LNP203 Unglück im Glück im Unglück

Feedback — Telekom Routerausfall — Big Data — Fake News — Wikileaks — ANISKI — Grundrechtecharta — Thoughtcrime — 33C3

Wenn man mal ein paar Tage zu spät aufnimmt kann das Thementablett ganz schön schwer werden. Entsprechend kredenzen wir Euch heute eine Sendung in Überlänge, da wir es für nötig erachteten, ein paar Sachen mal ganz genau zu erklären. Und da Linus bei den beiden Hauptthemen (Telekom/Big Data) aus verschiedenen Gründen ganz tief in der Materie steckt, knacken wir eben mal die 3-Stunden-Marke. Wird sicherlich so schnell nicht wieder vorkommen, aber wir denken, es ist dafür eine Menge Gedankenanregung dabei.

Dauer: 3:03:37

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Amazon Wishlist Icon Bitcoin Icon

Feedback: Social Bots

Telekom Routerausfall

IT-Sicherheitsgesetz schleppend

Big Data

Fake News

Wikileaks NSAUA

Projekt ANISKI

Grundrechtcharta

Thoughtcrime

33C3


In Zusammenhang mit dieser Ausgabe stehende Folgen

61 Gedanken zu „LNP203 Unglück im Glück im Unglück

  1. Hallo Linus,

    da du einen geraumen Teil der Sendung mit dem Erklären von Psychologie-Basics verbracht hast, hier ein paar Anmerkungen:

    1) für die fach-unspezifische Allgemeinheit ist es vielleicht besser, Perzentile zu erklären als z-Standardisierung. Kann man beides ja ineinander umrechnen, und beides bezieht die Menschengruppe mit ein, relativ zu der man sich irgendwo auf einer Dimension befindet. Aber da Konzepte wie die Standardabweichung nicht allen bekannt sind, ist es für den Normalo vielleicht besser zu erklären, was ein 50% Perzentil ist, ein 90% Perzentil und ein 99% Perzentil. Oder ganz banal: “93% der Menschen sind weniger neurotisch als du”, ist wissenschaftlich ebenso korrekt aber möglicherweise leichter zu verstehen. In meiner Arbeit mit dem NEO-FFI (standard 5-Faktoren-Tool) bespricht man das Ergebnis mit der VP in Perzentilen.

    2) als Gütekriterium für psychologische Tests sollte man auf jeden Fall die Begriffe “Reliabilität” und “Validität” nennen. Reliabilität bedeutet, dass ein Test bei mehrfacher Durchführung, also z.B. auch an anderen Tagen, mit anderen Versuchsleitern, in anderen Räumlichkeiten, möglichst ähnliche Ergebnisse liefert. Validität bedeutet, dass ein Test das misst, was er messen soll. Der NEO-FFI wäre z.B. Müll, wenn VPs mit mit hohen Extraversionswerten auf Nachfrage angeben, dass sie sich am Wochenende gerne im Bett verkrümeln und Serien gucken. Oder VPs mit niedrigen Werten in Gewissenhaftigkeit berichten, dass sie so gut wie nie zu spät kommen und stets alle Aufgaben sorgfältig erledigen, die ihnen aufgetragen werden. Das würde gegen die Validität eines Tests sprechen. Der NEO-FFI ist in beiden Gütekriterien jedoch ziemlich gut, was einerseits für die Testkonstruktion, andererseits auch für das zugrundeliegende Fünf-Faktoren-Modell spricht. Validität und Reliabilität können übrigens bei einem schlechten oder zu kurzen Fragebogen in den Keller gehen, selbst wenn das Fünf-Faktoren-Modell korrekt ist. Das stets die Abwägung bei der Facebook-Variante solcher Tests (Linus weiß das sicherlich, ich wollte es nur erwähnen).

    3) Ich hatte beim Hören die ganze Zeit das Gefühl, dass du den Begriff “Prädiktor” suchst. Damit hätte man einige Punkte etwas leichter erklären können. Zum Beispiel: “Neurotizismus ist ein negativer Prädiktor für Lebenszufriedenheit” heißt, ein hoher Neurotizismuswert sagt mit einer gewissen Wahrscheinlichkeit voraus, dass die VP mit ihrem Leben eher unzufrieden ist. Die Kausalität ist hier übrigens durchaus gegeben, allerdings sind Prädiktoren praktisch nie perfekt (da wir keine Maschinen sind). Da bleibt immer eine Schwammigkeit übrig. Bestes Beispiel: die Aussage meines damaligen Profs, der IQ eines Kindes wäre ein guter Prädiktor für den Schulerfolg und den späteren beruflichen Erfolg eines Kindes, löste in der Lehrveranstaltung Furor bei älteren Lehrerinnen aus, die den Kurs als Fortbildungsmaßnahme belegt haben. Dies sei ja nicht immer so, wie könne man nur so etwas behaupten. Skandal. Ja, “Prädiktor” eben nicht verstanden :)

    Noch eine persönliche Anmerkung: in der Berichterstattung über diese neuen Methoden der Wahlbeeinflussung war ich tierisch angenervt davon, wie das (oho, eine sprechende Abk.) O.C.E.A.N.-Modell als heißester Scheiß aus der Wissenschaft dargestellt wurde. Davon ist nichts neu. Neu ist das Vorhandensein von “Big Data”, die die Leute freiwillig preisgeben, und die Skrupellosigkeit, diese Daten hardcore für eigene Zwecke zu missbrauchen. Es ist wie ein Spiel mit dem Feuer. Darum wollen glaube ich auch rechtspopulistische Parteien in Deutschland den Rundfunkbeitrag abschaffen. Hier geht es nicht um das kleinbürgerliche “Zwangssteuer!”-Geschrei, sondern darum, weitgehend neutrale Berichterstattung aus der Öffentlichkeit zu verbannen, um den Anteil der sozialen Medien in der Lebenswirklichkeit der Menschen und somit die eigene Vorherrschaft und damit einhergehend auch die Manipulationsmöglichkeiten auszubauen.

  2. P.S.: Ich wollte hier noch eine Lanze brechen für den Myers-Briggs-Typenindikator. Man darf diesen Test nicht als Wissenschaft betrachten, er erfüllt schlicht gewisse Kriterien nicht. Auch die Jung’schen Funktionen nicht. Die Youtube-Szene um diese Typisierungen herum ist auch kritisch zu betrachten und driftet schnell in esoterische Gefilde ab. Mir (als M.Sc., *ähm*) haben diese Tests dennoch weitergeholfen, da sie als Startpunkt dienen können, sich mit seinem eigenen Verhalten auseinanderzusetzen und mit anderen Personen darüber auszutauschen. Man kann selbst gucken, wie reliabel so ein Test für einen ist, indem man ihn mehrmals in verschiedenen Gemütslagen durchführt. Man kann die Validität untersuchen, in dem man schaut, welche anderen Personen denselben Typ haben, ob man sich mit deren Aussagen identifiziert, welche Personen des öffentlichen Lebens einem zusagen und welche nicht. Alles wie gesagt unter der Überschrift “Unterhaltung”, nicht “Wissenschaft”. Aber ich muss für mich selbst schon konstatieren, dass mein Typ robust ist, ich mich mit Künstlern desselben Typs deutlich identifiziere, und auch dass ich Leute meines Gegentyps (also einfach alle Eigenschaften umkehren) nicht ausstehen kann. Und auch mein Verhalten in manchen Situationen besser erklären kann.

    Ich würde also sagen, Tests wie der MBTI sind eine Art suboptimaler Persönlichkeitstest, der eben nicht so gut 5 orthogonale Dimensionen beinhaltet wie die Fünf-Faktoren-Tests. Vielleicht auch als Hinweis für Tim, wie so ein Test aussieht, wenn er wissenschaftlich betrachtet nicht gut genug ist. Dafür ist das MBTI-Umfeld geselliger und einfühlsamer, vermutlich weil der Test auch daraufhin designt (und so formuliert) wurde, es mehr Leuten “recht” zu machen. Da gibts halt keine spektakulär niedrige Gewissenhaftigkeit und keine hohen Neurotizismuswerte, sondern “eine Arbeitsstelle in einer erfolgsorientierten Firma ist möglicherweise nicht optimal für Sie”.

    Beides hat seine Berechtigung – das eine ist “hart”, wissenschaftlich und objektiv, das andere einfühlsam, fördert den Austausch und versucht, zu helfen. Nur sagend.

  3. Vielen Dank für die ausführliche Erklärung zum Telekom-Ausfall. Ich war selbst nicht betroffen und konnte das “Schauspiel” also aus gesunder Entfernung betrachten und habe mich sehr auf diese LNP-Ausgabe gefreut.

    Aber: Wie ihr schön rausgearbeitet und erklärt habt, scheint die Telekom mit ihren Routern – entgegen der ursprünglichen Berichterstattung – nicht das Ziel gewesen zu sein. Der Ausfall war also nur ein unerwünschter Nebeneffekt dieses Angriffes gegen… Ja, gegen wen denn nun? Wem galt denn dieser Exploit mit der Code-Injection? Irgendwer, dessen Geräte jetzt nicht massenhaft ausgefallen sind, ist also vielleicht anfällig gegen diese Attacke gewesen und hat es vielleicht gar nicht bemerkt?

  4. Sorry aber Mixed-Content-Warnungen gibts immer noch ;)

    Gemischte (unsichere) Anzeige-Inhalte von “http://meta.metaebene.me/media/lnp/lnp203-unglueck-im-glueck-im-unglueck.m4a?ptm_source=webplayer&ptm_context=episode&ptm_request=2a1f22dd8387&ptm_file=lnp203-unglueck-im-glueck-im-unglueck.m4a” werden auf einer sicheren Seite geladen

    Mozilla Observatory hat auch noch ein paar Vorschläge
    für Header die man setzen könnte :)

    https://observatory.mozilla.org/analyze.html?host=logbuch-netzpolitik.de

    HTTPS-Everywhere Regel hab ich gesehen gibts auch schon.
    Insofern sollte das in naher Zukunft auch passen.

  5. Was war denn das Ziel der Attacke, wenn es die Telekom-Router nur aus Versehen getroffen hat? Weiß man das? Oder ist davon auszugehen, dass der DDoS Angriff gewollt war?

    • Ich dachte, das kam in der Sendung heraus: die Attacke galt bestimmten Routern, Ziel war deren Eingemeindung in ein Botnetz. Die Telekom-Router waren durch die konkrete Attacke nicht übernehmbar, aber durch einen anderen Fehler in deren System, sind sie Aufgrund des Angriffs abgestürzt.

        • Linus hat in der Sendung ein paar mal angedeutet, genau zu wissen, welche Router verwundbar seien. Er wollte es aber zu dem Zeitpunkt nicht sagen, da nicht bekannt ist/war, ob die Lücke schon geschlossen wurde.
          Ich meine, ich hätte mal gehört, dass die genauen Modelle schon im Netz kursieren – eine Suche bringt da sicher schnell Ergebnisse, wenn es dich so genau interessiert.
          Finde es gut, wenn Linus nicht dazu beitragen will, die Lücke noch bekannter zu machen, als sie wahrscheinlich schon geworden ist.

          Zur Folge an sich möchte ich kurz anmerken: Auch wenn die Folge lang war und viele Podcaster immer sagen, dass sie das vermeiden möchten – ich habe jede Minute genossen! Wie schon vorher geschrieben wurde, hab ich mich nach dem Telekom-Zwischenfall schon auf LNP gefreut und bin nicht enttäuscht worden. Nach vielen Gerüchten und seltsamen Berichten über den Vorfall, konnte man sich wie immer auf eure Expertise verlassen. Der Detailgrad der Beschreibung war genau richtig für mich.

          Auch den Ausflug in die Psychologie war sehr interessant! Bitte fang nie damit an, eure Sendung zu beschneiden indem ihr auf solche Ausschweifungen verzichtet!

          • Ach so, ich hatte Linus so verstanden, dass er nicht näher auf die DDoS Schwachstelle eingehen wollte. Aber danke f das das Licht in mein Dunkel :)

          • und genau deswegen verstehe ich nicht, warum darum so ein gewese gemacht wird. einmal kurz erwaehnt, welche router betroffen sind, und gut ist.

            ausserdem koennen dann auch alle besitzer eines betroffenen geraets ggf. gegenmassnahmen ergreifen, gerade weil ihre box ohne ihr wissen dinge tut, die nicht erwuenscht sind.
            gerade eine nichterwaehnung finde ich verantwortungslos.

  6. Hi,
    bin erst kürzlich auf diesen Podcast aufmerksam geworden und muss sagen, mein Gefühl ist, Ihr sprecht über die richtigen und wichtigen Dinge.
    Und Ihr habt mich in meiner Facebook-Aversion noch einmal weiter bestätigt (gebt ihr mir nun einen hohen Wert auf der Neurotizismus-Skala? ;-) )
    Der Podcast ist klasse, ich höre ihn gerne nebenbei (mit prestissimo, aber das tu ich bei allen…), und ich freue mich auf Eure nächsten Themen.
    Grüße von einem Non Digital Native der Anfang der 90er in CIP Pools saß und Gopher und Mosaic beim Webseiten-Laden zugesehen hat!
    Marc

  7. Holy shit. Irgendwie überholt die reale Welt South Park so langsam in Sachen Absurdität. Is doch schon ein bisschen verrückt, dass Psychologie und Soziologie in allen Bereichen der Gesellschaft so bedeutend sind, aber so wenig wahrgenommen werden. Ich glaube die Welt sähe ganz anders aus, wenn der Einzelne und die Gesellschaft als Ganzes das eigene Verhalten mehr reflektieren würde, was mache ich da, warum mache ich das, was für Folgen hat das… Stattdessen laufen die meißten Erfahrungen und Gedanken weitestgehend unreflektiert ab und wir brauchen Psychologen nur für Werbemarketing, Krankheitsheilung und neuerdings eben noch zur Manipulation des Einzelnen eine bestimmte Entscheidung zu treffen.
    Das klingt jetzt alles ein bisschen dramatisch und ich bin auch nur Laie auf dem Gebiet, mir kommt Psychologie aber völlig underrated vor.
    Ich kann hierzu Frau Birkenbihl empfehlen, deren Vorträge mir diese Disskrepanz regelmäßig bestätigt haben.

  8. Wonach Linus glaube ich suchte, als er die Sache mit der Ungleichheit erklären wollte, war der Unterschied zwischen Median und Durchscnitt. Ich hatte das hier relativ elaboriert und ganz untrollig ausgearbeitet, wurde dann aber leider ausgebremst. In Sachen Stochastik schließe ich mich ansonsten Alex an. Wobei ein Dezil noch leichter zu erklären wäre. Du gehörst zu den 10, 20, 30% schnellsten, langsamsten ect.. Aber man kann natürlich auch bei Gauss anfangen. Das ist der Typ auf dem 10 DM Schein. Ein Gespräch darüber höre ich mir durchaus auch gerne an, denn das ist einer der Väter der Stochastik und der ist echt interessant.

    • Selbstkorrektur: Dezil heißt zwischen 0 und 10, 10 und 20, 20 und 30. usw. Also Einfach nicht pro Centurie sondern pro Dezimus also 10 statt 100. Aber das wichtige Wort hierbei ist (Zwischen!) Warum muss ich mich hier selbst korregieren. Es wird jawohl einen Statistiknerd geben der das machen kann (Linus ist doch selbst einer). Das kann man doch so nicht stehenlassen, das verwirrt doch nur unnötig. Ich hab mich halt falsch ausgedrückt
      LG Ich

  9. Zu dem Routersterben sei noch angemerkt, dass nicht nur Internet kaputt war, sondern auch die tollen VOIP Anschlüsse. Ich finde dies noch wesentlich problematischer, da dadurch auch die Notruffunktion für einen Teil der Kunden nicht verfügbar war.

    • Nein, kein Problem: Es wird keine 100%ige Verfügbarkeit garantiert. Deswegen sollte JEDER ein Mobiltelefon (mit einem anderen Netz) als Alternative besitzen.

  10. Hi Linus,
    ein Aspekt hat mir bei der Telekomroutergeschichte noch gefehlt. Im Zuge der (zwangsweisen) Umstellung auf IP-basierte Telefonie fällt bei einem derartigen Szenario nicht nur “das Internet” aus, es ist auch immer der Festnetzanschluss mitbetroffen. Wer also argumentiert, für ein Paar Stunden könne man ja wohl noch auf den Internetzugang verzichten, lässt die Konnektivität via Festnetztelefon ausser Acht. Immerhin ist davon auch die Möglichkeit betroffen, Notrufe abzusetzten. Das geht im Zweifelsfall sicher auch per Mobiltelefonie, aber Redundanz kann ja nie schaden. Und die meisten Hausnotrufsysteme (für besonders hilfebedürftige Personen) bzw. z.T. auch Alarmanlagen setzen einen funktionierenden Festnetzanschluss voraus.

    • Ich wohne in einem Dorf (500 Einwohner) das teilweise gar kein Handynetz hat (kein Telekom, O2, Vodafone). Und mit garkein meine ich garkein.

      Internet (Festnetz) ist hier nach Strom und Wasser zwingende voraussetzung zum Leben!

  11. Zur Zusammenarbeit von Cambridge Analytica und Breitbart:

    Um den Unterschied zwischen Ted Cruz und Trump bei CA zu verstehen hilft der folgende Artikel in Adage: http://adage.com/article/campaign-trail/cambridge-analytica-toast/305439/

    Die Analyse ist zusammengefasst: Datenanalyse von CA gut, doch TargetingAdvertising zu aufwendig. –>”the Cruz campaign decided Cambridge just wasn’t well-equipped or properly-staffed to handle its digital ad targeting and buying needs.”

    Das war 18 August 2016. Genau zu diesem Zeitpunkt hat Steve Bannon, der bereits auf dem Board von CA saß die Wahlkampgane von Trump als CEO übernommen. Damit hatte er direkte Einfluss/Kontrolle über die “Daten Analyse” mit CA, das “Messaging der Wahlkampgane” als Trumps CEO und als Executive Chairmann von Breitbart hat er es womöglich geschafft das Problem des Trageted Messaging zu lösen (These).

    Man muss das verstehen. Bisherige Adseller verkaufen immer noch Werbung mit gewissen Standards und Grenzen. Was Bannon mit Breitbart an den Tisch bringt hat eine andere Qualität. Er kann über Trumps Wahlkampange geplant Themen setzten (Trump provoziert, zeitlich planbar) – das führt zur Erregung in den sozialen Medien (Data Analytics, Nutzerindentifizierung) und diese bekommen dann auf ihr psychologisches Profil zugeschneiderte “FakeNews” von Breitbart und seinen Medienpartnern – jeder so wie es möglichst am besten für ihn passt. Also manipulative Wahlwerbung die sich als Nachrichten tarnt – gezielt individuell ausgeliefert.

    Gibt es Beweise für meine These, dass Breitbart das Problem des TargetedMessagings für CA gelöst hat? Leider hab ich bisher dafür nur Indizien … doch hier sind sie:

    Bitte mal auf breitbart.com gehen und dort in die Suchmaschine folgende Begriffe eingeben:

    “gun rights” –> über 70000 Ergebnisse
    “deportation” –> über 40000 Ergebnisse
    “immigration” –> über 140000 Ergebnisse

    Der Verdacht drängt sich auf, dass dort im Suchindex einiges an Artikeln gelistet ist, das so nicht offen auf der Webseite zu sehen ist. Die hohe Anzahl lässt vermuten, dass hier automatische Artikel aus Textbausteinen für alle Kombinationen von psychologischen Faktoren angelegt wurden.

    Ich meine die Suchergebnismenge zu diesen Stichworten alleine ist schon shocking. Ich weiß gar nicht was ich mir lieber wünschen soll: Dass diese Menge an Suchtreffern von Menschen oder Algorithmen produziert wurden.

  12. Meine erste Idee für einen Umgang mit solchem politischen Micro-Targeting durch Werbung wie CA und Breitbart das auf sozialen Netzwerken tun:

    Soziale Netzwerke sollten einen öffentlichen Index aller Werbungen führen die bei ihnen gebucht werden. Dieser Index sollte automatisiert von jedem analysiert werden können. Damit liessen sich zumindest Manipulationen im großen Stil nachweisen und öffentlich diskutieren.

    Wichtig wäre dabei, dass die Indexnummer einer jeden Werbung im Werbepost vorhanden ist, wenn sie dem Nutzer im Feed angezeigt wird (gerne auch als nicht für den Nutzer sichtbare metadata) – dann könnten einige wenige Nutzer über ein Browserplugin überprüfen, ob alle Werbung im Index ordentlich registriert ist. Und um das Vertrauen in den von Facebook selbst-publizierten Index zu stärken und gegen nachträgliche Manipulation zu schützen, könnte dessen Einträge/Checksum auch notariell in einer öffentlichen Blockchain bestätigt werden.

    Schöne offene API drauf und dann Hackathons unterstützen, die OpenSource Tools zum Monitoring für jeden bereitstellen. Werbung ist vom Prinzip her etwas das Öffentlichkeit sucht, ein öffentlicher Index sollte daher im groben kein Problem sein.

  13. Das war eine wirklich spannende Folge.
    Sowohl die ausführliche Auseinander-Setzung mit dem Telekom Routerproblem als auch die unaufgeregte Analyse und die prima Herleitung des Themas “Ich habe die Bombe nicht gebaut” haben mir sehr gut gefallen.

    Spannend ist dazu auch, wie man das für DE einschätzt. Dazu hat @mathiasrichel schön gebloggt.

    http://www.zielgruppenfernes-verhalten.de/2016/12/04/nach-cambridge-analytica-vom-kleinen-big-data-deutscher-parteien/

    Das Thema Digitalcharta hätte ich für die nächste Folge aufgehoben. Für das Follow-Up hier zwei interessante Links zum Thema:

    http://www.socialmediarecht.de/2016/12/06/von-big-data-analysen-der-charta-fuer-digitale-grundrechte-dem-europaeischen-datenschutz-und-was-das-alles-miteinander-zu-tun-zu-hat/

    http://www.lto.de/recht/hintergruende/h/eu-charta-digitale-grundrechte-entwurf-kritik/


    Danke auch, dass es Eure Shirts auch jenseits von XL gibt :-)

  14. Nur zur Anmerkung, wie man “mece” verstehen kann. Der Mathematiker nennt dies minimal erzeugend, dann bilden die Kategorie Vektoren eine Orthogonalbasis, wodurch die Eigenschaften eindeutig beschrieben werden können.

  15. Auch von mir ein Lob – vor allem die psychologische Einfürung, ein Themengebiet auf dem ich mich nur sehr begrenzt auskenne. Eine kleine Anmerkung weshalb mir Tims Vergleich mit dem Licht und den drei “Grundfarben” so gut gefällt: Displays können immer mehr und mehr Farben darstellen, sorgen aber trotzdem nur näherungsweise für den gleichen optischen Eindruck und wenn man sich das ganze spektral aufgelöst anschaut hat es mit einem Regenbogen nur sehr wenig zu tun. Vielleicht ist das auch eine gute Analogie zur Beschreibung einer Persönlichkeit in einem fünf-Dimensionalen Raum – Die Beschreiibung passt ganz gut, wenn man genauer hinsieht ist es aber auch nur eine Näherung und hat im Details unter Umständen durchaus größere Abweichungen. Vielen Dank für diese Analogie, werd ich mir merken :)

  16. Eigentlich kommentiere ich ja nie irgendwo im Netz aber ich wollte mal danke sagen für die ganz besonders tolle Folge! Super interessant vor allem die Psychologie Ausführungen!
    Und auch als, sagen wir mal, interessierter Laie habe ich die Route Geschichte nachvollziehen können (sicherlich auch dem in den Jahren des Hörens euers Podcasts angesammeltem Halbwissen geschulet :D).
    Eure Folgen könnten übrigens gern immer diese Länge haben, dann muss ich mir das Hören nicht so sparsam einteilen. ;)

  17. Ihr habt zwar die Fake News nur angerissen, aber sei’s drum:

    Es wird in der aktuellen Diskussion viel darüber geschrieben, dass es mit dem Internet neue asoziale Räume gibt, Filterblasen und eine allgemeine “Veröffentlichung” dessen, was früher nur Stammtischgespräche waren. Der Fokus liegt also in der Diskussion primär darauf, was das Internet an neuen Kanälen für den modernen Demagogen bietet.

    Ich finde man könnte das auch aus einem leicht anderen Blickwinkel betrachten: Die Art wie Politik gemacht wird, hat sich im Grunde ja nicht geändert, das Internet sorgt aber dafür, dass weniger vergessen wird. Früher war es als Demagoge schwieriger sicherzustellen, dass die Zielgruppe über sämtliche Verfehlungen der aktuellen politischen/gesellschaftlichen Elite informiert war. Kaum jemand wird die Zeitungen der letzten X Jahre aufbewahren, heute sind aber alle Artikel aus einem größeren Zeitraum online verfügbar.

    Über Hyperlinks lässt sich deshalb wunderbar ein ungenießbarer Brei aus Korruption, Skandalen und Klüngel zusammenrühren (wie auch ihr ihn wöchentlich versucht herunterzuwürgen). In diese eh schon ungenießbare Masse lässt sich dann das Rattengift der “Fake News” umso leichter unterrühren, der Geschmack bleibt für die viele Leute vermutlich sowieso gleich.

    Die Lösung wird deshalb wohl kaum die Aufklärung bestimmter Bevölkerungsgruppen sein: Für mich bleibt die einzige Hoffnung, dass sich die Politik in Reaktion auf den neuen Populismus auf Transparenz, Würde und Standhaftigkeit besinnt (was für den Großteil vermutlich Neuland sein dürfte).

    Mit anderen Worten: Wir werden alle sterben.

  18. Hallo,
    vielen Dank für diesen Podcast! Ich hatte den besprochenden Artikel Tags zuvor gelesen und als Laie in diesem Thema wurde mir doch etwas mullmig. Mit den ausführlichen Erklärungen kann ich nun wieder etwas besser schlafen ;-)

    Danke und macht weiter so!

  19. Hallo,
    bezüglich des Problems bei der Telekom wollte ich noch darauf hinweisen, dass sich diese Art von Problemen, wie sie hier bei den Speedport Routern vorgekommen sind, häufig durchaus für Exploits ausnutzen lassen. Ich habe mir das hier nicht konkret angesehen da ich keinen Zugriff auf die Firmware hatte.
    Hat sich dies mal jemand im Detail angesehen?

    viele Grüße

  20. Ich werde rot ob des Lobes. Ich glaube der Imperativ ist, schreib die Kommentare, die du gerne unter einer Veröffentlichung von dir lesen würdest. Aber in Wahrheit werde ich von einer Eitelkeit der Form getrieben und bin gleichzeitig zu faul, um ein Blog zu betreiben, also schreibe ich abgefeilte Kommentare. ;)

    Und noch kurz:

    Mich wundert diese Diskussion zu “psychographic voter targeting” schon etwas, da die letzen beiden Kampagnen von Obama als große “Big Data”-Erfolge gefeiert wurden und meinem Verständnis nach genau das getan haben. Das basierte auf einer intensiven Wählerdatensammlung durch die Kampagne, die bei uns wohl ein Skandal wäre. Es klang ein bisschen so, als ob die Demokraten hier von den Republikanern übervorteilt wurden, aber die sammeln genauso Daten, um zum Beispiel ihre Ressourcen möglichst wirksam einzusetzen. Vielleicht haben sie sogar auf Facebook ganz ähnliche Möglichkeiten genutzt?

  21. Hallo,
    vielen Dank für die großartige Folge. Die Themen waren durchweg höchst interessant. Zum Thema Social Bots gibt es rege Diskussionen, u.a. haben sich in einem Podcast des Deutschlandfunks Wissenschaftler über Social Bots ausgelassen und beschwert, dass durch die Social Bots populistische Meinungen verbreitet werden und Positionen von Wissenschaftlern immer weniger wahrgenommen werden.
    Aus meiner Sicht könnte man diesen Social Bots mit KI begegnen. Auf populistische Posts würde ein über KI-gesteuerter Social Bots mit Zahlen, Daten, Fakten und wissenschaftlichen Aussagen reagieren.

    Viele Grüße

    • LOL What could possibly go wrong.

      Die Lügenpresse hat Bots losgeschickt, um mich zu verunsichern.

      “Wissenschaftliche” Argumente, die von Bots vorgebracht werden.

      What the f.*+ could possibly go wrong

  22. Hat sich eigentlich unser “Cyberkommissar der Herzen” Oettinger zu dem Telekomvorfall geäußert? Kann ja nicht sein das bei einer elektronischen Video-Operation der Router wegen eines Internetschluckauf ausfällt. Oder der autonom fahrende Tesla an der nächsten Kreuzung nicht weiß ob von Rechts frei ist.

  23. Es ist extrem verwerflich das im Grunde “Jeder” über das Internet dem Router über TR-069 unverschlüsselt Anweisungen zusenden kann. Natürlich sind Portsperren wie in der Freakshow angespreochen der falsche Weg. ACLs müsste der Provider bei jedem Gerät pflegen. Eleganter wäre es wenn der Router nur https mit Clientzertifikaten akzeptiert. Der Router prüft beim Eintreffen eines Requests einfach ob das mitgliefierte Clientzertifkat (Telekom) vom Hersteller unterschrieben wurde. Wenn nicht wird die Verbindung nicht aufgebaut (TCP) und sämtlicher Inhalt ohne parsen verworfen. Das sollte den Router nicht so schnell aus dem Tritt bringen.

  24. War hocherfreut eine Linkfunktion zu vor zu finden die es erlaubt auf eine bestimmte Zeit im podcast zu linken. Wenn man allerdings auf besagten Link klickt https://logbuch-netzpolitik.de/lnp203-unglueck-im-glueck-im-unglueck%23t%3D1:03:37.992
    kriegt man nur ein “Seite nicht gefunden”, woran könnte das denn liegen?
    Super Folge, viel spannendes dabei, gerne nach Möglichkeit öfter mal so intensiv auf Themen von denen ihr Ahnung habt eingehen.

  25. Danke auch von mir für die psychologischen Hintergrundinfos zum “Ich hab nur gezeigt, dass es eine Bombe gibt” -Artikel! Danke auch für die weiterführenden Links in den Kommentaren!

    Wenn ich eure Ausführungen zusammen mit den oben verlinkten Artikeln runterbreche, komme ich auf:
    Von Euch: Das Ganze geht in eine gefährliche, manipulative Richtung, die aber nicht neu ist, sondern im Bereich Produktmarketing seit Jahren gefahren wird.
    Aus den verlinkten Texten in den Kommentaren: In Deutschland schützen uns die Datenschutzgesetze vor der politischen Manipulation. Und, selbst, wenn diese erlaubt wäre, wäre sie für politische Parteien zu teuer…

    Was mich zu folgenden Fragen führt: Wie unterscheiden sich die Datenschutzgesetze in den USA von Deutschland (in dieser Hinsicht)? Kann sich ein Milliardär in den USA personalisierte Werbeplätze kaufen? Wie ist die Rolle von Facebook (rechtlich) eigentlich zu sehen?

    Danke nochmal!

  26. Hallo Linus,

    ich bin nicht einverstanden mit deiner Aussage, dass das Gerät den Request erst einmal parsen muss, um die Authentifikation zu überprüfen.

    Hier zeigt sich für mich nämlich noch ein ganz anderer Security-Fehlschlag: Warum muss das Gerät komplexe Aktionen wie das XML-Parsen [1] veranlassen, nur um die Authentifikation zu prüfen?

    Ich finde, dass “pre-authentification” nur dann ein Argument ist, wenn das Protokoll von vornherein darauf ausgelegt ist, dass so wenig wie möglich “pre-authentification” passiert. Ansonsten ist bereits das Protokoll an sich kaputt. Und XML-Parsen ist definitiv zu viel. [1]

    Außerdem: Wenn ich TR-069 richtig lese, verlangt dieser Standard überhaupt nicht, dass das XML vor der Authentifikation geparsed wird! Im Gegenteil, es wird sogar ausdrücklich angeraten, dass HTTP-Auth oder TLS verwendet werden. Bei HTTP-Auth müssen die XML-Daten gar nicht erst angeschaut werden. Und bei TLS braucht noch nicht einmal der HTTP-Parser angeworfen zu werden, bevor die Authentifikation durch ist. *Das* wäre minimalistisch. [2]

    Wenn also ein Bug beim Parsen der XML-Daten dem Angreifer in irgendeiner Form zugänglich war, ist meiner Ansicht nach bereits an einer ganz anderen Stelle etwas schief gelaufen.

    —————————————————————–

    [1] Der XML-Standard ist super komplex und zwingt einem an allen Ecken und Enden unnötige Funktionalität auf, die das Parsen von XML zu einer furchtbar komplizierten Angelegenheit machen. Ich sage nur: Entity-Referenzen, Ignorable Whitespace, Namespace-Deklarationen auf jeder Ebene, DTD- und Schema-Referenzen (also aufzulösende URLs) im Dokument, die unglaubliche Komplexität der XML-Schema-Sprache, die wiederum Includes aus externen URLs zulässt, und so weiter.

    XML ist eine unglaublich große Angriffsfläche. Selbst die ansonsten sichersten XML-Parser zeigten sich immer wieder verwundbar gegenüber Denial-of-Service, es gibt z.B. sehr kleine XML-Datensätze, die beim Parsen einen sehr hohen RAM-Verbrauch provozieren.

    Um ein wenig weiter auszuholen, unabhängig von TR-069: Ich halte den Einsatz von XML-Signaturen und den darauf aufbauenden “WS-Security”-Standard ebenfalls für unverantwortlich. Unabhängig von XML ist es ein sehr lange bekanntes Anti-Pattern, die Signatur/Authentifikation mit in die zu signierenden Datenstrukturen einzubetten. Nein, die Signatur/Authentifikation sollte immer so weit von den Nutzdaten getrennt sein, dass man die Nutzdaten als Binär-Blob behandeln kann. Also dass man sie prüfen kann, ohne die Nutzdaten in irgendeiner Weise parsen zu müssen.

    [2] Man hat dann zwar immer noch mit OpenSSL zu kämpfen, aber es gibt ja Alternativen wie LibreSSL oder BoringSSL. Und was auch immer man TLS an unnötiger Komplexität vorwerden möchte, es ist kein Vergleich zu dem, was man sich mit XML aufhalst.

  27. Wow, ich hoere lnp seit ca. 2 Jahren regelmaessig, das hier ist mit die beste Folge. Extrem interessant, erkenntnis- und lehrreich. Danke.
    Mir wurde noch nie so plastisch und nachvollziehbar verdeutlicht, welches gefaehrliche Potential sich hinter facebook verbirgt, und wie leichtfertig man seine Daten da preisgibt, wie aussagekraeftig die sind, welche Macht hinter der Datensammlung steht, und wer da Zugriff drauf hat. Spricht ja ganz stark dafuer fb nicht zu nutzen.
    Muss ich ein Lied drueber machen. Danke fuer die Inspirationsqualle.

    Zu den big five frage ich mich, wie die five eyes da korrelieren. ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.