NSA-Datenaustausch und -Datenschützer — Backdoors in Open-Source-Software — Spionage und der “private Sektor”
Nicht einer nicht ganz so Neuigkeiten-verseuchten Woche schalten wir mehr in einen Hintergrundmodus und diskutieren die internationale Zusammenarbeit der Geheimdienste ein paar generelle Entwicklungen im Bereich der "Cybersecurity" und dem damit verbundenen Verflechtung von Unternehmen und Regierungen.
Linus Neumann
Tim Pritlove
Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Tim Pritlove 0:00:00
Guten Morgen Linus.
Linus Neumann 0:00:00
Guten Morgen Tim.
Tim Pritlove 0:00:01
Deine Stimme zählt.Ja, soziale Netzwerke schicken einem mit solche Nachrichten.
Linus Neumann 0:00:10
Weil das ist jetzt nicht die skurrilste Nachricht, die man so vom sozialen Netzwerk bekommt.Weißt du, was ich an diesen äh Twitter-E-Mails da so gut fand?Ähm die haben das ungeachtet der Einstellung, ob man noch Notifications haben will, an wirklich jeden einzelnen Twitter-Account geschicktden ich habe. Und es war sehr interessant, weil ich erst dachte Probleme, vierzig E-Mails und dann ja, das war ganz gut. Jetzt habe ich.
Tim Pritlove 0:00:56
Was einfach schon vierzig Twitter-Accounts.
Linus Neumann 0:00:57
Um die vierziger. Ich habe ein großes das war mir auch nicht so ganz bewusst. Ich habe das eigentlich immer so auf zwanzig geschätzt.
Tim Pritlove 0:01:05
JaAlso vielen Dank, jetzt haben wir endlich mal Klarheit, ein bisschen Überblick. Bei mir sind's nicht ganz so viele, aber es kamen auch schon so einiges zusammen, so. Das ist ja schön. Also wenn unsere Stimme zählt, dann äh wollen wir sie auch mal wieder äh erheben hier in der,Na?Was haben wir denn jetzt? Neunundsiebzigsten Ausgabe von Logbuch äh Netzpolitik und wir begrüßen natürlich alle äh da draußen an ihren Hörgeräten, die sicherlich schon danach dürsten, welche ähm,Welche abgesackt aufs Abendland jetzt schon wieder auf.
Linus Neumann 0:01:37
Ist ja die letzte die letzte Sendung vor der Wahl, die alles äh nicht verändert, die hier.
Tim Pritlove 0:01:43
Ja, genau.
Linus Neumann 0:01:45
Die Wahl, die ja, ich weiß es nicht.
Tim Pritlove 0:01:48
Wahlfrei, ja.
Linus Neumann 0:01:49
Ich bin.
Tim Pritlove 0:01:51
Ist auch wieder eine sehr schöne Moment, wo ich mir immer wieder denke, so ähm also jeder überlegt jetzt, was wähle ich,viele es mag so Leute geben, sagen, ja hier, meine Partei und so weiter, habe ich schon mal gewählt oder ich bin total davon überzeugt, wenn ich an die Macht komme, dann wird alles anders und so. Ne, aber den meisten Leuten geht's ja anders. Und im Prinzip,Hast du einerseits das Problem, alles verteilt sich auf mehrere Parteien, andererseits,Möchtest du dann irgendwie auch, dass deine Stimme auch wirklich zählt? Ja, und da gibt's ja dieses Problem mit stimmig für was, was nicht äh den Anschein erweckt, äh Erfolg zu haben, ja, so.
Linus Neumann 0:02:32
Problem der Piraten, dass sie diesen.
Tim Pritlove 0:02:33
Das ist nicht nur der Piraten auch.
Linus Neumann 0:02:35
Moment jetzt nicht haben.
Tim Pritlove 0:02:36
Ne, also es ist unter anderem das Problem der Piraten, ja. So, sodass mir dann irgendwie sage, okay, man kann eh davon ausgehen, dass sehr viele Stimmen eigentlich überhaupt gar nicht,dass Aussagen, was eigentlich der Wunsch ist und das äh ist natürlich so ein generelles Problem.Also ich bin schwer für eine Änderung des Wahlprozederes, wo man einfach beliebig vielen äh Parteien,ihre äh seine Stimme geben kann, seine ihre Stimme geben kann.
Linus Neumann 0:03:07
Also so ein so ein Zustimmungsding oder so.
Tim Pritlove 0:03:10
Genau, ja klar, weil ich meine, das ist ja das, was du sagen willst. Du sagst ja so, ich könnte leben mit was weiß ich, ja, also ähmIch nehme alle außer FDP oder wenn irgendwie die Linken nicht dabei sind, dann passt das schon. Oder also von welchem Spektrum da auch immer kommst, aber was viel inklusiver ist und viel,Äh äh viel mehr sagt, was du eigentlich willst, wovon du dich wirklich vertreten äh findest. Und äh ich glaube, dass die Wahlergebnisse dann am Ende auch,Einfach viel konsensualer werden,Also, dass sie sehr viel mehr das ausdrücken, was auch wirklich gemeint wird und man dann eben auch nicht so bekloppte Wahlkämpfe führen muss, wie jetzt.
Linus Neumann 0:03:52
Also absolut richtig. Absolut richtig. Also dieses, ich sehe mich selber auch in der Situation jetzt, da so ein paar Wahlkombinationen irgendwie.
Tim Pritlove 0:04:01
Ja, man wählt irgendwie strategisch und.
Linus Neumann 0:04:03
Strategisch abzuwägen und das ist natürlich überhaupt nicht.
Tim Pritlove 0:04:05
Ja und dadurch, dass alle strategisch wählen, weiß man dann eigentlich auch schon wieder nix. Ist schon ganz schön bekloppt,das jetzt so schnell nicht äh geändert, aber wir wollten mal hier unser äh Mist äh behagen zum Ausdruck bringen. Das haben wir jetzt gemacht. Was können wir denn sonst noch so zum äh Ausdruck bringen?
Linus Neumann 0:04:23
Ja äh vielleicht zwei, vielleicht mehr oder weniger hat eine neue Dimension bekommen. Wir wissen ja, äh das war ja Friedrich äh.
Tim Pritlove 0:04:34
Ja. Nee, war das nicht.
Linus Neumann 0:04:35
Das hatte Friedrich gesagt und da ging ähm und zwar wird's.
Tim Pritlove 0:04:41
Rede ist von Datensätzen, die an die NSA übertragen würden, richtig.
Linus Neumann 0:04:44
Und in diesem Falle jetzt vom Bundesamt für Verfassungsschutz, wir erinnern uns, Bundesamt für Verfassungsschutz äh ist der,Inlandsgeheimdienst, ja, der darf der guckt nach innen. Und äh die haben der äh der NSA äh achthundertvierundsechzig Datensätze im letzten Jahr übermittelt.
Tim Pritlove 0:05:09
Datensitze.
Linus Neumann 0:05:10
Von, ja, offensichtlich Deutschen oder sich in Deutschland befindlichen Personen. Außerdem.
Tim Pritlove 0:05:19
Was heißt offensichtlich Deutschen, also woran? Kannst du das festmachen.
Linus Neumann 0:05:22
Nee, also habe ich jetzt offenbar ist das richtige Wort, offenbar. Also vermutlich oder sich in Deutschland aufhalten, dann habe ich ja dann auch noch logisch ergänzt. Ist was.
Tim Pritlove 0:05:29
Ja gut, da sind aber schon zwei, also von etwas, was was Deutschland betrifft, würde ich mal sagen.
Linus Neumann 0:05:35
Von Personen, die sich im.
Tim Pritlove 0:05:37
Also meinen sie denn mit Datensätze Personendatensätze?
Linus Neumann 0:05:40
Datensitz, ja.
Tim Pritlove 0:05:41
Meine, was heißt Datensitz, kann er irgendwas sein? Es kann ja auch Wohnblocks sein oder irgendwie Müllstatistiken.
Linus Neumann 0:05:46
Ja, aber soweit interessiert sie ja eher nicht, ne. Also, was öffentlich ist, hat die NSA ja ohnehin schon.
Tim Pritlove 0:05:49
Der Geier. Ist der Geier.
Linus Neumann 0:05:52
Es geht ja noch weiter. Also Datensätze war jetzt nicht genauer gesagt, dass das eine Person betrifft. Ich würde aber mal davon ausgehen, dass Personen die Einheit ist, bei auf die sich bei Geheimdiensten, Datensätze beziehen.Ja? Also das wäre jetzt nicht äh das wäre schon sinnvoll, wenn das der Unique Key für einen Datensatz ist in der in bei einem Geheimnis. Ähm außerdem, man darf jetzt ein, das finde ich ja viel, viel schöner. Ähm,regelmäßig treffen die sich für bewertete Sachverhaltsdarstellungen und es finden hier in Berlin Treptom ja? Kennst du das Gemeinsame Terrorismusabwehrzentrum in Berlin Treptow?
Tim Pritlove 0:06:32
Ach, da gibt's eins.
Linus Neumann 0:06:33
Ja, ähm.
Tim Pritlove 0:06:35
Dieser Lunapark, der da,nicht im Betrieb genommen wird. Da drunter, im Keller und so. Jetzt wissen wir, warum das Ding nicht mehr im Betrieb ist.
Linus Neumann 0:06:40
Nee, nee, das äh kennst du das nicht? Das ist äh in direkt in der Nähe von der S-Bahn S-Bahnhof Trip.
Tim Pritlove 0:06:48
Ah, da wo auch die Polizei ist und so, ja, ja, okay, ja, ja, wo die alle sind, stimmt, stimmt.
Linus Neumann 0:06:52
Sind nämlich, da sind nämlich äh.
Tim Pritlove 0:06:54
Wenn die auch sehr nervös, wenn du da fotografierst oder sowas.
Linus Neumann 0:06:57
Das sind jetzt erstmal, jetzt muss ich aufpassen. Es wird immer gesagt, da sind einfach alle Behörden. Also das wäre dann BKA.
Tim Pritlove 0:07:05
BND? BND, Verfassungsschutz.
Linus Neumann 0:07:07
BND, Verfassungsschutz, Bundesnachrichtendienst, NSA, ähm.
Tim Pritlove 0:07:13
CIA.
Linus Neumann 0:07:17
Ich bin da jetzt vorsichtig, weil die die kurze Liste hätte ich mir nochmal zur Sicherheit äh von.
Tim Pritlove 0:07:22
Im Sinne von Deutschland gemeinsam oder äh deutsch amerikanische Freundschaft.
Linus Neumann 0:07:27
Bisher hat bisher war der Aufreger ausreichend dafür, dass ähm,Ähm bisher war die Aufregung dafür ja schon ausreichend genug, dass wir die verschiedenen Behörden, Sicherheitsbehörden der Länder und des Bundes dort ähm,absoluter Ignoranz unseres Trennungsgebotes, der Geheimdienste und der Polizeibehörden äh gemeinsam wirken lassen,das war ja schon,kritisch genug an diesem gesamten gemeinsamen Terrorismusabwehrzentrum. Weil wir ja äh wir erinnern uns, äh die Überlegung immer ist, dass man die Geheimdienste und die Polizei aus verschiedenengründen, voneinander trennt, da ja die Polizei die die ähm den Arm der Strafverfolgung hat,und für den Arm der Strafverfolgung ja gewisse Rechte zum Schutze der Beschuldigten gelten ähm an die sich ein Geheimdienst nicht ähm hält,und nicht zu halten braucht, dafür jedoch nicht die ähm.Nicht die äh wie nennt man das? Nicht das Recht zur Strafverfolgung hat, ja? Ähm hat was damit zu tun, dass man sicherstellen möchte, dass Menschen einen fairen Prozess bekommen. Und ähm,Die Sorge ist ja, wenn die Kooperation zwischen Geheimdiensten und Strafverfolgungsbehörden zu groß wird, dass dann genau das passiert, was man jetzt aus den USA,immer wieder hört, dass quasi die Geheimdienste einen Hinweis über eine Straftat bekommen, welche erfolgt ist,und dann der Polizei sagen, wie sie quasi diese Information reinwaschen kann, indem sie eine Beweiskette oder eine Indizienkette aufbaut, die sie dorthin führt,ja? Und äh.
Tim Pritlove 0:09:31
Ich schon einen Knoten im Hirn.
Linus Neumann 0:09:34
War das zu kompliziert? Also Polizei ähm kann zum Beispiel nicht einfach alle Leute abhören,Ja, die äh brauchen richterliche Beschlüsse, um jetzt zum Beispiel mein Telefon abzuhören. Welche während das der Geheimdienst des Bundesamts für Verfassungsschutz einfach machen kann,gehen wir jetzt mal, also zumindest rechtlich, jetzt technisches mal so. Das heißt, wenn die Polizei,nicht abhören möchte, muss sie immerhin einen Richter äh die zwei Minuten abbringen, eben den äh,den Wisch zu unterschreiben. Ja, das ist die Hürde, die der Polizei steht. Die hat der Geheimdienst nicht. Die können einfach überall mal reinhören und wenn ich dann am Telefon irgendwie äh ex zwei Kilo Ecstasy verkaufe, dann ähm,dürfen die aber nicht zur Polizei gehen und sagen, ey, guck mal beim Neumann, äh der hat zwei Kilo Ecstasy im Keller.Werden morgen abgeholt, der will die verkaufen, ja? Und ähm,Spannend wäre es aber doch jetzt, wenn die alle zusammen in einer Cafeteria säßen,Und der zufällig einfach mal wäre so, hör mal, wenn ihr morgen den Neumann zufällig in der Verkehrskontrolle mal in den Kofferraum guckt,Dann könntet ihr feststellen, dass der zwei Kilo Ecstasy im Kofferraum hat. Ja und genau das soll halt verhindert werden. Jetzt,dass ich halt weiter schön Ecstasy verkaufen kann. Soll nicht verhindert werden,So, äh jetzt, okay, ich glaube, das Ding ist jetzt geklärt. So und jetzt haben sie da ähm.
Tim Pritlove 0:11:06
Ja. Lass uns doch mal über einen Preis reden. So, ähm.
Linus Neumann 0:11:11
Das machen wir gleich. So ähm jetzt haben wir also den,haben wir den äh haben wir dieses Trennungsgebot, für das es gute Gründe gibt, diese Gründe lassen sich natürlich auch zurückverfolgen in ähm ne, haben immer auch historische Gründe, auch in gerade in,Deutschland dann auch historische Gründe und so weiter und so fort. Und jetzt haben wir aber schon seit längerer Zeit dieses äh und das finde ich sehr schön, das wird GTAZ abgekürzt auf der Wikipedia. Was mich so ein bisschen an Grofats erinnert.Geht. Geht taz. Gemeinsames Terror abwehrzentrum. Terrorismus, Abwehrzentrum. Ähm und da wollte ich jetzt nochmal sehen,wer ist denn da alles drin?Meine neuen Arbeitsgruppen ja und.Ja, okay, also ich ich krieg's jetzt hier gerade nicht einfach mal eine schnelle Liste, wo einfach drin steht, wer da alles ist, aber äh auf jeden Fall äh polizeiliche Behörden und ähm,Nachrichtendienste sind ab. Wir haben sicherlich gleich jemand im Kommentar, der das nochmal genau aufschlüsselt. Und dort treffen sie sich wöchentlich mit äh mit der NSA,und machen, unterhalten sich so zur allgemeinen Lage und,die Gegenleistung der NSA an den Verfassungsschutz für diese äh achthundertvierundsechzig Datensätzesind dann solche Werkzeuge zur Analyse des Routings, die Dekodierung verschleierter Übertragungen.
Tim Pritlove 0:12:53
Ist so ein bisschen so zeig's mir deins, zeige ich dir meins.
Linus Neumann 0:12:57
Gib mir mal ein, wenn ihr solange wir wissen, dass ihr die Informationen damit holt, die wir auch gerne haben wollen, zeigen wir euch gerne mal, äh wie so die Abhör,das sind natürlich jetzt genau die Verstrickungen, die man seit Anfang an vermutet bei dem Verhalten der Bundesregierung,in dieser Affäre.
Tim Pritlove 0:13:22
Inwiefern sind denn das jetzt neue Erkenntnisse?
Linus Neumann 0:13:24
Na die neue Erkenntnis ist, dass halt ähm achthundertvierundsechzig immer noch im Bereich von vielleicht zwei mehr oder weniger fällt.
Tim Pritlove 0:13:32
Ja, wo kommen die denn jetzt her, diese Erkenntnisse? Also.
Linus Neumann 0:13:41
Du liest gerade. Oh man, jetzt bist du aber am frühen Morgen echt gemein. Ähm.
Tim Pritlove 0:13:46
Entschuldigung. Habe mich nur gerade jetzt mal äh.
Linus Neumann 0:13:50
Süddeutsche Zeitung hatte das,aufgrund von Dokumenten, in dem Fall, glaube ich, nicht aus dem äh.
Tim Pritlove 0:14:01
Mal nicht snoten.
Linus Neumann 0:14:02
Ja, NDR, NDR und Süddeutsche Zeitung ähm aus Dokumenten, aus dem Innenministerium, haben Sie das?
Tim Pritlove 0:14:10
Hm, guck an. Also ich fange einfach mal an, sich mal das, was ohnehin da ist, äh anzuschauen oder ihn ist da.
Linus Neumann 0:14:15
Ich gehe eher davon aus, dass ihnen das äh gesteckt wurde.
Tim Pritlove 0:14:19
Okay. Soll jut.
Linus Neumann 0:14:21
Britischen Geheimdienst haben sie sechshundertsiebenundfünfzig Datenübermittlungen äh gemacht,als es nicht, es scheint ausnahmsweise mal nicht auf Snowden zurückzugehen.
Tim Pritlove 0:14:34
Mhm. Ähm.
Linus Neumann 0:14:35
Ähm wir würden uns natürlich hoffen,dass es irgendeine Konsequenz für den Pofalla hat, aber scheint nicht so, ne?In USA richt man sich derweil darüber auf, dass ähm die NSA ein geheimdienstliches Abkommen zum Datenaustausch mit Israel hat.
Tim Pritlove 0:15:03
Wer regt sich darüber auf?
Linus Neumann 0:15:07
Dieses Geflecht ist äh es ist schon sehr interessant, wie diese Geheimnisse,natürlich auch irgendwie untereinander versuchen zu kooperieren, gleichzeitig dasAber in diese Kooperation irgendwie für sie zu einem Gewinn führt netto und ähm das ist schon sehr ähm,sehr durchwachsene alles, wie die so miteinander umgehen.
Tim Pritlove 0:15:35
Ja, also ich meine, das ist ja auch, sagen wir mal, das, was sich jetzt hier abzeichnet, was schon lange, äh, von führenden Verschwörungs äh, äh, Freunden an die Wand gemalt wurde, ja, generelle Unterstellung eines,intern, also ich formuliere das jetzt bewusst zurückhaltend. Ähm.Weißt du, man kennt sich, ja, also sozusagen so diese Geheimdienstapparate, die alle mehr oder weniger äh so eine Isolationsschicht haben gegenüber äh dem Verantwortlichen Teil äh der Politikäh treiben da halt so Dinge und im äh und und und weil halt der äh Zweck dann doch äh die Mittel häufiger heiligt,ähm baut sich da einfach so ein Vertrauensgeflecht aus, was einfach jeglich,fern jeglicher äh öffentlicher Kontrolle ist, ne. Und ähm das,Das ist einfach ein Problem. Man hat das schon bei Five Eis gesehen. Man, dass Israel da jetzt in gewisser Hinsicht auch äh äh mitspielt, ist keine,Basti ist jetzt kein Schocker, oder? Also, ich meine, es ist irgendwie echt äh super naheliegend und klar, das würde sagen, das war schon immer klar,Maß der Integration, dieser Geheimdienste, das mag jetzt vielleicht noch äh von Interesse sein, aber das dient sich da halt absprechen, das ist vollkommen klar,Aber es war's natürlich recht, ne? Es ist so dieses, man will auch nicht zu viel geben, weil man will ja auch immer noch seine Vorteile haben. Man will auch immer noch ne, was in der Hinterhand haben, um äh im Zeitsfall auch Druck äh ausüben zu können. Von daher ist das schon,Ein interessantes politisches Spiel.
Linus Neumann 0:17:20
Ja, was fernab jeder,ernst zu nehmenden Legitimierung da stattfindet, ne? Also diese bei bei wenn man sich überlegt, welche technische Macht,ähm und welche Freiheit,der Ausübung die Geheimdienste in den letzten Jahren genossen haben, dann,werden halt bestimmte,Theorien über deren Einflussnahme auch in den ähm in den politischen Bereich, also darüber hinaus ein Dienstleister der Regierung zu sein, auch immer ähm,Wahrscheinlicher.
Tim Pritlove 0:18:07
Ja, nicht wahrscheinlich nicht nur ein ein ein Dienstleister der Regierung, sondern äh ihre wesentliche Dienstleistung steht da drin, sich auch gut auszusuchen, wer denn nun in dieser Regierung kommt oder nicht,Also,wir werden sicherlich auch noch ein paar andere Länder äh sehen in der nächsten Zeit, die da auch nochmal, ich meine, wir haben viel über England und Deutschland gesprochen, weil Deutschland unser Fokus ist, aber im Prinzip äh ja, was ist mit Spanien, was ist mit äh vielleicht sogar mit Frankreich?Ja, wo man sich das noch am wenigsten vorstellen kann irgendwie,aber dann letztlich kann man sich sowieso mittlerweile alles vorstellen. All diese Länder äh sind genauso interessant oder uninteressant wie Deutschland auch. In gewisser Hinsicht ist Deutschland ja eigentlich noch das Uninteressanteste.
Linus Neumann 0:18:49
Also Spanien wird sowieso nochmal spannend, weil die ja,lange Zeit oder lange Jahrzehnte der Auseinandersetzung mit dem Terrorismus in eigenem, im eigenen Lande zu tun haben, das heißt, die werden da eh nochmal ganz andere geschützt im Inland aufgefahren haben,Stichwort Etat.
Tim Pritlove 0:19:07
Genau, Etha äh aber auch was, sagen wir mal, jetzt die internationalen Aspekte betrifft. So Frankreich hat natürlich einfach eine ganz andere Verknüpfung mit der arabischen Welt,allein durch ihre äh Kolonisations äh äh Zeit und und und ihre Präsenz in nordafrikanischenund so weiter. Man merkt das jetzt auch bei Syrien. Also sie sind einfach bei bestimmten Bereichen der Welt ganz anders involviert, ne.Na gut.
Linus Neumann 0:19:36
Ja, wie gesagt, ich ich denke, dass das wird jetzt so, also meine Prognose ist, das wird jetztalso gut, hm, die die Gefahr sehe ich ja seit längerem, bis jetzt ist sie noch nicht so wirklich eingetreten, aber da werden jetzt noch so viele große und kleine und sonstige,Skandale und die Informationen und Details über Zusammenarbeiten und Verstrickungen von Geheimdiensten ans Licht kommen, dass man da sehr, also.
Tim Pritlove 0:20:04
Wir am Ende vielleicht sogar über tausenddreihundertachtundzwanzig Datensätze reden müssen, ja? Oder.
Linus Neumann 0:20:07
Ja, kann man gut sein.
Tim Pritlove 0:20:09
Ja? Man weiß es nie.
Linus Neumann 0:20:11
Aber, aber, aber. Es wird äh es wird äh Besserungen geben, denn,die NS die NSA hat eine Stelle ausgeschrieben und zwar suchen die einen,Datenschützer, die wollen Datenschutzbeauftragten jetzt haben.Hundertachtzig Tausend Dollar Jahresgehalt, muss ja dann noch versteuert werden, aber ist, glaube ich, nascht auch nachsteuern noch ganz okay.
Tim Pritlove 0:20:48
Ja, bleibt was übrig.
Linus Neumann 0:20:49
Ähfür einen Job, wo man am Ende natürlich wenig zu tun hat, ne. Also es wurde gesagt, ja, also ganz klar, ne, der Job ist nach nach vorne gerichtet, das heißt ähm zum Job gehört dann jetzt nicht, äh sich den ganzen,Ärger abzuarbeiten, den man denen sich die NSA bis jetzt eingehandelt hat, aber ähm,den Zukünftigen.Ähm währenddessen ähm sagt dann der ähm Ex-NSA-Schiff,XNSA-Chef äh Terroristen lieben Gmail,G-Mail ausgerechnet G-Mail nutzen die nutzen also die Terroristen. Insofern um mal da warum er das auch immer gesagt hat. Also die drehen da jetzt grade so ein bisschen ähm frei. Und ähm,schreiben ja dann auch so irgendwie da gab's ja dann dieses Brief irgendwie an die eigenen Mitarbeiter ähm haltet irgendwie,durch in Zeiten der Krise, bald werden die Menschen wieder verstehen, dass wir ein Geschenk für die Freiheit sind in der in den USA ist diese diese Angelegenheit offensichtlich noch nicht ganz äh,Abgeschlossen wie es in Deutschland ja schon ist, ne? Glücklich zur Bundestagswahl allen abgeschlossen das Thema.
Tim Pritlove 0:22:15
Beendet.
Linus Neumann 0:22:17
Und dann gab's eine.
Tim Pritlove 0:22:18
Wir haben ja auch wir haben ja auch einfach wirklich eine, eine, eine, eine, eine, eine Panzerhaubitze äh äh des Friedens und der Völkerverständigung am Staat, ja, also der das Puffala. Das beendet einfach alles, ja? Also Pofalla wird,sollte man einfach mal nach Syrien schicken.
Linus Neumann 0:22:33
Der könnte da auch den Krieg mal ja, der könnte den Problem einfach beenden, ne.
Tim Pritlove 0:22:39
Na aus Konflikt generell. Einfach puffala.
Linus Neumann 0:22:41
Hier wird beendet und das haben wir schriftlich.Ähm was was es schriftlich gibt?
Tim Pritlove 0:22:53
Ähm was was schriftlich gibt.
Linus Neumann 0:22:57
Der ähm der Fisk, unser äh unser Gericht, unser Geheimgericht, vor dem immer nur eine Partei steht. Ähm urteilte,Und das ist der größte Aufreger für die USA, ne. Also, das Thema, was bei.
Tim Pritlove 0:23:10
Unser unser,Ja, okay. Mhm. Ja. Unser Lieblingsgeheimgericht?
Linus Neumann 0:23:17
Das ist das ist das, das ist der größte Aufreger in den USA, waren ja die Verbindungsdaten mit den der Telefone und der Fisk urteilte, ja,Verbindungsdaten,sind ja nicht äh Teil der Privatsphäre, weil man sich ja wohl denken kann, dass die Telefonprovider die speichern und dass die Geheimdienste dann darauf zugreifen. Deshalbbraucht es auch keinen kein Richterbeschluss, um darauf zuzugreifen.
Tim Pritlove 0:23:47
Das ist so geil. Ihr werdet auch nicht im Ernst geglaubt haben, dass das privat ist. Also ist es auch nicht privat.
Linus Neumann 0:23:55
Ja
Tim Pritlove 0:24:02
Natürlich äh für eigentlich alles dann auch sagen.
Linus Neumann 0:24:06
Man kann,Könnten wissen, dass ihre Verbindungsdaten einfach in den Providern gespeichert werden, können deshalb auch nicht erwarten, dass die Regierung darauf keinen Zugriff bekommen würde. Und jetzt, ich finde das ja mal echt,Cool, weil das heißt, genau das, was immer gesagt wird, baut gar nicht erst die Datenberge, wenn sie da sind, werden sie missbraucht, wenn völlig egal, bei wem du dein Datenberg hinlegst,und ähm das bestätigt dieser dieses Urteil. Außerdem haben sie gesagt, naja,Außerdem hätten sich die Provider ja wehren können, die hätten ja widersprechen können,Es gibt zwar kein Verfahren dazu und in den Briefen, die sie denen schicken, steht auch nur drin, halt die Fresse gibt die Daten und wenn du irgendwas machst, dann äh kommst du für immer ins Gefängnis. Aber ähm der Fisk,Ist sich nicht zu schade zu sagen, naja, ihr hättet ja widersprechen können,Stimmt, hätten sie, hätten sie machen können. Gibt's ja auch, wir haben ja jetzt die Beispiele von Leuten, die das gemacht haben, ne, hier Lavabit,und so.
Tim Pritlove 0:25:19
Erstmal ein paar Jahre darauf warten müssen, bis er das überhaupt äh überhaupt das Recht bekommen, dagegen vorgehen zu können.Also na ja, ist schön.
Linus Neumann 0:25:29
Diese Stellenanzeige fügt sich ein in ein Vier-Punkte-Plan,den äh Präsident Obama da jetzt angeleiert hat,und dass er einmal irgendwie den Patriot äh Act irgendwie äh überarbeiten möchte, ähm möchte den Fisk besser ähm,ja besser also er möchte den Fisk irgendwie öffentlicher machen.
Tim Pritlove 0:26:05
Ja, weniger.
Linus Neumann 0:26:07
Sorgen, dass dass ähm dass Bürgerrechte oder dass sie Sorgen um Bürgerrechte eine noch größere Stimme in diesen Fällen, die vom Fisk verhandelt werden, bekommen.
Tim Pritlove 0:26:19
Mhm. Noch noch größer als bisher schon. Ja. Hammer.
Linus Neumann 0:26:24
Dann möchte er ja sowieso, dass die Intelligence-Community so viel äh über diese Programme wie möglich veröffentlicht. Da kennen wir ja unser Lieblingstumbler in den letzten Wochen.
Tim Pritlove 0:26:34
Nur hier die echt geschwärzten Dokumente. Ja. Super.
Linus Neumann 0:26:41
Und dann eine möchte eine Gruppe von ähm hochrangigen äh außenstehenden Experten,haben, die,die die ähm Geheimdienst und Kommunikationstechnologien reviewen, was auch immer das jetzt bedeutet. Also das ist so der vier Punkte Plan, ja.
Tim Pritlove 0:27:07
Wenn man nicht mehr weiter weiß, dann gründet man ein Arbeitskreis.
Linus Neumann 0:27:11
Genau und dazu dem diesen vier Punkte Plan zuzurechnen, ist jetzt auch, dass man sagt, hey, wir machen jetzt ein Datenschützer, die NSA bekommt einen Datenschützer. Das wird bestimmt auch schön.Bin ich mir, bin ich sehr gespannt. Ähm wie der, also auf was für einer ja, in welcher Rolle der da stehen wird. Wobei weißt du.
Tim Pritlove 0:27:39
Also ich denke, von von grundlegenden Reformen ist das System auch sehr weit entfernt.
Linus Neumann 0:27:44
Es ist allein es spricht auch hier möchte ich natürlich sagen weder Bände, dass,Geheimdienst, der sich offensichtlich in den letzten zehn Jahren um kein nichts gekümmert hat, was irgendwas mit Bürgerrechten äh Demokratie oder Datenschutz zu tun hat. Auf jeden Fall. Jetzt.
Tim Pritlove 0:28:03
Ja und vor allem der auch bestehende Gesetze einfach ignoriert hat.
Linus Neumann 0:28:07
Genau, der der jetzt,Ein Datenschutzbeauftragten bekommen soll. Das heißt, diese Stelle gab's noch nicht mal. Das war in deren gesamten Organisationsstruktur nicht vorgesehen, da auch nur ein Handpuppenkorrektiv,für Demokratie und Freiheit zu haben, ja? Da spricht schon Bände, das also das ist ich kann's gar nicht.
Tim Pritlove 0:28:33
Ist bestimmt äh geiler Job, ja, ist so ein bisschen bisschen so wie Militärpastor irgendwie, wenn du da so,Afghanistan stationiert bist und dann so Leute, wir können uns aber doch alle lieb haben, also ja, ja, ist okay, aber wir müssen jetzt raus zum Einsatz,Wir kommen dann nachher zum Messer, irgendwie legst schon mal die Oblaten raus.Wir fressen dann irgendwie äh nach den Hamburgern fressen wir noch ein bisschen Leib, Christian, dass alles wieder gut. Naja.
Linus Neumann 0:29:02
Dann geht's ähm,Ich hatte es ja in der letzten Sendung schon so ein bisschen angesprochen, dass jetzt natürlich ganz viele,Implementierung, äh von Sicherheitssoftware ähm abgeklopft werden auf äh auf Schwächen, die man sich da vielleicht geleistet hat bei der Implementierung. Und ähm,dass der ganze Kram jetzt natürlich nochmal reviewt wird und so. Und da gab's jetzt zwei äh ganz interessante.Meldung, einmal Open BSD, da wendete sich also ein ehemaliger,zu der zum Open zu Open BSD an den ich glaube momentanen Menthen,Ähm und sagt, übrigens mein NBA mit dem FBI Essenz ausgelaufen,und ich wollte dir nur sagen, dass ähm das FBI eine Reihe an Backdoors und Side-Channel-Key Leaking Macanizons,Das also, das ist das, was ich letzte Mal schon sagte. Das ist vielleicht, dass der eigentliche Key über einen,Quasi einen sogenannten Seitenkanal, über quasi minimale Veränderungen an einer anderen Stelle oder im dann sich über Zeit äh wieder errechnen lässt,äh eingebaut wurde in den äh entscheidende Teile von Open Bearsy,behauptet er jetzt. Und sagt, die Firma, für die er da gearbeitet hat und ähm,Seine Aufgabe war, in zum Beispiel den IP-Sec äh Stick von Open BSD ähm einzubauen.
Tim Pritlove 0:30:58
Mhm. Siehst du das gerade hier?
Linus Neumann 0:31:04
Und er behauptet weiterhin, dass das äh für Open, BSD vermutlich deshalb,eingestellt wurde, weil sie, weil da paar davon Wind bekommen hatte, dass das FBI Open BST spezifisch schwächen lässt. Open BSD ist,das ähm das äh das Derivat,was als äh so das absolut äh sicherste gilt. Ultra Secure, Free Functional and Secure, only tool remote in the die Fall in staled in the hack of the long time.Also sie, das ist so das, was als das sichere Unix gilt.
Tim Pritlove 0:31:52
Ja, ist ja interessant. Also bin mal gespannt. Ich meine, das ist ja immer so eine so eine so eine generelle These bei Open Source, so Jahr, tausende von Augen schauen sich irgendwie alles an, ja, das ist natürlich eine schöne Theorie,Realität nicht so, weil das meiste wird dann doch im Wesentlichen nur von sehr wenigen wirklich überhaupt angeschaut und dann äh meistens auch auf ganz andere Aspekte hinSecurity an sich betrifft, klar, da wird natürlich dann auch durch ähmFür Security-Firmen natürlich sowas auch immer wieder äh getestet, vielleicht auch teilweise das Horsecode äh durchgelesen, um einfach äh generelle Schwachstellen zu entdecken. Und da wird ja auch eine ganze Menge gefunden und das ist ja auchTeil des normalen äh Prozesses. Aber äh es ist schon was ganz anderes, wenn man eben solche.Also Kleinigkeiten äh platziert, die jetzt so offensichtlich erstmal überhaupt nicht unbedingt nach Fehler aussehensondern die einfach konzeptioneller Art sind, ja? Also die im Algorithmus angesiedelt sind et ceterawas erstmal auf den ersten Blick versucht das richtige zu tun aber dann eben wenn man genauer versteht warum das so gemacht wurde eben Hintertüreneröffnet. Und das ist natürlich sehr schwierig zu finden. In gewisser Hinsicht find ich's jetzt mal ganz schön, dass äh durch diesen öffentlichen Druck,es jetzt in zunehmenden Maße solche Aktivitäten in der Open Source besonders in der Betriebssystemszene gibt, sich sowas mal genauer anzuschauen. Also ich denke, Betriebssysteme sind jetzt gerade deshalb so wichtig, weil die ja dann meistens es ist,überall zum Einsatz kommen, ja, also auf wie vielen Rechnern auf diesem Planeten läuft LiNux mit,halbwegs äh kritischen Anwendungen, ja, das ist eine nicht ohne Weiteres zu beziffernde äh Größe und ähm,Ja, dementsprechend, das gilt natürlich auch für Open-BSD. Das ist zwar jetzt nicht so verbreitet, aber eben wie du schon gesagt hast, äh war schon immer äh für die ähm,besonders für die Aluhüte eine besonders interessante Option so. Naja und jetzt ist zumindest klar, dass hier explizit.Mindestens vor zehn Jahren einmal äh dort eben auch wirklich versucht wurde durch Geldzahlung und Einflussnahme auf einzelne Personen,Solche äh Dinge dann auch zu verändern.
Linus Neumann 0:34:11
Ist ist auch nicht das erste Mal, dass sowas äh also ich.
Tim Pritlove 0:34:15
Schon mal bei Open B ein Fall. Ich weiß nicht, ob das jetzt in irgendeiner Form auf das hier nochmal Bezug nimmt von ach das ist ja auch.
Linus Neumann 0:34:21
Der Fall ist alt. Dieser Fall ist alt, der wird jetzt nur noch mal ja ja klar.
Tim Pritlove 0:34:24
Ist diese alte Geschichte? Alles klar, ich dachte, das wäre jetzt was Neues, das ist von zwanzig zehn.
Linus Neumann 0:34:28
Nee, nee, das, der, das ist alt, also das ist nur, dass jetzt genau da werden diese Themendie jetzt wieder aufgegriffen, ne? Also da da gucken natürlich jetzt wieder welche drauf. Und dann denkt man sich, ach damals haben wir denn auch wirklich genug geguckt, als wir damals den Hinweis bekommen haben? Ja, also das ist.
Tim Pritlove 0:34:44
Verstehe, okay, alles klar. Du hast das jetzt nur als Beispiel rausgezogen. Ich dachte, das äh hätte jetzt nochmal eine neue.
Linus Neumann 0:34:49
Eine neuere Entwicklung, auf die wollte ich jetzt hinaus. Ich wollte noch vorher noch ganz, also kann ich kann ich nachher auch sagen. Linus Torvels wurde auf einem auf irgend so ein Panel, der sitzt ja auch nur noch auf Penels. Linox Con oder sowas,gefragt,ob er jemals wurde ähm von der Regierung mit dem Ziel, eine Vektor in Linux einzubauen,und als Reaktion auf diese Frage nickt er und sagt nein.Da kann man sich jetzt auch draus machen, was man möchte.Und dann lachen alle und danach sagt er, nein. Aber ähm ja, also es ne, diese vier Anzahlen T und Down Geschichte wird jetzt gerade äh ganz groß. Ich wollte noch zu dem,Zu der ähm,Ich wollte noch zu der äh Open Sache sagen,da gibt's einen gibt's immer einen, ich glaube, der findet jährlich statt, den International Opferscater Sea Code Contest, IOC, ist also ein,internationaler Wettbewerb, in dem man ein C-Programm schreibt, mit einer Vektor,Und diesen.
Tim Pritlove 0:36:12
Code, dann.
Linus Neumann 0:36:12
Code, dann zu diesem Contest einreicht. Und es geht dann dabei darum, dass andere diese Vektor finden,und schon das ähm führt regelmäßig nicht zu Ergebnissen. Ja, also es geht bei bei dieserEs geht eben bei den bei den Schwächen, die Leute oder die, die man als als Pectors in diese Open Source Tools einbaut, eben nicht darum,dass da irgendwie was was gleich so ungefähr sondern,Es geht halt, es ist beim Programmieren eben nicht so, dass jemand, der den Quelltext gesehen hat mit einer großen Wahrscheinlichkeit, ähm sagen kann, dass da jetzt keine Vektor sich drin verbirgt,Deswegen besteht dieses Problem und besteht dieses Problem auch in dieser Größe.
Tim Pritlove 0:37:07
Na ja wer kann das schon sicher sagen, dass er alle Fehler gefunden hat, ne?
Linus Neumann 0:37:13
Ähm also im Bereich gucken jetzt natürlich wieder alle,aber so viele so wie viel Erfolg da jetzt sein wird, weiß man nicht. Dieser eine äh Typ, der sich da geoutet hat, ich weiß nicht, obwie gut die ihr Virtual äh unter Kontrolle haben über die zehn,zwölf, dreizehn Jahre, die das jetzt her ist, ob sie noch sehen, welcher Code aus seiner Feder stammt und dann wenigstens nur sich seinen Code angucken können oder so, wer weiß?Ähnliche ähm,Überlegung gibt's natürlich aber jetzt auch im privaten Sektor. Das heißt also, bei der bei der im Software und im Dienstleistungsbereich, wo sich dann,aufgrund eines Freedom of Information,herausstellte, wenig überraschend, dass die Firma Hupen, Franzosen, ähm,ein Angebot macht namens Innendepffary Analysis and Exployd. Das ist also so ein Abo Abonnement-Service, wo sie zu.Öffentlich bekannten und irgendwie so,Informationen geben, also oder vermutlich sich der mir sowas vor wie weiß ich nicht. Die wird bekannt und sie haben dann in diesem Abonnement-Service direkt das Explod dazu oder so, ne, also irgendwie Wissen über ähm,über Exploits in diesem Abonnement-Service haben, aber das reine Wissen kann man sich auf, weiß ich nicht, auf zehn Webseiten und Mailinglisten des Internets in in aller Umfänglichkeit gebenÄhm insofern gehe ich davon aus, dass ihre Dienstleistung bei diesem Abonnement noch darüber hinausgeht und wahrscheinlich da in Richtung geht.Ähm und das äh da kauft unter anderem die NSA dieses Abonnement. Gleichzeitig bietet Wuppen aber auch noch den,Offensive Security, Abonnement, äh Dienst an, wo sie wohl eher so was wie die unbekannten Sicherheitslücken habennicht öffentlich sind. Ähm vielleicht kurz zur Erinnerung, wupen habe ich, glaube ich, auch schon häufiger mal hier in der Sendung erwähnt. Das sind die, die zu den,Open Saurs Owning Contest gehen, also so on oder so was, was Google dann da veranstaltet und sagt, hier ähm wenn ihr es schafft, einen,Driveby, Explode für den Chrome zu schreiben, der darin resultiert, dass ihr also, ne, den Crash in den Browser hervorruft, dann aus der Sandbox rausklettert, alle siebenundzwanzig Sicherheitsmechanismen überwindet und dann einen,Code Execution auf dem Zielsystem bekommt, dann äh kriegt ihr von uns sechzigtausend Dollar.
Tim Pritlove 0:40:14
Gehen jeden zeigen, dass sie's können und danach sagen und dann gehen sie wieder und sagen so, ja äh ja, was denn jetzt hier mit dem? Zeig doch mal und so, nee, zeigen wir nicht.
Linus Neumann 0:40:22
Zeigen wir nicht, dann kriegen sie die sechzigtausend nicht und sagen, die brauchen wir auch nicht. Äh wir verkaufen das an die Regierung.
Tim Pritlove 0:40:26
Wir hatten wir hatten schon unsere Aufmerksamkeit, vielen Dank.
Linus Neumann 0:40:29
Wir hatten wir hatten unsere Werbung ähm jetzt äh lassen wir uns von anderen dafür den angemessenen Preis zahlen,Das ist wuppen und funktioniert offensichtlich. Also mit die NSA ist auf jeden Fall äh deren Kunde.
Tim Pritlove 0:40:44
Die Beschreibung für dieses Explodes for Offensive Security, also allein diese also das mal so als Produktbeschreibung zu lesen, das ist echt haarsträubend.
Linus Neumann 0:40:53
Also bezeichnet aber auch,ähm weniger irrsinnige Dinge wie zum Beispiel so einfach so den so Pentasting oder so, ne? Also es ist ja auch so ein bisschen ufensive.
Tim Pritlove 0:41:09
Also Sicherheit durch Angriffsmethoden.
Linus Neumann 0:41:11
Ja so, ne, also Sicherheit, dadurch, dass du auch mal, dass du diese Defensive Stellung verlässt und dich auch mal in die, in die Rolle des Angreifers.
Tim Pritlove 0:41:21
Ja, aber die, die, diese, die Formulierung, die sie hier haben, ja. Vor ofensive security, get access to extrem leay, so great. Ist auch geil, ja? Government Great, Zero Day Exploits,Dasign for Critical and Offensive Cyber Operation. Um das nochmal so,Ne, also hier können sie sich Zugriff auf total ausgefuchste äh Government Great, also es ist wirklich geil, ja, es ist nicht irgendwie ein normaler privat äh Firmenscheiß, sondern es ist einfachGovernment Great. Da hat sagen so, du führst Krieg gegen ein Land. Haben wir, ja? Äh Zero Day Exploys, also sie haben sozusagen,Sie behaupten, versteht es richtig, dass sie quasi sagen so, ja wir wir wissen einfach Schwachstellen, kennen wir.
Linus Neumann 0:42:14
Also Zero, vielleicht müssen wir den Begriff Zero Day noch kurz erklären. Also als Zero Day bezeichnet man eine noch nicht öffentlich dokumentierte,Sicherheitslücke. Und üblicherweise dann, also,in Kombination mit einem. Das heißt, nicht nur, dass die die theoretische Existenz der Sicherheitslücke gezeigt wurde, sondern dass man das diese Sicherheitslücke auchumgebaut hat in oder an ein auf diese Sicherheitslücke, zugeschnittenes.
Tim Pritlove 0:42:44
Einfach den Code, um die zu nutzen, zack. Genau. Mhm.
Linus Neumann 0:42:47
Das ist häufig nochmal äh ein ganzer Batzen Arbeit darüber hinaus.
Tim Pritlove 0:42:52
Genau, das gibt's dann hier so als Abo und so weiter. Also wenn ihr irgendwie äh Probleme habt, irgendwo reinzukommen, da haben wir dann hier äh.
Linus Neumann 0:42:59
RSS-Feed, ja.
Tim Pritlove 0:42:59
Haben wir so verschiedene Schlüssel äh äh im Regal und und Methoden und so und wir sagen das jetzt auch erstmal keinem, weil kann ja mal sein, dass wir uns nochmal gebrochen haben,Äh
Linus Neumann 0:43:11
Wir hatten uns, glaube ich, vor längerer Zeit schon mal so über diesen Exploit-Markt unterhalten und da sieht man äh ist da, die machen das halt richtig. Unglaublich. Also es ist.
Tim Pritlove 0:43:25
Spricht man das wirklich so aus Franzosen sind, vielleicht heißt es,Wippen.
Linus Neumann 0:43:31
Fugen, Alter. Ist doch.
Tim Pritlove 0:43:33
Viewer.
Linus Neumann 0:43:34
Nee, ich also ich kenne jetzt da keinen von denen.
Tim Pritlove 0:43:37
Diese ganzen Security-Firmen haben völlig bekloppte Namen.
Linus Neumann 0:43:38
Wupper, Wipo. Ähm.
Tim Pritlove 0:43:42
Brauchen wir so eine Friseurnamenrevolution irgendwie, dass sie sich mal lustige Namen einfallen lassen.
Linus Neumann 0:43:47
Frisör eine andere Evolution. Ich weiß nicht, was das ist.
Tim Pritlove 0:43:48
So wie in Deutschland um Neunzigern ging das doch los, das Friseure, die vorher immer nur Haarstudio hießen oder sonst irgendwas, dass die dann irgendwie so äh sich Abschnitt dreiundzwanzig äh landen, weißt du?
Linus Neumann 0:43:58
Ach ja, stimmt, ja ja. Ich dachte, ich muss.
Tim Pritlove 0:44:04
Friseur, der nicht irgendwie sich einen spaßigen Namen will, wie wie mit Podcast Episoden, ne. Das könnte eigentlich in der Security äh Szene auch langsam mal,eingeführt werden oder vielleicht auch in der Parteienlandschaft, das wäre auch nochmal ganz lustig. Also die Partei äh und da schon gut vorangegangen.
Linus Neumann 0:44:19
AfD geht auch, geht auch gut voran. Ähm.Die gute Nachricht, also die die die gute Nachricht ist, dass die NSA also nach wie vor auf, überhaupt auf, weil Wallen angewiesen ist, auf und irgendwie ähm.
Tim Pritlove 0:44:39
Verletzlichkeiten von Code.
Linus Neumann 0:44:41
Das heißt, sie haben noch nicht alles durchdrungen äh sie können noch nicht alle Krypto immer knacken, also sie brauchen überhaupt noch,Ich meine, inzwischen war ja die Theorie,in greifbarer Nähe gerückt, dass die vielleicht überhaupt diese gesamte Security Theater quasi auf einer ganz anderen Ebene ist, weil die NSA sowieso schon jeden Computer äh vollständig durchdrungen hat, weil er mit hundertachtundvierzig.
Tim Pritlove 0:45:09
Ja gut, aber ich.
Linus Neumann 0:45:10
Wird, ne? Also.
Tim Pritlove 0:45:11
Man kann die also ich meine diese Trennung zwischen dem Privaten, dem Government Sektor, der findet ja schon in der NSA nicht statt. Meine Herr Snowden war galt ja in gewisser Hinsicht als NSA-Mitarbeiter war es aber de facto auf dem Papier so gar nichtsondern es war halt eine outgesourste Firma, also wo sozusagen irgendein Teil des äh Apparats, der im Rahmen von was weiß ich, welchen Einsparungs äh Maßnahmen oder anderen Argumentationen mal privatisiert wurdeja dann aber genauso mit dem selben Sicherheitslevel und auch höherem Sicherheitslevel, wie sich ja äh wie sich's ja gezeigt hat, ausgestattet sind undim Prinzip kann man natürlich auch solche Unternehmen, die jetzt hier solche äh Abos verkaufen und Government Great Produkte anbietenäh gehören ja letzten Endes auch zu diesem Gesamtkomplex. Es ist alles nicht so eindeutig voneinander zu trennen.Ja, also die müssen nicht unbedingt,Wissen dann auch unbedingt innerhalb ihrer Government-Organisation haben, weil sie eben auf dieses Geflecht privater Unternehmen so auch setzen,und die auch speziell Dienstleistungen dafür an äh bieten, ja, so wie Waffen ja auch nicht in Eigenherstellung äh.
Linus Neumann 0:46:23
Stimmt, Herr.
Tim Pritlove 0:46:24
Sind, ne? Also, kaufst ja deine Panzer auch nicht unbedingt bei einer Behörde.
Linus Neumann 0:46:29
Nee, die kosten bei Heckler und Koch. Nee, nee, Quatsch, äh heißen ja Klauenkoch? Nee.
Tim Pritlove 0:46:35
Koch ist mehr so für so Gewirre und.
Linus Neumann 0:46:36
Genau, das und wie heißt die, wie heißt die Panzerfirma? Wollen wir jetzt auch noch nennen? Wäre ja jetzt äh.
Tim Pritlove 0:46:42
Vorbilder was falsches sagen.
Linus Neumann 0:46:46
Wie heißen die denn? Da gab's doch dieses schöne Aktion von ähm Zentrum für politische Schönheit.
Tim Pritlove 0:46:49
Laufenden Meter, ne?
Linus Neumann 0:46:52
Ich bin da leider äh wie heißen die denn?
Tim Pritlove 0:46:57
Panzer, Panz.
Linus Neumann 0:46:59
Familienclan.
Tim Pritlove 0:47:01
Also eher die S ist auf jeden Fall da auch irgendwie wahrscheinlich mit drin, ne?
Linus Neumann 0:47:05
Der Familienkahn, der den Leopard und so herstellt.
Tim Pritlove 0:47:08
Da bin ich jetzt gerade am Gucken.
Linus Neumann 0:47:10
Familie von Braunbärens. Kraus Maffei, genau, Heckler Koch, Kraus und Maffay. Krossmaffer. Der Waffekonzern Kraus Maffei, schöne Geschichte auch, ja, aber leider äh ganz weit weg von der Netzpolitik,oder vielleicht auch nicht, ja für.
Tim Pritlove 0:47:26
Cars Film machen.
Linus Neumann 0:47:28
Die Familie Braunbärens, Burkhardt von Bronbehrens, alles äh schön beleuchtet damals von einer Aktion des Zentrums für politische Schönheit, äh packe ich auch nochmal in die Links. Ähm,Jetzt haben also,dieser Freedom of Information äh Act Reque Quest, der da ausgesprochen oder der da gestellt wurde, bezog sich spezifisch auf Wuppen. Und also spezifisch auf welche Verträge hat die NSA mit wuppen?Und der ähm, wie ich gerade schon sagte, die Information, ob sie auch das das Zero-Day-Paket bestellt haben,Ähm befand sich darin nicht die, müsste man aber auch nach dem Freedom of Information Act nicht geben, weil das ja irgendwie,Relationen zur nationalen Sicherheit hat. So und jetzt meldete sich dann der,der CEO von Wuppen und fing auf Twitter anzufluchen und sagte, ha, naja, ihr habt aber keine,bezüglich der Firma,und Harris gestellt. Das finde ich verdächtig. Woraufhin ihm dann geantwortet wurde, ah na ja ähm,die kommen bestimmt bald oder warum schreibst du dir nicht einfach selber, wie reichen die für dich ein? Woraufhin ähm.Dann der äh CEO von nach einigen Tweetwechseln antwortete, alles klar, machen wir.Das heißt, dieses kleine bisschen stechen und das hat ja funktioniert eben. Tatsächlich, das hat ja auch damals,bei äh interessante Parallele. Das hat nämlich damals auch bei Cross Maffei so schön funktioniert, dass du dir du pikst dir einfach mal einen raus,und hängst den nach draußen zum Trocknen und die werden fühlen sich sofort ungerecht behandelt und zeigen mit den Fingern auf die anderen.Und das finde ich ganz schön. Das heißt, also einfach nur, um wupen, von denen es eh jeder wusste, da mal einen Tag schlechte Presse ähm zu geben, führtsofort dazu, dass der mit dem Finger auf andere, dass ihr mitm Finger auf andere zeigen und man nochmal ein paar weitere von diesen Firmen,in die in die Öffentlichkeit zerren kann. Das zeigt, wie dass diese Menschen eben sich doch,Na ja, zumindest irgendwie so ein Halbwesenverständnis dafür haben, dass das, was sie da machen, vielleicht nicht ganz so cool ist.
Tim Pritlove 0:50:03
Ja, zumindest nicht so positiv äh reflektiert wird überall.
Linus Neumann 0:50:06
Dann,In Deutschland oder in der, oh, das ist jetzt gemein, es geht um die Schweiz. Ähm in in,Europa kann man auch nicht sagen. Deutschsprachig stimmt bei der Schweiz auch nur bedingt.
Tim Pritlove 0:50:22
Die Schweiz ist in Europa.
Linus Neumann 0:50:24
Ja, aber Frankreich ja auch, mit Wuppen. Also, aus der Nummer komme ich nicht raus. Gamma, Newsoft und,haben einen in der Schweiz einen Exportantrag gestellt und wollen Überwachungssoftware nach Türkmenistan und Oman verkaufen.Haben wir, glaube ich, ausreichend behandelt. DreamLab ist eine Zulieferfirma von Gamma, die ähm,vor kurzem wohleine äh ihre gesamte Überwachungs- und Zulieferungsfirma, ihre Überwachungs- und Gamma Zulieferung sparte in eine neue Firmengründung, in eine neue Firma ausgegliedert haben, die jetzt,heißt oder Nylaps? Und ähm,gibt's, glaube ich, noch so als Zeitnote. Das kam auch jetzt, glaube ich, so in der letzten Woche dann raus, um diese Firma DreamLab gibt's ein längere,Batte, weil die ja im Rahmen der Spyfiles jetzt auch auf Wiki Leaks landete. Als Zulieferer für Gamma beziehungsweise auch mit eigenen ähm,Angriffstools ähm dann da dokumentiert war in der neuen Runde des.
Tim Pritlove 0:51:55
Aber warum, aber warum stellt denn Gamma einen Antrag in der Schweiz, die sind doch gar nicht aus der Schweiz.
Linus Neumann 0:52:00
Die sind doch überall.
Tim Pritlove 0:52:01
Meine, sie haben da auch eine Niederlass.
Linus Neumann 0:52:03
Ne, das äh gut, dass du es ansprichst. Das zeigt doch einfach mal, Gamma ist eine Gruppe. Die haben doch überall irgend so eine Briefkastenfirma. Das,doch, also gemessen an deren an deren Auftragsvolumen ist es doch eine relativ kleiner Scherz, mal eben irgendwo noch eine Briefkastenfirma zu haben. In Deutschland verkaufen sie äh als Edermann,oder verkaufen sie vermittelt durch Edermann,an äh an die Bundesregierung ihren Trojaner ähm in anderen Ländern machen sie's eben anders. Wenn ihnen jetzt die Briten damit drohen, wie wir ja schonseit einiger Zeit verfolgen, dass sie ein Exportverbot bekommen, dann verkaufen sie es halt aus der Schweiz, ist denen doch völlig egal, wir reden von,größtenteils Softwarelösungen, die sie,ja oder ja Software die sie mit bestimmter Software versehen. Die sind ja nicht wirklich an an Export gebunden, wenn sie mit ihrem Laptop, mit dem über irgendeine Grenze gehen.
Tim Pritlove 0:53:08
Beziehungsweise können jederzeit behaupten, dass es irgendwie ein lokales Produkt ist und weißer Geier, wo es nun wirklich äh.
Linus Neumann 0:53:14
Immer ein lokales Produkt und ob der das,das zeigt einfach mal auch ein ganz, dieses ganze Problem auf zu sagen, ja, wir müssen da irgendwie Exportkontrollen machen. Wenn du das ernsthaft vernünftig machen willst, dann geht's nur auf EU-Ebene. Und selbst dann äh hast du die Jungs halt als nächstes in der Schweiz sitzen.
Tim Pritlove 0:53:30
Ja gut, aber auch da muss auf jeden Fall auch mal ein Antrag gestellt werden. Also ist jetzt nicht so, dass man nicht durch äh internationale Vereinbarungen äh da nicht zumindest ähmBremse, weiß ich nicht, ob das schon die richtige Bezeichnung ist, aber zumindest so eine Entschleunigung äh in die Sache da mit reinbekommt.
Linus Neumann 0:53:46
Dein Name, da die Sprach jetzt grade auf DreamLab viel? Ähm DreamLab reagierte dann auf die,auf die Erwähnung in den damit, dass sie sagten, ja äh,wir sind froh, dass das jetzt mal rauskommt, dass wir vor ein paar Jahren an Gamma geliefert haben,denn jetzt können wir endlich mal darüber sprechen, denn eigentlich unterliegen wir ja noch diesen ein NDA mit GammaUnd ähm wir möchten dazu sagen, dass wir äh äh dass das alles diese Kooperation mit Gamma von einem ehemaligen Mitarbeiter von uns angeleiert wurde, der ähm,uns davon überzeugt hat, dass die Zusammenarbeit nicht moralisch bedenklich sei, obwohl wir das die ganze Zeit vermutet haben. Er hat außerdem jetzt die ähm,die Firma schon vor einiger Zeit verlassen und ist, weiterhin in diesem Bereich tätig, wir sind's aber nicht,Das war so ungefähr die die Äußerung von dem Niko.
Tim Pritlove 0:54:53
Von von.
Linus Neumann 0:54:55
Nikolas heißt der glaub ich Geschäftsführer von.
Tim Pritlove 0:54:59
Mhm.
Linus Neumann 0:55:02
Und kurz darauf,Erschien dann ein vom CCC veröffentlicht, ein Vorabdruck aus der Datenschleuder,in dem sich die betroffene Person beziehungsweise betroffenen Personen, die also kurze Zeit für gearbeitet haben, ähm,Dazu äußern wie es irgendwie dazu kam, dass sie,Na ja, etwas gebaut haben, das jetzt sich in der Produktpalette von Gama wiederfindet.
Tim Pritlove 0:55:38
Mhm.
Linus Neumann 0:55:40
Ist ein ganz interessanter, interessanter ähm eine ganz interessante Geschichte, mehrere Seitenweil sie auch so lang ist, wie ich sie jetzt gar nicht wirklich ähm zusammenfassen. Der Kern der Aussage istdenke ich, dass der Übergang eben sehr schleichend ist, dass du als Sicherheitsforscher an irgendeiner Demo arbeitest und ähm ehe du dich versiehst,jemand anders deine Arbeit äh an die falschen Leute verkauft.
Tim Pritlove 0:56:14
Ja offensichtlich scheint einfach diese ganze Geheimdienstverpflichtung in der äh privat äh Privatunternehmen Bereich aber auch nicht mehr jetzt so populär zu sein. Wenn man sich hier anschaut, wie die dann sozusagen alle jetzt so am ausgegründen äh,Liedern in andere Unternehmen sind und verstehst du? So, sagen ihre eigenen Brand möglichst freihalten wollen von solchen Aktivitäten. Das zeigt, dass es zumindest die Sensibilität dort äh zugenommen hat. Ich meine, wir hatten ja diese Debatte auchrund um die Ohm nicht wahr? Man hat ja gesehen, was das für Wellen geschlagen hat in der Szene. Insofern ist es sicherlich hilfreich, dass auch weiterhin,detailliert zu beobachten, um da mal so ein bisschen die Akteure vor sich herzutreiben.
Linus Neumann 0:57:00
Zumindest ruhig schlafen sollten sie nicht können.
Tim Pritlove 0:57:03
Gut. Haben wir noch was zu diesem Teil?
Linus Neumann 0:57:10
Nö, also diese, wie gesagt, diesen CCC-Bericht kann man da auf jeden Fall mal lesen für alle, die denen vielleicht diesediese Security-Branche garn gar nicht so bekannt ist und unter welchen,ja, was da so das zweischneidige Schwert der Security-Forschung sein kann und diese Erfahrung von diesem,Aussteiger bei dieser diesen beiden Aussteigern da einfach auch mal relativ schonungslos zu lesen,erst gedacht, dass das jetzt irgendwie so eine große und Hände in Unschuld waschen äh Geschichte werden würde, ist es aber nicht,relativ selbstkritisch.
Tim Pritlove 0:57:59
Ja. Ne, die, ja, das ist natürlich auch so ein wiederkehrendes äh Meme so in der Hackergeschichte,Zur Problematik, ne? Äh die Geister, die ich rief, ähm also diese diese Lust am am Spielen mit Technik und die Lust am Ausprobieren, was was geht, was was kann ich, was kann ich alles noch rauskitzeln,Das hat einfach an an vielen Stellen, aber vor allem in diesen Security-Bereich immer wieder,Momente, wo man mit Dingen und Prozessen in Berührung kommt, wo man selber sich so sagt, so, was mache ich jetzt hier eigentlich, wo man irgendwie auch mal einen Schritt,zurückgehen muss. Ich hab das.Interessanterweise hat mich das auch am Anfang so ein bisschen in diese Szene geführt so, ne, weil ich mal äh noch so als so als Miniaturprogrammierer ja, habe ich mal für so einen,Kleinanzeigen laden, so diese Erfassungssoftware gemacht, weißt du? So diese frühe Zeit,Anfang der neunziger Jahre, als die Dinge überhaupt erstmal digitalisiert wurden, beziehungsweise als vielleicht eine schon existierende Digitalisierung dann so auf PCs umzog,Und ich machte da halt so meinen Teil. Und dann kam dann irgendwann so diese Anforderungen reingeflattert. Ja und wenn die Software dann doch bitte auch nochmal feststellen könnte, dass der entsprechende Terminalbediener,zehn Minuten lang jetzt hier keine Taste mehr angefasst hat ja? Dann machen wir da noch eine Nachricht für den Administrator.Na ja so, du hattest halt so dein Terminal, wo so jemand eingeloggt war und in der zentralen Datenbank Kleinanzeigen erfasste. Aber wenn halt mal jemand zehn Minuten lang aufgehört hat, Kleinanzeigen zu erfassen.
Linus Neumann 0:59:52
Ach so ein faules Schwein, was.
Tim Pritlove 0:59:54
Arbeitet, ja?
Linus Neumann 0:59:54
Ah wenn ich arbeite.
Tim Pritlove 0:59:56
Soll doch die Software das bitte irgendwie melden.
Linus Neumann 0:59:58
Ja
Tim Pritlove 1:00:00
Das stand dann so in meiner in meiner Anforderung,ne? Und weiß nicht mehr ganz genau, ich habe das dann irgendwie implementiert. Ich weiß nicht mehr ganz genau, wie,Ähm das im Einzelnen ausging. Aber ich merkte dann halt so, dass ich dann auf einmal ein echt schlechtes Gewissen hatte, ne. Ich dachte mir so, oh Mann,Meine so ich baue jetzt hier das Werkzeug, mit dem so Leute da aus ihrem Job rausgehe,kickt werden. Ich baue jetzt hier irgendwie Überwachungssoftware und ich meine, das ist natürlich jetzt,im Maßstab von heutigen Auswirkungen, von insbesondere dem, was wir jetzt gerade besprochen haben, überhaupt gar keinen Vergleich, ne. Aber es war so,Es war so, so ein Kristallisations äh Moment, wo das wo das Thema auf einmal für mich äh ganz ganz greifbar äh wurde und ich auch,was so die Auswirkungen solche elektronischer Werkzeuge eben auch äh sein kann, ne? Und wie schnellman da auch so äh korrumpiert äh wird, sowohl als Auftrag ähnehmer als auch als Auftraggeber, weil sowas muss einem ja auch erstmal einfallen, ne. Also,Was ich nicht mehr, was ich nicht beantworten kann und damals, glaube ich, auch nicht schon nicht beantworten konnte,so diese Frage so, ja, wissen die das? Ja, sozusagen, dass sie da so 'ne, so 'ne Zeituhr mitlaufen haben oder wissen sie es nicht, ne? Aber ich hatte dann irgendwie auch die Schnauze voll und hatte ich dann auch.
Linus Neumann 1:01:28
Hast du den nicht gleich also du hättest den ja gleichzeitig ein ähm Programm schreiben können, was alles spätestens alle zehn Minuten schnell eine Taste drückt. Somit hättest du das jetzt ja gut verkaufen können innerhalb der Firma.
Tim Pritlove 1:01:41
Wie gesagt, ich.
Linus Neumann 1:01:42
Der Ansatz, den viele Verfahren, den viele Fahnen.
Tim Pritlove 1:01:44
Ich erinnere mich jetzt auch echt nicht mehr, in welchen Zustand ich denn die Software letztlich übergeben habe. Ich habe so ein bisschen meine Zweifel, dass das äh dieses Feature so jemals wirklich äh,funktioniert hat, aber ich erinnere mich einfach nur noch daran, dass es mich einfach verstört hat. So und dass das nicht wollte. Ja. Und dass das.
Linus Neumann 1:02:04
Das ist halt, ja, das ist.
Tim Pritlove 1:02:05
Auch durch war so, also wollte ich dann nichts mehr mit zu tun haben mit so einem Kack.
Linus Neumann 1:02:09
Und jetzt stell dir das vor im im Bereich irgendwie na Sicherheitslücke, die irgendwie,ganze Menge Computer betrifft. Und die Sicherheitsbegriffe, um die es da geht, vielleicht kann man ja noch kurz erzählen. Gerade weil das nicht so gut beschrieben ist in dem in dem in dem CCC-Artikel da selber,Es gibt eine Technik, die sich DMA nennt. Direct Memory Excess,und insbesondere bei Firewire eine Rolle spielt.
Tim Pritlove 1:02:41
Ja, Feuer war ja all diese ganz.
Linus Neumann 1:02:44
PC, MCIA.
Tim Pritlove 1:02:46
Alle modernen, schnell Hochleistungsgeschwindigkeitsschnittstellen sorgen.
Linus Neumann 1:02:50
Genau. Und der Trick dabei ist, dass die Schnittstelle eigentlich direkt in den Ram schreiben kann, ne?Und in dem Rahmen steht ja unter Umständen auch die Informationen drin, die der Computer braucht, wenn er sich mit einem Passwort abschließt gegen seinen Benutzer,dann muss der Computer ja im Arbeitsspeicher stehen haben was,zu tun ist, um sich zu öffnen oder was welche Prüfung er durchführen muss, wenn ein Passwort eingegeben wurde,In dem Ramm steht unter Umständen dann auch drin, wie das,wie der Schlüssel ist zu der verschlüsselten Festplatte, die der Computer zu dem Zeitpunkt noch hat. Also im Rahmen stehen so allerlei Dinge drin, die für einen Angreifer.
Tim Pritlove 1:03:38
Steht einfach alles drin. Ja und wenn die Technologie halt nicht sicherstellt, dass Zugriff auf äh Bereiche, auf die man besser keinen Zugriff haben sollte, dann auch verhindert wird, dann ist halt das Problem, dass die Kiste an der Stelle wirklich offen ist.
Linus Neumann 1:03:51
Das Tool, was da also gebaut wurde, ist ein äh genaudieser Angriffsweg, dass man einen Fire Wirekabel an den Opferrechner steckt und daraufhin dann alle ähmPasswortsperren einfach umgangen, sind man Zugriff auf den Rechner, um dann den äh Finn Fischer zu installieren.Das Produkt heißt äh Fin Fireway, das ist das Produkt, was da entwickelt wurde. Und das besonders Ärgerliche daran ist eben, dass die Schwäche,sicher in der Hardware selber verbirgt, das heißt, die ist auch nicht, der ist auch nicht beizukommen.Die lässt sich nicht äh abschalten, es sei denn, man äh deaktiviert den äh Firewei-up äh Port seines Rechners und das schöne Beispiel war dann immer, dass die,ganzen die ja dann betroffen sind, weil's insbesondere natürlich sich auch auf Windows richtete. Die haben ja dann immer noch den äh PCI Express Slot und den muss das auch noch mitdeaktivieren, weil dafür gab's wieder Karten, die man reinstecken konnte und so. Ja und so wird man dann eben,durch kleine Spielereien. Hör mal, könnte klappt das eigentlich auch unter Windows achtundneunzig? Bei Mac müsste das doch eigentlich auch gehen. Äh und wie ist eigentlich mit Linox und Volldiskription, ja, dass man da irgendwie mit fünf Nachfragen auf einmal eine,eine Waffe geschaffen hat für die halt ja der die Menschheit dann ausgeliefert ist.
Tim Pritlove 1:05:22
So Linus, jetzt machen wir hier mal äh den Sack zu.
Linus Neumann 1:05:28
Werbung für Bundesradio.
Tim Pritlove 1:05:31
Genau, wir machen Bundesradio jetzt am Sonntag, am Wahlsonntag,ja aber du bist bestimmt auch da und gibst Autogramme,beziehungsweise nutzt die Gelegenheit, dass man dir mal wieder ein Bier ausgeben kann.
Linus Neumann 1:05:47
Ich komme vorbei. Ja, also ich komme vorbei, auf jeden Fall, klar.
Tim Pritlove 1:05:49
Genau. Äh im Aufbauhaus am Moritzplatz.
Linus Neumann 1:05:55
In Krutschpark.
Tim Pritlove 1:05:56
Kruzberg, genau, Berlin, Rutschberg, unweit des Bieterhauses und ja, da gibt's irgendwie Bar und Tam Tam und äh ab fünfzehn Uhr ist da auch irgendwie offen,sechzehn Uhr legen wir da los und dann machen wir da irgendwie,Wahlbegleitung und schauen mal wie das wird, da gibt's noch diverse Unwegbarkeiten, da müssen wir jetzt noch ein bisschen arbeiten, wie das so ist und ansonsten,Was steht noch so an? Derzeit ist eigentlich gar nichts groß im Kommen.
Linus Neumann 1:06:29
Twitter schon wieder hin. Ähm es kommt, warte mal, gibt es Upcoming, große Events.Bundestagswahl fällt mir gerade ein, ja, aber also Bundesradio ist natürlich das größere Event und im Rahmen des Bundesradio wird.
Tim Pritlove 1:06:48
Wurde dann auch eine Wahl veranstaltet.
Linus Neumann 1:06:50
Wird noch eine Bundestagswahl. Am Ende gibt's eine Tombola.
Tim Pritlove 1:06:53
Genau, wir losen das dann aus. Gut, wir bedanken uns äh für die Aufmerksamkeit und äh hoffen, ihr hattet Spaß mit uns,so wie wir hier Spaß miteinander hatten. Trotz allem, ne? Bis bald, tschüss.
Linus Neumann 1:07:07
Ja. Trotz alledem ciao, ciao.
Verwandte Episoden
Shownotes
Vielleicht 2, vielleicht mehr oder weniger, vielleicht 864
- Geheimdienstzusammenarbeit: Wenn tatsächliche Anhaltspunkte den Verdacht rechtfertigen, dass die Bundesregierung etwas verbirgt
- Brasilien wehrt sich gegen US amerikanische Überwachung durch eigene Dienste, Server und Unterseekabel
- Zusammenarbeit mit der NSA: Verfassungsschutz hat im letzten Jahr 864 Datensätze übermittelt, Pofalla sagte zwei
- NSA: Nun auch geheimdienstliches Abkommen mit Israel zum Datentausch
NSA – Datenschützer
- US-Geheimgericht: Verbindungsdaten sind nicht Teil der Privatsphäre
- Vier-Punkte-Plan der US-Regierung
- Stellenanzeige: Datenschützer bei der NSA
- Torsten Kleinz: NSA sucht Datenschützer
Backdoors in Open-Source-Software
- Allegations regarding OpenBSD IPSEC
- So, Linus Torvalds: Did US spooks demand a backdoor in Linux? ‚Yes‘
- The International Obfuscated C Code Contest
Spionage und der „private Sektor“
- FOIAR our competitors, please!
- Pressemitteilung
- Exportanträge gestellt
- In-Depth Binary Analysis and Exploit
- Offensive Security
- NSA kaufte Exploits bei französischer Sicherheitsfirma VUPEN ein
Epilog
