36C3 — Feedback — Passwort-Aushorchung — Uni Gießen offline — BSI — Kennzeichenerfassung — Abmahnungen — Decentralized Twitter
Und da ist sie: die letzte Ausgabe von Logbuch:Netzpolitik dieses Jahrzehnts. Ein paar Themen haben wir noch für Euch.
Pünktlich zum Congress möchte die Bundesregierung wieder einmal verschärfte Maßnahme im Internet einführen und alle unsere Passwörter haben. Na prima. Außerdem meldet sich mit der Uni Gießen eine weitere Großorganisation vorübergehend aus dem Internet ab und das BSI will hat uns seine Erkenntnisse vorenthalten und damit wieder einmal alles etwas unsicherer gemacht. Vielen Dank auch.
Wir melden uns wieder im Januar wenn der 36C3 vorbei ist und wir uns wieder davon erholt haben.
Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Shownotes
Feedback: Cadus
36C3: Resource Exhaustion
Passwort123
- heise.de: Justizministerium: WhatsApp, Gmail & Co. sollen Passwörter herausgeben müssen
- Referentenentwurf des Bundesministeriums der Justiz und für Verbraucherschutz: Entwurf eines Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität
- heise.de: Passwort-Herausgabe: Scharfe Kritik am “großen Lauschangriff im Netz”
- golem.de: Internetdienste: Ermittler sollen leichter an Passwörter kommen
- faz.net: Angriff auf die digitale Privatsphäre
- heise.de: Verschärfung des NetzDG konkretisiert: Plattformen sollen bald ans BKA melden
Uni Gießen offline
- zeit.de: Cyberangriff: Gießen ist off
- twitter.com: Universität Gießen on Twitter
- Gießener Anzeiger: Uni Gießen noch Wochen offline
- faz.net: Universität Gießen möglicherweise wochenlang offline
BSI droppt unfreiwillig 0day
ISOC verscherbelt das Tafelsilber
- easydns.com: It’s called “F-You Money” for a reason: Why ISOC sold .ORG to VCs
- heise.de: .org-Verkauf: die Zivilgesellschaft tobt
.at: Kfz-Kennzeichenerfassung und „Bundestrojaner“ verfassungswidrig
Abmahnung Kraftfuttermischwerk
- Kraftfuttermischwerk:  Ein koksender Koch im TV, ein Joke in einem Nebensatz, eine Abmahnung der Kanzlei Höcker – und warum ich vielleicht ein bisschen Unterstützung gebrauchen könnte
Decentralize Socialize
- twitter.com: jack on Twitter
- Linus bei chaos.social
Passwort123:
Ist doch kein Problem, müssen die Anbieter eben sicherstellen, dass man sich auch mit dem Hash anmelden kann :)
Was haltet ihr von folgendem Passwort?
„WerDasLiestIstDoof!!!“
Okay, jetzt ist das natürlich verbrannt.
Das Thema kreist mir jetzt im Kopf herum…
Polizist: „Sagen Sie uns ihr Passwort.“
Beschuldigter: „Das kann ich nicht zu Ihnen sagen, da ich mich sonst strafbar machen würde, wegen Beamtenbeleidigung.“
Okay, einen hab ich noch:
Ich könnte ja gar nicht mein Passwort ausversehen ausplaudern, weil… solche Ausdrücke würde ich doch niemals in den Mund nehmen! Da würde ich ja vor Scham im Boden versinken! Hihihi!
So, und nun könnt ihre gerne mal raten, wie mein Passwort wohl lautet.
Ich wünsche viel Spaß dabei! ;-)
Die ersten Tage an der Universität Gießen mag man noch mit Digital-Detox als mehr oder weniger amüsant empfunden haben, doch die Auswirkungen auf den Studienalltag waren gravierend.
Leider sieht es im Gesundheitswesen trotz mehrerer Vorfälle nicht besser aus, wie das Klinikum Führt vor wenigen Tagen zeigte. Es ist leider auch keine Besserung in Sicht. So forderten Kliniken in Niedersachsen mit einem offenen Brief mehr Geld für die IT-Sicherheit erfolglos ein:
https://www.klinikum.wolfsburg.de/uploads/media/191218_PM_Krankenkassen_verweigern_IT-Foerderung.pdf
Ich habe keine Hoffnung, dass es besser wird, sondern befürchte, dass es immer schlimmer wird.
Ich frage mich was passieren wird, wenn Tuvalu dann ganz im Ozean versinkt? Wird dann die .tv TLD gelöscht? Mit .ki (Kiribati) wird das ja noch früher passieren.
Second-Level-Domains. .tv.ex und .ki.ex
Eine kleine Korrektur zu dem Beitrag über den Angriff auf die Uni Gießen, es sind nicht 38 000 Rechner betroffen, sondern 38 000 Studenten der Universität. Ich habe selber Freunde, die an der Uni studieren und für die es das momentan der pure Stress, da viele jetzt nicht mehr an die Vorlesungsunterlagen kommen und Hausarbeiten etc. deswegen nicht richtig bearbeiten können
Hallo Linus, Du kritisierst, das BSI habe die TrueCrypt Entwickler nicht über die Ergebnisse des Audits informiert. Im Artikel von Hanno Böck auf Golem.de steht jedoch „Das BSI hat nach eigenen Angaben zwar die Truecrypt-Entwickler über die Resultate informiert, sich aber offenbar entschieden, die Dokumente weder zu veröffentlichen noch das Nachfolgeprojekt Veracrypt darüber zu informieren.“
Hast Du Dich vielleicht versprochen und eigentlich auf die Entwickler des Nachfolgers VeraCrypt bezogen? Bitte achte bei Kritik künftig genauer darauf, die Fakten korrekt wiederzugeben und den eigentlichen Missstand zu kritisieren. So wie Du es ausgeführt hast, hat bei mir den Eindruck erzeugt, dass Du eigentlich nur wieder mal auf dem BSI herumhacken möchtest und es Dir eigentlich egal ist, aus welchem Grund. Ich hätte sogar Verständnis dafür, weil ich manchmal ähnliche Impulse in mir verspüre, nach nunmehr 17 Jahren Beschäftigung im Bereich IT-Security. In diesem Fall gibt es durchaus Grund für konkrete Kritik am Verhalten des BSI, nur musst Du die dann auch präzise formulieren. Es war eine große Verfehlung, die Öffentlichkeit nicht zu informieren, nachdem der Kontakt mit dem TrueCrypt Entwickler erfolglos blieb. Diesen Punkt hättet Ihr durchaus etwas ausführlicher diskutieren dürfen, denn die Frage, wie das BSI sich verhalten soll, wenn „Coordinated Disclosure“ (den Begriff finde ich zielführender als „Responsible Disclosure) mit dem Hersteller fehlschlägt, muss meines Erachtens verbindlich durch die Politik geregelt werden. Meine Meinung ist: in diesem Fall hätte das BSI auf jeden Fall binnen weniger Monate nach Information des Entwicklers veröffentlichen sollen.
Liebe Grüße,
Detmar
Es sind ca. 38.000 Studis + Mitarbeiter, aber nur die Mitarbeiter Laptops werden/wurden gescannt.. ;) Trotzdem scheiße ist scheiße und bleibt scheiße ..
Zu den Passwörtern. Keiner sagt so richtig dass das Passwort des Nutzers rausgegeben werden soll. So als Entwickler würde mir da jetzt nur die Lösung einfallen eben noch ein zweites funktionierendes Passwort zu generieren und an die Behörde raus zu geben. Nur mal so als Idee um den ganzen Hash- und Salt-Zwang als Gegenargument auszuräumen. Ich will eigentlich nicht dem Feind Argumente liefern, dass es eben doch geht, aber lieber diskutieren wir das mal hier bevor die selbst auf die Idee kommen jetzt überall Backdoors mit Generalschlüssel zu verlangen. Die bei den Behörden sind oft nicht so dumm wie man glaubt und Zielen vielleicht darauf ab.
Hey Linus, bei Minute ~16 sagst du: „Die Prüfsumme hat die Eigenschaft, dass man sie schnell bilden kann“. Ich finde diese Erklärung unglücklich, denn genau das willst du ja eigentlich nicht. Du willst ja, das die Berechnung des Hashwertes so langsam und aufwendig ist, wie du es gerade noch sinnvoll verkraften kannst, um Brute-Force-Angriffe zu verteuern. Moderne Algorithmen sind ja genau deshalb so gebaut, dass du den Rechenaufwand und den Speicherbedarf beliebig justieren kannst.
Wenn man den Rechenaufwand für Brutefore erhöhen will, dann wendet man einfach den gleichen Algorithmus 100.000 mal hintereinander an.
Der Brute-Force-Angriff wird nicht dadurch teuer, dass es aufwändig wäre die Prüfsumme zu berechnen, sondern dadurch dass es nicht möglich ist, gezielt zu konstruieren und die Entropie der möglichen Prüfsummen zu hoch ist.
Davon auszugehen, der Algorithmus müsste besonders kompliziert sein, ist der gleiche Fehler wie meinen erzwingen zu müssen dass ein Passwort Sonderzeichen haben muss.
Tatsächlich lassen sich die meisten Prüfsummen-Algorithmen auch ohne besonderen Speicherbedarf realisieren.
Deshalb funktioniert auch Bitcoin Mining mit FPGAs und ASICs.
Abgesehen davon muss die Prüfsumme ja auch andauernd gebildet werden und auch dort will man natürlich ressourcensparend sein.
Insgesamt können wir uns aber darauf einigen das das Berechnen in eine Richtung sehr schnell geht, in die andere Richtung sehr langsam oder überhaupt nicht.
Ich bin schockiert,
die letzte Sendung des Jahrzehnts, – ach ne, warte mal, ein Jahrzehnt hat ja ZEHN Jahre. Dementsprechend müssen wir wohl doch noch ein Jahr dranhängen Mr „Zählschwäche“ Pritlove.
Millenium lässt Grüßen
Also so ganz sicher bin ich da nicht… wenn man die unsere Zeitrechnung zugrunde legt war ja der erste Tag der 01.01.00 dann wäre die Dekade am 31.12.09 zu Ende. Zumindest die Erste. Alle Weiteren dann jeweils 10 Jahre später, damit diese dann 31.12.2019. So jedenfalls mein Verständnis der Angelegenheit
Es gibt kein Jahr Null. Macht ja auch keinen Sinn. Die christliche Zeitrechnung beginnt mit Jahr 1 n.Chr. Das Jahr davor war Jahr 1 v.Chr.
Einfach mal googlen
Deswegen ja auch der Hinweis auf das Millenium Phänomen, bei dem einem auch fast alle Medien einreden wollten das vom Übergang vom Jahr 1999 auf 2000 das Jahrtausend zu Ende war. Das Jahrtausend ist aber erst vorbei wenn wirklich 1000 Jahre abgeschlossen sind.
Genug kluggeschissen, frohe Festtage
Wow, bisher so nicht gewusst. Fühlt sich auch falsch an für micjh, aber wenn es so sein soll, dann ist es wohl so.
Ein Grund, warum es kein Jahr 0 gegeben hat ist auch, dass die Zahl 0 erst später erfunden wurde. Ob daraus auch folgen muss, dass Jahrzehnte von 1 bis 10 gehen müssen, finde ich nicht zwingend.
hast du 2000 an Silvester den Jahrtausendwechsel gefeiert? Falls Ja (und mal ehrlich, haben wir alle), ist wohl jetzt der Jahrzehntwechsel.
Für alle, die glauben, das neue Jahrzehnt hätte begonnen: Das aktuelle xkcd (https://xkcd.com/2249/) hat die ultimative Begründung gefunden. Alle anderen müssen sich halt daran gewöhnen, dass korrekte Zeitmessung ein Ding des vorigen Jahrtausends ist. Das übrigens am 31.12.2000 endete.
Habe ich nicht. Wieso sollte ich das ein Jahr zu früh feiern?
Weil fast alle …? Ich hab auch kein Windows.
Ich hab natürlich mitgefeiert, aber wie jedes Jahr nur den Jahreswechsel und niemand hat mir ein Bekenntnis zur falschen Zählweise abverlangt. :)
Zum 36C3:
Beschweren will ich nicht, ich habe ein Ticket ;-)
Aber einen konstruktiven Vorschlag habe ich schon. Wenn es dieses Jahr nicht mehr realisierbar ist, könnte es ja fürs nächste Jahr in die Planung aufnehmen.
Kann man für den großen Parkplatz hinter dem Messegelände einen Hintereingang einrichten? Wenn mal schlechtes Wetter ist, macht es sicher keinen Spaß erst mal einen längeren Spaziergang zum Haupteingang zu machen.
Halle 4 ist durch das LOC belegt ist, da bietet sich Halle 5 an. Da gibt es auch noch einen großen Parkplatz. An der Disco vorbei könnte man zu der Hallentür, direkt gegenüber dem Parkplatz, gelangen. Der Aufwand für einen zusätzlichen Eingang dürfte gering sein. Bei der Buchmesse gibt es so einen Eingang auch. Und wenn ich das richtig beobachtet habe, gibt es auf dem Congress zum „Campingplatz“ ja schon einen Hintereingang.
Schon klar, es wird lieber gesehen, wenn die Leute mit öffentlichen Verkehrsmitteln anreisen. Aber das ist nun mal nicht für alle Leute realistisch. So ganz nebenbei könnte man da auch die leidigen Diskussionen über die Hotelpreise in Leipzig entschärfen. Allein in Halle fallen mir da gleich mal 3 Hotels direkt an der Autobahn ein. Vom Messegelände braucht man mit dem Auto kaum länger als 20 Minuten.
Spannendes Detail am Ende von TrueCrypt. In der Pressemitteilung hatten die Macher nur Gesagt, die Software sei Not Secure As. Ob das auf eine Nasi-Hintertür weisen könnte, kann man nur spekulieren.
Also der gute Ronny in allen Ehren, aber das Kraftfuttermischwerk ist definitiv keine Seite, deren Besuch ohne Ad- und Scriptblocker ratsam wäre. Auch nicht witzig.
Word!
Ich sehe gerade, der Kontaminationsgrad ist etwa auf dem Niveau von bild.de. Betreibt der da ’nen Honeypot oder soll das ernst gemeint sein?
Unser Dorf soll schöner werden!
Oder was haben sich die sich da im Justizministerium gedacht. Mit dem jetzigen Netzwerkdurchsetzungsgesetz erwischen sie doch auch nur die, die sich zu blöd anstellen und das wird auch mit den Verschärfungen nicht anders werden.
Man kann gesellschaftliche Probleme nicht mit technischen Mitteln lösen. Wenn da Druck aufgebaut wird, entsteht nur Gegendruck und es wird noch schlimmer.
Wenn man die „Hasskriminalität“ wirkungsvoll bekämpfen will, muss man dafür sogen, dass sich das gesellschaftliche Klima im Land ändert und weniger Hass entsteht.
Hallo,
ihr habt euch in dieser Folge kurz drüber lustig gemacht, was passiert, wenn die TLD .box endlich verwendet wird und dadurch so manch Router Probleme bekommen wird. Die TLD gibt es bereits seit Ende 2016, führte da genau zu den vermuteten Problemen und selbst heute gibts manchmal noch Schwierigkeiten… :)
Viele Grüße
Stefan
Hallo,
ich finde es total daneben, wie ihr euch über eine unbedachte Äußerung und die Suchtprobleme einer bekannten Persönlichkeit lustig macht. Und die Persönlichkeitsrechte durch den Streisand-Effekt zu unterlaufen, geht gar nicht!
Was Crossposting angeht bin ich voll bei Tim. Es ist so unhöflich, den Leuten auf Masto seine Tweets wie Knochen zum Fraß vorzuwerfen und eine Kommunikation ist nicht möglich.