LNP282 Selbstkritische Infrastruktur

Feedback — Promidoxing Aftermath — Artikel 13 — Terrorpropaganda — OpSec Fails — Spanner im Netz — Termine

Dank des umfassenden Feedbacks und einer ausführlichen Nachlese des medialen Fallouts des Promidoxings letzte Woche, wird auch diese Sendung wieder etwas länger und befasst sich noch mal ausführlich mit der Problematik. Dazu reichen wir diverse Amuse-Gueule und Desserts aus Datensalat mit Zuckerhäubchen.

Dauer: 2:09:40

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Bitcoin Icon Liberapay Icon Amazon Wishlist Icon

Feedback: Sigismund Fabian

Feedback: Backups

Feedback: Flaggenklau

Feedback: Password Manager

Feedback: Spendenwürdige Organisationen

Feedback: Gefährliche Links

Feedback: Verteilte Backups

Sicherheits-Checkliste

Doxing: Täter gefasst

Anti-Antifa-Dox

Politische Konsequenzen aus dem Promidoxing

IP-Adressen-Speicherung

Neues aus anderen Datenreichtümern

Bundesdoxx

Artikel 13 im Trilog

Terrorpropaganda-Filter

El Chapos Opsec Fail

Spanner bei Ring

Termine

Chaosradio

  • Berlin, 28. Januar 2019: Chaosradio 253 live im Säälchen am Holzmarkt

Datenschutztag

SUBSCRIBE 10

68 Gedanken zu „LNP282 Selbstkritische Infrastruktur

  1. Zum Thema “Links in E-Mails nie anklicken, sondern kopieren” gibt es in Thunderbird die schöne und alte — wenn auch versteckte — Option, Klicks auf Links zu ignorieren. Gibt es sicher auch für andere Clients. Hat natürlich den Nachteil, dass man sich nicht konditioniert für den Fall, in dem man doch mal ein Webinterface benutzt, eine App, die das nicht unterstützt, etc.

  2. könntet ihr vielleicht etwas genauer drauf eingehen, warum telegramm nicht gerade der sicher messenger eurer wahl wäre? vielen dank für diesen unterhaltsammen und informativen podcast. alle gute und weiter so.
    viele grüße steffen

    • Hallo Steffen,
      ein „sicherer Messenger“ bei dem die Verschlüsselung erst noch aktiviert werden muss, in Gruppen gar nicht funktioniert und auch ansonsten weitgehend unerforscht ist, verdient diesen Namen nicht:
      https://motherboard.vice.com/de/article/435gbd/telegram-ueberwachung-bka-chat-app-verschluesslung

      Wenn wir schon im mobilen Bereich dazu verdammt sind, zu vertrauen (siehe unten), dann bitte nur so lange bis das Vertrauen verletzt wurde ;)

      • Vielleicht nicht massentauglich wie Telegram und Co., aber für den interessierten LNP Hörer machbar: Jabber bzw. der Android Client Conversations.

        Der Vorteil ist, dass man einen dezentralen Dienst hat und wenn man nicht gerade selbst einen Server ausetzen will kann man immer noch einen der zahlreichen kostenlosen Server nehmen (viele sogar einigermaßen vertrauenswürdig, wie z.B. jabber.ccc.de). Mit OMEMO hat man dann auch eine gute und Gruppenchat-kompatible Verschlüsselung.

      • Threema eher nicht. Ist eine Firma die ihren Code nicht offenlegt. Daher musst du ihr vertrauen müssen. Das wollen wir laut Linus aber nicht, in Analogie zu einem VPN.

        • Ich beobachte interessiert, wie „Open Source“ interpretiert wird als „jetzt müssen wir nicht mehr nur vertrauen…“, regelmäßig aber vergessen wird, dass ja auch mal jemand prüfen muss!
          Wenn ihr das nicht selbst seid, müsstet ihr wiederum denjenigen vertrauen, die das tun. Und noch schlimmer: was, wenn es einfach niemand macht?
          Oft wird daher das reine Attribut „open source“ stark überbewertet.

          Zu dem Messengern: Signal hat ein großes Problem, und zwar die Registrierung an die Telefonnummer. Damit ist de facto eure Anonymität passé. Zwar könntet ihr euer Gerät auf eine Nummer registrieren, die euch nicht zuzuordnen ist, dafür müsst ihr aber darauf vertrauen dass niemand anderes die Telefonzelle findet.
          Sehr schön sind bei Threema die „disappearing messages“, kein großes Sicherheitsfeature sondern einfach bequeme Datensparsamkeit, mehr nicht – aber das ist schon sehr viel.
          Threema erlaubt eine Nutzung ohne Registrierung einer Telefonnummer, das ist viel wert. Die zugrundeliegende Crypto ist auch öffentlich dokumentiert, und das Protokoll wurde beim 33C3 reverse-engineered und open source verfügbar gemacht:
          https://media.ccc.de/v/33c3-8062-a_look_into_the_mobile_messaging_black_box

          In der heutigen App- und Messenger-Welt ist nichts mehr möglich, ohne Vertrauen zu müssen. Fürs Vertrauen ist dann der Track Record entscheidend – und bei Telegram sieht der so aus:

          https://motherboard.vice.com/de/article/435gbd/telegram-ueberwachung-bka-chat-app-verschluesslung

          1A verschlüsselter Messenger.

          Wichtig ist aber am Ende, seine Leute auch zu erreichen – da würde ich nur vor Telegram oder Whatsapp zurückschrecken, bei Threema oder Signal aber keine Debatte anfangen. Nutze ich beide gern. Hätte Signal auch die Möglichkeit einer anonymen/pseudonymen Nutzung wie bei Threema, wäre ich wunschlos glücklich.

          Unser Beispiel wäre aber mit Signal wegen der Rufnummernbindung wahrscheinlich genauso auf die Fresse gefallen wie mit Telegram.

          Abschließend noch der Hinweis dass alles, was mit Mobilfunk zu tun, hat äußerst ungeeignet ist für anonyme Kommunikation. Zu viel Datenerfassung auf Netzebene, zu viel Tracking in den App-Stores.

          • Mir ist schon öfter aufgefallen, dass ihr stark in der Argumentation schwankt. Einmal wird ein Sicherheitsmaximalismus vor dem Herrn vertreten und das andere mal wieder nicht. Das ist auch ok, aber etwas mehr Transparenz würde nicht schaden, sonst versteht es wieder nur der, der schon richtig fit im Thema ist.

          • Auf der Seite http://datenfresser.info/?p=505 (übrigens vom ccc) steht als Fazit quasi die Open Source Interpretation, welche Linus hier als verwundert. Dort steht geschrieben:

            “Generell gilt: Für welchen Messenger man sich auch entscheidet, freie Software ist immer empfehlenswert.”

            und

            “Wem freie Software nicht so wichtig ist, der kann sich noch Threema ansehen. Immerhin sind hier die kryptographischen Werkzeuge verifizierbar und die Benutzbarkeit ausgesprochen gut.”

  3. Im Zusammenhang mit Passwort-Managern wird in meiner Wahrnehmung nie erwähnt, dass es so was auch schon im Browser verbaut gibt. Man muss nur das Syncing aktivieren. Gibt es ein Problem damit?

    Was ist zum Beispiel mit Firefox sind?

    Chrome speichert Passwörter im eigenen Google Account, erreichbar unter https://passwords.google.com/. Ich verstehe, wenn man das nicht möchte.

    Wenn man auf allen seinen Devices Safari benutzen möchte, funktioniert das Passwort-Syncing hier auch sehr gut. Es gibt sogar eine automatische Vorschlagfunktion für Passwörter.

    • Bequemer ist es natürlich. Ist halt ne Frage des Vertrauens. Wenn dir wirklich was an der Sicherheit deiner Passwörter liegt, empfiehlt es sich Quelloffene Software (z.B. KeePass) lokal auf deinem Rechner zu verwenden. Diese bieten teilweise auch schon Browserextensions.

    • Die im Browser gespeicherten Passworte können und werden vom Web aus abgefragt, ohne das du es merkst – es sei denn du hast die Passworte im Browser mit einem Passwort gesichert. Es ist auch vorstellbar das die Passworte von Webseiten aus abgefragt werden die dazu keine Berechtigung haben.

      Weiterhin musst du den Leuten die deinen Browser herausgeben und denen die den Server zur Synchronisation betreiben vertrauen.

      Ein Stück Software das per Definition mit dem Web verbunden ist, ist grundsätzlich kein guter Platz um Passworte aufzubewahren.

      • Ich will jetzt nicht dafür plädieren, Passwörter im Browser zu speichern, dennoch die Aussagen:

        > Weiterhin musst du den Leuten die deinen Browser herausgeben und denen die den Server zur Synchronisation betreiben vertrauen.

        sind nicht wirklich stichhaltig. Denn ich muss auch den Leuten, die meinen Passwortmanager rausbringen vertrauen (ich kann natürlich dafür sorgen, dass der keine Inetverbindung aufbauen kann, schwierig auf dem Desktop aber machbar) und die Syncs sind Ende zu Ende verschlüsselt.

        Aber dennoch, besser ist ein richtiger Passwordsafe

  4. Ich hab das mit den Passwortmanagern immer noch nicht ganz verstanden.
    Ich habe mehrer Tabletts, ein Smartphone, mehrere Laptops und einen Desktop PC. Die benutze ich gleichberechtigt von mehreren Orten aus. Von all diesen Geräten aus will ich alle WebSites/Services benutzen können.
    Ich kann mir momentan keine andere Lösung vorstellen, als dass der PasswortSafe dann irgendwo im Internet liegt.
    Kann man wirklich sagen, dass das sicherer ist, als für jede WebSite ein eigenes Passwort zu benutzen, das ich regelmäßig ändere, das von den Seiten immer als “stark” eingestuft wird und das ich mir berechnen kann (und das nicht so trivial ist, wie von Linus im Podcast erwähnt)?

    • „Ich kann mir momentan keine andere Lösung vorstellen, als dass der PasswortSafe dann irgendwo im Internet liegt.“

      Ja, aufgrund der Verschlüsselung sollte das aber kein Problem darstellen, sofern du ein ordentliches Passwort vergibst. Passwörter müssen laaang sein.

      „Kann man wirklich sagen, dass das sicherer ist, als für jede WebSite ein eigenes Passwort zu benutzen, das ich regelmäßig ändere, das von den Seiten immer als “stark” eingestuft wird und das ich mir berechnen kann (und das nicht so trivial ist, wie von Linus im Podcast erwähnt)?“

      Ah, du versuchst es mit Hash-Funktionen oder selbstgebastelter Crypto? Pass bitte auf deine .bash_history auf!

      Ich denke ich habe die Gründe jetzt in zwei Folgen und den Kommentaren dazu ausführlich dargelegt. Wenn es mir nicht gelingt, dich zu überzeugen, muss ich an dieser Stelle nun leider aufgeben.

      Entscheidend ist, maximal lange, maximal zufällige und überall unterschiedliche Passwörter zu verwenden. Ich sehe keinen anderen sinnvollen Weg dahin, als einen Password-Safe, der -sofern in den Browser integriert- zusätzlich noch ein kleines Schutznetz gegen Phishing bietet.

      • Ok, Du hast mich schon fast ganz überzeugt ;-)
        Eine Abschlussfrage hätt ich dann noch:
        Welcher der vielen Passwortmanager ist denn empfehlenswert und woran erkenne ich, welcher Passwortmanager vertrauenswürdig ist und welcher nicht?

        • Hier gilt das selbe wie bei jeder anderen Sicherheitsrelevanten Software auch.
          Möglichst viele Audits, wenn möglich gerne OpenSource und aktive weiterentwicklung.
          Bei Passwortmanagern ist es ja auch fraglich (ganz egal wie gut dein Passwort ist) ob man das überhaupt online synchronisieren muss.
          Wenn dann gerne über einen eigene Server.
          Ansonsten hilft ein Kabel oder Bluetooth oder WiFi-Direct (falls du das nicht kennst, das ist wie airdrop nur nicht ganz so benutzerfreundlich, um das so schön hinzubekommen braucht man apps wie treble-shot)

  5. In Sachen Smart-TV: ich habe einen Fernseher an dem Konsolen und Blu-Ray-Player angeschlossen sind (mehrere HDMI-Ports, Cinch) und der hängt am Internet weil damit nicht Fernsehen über Kabel geschaut wird, sondern ausschließlich Netflix, Amazon Prime und YouTube welche direkt als Apps auf dem Fernsehr laufen ohne zusàtzliche Dongles wie Apple TV, Chromecast o.ä.

  6. Das mit den Links scheint mir immer noch zu kompliziert erklärt…. es geht doch darum das ich einen in einer E-Mail angebotenen Button „Paypal-Alarm“ klicke (oder auch nicht) und dann auf eine täuschend echt hat nachgebaute Paypal Seite geschickt werde, mit einer fast plausiblen URL so a la problembehandlung/Paypal/hackhack.com … dort geb ich dann meine Zugangsdaten ein und die sind dann im Besitz des Angreifers.

    Einzig sinnvolle Lösung, ich seh die Alarm Mail von Paypal. Ich lösch sie, dann geh ich in meinen lieblingsbrowser, klicke mein Paypal Bookmark, logge mich dort ein und schau im nachrichten Eingang. Sollte dort dieselbe Warnung liegen war es wohl eine echte Mail… in allen anderen Fällen hab ich wieder erfolgreich einen Angriff abgewehrt… HA !

    Ich klicke allerdings IMMER auf Links die mir Twitter zeigt wenn da steht linuzifer hat grade folgendes Bild retweeted LINK ….

  7. Passwort Manager Frage:
    Wie sieht die Security scene denn die Apple Keychain im Vergleich zu anderen Passwortmanagern…

    Angeblich doch verschlüsselt ohne das Apple da ran kann oder ? Key ist ja wohl mein iCloud Passwort….

  8. Über politische Gesinnung dürfte es ja keine Zweifel mehr geben. Interessant wäre wie viele Daten er tatsächlich aus Sympathie zurück gehalten hat. Wie sehr liegt es daran dass er sich in einer anderen Datenblase bewegt hat.

    Die AFD ist im Bundestag was die Zusammenarbeit mit den anderen Fraktionen angeht eher isoliert. Angenommen er kommt in den Account eines Politiker der Grünen. Mich würde es nicht wundern wenn er Handynummern von Politikern aus allen Fraktionen bis auf die der AFD in seinem Telefonbuch hätte. Wenn wir etwas brauchen ruft mein Büro dein Büro an.

    Im Telefonbuch von Hr. Böhmermann wird man sicher nicht die Nummer vom Herausgebers von Compact finden. Die Nummer von Hr. Ehring könnte sich allerdings finden.

    • Auch das Mittelhessen ein Naziproblem hat, mit dem es sich nicht vor dem benachbarten Thüringen verstecken muss, ist keine Neuigkeit.
      Ich teile da eher die Verwunderung von Markus Lanz, dass er all dies von dort durchführen konnte. (Zwar hat Linus amüsant auf die Ortsunabhängigkeit des Internets verwiesen, allerdings bin ich nicht davon ausgegangen, dass es in Mittelhessen Internetzugänge gibt.)
      Daher gehe ich davon aus, dass er nicht nur ein Fall von im Internet verloren gegangenem Jugendlichen ist, sondern die Filterblase bis in den Freundeskreis, Fußballverein, etc. hinaus reicht.

    • Wir haben Fiona Schmidt nach diesem Artikel zitiert, in dem Sie über die PMK-Statistik sagt:

      Ein Problem der PMK ist, dass sie nur eine Eingangsstatistik ist. Das heißt, wenn bereits zu Beginn der Ermittlungen ein Verdacht auf eine politische Motivation besteht, wird eine Straftat in die PMK aufgenommen.

      Wenn eine politische Motivation erst später in den Ermittlungen oder im Strafverfahren erkannt wird, kann diese bis zum 31. Januar des Folgejahres nachgemeldet werden. Wenn das erst später festgestellt wird, geht die Tat nicht in die PMK ein.

      Bis heute sind die Morde, Sprengstoffanschläge und Banküberfälle des NSU nicht in der PMK erfasst.

  9. Hey ho ich habe ein wenig das Gefühl, dass es vielleicht nicht hierhin oder in den Podcast gehört aber im Kampf gegen Spam und Phishing, kenne ich bisher nur https://www.spamcop.net/ . Ist es sinnvoll domains in der hosts local aus zu routen oder ist es sinnvoller ganze Ip Ranges zu sperren? Die ja nun auch wieder den Besitzer wechseln könnten und gepflegt werden wollen.
    Natürlich ist das ein wenig Brechstange spannender ist die Pakete und Protokolle zu verstehen aber naja ich lasse bei fremden Win10 Pc´s die hosts meist von Spybot schreiben, aus alter Gewohnheit. Wie setze ich den bei Bekannten und Verwandten am besten die hosts auf so das es nicht beim Surfen stört aber so das schlimmste weggeroutet wird?
    Wenn kein workaround kein Problem. Danke für eure Arbeit und Zeit

  10. Einerseits beklagt ihr (zu Recht!) die niedrige Aufklärungsquote bei Internetkriminalität.
    Andererseits wollt ihr keine VDS.
    Wie passt das denn zusammen?

    • Keine VDS hat bisher nennenswerte Ergebnisse in diesem Bereich nachweisen können. Falls Du ein Gegenbeispiel kennst, würden wir es geren erfahren, wir kennen keines. Warum sollte man also eine VDS befürworten, wenn sie die von ihren Unterstützern behauptete Wirkung nie entfaltet? Davon abgesehen widerspricht die VDS unseren Grundrechten.

      • leider gibt es reichlich Beispiele…
        Grade Delikte aus dem Affekt wie Volksverhetzung oder Beziehungstaten wie Cyberstalking können regelmäßig nicht durchermittelt werden, weil es an einer (vernünftigen) VDS mangelt.

        Bis ein Delikt überhaupt erkannt und zur Anzeige gebracht wird, vergehen regelmäßig mehrere Tage und länger. Dann wartet man noch mal auf die Auskunft einer Plattform, um die IP des Täters zu bekommen.

        Ich (als im Herzen “Linksgrünversiffter”) vergleiche die VDS mittlerweile mit dem Nummernschild am Auto.
        Darüber regen wir uns auch nicht auf. Vielleicht weil das Risiko im Straßenverkehr offensichtlicher ist?

        • Das Internet Pendant zum Nummernschild ist die IP-Adresse, welche vom Provider für einen gewissen Zeitraum auf eine Person zuordnenbar ist. Die VDS wäre mehr sowas wie die Kamera Mautbrücke die immer Weiß, wer wann mit wem wohin gefahren ist.

          • ok, zur Klarstellung:
            Ich meine zunächst nur die Speicherfrist von IP-Adressen, um die es im Podcast auch ging.

            “Vollständige” VDS ist nicht mal aus meiner Perspektive diskussionswürdig.

          • Die VDS wäre mehr sowas wie die Kamera Mautbrücke die immer Weiß, wer wann mit wem wohin gefahren ist.

            Und das Internet wäre so, als ob an jedem Ort, an dem man mit dem Wagen halten kann, ein Scanner das Nummernschild ausliest und speichert. Außerdem sind Kaufhäuser, Behörden und Krankenhäuser nur als drive-ins nutzbar.

  11. Leider gibt es immer wieder Verwirrung bei der Zuordnung, welche Straftaten politisch motiviert sind. Dabei ist es gar nicht so schwierig:

    Straftat politisch motiviert?

    — linker Täter —> Ja.

    — rechter Täter —> Das-wird-man-ja-wohl-noch-sagen-dürfen!

  12. Hallo zusammen,
    ich verfolge den Podcast logbuch:netzpolitik nun schon seit einiger Zeit, bin interessierter Computer/Internetnutzer, würde mich aber trotzdem als Anfänger bezeichnen.

    Habt ihr einige Tipps bezüglich “must-have-Software/Apps” bzw. vielleicht könnte Linus Neumann ja mal erzählen, welche Programme er so nutzt oder zu welchen er raten kann (z.B. im Hinblick auf Privatssphäre) ganz egal welcher Betriebssysteme.

    Hier wurde ja schon erwähnt, dass der Messenger Threema ganz ordentlich sein soll, ich weiß das es Datenschutzfreundliche E-Mail Anbieter wie Protonmail oder Tutanota gibt usw. Verschlüsselungsprogramme wie VeraCrypt oder Privacytools (Kaspersky Internetsuite). Ich erwarte keine Testberichte oder ähnliches aber vielleicht eine kleine Sammlung an guten/vertrauensvollen Tools wäre nice ;-)

    Besten Dank und viele Grüße!

    • Privatspähere ist keine Frage von Apps sondern vor allem eine Frage der Einstellung. Seiner eigenen und die der Apps.

      Zu sagen welche Apps man nutzen soll ist wie jemanden zu erklären dass er mit einer Tür sein Haus sichern kann.
      Klar gibt es gute und schlechte Türen aber wenn das Fenster ungesichert ist, dann nützt die beste Tür nichts.

  13. Ihr fragt euch wie man Doxing zeitnah erkennen kann. Alles kein Problem, hier kommt die Lösung (meine Geschäftsidee inside!).
    Alle Internetnutzer erlauben meiner bescheidenen Firma den Zugriff auf Ihre persönlichen Daten. Meine ausgeklügelten Algorithmen (rsync ALL Kunde Mein_Server, for d in data: search google) überprüfen dann ob die persönlichen Daten irgendwo gedoxed wurden. Gegen eine bescheidene Aufwandsentschädigung werde ich dann aktiv und bemühe mich die Daten zu löschen.
    Der erste Teil meines Angebotes wird selbstverständlich kostenlos für die Kunden sein.

    Na, wie klingt das? Bekomme ich die “Certified an recommended by Linus” Plakette?

  14. Sorry, falls ich unter der falschen Folge posten sollte.

    Also ich benutze schon seit ca. 10 Jahren eine eigene Domain und vergebe jedem Dienst eine eigene E-Mail-Adresse. Nun würde ich gerne auf einer Seite wie z.B. haveibeenpwned.com testen, ob da auch eine E-Mail-Adresse von mir betroffen ist. Gibt es da eine Lösung, ohne jede E-Mail-Adresse einzugeben und ist dieser Dienst überhaupt vertrauenswürdig?

    • Für jeden Dienst eine eigene Mailadresse, ist meiner Meinung nach die einzige vernünftige Lösung der wichtigsten Probleme mit Mails. Ich mache das auch so. Diese Woche habe ich erst eine Mail an magdeburg@… (meine Domain) bekommen, die angeblich von DHL stammt. Ich kenne in Magdeburg ein paar Leute, aber keinen von DHL. Was sagt mir das? In Magdeburg gibt es irgendeinen Idioten, der sein Mailpostfach nicht ordentlich absichern kann und irgendwelche Verbrecher geben sich als DHL aus. Lesen muss ich den Unfug dann gar nicht mehr. Natürlich klicke ich da auf nichts. Wenn DHL mir was mitzuteilen hat, dann bitte an dhl@… Alles andere ist Quatsch. Solche Mails können also gleich in die Tonne. Wenn sich das häuft, fliegt die Mailadresse hinterher.
      Leider habe ich habe ich noch nie erlebt, dass man irgendwo eine ganze Domain prüfen kann, wenn wieder mal Daten abhanden gekommen sind. Vor Jahren habe ich auf der CeBIT mal erfolglos versucht das Problem mit Leuten vom BSI diskutieren. Die hatten damals auch angeboten, Mailadressen zu prüfen. Die haben mir zwar bestätigt, dass unser Vorgehen sehr vernünftig ist, hatten aber keine Lösung anbieten können. Selbst die Bemerkung, dass man so vielleicht recht gut die Quelle des Datenreichtums ermitteln kann, hat da nicht geholfen.

    • https://haveibeenpwned.com/DomainSearch

      Zu HIBP und Vertrauen:
      1. Troy Hunt hat inzwischen mehr Ruf zu verlieren, als dein Passwort wert ist
      2. Er hat da auch mehr Daten als jede andere Sammlung, inklusive im Zweifelsfall deiner Daten (so dass er sie nicht auf diesem Weg klauen muss)
      3. das Konzept der gehashten Speicherung betroffener Daten ist sinnvoll

      Wichtig ist, sicherzustellen dass du nicht auf einer Fake-Site gelandet bist.

  15. Die Sache mit den nordischen Fahnen auf den Congress verurteile ich auch. Ich kann mich zwar erinnern, die Fahnen dort irgendwo gesehen zu haben, mir ist aber nicht aufgefallen, dass sie irgendwann fehlten.
    Allerdings hatte ich den Eindruck, dass es nicht ungewöhnlich ist, dass da mal unliebsame Dinge verschwinden. Besonders auffällig schien mir das wirken der Google Holigans. Am ersten Tag sind mir zahlreiche Anti Google Plakate aufgefallen. “Big Google is watching you” war die Aussage. An den genauen Wortlaut kann ich mich leider nicht mehr erinnern. Am vierten Tage habe ich von den Plakaten nichts mehr gesehen. Dafür hatten die Ausschreitungen der Google Hooligans gesorgt. Mit ist schon klar, dass Google sehr kontrovers gesehen wird. Die einen Verurteilen das Datensammeln und die anderen sind einfach zu faul, nach datensparsamen Alternativen zu suchen. Die Auseinandersetzung sollte aber nicht so geführt werden. Die Art, wie die Auseinandersetzung geführt wurde, zeigt eigentlich nur, dass es offenbar keine vernünftigen Argumente für Google gibt. Sonst würden die Google Hooligans ja nicht zu solchen mitteln greifen.

  16. Zum Doxing-Täter:
    Vorauszusagen, dass der Doxing-Täter bald gefasst werden sollte, ist für einen guten Hacker wohl nicht schwierig, wenn die Information schon auf irgendeinem Polizeiserver steht und die Einheiten schon zum “Einsammeln” unterwegs sind, oder? ;)

  17. “1. technisch nicht beeindruckend gewesen und 2. ethisch nicht beeindruckend gewesen” klingt jetzt aber erstmal, zusammen mit der politischen einstellung, eben doch nach einer astreinen bewerbung beim verfassungsschutz oder?

  18. Ich will nochmal was sagen zu den Links anklicken in Emails, das war mir irgendwie zu schwammig und logisch nicht ganz kohärent. Denn einerseits empfehlt ihr, richtigerweise, keine HTML Emails zu benutzen. Dann aber zusätzlich, keine Links anzuklicken, weil man nicht weiß, was dahintersteckt.
    Das Problem mit den verdeckten Links besteht aber eben nur bei HTML Emails, wenn man die konsequent nicht benutzt, ist jeder Link in der Email frei erkennbar und man kann vor dem klicken draufschauen wohin der geht.

    • Link in der Email frei erkennbar und man kann vor dem klicken draufschauen wohin der geht.

      Von verdeckten Links sprechen wir doch überhaupt nicht, sondern nicht darüber nachdenkst, was du anklickst und erst recht nicht jeden Buchstabenderher und Rechtschreibfeler in endlos langen URLs bemerkst.

  19. Hey Linus,

    hast Du eigentlich schon mal ein wenig nachgeforscht, was sich hinter der Domain lottaneumann.de verbirgt auf die linusneumann.de weiterleitet?

    An alle: die Website zeigt bei mir ausschließlich ein “Missing Plugin” – ich vermute foul play, also bitte nur hingehen, wenn ihr wißt, was ihr tut…

  20. Ich beziehe mich auf ca Minute 58 ff:

    Ich stimme zu 100% muss aber leider sagen, dass ihr da nach dem Motto “do as I say not as I do” handelt:

    Ihr redet da über Empathie und so. Ich möchte daran erinnern mit welcher Vehemenz und Verachtung ihr (nicht nur ihr beide, sondern das CCC und Digitale Gesellschaft Umfeld allgemein, aber auch ihr beide) über die Contentmafia und ihr Personen herzieht und was ihr damit für einen Hass befeuert.

    • Das Geschäftsgebahren und die Lobby-Arbeit einer Industrie heftig zu kritisieren ist aber eine ganz andere Hausnummer als private Daten zu leaken…

      • Was meinst Du wie oft Leute aus dem Bereich gedoxt wurden und das die Community hart gefeiert hat?

        Oder die GEMA mit gekauften (also künstlich erzeugten und nicht von einer Schwarmintelligenz gemachten) DDOS Attacken ein paar Stunden vom Netz genommen wurde und das bejubelt wurde?

        Nein mein lieber, das mit der Empathie funktioniert in der “Netzgemeinde” immer mit “Do as I say not as I do”

  21. Lieber Herr Neumann! Lieber Herr Pritlove!

    Wieder einmal möchte ich mich für Ihren hervorragenden Podcast bedanken! Sie schaffen es jedes Mal einen lustigen, leicht zu hörenden Podcast über ein furchtbar trockenes Thema, das extrem wichtig ist zu machen! Auch als völliger technischer Laie bekommt man irgendwann ein Gefühl für Datensicherheit, und meidet die furchtbarsten Fehler. Danke dafür!

    Ihr Podcast ist der einzige außer dem Ö1 Journalen, den ich jede Woche höre.

    Trotzdem zwei kleine Anmerkungen:

    Zunächst: wenn Sie einen Fachbegriff verwenden, den Ihres Erachtens nach jeder Mensch kennen muss, erklären Sie ihn bitte trotzdem idiotensicher! Ich musste erst googeln, was Doxing ist …

    Sodann – und zu Ihrer Unterhaltung: Ihr Podcast eröffnet neue berufliche Perspektiven! Nachdem ich in jeder kirchlichen Sitzung die Begriffe exploit und zwei Wege Authentifizierung benutze, hat man mir Vorträge zum Thema Datenschutz (sic) angeboten. Seitdem frage ich mich, wie viele hoch bezahlte Datensicherheitsspezilisten genau so viel wissen haben wie ich?

    Mit besten Segenswünschen für Ihre Tätigkeit!
    Ihr Pfarrer Hans Spiegl

    • Der Einäugige ist König unter den Blinden.

      Was die Fachbegriffe angeht, ist das Thema schon schwierig. Denn jedes von uns Hörierenden (ist das der richtige Begriff um geschlechterneutral die Konsumenten des Podcasts zu adressieren? So wie Studierende.) hat einen anderen Hintergrund und damit Wissenstand.
      Natürlich sollte der Podcast für alle verständlich sein aber ich würde mich schon etwas ärgern, wenn jeder Fachbegriff (wo ziehen wir die Schwelle?)
      breit erklärt wird.
      Ärgern deshalb, weil der Erzählfluss unterbrochen wird und die Sendung dadurch verlängert wird.

      Aber vielleicht kann jemand mal ein Podcast über den Podcast machen wo jedes Thema nochmal durchgekaut wird? So wie die Privaten im Fernsehen, wo nach der Sendung eine Sendung über die vorhergehende Sendung gemacht wird.
      Z.B. der Bachelor und danach die Sendung über den Bachelor (Jetzt reden die Frauen, oder so….)

      Nein, ich schaue nicht aktiv, aber wir haben nur ein Zimmer wo die Glotze und mein Computer steht und ich werde dadurch gezwungen mitzuhören.

      • Danke für die Antwort! Und ja, die Gefahr der Zerstörung des Erzählflusses ist gegeben, ich wollte nur ganz dezent in Richtung „man kann ja hier und da, etwas zusätzlich erklären“ geben.

        Ich freue mich auf die nächste Folge

  22. In dem Zusammenhang Doxing möchte ich an die mangelhafte IT-Sicherheit im Gesundheitswesen erinnern, wo derzeit mit der Telematik ein zentraler Datenspeicher geplant ist. Die Ärztezeitung berichtet von einem offenen Warnbrief von IT-Experten an den Bundesgesundheitsminister Herrn Spahn:

    Offener Brief an Spahn: Sorgen um IT-Sicherheit im Gesundheitswesen
    Eine Gruppe von IT- und Datenschutz-Experten wendet sich in einem offenen Brief an den Bundesgesundheitsminister. Sie sehen deutlichen Nachholbedarf in Sachen Datensicherheit im Gesundheitswesen und fordern eine Bildungsinitiative….
    Lesen Sie weiter unter:
    http://www.aerztezeitung.de/praxis_wirtschaft/datenschutz/?sid=979959

    Der Brief ist als PDF-Datei im Artikel verlinkt. Mir wird beim Lesen Angst und Bange. Wichtig wären klare Regelungen, wie man den Opfern von Datenklau helfen kann.

  23. Ich habe diese Folge erst zwei Wochen später, am 28. Januar, hören können und mal auf ein paar Links geklickt: Das meiste aus den Doxings scheint noch immer online sein, wenn man die erste Hürde der bit-ly-Links mal übersprungen hat. Schlimm.

  24. Eine AES verschluesselung ist prinzipiell nicht (per brute force) knackbar, sondern nur wenn der user nachlaessig ist und man irgendwie an das passwort kommt, oder man den passwortbereich extrem einschraenken kann.

    Um eine verschluesselung (egal welche) zu knacken braucht man prinzipiell 2 dinge: zeit und energie. Energie, um ein einzelnes bit von 0 auf 1 (oder umgekehrt) so umzuschalten dass es stabil und spaeter noch lesbar ist; und zeit da computer nur eine bestimmte anzahl an operationen pro sekunde abarbeiten koennen.
    Eine AES 256 verschluesselung hat 2 hoch 256 moegliche kombinationen. Die anzahl der kombinatione steigt exponentiell, heisst also AES 1 hat 2 kombinationen, AES 2 hat 4 kombinationen, AES 3 => 8, AES 12 => 4096, AES 24 => 16 Millionen und so weiter die man probieren muesste um den richtigen schluessel zu finden. Wenn man annimmt dass man den richtigen schluessel nach 50% aller versuche gefunden hat, muss man trotzdem 2 hoch 255 kombinationen durchprobieren.
    Am ende ist der rechenaufwand fuer einen AES256 key so gewaltig, dass 10 hoch 38 supercomputer seit entstehung des universums rechnen muessten um die haelfte des keyspaces durchzuprobieren. Die noetige energie um all diese rechner zu betreiben gibt es in unserem sonnensystem nicht; selbst wenn diese computer zu 100% effizient waeren.

    Hier ist der komplette rechenweg beschrieben und die loesung genau begruendet: https://www.reddit.com/r/theydidthemath/comments/1x50xl/time_and_energy_required_to_bruteforce_a_aes256/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.