LNP283 23bonobo42

Feedback — EU-Urheberrechtsreform — Seehofer — Collection 1 — MAC-Adressen — TKÜ — Handy-Tracking — Registrierungspflicht in AT — Frank-Walter ist Tims Homie — SUBSCRIBE 10

Die aktuellen Ereignisse bringen uns dazu, Passwort-Entscheidungen der Vergangenheit zu beschmunzeln, die Hoffnung auf eine Wende in der Frage des EU-Urheberrechts noch nicht ganz aufzugeben, den Kopf über deutsche und österreichische Minister zu schütteln und nebenbei wieder mal das eine oder andere technische Detail aufzudröseln. Tim klatscht derweil mit dem Bundespräsiadialamt ab und verkündet die Verfügbarkeit der Tickets für die SUBSCRIBE 10 in Köln.

avatar
Linus Neumann
avatar
Tim Pritlove

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove 0:00:00
Guten Morgen Dinos.
Linus Neumann 0:00:01
Guten Morgen.
Tim Pritlove 0:00:03
Du ich hörte die Massenentlassung zeigt erste Wirkung.
Linus Neumann 0:00:06
Ja immerhin wird jetzt geprüft ob die AFD nicht vielleicht doch beobachtet werden.
Tim Pritlove 0:00:13
Dann machen die bestimmt den ganzen Tag nur noch selfies.Netzpolitik Nummer 283 vom,21 Januar 2019 das Jahr macht sich langsam breit langsam schaffen wir es die Jahreszahl auch richtig aufzuschreiben fünfmal gefragt ist,interessanterweise ist es nicht mehr so schlimm bei mir und wie gewöhne ich mich an neue Jahre besser wie geht's dir.
Linus Neumann 0:01:04
Ja er ist also in meinem Alter.
Tim Pritlove 0:01:10
Ja jetzt.
Linus Neumann 0:01:12
Also vor allem sind die Jahre die werden ja echt kürzer ne.
Tim Pritlove 0:01:16
Ja was eigentlich schwieriger.
Linus Neumann 0:01:17
Das ist wirklich früher sowas wie eine ja meine Güte erwarten ja das ging ja nie vorbei.Was war letztes Jahr von dir das war so die lundi die längste denkbare Zeiteinheit direkt nach Omas alter so ne.
Tim Pritlove 0:01:34
Hört jetzt ist so hier was du warst doch irgendwie du warst doch vor ein paar Monaten warst du doch in Thailand die Thailänder war ich vor 3 Jahren.
Linus Neumann 0:01:48
Ja so ist das mit den Jahren Tim.
Tim Pritlove 0:01:54
Würde einfacher.
Linus Neumann 0:01:57
Wird gerade auch in unserem Themenbereich wird ja nicht einfach Hanna das ist natürlich auch so ein bisschen man könnte sich ja auch politische Themen suchen die mehr Spaß machen da sind die Jahre.
Tim Pritlove 0:02:08
Aber dafür wiederholen Sie sich am laufenden Meter muss gar keinen neuen lernen.
Linus Neumann 0:02:12
Stimmt.
Tim Pritlove 0:02:14
Kommt halt doch ein Seefeld gegen.
Linus Neumann 0:02:17
Das ist das ist tatsächlich so bisschen das Ding dass ich teilweise wenn ich jetzt so irgendwie versuche Themen so ein bisschen zu sortieren und einzuordnen dass ich dann merke so Mama ne das ist doch auch schon wieder zehn Jahre her.Dass das Thema angefangen hat.Naja fangen wir an.
Tim Pritlove 0:02:37
Kurze kurze Sendung angesagt haben wir vor haben wir haben wir uns versprochen.
Linus Neumann 0:02:41
Haben wir uns hoch und heilig versprochen das heißt so nehmt euch mal für ein Rest des Tages nichts vor ihr müsstet sie sich kurz Sendung hören Feedback.Feedback aus der aus der in der letzten Folge schon zitierten Ausschusssitzung digitale Agenda.Da mehr vermutet haben also habe ich vermutet dass das BSI Frühwarnsystem sich ausschließlich auf SocialMedia bezieht.In den Diskussionen hat sich aber der Eindruck ergeben dass es auch vielmehr um pace bin und ähnliche Plattform ging.Also dieses Frühwarnsystem soll sehr viel mehr betreffen als nur social media.
Tim Pritlove 0:03:24
Also PSP damit meinst du so anonyme veröffentlichungsort.
Linus Neumann 0:03:32
Dann hatten wir ja gesprochen von den 350 stellen die Horst Seehofer da erwähnte die sind nicht neu die waren schon im Haushalt ja das,habe ich auch glaube ich also das habe ich einfach letzte Mal nicht gesagt,der hat im Prinzip hat Seehofer nichts Neues vorgestellt sondern einfach nur noch mal wiederholt ja es gibt jetzt neue stellen und wir machen Aldi Sicherheitsgesetz und so in all das war aber vorher schon,geplant ne.
Tim Pritlove 0:03:57
Breaking news Horst Seehofer steht nichts Neues vor.
Linus Neumann 0:04:01
Wie so oft wird werden natürlich die entsprechenden Pläne jeweils dann noch mal aus der Schublade geholt oder dann betont wenn sie,thematisch und politisch opportun sind es jetzt auch nur nicht mal unbedingt etwas Schlechtes ja also es ist jetzt auch nicht schlimm das nicht spontan 350 neu stellen eingeplant werden nur weil irgendein.Vorfall Basis ist nicht nur schlecht ist es natürlich trotzdem aber falsch wenn das dann so dargestellt wird als wäre das jetzt eine Reaktion und nicht einfach nur eine Iteration.Und dann noch ein kleiner Scherz am Rande Münch der Chef des BKA hat behauptet sie wären also ganz gut besetzt und die Stellen beim BKA werden ja auch attraktiv weil,man wird ja verbeamtet.Du kriegst zwar ein wenig Geld.
Tim Pritlove 0:05:03
Das aber nicht Streik.
Linus Neumann 0:05:04
Dafür kriegst aber auch ein Leben lang nicht mehr was sie steht in der Stimme mehr kriegt man ja schon aber eben ein Leben lang nicht viel ja in der Tat ich meine Verbeamtung ist ein,Argument das.
Tim Pritlove 0:05:20
Manfred risshandschuhe.
Linus Neumann 0:05:21
Durchaus zählt natürlich also Verbeamtung bedeutet dass du immer du wirst jetzt nie.Was weiß ich Ferrari fahren aber du wirst auch dein Leben lang nicht hungern und das ist eine Sicherheit die glaube ich durchaus für viele Leute,auch durchaus entscheidend ist und die jetzt also so rein von der Bedürfnispyramide her einfiel,Sorge nimmt und viel dran.
Tim Pritlove 0:05:52
Das bloß nicht so viel rum dass du siehst wie rum Hut Bürgern irgendwie dann kannst du den Status oder loswerden.
Linus Neumann 0:05:59
Wie also insofern beamtenwitze sind einfach.
Tim Pritlove 0:06:08
Niedrig hängende Früchte auf 4.
Linus Neumann 0:06:09
Niedrig hängende Früchte der beamtenwitz als solcher ist eine niedrig hängende Frucht die Sony durchhängt dass sich schon verfault auf dem Boden liegt ja insofern.Lassen wir das genau wie so ein Beamter Nerven.
Tim Pritlove 0:06:26
Linus.
Linus Neumann 0:06:30
Ich darf das ich komme aus einem Haushalt von Beamten ich darf alle ich kenne alle beamtenwitze die Wohnbauten früher immer gemacht die aus für weil er sich ausgedacht.
Tim Pritlove 0:06:42
Führende beamtenwitz Manufaktur.
Linus Neumann 0:06:45
Ich weiß niemand anderes verzeiht sich was jetzt gerade denken außer Beamte.So nicht.Anti-Antifa wir haben ja die Anti Antifa Liste besprochen.Im letzten in der letzten Sendung eigentlich nur kurz erwähnt dass ist das eben auch gibt das um im auch zu sagen unser kleiner rechter dogs heraus wo kann man noch mal her,Anne wir wollten die wollten ja eben die Anonymität wahren weil ich hätte ja witzig gerichtet ja witzig dass der Doktor gedruckt wird aber lass mir das.
Tim Pritlove 0:07:27
Kann aber nicht gesagt nervo.
Linus Neumann 0:07:28
Haben wir nicht gemacht nein machen wir nicht.Genau Antifa Anti Antifa Liste also hier gegen linke AktivistInnen und Aktivisten gerichtet mit unter dem wir kriegen euch alle.Da hat uns einer der eine der Person die auf der Liste varitect sie wurde dann am,kontaktiert von der Polizei ich glaube das vom LKA das ist also eine müsste dann eine Woche danach gewesen wäre ich das jetzt richtig in Erinnerung habe also nach einer Woche von der Polizei kontaktiert aber.Kompetentaufgeklärt über Bedrohungspotenzial mögliche Reaktionen und Beratungsmöglichkeiten und so also ein,wie soll man das sagen also das Glas sich wie ein halbwegs positives Feedback so ne Woche später ist natürlich.Jetzt nicht ne Raketen Reaktion aber es wurde auf jeden Fall vermeldet dass es eine kompetentekompetente Beratung in einen informiertes Gespräch war wo man also wo die Person betroffene Person den Eindruck hatte,jemand an an einem anderen Ende zu haben die sinnvoll aufgeklärt hat über Situationen und.Möglichkeiten an uns mit das eben weil wir ja relativ kritischunter der letzten Sendung geäußert hatten aufgrund der Aussage von Martin Kaul der soviel kann ich glaube ich sagen in einem anderen Bundesland redet als die Person die uns geschrieben hat die ich jetzt einfach nur deshalb nicht beim Namen nenne weil,ich davon ausgehe dass man in so einem Zusammenhang vielleicht gar nicht weiter erwähnt werden möchte.
Tim Pritlove 0:09:30
Schau mal auf die EU da tut sich was.
Linus Neumann 0:09:34
Da tut sich was meine Güte also.
Tim Pritlove 0:09:35
Also heute erfahren die aus Britannien lernen heißt siegen lernen ist mit neuer Trendsport ist in letzter Minute nicht mehr genau wissen was man eigentlich will.
Linus Neumann 0:09:51
Ja genau denn eigentlich also die Große der große die große entscheidende.Hürden auf dem Weg zu Upload filtern und europaweiten Leistungsschutzrecht war ja,eigentlich die Abstimmung im Parlament wo wir alle noch dieses dieses doofmann Grinsen von Axel.Post in Erinnerung haben.Und.Damit war ja eigentlich die Indie die eine der wichtigen entscheidende Hürden auf dem Weg ins schlechte genommen ja weil,dann ja der der der Trilog,beginnen soll und irgendwie dann ein gemeinsamer Kompromissvorschlag entstehen soll jetzt haben am Freitag den 8.10.Sind die EU-Mitgliedstaaten an dem Versuch gescheitert ein neues Mandat für die trilogverhandlungen mit Kommission und Parlamentzu beschließen was bedeutet das Deutschland Belgien die Niederlande Finnland und Slowenien.Außerdem Italien Polen Schweden Kroatien Luxemburg und Portugal haben sich gegen das Verhandlungsmandat ausgesprochen.Das Verhandlungsmandat wäre erteilt worden der rumänischen Ratspräsidentschaft also der Rat.Der meine Gesäß ist immer dieser Trilog du kannst das besser erklären.
Tim Pritlove 0:11:24
Also das Parlament hat gesagt okay das ist unsere Verhandlungsposition und die geht halt in diesem Trilog Trilog heißt KommissionRat und Parlament schicken ihre Abgesandten und dann wird mal darüber geredet wird ist man generell davon ausgegangen dass der Rat ergo der sozialendie die direkten Vertretungen der einzelnen europäischen aktuellen Regierungen hier eigentlich am wenigsten Ärger machen sollzeigt sich aber dass der ganze Widerstand der jetzt organisiert worden ist oder andere bedenken das kann man jetzt um 1 Uhr natürlich nicht so bewerten dazu geführt haben dass die Länder die Regierung sich aufeinmal ihrer Sache nicht mehr so sicher sind was ja auch interamtunter anderem damit zusammen das haben wir auch schon berichtet dass halt die ganzen Rechteinhaber jetzt merken dass sowie das jetzt beschlossen worden ist ihn überhaupt nichts bringt sondern eben nur Google stärkt und Facebook und von daher sindalle auf einmal aufgewacht und dann so wie was bei dir jetzt beschließen die das gar nicht das was wir haben wollen und das hat sich jetzt wohl bis zu den Regierungen,rumgesprochen so dass die halt jetzt wiederum dem Verhandlungsführer im Trilog des Rates da kein grünes Licht geben das heißt.Auf einmal ist es unter Umständen der Rat der hier den Trilog an der Stelle abbricht wo man eigentlich hätte erwarten können dass eben das Parlament vielleicht nochwas ja nicht passiert ist und jetzt ist das irgendwie so ein bisschen offen kann natürlich bedeuten das jetzt.Hier tatsächlich im Rahmen des trilogs noch eine Abschwächung gefunden wird und klar kann ich beurteilenjetzt ist es komplette Artikel 13 Upload Filter Ding rausnehmen und wir sind ja auch konkret zum Leistungsschutzrecht stehen oder ob das dazu führt dass dasitalienisch nur diese zwei kleinen Detailseiten Prinzip und die komplette Urheberrechtsreform daran scheitert was dann wiederum bedeuten würde dass es in dieser Legislatur überhaupt nicht mehr zustande.
Linus Neumann 0:13:25
Gar nicht mehr zustande kommen sagt ja selbst Julia Reda wäre schlecht also es wollen ja die Leute wollen ja eine Urheberrechtsreform.
Tim Pritlove 0:13:35
Sind auch viele gute Sachen da drin genau.
Linus Neumann 0:13:38
Problem sind Artikel 13 der eben zu den Upload filtern führt und Artikel 11.Der ein EU-weites Leistungsschutzrecht rein herbeiführen sollte insbesondere das mit den Upload Filtern ist eben das große Problem ich will das noch mal ganz kurz der Vollständigkeit halber erläutern,was das bedeutet und warum das ein Problem ist ich glaube inzwischen haben wir das so oft gemacht dass ich vielleicht kurz hinkriege,die Idee ist also wenn du eine Plattform betreibst bei der anderen Person Inhalte einstellen können dann haftest du automatisch für die.Urheberrechtsverletzung die die Person da begehen,es sei denn du hast sinnvolle brauchbare funktionale Maßnahmen ergriffen um Urheberrechtsverletzungen,vor ihrem Entstehen zu verhindern das hieße also,hochgeladene Material vor der Veröffentlichung selbst noch einmal zu prüfen.Um dann zu sagen ok das veröffentliche oder veröffentliche ich nicht beispielsweise ne jetzt was weiß ich du Twitter,ein ein ein Kinofilm und das wird ja da müsste also Twitter sagen aha dieses Video ist offen bei dieser Kinofilm dieser Kinofilm ist.Auf dem Gipfel Urheberrecht von wem auch immer und deswegen darf der nicht getwittert werden ich verhindere die Veröffentlichung.Das zu leisten bei den Mengen an Material die hochgeladen werden ist im Prinzip nur sehr wenigen Unternehmen,möglich eines davon ist Google das andere ist Facebook sonst gibt's,keine bekannten Unternehmen die in der Lage wären eine solche Masse an urheberrechtlichen Material mit dem verglichen werden muss und eine solche Masse an Daten die hochgeladen werden live zu prüfen.Und jeweils eine Veröffentlichung zu verhindern die eins also google kann das mit YouTube in Grenzen.Sonst kann es einfach niemand das hieße also würde jede andere kleinere Plattform die nicht Google oder Facebook ist müsste sich diese Dienstleistung der Prüfung quasi von Facebook und Google kaufen.Oder hat er vielleicht oder zumindest durchführen lassen das wiederum würde bedeuten wenn ihr eure Inhalte bei einer Plattform hochladet die nicht Facebook und nicht google ist dann kriegen die trotzdem alle Inhalte zur Prüfung,und haben außerdem dann die zentrale Position per EU-Recht im Internet,die Kontrolle über die Inhalte zu haben also eine eine völlig absurde ganz ganz fürchterliche Idee die unter keinen Umständen Realität werden darf undso wie wir sehen,zeigt der Protest hier Wirkung da muss man auch ernsthaft zeigen wie lange da jetzt von so vielen unterschiedlichen Angie aus und Institutionen.Geh gekämpft Wort kann man allen Beteiligten wirklich nur den größten,sprechen dass sie das so lange durchhalten an vorderster Stelle natürlich Julia Reda die im EU-Parlament da die entsprechenden Positionen regelmäßig und immer wieder vertritt aber das Thema hat ja sogar durchgeschlagen bis zur,EFS also der in der US-amerikanischen Organisation wie wenn der letzten Sendung schnellerwähnt haben das also der IFF Vertreter Curt opsahl auch im CCC Jahresrückblick noch mal aufgetreten ist gabs sowas ganz bis dato auch,noch nicht dass das da quasi fremd fremd Ansprachen stattgefunden haben.Ist der Moment diesen Druck aufrechtzuerhaltennur weil die sich am Freitagabend nicht mehr einigen konnten heißt das natürlich nicht dass sie es beim nächsten Termin dann trotzdem noch tun aber genau jetzt ist der Moment zu sagen ok der Protest wirkt der Prozess zeigt Wirkung und auch die Rechteinhaber die eigentlich die Nutznießer dieser Reform sein sollensprechen sich verstärkt gegen Artikel 13 aus und das könnte jetzt sein dass wir,dass wir hier eine Chance haben die schädlichen Elemente dieser Urheberrechtsreform endgültig abzulehnen und dann kann man Urheberrechtsreform machen und dann sind auch alle happy.
Tim Pritlove 0:18:05
Ja bleibt spannend auf jeden Fall.
Linus Neumann 0:18:08
Das sind jetzt da sind jetzt die entscheidenden Wochen in den nächsten Wochen.
Tim Pritlove 0:18:23
Macht noch Dinge der ist ja der ist ja ein bisschen zurückgetreten aber leider nur als CSU Vorsitzender Innenminister ist er ja noch.
Linus Neumann 0:18:32
Ja das.Egal was der ist der wird der der der der schadet insofern wäre es eigentlich schlecht gewesen als CDU CSU Vorsitzende zu behalten damit er da ein bisschen Schaden kann.Wer weiß ein bisschen der Zonk.
Tim Pritlove 0:18:54
Vielleicht können Sie ja bei der AFD gebrauchen.
Linus Neumann 0:18:57
Ja da bin ich vorsichtig weil bei der also bei,es ist grundsätzlich zu hoffen dass keine in anderen Institutionen früher befindlichen Personen.Ihren Weg zur AFD finden ist sehe ich genauso bei Seehofer als auch bei Maßen weil schau dir das an was solche ehemals.In würden stehende Personen nämlich machen die fühlen sich dann so auf wie,ja was weiß ich wie hier dieser Broda unter Enzensberger und wie die ganzen bekloppten heißen die dann irgendwie nämlich mit ich war.Dass die Medien alle Lügen und und der Ausländer klaut und und was nicht alles.
Tim Pritlove 0:19:47
Insiderbericht.
Linus Neumann 0:19:50
Insider Berichte ja das ist also es ist gut es ist zu hoffen dass der Seehofer schön bei der CSU bleibt und Dasein seinen Stoß von sich gibt als dass er tatsächlich irgendwo hin wandert wo man.Wo der Fehler ihm jemals zu Amt und Würden zu verholfen zu haben nur noch schwerwiegender würde.
Tim Pritlove 0:20:11
Ja okay ich bereue auch mein Vorschlag war nur der Versuch einen schlechten Witz zu machen das ist mir wiederum gelobt.
Linus Neumann 0:20:19
Das gelingt er jedes mal tippen.
Tim Pritlove 0:20:21
Da bist du auch nichts.Ja also was hat er denn jetzt gemacht werde berichteten letztes Mal von dem Plan doch mal alle Daten zusammenzulegen.
Linus Neumann 0:20:36
Probehalber nur probehalber.
Tim Pritlove 0:20:37
Probehalber also die ganzen Meldedaten und da gabs auch eine Eilantrag über den wir glaube ich den wir auch angesprochen habe.
Linus Neumann 0:20:46
Die Gesellschaft für Freiheitsrechte hat einen Eilantrag gestellt dass dieses testweise zusammenführen der Daten das ist auch echt.Für den Zensus 2021 da werden wir mit relativ vielen Daten arbeiten müssen um das mal zu üben.Nehmen wir einfach jetzt schon mal die Livedaten übrigens ein klassischer Fehler ja wenn ich dann noch mal ganz kurz aus meiner,aus meiner beruflichen Tätigkeit berichten darf er du unterscheidest du hast ihn wieder in production system,mit dem das jetzt irgendwie dass es sind jetzt quasi Live-Server die Arbeiten jetzt mit Kundendaten dann hast du deine testing und staging Systeme oder deine Entwicklungssysteme ne also,du hast im Prinzip mehrere Umgebung Nathan der einen entwickelst du wenn du sagst da läuft es stabil dann zieht sie es irgendwann rüber in in das Produktionssystem ne damit du nicht mit jedem mit jeder Zeile PHP die du falsch schreibst,irgendwie direkt laufendes System runterbringen snap völlig klar dass man so arbeitet jetzt stellt sich natürlich regelmäßig die Anforderungen.Dass das Testing uns daydream die testing unzähligen Systeme die müssen ja auch irgendwie mit halbwegs vernünftigen Daten arbeiten um realitätsnah,operieren zu können und nicht selten wird dann einfach ein Dump der Produktionsdaten genommen,damit man also ne sich echt anfühlen die Daten in den Entwicklungssystem und in den Testsystem hat die Testsysteme sind aber natürlich,ganz anderen unterliegen ganz anderen Sicherheitsforschung Co Sicherheitsbeschränkungen ne dam nämlich alle Entwickler Zugriff da wird vielleicht mal eben so ein,Punkt bka.de hochgezogen oder was auch immer ne das heißt da sind die Daten ganz anders ganz anders bzw nicht.Und nicht selten entsteht durch soetwas dann ein ein größeres Problem ne weil dann irgendsoeinTestserver mal mit einer Schwachstelle ausgestattet wurde die irgend jemand gefunden hat oder so und dann hast du ruckzuck auf einmal diese Livedaten da verloren abgesehen davon dass das Datenschutz mäßig in der Regelin der Regel sowieso nicht akzeptabel ist das irgendwelche Entwickler oder Freelancer dann da auf einmal mit den Livedaten arbeiten,im Gegenteil man sollte sich natürlich einfach,Fake Daten machen und im Zweifel einfach auch für seinen Testsystem den doppelten Umfang ja damit man nämlich dass das auch als Last testen nutzen kann,und genau diesen Fehler begehen die hier auch in irgend so einer testweise Zusammenführung mal eben die größte Datenbank anzulegen,und das halte ich für erstmal sowieso grundsätzlich falsch und zweitens rechtlich aus was problematisch sorry dass ich das.
Tim Pritlove 0:23:40
Ja muss man mal muss man mal gesagt haben lorem ipsum.
Linus Neumann 0:23:45
JaSo warum wenn du deine Systeme testen möchtest ne warum wenn das irgendwie nachher 80 Millionen Datensätze zusammenführen musst warum nicht einfach 160000000 lorem ipsum nehmen ja.Gib welche Tools zur zur general Generation von Adressen Namen und so weiter gibt es wär überhaupt gar kein Problem ja.Sonst hast du mich das gleiche Größe wie diese Hessen ne die sagen ja wir haben einen last Test gemacht mit einem mit ein Fünftel der der er zu erwarten lass dort problemlos funktioniert Unsinn naja.
Tim Pritlove 0:24:25
Oder die eigenen die eigenen Daten nehmen von den von allen Mitarbeitern die daran beschäftigt sind dann wissen sie wenigstens wie sensitive das Material ist das aber auch.
Linus Neumann 0:24:34
Schneider die müssen die sind ja auch mit drin aber was ist passiert also diese testweise diese testweise Spiel mit dem Feuer,wo wir müssen 20/21 eine brandschutzprüfung überstehen lass uns einen Hitze mal die Fackel dran halten und um sicherzugehen dass das dann sie 21 ausbrennt.Der Eilantrag der GFF wurde also gestellt und das Bundesverfassungsgericht hat den 2,angenommen und prüft diesen Eilantrag jetzt hat aber keine Anordnung gegenüber dem Innenministerium erlassen das bedeutet dass in Missian sagt wir machen jetzt mal hier,EFF sagt nein nein nein nein ein Eilantrag Ungemach verhindern Bundesverfassungsgericht sagt okay dann das jetzt bekommen.Sagt aber nicht per Alpha Führung dem in Mission moment mal lass das jetzt mal bitte sein bis wir hier zu unserer Entscheidung gekommen sind,das bedeutet damit liegt der Ball beim Innenministerium das jetzt entweder sagen kann na ja ok bevor uns das nachher vom Bundesverfassungsgericht.Als illegal einkassiert wird wieder für einen auf den Sack kriegen oder so und so weiter warten wir jetzt mal lieber ab oder sie sagen.Schnell machen bevor uns das vom Bundesverfassungsgericht.Verboten wird und es ist natürlich klar welche Entscheidung das Innenministerium unter Seehofer da trifft schnell schnell machen.Und netzpolitik.org hat nachgefragt die haben schon 6000 der 11000 Meldebehörden eingesammelt und sehen wir werden das im Prinzip jetzt quasi.Schneller fertig stellen als das Bundesverfassungsgericht DIY Anordnung.Gebrüder Eilantrag geprüft und darüber entschieden hat das ist sehr misslich.
Tim Pritlove 0:26:42
Da würde mich ja mal die Einschätzung von Juristen interessieren wie wäre es wenn ihr eingeholt haben ob das nicht schon ein wenig anders Fahrlässigkeit darstellt weil das so ein Eilantrag kommt.Mussten sie ja unten.Na ja schon sein so im Sinne von Schadensminimierung und so weiter kann ja sein dass wenn man das jetzt schon anfasst das ist dann automatisch zu Problem finden kann für die man dann unter Umständen haftet.Gibt's im Park.
Linus Neumann 0:27:15
Naja du könntest ja andererseits argumentieren dass das Bundesverfassungsgericht hätte ja die Möglichkeit gehabt eine all Verfügung zu erlassen zu sagen lass das sein das haben sie nicht getan insofern kann das DME natürlich jetzt argumentieren.Dieser von einer jeder kann Eilantrag schreiben ja.Solange hier keine Verfügung gegen unterlassen wurde nehmen wir das jetzt erstmal zur Kenntnis und machen weiter andernfalls könnten die ja auch sagen also die.Eine ein mögliches Szenario wäre ja auch Eilantrag geht ein BMI lässt alles stehen und liegen verzögert sein Projekt um mehrere Wochen ja häuft aus irgendwelchen Gründen irgendwelche Kosten an.Und dann stellt sich raus im Bundesverfassungsgericht urteilt im Sinne des BMI dann hätte das BMI ja quasi fahrlässig.Sein Projekt hier unterbrochen und zu Mehrkosten kommen lass.
Tim Pritlove 0:28:15
Ja was ich mein Verständnis ist dass es normalerweise bei Behörden sehr wohl genauso funktioniert das hier wenn so wir können irgendeinen Fehler machen man könnte uns irgendwas ankreiden ich will nicht schuld sein lieber erstmal nichts tun also.
Linus Neumann 0:28:28
Ist richtig ja das ist bei Beamten ohnehin so.
Tim Pritlove 0:28:31
Eben genau so nah sind wir wieder bei den Beamten Witzen von daher könnte das halt hier auch anders laufen naja.
Linus Neumann 0:28:38
Naja aber also das ist auf jeden Fall sehr ärgerlich und man kann zumindest dann hier wird eben auf jeden Fall eine persönliche Verantwortung.Übernommen oder bzw eine ein persönliche Ermessensspielraum genutzt und das ist der wird hier eindeutig gegen.Das Interesse der Gesellschaft für Freiheitsrechte im Sinne des Datenschutzes für Deutschland,genutzt denn es geht ja nicht nur also die Daten das sind doch 46 Datenpunkte pro Person ja also das wird echt eine relativ fette Datensammlung.Die da gerade entsteht.
Tim Pritlove 0:29:17
Fette Datensammlung gibt's aber jetzt schon im Internet mir ist gerade mein Passwort abhandengekommen den US hast du gerade mal.
Linus Neumann 0:29:27
23 Bonobo 42.
Tim Pritlove 0:29:29
Danke schön ja ist doch es ist doch schön die zentrale Backups hat mir doch nicht durchdrücken gesprochen.
Linus Neumann 0:29:38
Zentrale Weckers ja was ist passiert.In einem Untergrund Forum.Wurde ein Datensatz veröffentlicht der den beschrieben wurde als Kollektion 1 Collection one und dieser Datensatz besteht aus.Insgesamt 1,16 Milliarden Kombination aus E-Mail Adressen und Passwörtern.Wobei das 773 Millionen E-Mail-Adressen sind.Und 21 Millionen einzigartige Passwörter ja mit anderen Worten du also in den 1,16 Milliarden tauchen verschiedene E-Mail Adressen mehrfach auf.Und verschiedene Passwörter mehrfach erstaunlicherweise relativ wenige Passwörter er hat also einen 21000000 password von 773 Millionen E-Mail-Adressen.
Tim Pritlove 0:30:45
Ersten Faktor von 36,8.
Linus Neumann 0:30:48
Das ist schlecht ja das heißt also entweder kann jetzt wieder beides heißt entweder das Passwort was die Leute hatten wurde von 36 anderen auch verwendet oder.Sie haben ihr Passwort im Schnitt 36 mal irgendwo verwendet im natürlich spielt dann da mit rein dass es bestimmte Passwörter gibtdie sehr häufig verwendet werden Passwort 123 und so weiter ne also es ist aufjedenfall wie sich das jetzt genau zusammensetzt wird aus den von Treuhand veröffentlichten Statistiken erstmal nicht hundertprozentigla so oder so ist es eine sehr sehr große Sammlung.Jetzt ist dazu anzumerken dass es die Sammlung 1 von 5,in dem Forum wurden also die es gibt collections 1 bis 5 die da veröffentlicht wurden dass es jetzt collection.Wann es ist also davon auszugehen dass auch zwei drei vier und fünf noch in naher Zukunft eine Rolle spielen werden einst war aber wohl.Die größten berichtet hat darüber.Erstmal ZF für die allgemeine Öffentlichkeit Treuhand Treuhand ist ein,MRT Sicherheitsexperte aus Australien wenn ich mich nicht täusche wohnst du wenn es in Australien,und der betreibt die Seite Hawaii Bild,und ist ein ein ein ausdrucksvolles eine,mimetische Fall Schreibweise von und und und bestehe ist ein Begriff für gehackt also mit anderen Worten wurde ich gehackt dot.com,viel einfacher zu finden wenn man einfach hibp sucht also hibp ist das was ihr euch merken solltet und auf dieser Webseite die wir hier glaube ich auch schon öfter mal erwähnt haben kann man.Verschiedene Dinge macht man kann eine E-Mail-Adresse angeben und dann wird einem von der Webseite gesagt in welchen bekannten Datenlecks.Diese E-Mail-Adresse vertreten war also du gehst dahin never been Pound schreib hin was was ich hier,Tim Pritlove ja und dann sagt er dir ok Diese E-Mail-Adresse ist in folgenden Datenlecks vorhanden gewesen.Und dann weißt du dass da steht dann was was ich sowas wie die großen bekannten sind irgendwie was weiß ich,Dropbox Twitter welches und so ne Facebook alles was alles was es mal gab die,wo der Treuhand halt auch die Betroffenen E-Mail-Adressen bekommen hat.Da wird das eben dann wird dir dann eben angegeben dass du in diesem bekannten data breach vorhanden vertreten warst.Und der speichert allerdings nicht die E-Mail-Adresse sondern Hashes von den E-Mail-Adressen was schonmal sehr gut ist die.Zweite Funktionalität die du hast die natürlich für mich danelle interessant ist,wenn du nämlich wie ich überall andere E-Mail Adressen an gibst dann hast Du natürlich ein Problem weil du dieses heval bin Pound nicht,nutzen kannst ja weil du müsstest halt hunderte Emailadressen prüfen die aber allebei einer bestimmten Domain sind da hatte auch in den Kommentaren jemand nachgefragt ich glaube jana war das die sagte na ja was mache ich denn wenn ich hier zum catch-all benutze und über eine andere E-Mail-Adresse eingegeben habe da hat ever been Pound eine Domain validate,das heißt du musst beweisen dass du diese Domain kontrollierst.Glaube da kann man irgendwie eine versteckte Datei in Webroot legen oder man muss eben irgendwie an,beweisen dass man irgendwie info.at oder Admin at oder oder irgendwie eine zufällige Adresse beantworten kann ist länger her dass ich das gemacht habe und dann kann man sich quasi alle gehackten E-Mail Betroffenen E-Mail-Adresse unter der Domain anzeigen,geht auch wichtige Empfehlungen und die dritte Funktionalität dir hart ist,ja etwas mit Vorsicht zu genießen das ist die Pound Passwortliste und zwar kann man da ein Passwort angeben,und bekommt zurückgemeldet ob dieses Passwort sicher ob dieses Passwort sich schon einmal in einem Bridge gefunden hat oder nicht,das ist natürlich.
Tim Pritlove 0:35:37
Geben Sie Ihr Passwort ein.
Linus Neumann 0:35:39
Gehen Sie hier Ihr Passwort ja und das ist jetzt also da kann man natürlich eigentlich niemandem zur A.Weil man weil das etwas ist was man sich grundsätzlich nicht angewöhnen möchte.Es sagt auch nicht in welchem Bridge das war glaube ich ist sagt einfach nur ok dieses Passwort solltest du ändern ja.Duich habe mir das angeschaut wie der das macht der hat der speichert in dieser Datenbank halt irgendwie x-fache x-fach,x-fache Hashes von der von den Passwörtern also er hat quasi nicht nur einmal geherrscht das Passwort in der Datenbank sein dass wir teilen wie viele mal hintereinander mit verschiedene Herr funktionieren die Geldbörse und.Wenn du dieses Ding nutzt diese diese.Dieser dieser apidea dafür auch bereit steht dann hast du quasi Lokal dein Passwort tausendmal,überträgt es dann dahin und dann sagt er dir ob dass sich in der Datenbank befindet ob dieser hässlich in der Datenbank befindet oder nicht das heißt es wird nicht das Passwort dorthin übertragen sondern eben eine Prüfsumme von einer Prüfung von einer Prüfsumme des Passworts was,technisch wenn er so realisiert wird vollkommen in Ordnung ist.So würde man es machen und das ist gut so zweitens ist dafür anzumerken dass der Treuhand jemand ist der mit dem Bridge deines Passwortes sehr viel mehr Ruf zu verlieren hätte als dein Passwort wert ist.Denn,na ja muss man sich sollte man eigentlich grundsätzlich niemals zu etwas nutzen vor allem nicht wenn man nicht Gesicht genau darüber im Klaren ist wie das funktioniert und was man da tut aber es gibt z.b. einenPasswortmanager und ich glaube sogar mehrere Passwortmanager die das inzwischen quasi,eine Kommunikation mit dieser Epi inkludiert haben das heißt du du setzt in diesem Passwort-Manager ein Passwort der herrscht das ein paar tausend Mal schickt das an diese LPA kriegt zurück ist hier vertreten oder ist hier nicht vertreten und sag dir dann n nimm dieses Passwort nicht,das war schon mein irgendeinem Bridge was auch wiederum eine sehr sinnvolle Schutzmaßnahme ist denn,warum gibt es überhaupt diese großen Sammlungen an an Passwörtern und E-Mail Kombination naja erstens weil man diese die direkten E-Mail-Accounts mit den Passwörtern gerne nutzen kann vom.Zum Spam Versand die Passwörter sind aber natürlich nicht immer für E-Mail-Adressen sondern auch mal für irgendwas anderes ja z.b. was weiß ichbei mir war das z.b. mal so ein so ein MySpace Konto betroffen gewesen ja weil irgendwie so ein wegwerf Konto bei MySpace hatte und das Passwort war dann in einem Briefjetzt könnte man natürlich dann also in dem Fall passt dieses Passwort nicht.Zu der E-Mail-Adresse aber es würde immer ein für diesen MySpace Account passen und das.Diese wird jetzt eine große Sammlung an Passwörtern hast kannst du natürlich davon ausgehen in diesem Fall hier ne zwei Millionen Passwörter dass du sagen kannst ok,wie häufig,kommt jedes Einzel Passwort vor also nehme ich wenn ich einen Angriff irgendwo versuche natürlich erstmal das häufigste Passwort jaund deswegen will man kein Passwort haben was häufig verwendet wird oder was anderes schon mal irgendwo verwendet haben.Und so wird also mit diesen so wird mit diesem Passwort Sammlungen umgegangen dafür hat man die und oder oder man hat ja einfach nur um sich mal anzugucken was für Spacko Passwörter,der Tee benutzt.Und.
Tim Pritlove 0:39:31
Passwort ziemlich.
Linus Neumann 0:39:32
Ja also immerhindu kannst ja dann auch mal suchen also wenn du wenn du jetzt wirklich den den original dann passt dann kannst du natürlich auch mal gucken wer noch so Bonobo als Passwort verwendet hat ja und dann kannst Du quasi auch mal Teile deines Passworts verwenden und gucken so,wie sicher ist denn jetzt Bonobo live.
Tim Pritlove 0:39:51
Hast du das hast du das schon geguckt.
Linus Neumann 0:39:53
Ja klar sicher wie sicher ist 23 und wie sicher ist 42 also 23 und 42 sind sind nicht der Renner.Bonobo Aurich.
Tim Pritlove 0:40:06
Okay aber du sagst mir jetzt nicht dass du genau dieselbe Kombination woanders gefunden hast.
Linus Neumann 0:40:10
Mediamann nur bei dir gefunden womit er übrigens bei dem nächsten Problem wären was mit der bekannt wurde ja oder was mir da noch mal bei der Untersuchung dieser Passwort liegt und bisschen aufgefallen ist.Du kannst darüber wenn du jetzt beispielsweise sag mir mal so ein unknown so ein so ein wegwerf E-Mail Account hast ja.Andino irgendwo so betreibst den du halt einfach dafür nimmst wenn du Leute nicht deine richtige E-Mail-Adresse geben willst sondern einfach ne wird mal eben so ein Account registrieren und hast halt.Der Account liegt jetzt in sie nicht am Herzen hast halt irgend so ein Schrott E-Mail-Account und da da lässt du das hin ja und er hat eben weil das eben auch so ein Schrott Account ist nimmst du da halt irgendwie z.b.Öfter mal das gleiche Passwort ja weil du sagst das ist mir eh alles egal hier ich brauch diesen diesen MySpace Account nur zum.Zum zum Downloaden eines Videos oder damit ich den oder ich will ich möchte dir nicht ernsthaft pflegen sondern das ist nur so ein Wasser in etwas unschöner Begriff dafür ist aber der hat sich leider etabliert sonst dorking account.
Tim Pritlove 0:41:23
Kann am Passwort anerkannt werden sozusagen zu Gordon.
Linus Neumann 0:41:26
Genau du kannst ein Passwort erkannt werden das ist das ist echt das haben wir in dem OpSec Vortrag gar nicht noch mal sobetont das natürlich du auch über diese über die Verwendung des von einem bestimmten Passwort da halt auchKorrelationen herstellen kann und das funktioniert eben auch dass du erziehst AH was dass ich so hier23 Bonobo 42 dann suchen wir doch mal welche Accounts noch dieses Passwort haben und finden dann halt irgendwie sowas wie Rosalie 23rd yandex.ru und haben dannden die Vermutung hat hätte.
Tim Pritlove 0:42:04
Damit habe ich nichts zu tun.
Linus Neumann 0:42:05
Na das ist ein Witz Scherz.Aber immer wieder schön passwort passwort liegt sich anzuschauen und jetzt aber noch mal zur Relativierung dieser Collection one.Da sind also das ist eine Sammlung an unglaublich vielen Einzeldateien von denen ich viele auch vorher schon hatte ja gesehen habe gesehen habe,und dieses das ist also nicht jetzt alles neu sondern streckenweise halt wirklich sehr alt auch ja.
Tim Pritlove 0:42:38
Eine Collection es ist halt wir sammeln mal alles ein was das Internet so zu bieten hat und,dann kriegen wir sozusagen vollständigen Almanach Jan hat mich jetzt auch an ein schönes Kunstwerk von Aram Bartholl in der vielleicht der ein oder andere du kennst ihn wahrscheinlich auch neder immer so wunderbare Kunst macht die so die Realität und die ganze Virtualität und Digitalität miteinander verbindet und hatten vor vielen Jahren sich diese Passwort liegt genommen und dann so Passwort Bücherdaraus gemachtes heißen unsere Ausstellung liegt dann so ein gedrucktes Buch oder nasse Passwörteralphabetisch sortiert drin und wieso Telefonbuch man kann einfach so schön durchblättern und mal so gucken ob wir ein Kind Haslach da auch irgendwo vertreten sind.
Linus Neumann 0:43:26
Das haben wir in in ähnlicher Form auch mal gemacht bei der transmediale.Ja da gibt's auch noch ein Video von das ein paar Jahre her da haben sie ja alle einige Chip da haben wir alle Kreditkarten PIN Codes Verkauf.Gas und braunen Umschlag und da waren alle PIN-Code drin alle.Alex verstehst du das aber nicht übersichtliche sein das war aber der war das ging halt los mit 000 und endete mit 999.Und wir haben die verkauft unter Geld-zurück-Garantie ne dass man halt prüft konnte wenn dein Pin nicht dabei haben leider nicht so viele gekauft,aber aus kommt deshalb auch nicht viele gecheckt was ja auch verkauft haben das aber das war eigentlich dass das leider habe das,damit alle nicht gecheckt wie wie witzig das eigentlich war 1000 Follower auf PTP haben wir auch verkauft.Was dein Pipi Pipi mehr oder weniger unbrauchbar macht wenn er auf einmal 1.000 Signatur in von nicht existierenden Personen hat.Aber das wäre auch mal ganz lustig habe ich jetzt endlich wieder gefunden habe ich aus verständlichen Gründen niemals veröffentlicht den Code 1000 Fake Identitäten.Die sich dann teilweise gegenseitig ihre key signiert haben und dann gab es gibt halt so diese Möglichkeit einen Alki damit unsere unterzeichnen das Problem ist der daneben wirklich tausend Signaturen,wird ein bisschen groß.Naja das nur am Rande.
Tim Pritlove 0:45:01
Okay das ist Kunst rollerei genau mit diesem ganz.
Linus Neumann 0:45:05
Passwortlisten.
Tim Pritlove 0:45:06
Würde mit dem Thema durch Haft.
Linus Neumann 0:45:10
Ja also ein weitere. Ne so man sollte sich mit sowas auseinandersetzen man sollte Passwörtern nicht wiederverwenden und man muss eben damit rechnen dass die dann auch wirklichviele Jahrzehnte später oder 14 später auf einmal irgendwo auftauchen ne ich z.b. mir war gar nicht klar dass ich mal MySpace Account hatte.Da hatte ich auch nie einen vielleicht hat nur jemand anders einem Tim Hoffmann das Passwort habe ich aber wiedererkannt sagen wir mal so das war halt eine lange Zeit das wegwerf Passwort und ich habe dann auch noch mal.Wenn man dann mal wirklich sein Passwort safe mal kontrolliert Ja und sagt zeig mir doch mal bitte an wo ich gleiche oder ähnliche oder schwache Passwörter habe oder,wenn man sich jetzt unter wenn man sich die informierte Entscheidung trifft nach Prüfung der technischen Umsetzungob man denn jetzt dieses Passwort Prüfungssystem von Treuhand benutzen möchte oder nicht dass man dann da auch vielleicht mal überrascht feststellen kann naja vielleicht finde ich zu meinen E-Mail-Adressen nicht dieses Passwort ist aber dort als,schon einmal kompromittiert gelistet worden das kann also bedeuten vielleicht wurde ich noch nicht gelker vielleicht einfach irgend jemand anders diese Passwort auch geil gefunden.Und somit ist es nun in einer Liste der Passwörter die Leute durch probieren würden und.Unsere Passwörter sind eben immer nur so sicher wie ne wenn jetzt irgendwie 10 stelliges Passwort Hass und Hass alphanumerische.Charaktere dann hast du jetzt irgendwie die Buchstaben was sind hat 6 und 24 bis 26 Buchstaben in Groß und in klein ist aber 48 + die Buchstaben bis irgendwo bei über 50 hoch zehn ja.Was eine enorm hohe Zahl ist.Während wenn du jetzt im Bereich von sagen aber hier 21000000 bist das lässt sich ja relativ schnell durchprobieren,auf einem Rechner ja das macht einen enormen Unterschied ob man ein Passwort hat dass ichin soll ich mal in dem möglichkeitenraum von 21 Millionen bewegt oder ob man ein Passwort hast hat was ich im Möglichkeitsraum von sagen wir mal.56 hoch,hoch zehn oder eben hoch was weiß ich 30-40 32/23 für dich und das ist ein enormer Unterschied für die für die Sicherheit weil das eine ist ein überschaubarer Raum für ein Computer und das andere eben nicht.Deswegen.
Tim Pritlove 0:47:52
Ja schön ist es besser ist das ja eure eure Passwörter bezeichnet der Ausnahme des einen für euren Safeway sie euch überhaupt gar nicht mehr merken.
Linus Neumann 0:48:06
Ursula also so lange wie möglich Länge sticht sticht Komplexität oder häufiges Wechseln also schön schön Lang Lang Lang Lang immer soviel wie das Feld hergibt.
Tim Pritlove 0:48:21
Ja mit den Dingen die aus dem Netz kommen und die man dann auf einmal in der Öffentlichkeit sieht oder sagen wir mal so bisschen aus dem Untergrund kommen da habe ich auch so meine Erfahrungen gesammelt die wird es wahrscheinlich hierunter auch schon eh nicht gegangen sein und sicherlich auch manchen hörenkann mich noch sehr gut daran erinnern als ich das erste Mal im Fernsehen so den typischenTechno 4 Viertel bietet und Anna Werbung unterliegt gesehen habe und mit dachte so ah okay alles klar die Öffentlichkeiten im Techno war ja das entschlüpft jetzt sozusagendem Untergrund und natürlich ging es mir gerade bei Internet related Ding auch so irgendwanngab es mal eine E-Mail-Adresse auf dem Plakat und ich dachte mir so.Oh Gott wir haben sie haben unsere E-Mails entdeckt so und dann kam nur 11 Uhr also.
Linus Neumann 0:49:10
Cover von I Spam Nachricht.
Tim Pritlove 0:49:11
David ist das aber schon soKulturkeller Moment ne wo man sich sind denke okay alles klar dass dann haben sie jetzt auch entdeckt die die Öffentlichkeit fängt an dieses Konzept zu verstehen und dann kam.
Linus Neumann 0:49:25
Jedes mal Scheiße oder es ist jedesmal.
Tim Pritlove 0:49:27
Es ist irgendwie also einerseits ist es beides ist es so auf der einen Seite fühlt man sich natürlich enorm bestätigt weil man hat ja eigentlich auch die ganze Zeit vorher gesagt,also ich zumindest über aber andererseits dann auch so hoffentlich habe ich noch genug Sachen in meinem Untergrundkirche so die für die nächsten 20 Jahre reichen das irgendwie alles noch das noch nicht cool genug fühlen kann,ist noch ein bisschen was da aber es wird schwieriger dann kam IP-Adressen ne dann wurde er auch irgendwann so dieses,wir zahlen getrennt durch Punkte für uns irgendwie so,einerseits normal aber halt auch irgendwie so ein bisschen so ein Geheimcode und dann wurde das auf einmal auch irgendwie in Filmen und so weiter verbrannt und wird wahrscheinlich jetzt keine so lange dauern und irgendwann habe auch IPv6 Adressen.Aber jetzt neu das hatte ich auch noch nicht MAC-Adressen wo auch keiner weißdas jetzt eigentlich wieder ist obwohl es jeder vielleicht irgendwann auch schon mal so gesehen hatte so ein bisschen in seiner Fritzbox rumStock hat und da jeder der so ein bisschen mehr Techie ist kann er irgendwas mit anfangen aber so mainstream kannst du den Leuten nicht sagen gib mir mal deine MAC-Adresse dann meine was aber dass das jeder hatist nicht was jetzt im allgemeinen Bewusstsein ist unten,speichere das irgendjemand weiß was was was mit Mac in dem Zusammenhang geweitet weil es hat.
Linus Neumann 0:50:52
Media access control.
Tim Pritlove 0:50:53
Nichts mit dem Apple Macintosh zu tun genau.
Linus Neumann 0:50:56
Media access control wie erklär wie erklärt man MAC-Adresse MAC-Adresse ist wenn.Geräte Geräte die über nett die über ein Netzwerk kommunizieren stellen wir uns das vor wie so ein Kabelnetzwerk oder vereinfacht lässt sich oder sogar noch besser erklären anhand eines WLAN-Funknetz Werkes.Diese Geräte haben quasi unter dem was dann irgendwann eine IP-Adresse ist und was dann TCP-IP ist und wo irgendwann einmal das Internet draus wird eine sogenannte.Physikalische Adresse.Unter der Sie unter der quasi die Netzwerkkarte selber erreichbar ist.
Tim Pritlove 0:51:44
Viel zu.
Linus Neumann 0:51:45
Wenn jetzt also nennen im Moment Moment Moment Moment Moment sind ja für dich vielleicht ich erklär.Das heißt also wenn das was jetzt irgendwie IP spricht weißt also einer einer Netzwerkkarte oder eine Netzwerkkarte sagt,bin erreichbar unter folgender eindeutiger.Und einzigartiger Adresse und wenn ein iPad IP Paket an mich geroutet werden soll oder irgendetwas an mich gefunkt werden soll dann wird das bitte an diese MAC Adresse gesendet und wennPakete die nicht an meine MAC-Adresse adressiert sind die empfängt meine Antenne zwar.Die ignoriert sie aber und gib die im Prinzip gar nicht weiter in höhere Betriebssystem Ebenen und so ist es das ist notwendig dass jede MAC-Adresse quasi einzigartig ist,rooms,gleich mal Privatsphäre Nachteil dass es eine Geräte eigene Kennung.
Tim Pritlove 0:52:54
Ja Chris also nicht die volle Punktzahl von mir aber ist.
Linus Neumann 0:53:00
Dann mach du mal eine dann mach du mal dann mach du mal besser.
Tim Pritlove 0:53:04
Ja ich bringe gleich einfach mal weniger und andere Punkte ans Licht,eine MAC-Adresse ist etwas das wird von dem her,kommunizierenden Gerät automatisch vergeben jeder Hersteller hat so ein Gewissen Zahlenbereich den zugewiesen ist und darin kann man sich dann selber da drunter sozusagen in diesem Zahlenbereich eine Nummer aussuchen und,jeder Teil eines kommunizierenden Gerätes der irgendeiner Form mit irgendwas reden möchte kriegst du eine Nummer das istDie WLAN Adresse das ist die Internetadresse jedes Gerät hat sowas,ab Werk das heißt sie identifiziert im Wesentlichen das Gerät bzw ein Teil über den dieses Gerät kommuniziert und manche Geräte haben halt mehrere solche Adressen,und mehr muss man darüber meiner Meinung nach auch erstmal nicht wissen alle die weißes die in der Hosentasche habt haben sowas.
Linus Neumann 0:54:08
Und zwar auf jeder auf jedem Interface eine andere.
Tim Pritlove 0:54:12
Genau das heißt man kann ich nur das Geräte machen daran fashion man kann er Dich nur die Adresse anschauen und man weiß in der Regel schon mal welcher Hersteller das ist also man kann sofort sehen ist das ein Mac oder es ist von Apple.
Linus Neumann 0:54:26
Genau übrigens für die für die Fortgeschrittenen von euch.DHCP ist die Zuordnung von IP-Adressen zu MAC-Adressen findet Schönstatt,in jedem WLAN Hotspot und ein Klassiker des kostenlosen Internet ist sich in so ein WLAN-Hotspot einzuwählen wo jetzt sagen wir mal ist eine Bezahlschranke dran gehst du rein.Machst du kriegst ne kriegst mit deiner MAC-Adresse eine IP-Adresse hörst dir ein bisschen den Traffic an ja mit Wireshark und guckst welche andere IP-Adresse in diesem WLAN,darf denn mit dem Internet kommunizieren ja also von wem sehe ich hier dass er größere Mengen Traffic Macht und die zurück kommen aus dem Internet.Das sind die Personen die im Zweifelsfall bezahlt haben die also registriert sind,mit einer IP-Adresse zu ihrer MAC-Adresse und dieser IP-Adresse wird durchge Route zum Internet.Trick ist nun ihr identifiziert eine solche einen solchen Netzteilnehmer schaut euch dessen MAC-Adresse an.Trennt euch von dem WLAN setzt eure MAC Adresse,diese MAC-Adresse und verbindet euch wieder neu mit dem WLAN denn MAC-Adressen kann man auch in den meisten Geräten per Software einfach ändern,zumindest auf den Unix System ist das gar kein Problem gibt auch ein eigenes Tool für Linux Mac changer heißt das bei Mac OS kann man das einfach über if Config Interface und dann,Isa und dann eine andere physikalische Adresse geben so könnt ihr dann auch auf transkontinental Flügen wunderbares Internet genießen auf die Kreditkarte einer anderen Person das nur kurz am Rande.
Tim Pritlove 0:56:19
Weil eigentlich haben wir ein anderes Thema.
Linus Neumann 0:56:21
Ein ganz anderes Thema denn in Deutschland ich meine das war.Für 2017/2018 genau da gibt's ein gibt's einen DHL Erpresser der Deutschland irgendwie schlechte Stimmung gemacht hat der mehrere Pakete mit Paketbomben in Berlin und Brandenburg verschickt,und diese MAC-Adresse der der hat der hat ein Handy verwendet.Und der den Ermittlern in dieser Angelegenheit ist es gelungen.Quasi herauszufinden dass er eine E-Mail verwendet versendet hat von einem öffentlichen WLAN Netz in Berlin und in diesem WLAN war er eingeloggt mit einer spezifischen MAC-Adresse FE,F8 Doppelpunkt E0 Doppelpunkt 79 Doppelpunkt Doppelpunkt 57 Doppelpunkt EBja und das ist die MAC-Adresse die sich zurückführen lässt auf ein Gerät also auf den MAC Adressen Pool von Motorola gehen also davon aus dass er entweder einoder ein Handy der Marke Motorola verwendet hat und damit eben mit dieser MAC-Adresse in einem.Dieser öffentlichen WLAN-Netze registriert war was eine relativ.Gute Spur ist und jetzt noch mal wieder bei OpSec zu bleiben sollte nämlich ein Mensch gefunden werden der,der über ein Gerät verfügt das exakt diese MAC-Adresse hat dann gibt es nur ein Gerät dass diese MAC-Adresse zumindest im Auslieferungszustand hat oder hatte ja.Und das wäre dann quasi der Beweis dass dieses Gerät zum Absenden dieser E-Mail verwendet wurde und das wiederum wäre etwas was potentiell jemanden in den Knast bringen kann.Nun hat die Polizei eine Reihe an Maßnahmen unternommen um nach dieser MAC-Adresse zu.Das geschieht schon länger.Dass sie nach dieser MAC-Adresse fahrenden mir ist das schon vor längerer Zeit sind wir dann Maßnahmen zu Ohren gekommen und sie haben jetzt die.Diese MAC-Adresse auch tatsächlich veröffentlicht mit der Aufforderung dass Leute suchen ob z.b. in ihrer Fritzbox oder in ihrem öffentlichen WLAN oder irgendwo einmal ein Gerät mit dieser MAC-Adresse angemeldet.Jaich weiß nicht genau das ist natürlich jetzt an den an den Täter oder die Täterin eine sehr entscheidende Warnung dass er sich von diesem Gerät trennen wird ja also da kann man.Denke ich mal von ausgehen die Hoffnung ist natürlich hier jetzt über die zeitliche Koalition vielleicht herauszufinden.
Tim Pritlove 0:59:30
Wo die sich aufgehalten hat.
Linus Neumann 0:59:31
Ja oder wer das war ne also es wird ja sogar es wird es richtet sich sogar an Privatpersonen.Ja das man also mal prüft ok hatte ich diese MAC-Adresse im mal bei mir im im WLAN und tatsächlich solche Fritzboxen z.b. die speichern sich das also gefühlt ewig,welche MAC-Adressen mal in in ihren in ihrem Netz fahren kann sein dass die das irgendwann wieder vergessen aber die Liste die die speichern ist auf jeden Fall,und dann wird er mich die MAC-Adresse ja häufig auch immer noch mal den Gerätenamen zugewiesene so iphone von Claudia oder sowas und das wäre es ist eine für die Ermittlung natürlich ein sehr.
Tim Pritlove 1:00:15
Hilfreich ist Indiz.
Linus Neumann 1:00:18
Ein sehr hilfreiches Indiz solange jetzt nicht irgendwelche Spaßvögel auf die Idee kommen diese MAC-Adresse bei ihren Geräten zu setzen ja weil man kann eben über den Mac changer,kann man die gesagt auch seine MAC-Adresse ändern wenn man das möchte diese MAC-Adresse würde ich in euren Skripten,vorzugsweise ausschließen nur um sicher zu,die niemals verwendet weil das führt glaube ich zu einer ganzen Reihe Ärger immerhin haben sie 40 Hinweise erhalten.Laut einer laut Antwort auf eine Anfrage der Morgenpost glaube ich,stellt sich natürlich jetzt die Frage in der Regel wenn die Polizei nach Hinweisen fragt kriegt man ja kriegt sie ja relativ viele ne also da gibt's immer auch Leute die das die sich freuenwenn sie mal mit jemanden telefonieren können oder so insofern werden diese jetzt geprüft und Mann,kann also jetzt schauen ich bin persönlich stehe dieser Maßnahme,ich weiß nicht genau ob ich das jetzt irgendwie gut oder schlecht finde,ich weiß wie gesagt das ist schon länger nach dieser MAC-Adresse gesucht wird auch auf anderen Wegen.Die ich aber bis jetzt mal irgendwo öffentlich gesehen habe deswegen äußere ich mich da jetzt nicht weiter zu,die Falle ich will es mal so sagen ich meine das ist jetzt ein ganz klarer Fall von sagen wir mal irgendwas Terrorismus oder schwerer Kriminalität ne,Paketbomben Versand Erpressung und so das ist denke ich fällt ganz klar unter.Schwere Kriminalität zwb Terrorismus wenn der TV mit Bomben hantiert wird.Und bei solchen Ermittlungsverfahren sind wir uns immer im Prinzip einig dass wir alles technisch Machbare.Realisiert haben möchten ja und insofern habe ich auch in diesem konkreten Fall jetzt keine spezifische,keine spezifischen Einwände.Irgendwie Bürger rechtlicher Natur oder sonst was gegen diese gegen diese Fahndung nach einer spezifischen MAC-Adresse Weiden wir das aber mal aus man könnte das ja.Ein bisschen weiter spinnen ja bringen wir mal in die Zukunft stellen wir uns vor die finden jetzt den Täter auf diesem Wege ja dann haben wir ja eine hätten wir für die Polizei eine Erfolgsgeschichte die sagt wenn wir,MAC-Adressen wenn wir nach MAC Adresse suchen können dann finden wir Täter diese Maßnahme diese Möglichkeit,soll uns jetzt bitteschön immer existieren übrigens für diese Story ist auch völlig unerheblich ob das klappt oder nicht wenn das nicht klappt würde dies würden die Argumentation genauso drehen nämlich dahin gehen zu sagen wir möchten.Die Möglichkeit haben nach MAC-Adressen zu fahrenden und zwar.Auf jedem öffentlichen und nicht öffentlichen Hotspot und wir verpflichten jetzt die Hersteller.Von sagen wir mal Fritzboxen home Router an Hotspot Freifunk wen auch immer das.Und die Suche nach MAC-Adressen zu erlauben ja mit anderen Worten markötter sowas machen sie was weiß ich das BKA hat all veröffentlicht die Suchliste der MAC Adressen die MAC Adressen sind irgendwie 1000-mal gelöscht.Und jedes Mal wenn sich eine neue MAC Adresse bei eurem Router anmeldet,muss der diese MAC-Adresse auch tausendmal herrschen und abgleichen mit dem mit der BKA Suchliste der MAC-Adressen,da wo auch gelöschte MAC-Adressen drin sind und wenn es einen Treffer gibt muss er was was ich die Polizei alarmierenja und sagen das kleine ein gesuchtes Gerät hat sich gerade hier angemeldet bzw du würdest das natürlich so bauen dass der jede MAC-Adresse die die sich dort anmeldet den BKA meldet das BKA entscheidet,ob die nun gesucht wurde oder nicht denn du willst natürlich nicht verraten,nach welchem MAC-Adressen gesucht wird denn das wäre wieder eine Information die für.Kriminelle Relevanz ein Konto mit anderen Worten ich halte es für realistisch dass innerhalb der nächsten,keine Ahnung eins zwei drei vier Jahre eine einen die Idee einer Anforderung kommt Zusage jede MAC Adresse die sich anmeldet muss anonymisiert mit irgendeiner Fahndungsliste des BKA abgeglichen werden.Wiederum das wiederum wäre ein relativ massiver,Eingriff der da der da stattfinden würde und das wäre in keiner Form zu.Für Worten und das ist eben der Unterschied zwischen dem konkreten Einzelfall und dem,dem Massenverfahren der Massen Anwendung und deswegen bin ich so vorsichtig in der Bewertung dieser Maßnahme die jetzt hier in diesem Einzelfall erstmal halbwegszielstrebig sinnvoll modern zielgerichtet technisch fundiert daherkommt.Frage ist was wird daraus.In 1/2 3/4 Jahren und zwar unabhängig davon ob die sich erfolgreich zeigt oder nicht weil wenn es erfolgreich ist dann die ja erfolgreich dass du es meinst immer machen oder sie sagen es war nicht erfolgreich weil wir noch kein MAC-Adressen Screening deutschlandweit hatten deswegen müssen wir das jetzt einführenund dann seid ihr wieder auch alle bitte.
Tim Pritlove 1:06:17
Ja ich hoffe du hast jetzt nicht schon genug zu viel Ideen geliefert aber machen wir uns nichts vor die Ideen die existieren alles schon das ist alles am Ende eine politische Frage.
Linus Neumann 1:06:30
Bleiben wir noch ganz kurz bei was wird so aus Überwachungsmaßnahmen.Es gibt eine eine überraschungs Nachricht die uns andere auf Netflix die Korg gebracht hat zum ersten Mal gab es in Deutschlandabnehmende Telekommunikationsüberwachung zum ersten Mal in viel viel Jahrenund zwar so dass die Zahlen aus dem Jahr 2017 wenn ich das richtig sehe die hier veröffentlicht wurden.Und da wurde also festgestellt dreieinhalbtausend Festnetzanschlüsse wurden abgehört,20000 Mobilfunkanschlüsse und 9000,Internetanschlüsse ja der wird das wird was in der Art der abin in in AT Anhörung Unterschiede ne also in Mobilfunk ist ja auch Internet und Festnetz kann auch Internet sein aber das eben der Unterschied und man sagt wir wollen das Telefon abhören oder den Internetanschluss und deswegen gibt's da diese diese genauen Zahlen.Und jetzt denkt man sich auch okay bist du jetzt gut ist es schlecht diese Tiere über Anordnung sind ja sowieso im Rahmen von Ermittlungsverfahren insofern.Na unten Unterlagen im Richtervorbehalt jetzt stellt sich aber natürlich die Frage tja welche Art von Delikten finden in der Stadt denn wir haben uns wird ja immer gesagt wir brauchen Staatstrojaner und TKÜ,nicht zu vergessen der Staatstrojaner als Quellen-TKÜ zum Kampf gegen den Terrorismus,gegen die gegen die schwere Kriminalität undsoweiterundsofort welche Zahlen sehen wir hier,38,9 % der Anordnungen wegen Verstoßes gegen das Betäubungsmittelgesetz.11 %,Bandendiebstahl 10 % betrug und Computerbetrug 9 % Mord und Totschlag 7,1 % Friedens,hoch und Landesverrat 6 % Raub und Erpressung 16 % entfallen auf sonstige.Andre merk korrekt an Terrorismus taucht in keinem einzigen Fall auf ja also nicht ein einziger dieser Fälle.Wurde wegen Verdacht des Terrorismus.Was deswegen interessant ist weil das immer das Nummer 1 Argument ist bei der Einführung dieser Maßnahmen bei der betäubungsmittelkriminalität kann man sich eben fragen ja.Ob das überhaupt eine Kriminalität Form ist Didi zu verfolgen überhaupt noch zeitgemäß ist oder ob man sich da nicht überlegt ob man nicht vielleicht.Alle Menschen irgendwie besser schützen würde durch eine Legalisierung aus ein anderes Thema fakt ist,knapp 40% der Anordnungen von diese Überwachungsmaßnahmen gehen im Prinzip gegen Drogenhändler im Zweifelsfall oder deren Kunden.Keine einzige gegen Terror das ist sind zumindest andere Zahlen als wir sie in der öffentlichen Debatte über derartige Überwachungsmaßnahmen regelmäßig ventilieren und deswegen ist das,durchaus relevant die malche zu Rate zu ziehen und zu konsultieren.
Tim Pritlove 1:09:54
Na ja ich bei 16,6 % ist sonstige ne also weiß ja jetzt nicht.Vielleicht sind wir jetzt nicht mehr im Krieg gegen Terror sondern Krieg gegen sonstige.
Linus Neumann 1:10:05
Nee der Talle anderer Teerdecke die gesamten Zahlen gelesen und Terror würde sicherlich nicht unter Sonstiges fassen wenn Sie damit.
Tim Pritlove 1:10:17
Ja ja die Überwachung aber da kann man auch Geld mitmachen wusstest du das.
Linus Neumann 1:10:23
Ach was sollen wir auf.
Tim Pritlove 1:10:24
Ja in USA geht dasda gibt's ja noch keine dsgvo oder gdpr und auch ansonsten sieht es mit dem Datenschutz relativ mager ausund das führt dazu dass die drei großen US Mobilfunkunternehmen mal so AT&T Sprint und.
Linus Neumann 1:10:45
Verizon Wireless.
Tim Pritlove 1:10:46
Reisenden aus was Vodafone gesagt dass andere mit v,habe nämlich einen kommerziellen eine kommerzielle Dienstleistungen der sie halt die Standorte von,Telefonat von Mobilfunkgeräten einfach so liefernwenn man nur genug dafür bezahlt ist auch gar nicht so teuer aber natürlich wird behauptet dassdas alles nur geht wenn man da auch selber zugestimmt hat dass dieser Standort freigegeben wird najabei Motherboard haben sie mal ein bisschen genauer nachgeforscht und sind da relativ schnell auf einen Schwarzmarkt gestoßenwo man mal so für 300 US-Dollar auch irgendein beliebiges Gerät trekken konnte also das mitnichten sodas hier nur die Telefone im Zugriff sind die gesagt haben ja kein Problem ich lasse mich gerne rund um die Uhr von jedem für ein paar Mark über,nein man kann davon ausgehen dass das wieder alles so endemisch sein Weg nach außen gefunden hat,das sehr wohl hier in Echtzeit alles getrackt werden kann also nicht irgendwie eine Informationen wo man vor drei Wochen vielleicht mal war so also jetzt so live und in Farbe.
Linus Neumann 1:12:04
Dazu vielleicht noch kurz bisschen Hintergrund das Mobilfunknetz,muss wissen wo ihr seid,damit es euer Handy klingeln lassen kann ne leuchtet ein wir haben irgendwie in Deutschland jetzt und ich glaube das hat irgendwie TeamT-Mobile hat wahrscheinlich irgendwie immer 40 Millionen es hat scriber oder sowas ne dann haben die anderen Netze werden auf jeden Fall mehr als 80 Millionen aktive,Mobilfunkgeräte in Deutschland würde ich jetzt mal so grob tippen und es ist natürlich klar dass jetzt nicht in ganz Deutschland.Über ganz Deutschland gefunkt werden kann wenn er einer eine Person von telefoniert seines Mobilfunknetzes eben in viele kleine tausend Einzelzellen unterteilt.Und in einer dieser Zellen ist euer Gerät zu jedem Zeitpunkt eingebucht und dieses der einzelne Antennenstandort ist außerdem noch in so 120 Grad,Quadwie wird man das nennen Quadrant ist es ja nicht 100 120° Abstrahlwinkel aufgeteilt das heißt von dem Standort der der Antenne weiß man auch noch mal die in 120° eure Richtung und die Empfangsstärke ne außerdem redet das Telefon die ganze Zeit mit den umliegenden Zellenum zu gucken ob nicht eine andere dieser Zellen ein bessere Signalstärke liefert und des um deswegen darüber zu springen.Und dadurch ist quasi für den Netzbetreiber auch dann wirklich eine sehr genaue Triangulation möglich wo exakt dieses Gerät gerade ist und,ich glaube wir haben auch im Logbuch schon mehrmals darüber gesprochen.Das über das ist da die Angriffe über ss7 gibt über stille SMS und sonstiges gibt wo man also quasi den genauen Aufenthaltsort eines Gerätes herausfinden kann.
Tim Pritlove 1:13:58
Sowas über die SMS kriegst du quasi die Zelle mit der man offiziell verbunden ist dann kriegst jetzt nicht die komplette Triangulation dazu Triangulation war auchvor einigen Jahren noch sollen wir mal ein Aufwand den zu treiben sich nicht wirklich lohnte weil man dafür hätte sehr viel Geräteeinstellung bringen müssen das ist aber meiner Kenntnis nach mittlerweile nicht mehr so sehr das Problem.
Linus Neumann 1:14:21
Nein und das kurz erklären die Angriffe die Angriffe haben also,gabs vor längerer Zeit einen Vortrag beim CCC Congress warne an dem ich nicht ganz unbeteiligt war du machst das im Prinzip über über ss7 deswegen bin ich mir nicht so sicher also dass das Mobilfunk,das dass das Verbindungsnetz Weg der Mobilfunknetze der verschiedenen wenn also Mobilfunknetz a mit Mobilfunknetz B telefoniert müssen die ja auch irgendwie eine Verbindung her,und da könnte sich relativ viel in die gegenseitig Infrastruktur rein fuchteln so dass du als Teilnehmer im ss7 Netzwerk.Wenn keine weiteren Schutzmaßnahmen implementiert wurden z.b. tatsächlich zu jeder Telefonnummer problemlos,und das kostet irgendwie pro Abfrage bei kommerziellen Anbietern irgendwie ein Cent oder so ja die.Die sehr genaue Location bekommst so und diese an diese Angebote gibt es seit ich glaube tobias hat den ersten Vortrag darüber beim Kongress beim 21.03 gehalten wenn ich mich jetzt nicht täusche.
Tim Pritlove 1:15:30
Ja aber war es da nicht noch die reine zählen Information dass man weiß.
Linus Neumann 1:15:34
Da war sie zählen Informationen aber die zu Meppen auf eine auf eine Location ist relativ einfach weil du ja quasi die das Netz ist ja,grob eingeteilt in mehrere.Moment MSC BSC BTS ist so dass du quasi relativ simpel schon mal die die Region also Land weißt du sofort über den,MCC Mobile country code.Dann kommt der MNC mobile network Code wurde dann weiß ok in diesem Netz befindet er sich und über dieses Netz hast du quasi dann also dadurch hast du eh schon das Land und dann geht's eben weiterhin welcher bis zuunter Umständen runter bis zur bis zur Zelle teilweise,aber nur in irgendwie sowas wie okay du bist in im Norden Deutschlands im Süden Deutschlands oder im Westen Deutschlands das war das über über diese.Das was du über stille SMS machen konntest es gibt aber weitere ss7 Befehle die eben bis zur bis zu Zelle dir das genau,rausgeben und dann ist alles was du noch brauchst eben eine Karte dieser Zellen und da gibt's eine Webseite für so ähnlich die OpenStreetMap Open cell ID fertig,und dann hast du hast du das Thema hast du hast du eine Person lokalisiert und wenn die Mobilfunknetze nicht massiver Gegenmaßnahmen dagegen treffen.Was sind was sie im Prinzip machen indem sie einen Proxy bauen das heißt das Ding antwortet immer mit ja ja pass auf wenn du willst wenn du das an den schicken willst schick das erstmal an diese virtuelle Cell-ID ja und dann kümmern wir uns um den Rest,ja das sind das ist im Prinzip die die Gegenmaßnahme die ein Mobilfunknetz dafür ausrollen muss um dieses Verschreiber Tracking zu verhindern den aktuellen Stand übrigens der weltweiten Mobilfunknetze kann man sich unter,GSM map.org anschauen das ist das Projekt an dem ich damals auch.Mitgearbeitet habe und da gibt es mehr oder weniger regelmäßig so.Report also Berichte wo die verschiedenen Angriffe erklärt werden und bei welchem Mobilfunknetz welcher funktioniert.
Tim Pritlove 1:17:57
Ja der Vortrag von Tobias den erwähnt hast war vom 25.03 locating mobile phones using ss7 haben wir verlinkte andere Talk den du erwähnt hast weiß ich jetzt nicht genau.
Linus Neumann 1:18:08
Der andere Talk ist Karsten Nohl und wahrscheinlich luca war auch noch mit auf der Bühne Luca milette und im gleichen Jahr auch noch mal ein Vortrag von Tobias Engel.
Tim Pritlove 1:18:18
Also where in the world is Carmen SanDiego war das.
Linus Neumann 1:18:21
Nee das war nein der ist der Verein ja später das war der mit den Amadeus chords mit dem mit den Flugtickets dem's ein oder zwei Jahre davor gewesen.
Tim Pritlove 1:18:29
Dann musst du den mal raussuchen haben.
Linus Neumann 1:18:36
Machen wir eine Shownotes ist auf jeden Fall interessantes Spiel ärgerlichdas sowas immer noch in ein Geschäftsmodell ist und es hat ja das ist eines der Probleme wenn man Leuten seine Handynummer gibt man muss zumindest davon ausgehen dass die herausfinden können wo man sich aufhält wobei ich sagen mussdas meine letzte sich bisher meine Forschungsergebnisse mit deutschen Anbietern,tatsächlich immer besser werden also ich kann regelmäßig nicht so gut herausfinden wo mein Handy gerade ist,weil die inzwischen relativ viele,sinnvolle Gegenmaßnahmen auch im ss7 ausgerollt haben um das Liebling dieser Informationen an andere Parteien oder nicht vertrauenswürdige Parteien zu verhindern.Details wie gesagt im country report of GSM map.org.
Tim Pritlove 1:19:32
So, zu den Kurzmeldungen ich jetzt mal aus Zeit das gerade knapp.Der Name Blümel war bei mir immer sehr positiv besetzt nicht das ja dieser nette Vertreter Loriot die Weinflaschen in Kock und,stellt sich raus gibt aber auch einen Kanzleramtsminister in Österreich von der ÖVP,ist zuständig für die EU und für die Kunst die Kultur und die Medien.Und der ist totaler Fan von einem Konzept was er unter dem Begriff digitales Vermummungsverbot anführen.David sprechen gibt's ja auch in seinem Ministerium einer Arbeitsgruppe die da jetzt dran rumgewerkelt und wo jetzt Informationen gelegt sind woran sie denn gerade so arbeitet unddem Jahr die Regierung letztes Jahr schon das überwachungspaket durchgeschoben hatwollen Sie jetzt hier die Sache noch weiter verschärfen um jetzt vielleicht auch im Netz bei potenziert strafrechtlichen relevanten Postings an Namen und Telefonnummerneines Nutzers zu kommen da könnte sich als ganz hilfreich erweisendass er seit Anfang dieses Jahres für Prepaid SIM Karten schon die Registrierungspflicht herrscht das heißt man muss jetzt im Prinzip wenn man eine Prepaid Karte kaufen,Lichtbildausweis und mit ja Namen,sich registrieren lassen was ich genau wie dieser Vorgang vor sich geht aber auf jeden Fall hat man quasi nachzuweisen wer man den sei damit der Staat das dann eben auch,weiß wenn man eben 25 die MAC-Adresse stößt und da mal nachforschen will was Phase ist ja,was heißt das jetzt erstmal noch gar nichts das ist sozusagen alles im werden wird aber jetzt gerade in diesem Ministerium offensichtlich geplant.Und das soll das eben auch für Online-Plattformen gelten dass man sich da ist auf jeden Fall mit Klarnamen registrieren muss,nicht dass es so sozusagen,sichtbar sein muss als man kann dafür footsoldier NYM posten aber wenn halt jemand wissen möchte wenn das jetzt gemacht hat dann müsste eben dieser Auflösung über die Telefonnummer existieren soamMit hungry verifizierten Handynummer also ergibt Nummer einrichten SMS bestätigt dass er um sich dann quasi online über seine Mobilfunknummer anzubinden,ob das dann bedeutet dass man nur noch wenn man über eine Mobilfunknummer verfügt überhaupt in anderen Foren unterwegs sein kann,das wäre eine interessante Fragen Zusammenhang man nimmt ja hier einfach an dass dem so sei auch wenn es sicherlich bei vielen Leuten so ist ne,ja also auch.Netzdurchsetzungsgesetz ist hier wohl in der Diskussion ich denke die österreichische Öffentlichkeit wäre an österreichischen Öffentlichkeit wäre es anzuraten hier mal genauer hinzuschauen,was ich hier.
Linus Neumann 1:22:54
Dann müssen wir jede Sendung noch eine kurze fröhliche Nachricht bringen und eine witzige,die Gemeinnützigkeit für Freifunk Initiativen der steht im Prinzip nichts mehr im Wege alle sind dafür deswegen musste jetzt natürlich noch irgend eine Verzögerung von der SPD reinbringen obwohl sie auch dafür ist die hat gesagt wir,warten und wollen alles was mit genauen Gemeinnützigkeit zu tun hat in einen neuen Gesetzesentwurf packen und später in einem Rutsch verabschieden.Genaues Datum dazu ist noch nicht bekannt,jetzt weiß auch nicht es gab einen fertigen Vorschlag des Bundesrates zu sagen hier schreib doch einfach diesen einen Satz noch mit Rainer wer alles gut,tja also wir werden noch ein bisschen warten müssen bis wir steuerliche Vorteile für alle Freifunk Initiativen finden somit mehr offene WLANs haben und in diesem Land vielleicht noch ein bisschen Internet haben können.Wird er hat jetzt einfach unbegründet ohne Notwendigkeit verzögert.Und dann brauchen wir natürlich noch ein bisschen was von unseren Daten Elchen auch die Daten Elche werden so schnell nicht,Aussterben die werden wir noch einige Zeit brauchen denn das ist wirklich eine geile Nachricht also die die die die tiermeldung allein Telekom darf Glasfaser der Konkurrenz drosseln,oder du denkst du der Kupfer Riese darf irgendwie die Zukunft Bremsen ja der Kupfer Riese darf die Zukunft Bremsen bremsen denn.Wenn in den Häusern alte Kupferleitungen sind.Die den Datenverkehr vom Keller in die Wohnung leid also musst dir vorstellen,Straße existiert in der Straße liegt das ganze das ganze Antike Kupfer ja eingepackt in Plastik und da kommt das Internet,durch ne so jetzt wird er das steht regelmäßig irgendwie in die Slam und jetzt kommt aus den Häusern.Komm ja dann diese Litzen Stränge im Prinzip auf die jetzt von so einem von Zombies ähm also zum DSL Umwandler dann am Ende das drauf geschaltet wird was.Das Internet bei euch dann an der an was wirklich bei euch an der TAE Dose endet Voda neuer Modem dran gestöpselt wird,das gleiche ist natürlich auch bei den meisten Glasfaseranschlüsse so,weil in dem Hause liegt ja noch keine Glasfaser in der Haut wurde ja was was ich vor 100 Jahren gebaut und da wurde dann irgendwann mal so ein so ein Kabelstrang rein geführt unten vorm Haus ne unten vom,unten ins Haus rein geführt unten im im Keller des Hauses kommt das dann an wenn es ein Mehrparteienhaus ist wirds dann irgendwie im Kabelstrang nach oben geführt in jeder einzelne Wohnung.So in diesem Kabel jetzt in dem Haus sind,wenn jetzt dann jemand kommt und sagt aha ich hätte aber gerne Glasfaser dann terminiert unten am Haus Glasfaser und dann kommt deine umwandlungs Box hin,die jetzt dieses Glasfaser Signal irgendwie hoch prügelt auf Kupferleitungen um eben auch irgendwo im Haus anzukommen es kommt also in den seltensten Fällen,wirklich dann wenn man Glasfaser bestellt auch wirklich ein kleines Glas Väterchen zu Hause aus der Wand was ja auch einleuchtet weil das wäre eine bauliche Veränderung,an dem Haus die dann notwendig ist jetzt passiert es aber,dass diese dass diese Glasfaser Modulation die auf diese Idee dann eben ins hm haushoch geprügelt wird nach oben auf diesen schlecht abgeschnitten Kupferlitze Dingen die Telekom vectoring-technologie stört.Wir haben also dadurch dass du dir Glasfaser bestellt hast.Sorgst du quasi für Interferenzen bei deinen steinzeitlichen Nachbar.Die Welpen mit Vectoring noch das letzte Bild aus dem Kupfer raus saugen müssen wollen können,oder hat die Telekom gesagt ja das geht so nicht das da wird ja unsere schöne Kupfer Technologie gestört nadid die Zukunft stört die Vergangenheit ne man könnte sagen das wäre ein klassischer Fall von disruption,welches stattfindet und,dann hat die Deutsche Telekom gesagt na ja diese Leitungen die gehören ja uns.Und da haben sie sich dann.Im also der Fall tritt nur für alte Häuser auf ne und die Konkurrenten also die Glasfaser anbietenden Didi Disruptoren die hier die Zukunft bringen wollensagen na ja diese and Leitungen sind wesentliche Bestandteile des Grund.Und sind somit Eigentum der Hauseigentümer und deswegen können wir da können die Hauseigentümer auf diese Leitung bestellen was sie wollen,und wir können das auch entsprechend nutzen wie wir wollen und die Deutsche Telekom hat gesagt nein,diese Verkabelung in den Häusern ja die ist Bestandteil des Teilnehmer Anschlusses mit anderen Worten die Grippe uns und deswegen darf auch nicht der Hauseigentümer entscheiden,Verdi Leitung wie nutzen soll und das damit beruft sich,die Telekom auf das Telekommunikationsgesetz und dieser Argumentation ist die Bundesnetzagentur gfall,mit anderen Worten das Kupferkabel was in eurer Wohnung führt gehört der Deutschen Telekom und wenn ihr da auf einmal was schnelleres von der Konkurrenz drauf Bucht dann darf die Deutsche Telekom sagen nein.Die Argumentation der Bundesnetzagentur ist ja die Glasfaser Anbieter ist ja völlig in Ordnung niemand hindert die daran ihre eigenen zulegen.Das bedeutet aber natürlichdas zudem zu der Idee wollte Glasfaser haben nicht nur kommt das jemand überhaupt eine eine Glasfaser euch in die Straße gelegt hat das jemand eine Glasfaser bei euch ins Haus gelegt hat sondern das jetzt auch noch bei euch und bei euch im Keller im Haus noch eine,eine bauliche Maßnahme am Haus stattfinden muss dass sie Glasfaser auch wirklich bei Euch rein kommt jetzt wird er Tim als Purist sagen das will ich ohnehin ich wollte ja Glasfaser ich habe,fiber to the home bestellt und nicht fiber to the curb was natürlich richtig istheißt aber wenn das für alle notwendig ist das jetzt quasi der Glasfaserausbau natürlichen noch noch viel schleppender stattfinden wird als heraus ohnehin in Deutschland schon tut.
Tim Pritlove 1:29:51
Mein Kommentar.
Linus Neumann 1:29:58
Trompeter gegangen.
Tim Pritlove 1:30:01
Na außer sad trombone calendars zu diesem Gesamtzustand in Deutschland nicht mehr viel einfallen lassen.
Linus Neumann 1:30:07
Ssss.
Tim Pritlove 1:30:08
Da ist man schon letzter ja und dann bemüht man sich auch noch möglichst letzter zu bleiben.
Linus Neumann 1:30:15
Ja es ist eine Katastrophe sehr schön gewesen wenn die wenn die Bundesnetzagentur die Telekom einfach verdonnert hätte gesagt hör mal wenn das euer Kupfer ist ne dann seht mal zu dass er da wegkommt könnte geholt erstmal daraus und liegt an was Schönes glasrein aber.
Tim Pritlove 1:30:29
Kommt nicht dran vorbei an einer öffentlich,nicht nur finanzierten sein auch weitgehend betriebenen Glasfaserinfrastruktur,oder Netzinfrastruktur divide gehen auf Glasfaser basierte wo sich dann diese ganzen Anbieter mit einklinken können es geht besonders fürs Land aber eigentlich ist es auch in der Stadt bitter nötig und jede Gemeindedie Maßnahmen ergreift so etwas bei sich zu realisieren die es gut dran und,antiprisma in Zukunft auch noch mehr auf die Politik Einfluss nehmen dass solche Ideen aufgenommen und diskutiert werden.Aber ich habe mal eine gute Nachricht.
Linus Neumann 1:31:10
Gute Nachricht.
Tim Pritlove 1:31:12
Er kam gerade rein ich bin total platt der Bundespräsident hört jetzt auch Metaebene.Tatsächlich ich mache ja verschiedene Podcasts und unter anderem den Forschergeist Podcast und.Der ist ja für den Stifterverband und der Bundespräsident hat gerade ein schönes Abendessen für den Stifterverband gegeben wo er dann in seiner Rede,ich zitiere sagte der Stifterverband hat Einfluss auf in solchen Fragen also,wirtschaftliche fragen worauf sich da gerade Bezug und er mischt sich ein in die gesellschaftliche Debatte nur ein Beispiel im August vergangenen Jahres noch vor dem Bekanntwerden der Geburt der mutmaßlichenmutmaßlich genmanipulierten Zwillinge ist in ihrem Podcast Forschergeist ein Gespräch zu Ethik und Genetik auf Sendung gegangen sie haben damals wichtige Fragen gestelltdie uns weiterhin beweg.
Linus Neumann 1:32:08
Und ich habe sie nicht eingeladen oder was oder gabs auch nur Burger Viva.
Tim Pritlove 1:32:12
Höflichkeits Kalorien.Habe ich auf die folgende Fragen gestellt du so ist auch ne gute Seite ich werde gleich mal verlinken diese deshalb extrem hörenswert.
Linus Neumann 1:32:30
Trump diese in zum Glück müssen wir nicht über die USA reden ne aber warten meine Fresse ist das da wieder geht das da wieder runter buzzfeed Newsschon wieder mit ihr in einer scheiße daher gekommen ne also buzzfeed wie gesagt ihr kennt ja meine meine Einschätzung von buzzfeed habe ich ja hier schon öfterwiedergegeben jetzt haben sie es soweit getrieben dass dass der Maler sich zum ersten Mal zu einerzur einer zu einer Medienberichterstattung äußern musste und sagen musste das ist in wesentlichen Teilen falsch was die da geschrieben haben und alle waren schon am feiern und haben gesagt jeder geil,jetzt geht's dem Pappenheimer endlich an den Kragen wegen.Anstiftung zum Lügen gegenüber dem Kongress und eigentlich haben sich alle schon gefreut dass das impeachment jetzt endlich doch mal durchzuziehen wäre man man man und jetzt in denen dann essen sie da Burger,naja und alles wegen dieser blöden war.
Tim Pritlove 1:33:29
Jetzt massieren massieren aus dem politischen Bereich auf.
Linus Neumann 1:33:34
Nein nein mache ich nicht auf ich wollte nur noch mal ganz kurz meine meiner allgemeinen entgeisterung.
Tim Pritlove 1:33:39
Seine allgemeine entgeisterung ja das kann ich gut nachvollziehen in Britannien sieht ja auch gerade nicht sehr viel besser aus ich weiß nicht ob du das auch noch mit dem gleichen Interesse verfolgst aber.
Linus Neumann 1:33:51
Wie du nee.
Tim Pritlove 1:33:52
Habe ich vielleicht nicht so aber ich bemerke dass es jetzt allgemein mit einem größeren Interesse verfolgt wird und alle natürlich auch etwas entgeistert sindmit welcher Geschwindigkeit der Zug hier auf die Wand zu Pferd erinnere mich noch wo ich vor hab,was ist 3-4 Monaten vielleicht halbes Jahr kann es passt sein ich mich mit irgendjemandem,Speisewagen im ICE ins Gespräch gekommen wir kamen und wie oft auf dem brexit und ich meinte so zu ihm so,ja das ist eine totale Vollkatastrophe und das wird noch richtig explodieren und die haben da keine Lösung für das ganze Problem der guckt sich eine Mathe das kann ich mir nicht vorstellen am Ende kommt ihr doch auf den letzten Metern doch immer irgendwie noch zusammen oder wenn die da auf den Vertrag unterschreiben und alles ist gutso uns ist bin aber wirklichhabe ich noch mal gesagt so dass ich das überhaupt nicht verdaut der wird schon wissen was was ich meine in einem halben Jahr und jetztsuper da jetzt jetzt jetzt passiert es tatsächlich als würde ich ein bemerkenswerter Showdown aber ich bleibe nach wie vor bei meiner Einschätzung,wird abgesagt also das wird nicht schön und das wird blutig aber dann blutig.Nicht falsch verstehen also die in der politischen Auseinandersetzung blutig für Britische Verhältnisse auf jeden Fall,aber ich glaube nicht dass sie irgendeine andere Chance haben als das zu canceln inform,einer weiteren Befragungen die dann für emain ausgehen wird aber spannend und.
Linus Neumann 1:35:36
Mehr vom brexit hört ihr auf der subscribed Händen.
Tim Pritlove 1:35:39
Nee bestimmt nichtkeine Ahnung aber das nicht hatte ich ja letzte Woche schon erwähnt dass wir diese subscribed machen und ich wollte es noch mal kurz erwähnen weil wir in der Zwischenzeit auchdie Tickets freigeschaltet haben das heißt sie jetzt Interesse hat zu kommen der oder die darf das gerne tun,noch mal kurz in Köln 22 bis 24 Märzunsere Community Podcaster Konferenz und ich bin ziemlich überrascht weil wir hatten jetzt vor dem Wochenende die Tickets den Shop aufgemacht und es haben sich bisjetzt 100 Leute schon angemeldet also dann schon was los und wenn er auch dabei sein wollt dann tickets. habe gerade. De oder seid ihr mit dabei.
Linus Neumann 1:36:32
Ja ist doch spannend so damit sind wir beim Ende der Sendung.Ich habe in den letzten Sendungen ein bisschen das danken vergessen.Dass ich jetzt hier noch einmal nachholen möchte,auch unter der Anmerkung dass einige sich jetzt vielleicht da nicht berücksichtigt sehen die kommenden nächsten Sendungen ich will das nämlich einfach nicht zu langen machen diesen Blog,und zwar danke ich dem Alexander dem Björn dem Christian dem Clemens.Falk Felix Karsten danke ich sehr besonders Maximilian.Martin danke ich auch sehr besonders Michael danke ich sehr besonders Nils danke ich ganz ganz besonders und Nico danke ich besonders,außerdem Philipp Sarah und Matthias Sebastian Stefan und Tim nicht jedem anderen nicht dir danke ich nicht.
Tim Pritlove 1:37:37
Da da da gehe ich halt allen anderen wie immer auch zu dir,Gitter für Kommentare für eure Unterstützung für das Verbreiten in der Kunde ob der Podcast als solcher und prozesspolitik natürlich im Besonderen.Und die fortwährende finanzielle Unterstützung für das Programm und.Mehr gibt's heute nicht das war es oder.
Linus Neumann 1:38:12
Neon überall hoffen sie Reichelt auch mehr also reicht für diese Woche.
Tim Pritlove 1:38:16
Ja reicht weißt aber willst oder zwei Stunden geblieben ist doch schonmal.
Linus Neumann 1:38:20
Wir sind unter 2 Stunden geblieben und da das heißt jetzt könnt ihr den Podcast auch mal wieder anderen Leuten rein Gewissens empfehlen.
Tim Pritlove 1:38:28
Genau wenn ich's ab.
Linus Neumann 1:38:32
Puppen Talkshow.

Shownotes

EU-Urheberrechtsrefom

Seehofer macht Datenbank

Collection 1

MAC-Adressen-Fahndung

Erstmals weniger TKÜ

Handy-Tracking as a service

Digitales Vermummungsverbot in Österreich

Gemeinnützigkeit für Freifunk-Initiativen

Telekom darf Glasfaser der Konkurrenz drosseln

Bundespräsident hört Metaebene

SUBSCRIBE 10

64 Gedanken zu „LNP283 23bonobo42

  1. Hi zusammen,
    bzgl. HIBP: Das mit dem mehrfachem Hashen ist mir neu und ich bin mir relativ sicher, dass HIBP keine API anbietet, in der man mehrfach gehashte PWs rein schmeißt.
    Stattdessen werden nur die ersten 5 Zeichen des (lokal berechneten) SHA-1 in die API gegeben (https://haveibeenpwned.com/API/v2#PwnedPasswords). Als Ergebis kommen alle SHA-1 aus der HIBP-DB alle Hashes zurück, die mit diesen 5 Zeichen beginnen (zusammen mit der Info, wie oft das PW in der DB auftaucht). Jetzt kann man wieder lokal im Ergebnis nach seinem PW suchen. Das ganze ist so simpel, das man das relativ einfach in Excel bauen kann – wer das mal ausprobieren möchte.

    • Ich habe mal ein Perlscript geschrieben, dass lokal gegen diese API prüft: https://github.com/atdotde/HIBPPasswort

      Es ist so kurz, dass sich jeder selbst davon überzeugen kann, dass es mit dem eigegebenen Passwort keinen Quatsch macht.

      Sets ein 100 mal gehashtes Passwort irgendwo hinzuschicken wäre keine gute Idee: Eventuell habe ich ja vorher (zB von der gleichen IP) nach meiner Email gesucht. Dann liegt für den Serverbetreiber nahe, dass dieser Hash zu meiner Email gehört. Sollte er später von irgendwo (weil doch jemand anderes das gleiche Passwort verwendet) diesen Hash nochmal sehen, wüsste er, dass er das zugehörige Passwort gegen meine Emailadresse ausprobieren könnte.

      Bei der HIBP werden aus diesem Grund nur die ersten fünf Zeichen des Hash übertragen, so dass man nicht zu viele Information zu seinem Passwort freigibt.

  2. Hallo Linus,

    zu deinem Empfehlung lange Passwoerter zu benutzen gibt es allerdings noch eine wichtige Anmerkung zu machen.

    So gibt es besonders bei Druckerherstellern aber auch anderen Plasteboxherstellern das Problem, dass Passwörter längen beschränkt sind, weil Sie zum Beispiel in NVRAM abgelegt werden. NVRAM setzt meistens eine feste Zeichenlänge vorraus. So werden Passwörter die nicht lang genug sind mit Nullen aufgefüllt. Passwörter die aber zu lang sind werden meiner Erfahrung nach einfach abgeschnitten. Im GUI wird also nur geprüft das das Passwort eine Mindestlänge hat. Die Maximallänge wird nicht gecheckt. Wer würde den So ein langes Passwort erstellen? Das kann sich doch niemand merken.

    Eigentlich denkt man ja das, dass mit der Passwortmaximallänge kein problem ist. Den bei vielen Hashfunktionen kommen tatsächlich immer gleichlange Zeichenketten raus. Aber irgendwie scheinen die Hersteller das mit dem Hashing noch nicht wirklich verstanden zuhaben.

    Ich habe damit schon einen Drucker gebrickt der nür über ein obscures Firmwareupdate das mir vom Support für teueres Geld per Mail geschickt wurde (Nein es gab nie ein Firmwareupdate für den Drucker, und damit auch nicht das bedürfnis sowas online zustellen). Bei einem anderen Drucker von einem anderen Hersteller habe ich eine gesamte Konfiguration, also 3 Stunden Arbeit, verloren weil ich den Drucker reseten mußte und nochmal anfangen konnte. Bis das Problem dann gefunden ist warum ich mich aufeinmal nicht mehr einloggen kann vergehen dann nochmal 3 Stunden debugging aufwand. Und ja die Firmware des ersten Druckers mußte wirklich vom USB Stick gedruckt werden wie auf dem 35c3 Talk gezeigt.

    Ihr seht also das es zwar gut und sicher ist lange Passwörter zu benutzen aber wenn die Passwort-Algorithmiken auf Seiten der Hersteller nicht ordentlich umgesetzt sind, dann hat man im Endeffekt gesehen da durch sogar noch mehr Probleme als wenn man ein einfaches Passwort benutzt. Die Industrie forciert hier also einfache Passwoerter.

    Und noch etwas zu Passwortkomplexitätsanzeigen in Webinterfacen und dem Zwang Sonderzeichen zu benutzen.

    Wie du schon sagst, ein langes Passwort ist sicher. Jedes Zeichen mehr verdoppelt den aufwand es zu knacken. Damit hat man dann logarithmische effekte.

    Warum zwingen mich dann bestimmte Portale dazu ein Sonderzeichen im Passwort einzusetzen? Das bricht bei der Account Erstellung nehmlich meinen Passwörtmanager.

    Ich vermeide Sonderzeichen in Passwörtern, da ich viel auf Multillingualen Systemen arbeite. UTF-8 im Zusammenhang mit Passwörtern hat mir nehmlich schon mehrmals diverse Geräte gebrickt. Den bei der Erstellung des Passwortes wird UTF-8 verwendet und bei der Authentifizierung nicht. Juhu, wer sowas hat der kann wirklich nur fragen wo der Sachverstand in der Industrie geblieben ist.

    Außerdem hat man dann das Problem wenn man doch mal per Consolle das Passwort von Hand eingeben muß, ist nicht immer das richtige Tastaturlayout vorhanden (geladen). Dann wundert man sich warum man seine Benutzer mit Passwoertern die Sonderzeichen haben nicht legitimiert bekommt.

    Mein 32 stelliges zufällig generiertes Passwort ohne Sonderzeichen wird mir dann also in der Ampel der Sicherheitsbewertung immer als schlechtes Passwort angezeigt und ein 10 stelliges das Sonderzeichen hat wird als Sicher angezeigt.

    Auch hier muß mal ein bischen Sachverstand in die Umsetzung von Passwörtkomplexitäts und Sicherheitsbewertungen her. Ich habe da noch keine wirklich vernünftige Umsetzung gesehen. Ist das wirklich so schwer zu programmieren?

  3. Moin, kurze Frage zum Thema Passwort-Sicherheit: wie bewertet Ihr die Apple-Lösung mit Sicherung der Passwörter via iCloud/Schlüsselbund? Ich meine das kam noch nicht zur Sprache und wird vermutlich landläufig genutzt. Danke für alles!

  4. Schöne Folge wieder, vielen Dank! :)

    Eine kurze Korrektur zu HIBP:
    Linus, du sagtest, es würden keine E-Mail Adressen gespeichert, sondern nur deren Hashes.
    Das kann nicht stimmen, denn würde ja das Domain-Search-Feature nicht mehr funktionieren.
    In der FAQ von HIBP ist auch nur von gehashten Passwörtern die Rede, so wie ich das auf die Schnelle sehe.

  5. Nach den letzten 3 Folgen denke ich darüber nach, wie ich mein mittelmäßiges Account-Verhalten auf den neusten Stand bringen kann. Vor allem verschiedene Mail-Adressen für Accounts.

    Nehmen wir an ich habe eine Domain mit Catchall.
    Wenn man den Besitzer von mehreren Accounts durch das gleiche Passwort erkennen kann, dann verrät einen doch auf die gleiche Art die gleiche Domain.
    Twitter zeigt bei der Passwort-Wiederherstellung ja die Mail-Adresse mit Sternchen an. Soweit ich weiß ist aber auch hier die Domain vollständig sichtbar.

    Habt ihr Domains für „Account mit realem Namen“, „Account mit Pseudonym“ und ansonsten Wegwerf-Adressen?
    Sich Best-Practices zu überlegen scheint mir fast ein Vollzeitjob zu sein.

  6. Sehr interessant, was da mal wieder alles vorgefallen ist. Ich finde die Art, wie Ihr das aufbereitet, super. Habe nur zu einem Satz, der gefallen ist, eine Anmerkung:

    Die Aussage „Das Mobilfunknetz muss wissen, wo ihr seid, damit es euer Handy klingeln lassen kann – leuchtet ein“ verursacht mir Kopf- und Bauchschmerzen.

    Einerseits ist sie, wörtlich genommen, natürlich richtig. Damit das Mobilfunknetz das Klingeln verursachen kann, muss es das Handy orten. Andererseits ist die Aussage irreführend und nur oberflächlich einleuchtend, weil es ja gar nicht direkt das Mobilfunknetz sein muss, das die Verbindung zwischen zwei Endgeräten aufbaut.

    Die Vermengung von Beidem ist das Paradigma, auf dem der Mobilfunk traditionell beruht – und das meines Erachtens überholt ist und zu dem ganzen Tracking-Ärger führt. Sobald man einsieht, dass Telefonie doch nur aus Datenpaketen (und zugegebenermaßen auch QoS) besteht und dass die Registrierung von Prepaid-Karten nur der Erfüllung totalitärer feuchter Träume dient und für die Abrechnung unnötig ist, sieht man, dass eine Identifikation des Anschlußinhabers technisch nicht nötig ist. Die QoS bekäme man bei ausreichendem Breitbandausbau nahezu automatisch.

    Telefonie ist schließlich auch z.B. über SIP möglich ist und die bloße Netzwerk-Connectivity lässt sich damit ausgesprochen sauber von der Telefonnummer trennen, sobald man echtes (netzneutrales) mobiles Internet hat.

    Die ganze Trackbarkeit kommt mir mehr und mehr wie ein künstlich hergestellter und durch falsche Standards, Gesetze und Propaganda aufrechterhaltener Zustand vor.

    Ich weiß, dass Ihr euch technisch mit dem Zeug besser auskennt als ich Totalverweigerer und die Sachverhalte mindestens ebensogut durchblickt. Ich finde, es wäre hilfreich, hin und wieder darauf hinzuweisen, dass die Dinge auch in dieser Hinsicht ganz anders sein könnten und personalisierte Ortung keinesfalls eine Bedingung für Erreichbarkeit ist.

    • Telefonie ist schließlich auch z.B. über SIP möglich ist und die bloße Netzwerk-Connectivity lässt sich damit ausgesprochen sauber von der Telefonnummer trennen, sobald man echtes (netzneutrales) mobiles Internet hat.

      Sorry, aber da verstehe ich so einiges nicht:
      1. „Netzwerk-Connectivity“ – dein Telefonat muss auch in Datenpaketen zu dir geroutet werden. Dein DSL-Anbieter weiß auch wo du wohnst. Bei Mobiltelefonie bewegst du dich durch sein deutschlandweites Netz aus mehreren 10k Antennen.
      2. „Von der Telefonnummer trennen“ – wie willst du denn dann erreichbar sein?

      Ich vermute du meinst ein Modell à la SIP auf einem WLAN-fähigen Gerät, das sich von „überall“ aus egal welchem Netz zu seinem Gateway verbindet.

      Wenn du dafür aber mehr als ein paar freifunk-Hotspots nutzen möchtest, brauchst du ein deutschlandweites Netz, in dem du dich anmelden musst, in dem deine Pakete geroutet werden, und das dann auch wissen muss TADA! wo du bist.

      Um Adressierung und Routing kommst du schwer herum, kombiniert mit Billing und Erreichbarkeit hast du dann auch Tracking-Möglichkeiten.

      • 1. Wenn ich Internet habe, hab ich jede Menge Möglichkeiten, den Kram nicht direkt zu routen. Ich erwäge nicht im Traum, mich heutzutage noch nackt im Internet zu bewegen. Ohne Tor und co geht da gar nichts. Der DSL-Anbieter weiß idealerweise nicht, wann bei mir wer zuhause ist oder was macht.

        2. Nun ja, mit der SIP-Nummer. Deine Vermutung trifft, vielleicht habe ich mich zu unbeholfen ausgedrückt. Lebe wie gesagt weitgehend im Exil, was Mobilfunk angeht.

        Somit ist das alles für mich relativ hypothetisch, momentan schließen mich der Registrierungswahnsinn und die unverhältnismäßige Schwierigkeit, irgendwelche vernünftig anonymen Karten und Mobilfunkendgeräte zu bekommen, tatsächlich recht effektiv von der mobilen Telekommunikation aus. Den Aufwand ist es mir schlicht nicht wert. Da bleibe ich lieber schlecht erreichbar, bis es flächendeckend anonym nutzbare Netze (am besten in BürgerInnenhand) gibt.

        Das mit dem Anmelden ist nach meinem Dafürhalten wie gesagt ein zu 100% künstlich hergestellter Zustand, nicht gottgegeben. Das sollten wir uns zurückholen – wäre z.B. ein Telekommunikationsanbieter, der wie Posteo verfährt und sich anonym bezahlen lässt und damit seine KundInnen auch nicht zählen kann, bei uns rechtlich möglich? Das ist für mich hier die interessante Frage, dringender als die nach der Netzabdeckung.

        Auch Mobilfunk könnte ja durchaus anders abgerechnet werden als wie derzeit – dass ihnen statt SIM-Karten nichts eingefallen ist, das eine anonyme Bezahlung erlaubt, kann ich ja noch verstehen – aber eine nicht änderbare Gerätekennung braucht der Betreiber nun wirklich nicht für diesen Zweck.

        Ich weiß, ich stelle hier gleich mehrere Dinge auf einmal in Frage, die nicht alle auf einmal verändert werden können. Das hat sich aufgestaut – und ich finde, man muss diese Voraussetzungen ganz unbedingt und ganz dringend in Frage stellen, auch wenn sie nicht alle auf einmal änderbar sind.

        Davon abgesehen finde ich die Freifunk-Hotspots tatsächlich ein Geschenk des Himmels, so wenige sind es in den Städten ja gar nicht mehr und was das flache Land angeht, so denke ich, muss die Politik einfach aufhören, der Community-betriebenen Infrasatruktur Knüppel zwischen die Beine zu werfen … Gemeinnützigkeits-Anerkennung für Freifunk ist ja schon mal ein Anfang.

      • Faktisch muss ich der Aussage nach wie vor zustimmen, es geht mir nur darum, das Träumen einer möglichen Alternativwelt – die technisch fast im Bereich des Möglichen liegt – für extrem wichtig zu erklären.

        Zu meiner letzten Antwort: ich möchte im Grunde, dass man wieder darüber nachdenkt wie zu Zeiten der SIM-Tauschbörsen.

        Ich habe nie kapiert, warum die sich nicht durchgesetzt haben und man sich dann nicht mit dem gleichen rebellischen Ethos den Rest der digitalen Kommunikation (zurück)erobert hat. Warum man sich brav auf eine von Grund auf privatsphäre-feindliche Infrastruktur gesetzt hat und nun lediglich Regeln dafür einfordert, die mir nicht weit genug gehen, weil sie immer noch von der Identifizierbarkeit der Anschlussinhaber ausgehen. Ist keine spezifische Kritik, ich wollte es nur allgemein angemerkt haben. Wir müssen da wieder rebellischer werden und dafür kämpfen, dass die Netze anders gestaltet werden – und dazu zählt IMHO, die technischen Möglichkeiten auszureizen (und die Grenzen dessen zu kennen) ebenso wie politische Veränderung …

  7. Guten Morgen Linus, Guten Morgen Tim,

    ich bin noch nicht durch mit dem Hören, aber die folge hat mich wieder gepackt (wie immer!)
    Mir ist zu der Sache mit dem BSI eine Frage aufgekommen. Könnte ich und vielleicht viele andere jetzt eine Anfrage per DSGVO beim BSI stellen? Und danach dann die Löschung der Daten verlangen? Oder geht das nicht?
    Gruß
    Jonas

  8. Falls man den Besitzer des Gerätes mit der gesuchten MAC-Adresse findet, ist das doch auch noch kein sicherer Beweis, dass die E-Mail von diesem Gerät kommt oder? Der/Die Täter hätten ja der gleichen Vorgehensweise folgen können, wie Linus es anscheinend gerne auf Langstreckenflügen macht,

    • In der Regel wandern Leute ja nicht wegen einzelner Hinweise / Beweise / Indizien in den Knast, aber wenn du dir mal die Entropie einer MAC-Adresse anschaust, weißt du warum eine auf diesem Weg geschnappte Person kaum Chancen hat, sich mit der Argumentation zu verteidigen.

      • In dem Zusammenhang wird auch die Änderung der MAC Adresse problematisch, wenn man nämlich zufällig eine erwischt, die ein solcher Idiot wie der Bombenheini hat / sich gemacht hat.

        Klar, Kollisionen sind extrem unwahrscheinlich, aber troztdem kann die MAC Adresse aufgrund ihrer Veränderbarkeit nicht als Beweis dienen bzw. die Änderungen nicht zwangsläufig schützen.

        Oder habe ich einen Denkfehler?

        • Ich sehe es wie Paul,

          wenn man sich freies Internet erschleichen kann, indem man die MAC Adresse eines anderen snifft und spoofed und dieser Angriff auch noch ein „Klassiker“ ist, sollte das nur als Indiz gelten. Mehr nicht. Da sollte die Entropie egal sein.

  9. Hallo! toller Podcast: Kurz zu dem Thema Vectoring vs FttB (Fiber to the building). Aus EMV Sicht ist eigentlich beides Mist. Hochfrequente Signale über 100 Jahre alte ungeschirmte Telefonkupferleitungen zu übertragen ist nie eine prickelnde Idee. Gerade dann wenn wir neben schnellen Internet, auch noch ein paar andere Funkdienste erhalten möchten (WLAN, Flugfunk, Behördenfunk, Amateurfunk, usw). Mag sein, dass das bei einem einzelnen Gebäude egal ist, aber in Großstädten erzeugt man da ein ganz schönes Grundrauschen. Der einzige saubere Weg ist eine Neuverkablung (entweder gleich Glasfaser in die Wohnung oder zumindest saubere Netzwerkkabel Cat 6 oder Cat 7). Weiß auch nicht, wo das Problem ist, ein kleines Loch zu bohren und warum man dies gleich als „komplizierte“ Baumaßnahme aufblasen muß. Die Umstellung auf Zentralheizung oder fliessendes Wasser war um einiges schwieriger.

    • Die Kabel werden durch Gemeinschaftseigentum verlegt. Brandschutz etc. muss beachtet werden.
      Deshalb ist es nicht einfach ein paar Fasern neu zu legen.
      Erklär doch deinen ewiggestigen Miteigentümern, dass sie alle Geld ausgeben müssen damit du ein paar Bits/s mehr bekommst.

  10. Kürzlich sprach Linus davon, dass er bei jeder Website eine andere Mailadresse verwendet. Gerade habe ich entdeckt, dass mein Mailer (mailbox.org) Mail-Extensions anbietet. Das scheint mir eine einfach umzusetzende Variante von Linus Vorschlag zu sein für jedes Portal eine eigene Mailadresse zu verwenden ohne eine eigene Domain zu haben. Natürlich könnte das jewelige Portal meine echte Mailadresse einfach erraten, aber ist das trotzdem sinnvoll? Was meint ihr?

  11. Hallo.
    Schöner Podcast, wie immer.

    Bei Linus fällt mir schon seit einiger Zeit auf, dass er an der ‚Professorenkrankheit‘ zu leiden scheint; Um ja nichts falsch(?) zu erklären, werden Linus Erklärungen manchmal unnötig kompliziert und lang. MAC Adresse zu erklären ist hier jetzt noch ein harmloser Fall.

    Das wollte ich nur mal als Anmerkung loswerden, da ich bei Linus umwindenden Erklärungen mittlerweile angefangen habe meinen Finger auf FastForward Knopf zu legen.
    Ich habe in Erinnerung, dass Linus mir früher nicht die Uhr erklärt hat, um mir die Uhrzeit zu sagen. Vielleicht erinnere ich mich aber auch nur falsch.

    Wie schon im Eingang gesagt: Schöne Folge, macht weiter so und für alles Unwohlsein meinerseits gibt’s ja FF. ;)

    • Ich habe in Erinnerung, dass Linus mir früher nicht die Uhr erklärt hat, um mir die Uhrzeit zu sagen.

      Genau DAS ist aber der Sinn dieser ganzen Sendung: Dinge so zu erklären dass Leute ermächtigt werden auch selbst nachzudenken und nicht für immer unmündig im „aber ein Experte hat gesagt“ hängen zu bleiben.
      Es mag sein, dass es mir in 2 Stunden Sendung mal mehr und mal weniger gut gelingt, Dinge zu erklären. Wer aber vorspult, ist nicht in der Lage das zu beurteilen.
      Da werden wir auch dann nicht auf einen gemeinsamen Nenner kommen, wenn du meinst mir eine Krankheit unterstellen zu müssen.

      • Hmmm, dann liegt es wohl doch an mir.

        Ich hatte irgendwie den Eindruck, dass du früher kompakter _und_ dabei verständlich erklärt hattest, mein Fehler.

        >> Wer aber vorspult, ist nicht in der Lage das zu
        >> beurteilen. Da werden wir auch dann nicht auf
        >> einen gemeinsamen Nenner kommen, wenn
        >> du meinst mir eine Krankheit unterstellen zu
        >> müssen.

        Wow, echt jetzt? Ok, ich versuch es trotzdem.

        Weder steht da, dass ich Vorspule, noch das ich dich einer realen Krankheit bezichtige.
        Fast Forward ist übrigens das Abspielen mit erhöhter Geschwindigkeit. Dass ich das auch tue steht nirgendwo, nur das ich den Drang verspüre es zu tun, also meinen Finger auf die Taste lege.

        Und da du das Bild mit der Uhr auch komplett falsch verstanden hast (oder falsch verstehen wolltest?), versuche ich das nochmal. Wenn du einem Erwachsenen Menschen nach der Uhrzeit fragst, dann erklärst du ihm nicht unbedingt die Uhr, sondern sagst ihm die Zeit.
        Ein Beispiel wäre die Erklärung für ein Smartmeter, die war gut verständlich, oder?

        Dass Erklärung nicht immer klappen ist klar, trotzdem sollte man bemüht sein ‚Dinge‘ einfach erklären zu können.
        Professoren (oder auch Experten) haben nach meiner Erfahrung den Drang es auch für ihre Peers richtig zu erklären; das macht die Erklärung zwar richtig manchmal aber zu komplex und unverständlich für nicht_Experten.
        Das ist für mich die ‚Professorenkrankheit‘.

        Dann lieber mit dem ‚Sendung der Maus‘ Ansatz. Lieber einfach und ein bisschen falsch erklären, als das man gar nichts versteht.

        Und jetzt bestimmen wir mal den Nenner …

    • Gegenstimme: Ich schätze gerade diese geduldigen ausführlichen Erklärungen ganz besonders. Das mag sicher für eh schon sehr technik-versierte Menschen stellenweise langweilig sein, mir scheint aber, dass der Podcast eine Informationsquelle für alle sein möchte – eben auch die interessierten aber mit kaum Vorwissen ausgestatteten Laien wie mich.
      In diesem Sinne: Danke und weiter so, Professor Neumann!

  12. Hallo Linus & Tim,

    Toller Podcast, bin seit ca. 100 Folgen regelmäßiger Hörer. Klasse finde ich auch immer die Erklärungen für Einsteiger, die – zusammen mit euren unregelmäßigen Lachflashs – dafür sorgen, dass auch meine nicht IT-affine Frau ganz gern zuhört.

    Was die MAC-Adressen-Erklärung angeht, ist ja schon gesagt worden, dass die etwas unglücklich war. Ich glaube auch, das kaum jemand, der das Konzept nicht schon vorher kannte, das danach verstanden hat. Mein Tipp an euch: Nehmt Beispiele aus der realen Welt, auch wenn dann vielleicht die wissenschaftliche Präzision etwas leidet.
    DHCP erkläre ich immer am Beispiel einer KFZ-Zulassungsstelle:
    – DHCP-Server = Zulassungsstelle
    – MAC-Adresse = Fahrgestellnummer
    – IP = Nummernschild
    Gerät kommt, will Nummernschild, bekommt eins für 8 Tage, außer er verlängert. Problematisch ist, wenns keinen DHCP gibt (manuelle Vergabe notwendig) oder wenns 2 gibt (Kompetenzgerangel unter den Beamten :-)).
    So hat das eigentlich bisher noch jeder verstanden und tiefer muss der reine User ins Thema eigentlich nicht rein. Die die tiefer rein wollen, suchen sich dann eh andere Quellen.

    Also, nutzt die reale Welt und macht weiter so!

    Grüße
    Joki

    • Einfacher ist die Analogie der Paketzustellung.

      Mit meinem Personalausweis (Personalausweisnr = MAC-Adresse) registriere ich mich beim Einwohnermeldeamt(DHCP-Server/Router Advertisement) und bekomme eine postalische Adresse (IP-Adresse) zugewiesen.

      Die Postadresse ist hierarchisch strukturiert und somit zur Paketzustellung geeignet (PLZ-Verzeichnis / IP-Routingtabellen).

      Hat der Bote die jeweilige Postadresse erreicht, kann dieser noch anhand des Persos prüfen, ob es sich auch um den richtigen Adressaten handelt (mehrere Leute mit dem selben Namen im Haus / IP-NAT)

  13. Super gute Folge und sehr hilfreiche Erklärungen zu MAC-Adressen, Wireshark und Pay-Portalen :-)
    Kleine Anmerkung: Linus ließ anklingen, dass er von Buzzfeed nicht viel hält – das ist sicher gerechtfertigt, aber die Story bzgl Cohen kam über Buzzfeed_News_ (einer Ausgründung von BF) und da sitzen tatsächlich Pulitzerpreisträger und die Stories sind selbst auch mehrfach ausgezeichnet oder nominiert (https://www.pulitzer.org/finalists/chris-hamby-buzzfeed-news)

    Ein Zeichen für die bizarre Zeitlinie in der wir gerade unterwegs sind – die besten Nachrichten kommen aus Klatschhäusern und Comedyformaten und die „alten“ Medien sinken in den fake news-Sumpf… (überspitzt natürlich)
    Ansonsten weiter so und ich warte auf jede neue Folge und propagiere das Hören von LNP an alle Bekannten und Verwandten.

    • Meinst du das Buzzfeed, wo man nix lesen darf, wenn man einen adblocker verwendet und nicht ihre unzähligen Tracker zulässt? Das Vorbild von SPON BENTO?

      Welche Story bzgl. Cohen? Diese?

      Mueller Contradicts BuzzFeed „Bombshell“ Trump Story

      https://www.youtube.com/watch?v=VwuFvE0eskM

      Bist du auch ein Russiagate-Truther?

      https://www.youtube.com/watch?v=qjUvfZj-Fm0

      und alles nur weil Hillary Clinton, die fähigste Präsidentschaftskandidatin aller Zeiten, gegen ein Reality TV-Star verloren hat …

      Dass alte Medien abstürzen, ist kein Wunder, wenn TV-Moderatoren Millionengagen kriegen und echte Journalisten höchstens prekäre Jobs. Das nennt sich Corporate Media, hat u.a. etwas mit der Änderung des telecommunications act zu tun in der Zeit von Bill Clinton.

      Wer sich über Russiagate informieren will, ist bei Glenn Greenwald, Michael Tracy und Aaron Maté gut aufgehoben. Denen könnt ihr ruhig auch was spenden. Die leben nicht von Luft und Wasser allein. Auch nicht von Werbe-Clickbait und dem Verkauf eurer Daten wie Buzzfeed.

  14. Im Fall von Collection #1 ist Have I Been Pwned für mich leider relativ nutzlos, weil nicht klar wird aus welcher Quelle meine Mailadresse in den großen Haufen gelangt ist. Wars nur ne Spamdatenbank wo die seit Usenetzeiten schon drin steht oder ein mehr oder weniger wichtiger Dienst?

    Die große Ironie an der Entscheidung zum Drosseln der Glasfasern ist euch entgangen. Da wird die eine Übergangstechnologie (FTTC mit VDSL2-Vectoring) durch die andere Übergangstechnologie (FTTB mit G.fast) gestört. G.fast ist übrigens auch „nur“ ne Art DSL und nutzt auch Vectoring. Und da kommt es dann halt zum selben Problem wie bei der Vectoringdicussion. Es kann nur einen geben…

    Die Entscheidung selbst ist leider traurigerweise logisch, dann sonst könnte es dazu kommen, dass bei allen anderen in einem Mehrfamilienhaus das DSL kaputt ist sobald eine Partei Glasfaser mit G.fast hat.

    So wie ich das verstanden hab nutzt DSL den Frequenzbereich von „0“-30MHz und G.fast von „0“-106 MHZ. und „drosseln“ bedeutet technisch, dass DSL den Frequenzbereich unterhalb von 30 MHz exklusiv bekommt. Hab ich das richtig verstanden?

  15. Hallo Linus, hallo Tim,

    euer Podcast macht Spaß und man lernt viel. Ich liebe die Mischung.

    Durch Have I been pwned habe ich herausgefunden, dass meine Email Adresse in 2 Breaches (Collection #1 und Exploit.In) vorkommt. Wie finde ich heraus in welchem Zusammenhang?

    Danke :)

  16. Danke für den tollen Podcast! Gerade musste ich aber widersprechen und im Stil von https://www.xkcd.com/386/ hierher um dann zu merken dass https://logbuch-netzpolitik.de/lnp283-23bonobo42#comment-115458 schon das gleiche gesagt hat :-)
    Also hier nur die relevanten Links: https://en.wikipedia.org/wiki/K-anonymity und https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/

    Eine Ergänzung habe ich trotzdem noch: Neben Troy Hunt gibt es auch vom Hasso Plattner Institute der Uni Potsdam ein ähnliches Angebot: https://sec.hpi.uni-potsdam.de/ilc/
    Vielleicht könnt ihr beim nächsten Mal sagen was für Vor- und Nachteile die jeweis haben – z.B. die Anzahl der eingebundenen third-party scripts, die Aufbereitung der Infos, und ob man sie per (unverschlüsselter!?) Mail zugestellt bekommt oder auf der Website selbst…

  17. Linus, du bist doch Psychologe und kommst uns mit der Bedürfnispyramide! Wenn auch nur im Nebensatz… die ist schimmliger als der älteste Beamtenwitz!

  18. Tim, Linus, vielen Dank für Euer ehrenamtliches Engagement und die lehrreichen Podcasts!

    Ein paar Gedanken zu „Collection #1“:
    Es gibt 2 torrents, ich habe mir die zu Forschungszwecken mal teilweise besorgt. Das eine torrent ist 33GB groß und enthält etwa 10.000 Dateien aus Collection #1. Das zweite torrent ist mit 364GB deutlich größer und beinhaltet Collection #2-5 sowie vier weitere zips. Jede dieser Collections enthält mehrere Ordner, die wiederum mehrere Dateien enthalten.

    Laut Brian Krebs [1] ist zumindest die Collection #1 mindestens 2-3 Jahre alt. Es gibt jedoch Mailadressen darin, deren Domain erst knapp vier Jahre alt ist (zumindest laut Whois creation date).

    Die weitaus meisten Dateien sind Textdateien, die einfach die Loginkombinationen z.B. als Mailadresse:Passwort auflisten. Einige wenige sind sql-dumps, deren sql-statements dann wiederum die Logins enthalten. Linus sagte, es sind Mailadressen und Passwörter gelistet. Darüber hinaus gibt es auch Dateien, die Usernamen und Passwörter enthalten oder Username bzw. Mailadresse und Passworthash (teilweise auch Salt). Dann gibt es noch Dateien, die nur Usernamen oder Mailadressen beinhalten, also ohne Passwort/Hash.

    Ich habe mal mein Addressbuch über die Dateien gejagt, um Bekannte zu informieren, falls sie betroffen sind. Teilweise stimmen die Angaben, aber einige sagen, dass sie das Passwort bei ihrer Mailadresse nicht kennen. Ich habe schon gedacht, dass es vielleicht nicht deren Passwort, sondern ein Hash ist, weil mehrfach die gleichen „Nicht-Passwörter“ in unterschiedlichen Textdateien zu den gleichen Mailadressen vorkommen. Komischerweise sind das dann immer 8 Zeichen, mal in Groß- mal in Kleinschreibung. Da es aber nur 8 Zeichen sind und auch andere Buchstaben als a-f vorkommen, ist es meines Wissens kein Standardhash. Hat jemand eine Idee, was das sein könnte?

    Wenn Eure Mailadresse/Euer Username nur mit einem Hashwert verknüpft sein sollte, freut Euch nicht zu früh: Auf hashes.org [2] sind > 95% der Hashes geknackt worden, da gibt es also ein Mapping Hash -> Passwort.

    Letzter Hinweis: Auf HIBP gibt es neben der API noch eine recht umfangreiche Liste mit Projekten [3], die Zugangsdaten mit Leaks abgleichen. Wer sich nicht die Mühe machen möchte, das selbst zu schreiben, wird hier vielleicht fündig.

    [1] https://krebsonsecurity.com/2019/01/773m-password-megabreach-is-years-old
    [2] https://hashes.org/leaks.php
    [3] https://haveibeenpwned.com/API/Consumers

  19. Leider habe ich auch die Erfahrung gemacht, dass viele Unternehmen in Bezug auf dev und staging Systeme fast ausschließlich Daten aus den Produktionsumgebungen heranziehen. Seltsamer Weise ist niemand bereit dafür einige Euro zu investieren um hier sauber unterwegs zu sein.
    Zugegebener Maßen reichen bei zunehmender Komplexität der damit verbundenen Geschäftsprozesse häufig „einfache“ lorem Ipsum’s nicht aus. Was natürlich nicht bedeutet das man diese Herausforderung nicht annehmen könnte.
    Ich beobachte dies schon seit 15 Jahren und der Trend ist leider trotz GDPR ungebrochen.
    Wäre vielleicht eine gute Geschäftsidee TaaS (Testdata as a Service)…

    Vielen Dank für Eure Podcasts! Macht bitte weiter!

  20. @Linus Kennst du oder einer der Hörer eine Möglichkeit, eine Liste der betroffenen Mailadressen (der eigenen Domains!) bei HIBP abzufragen? Auf der Seite habe ich dazu nichts gefunden. Ich nutze virtuelle Adressen (eine pro Dienst), die allerdings nicht im Backend konfiguriert sind. Bei der Menge zu viel Overhead ;) Daher kann ich die Adressen auch nicht einzeln bei HIBP prüfen…

  21. Hey,
    ich habe noch eine Frage zu sicheren Passwörtern: Ich benutze keinen Passwortsafe, sondern ein Firefox Addon zum Passwort hashen. Dazu wird z.B. der Domainname als Salt verwendet und dann zusammen mit meinem Masterpasswort gehashed.
    Denkt ihr, dass ist ein sicherer/guter Ansatz? Mir fallen schonmal zwei Schwächen ein: 1) Habe ich keine Liste mit Webseiten, auf denen ich mich registriert habe 2) FALLS mein Masterpasswort verloren geht, habe ich eine Menge arbeit, meine Passwörter zu ändern – allerdings steht mein Masterpasswort nirgendwo und sollte auch nie ins Internet übertragen werden.
    Freue mich über eure Einschätzung. Danke

  22. Ich folge gerade Linus Empfehlung und stelle meine Online-Accounts auf „fiktive“ E-Mail-Adressen um, die dann alle im Catchall-Postfach meiner Domain landen.. dabei stoße ich immer wieder auf das Problem, dass leicht zu merkende E-Mail-Adressen als „ungültig“ abgewiesen werden, z.B. apple@……
    Schade, dass diese eigentlich gute Idee durch solche Filter/Automatismen behindert wird…

  23. Frage zur angesprochenen „WLAN-Zugangsübernahme“ via WireShark. Kann ich als Provider die Übernahme mit der Einstellung „Wireless Isolation“ / „untereinander kommunizieren(Fritz!Box)“ verhindern oder bezieht sich die Einstellung nur auf IP (Layer3)?

  24. Herzlichen Dank für die liebevolle und absolut verständliche Erklärung der MAC Adressen!

    Ich habe mir schon immer gedacht, dass das wahrscheinlich der Fingerabdruck des Kasterls vor mir ist, mir war aber nicht bewusst, dass das natürlich gespeichert wird.

    Bei der Erklärung, dass es möglich ist, das zu fälschen, ist mir äußerst ungut geworden!

    Danke, für diesen wunderbaren Podcast!
    Hans Spiegl

  25. ich habe gerade mal das passwort
    Mb2.r5oHf-0t
    getestet. hibp meldet:
    ‚Good news — no pwnage found!‘
    der postillon hatte also recht: das sicherste passwort der welt!
    meine email-accounts sind somit bestens geschützt.
    tolle sache!

  26. Also ich weiß ned. Wenn die Daten die getestet werden müssen ausreichend komplex sind, ist lorem ipsum nicht brauchbar uum Testen neuer Funktionen und Fehler Korrekturen.
    Man kann jahrelange Sammlung mit sem gelegentlichen Fehler hier und da ned nachbilden. Da vergisst man Edgecases die einen hinterher beißen werden. Wenn die Leute entwickeln die auch im Produktivsystem Fehleranalyse treiben seh ich das Problem nicht.
    Testumgebungen sind manchmal auch sicherer als Live weil die Schnittstellen zu Dienstleistern gekappt wurden und man die Interaktion zu testzwecken selber generiert mit Skripten.

  27. Hallo ihr zwei,
    ich habe mir inzwischen 1Password für meine Geräte zugelegt und überarbeite gerade sämtliche Passwörter.

    Beim Login zum Online-Banking zur Berliner Sparkasse stößt mir gerade sauer auf, dass die PIN nicht mehr als 5 Stellen haben darf. Ein langes und somit sicheres Passwort ist somit nicht möglich.

    Habt ihr dafür eine Erklärung?

  28. Bin ich der einzige, der den „23bonobo42“ Witz nicht versteht? Klingt, als wäre das mal Tims Pwd gewesen, aber, sollte das jeder wissen? War das Teil des Collection 1 Breaches?

    Was mich zur eigentlichen Frage führt: wo kann man sich das runterladen? Die Frage mag plump sein und ich hoffe, sie verstößt nicht gegen die Regeln hier oder sonstwo. Sind derlei Dinge nur irgendwo auf onion Domains vergraben und deren Besitz strafbar? If so, sorry for asking. Falls nicht, vielleicht findet sich ja jemand, der einem rechtschaffenen, darknet-jungfräulichen, aber interssierten Nerd zweckdienliche Hinweise geben mag. Danke!

    • 23bonobo42 selber hab ich nicht gefunden, das was ich gefunden hab waren mehrfach diesselben E-Mailadressen mit unterschiedlichen Passwörtern die mit bonobo42 begann, irgendein Passwort dazu endete mit 23.

      Ich vermute es ist die E–Mailadresse mit den meisten Vorkommnissen und wurde deswegen ausgegraben.

      Schon mal von Bittorrent gehört?

  29. bezgl. Linus Hack von captive WLAN portals – mein Verständnis des Features „Access Point Isolation“ ist, daß das derlei Mitsniffen verunmöglichen würde. Detto das so gefürchtete Mithören, wenn jemand im Starbucks eine unverschlüsselte Webseite ansurft.
    Hab ich da das AP-Isolation falsch verstanden? Wäre ja schlimm, wenn die Lösung so nahe läge.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.