlove
0:23:47
Linus Neumann
0:23:55

Ja

Tim Pritlove
0:24:02
Linus Neumann
0:24:06
Tim Pritlove
0:25:19
Linus Neumann
0:25:29
Tim Pritlove
0:26:05
Linus Neumann
0:26:07
Tim Pritlove
0:26:19
Linus Neumann
0:26:24
Tim Pritlove
0:26:34
Linus Neumann
0:26:41
Tim Pritlove
0:27:07
Linus Neumann
0:27:11
Tim Pritlove
0:27:39
Linus Neumann
0:27:44
Tim Pritlove
0:28:03
Linus Neumann
0:28:07
Tim Pritlove
0:28:33
Linus Neumann
0:29:02
Tim Pritlove
0:30:58
Linus Neumann
0:31:04
Tim Pritlove
0:31:52

Ja, ist ja interessant. Also bin mal gespannt. Ich meine, das ist ja immer so eine so eine so eine generelle These bei Open Source, so Jahr, tausende von Augen schauen sich irgendwie alles an, ja, das ist natürlich eine schöne Theorie, Realität nicht so, weil das meiste wird dann doch im Wesentlichen nur von sehr wenigen wirklich überhaupt angeschaut und dann äh meistens auch auf ganz andere Aspekte hin Security an sich betrifft, klar, da wird natürlich dann auch durch ähm Für Security-Firmen natürlich sowas auch immer wieder äh getestet, vielleicht auch teilweise das Horsecode äh durchgelesen, um einfach äh generelle Schwachstellen zu entdecken. Und da wird ja auch eine ganze Menge gefunden und das ist ja auch Teil des normalen äh Prozesses. Aber äh es ist schon was ganz anderes, wenn man eben solche. Also Kleinigkeiten äh platziert, die jetzt so offensichtlich erstmal überhaupt nicht unbedingt nach Fehler aussehen sondern die einfach konzeptioneller Art sind, ja? Also die im Algorithmus angesiedelt sind et cetera was erstmal auf den ersten Blick versucht das richtige zu tun aber dann eben wenn man genauer versteht warum das so gemacht wurde eben Hintertüren eröffnet. Und das ist natürlich sehr schwierig zu finden. In gewisser Hinsicht find ich's jetzt mal ganz schön, dass äh durch diesen öffentlichen Druck, es jetzt in zunehmenden Maße solche Aktivitäten in der Open Source besonders in der Betriebssystemszene gibt, sich sowas mal genauer anzuschauen. Also ich denke, Betriebssysteme sind jetzt gerade deshalb so wichtig, weil die ja dann meistens es ist, überall zum Einsatz kommen, ja, also auf wie vielen Rechnern auf diesem Planeten läuft LiNux mit, halbwegs äh kritischen Anwendungen, ja, das ist eine nicht ohne Weiteres zu beziffernde äh Größe und ähm, Ja, dementsprechend, das gilt natürlich auch für Open-BSD. Das ist zwar jetzt nicht so verbreitet, aber eben wie du schon gesagt hast, äh war schon immer äh für die ähm, besonders für die Aluhüte eine besonders interessante Option so. Naja und jetzt ist zumindest klar, dass hier explizit. Mindestens vor zehn Jahren einmal äh dort eben auch wirklich versucht wurde durch Geldzahlung und Einflussnahme auf einzelne Personen, Solche äh Dinge dann auch zu verändern.

Linus Neumann
0:34:11
Tim Pritlove
0:34:15
Linus Neumann
0:34:21
Tim Pritlove
0:34:24
Linus Neumann
0:34:28
Tim Pritlove
0:34:44
Linus Neumann
0:34:49
Tim Pritlove
0:36:12
Linus Neumann
0:36:12
Tim Pritlove
0:37:07
Linus Neumann
0:37:13

Ähm also im Bereich gucken jetzt natürlich wieder alle, aber so viele so wie viel Erfolg da jetzt sein wird, weiß man nicht. Dieser eine äh Typ, der sich da geoutet hat, ich weiß nicht, ob wie gut die ihr Virtual äh unter Kontrolle haben über die zehn, zwölf, dreizehn Jahre, die das jetzt her ist, ob sie noch sehen, welcher Code aus seiner Feder stammt und dann wenigstens nur sich seinen Code angucken können oder so, wer weiß? Ähnliche ähm, Überlegung gibt's natürlich aber jetzt auch im privaten Sektor. Das heißt also, bei der bei der im Software und im Dienstleistungsbereich, wo sich dann, aufgrund eines Freedom of Information, herausstellte, wenig überraschend, dass die Firma Hupen, Franzosen, ähm, ein Angebot macht namens Innendepffary Analysis and Exployd. Das ist also so ein Abo Abonnement-Service, wo sie zu. Öffentlich bekannten und irgendwie so, Informationen geben, also oder vermutlich sich der mir sowas vor wie weiß ich nicht. Die wird bekannt und sie haben dann in diesem Abonnement-Service direkt das Explod dazu oder so, ne, also irgendwie Wissen über ähm, über Exploits in diesem Abonnement-Service haben, aber das reine Wissen kann man sich auf, weiß ich nicht, auf zehn Webseiten und Mailinglisten des Internets in in aller Umfänglichkeit geben Ähm insofern gehe ich davon aus, dass ihre Dienstleistung bei diesem Abonnement noch darüber hinausgeht und wahrscheinlich da in Richtung geht. Ähm und das äh da kauft unter anderem die NSA dieses Abonnement. Gleichzeitig bietet Wuppen aber auch noch den, Offensive Security, Abonnement, äh Dienst an, wo sie wohl eher so was wie die unbekannten Sicherheitslücken haben nicht öffentlich sind. Ähm vielleicht kurz zur Erinnerung, wupen habe ich, glaube ich, auch schon häufiger mal hier in der Sendung erwähnt. Das sind die, die zu den, Open Saurs Owning Contest gehen, also so on oder so was, was Google dann da veranstaltet und sagt, hier ähm wenn ihr es schafft, einen, Driveby, Explode für den Chrome zu schreiben, der darin resultiert, dass ihr also, ne, den Crash in den Browser hervorruft, dann aus der Sandbox rausklettert, alle siebenundzwanzig Sicherheitsmechanismen überwindet und dann einen, Code Execution auf dem Zielsystem bekommt, dann äh kriegt ihr von uns sechzigtausend Dollar.

Tim Pritlove
0:40:14
Linus Neumann
0:40:22
Tim Pritlove
0:40:26
Linus Neumann
0:40:29
Tim Pritlove
0:40:44
Linus Neumann
0:40:53
Tim Pritlove
0:41:09
Linus Neumann
0:41:11
Tim Pritlove
0:41:21
Linus Neumann
0:42:14
Tim Pritlove
0:42:44
Linus Neumann
0:42:47
Tim Pritlove
0:42:52
Linus Neumann
0:42:59
Tim Pritlove
0:42:59
Linus Neumann
0:43:11
Tim Pritlove
0:43:25
Linus Neumann
0:43:31
Tim Pritlove
0:43:33
Linus Neumann
0:43:34
Tim Pritlove
0:43:37
Linus Neumann
0:43:38
Tim Pritlove
0:43:42
Linus Neumann
0:43:47
Tim Pritlove
0:43:48
Linus Neumann
0:43:58
Tim Pritlove
0:44:04
Linus Neumann
0:44:19
Tim Pritlove
0:44:39
Linus Neumann
0:44:41
Tim Pritlove
0:45:09
Linus Neumann
0:45:10
Tim Pritlove
0:45:11
Linus Neumann
0:46:23
Tim Pritlove
0:46:24
Linus Neumann
0:46:29
Tim Pritlove
0:46:35
Linus Neumann
0:46:36
Tim Pritlove
0:46:42
Linus Neumann
0:46:46
Tim Pritlove
0:46:49
Linus Neumann
0:46:52
Tim Pritlove
0:46:57
Linus Neumann
0:46:59
Tim Pritlove
0:47:01
Linus Neumann
0:47:05
Tim Pritlove
0:47:08
Linus Neumann
0:47:10
Tim Pritlove
0:47:26
Linus Neumann
0:47:28

Die Familie Braunbärens, Burkhardt von Bronbehrens, alles äh schön beleuchtet damals von einer Aktion des Zentrums für politische Schönheit, äh packe ich auch nochmal in die Links. Ähm, Jetzt haben also, dieser Freedom of Information äh Act Reque Quest, der da ausgesprochen oder der da gestellt wurde, bezog sich spezifisch auf Wuppen. Und also spezifisch auf welche Verträge hat die NSA mit wuppen? Und der ähm, wie ich gerade schon sagte, die Information, ob sie auch das das Zero-Day-Paket bestellt haben, Ähm befand sich darin nicht die, müsste man aber auch nach dem Freedom of Information Act nicht geben, weil das ja irgendwie, Relationen zur nationalen Sicherheit hat. So und jetzt meldete sich dann der, der CEO von Wuppen und fing auf Twitter anzufluchen und sagte, ha, naja, ihr habt aber keine, bezüglich der Firma, und Harris gestellt. Das finde ich verdächtig. Woraufhin ihm dann geantwortet wurde, ah na ja ähm, die kommen bestimmt bald oder warum schreibst du dir nicht einfach selber, wie reichen die für dich ein? Woraufhin ähm. Dann der äh CEO von nach einigen Tweetwechseln antwortete, alles klar, machen wir. Das heißt, dieses kleine bisschen stechen und das hat ja funktioniert eben. Tatsächlich, das hat ja auch damals, bei äh interessante Parallele. Das hat nämlich damals auch bei Cross Maffei so schön funktioniert, dass du dir du pikst dir einfach mal einen raus, und hängst den nach draußen zum Trocknen und die werden fühlen sich sofort ungerecht behandelt und zeigen mit den Fingern auf die anderen. Und das finde ich ganz schön. Das heißt, also einfach nur, um wupen, von denen es eh jeder wusste, da mal einen Tag schlechte Presse ähm zu geben, führt sofort dazu, dass der mit dem Finger auf andere, dass ihr mitm Finger auf andere zeigen und man nochmal ein paar weitere von diesen Firmen, in die in die Öffentlichkeit zerren kann. Das zeigt, wie dass diese Menschen eben sich doch, Na ja, zumindest irgendwie so ein Halbwesenverständnis dafür haben, dass das, was sie da machen, vielleicht nicht ganz so cool ist.

Tim Pritlove
0:50:03
Linus Neumann
0:50:06
Tim Pritlove
0:50:22
Linus Neumann
0:50:24
Tim Pritlove
0:51:55
Linus Neumann
0:52:00
Tim Pritlove
0:52:01
Linus Neumann
0:52:03
Tim Pritlove
0:53:08
Linus Neumann
0:53:14
Tim Pritlove
0:53:30
Linus Neumann
0:53:46
Tim Pritlove
0:54:53
Linus Neumann
0:54:55
Tim Pritlove
0:54:59
Linus Neumann
0:55:02
Tim Pritlove
0:55:38
Linus Neumann
0:55:40
Tim Pritlove
0:56:14
Linus Neumann
0:57:00
Tim Pritlove
0:57:03
Linus Neumann
0:57:10
Tim Pritlove
0:57:59

Ja. Ne, die, ja, das ist natürlich auch so ein wiederkehrendes äh Meme so in der Hackergeschichte, Zur Problematik, ne? Äh die Geister, die ich rief, ähm also diese diese Lust am am Spielen mit Technik und die Lust am Ausprobieren, was was geht, was was kann ich, was kann ich alles noch rauskitzeln, Das hat einfach an an vielen Stellen, aber vor allem in diesen Security-Bereich immer wieder, Momente, wo man mit Dingen und Prozessen in Berührung kommt, wo man selber sich so sagt, so, was mache ich jetzt hier eigentlich, wo man irgendwie auch mal einen Schritt, zurückgehen muss. Ich hab das. Interessanterweise hat mich das auch am Anfang so ein bisschen in diese Szene geführt so, ne, weil ich mal äh noch so als so als Miniaturprogrammierer ja, habe ich mal für so einen, Kleinanzeigen laden, so diese Erfassungssoftware gemacht, weißt du? So diese frühe Zeit, Anfang der neunziger Jahre, als die Dinge überhaupt erstmal digitalisiert wurden, beziehungsweise als vielleicht eine schon existierende Digitalisierung dann so auf PCs umzog, Und ich machte da halt so meinen Teil. Und dann kam dann irgendwann so diese Anforderungen reingeflattert. Ja und wenn die Software dann doch bitte auch nochmal feststellen könnte, dass der entsprechende Terminalbediener, zehn Minuten lang jetzt hier keine Taste mehr angefasst hat ja? Dann machen wir da noch eine Nachricht für den Administrator. Na ja so, du hattest halt so dein Terminal, wo so jemand eingeloggt war und in der zentralen Datenbank Kleinanzeigen erfasste. Aber wenn halt mal jemand zehn Minuten lang aufgehört hat, Kleinanzeigen zu erfassen.

Linus Neumann
0:59:52
Tim Pritlove
0:59:54
Linus Neumann
0:59:54
Tim Pritlove
0:59:56
Linus Neumann
0:59:58

Ja

Tim Pritlove
1:00:00
Linus Neumann
1:01:28
Tim Pritlove
1:01:41
Linus Neumann
1:01:42
Tim Pritlove
1:01:44
Linus Neumann
1:02:04
Tim Pritlove
1:02:05
Linus Neumann
1:02:09
Tim Pritlove
1:02:41
Linus Neumann
1:02:44
Tim Pritlove
1:02:46
Linus Neumann
1:02:50
Tim Pritlove
1:03:38
Linus Neumann
1:03:51
Tim Pritlove
1:05:22
Linus Neumann
1:05:28
Tim Pritlove
1:05:31
Linus Neumann
1:05:47
Tim Pritlove
1:05:49
Linus Neumann
1:05:55
Tim Pritlove
1:05:56
Linus Neumann
1:06:29
Tim Pritlove
1:06:48
Linus Neumann
1:06:50
Tim Pritlove
1:06:53
Linus Neumann
1:07:07