Feedback — BND spioniert Interpol aus — Uber-Wachung — eID-Gesetz — NSA-Exploits — WikiLeaks — Fake News und Hatespeech — G23
In unserer heutigen Ausgabe stellen wir entsetzt fest, dass die Nachrichtendienste offenbar nicht nur den Feind, sondern auch die Freunde und Helfer abhören und schauen uns danach an, welchen Maßnahmen Uber so ergreift, um sich ein umfassendes Bild von ihren Kunden und Mitarbeitern zu machen. Wir blicken auf die Pläne zum Aufbau einer zentralen Portraitdatenbank deutscher Bürger und schauen auf den Umgang der Firmen mit den jüngst veröffentlichten Sicherheitslücken durch die Leaks bei der NSA. Zum Schluß gibt es noch ein weiteres Kopfschütteln über die Gesetzes-Zugwracks des Justizministeriums und wir liefern eine Vorschau auf den anstehenden G23-Gipfel in Berlin, auf dem wir gerne viele von Euch sehen möchten.
Dauer: 1:38:38
Feedback
- Metaebene: 3. Mai 2017: Hörertreffen in Oxford
- Kommentar von Michael Kreil
- Data Science & Stories: Spende einen Token
- Kommentar von ilf
- Kommentar von Ko
BND spioniert Interpol aus
Uber: iPhone-Fingerprinting
- The New York Times: Uber’s C.E.O. Plays With Fire
- heise online: Uber: iPhone-Fingerprinting flog auf – Rüffel vom Apple-Chef
- heise online: Uber-App blockiert Polizisten, um Strafen zu vermeiden
- Daring Fireball: On Uber’s ‘Identifying and Tagging’ of iPhones
- TechCrunch: Uber responds to report that it tracked devices after its app was deleted
eID-Gesetz
- Chaos Computer Club: Stellungnahme des CCC zum eID-Zwang
- Chaos Computer Club: Stellungnahme eID: Gesetz zur Förderung des elektronischen Identitätsnachweises (PAuswG-E, Passgesetz) (PDF)
- Golem: Elektronischer Personalausweis: Das tote Pferd soll auferstehen
- heise online: Personalausweis: Experten kritisieren geplanten automatisierten Lichtbildabruf scharf
- Wikipedia: GSM Association
- Anhörung im Innenausschuss, Deutscher Bundestag: Disput über elektronischen Personalausweis
NSA-Exploits in the wild
Verfahren gegen Wikileaks
- The Washington Post: National Security: Justice Dept. debating charges against WikiLeaks members in revelations of diplomatic, CIA materials
- The Intercept Podcast: Intercepted Podcast: Julian Assange Speaks Out as Trump’s CIA Director Threatens to “End” WikiLeaks
- Exclusive: Julian Assange Strikes Back at CIA Director and Talks Trump, Russia, and Hillary Clinton
Neues von Fake News und Hatespeech
- Golem: Hate-Speech-Gesetz: Regierung kennt keine einzige strafbare Falschnachricht
- Linus Neumann: Die Trolldrossel (Erkenntnisse der empirischen Trollforschung)
Termine
- Berlin, 5.–7. Mai 2017: G23 Gipfel
- G23 Tickets
Danke für die tolle Sendung.
Linus Idee Certs über die Persos zu verteilen ist ja Prinzipell gut, hat aber noch zwei Probleme:
1. Wie wird der Schlüsselaustausch gelöst? Sind die alle öffentlich oder kann ich die abfragen wenn ich bestimmte identifizierende Daten (z.B. Name und Addrese) einer Person kenne? Wie werden ungenauichkeiten im zweiten Fall gelöst?
2. Welche Daten stehen im Cert? Also ist dieses Cert Pseudonym oder nicht?
Mal ganz abgesehen davon dass Emailcrypto immernoch das Problem hat, dass keine Abstreitbarkeit implementiert hat. Auserdem ist der Certifikatsmarkt bestimmt auch nicht begeistert von der Idee.
satanist
Ps: Warum muss man eigendlich ne Emailaddrese angeben um kommentieren zu können?
Ganz normal S/Mime, trust on first use + mit Bundes-CA signiert.
Das ist auch kaum der Anspruch eines offiziellen Ausweisdokuments, das eine qualifizierte elektronische Signatur ermöglicht :-)
Schade.
Trust on first use funktioniert halt erst ab first use, wenn man jetzt aber einer Person eine verschlüsselte Email schreiben will wo man den Schlüssel noch nicht hat, wie kommt man an den Schlüssel? Klar ich kann ihm ne Mail schreiben und nach dem Schlüssel fragen, aber bekomme ich die Antwort von der richtigen Person? Klar die Certs sind von der BundesCA gesignt und man kann im Zweifel nachschauen wer wirklich geantwortet hat, aber im Zweifel ist zu diesem Zeitpunkt schon ein großer Schaden enstanden.
Die zweite Frage find ich jetzt auch nicht vernachlässigbar, als Beispiel hierfür: Ich registrire mich mit dem Cert bei einem online Pornoanbieter. Welche Daten kann der Anbieter jetzt aus herrauslesen? Bei dem normalen S/Mime (X.509) Cert würde mein Name drinnstehen, was ich nicht umbedingt will (mein Name ist recht eindeutig) und der Anbieter auch nicht braucht.
satanist
Schau dir mal S/Mime an.
Man bekommt den Schlüssel durch die erste signierte Mail.
Immer wieder ein unterhaltsames Update zur Netzpolitik – Danke!
Um das Thema mit dem Marsch abzuschließen – 6/8: http://www.auren-musik.de/Cyber-Marsch
Wer kann da bitte ein 8-bit MIDI draus machen?
Mal eine allgemeine Frage:
Das für die Wahl relevante Volk ist zu alt, um die Relevanz von digitalen Prozessen, Verschlüsslung, etc. zu verstehen. Die ‘wählen sich nun aber einen Maas’, der diese Themen dann politisch so umsetzt, damit er von eben dieser Wählerschicht wieder gewählt wird. Die Piraten haben es nicht geschafft haben nachhaltige Strukturen aufzubauen und sind damit politisch nicht mehr relevant.
Wo seht ihr den größten Hebel, um relevante netzpolitische Themen schon frühzeitig in der Politik einzubringen und dort proaktiv Aufklärungsarbeit zu leisten?
Im Podcast den StatusQuo durch den Kakao ziehen ist das eine, ab und zu mal als Experte Vorsprechen: ok.
Wie kann aber eine strategische Aufklärungskampagne bis zur Bundestagswahl aussehen?
Bitte weiter so!
VG Jan
Das ist ein ziemlich niedriges Niveau, ein menschliches Twitter-Botnetz mit dem Ziel, die API auszuhebeln, zu erstellen. Man setzt sich für Ethik ein, aber diese solle dann bitte nicht für sich selbst gelten.
Sorry, habe jetzt erst von deinem Kommentar erfahren.
Ich hebel nicht die API aus, sondern nutze sie genau dafür, wozu die API gedacht ist. Ich habe mir alles zu best practices durchgelesen, rate limits, policy und agreements. Alles in bester Ordnung. Hatte sogar vorsichtig Twitter angeschrieben: Alles in Butter. Twitter möchte nur Bescheid wissen, wenn wir mehr als 1 Million Tokens brauchen … davon sind wir noch 999.400 Tokens entfernt.
Alles weitere findest du hier:
https://dev.twitter.com/oauth/application-only
https://dev.twitter.com/overview/terms/policy.html
https://dev.twitter.com/overview/terms/agreement.html
Der “Cyber Marsch” [sic!] ist “Neuland” für mich, aber hier trotzdem der Versuch einer Zusammenfassung der Kommentare und Erkenntnisse bis hierher:
Einerseits kennzeichnet die Partitur den Cyber Marsch als 6/8, das ist (wie ich nach ein wenig Recherche feststellen musste) nicht außergewöhnlich. Es handelt sich dann beispielsweise um einen Kavalleriemarsch, der grundsätzlich der Gangart „Schritt“ bei Pferden nachempfunden ist (Cyber Marsch als Hinweis auf den Einsatz staatstrojanischer Pferde im Cyberraum?). Diese Gangart kann als 6/8 beschrieben werden, bei dem die zweite Achtel der beiden Dreiergruppen weggelassen wird (siehe auch Kommentar von Moritz). Inwieweit sich hier tatsächlich das Spiel der kleinen Trommel von der Gangart der Pferde hat inspirieren lassen, sei dahingestellt. Marschiert wird hier allerdings nicht in einem Walzerschritt – und hier liegt dann sozusagen die Auflösung der bisherigen Verwirrung – sondern binär, indem einfach die beiden Dreier-Achtelgruppen zusammenfasst werden: so ergibt sich letztlich doch wieder ein zweigeteilter Takt, bei dem auf der 1. und 4. Achtel marschiert wird.
Andererseits wäre damit klar, dass sich die Musik auch anders notieren ließe, nämlich eben als 2/4 oder 4/4, wobei erstere Variante bei Marschmusik offenbar üblicher ist (es gibt allerdings durchaus Märsche im 4/4 Takt, z.B. die berühmte „Marseillaise“). Auch die Dreiergruppen sind in einem geraden Takt kein Problem, sie werden hier Triolen genannt und natürlich kann auch die jeweilige Triole in der Mitte weggelassen werden.
Zusammengefasst: Ein 6/8-Takt entspricht einem 2/4-Takt mit Achtel-Triolen und in welcher Taktart das Stück niedergeschrieben wird hat dann eventuell eher Gründe im Bereich der besseren oder effizienteren Notationsmöglichkeit bzw. Lesbarkeit und liegt nicht ursächlich in der Musik selbst. Auf der Suche nach der „richtigen“ Taktart besteht die Gefahr, die Landschaft mit der Landkarte zu verwechseln: die Musik ist nicht mit den Noten identisch, diese reduzieren die Komplexität eines Musikstücks auf einen einfachen Code. Wenn man sich zu sehr auf die Noten bezieht, wird man dem Phänomen Klang unter Umständen nicht mehr gerecht.
Hättet ihr eigentlich nicht Lust, es mal der Lage der Nation gleichzutun und nach Fotos zu fragen von dem was wir (Höerer-innen) sehen wenn wir Logbuch Netzpolitik hören? Fand das eine sehr schöne Idee und wer will kann ja auch seine GPS Daten drinlassen oder anderweitig einen Standort angeben. Dann könnte man daraus auch eine Karte basteln.
Und ja: warum muss man hier seine Email angeben? Bzw. irgendeine Email? Irgendwie nervig und sinnfrei
Der DDR Witz war klasse als der Groschen fiel
Zu den erwähnten Smartcards zur Authentifizierung: Was will man hier denn haben?
Die c’t hat in der aktuellen Ausgabe einen Artikel zu OpenPGP Smartcards. Die sollen laut c’t noch für fünf Jahre sicher sein (wohl wegen RSA). Gibt es da auch was mit Zukunft?
eyeballing:
https://m.youtube.com/watch?v=Iu9SBqNPC-8
trotz verständlich hohem sarkasmuslevel und “it’s so sad I can’t stop laughing” mal wieder eine schöne sendung, danke.
.~.
Zum Trennungsgebot empfehle ich Logbuch Netzpolitik Folge 206 (und 208, in der Linus und Constanze Kurz es auch aufgreifen): Dort hat Ulf Buermeyer gesagt, dass das Trennungsgebot nicht im Grundgesetz steht (anders als Tim in dieser Folge behauptet). :-)
Seit wann taucht der Sendungstitel nicht in der Sendung auf? Oder habe ich da war überhört?
Du hast was überhört.
Bin etwas hinterher mit dem LNP hören und war dementsprechend irritiert, in dieser Folge schon von WannaCry (dem laut SPON weltweit größten Cyberangriff ever… *augenroll*) zu hören – aber halt nein, ihr wart eurer Zeit nur mal wieder so etwa 2,5 Wochen voraus :)