LNP181 Die Eichhörnchen gewinnen den Cyberwar

TTIP-Leaks — re:publica 2016 — Malware in Werbenetzwerken — Flattr Plus — Panama Papers Manifest — E-Justice — Cyberwar und Infrastruktur — Elsevier vs. Sci-Hub — Kurzmeldungen

Weil die Veranstaltungen re:publica und SUBSCRIBE in der letzten Woche unsere ganze Zeit auffrassen gibt es erst jetzt eine neue Folge, die dann auch gleich etwas länger ausfiel. Wir reden über die TTIP-Leaks und die re:publica 2016, über das Übel Malware in Werbenetzwerken und Flattr Plus und zitieren aus dem beeindruckenden Manifest des Leakers der Panama Papers. Abgerundet wird das ganze durch eine ganze Reihe unserer "Kurzmeldungen", die diesen Namen ja eigentlich gar nicht verdienen. Ihr findet Euch schon zurecht.

Dauer: 2:23:29

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Bitcoin Icon Amazon Wishlist Icon

Prolog

TTIP Leaks

re:publica 2016

Flattr Plus

Panama Papers: Manifest von John Doe

E-Justice

Mehr Stromausfälle durch Eichhörnchen als Cyberterroristen

Elsevier klagt gegen Sci-Hub

NSA-Skandal: US-Geheimgericht winkte wieder alle Überwachungsanträge durch

Fingerabdruck ist nicht geheim

Torsploit: Früheres Mitglied der Tor-Entwickler half dem FBI

Regulation von Modellflug und Drohnen


In Zusammenhang mit dieser Ausgabe stehende Folgen

48 Gedanken zu „LNP181 Die Eichhörnchen gewinnen den Cyberwar

  1. Inhaltlicher fehler: Flash ist im tor-browser (einem modifizierten firefox) nicht (mehr?) an by default, genausowenig braucht man einen adblocker um es zu deaktivieren (sondern das geht über die PLUGIN- einstellungen, Ein plugin ist KEIN addon sondern codecs etc des OS).

    Ausserdem nitpick, firefox auf android kann adblock plus und andere addons

    • Die Sache bei solchen Verfahren ist immer, dass das Ganze mehrere Jahre her ist, wenn die Themen dann endlich mal vor Gericht diskutiert werden.

      Daher ist es schwierig, das vor dem aktuellen technischen Hintergrund zu diskutieren.

  2. Ich finde es ein wenig problematisch, sich bei der Kritik an TTIP so sehr auf genmanipuliertes Essen zu fokusieren. Der wissenschaftliche Konsens ist, dass GMOs nicht a priori gefährlicher sind als konventionelle Züchtungen. (Dass die Politik in Europa das komplett ignoriert, erinnert ein bisschen an die Position der US-Republikaner in Sachen anthropogener Klimawandel.) Wenn die schlimmste Konsequenz von TTIP wäre, dass sich die Regeln in Europa hier ein bisschen in Richtung aktueller Stand der Wissenschaft bewegen, hätte ich nichts dagegen.

    • Da stimme ich zu. Die Chlorhühnchen waren aus aktivistischer Sicht ziemlich dämlich. Das “böse Gen-Essen” ist als Protestansatz aber nicht besser.

      Das Hauptproblem an TTIP ist die intransparente und undemokratische Art mit der es verhandelt wird. Ich sehe ehrlich gesagt auch keinen Weg die grundsätzlichen Unterschiede in den beiden besprochenen Ansätzen zur Produktsicherheit zu überbrücken. Es wird hier nur über Standardisierungen gehen und dafür ist ein Handelsabkommen schlicht der falsche Rahmen.

  3. Das Problem der Begrenzung der Modellflughöhe auf 100m ist, das einige Spielarten des Modellflugs (z.B. RC-Segelfliegen in Thermik) komplett unmöglich wären. Modellflug funktioniert seit Jahrzehnten sicher, wird nach der Unfallstatistik immer sicherer und benötigt keine weitere Regulierung.
    Wenn man den ganzen Drohnenhype weglässt, bleiben einige wenige uninformierte oder dumme Menschen über, die ihre Spielzeuge in gefährlicher Art betreiben. Die technische Hürden hätten ihnen das vor einigen Jahren noch unmöglich gemacht. Die bereits bestehenden Gesetze halten sie aber schon jetzt nicht davon ab. Was es braucht ist Information und eine energisches juristisches Vorgehen, kein Aktionismus.

    • Ergänzung: Die Problemfälle mit Drohnen finden (fast alle) unter 100m statt.

      Erforderlich? Wirksam? Angemessen?

      Die Höhenbegrenzung löst kein Problem, erledigt aber nachhaltig eine Sportart, in der die deutschen Mannschaften übrigens seit Jahrzehnten international oben mitfliegen. http://www.modellflugimdaec.de/

  4. Zum Thema Werbe-Blocker und TOR-Browser: Der TOR-Browser ist doch eine Variante von Firefox und die neueren Firefox-Versionen beinhalten einen Tracking-Protection-Modus, der standardmäßig im Privaten Modus aktiviert ist, sich aber auch auf Tabs außerhalb desselben ausweiten lässt (in about:config der Wert mit dem Schlüssel privacy.trackingprotection.enabled). Mit diesem lassen sich nach meinen mehrmonatigen Erfahrungen fast alle Werbung blockieren, es sei denn sie kommt von derselben Quelle wie die aufgerufene Seite. Damit sollte sich das erwähnte Problem zumindest reduzieren lassen.

  5. Hallo Linus, der Tor-Browser meckert nur beim Maximieren des Fensters mit einer Einblendung, weil dann die Bildschirmgröße messbar wird (z.B. 1366 Pixel Breite). Beim Resizen passiert nix – zumindest mit dem normalen Package unter debian MATE (verwende ich gerade). Der hardened Tor Browser verweigert glaube ich das Resizen komplett (habe ihn aber erst einmal ausprobiert – der braucht seeehr viel RAM).

    Was das Publizieren im Internet betrifft – hier kann man nie genug auf die Vorzüge eines freien, offenen Netzes hinweisen. Lieber sollen sich all die kommerziellen Anbieter (zu erkennen an Paywall und nerviger Werbung) aus dem Internet zurückziehen als dass wir über Lösungen wie flattr plus überhaupt diskutieren müssen. Geld darf man meiner Ansicht nach durch das Erbringen von Arbeitsleistung oder den Verkauf von (Hardware-)Produkten verdienen, aber nicht im Nachhinein durch das Vorhalten von Information, wenn die Arbeitsleistung vollbracht ist.

    Dazu im Übrigen passend: Danke für den Rant über Elsevier und ähnliche Verlage. Daran krankt die Wissenschaft momentan am meisten – bzw. eigentlich auch am Karrierewillen des wissenschaftlichen Personals, welches dann jede ethischen Bedenken unter den Tisch fallen lässt, solange es eine weitere Veröffentlichung gibt. Ich bin auf dem Weg zum PhD auf jeden Fall just aus diesen Gründen ausgestiegen.

    • “Geld darf man meiner Ansicht nach durch das Erbringen von Arbeitsleistung (…) verdienen”
      Und wie willst du die Vergütung regeln? Kommerziell heißt hier ja, Vergütung einer Leistung.

      • Ich versteh schon, was er meint – der Unterschied ist aber nicht so leicht zu erklären. Der Arbeitgeber bezahlt den Arbeitnehmer für seine Arbeitsleistung. Klassischerweise ein physisches Produkt, mit dem der Arbeitnehmer dann Geld verdienen kann. Auch eine gedruckte Zeitung voller Artikel wäre hierbei ein physisches Produkt, alles legitim. Sobald aber das Produkt nur noch aus Information besteht, ist es unethisch, diese im Nachhinein durch Paywalls oder Werbung zu Geld machen zu wollen, da reine Information frei sein muss. Das kommerzielle Internet ist also mit den Idealen eines freien Internets prinzipiell unvereinbar. Wir müssen uns nun aber entscheiden, welche Seite wir unterstützen wollen – und da die Diskussion von Adblockern und Flattr Plus implizit die Existenz eines unfreien Internets annimmt, führt das auch für mich völlig in die falsche Richtung. Internetcontent muss frei sein, und für den Contentersteller gibt es halt die Möglichkeit, Spenden zu sammeln (aber bitte ohne Tracking), sich quer zu finanzieren oder Produkte zu verkaufen (wie es z.B. die FSF oder minifree.org machen). Aber bitte keine Werbung, kein Anbiedern an große Konzerne, keine Auswertung und kein Verkauf von Nutzerdaten!

  6. Ich hadere gerade wegen der Adblock-Geschichte wirklich sehr mit Flattr und bin am Überlegen, ob ich meine 10€ im Monat für Flattr sein lasse und in Zukunft Podcasts, Blogs und andere Projekte besser auf anderem Wege finanziell unterstütze.

    Adblock Plus ist mir höchst unsympathisch, da es Anbieter und Nutzer gegeneinander ausspielt. Dem Nutzer wird Werbung untergejubelt, wenn der Anbieter draufzahlt. Beide sind am Ende unzufrieden.

    Warum sollte irgendeine werbefinanzierte Seite sich mit Eyeo einlassen? Oder warum sollte gar eine Seite dafür werben wollen, dass ihre Besucher einen Adblocker installieren, sodass die Werbeeinnahmen einbrechen und dann hoffen, dass das Adblocker-Klientel Flattr-Kontos erstellt und mit Geld auflädt?

    Adblocker und das Flattr-Prinzip sind für mich zwei Dinge, die nichts miteinander zu tun haben und auch nicht zusammengehören sollten. Ersteres kanibalisiert zudem noch die Erlösquelle Online-Werbung. Welches Unternehmen bringt ein Produkt auf den Markt, um die Verkäufszahlen eines bereits vorhandenen absichtlich in den Keller zu manövrieren?

    Flattr sollte man unabhängig von Adblockern benutzen können. Okay, das geht auch weiterhin, wenn man die Plus-Funktionalität bzw. Adblock Plus nicht nutzt. Flattr wird aber als “das Ding mit dem Adblocker” wahrgenommen werden. Ob das aus Nutzer- und Anbietersicht Flattr gut tun wird?

    Die einzigen Vorteile für Flattr, die ich sehe, sind einerseits kurzfristig die Werbung in der Berichterstattung mit Vorstellung und Einführung des Dienstes und vielleicht den einen oder anderen neuen Adblock-Plus-Nutzer. Ich kann mir aber nicht vorstellen, dass das besonders viele sein werden.

    Und andererseits, dass statt nur bei Flattr unregistrierte Twitterer auch unregistrierte Inhalteanbieter mit brach rumliegendem, für sie bestimmten Flattr-Geld gelockt werden sollen. Das ist die einzige aus Flattr-Sicht wirklich interessante Neuigkeit, die man auch ohne Adblock-Plus-Kooperation anbieten hätte anbieten können. Es geht ja auch irgendwie um die Revolution der Content-Finanzierung durch die User, die freiwillig Geld auf die Seiten werfen und zeigen sollen, dass es auch ohne Werbung geht. Aber den ganzen Adblocker-Quatsch kann man da auch einfach weglassen.

    • Auch wenn ich die Idee hinter flattr plus zumindest schon mal interessant finde – mal ganz davon abgesehen, ob sie gerecht wäre oder nicht – habe ich selbst nun meinenn flattr account gelöscht, da ich es nicht gut heiße, wenn die gerade mit Eyeo zusammen gehen, die nun ganz und gar keinen guten Eindruck mit ihrem Geschäftsmodell bei mir genießen.

      Generell wird flattr plus aber sicherlich das gleiche Problem haben wie flattr selbst. Denn es werden dadurch sehr wahrscheinlich nicht auf einmal mehr Leute werden, die für “kostenlosen” Inhalt auf einmal Geld zahlen wollen.
      Das beste Beispiel da sind in meinen Augen immer Apps, wo die meisten aus meinem Bekanntenkreis nicht einmal wenige Cents dafür ausgeben wollen, selbst wenn es gute Apps sind. Wenn es auch (teils schlechte) Alternativen kostenlos gibt sind die dann mehr als geizig.

  7. In Bezug auf die Aussage, dass sich der (online) Journalismus mangels angemessener Vergütung dem Ende entgegen bewegt, ist erwähnenswert, dass es auch noch das öffentlich rechtliche Angebot gibt (Öffentlich-rechtlicher Rundfunk), das dieses Problem nicht hat.

    Der Debatte, dass die Ersteller der online Inhalte bezahlt werden wollen/müssen/sollen/können, kann man das Thema bedingungsloses Grundeinkommen hinzufügen.

    Die Aussage, dass alle adblocker Benutzerdaten erheben und damit handeln, trifft afaik nicht zu auf ublock / ublock origin. Zumindest wenn man der privacy policy glauben schenken darf:
    https://github.com/gorhill/uBlock/wiki/Privacy-policy

  8. Dass es in Deutschland zu weniger Cyberangriffen durch Eichhörnchen gekommen ist liegt übrigens daran, dass der Großteil der Eichhörnchen schon gar nicht die formalen Anforderungen erfüllen, um überhaupt den dafür notwendigen Antrag stellen zu können auf Erlaubnis für eine animal-invasive cyberattacke.

    Unter Federführung des Sekretariats der Stabsstelle des BSI, Abteilung Nagetiere & Otter, Standort Alt-Ötting, wurden in der Verordnung über animal-invasive cyberattacken (Vüaica, §0815) die formalen Anforderungen für Wildtiere (im Gegensatz zu Nutz– Haus– & Heimtieren) bewusst hoch angesetzt. Auf Druck der bayrischen Delegation wurden Paarhufern Sonderrechte eingeräumt.

    Dies ist im Rahmen des ‘squirrelak’ publik geworden. Logbuch Petzpolitik berichtete.

  9. Warum redet eigentlich keiner über CETA, was in wenigen Tagen ratifiziert werden soll. Ich kenne mich zwar nicht wirklich aus, aber ich habe gehört, im Ergebnis erhalten US-Unternehmen damit schon sehr weitreichende Möglichkeiten, wie z.B. Schiedsgerichtsverfahren, wenn sie eine Filiale in Kanada haben. Da fast alle amerikanischen aber deutlich weniger europäische Unternehmen Filialen in Kanada haben, entsteht einen m.E. beängstigende Asymmetrie.
    Ich habe irgendwie das Gefühl, dass die Amerikaner TTIP scheitern lassen können, weil durch die Hintertür CETA bereits vieles für amerikanische Unternehmen erreicht wird.

    • Da fast alle amerikanischen aber deutlich weniger europäische Unternehmen Filialen in Kanada haben, entsteht einen m.E. beängstigende Asymmetrie.

      Hä? Europäische Firmen sollten doch Filialen in Europa haben. Oder gibt CETA dieses Recht ausschließlich kanadischen Firmen (dafür hätte ich dann aber gerne eine Quelle)? Und wenn das so wäre, dann gäbe es eine Asymmetrie auch direkt zwischen europäischen und kanadischen Unternehmen, ohne dass US-Unternehmen involviert sind.

      • Ich bin alles andere als ein Experte und habe das Thema nur am Rande mitbekommen.

        Das Problem mit CETA ist, dass es viele Dinge von TTIP, u.A. die Schiedsgerichte, auch enthält.
        Wenn jetzt ein US-Unternehmen ein Problem mit einem europäischen Gesetz o.ä. hat, braucht es nur eine Dependance in Kanada um über den Umweg CETA seine Interessen durchzusetzen. Da fast alle amerikanischen Unternehmen eine Sitz in Kanada haben, ist das sehr weitreichend.
        Europäische Unternehmen können diesen Weg jedoch nicht gehen, da selbst bei einer Dependance in Kanada im Verhältnis zur USA CETA keine Rolle spielt.

        Damit können sich die USA bei TTIP gelassen zurücklehnen, weil sie schon dank CETA einen viel breiteren Fuß in der Tür haben, als die Europäer.

        Evtl. habe ich das aber auch falsch verstanden.

        • Europäische Unternehmen können diesen Weg jedoch nicht gehen, da selbst bei einer Dependance in Kanada im Verhältnis zur USA CETA keine Rolle spielt.

          Das nicht, aber es gibt doch seit Jahren genügend Freihandelsabkommen zwischen Kanada und den USA.

    • Genau zu diesem Schlupfloch, dass die USA sicherlich nun viel lieber TTIP scheitern lassen könnten, um dann mit CETA ihre Vorteile zu ziehen, ohne die Nachteile in Kauf nehmen zu müssen, gibt es auf den Nachdenkseiten auch einen Beitrag (auch als Audioversion, 11 Minuten)

      http://www.nachdenkseiten.de/?p=33314

      Habe ehrlich gesagt jedoch keine andere Quelle gelesen/gehört, ob diese Darstellung auch so zutreffen würde.

  10. Eine Tonaufzeichnung des Vortrags mit Edward Snowden soll es über Voice Republic geben: https://voicerepublic.com/talks/the-fourth-revolution Allerdings steht da bisher, dass sie noch in Bearbeitung ist.

    Durch diesen Republica-Vortag ist mir klar geworden, dass man Werbebanner zur Geldwäsche verwenden kann. :D

    Also so schlecht finde ich die Idee nicht, entgangene Werbung durch eine Abgabe zu kompensieren. Letztlich erzwingt man so die Möglichkeit sich von Werbung freizukaufen. Ob die Kombination aus Flattr und Adblock Plus das den Werbeflächenanbietern gewinnend überhelfen wird, kann man natürlich seine Zweifel haben. Aber das Werbevideo ist fantastisch. ;)

    Für Flattr scheint mir das jedenfalls ein Umweg zu sein. Wahrscheinlich hätten sie von Anfang an auf eine eigene Browser-Extension setzen sollen. (Gibt ja auch verschiedene, aber ich meine als Hauptplattform.) Letztlich ist ihre Dienstleistung am Nutzer hauptsächlich ein Notizzettel, wer Geld bekommt. Das kann auch die Extension aufzeichnen und in einem lokalen Interface zugänglich machen und Flattr bräuchte diese Information überhaupt nur einmal am Ende des Monats als aggregierte Liste der Empfänger entgegennehmen, wodurch auch das Tracking nicht so umfangreich ist. Außerdem könnte damit jedes Webangebot ungefragt einen Button erhalten. Gibt ja unterschiedliche Möglichkeiten mit Flattrs umzugehen, wo die potentiellen Empfänger nicht im System sind.

    Auf diese Sci-Hub-Geschichte bin ich über mehrere Artikel bei Science gestoßen, inklusive einem Datensatz über die weltweite Nutzung:

    http://www.sciencemag.org/news/2016/04/whos-downloading-pirated-papers-everyone
    http://www.sciencemag.org/news/2016/04/alexandra-elbakyan-founded-sci-hub-thwart-journal-paywalls
    http://science.sciencemag.org/content/352/6285/497

    Aus meiner Sicht ist das aber auch nur eine instutionalisiertere Variante der gängigen Praxis, das Urheberrecht an wissenschaftlichen Artikeln zu missachten, indem liberal PDFs herumgeschickt werden.

    Hier hätte man übrigens ruhig auf die Forschergeist-Folge zu Open Science verweisen können.

  11. Upps, vielleicht kann jemand meinen Kommentar halbieren, die obere Hälfte ist der letzte Stand. Danke. :)

    Und ich habe vergessen zu fragen, kann man sich gegen Kryptotrojaner vielleicht durch zu wenig Speicherplatz auf der Platte schützen?

  12. Sehr schön, dass ihr hier mal das Elsevier Problem (und das anderer Verlage) erörtert. Im Prinzip habt ihr schon die meisten Punkte genannt. Man kann dem Verlagen auch, wie ich finde, nur bedingt einen Vorwurf machen, schließlich sind es Wirtschaftsunternehmen und deren einziges Ziel ist es nun mal ihren Profit zu maximieren (Im Fall von Elsevier ist die prozentuale Gewinnmarge übrings höher als bei Apple). Ist halt auch eine politische Entscheidung das System so weiter laufen zu lassen wie es die letzten Jahrzehnte lief. Eine verpflichtende open access policy für Publikationen könnte man ja relativ einfach in die Statuten von Drittmittel aufnehmen. Die aller meisten eingeworbenen Drittmittel in Deutschland sind sowieso zumindest staatlich gefördert.
    Eine Sache möchte ich noch anmerken bezüglich des Impact Factors:
    Dieser ist nämlich, anders als viele annehmen, keine einfache Formel und für jeden nachvollziehbar. Normalerweise lässt er sich berechnen durch die Anzahl an Zitierungen, geteilt durch die Anzahl an Publikationen in einem bestimmten Zeitraum. Jedoch ist der Imapact Factor weit mehr als das, da er ein kommerzielles Produkt von Thomas Reuter ist. Und die einzelnen Verlage können mit Thomas Reuter verhandeln was zum Beispiel in einem Journal überhaupt zitierfähig ist. Falls etwas als nicht zitierfähig eingestuft wurde, zählt es nicht zu der Anzahl an Publikationen, obwohl es trotzdem zitiert werden kann, was dann wiederum zu der Anzahl an Zitaten dazugerechnet wird und somit den Impact Factor verwässert. Natürlich ist dieser Prozess überhaupt nicht transparent. Es ist schon sehr erstaunlich, wie viel in der Wissenschaftscommunity von dem Impact Factor abhängt, der selber so ganz und gar nicht wissenschaftlich ist.
    Wer übrings eine Veröffentlichung von einem Journal einzeln kaufen will zahlt meistens deutlich mehr als nur 5€. Eher so in den Größenordnungen zwischen 20-30€.

  13. Hallo Linus, Hallo Tim,
    als Airline-Pilot+Modellflieger+Quadcopter-Flieger möchte ich folgenden Senf hinterlassen:

    Die angestrebte Neuordnung hat meiner Meinung nach vor allem die in letzter Zeit zugenommene Anzahl von Annäherungen von Drohnen an an- und abfliegende Verkehrsflugzeuge zum Hintergrund.

    Diese Drohnen-Ops verstößt aber auch heute schon gegen allerlei Regeln/Gesetze:

    1. Rund um größere Verkehrsflugplätze ist der Betrieb von Drohnen und Modellflugzeugen generell verboten. (Hochwertige Drohnen wie die DJI Phantom Serie weigern sich übrigens, in der Nähe von Flugplätzen zu starten, bzw. in deren Nähe einzufliegen. Das gleiche gilt für Haftanstalten, Stadien und Kraftwerke). Weiter draußen sind die An- und Abflugzonen durch Luftraum “C” geschützt, dort ist nur IFR-Traffic zugelassen.

    2. Modellflugzeuge und Drohnen dürfen generell nur durch direkten Sichtkontakt gesteuert werden, d.h. reine FPV-Flüge sind generell nicht erlaubt. Das Modell muss ohne Hilfsmittel gesehen und so erkennbar sein, dass es auch ohne Hilfsmittel gesteuert werden kann (man muss z.B. erkennen, wo vorne und hinten ist)

    Nur wenn man 2. einhält, wird man mit einem normalgroßen Modell nicht über 150m (Drohne) bzw. 300m (Modellflugzeug) fliegen, weil man dann nichts mehr erkennt.

    Nur wenn man 2 einhält, kann man den Luftraum um das Modell beobachten, um auf evtl. auftretende Privatflieger und Hubschrauber zu reagieren.

    Die Probleme, die wir heute vor allem mit Drohnen haben, kommen daher, dass sich Idioten, die unser Hobby kaputt machen, nicht an bestehende Gesetze halten. Dies wird sich auch nicht dadurch ändern, dass der Rest, der sich an die bestehenden, sinnvollen und ausreichenden Regeln hält, durch neue Gesetze unverhältnismäßig weiter eingeschränkt wird.

  14. Journals sind teure Geldshredder und ein Tumor, wie Linus sagt.

    In der EU und in Großbritannien gibt es aber seit einiger Zeit “OpenAccess”: Wenn man einen Artikel veröffentlicht, *muss* dieser frei verfügbar sein. Das ist Bedingung in den “Horizon 2020” Grants der Europäischen Union, und auch Bedingung um in Großbritannien für die REF (Evaluierung der Forschung) überhaupt in Betracht gezogen zu werden, und um von EPSRC überhaupt Geld zu bekommen!

    Natürlich haben die Verlage da eine Lösung, sie berechnen dir einen “Publication Fee”.

  15. Zum Tema “Flattr Plus”:
    Dass es keine Alternativen zu Flattr oder Werbenetzwerken gibt, um einen Revenue für kostenlose Internet-Dienste an die Autoren fliessen zu lassen und deren Nachteil, dass durch deren zentralistische Architektur Zugriffs-Überwachung und sogar Schad-Software verteilt werden kann, kann ich so nicht unterschreiben.

    Zunächst muss man einmal zwischen “Werbung verteilen” und “Profildaten abliefern” unterscheiden. Viele haben gar nichts gegen Werbung, aber viele möchten sich im Internet nicht nackt machen. Aber leider können die meisten verfügbaren Plugins (AdBlockPlus, Ghostery, u.a) das nicht unterscheiden. Die können einfach nur den Server Blocken.

    Wenn ihr euch einmal das Konzept der TrutzBox näher anschauen würdet, dann könntet ihr feststellen, dass die in der Lage ist, Werbung zuzulassen, aber den Werbetreibenden “trutzdem” keine Profildaten zu liefern. Somit ist es mit diesem Konzept möglich über Werbenetzwerke Revenue zu generieren ohne die Hosen runter zu lassen. Da funktioniert sogar bild.de (mit Werbung) aber der Werbetreibende bekommt keine (bzw. gefälschte) Profildaten. Details sind hier im TrutzBox Kompendium beschrieben: https://comidio.de/support/. Deren Kompendium ist übrigens auch bzgl. vieler anderer Themen die ihr hier behandelt sehr lesenwert. Könnt ihr die nicht mal in eure Sendung einladen?

    • Wäre interessant zu wissen, ob die ihren TLS-man-in-the-middle-Proxy gut hinbekommen haben. Die meiste derartige Software die ich bisher gesehen habe, hat nicht unbedingt für mehr Sicherheit gesorgt.

      Und wie funktioniert das eigentlich auf Google-Seiten unter Chrome? Macht Google nicht CA-Pinning, oder gibt es da eine Ausnahme für manuell importierte CAs?

      • Bzgl. deren TLS-man-in-the-middle-Proxy konnte ich keinen Fehler feststellen: bei der Einrichtung der TrutzBox erzeugt sie ein einmaliges Stamm-Zertifikat das einmalig im Browser importiert werden muss. Bei jedem SSL-Seiten-Abruf wird ein neues SSL-Zertifikat für den Browser erzeugt, das durch dieses Stamm Zertifikat bestädigt wird. Ich denke, das ist wirklich sicher und besser kann man das gar nicht implentieren.
        Wie die das Problem mit CA-Pinning lösen weiß ich nicht, aber es funktionirt. Evtl. regalt das der Proxy. Jedenfalls habe ich mit Google-Seiten unter Chrome kein Problem.

        Allerdings kann die TrutzBox auch Zugriffe von Apps kontrollieren und die haben das Server-Zertifikat oft in der Apps fest eingespeichert. In diesem Fall erkenn das der Proxy und schaltet die Verbindung zum Server transparent durch. Er kann dann zwar nicht mehr die Daten “säubern”, aber er kann weiterhin Zugriffe auf unerwünschte Server blockieren. Und er zeigt auch, auf welcher Server eine Apps zugreift.

        Die TrutzBox wurde schon von mehreren Zeitschriften getestet (PC-Welt und Golem) und für die beste Lösung befunden.

        • Naja, eine wichtige Frage ist, was passiert wenn der Server ein Zertifikat liefert, das (aus welchen Gründen auch immer) nicht akzeptiert werden soll? Das war ja eine Sache, die der berühmte Lenovo-MITM-Proxy falsch gemacht hat. Und ist die Crypto nach außen und insbesondere der Zertifikatsvalidierungsmechanismus der TrutzBox ähnlich gut wie bei Browsern? Gibt es entsprechende regelmäßige Updates, damit das System immer aktuelle und sichere Algorithmen verwendet und nicht anfällig für Fallback Attacken ist, und damit problematische CAs entfernt werden können?

          Allerdings kann die TrutzBox auch Zugriffe von Apps kontrollieren und die haben das Server-Zertifikat oft in der Apps fest eingespeichert. In diesem Fall erkenn das der Proxy und schaltet die Verbindung zum Server transparent durch.

          Wie kann der Proxy das erkennen? Mir fällt keine wirklich saubere Lösung ein (der Client sagt dem Server schließlich nicht, welches Zertifikat er erwartet), nur unschöne Heuristiken. Also z.B. “wenn der TLS-Handshake vom Client abgebrochen wird, setze [Client-IP, Server-IP, Server-Port, Server-Hostname (SNI)] für eine gewisse Zeit lang auf eine Blacklist”. Das würde dann aber dazu führen, dass die erste Verbindung nie zustande kommt.

          • Der Prxy hat die gleiche Liste von Stamm-Zertifikaten wie Firefox. Und ein SSL-Zertifikat, das von einem dieser Stamm-Zertifkaten bestädigt wird, wird vom Proxy bestädigt, also wie in jedem Browser. Wenn der Proxy das nicht kann (z.B. bei selbst erstellten SSL-Zertifikaten, fragt er den User, also auch wie jeder Browser.

            Das mit den in den Apps fest einprogrammierten Zertifikaten funktiuoniert ganau so wie Du hier vermutest. Und genau deswegen geht die erste Verbindung dann immer schief. Aber im normalfall versuchen es die Clients mehrfach, so dass das kaum auffällt. Da alles was die TrutzBox so macht sehr transparent für den Administrator angezeigt wird, kann man solche Zugriffe auch nachvollziehen.
            Hast Du mal in das Kompendium geschaut, ich denke da müsste das auch alles beschrieben sein.

  16. @Tim&Linus:

    Semi-OT:
    Udo Vetter glaubt, zu wissen, “TOR” sei kompromittiert. Möchtet Ihr ihm das mit “TOR” und dessen Sicherheit mal erklären? Sonst denken die Leute noch, “TOR” sei tot. Danke.

    “Wie ich aus aktuellen Fällen weiß, hat sich die Tauschszene in letzter Zeit weitgehend über das TOR-Netzwerk abgeschottet. Allerdings gilt TOR mittlerweile als korrumpiert. Gerade in den letzten Monaten feiern die Behörden immer wieder Ermittlungserfolge durch neuere technische Möglichkeiten, das TOR-Netzwerk zu penetrieren. Ganz vorne sind die Polizeibehörden bzw. Geheimdienste aus dem angelsächsischen Raum. Diese versorgen ihre deutschen Kollegen verstärkt mit Listen von Nutzern, die trotz der vermeintlichen Anonymität des TOR-Netzwerks enttarnt wurden.”

    https://www.lawblog.de/index.php/archives/2016/05/12/dein-wlan-dein-risiko/

  17. Ich hatte die Woche erst ein Gespräch mit einem Modellflieger über das Thema. Unter den klassischen Modellfliegern sind Drohnen verpöhnt, weil diese in den letzten Jahren erst für den schlechten Ruf des Modellflugs gesorgt haben. Durch den geringen Preis ist die Einstiegshürde gesunken und somit gibt es auch mehr unbedarfte Piloten mit weniger Interesse für die Fliegerei an sich und somit auch die rechtlichen Rahmenbedingungen. Seiner Meinung nach sollten Drohnen und der klassische Modellflug getrennt behandelt werden.

    Verschwörungstheorie(?): Die Flughöhe auf 100m zu begrenzen soll den Luftraum freihalten für kommerzielle Drohnen (Amazon, DHL) mit einer Flughöhe von 150m. (Auf diese könnte man dann noch schön eine Maut erheben ;-))

  18. Guten Morgen!

    Damit eine Sendung über Digitales nicht vollends in die Richtung Handelsabkommen etc. abdriftet, will ich zu den Ursprüngen zurück…zu den Eichhörnchen!

    Es ist bekannt, das diese Tiere den einen oder anderen Stromausfall herbeigeführt haben. Nur die Ergebnisse sind in der Regel recht mager. Kein nachhaltiger Schaden, da eine Reparatur des Kabels die Stromlosigkeit beendet.

    Zu bevorzugen wäre das “Tierchen” Black Energy! Dies ist ein Malware-Kit, seit ca. 2007 erwerbbar und wird laufend weiterentwickelt. Der Preis ist mehr als moderat, nämlich USD 700. Spezialisiert ist das Ding auf die Bereiche Energie, Medien, Telekommunikation und Regierungsorganisationen.

    Ich bin jetzt so frech und gehe davon aus, das das kein Freizeitprojekt, sondern sicher eine Erwerbsquelle der Programmierer ist. Man sieht also, das Thema ist nicht nur bei den Eichhörnchen aktuell.

    Und zur Ehrenrettung unserer Nager möchte ich noch auf folgendes Ereignis hinweisen: http://www.golem.de/news/us-untersuchung-hacker-verursachten-tatsaechlich-stromausfall-in-ukraine-1602-119432.html

    Man sieht also, das die Information der “futurezone”, das es noch nie einen durch Hacker hervorgerufenen Stromausfall gegeben hat, leider falsch ist!

    Ich wünsche noch einen schönen Abend!

  19. Irgendwie vermisse ich in der Diskussion um Ad Blocker privoxy — damit umgeht man doch die genannten Probleme. Oder übersehe ich etwas?

  20. Ich finde den Vergleich mit dem Schlüssel beim Durchsuchungsbefehl etwas schlecht, denn, wie Linus gesagt hat, kann die Polizei in Fall einer Verweigerung der Schlüsselausgabe die Tür einhauen. Und wenn man sich weigert seinen Fingerabdruck auf den Scanner zu legen?

  21. Hallo Linus,

    zum Essen mit Genen drin:

    Gentechnik ist ein Werkzeug, nichts weiter. Es kommt darauf an wie man es einsetzt. Wird eine Pflanze gegen Unkrautvernichtungsmittel resistent gemacht und dieses Zeug dann Tonnenweise versprüht, ist die Pflanze und auch unser Lebensmittel belastet. Das ist schlecht. Produziert die Pflanze selbst ein Gift, könnte das ebenfalls für uns schlecht sein. Ebenso für die Lebewesen in der Nähe des Anbauorts. Und natürlich ist es beschissen wenn Monsanto völlig ungeeignetes und genmanipuliertes Saatgut an indische Bauern verkauft, die keinen Ertrag erzielen und plötzlich überschuldet sind und zu tausenden Selbstmord begehen.

    Ebenfalls könnte eine unkontrollierte Einkreuzung über Pollenflug in Wildpflanzen ein Problem werden. Wobei man sich aber auch fragen könnte, ob ein Vorteil für den menschlichen Anbau auch ein Selektionsvorteil in der Natur wäre. Vermutlich nicht.

    Wenn du deine Körperzellen zählen würdest, eine pro Sekunde, würdest du 30 Millionen Jahre brauchen. Würdest du die Bakterien, allein in deinem Darm auf die selbe Art zählen, bräuchtest du mehr als 300 Millionen Jahre. Bis jetzt hat man ca. 1000 verschiedene Arten gefunden. Alles das sind Lebewesen mit eigenem Genom. Ebenso nimmst du Gene auf wenn du Nahrung zu dir nimmst.

    Und? Hast du schon Veränderungen in deinen Genen feststellen können?

    Der Menschliche Körper erlangt keine neuen Gene über horizontalen Gentransfer. Für den Körper macht es keinen Unterschied welche Gene man aufnimmt oder nicht, oder wie die DNA genau aussieht. Völlig unerheblich.

    Während du diese Zeilen liest atmest du kleine Partikel aus Abgasen ein, die sich in deinem Körper an deine DNA anlagern und dort bei dem nächsten Kopier- und Ablesevorgang für Fehler sorgen. Daraus könnte irgendwann Krebs werden. Das ist ein Problem (mutagene Substanzen), nicht wenn man genmanipulierte Pflanzen isst.

    Die gesamte Diskussion über genmanipuliertes Essen erinnert an die Kritiker der Eisenbahn. Damals wurde behauptet, dauerhafte Geschwindigkeiten über 30 km/h wären gesundheitsschädlich.

    Was mich persönlich wirklich stört ist die Art und Weise wie dieses Wissen und diese Technik zu Gewinnzwecken eingesetzt wird. Das ist aber ein Kapitalismusproblem, nichts anderes. Sämtliche Eigenschaften, die man den Pflanzen künstlich verpasst gibt es schon längst in der Natur. Es gibt mehrere tausend Reissorten auf der Welt. Aber nur eine Handvoll wird angebaut. Obwohl es Sorten mit mehr Vitaminen gibt, die auch robuster gegen schlechte Umweltbedingungen sind, wird plötzlich behauptet wir brächten Gentechnik um unsere Ernährung zu sichern und um genau diese Eigenschaften in die verbreiteten Nahrungsmittelpflanzen einzubauen. Das ist natürlich Unfug.

    Trotzdem braucht es da eine differenzierte Betrachtung. Forschung ist wichtig. Auch, und vor allem die an der Biologie.

  22. @ Linus

    URGENT! Zu Deinen neuen Kopfhörern!

    Siehe hier: https://twitter.com/Linuzifer/status/733645432790863873

    Du weißt schon, dass es ein beliebter Trick ist, unverdächtig erscheinende “Geschenke” unverlangt an Zielpersonen zu senden, oder? Mancher Admin hat sich schon über eine schicke neue Tastatur gefreut. Und so ein Kopfhörer mit eingebautem Mikrofon, Sendeeinrichtung und vielleicht sogar Kamera ist sicherlich recht interessant, wenn man einen CCC-Hacker etwas näher kennenlernen möchte. Du verstehst? ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.