EuGH zu Vorratsdatenspeicherung — Heartbleed — NSA-Untersuchungsausschuss — Big Brother Awards 2014
Linus ist wieder mal unterwegs aber dafür ist Andre Meister frisch von seiner Südostasienreise zurückgekehrt und führt durch die Themen der Sendung. Wir blicken auf das vielbeachtete und vieldiskutierte Urteil des Europäischen Gerichtshofs zur Vorratsdatenspeicherungs-Richtlinie der EU, diskutieren die Implikationen und Verdächtigungen rund um den fiesen Heartbleed-Bug und schütteln den Kopf über den ruppigen Start und die unklare Linie des NSA-Untersuchungsausschusses des Deutschen Bundestages. Zum Abschluss schauen wir noch auf die diesjährigen Preisträger der Big Brother Awards 2014.
Andre Meister
Tim Pritlove
Shownotes
Prolog
EuGH urteilt über Vorratsdatenspeicherung
- Urteil des Gerichtshofs
- The data retention judgment: The CJEU prohibits mass surveillance
- EU-Kommission Malmström zweifelt, ob neue Richtlinie zur Vorratsdatenspeicherung kommt
- Ist die Vorratsdatenspeicherung nach der Entscheidung des EuGH tot?
- Die Vorratsdatenspeicherung – Eine Geschichte des „Policy Laundering“
- Sascha Lobo: Der Zombie lebt
- SPD-Innenminister fordern Vorratsdatenspeicherung, immer noch
- Regierung verzichtet auf Gesetz zur Vorratsdatenspeicherung
Heartbleed-Bug in OpenSSL
- The Heartbleed Bug
- Heartbleed Explanation
- Heartbleed test
- NSA Said to Exploit Heartbleed Bug for Intelligence for Years
- Statement on Bloomberg News story that NSA knew about the “Heartbleed bug” flaw
- Obama Lets N.S.A. Exploit Some Internet Flaws, Officials Say
NSA-Untersuchungsausschuss
- NSA-Ausschuss-Vorsitzender tritt zurück
- NSA-Ausschuss unterbricht Sitzung wegen Snowden-Streit
- Snowden stellt keine Bedingungen für seine Aussage
- Glenn Greenwald in Berlin, bei FAZ, Zeit und Tagesspiegel
Was mir in der „Heartbleed“-Sache zu kurz kommt: Viele Seiten nutzen eh eine Verschlüsselung die zu schlecht ist. RC4 gilt als geknackt, evtl. sogar vom NSA in Echtzeit entschlüsselbar. Viele Seiten haben noch vor kurzem diese Verschlüsselung als Standard benutzt, also wenn der Browser sie unterstützt, dann wurde diese ausgewählt. Auf Hinweise wegen der Sicherheit gab es meiner Erfahrung nach keine Reaktionen.
Auf https://jobboerse.arbeitsagentur.de konnte man nur RC4 nutzen. Bei anderen Seiten bekam man eine bessere Verschlüsselung wenn man RC4 im Browser deaktiviert hat. Immer noch schlecht: https://www.ssllabs.com/ssltest/analyze.html?d=jobboerse.arbeitsagentur.de&s=195.88.116.72&hideResults=on
Ich hatte es deaktiviert, musste es aber wieder aktivieren um Youtube nutzen zu können. Also weil ich YT haben will und den Entscheidungen verschiedener Systemadmins surfe ich nun wieder etwas unsicherer. Ich könnte YT und andere Seiten in einem anderen Browser nutzen, nur ist das kein Weg den man der breiten Masse nahe legen könnte.
Auf wann und welchen Browser bezieht sich das? Bei Youtube bekomme ich gerade sowohl mit Firefox als auch mit Chrome TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, was State of the Art sein dürfte. Laut ssllabs.com steht was mit RC4 bei Youtube erst an vierter Stelle.
Einige von den Servern die für die Auslieferung der Daten für Youtube verantwortlich sind benutzen nur eine RC4 Verschlüsselung. Ich habe das mal bemerkt als sich einige Videos nicht abspielen liessen:
https://www.ssllabs.com/ssltest/analyze.html?d=r6—sn-i5onxoxu-q0nl.googlevideo.com
Naja, 128bit-aes habe ich auch abgeschaltet. :D Aber wie Jareth weiter unten schon schrieb, ist das eh nicht das Problem. Ja, manchmal gingen Videos. Die eingebetteten gingen außerdem immer, nur die auf YT direkt nicht.