LNP253 Hey Siri! Lösch Dich!

Feedback — Polizeiaufgabengesetz — Facebook Fake News — Twitter und Cambridge Analytica — Password Logging — BGH zu Urheberrecht — .eu Domains

Weniger Wochen vor unserer großen Gala mit vielen Gästen und aufregendem Begleitprogramm haben wir uns zum Test schon mal auf die kleine Bühne gewagt und unsere aktuelle Folge im Rahmen der GPN 18 in Karlsruhe aufgenommen. Vielen Dank an alle Teilnehmer, die gekommen und auch aktiv an der Sendung teilgenommen haben. Wir greifen noch mal ein paar Themen der letzten Sendung auf und haben sogar eine gute Nachricht im Programm.

Dauer: 1:14:14

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Bitcoin Icon Liberapay Icon Amazon Wishlist Icon

Prolog

Großdemo gegen bayrisches Polizeiaufgabengesetz

Facebook Fake News Nudging wird geändert

Auch Twitter dealte mit Cambridge Analytica

Twitter und GitHub haben Passwörter geloggt

Gesichtserkennung mit Rekordfehlerrate von 92%

BGH soll entscheiden, ob YouTube für Urheberrechtsverletzungen haftet

Digitalcourage abgemahnt

EU-Domains auch für Briten und restliche Welt

Termine

Und hier ist die Aufzeichnung mit Bild:

29 Gedanken zu „LNP253 Hey Siri! Lösch Dich!

  1. Hey Linus,
    du argumentierst, dass man auch einstecken können muss, wenn man austeilt. Da hast du recht, aber findest du nicht, dass es einen Unterschied macht ob ich einen Youtubekanal mit 20k Abos betreibe und darüber austeile oder ob ich das in einer Kooperation von ARD und ZDF vor einem potentiellen Millionenpublikum tue?

    Der Verweis auf den Drachenlord unterstreicht nochmal recht gut, dass du scheinbar wirklich nur die halbe Stunde des Statements investiert hast um dir deine Meinung zu bilden. Vielleicht habe ich dich falsch verstanden, aber bei dir klingt es als wären die beiden dafür verantwortlich, dass Menschen zum Drachenlord pilgern. Ich möchte betonen, dass man Imp und Dorian bei diesem Thema durchaus zurecht kritisiert.

    Dennoch scheint dir nicht klar zu sein, dass er es selbst war der seinen vollen Namen + Adresse genannt hat, der die Menschen bei verschiedenen Gelegenheiten eingeladen hat (sowohl um sich zu prügeln als auch für “Fanevents”), der Frauen zu Nacktfotos und Sex zu erpressen versuchte, sagte dass der Holocaust “ja ne nice Sache war” und seine 2 Hamster und ein Pferd hat verhungern lassen. Deshalb sind so viele Menschen dorthin und nicht wegen Imp und Dorian. Imp z.B. hatte zu “Drachengame” Zeiten quasi keine Bedeutung.

    Man kann diesen Mikrokomos und dessen Aktionen pubertär finden, man kann Imp und Dorian dämlich finden, aber das rechtfertigt doch nicht, dass man (und damit meine ich jetzt Rayk Anders und nicht euch) seine journalistische Sorgfaltspflicht vernachlässigt.

    Schau dir doch einfach mal eine Folge “Lösch dich!” an und du wirst merken, dass das zwar durchaus zweifelhafter Humor ist, aber rein inhaltlich gut recherchiert oder zumindest diskutabel. Es gab insgesamt 4 Folgen und sogar 2 der von ihnen durch den Kakao gezogenen Menschen haben sich für sie in die Bresche geworfen, weil sie es unfair fanden wie die beiden dargestellt wurden.

    Also ich verstehe, wenn man seine Zeit nicht darauf verwenden möchte, weil es kindisch und assi ist, aber das sollte man vielleicht doch, wenn man sich öffentlich dazu äußern und sein Urteil fällen will.
    Übrigens hat sich Rayk Anders im Anschluss nicht mit der Kritik auseinander setzen wollen. Stattdessen hat er den echten Nazis von Reconquista Germanica ein Interview gegeben, in dem er dann plötzlich von “Hurensöhnen” und “Drecksfotzen” redet und sich beschwert, dass es zu wenig Abschiebungen gäbe. Bedenkt das vielleicht, bevor ihr erwägt wieder mit ihm zusammen zu arbeiten.

    • Zum Thema „‚Have I been pwned‘ ist vertrauenswürdig. Da kannst du deine E-Mail-Adresse eingeben.“: Man muss sich zusätzlich fragen, ob Cloudflare vertrauenswürdig ist.

  2. Zu dem ob Passwörter direkt auf den Server übertragen werden sollen.

    Eine Methode wie das nicht direkt passiert ist: Das Passwort wird Clientseitig gehasht und dann übertragen. Der Server Hasht den Clienthash nochmal und speichert ihn so ab.

    Wenn jetzt der Server die eingaben mitlogggt kann man sich zwar wieder selbst anmelden indem man einfach auf Clientseite das Hashing abschaltet. Jedoch haben User die das selbe Passwort öfters verwenden keine sorge das ihr orginal Passwort geleaked wurde.

    • Stimmt,
      ein Angreifer hat dann nur den Hash, der ja aussreichend ist um sich bei allen anderen Seiten anzumelden, bei denen man das selbe Passwort verwendet hat.
      – Merkse selber, oder?

      PS: Wenn Du jetzt salting in die Runde wirfst sei gesagt: ob man Hash oder Passwort “salted” ist das selbe, dann hat man nämlich unterschiedliche Hashes bzw. Passworte.

  3. Das was auf Youtube an Trolling abgeht, ist leider nur die Spitze des Eisbergs. Der Haupttummelplatz dieser Klientel ist Younow, da wird einem wirklich schlecht.

  4. Zu der Passwortübertragungsdiskussion bei Minute 45:

    Tim meint wahrscheinlich die Methode Augmented Password-authenticated Key Exchange (augmented PAKE) bei der das Passwort tatsächlich nicht vom Nutzer übertragen wird. Ein Beispiel für die Implementierung wäre das SRP Protokoll.

    https://en.wikipedia.org/wiki/Secure_Remote_Password_protocol

    Grob gesagt werden bei SRP Passwort + Salt vom Client gehasht und als Teil eines private Schlüssels für einen Diffie-Hellman Schlüsselaustausch verwendet. Der private Schlüssel ist bei legitimer Anmeldung beiden Parteien bekannt (dem Server als gespeicherter Hashwert, dem Client durch Erzeugung des Hashwerts aus dem korrekten Passwort). Zur Authentifizierung sendet der Server dem Client einen zufälligen Wert. Der Client verschlüsselt diesen Wert mit dem privaten Schlüssel und sendet das Ergebnis an den Server zurück. Der Server verschlüsselt ebenfalls den Wert den er versendet hat und vergleicht ihn mit dem vom Client erhaltenen Ergebnis. Sind die Werte gleich, ist die Authentifizierung erfolgreich.

    Habe einige Details ausgelassen, aber das Prinzip sollte klar sein. Das ganze funktioniert natürlich auch in Zusammenspiel mit TLS und ist als TLS-SRP standardisiert.

    https://en.wikipedia.org/wiki/TLS-SRP

  5. Guten Morgen Tim und Linux,

    vielen Dank, daß ihr am Wochenende mit LNP in Karlsruhe vorbeigekommen seid!

    Heute habe mal eine Hörerfrage, vielleicht könnt ihr in einer der nächsten Sendungen mal auf folgendes eingehen: Über viele Jahre hinweg hat sich Microsoft und andere geweigert, den US Behörden Daten zu übergeben, die auf Servern im Ausland liegen. Das Thema scheint sich jedoch jetzt erledigt zu haben, denn es wurde ja nun in den USA ein Gesetz mal schnell durchgesetzt, dass US Firmen und (z.B. deutsche) Firmen die in den USA tätig sind, auch Daten auszuliefern, die im Ausland lagern. Was mich erstaunt war, dass das mal kurz ne Randnotiz in der Presse war und das wars dann. Aber was hat das denn jetzt für Auswirkungen? Wie müssen denn US Behörden jetzt nachweisen, dass die Daten einer Person oder Firma die sie haben wollen, tatsächlich US bezug haben, sprich die Leute oder Firmen sind in den USA? Braucht man da eine richterliche Genehmigung? Und was hält jetzt andere Ländern wie China oder GB usw. davon ab, auch so ein Gesetz zu machen und dann fröhlich Daten aus aller Welt abzusaugen? Oder habe ich da was falsch verstanden?

    Viele Grüße,
    Martin

  6. Nicht nur Siri und Alexa horchen, sondern zum Beispiel Mobiltelefone. Mit einer Bekannten unterhielt ich mich am Festnetztelefon, Irgendwann muss ich “OK” im Gespräch gesagt haben, Und mein Mobiltelefon (Nexus 6P mit Android 8.1.0) schrieb den Text in die Google Suchleiste.
    Manche kleben die Webcam am Notebook oder Desktop ab, aber die Kamera am Mobiltelefon bleibt offen. Das Mikrofon am Mobiltelefon abzukleben, macht wenig Sinn.
    Kann man “OK, Google” eigentlich abschalten? Ich fand leider keine Anleitung und bin für Hinweise dankbar.

  7. zum Thema Passwortmanager:
    ich persönlich finde, dass es auch sehr gute Gründe gibt, diese NICHT zu benutzen.
    Ich sehe durchaus viele Gründe pro Passwortmanager. aber eben auch viele dagegen, die ich hier mal kurz stichwortartig aufschreiben möchte. Manche der Punkte treffen natürlich nur auf bestimmte Szenarien/Passwortmanager zu.

    1. Fall: Benutzung eines Online Passwortmanagers /Cloud Passwortmanager mit Smartphoneapp/ Passwortmanager in Browsern und was es da sonst noch für erdenkliche Kombinationen gibt:
    Die Tatsache dass diese Programme existieren, muss für Hacker/Innen ein gefundenes Fressen sein. Was gibt es interessanteres, als die (zudem noch außerordentlich schlecht gesicherten, wie ihr ja auch schon mal erwähnt habt) Passwörter aus Firefox oder einem anderen Browser auszulesen?
    Es gibt aber ja auch Webdienste, evtl. verbunden mit SmartphoneApp, die Passwortmanager anbieten. Das ist natürlich cool, weil man dann von Computer/Handy/Tablet überall auf seine Passwörter zugreifen kann. Nur dann kombiniere ich ja auch noch die Sicherheitslücken meines fiktiven nicht geupdateten Handys mit denen meines fiktiven Windowsrechners/Browsers, …
    Es ist sicher lohnend, so ein Online Passwortmanager zu hacken und dann gleich die Passwörter tausender Kundinnen/Kunden serviert zu bekommen. Bei LastPass, einem Onlinepasswortmanager scheint ja genau dies 2016 passiert zu sein (https://thehackernews.com/2016/07/lastpass-password-manager.html).
    Der Vorteil von Papier ist eben, dass dieses nur physisch zugänglich ist. Die Wahrscheinlichkeit, dass sich jemand für meine persönlichen Passwörter interessiert schätze ich als gering ein. D.h. ich glaube nicht, dass jemand wegen meines Passwortbuchs bei mir einbricht (viel Aufwand, wenig Ausbeute). Die Passwörter tausender NutzerInnen eines Passwortmanagers sind dagegen deutlich interessanter. (auch Aufwand, deutlich mehr Ausbeute)
    Vor allem bei Nicht-Open-Source Varianten weiß der Anwender/die Anwenderin ja überhaupt nicht, WIE die Passwörter abgespeichert und verschlüsselt werden.

    2. Falls man die Passwörter nicht online, sondern offline speichert: wenn ich mal nicht an meinem Laptop bin, hab ich auch meine Passwörter nicht :(. Ok, ich könnte die ganze Database immer auf einem USB Stick mit mir rumtragen, aber meine Freunde freuen sich erfahrungsgemäß riesig, wenn ich erst mal KeepassX o.ä. bei ihnen installiere, bevor ich mich in ein Portal der Wahl einloggen kann. Da ist so ein Stück Papier deutlich dankbarer.
    Falls ich aus irgendeinem Grund Malware auf meinem Laptop haben sollte, kenne ich auch keinen Grund, warum diese dann nicht sofort alle Passwörter (häufig und selten benutzte) aus meinem Passwortmanager auslesen sollte. Ich entschlüssle ja quasi in jeder Sitzung einmal die Passwortdatenbank und da würde sich eine findige Malware sicher mal umschauen. Für Keepass gab/gibt es z.B. KeeFarce. https://github.com/denandz/KeeFarce (ok, auch hier kann man sich ja recht einfach schützen, aber einfach die Tatsache ist ja schon mal interessant). Einen Papierzettel kann die Malware schlecht auslesen, sodass es viel länger dauern würde, bis alle meine Passwörter geloggt sind.

    Hier könnte man sagen, dass es vllt hilfreicher ist, „eigene“ Konstrukte zu bauen (z.B. Textdatei mit sinnvoller Verschlüsselung), statt bekannte und häufig verwendete Passwortmanager zu benutzen, die dann gezielt ausgelesen werden. Aber auch die müssen mal entschlüsselt werden und wer weiß, ob nicht einfach der Zwischenspeicher ausgelesen wird.
    Bei offline Passwörtern kommt auch noch der Punkt mit dem regelmäßigen Backup ins Spiel. Wer das nicht tut und dann der Computer stirbt – tja, pecht gehabt, Passwörter weg. Natürlich solltem man aber auch nicht den Passwortzettel verlieren, je nach Persönlichkeit passiert dies aber deutlich seltener als dass man mal wieder den Computer zerschießt.

    Aus den oben genannten Gründen, habe ich mich eben GEGEN einen Passwortmanager entschieden.

    Persönlich sind bei mir nur “unwichtige” Passwörter bei KeepassX gespeichert, natürlich mit Sicherung auf externer Festplatte. Alle anderen Passwörter (lauter verschiedene!) finden sich auf einem old-school Papier.

    Oh, das ist jetzt echt lang geworden.

  8. Hallo ihr beiden,

    vielen Dank für eine weitere informative Folge und für die 252 anderen auch. Linus, ich wollte fragen ob es vielleicht möglich wäre, wenn der Tim das nächste Mal beim Thema Brexit ein bisschen ernster wird, das Thema nicht sofort durch eine Verspottung der Briten abzubrechen („aber ihre EU-Domains dürfen sie immerhin behalten“ oder so ähnlich), sondern vielleicht Tim ein bisschen mehr Raum für seine Gedanken zu geben. Das ist jetzt schon ein paar mal vorgekommen und ich fand es ein bisschen schade. Es dürfte mittlerweile wohl allen HörerInnen klar sein, dass du (als vermutlich nicht Betroffener?) das ganze unter dem Aspekt siehst „die Suppe haben die Briten sich selbst eingebrockt, dann sollen sie sie halt auch auslöffeln“. Das ist dein gutes Recht und das sehen ja auch viele in Deutschland so. Aber für viele, die wie ich als EU-Bürger in Großbritannien leben und für viele Briten, deren Partner, Eltern oder Freunde nicht-britische EU-Bürger sind, ist das Thema leider alles andere als lustig. Viele wissen nämlich nicht, ob sie z.B. in zwei-drei Jahren noch im Land bleiben dürfen, wenn sie mal kurzfristig arbeitslos sind. Nochmal gar nicht davon zu sprechen, wo Kranken- und AltenpflegerInnen und Forschungsgelder in Zukunft herkommen sollen. Gleichzeitig kommt im Land kein realistischer Diskurs über die Brexitfolgen zustande, die Presse polarisiert extrem (Daily Mail, Sun) und die Politiker beider großen Parteien sind völlig mit dem Thema überfordert. Mich würde interessieren, was Tim dazu zu sagen hat, auch, aber nicht nur aus netzpolitischer Perspektive. Vielleicht könnte man ja auch mal eine Sondersendung zu dem Thema machen, wenn das andere auch interessiert.

    Danke für eure Aufmerksamkeit und ansonsten bitte weiter so!

  9. Beim opus-Stream gibt es Probleme mit den Kapitelmarken. Ich kann leider nicht immer alle Kapitel in antennapod anwaehlen. Das Anwaehlen eines Kapitels startet dann die Datei von vorne.

  10. Ein paar Anmerkungen:
    * Passwortübertragung:
    Das diskutierte Szenario war, was passiert, wenn der Client das Passwort im Browser hasht und es bei der Übertragung zum Server abgefangen wird.
    Zum einen gibt es da den Fall, dass der Angreifer die gesamte Verbindung und somit den Webseiteninhalt unter Kontrolle hat. Dann macht er mit der Passworteingabe vor dem Hashing was er möchte und man hat immer verloren.
    Wenn der Angreifer nur mithören (aber nichts verändern) kann, dann lässt es sich lösen, indem der Server dem Client etwas zufälliges (aber jedes mal unterschiedliches) zum kryptografischen Verrechnen sendet. Dann hängt es von dem Verfahren für das Verrechnen ab, ob der Angreifer etwas mit der Übertragenen Information anfangen kann, also z.B. auf das Passwort kommen durch Brute-Force.
    Generell nennt man das https://de.wikipedia.org/wiki/Challenge-Response-Authentifizierung und geht in eine ähnlich Richtung wie SRP wie oben im Kommentar bereits erwähnt.
    * EU-Domains:
    Der Vorschlag ist nicht, dass einfach “alle” Personen EU Domains bekommen können, sondern dass Personen/Unternehmen des EWR (vorher EU) eine Domain bekommen, auch wenn sie wo anders wohnen (vorher mussten sie in der EU wohnen).
    * Urheberrechtsdatenbank:
    Ein großes Problem (abgesehen vom Lobbying) sind internationale Abkommen, welche bestimmte Vorgaben machen, wie die Länder mit Urherberrecht (mindestens) umgehen müssen.
    https://de.wikipedia.org/wiki/Berner_%C3%9Cbereinkunft_zum_Schutz_von_Werken_der_Literatur_und_Kunst
    https://de.wikipedia.org/wiki/Welturheberrechtsabkommen
    Würde ein Land sich anders entscheiden könnte das auch auf andere Abkommen und Handelsbeziehungen Auswirkungen haben.
    Tatsächlich hatten die USA früher ein Registrierungssystem und die Pflicht eine “Copyright” Notiz an’s Werk zu heften. Mittlerweile ist das nicht mehr “notwendig”, wird aber immer noch gemacht für mehr “rechtssicherheit”.
    Ähnlich ist es mit dem “Zurückdrehen” der Schutzjahre, wo es auch Mindestwerte in den Abkommen gibt. Mehr geht immer, aber runterdrehen ist “problematisch”, schließlich würde man damit den Urheber “enteignen”. (Eigentlich müsste man analog Urheberrechtsschutz als Enteignung der Öffentlichen Sphäre bezeichnen.)
    Ein großer Vorteil einer Urheberrechtsdatenbank wäre jedoch, dass man die Werke auch gleich hinterlegen kann und damit ein wirklich umfassendes Prüfsystem erstellen könnte und dass man kein Problem mit “verwaisten” Werken hat, von denen man nicht weiß, wer der Urheber ist und wann er verstorben ist.
    Nur ist das Zurückdrehen des Schutzes schwierig. Vielleicht, wenn auf EU Ebene ein neues Gesetz erstellt wird und gleichzeitig alle Abkommen angepasst werden.

    • Huhu,
      ich wollte hier einmal zu der im Stream angesprochenen Urheberrechtsdatenbank etwas sagen, und dachte mir, ich hänge das gleich hier an.
      Mein erster Gedanke bei dem Thema war der Aufwand, der dafür betrieben werden müsste. Auch wenn es wahrscheinlich billiger ist als vor 30, 40 Jahren, so ein Verzeichnis anzulegen, muss man trotzdem mit Mehrkosten rechnen, und wahrscheinlich auch mit einer Gebühr, dort Dinge eintragen zu lassen. Selbst wenn die nur bei 1€ liegen sollte, läppert sich das. Für mich als Künstlerin, und bestimmt für viele andere, wären diese Mehrkosten sehr umständlich. Ganz zu schweigen von Kindern und Jugendlichen, die nicht wollen, dass andere ihre Sachen benutzen, aber deren Taschengeld dann nur für so und so viele Bilder reicht.
      Und was passiert mit den Werken, die nicht dort eingetragen sind? Genießen die kein Urheberrecht, oder nur eingeschränktes? Wie sieht das dann aus? Ist das überhaupt mit den Menschenrechten vereinbar?

      Das sind alles nur Gedanken einer Person, die sich normalerweise nicht sehr damit beschäftigt – deswegen kann ich nicht so viel (qualifiziertes) wie mein Vorkommentator schreiben. Aber vor allem das mit dem Aufwand und der Frage “Wer bezahlt?” sehe ich halt ziemlich kritisch.

  11. Wie funktioniert das mit der von Linus erwähnten Zertifikat basierten Authentifizierung für die Anmeldung von Nutzern auf Webseiten?

  12. Aus Laiensicht stelle ich mir zum Thema Passwortmanager zwei Fragen:

    Ist ein Passwortmanager nicht ein riesiges Sicherheitsrisiko?

    Wie greife ich auf meine Passwörter zu, wenn ich nicht an meinem Rechner sitze?

  13. Hat jemand Empfehlungen für Passwort-Manager? Ich kenne den Test der “Stiftung-Warentest”, aber ich traue deren Expertise nicht. Vielen Dank.

  14. Zu Siri u.ä.: Natürlich haben Siri, Alexa und “OK Google” ihre Probleme. Aber diese ganzen Assistenz-Systeme machen oft die Nutzung für Leute mit Einschränkungen überhaupt erst möglich. Ich selbst habe motorische Probleme und nutze gerne die Sprach- oder Diktatfunktionen. Videotelefonie für Gehörlose oder sprachgesteuerte Fußgängernavigation für Blinde, digitale Pflege und Gesundheitsversorgung. Abfallprodukte der Mainstream-Entwicklung können halt oft Randgruppen helfen.

  15. Pingback: Brexit Updates – Mein Europa

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich akzeptiere

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.