Hatori Kibble

Jo eh…

Posts Tagged ‘sigint

#sigint Tag 3: Und aus!

leave a comment »

Aus diversen Gründen wird die SIGINT-Reihe erst heute abgeschlossen, so viel war am letzten Tag aber eh nicht mehr los.

In „How to wiretap the Cloud without anybody noticing“ ging es noch einmal um die Überwachung durch die amerikanischen Geheimdienste, speziell um die erweiterten Befugnisse des 2008 verabschiedeten Foreign Intelligence Surveillance Amendment Act (FISAA). Problematisch ist, dass der 4. Zusatzartikel zur Verfassung nicht für Nicht-US Bürger auf Nicht-US-Territorium gilt. Außerdem ist „foreign intelligence information“ sehr vage definiert, so dass es keine wirklichen rechtlichen Schranken gegen die Überwachung des Internetverkehrs gibt.

Betroffen sind natürlich auch die ganzen Clouddienste mit US-amerikanischen Anbietern. In den einschlägigen Wirtschaftsstudien wurde immer auf die vergleichsweise strengen Datenschutzbestimmungen in den USA hingewiesen, aber nicht darauf, dass diese unter FISAA ja nicht für AusländerInnen gelten.

Ein anderer geschilderter Fall hatte sogar noch einen kleinen bibliothekarischen Bezug: die NSA holt sich direkt bei einem grossen Telefonanbieter Verbindungsdaten und beruft sich dabei auf die sogenannte „library records provision“ des PATRIOT Acts.

kleine SIGINT Souvenirs

kleine SIGINT Souvenirs

Der letzte Vortrag für mich auf der SIGINT hatte dann wieder ein ganz anderes Thema: „Besser leben für Geeks“. Hier wurde „hacken“ wiedermal etwas breiter definiert, es ging darum wie man auch bei Koffeinkonsum, Ernährung, Schlafhygiene und Drogenkonsum rational und wissensbasiert Stellschrauben findet an denen man drehen kann. So die bahnbrechenden Erleuchtungen kamen mir da jetzt nicht, aber der selbe Vortrag wurde auch auf der re:publica gehalten, man kann sich das also bequem über Youtube ansehen.

Apropos Video: natürlich werden auch die SIGINT Vorträge online über den CCC verfügbar sein. Im Moment sind da nur die Präsentation vom letzten Jahr (allerdings auch sehr empfehlenswert!), die neuen werden sicher in der nächsten Zeit auftauchen.

Und noch ein paar Lieblingstweets zur Tagung:

https://twitter.com/_Rya_/status/353805414514696192

So damit endet die kleine SIGINT-Phase diese Blogs und wir kehren wieder zum normalen Programm zurück…

Written by Peter

Juli 10, 2013 at 10:30 pm

Veröffentlicht in Konferenzen

Tagged with , ,

#sigint Tag 3: Ach Verdi! und: ArchiveTeam to the rescue!

with 4 comments

Diesmal hatte ich es geschafft halbwegs früh aufzustehen, um den Vortrag „Gute Arbeit“ eines ver.di Gewerkschaftssekretärs anzuhören. Eigentlich fand ich es ja gut, dass ver.di auf der SIGINT auftaucht. Gerade im IT-Bereich gibt es ja eine Menge an Themen, bei denen gewerkschaftliche Unterstützung notwendig wäre (flexibilisierte Arbeitszeiten, „Spaß am Gerät“ vs. Selbstausbeutung, „Bring your own device“, das Elend der Befristungen, etc). Leider war davon in der Präsentation keine Rede, der selbe Vortrag hätte auch auch bei so ziemlich jeder anderen Berufsgruppe gehalten werden können. Anfangs wurde lang und breit wurde über die Palette der politischen Ziele von ver.di gesprochen (ohne aber eben auf das spezifische Publikum einzugehen), später kamen dann zwar etwas praktischere Themen (wie entsteht ein Tarifvertrag, was muss in einem Arbeitsvertrag stehen). Auch die wurden aber eher auf der grundsätzlichen Ebene abgehandelt, statt mit praktischen branchenrelevanten Beispielen zu arbeiten.

Im nächsten Vortrag ging es dann um ein Stück Internetgeschichte: in „One Terabyte of Kilobyte Age“ hatte sich Dragan Espenschied mit GeoCities beschäftigt. Dieser Dienst wurde zwar 2009 eingestellt, aber das Archiveteam hat es geschafft die Inhalte rechtzeitig zu sichern und damit zu erhalten.

GeoCities ist deshalb so wichtig, weil es ein Stück Amateurnetzkultur dokumentiert, das es so heute nicht mehr gibt. Es ist zwar einfach, sich über die schlecht animierten GIFs und knalligen Farben lustig zu machen, aber diese privaten Amateurhomepages waren eine völlig neue Art seine Persönlichkeit auszudrücken und erstmals die „neuen Medien“ aktiv zu nutzen. Die sozialen Netzwerke die danach kamen sind viel stromlinienförmiger, datenbankbasiert. Man füllt eigentlich nur Felder innerhalb einer vorgegebenen Struktur aus.

In dem vorgestellten Projekt wurde jetzt der Torrent mit den GeoCities-Inhalten heruntergeladen (da die gesamten Daten 1 Terabyte groß sind und nicht immer irgendwer den Torrent seeded, hat das 5 Monate gedauert) und ein System aus einem virtualisiertem Netscape Navigator 4.08 und einem Proxyserver aufgebaut um die Seiten anschauen zu können. Gleichzeitig gibt es eine Schnittstelle zu Tumblr und so wird auf „One Terabyte of Kilobyte Age Photo Op“ alle 20 Minuten ein Screenshot online gestellt. Die Seiten werden da in chronologischer Reihenfolge gepostet, im Moment ist der Blog bei 1998, also so richtig schön zum nostalgisch werden…

Written by Peter

Juli 7, 2013 at 7:35 pm

Veröffentlicht in Konferenzen

Tagged with , , , , ,

#sigint Tag 2: ein Pull-Request aufs Grundgesetz

leave a comment »

Der letzte Vortrag für mich an diesem Abend war: „DocPatch: Entdecke unsere Verfassung“. Der Chaospott hat da dem deutschen Grundgesetz ein besonderes Geburtstagsgeschenk zum 64. gemacht: eine Publikation als offene, versionierte Plattform, mit der sich sämtliche Änderungsanträge von 1949 bis heute nachvollziehen lassen. Entweder als Diff oder schön visualisiert als Zeitleiste.

Quellen waren dabei die Bundesgesetzblätter und diverse Publikationen des wissenschaftlichen Dienst des Bundestags und natürlich musste viel Arbeit investiert werden, um aus den Dokumenten eine maschinenlesbare Variante zu erstellen.

Diese Rohdaten liegen jetzt auch im Markdown-Format in einem GitHub-Repository (schon wieder ein ungewöhnlicher GitHub-Anwendungsfall..) und können somit von anderen nachgenutzt werden.

Auch die Software, die für dieses Projekt entwickelt wurde – „DocPatch“ kann frei nachgenutzt werden.

Bei den restlichen Gesetzen auf Bundesebene gibt es übrigens auch ein Open-Data Projekt: BundesGit.

Written by Peter

Juli 7, 2013 at 3:02 pm

Veröffentlicht in Konferenzen

Tagged with , , ,

#sigint Tag 2: „Hallo Steffi“ ist das Passwort…

leave a comment »

Weiter ging es heute mit einem kleinen Überwachungsblock. In „Pressfreedom, Surveillance and International Campaigning“ erzählte Hauke Gierow etwas über die Arbeit von „Reporter ohne Grenzen“. Die Organisation setzt sich für Informationsfreiheit ein und veröffentlicht und übersetzt z.B.: zensierte Artikel.

JournalistInnen sind aber auch bevorzugtes Ziel für Überwachungsmaßnahmen. 2013 hat „Reporter ohne Grenzen“ „The Enemies of the Internet“ veröffentlicht, ein white paper zu Überwachungsmaßnahmen. Neben staatlichen „Feinden“ werden in dem Papier auch Unternehmen genannt die Überwachungssoftware herstellen (etwa Gamma International oder Blue Coat).

Gemeinsam mit anderen Organisationen hat „Reporter ohne Grenzen“ auch eine „OECD Complaint“ gegen Gamma und Trovicor (beides übrigens deutsche Firmen..) eingereicht. Beiden Unternehmen wird vorgeworfen, durch den Export ihrer Software an autoritäre Staaten wie Bahrain gegen die „OECD Guidelines“ für multinationale Unternehmen verstoßen zu haben. Allerdings haben diese Guidelines keine rechtliche Bindung, es geht also mehr um einen Imagesschaden für diese Unternehmen.

Abschließend hat der Vortragende noch dazu aufgerufen, dass Hacker/Haecksen JournalistInnen unterstützen: mit Trainings, wie man sicher kommuniziert, indem sie helfen Malware zu identifizieren und eben nicht bei solchen Unternehmen arbeiten.

Auch beim nächsten Vortrag kam die Firma Gamma wieder vor: „Tales of Government Surveillance“. Der Vortragende erzählte wie in Bahrain, Äthiopien, der Mongolei und anderen Ländern Trojaner gegen politische Aktivisten eingesetzt werden. Mittels spear phishing wird den Zielpersonen Schadsoftware untergejubelt. Die Anhänge, in denen sich der Trojaner befindet können PDFs sein, Bilder oder ganz normale Office Dokumente, die dann über Makros Schadcode nachladen.

Einer der bekanntesten Trojaner ist die FinFisher Suite von der Gamma Group. Laut Werbeprospekt wird diese Software von 40 Virenscannern nicht entdeckt, kann Skype abhören oder übernehmen, mittels Webcam und Mikrofon überwachen, Screenshots ziehen, Dateien absaugen und ein Keylogger ist natürlich auch noch inkludiert. Interessanterweise wirbt die Firma auch damit, sowohl Windows, als auch Mac OS X und sogar Linuxversionen zu haben.

Mit einem Preis von 200 000 bis 500 000 $ ist das Teil aber auch nicht ganz billig.

Diese Software konnte schon abgefangen und untersucht werden. Ein witziges Detail ist, dass wenn der Trojaner „nach Hause telefoniert“ sich der Zielserver immer mit „Hallo Steffi“ gemeldet hatte.

In einem Fall hatte sich die Software als Firefox Browser getarnt, woraufhin die Mozilla Foundation natürlich scharf reagiert hatte.

Der Markt für Überwachungssoftware wächst leider rasant, auch die deutsche Regierung gibt knapp 150 000 EUR für eine Trojanersuite aus.

Written by Peter

Juli 6, 2013 at 10:52 pm

Veröffentlicht in Konferenzen

Tagged with , , , , ,

#sigint Tag 2: Die Drossel als Vogel des Jahres und Aluhüte für E-Autos…

leave a comment »

Das Vortragsprogramm begann für mich heute mit dem „Kampf um die Netzneutralität“ von Markus Beckedahl. Das „end-to-end principle“ ist ein wichtiges „Urprinzip“ des Internets. Es besagt – grob gesprochen, dass sich die Geräte und Programme an den Enden der Verbindung um die Funktionalität kümmern und die Netzwerkknoten einfach nur durchleiten sollen.

Inzwischen gibt es aber das – euphemistisch benannte – „Verkehrsmanagement“ etwa durch die Deep Packet Inspection. Dabei wird während der Übertragung in die Datenpakete geschaut und z.B. VOIP unterbunden. Mit der selben Technologie können aber auch unliebsame Inhalte ausgefiltert werden. „Der Unterschied zwischen demokratischen und totalitären Staaten ist nur eine Konfigurationsdatei“.

Netzneutralität ist schon länger auch in der Politik Thema: 2011 gab es einen Zwischenbericht zum Thema Netzneutralität der Internet Enquete. Die Mitglieder konnten sich aber nicht auf Handlungsempfehlungen dazu einigen.

Auch die NetzaktivistInnen wurden tätig: die Digitale Gesellschaft hatte zum Beispiel eine „Vodafail“-Kampagne gestartet. So wirklich verfing das alles aber nicht.. bis dann die Drosselkom kam. Damit war das Thema in der Tagesschau und auf der politischen Agende angekommen.

Angesichts des Bundestagswahlkampfs ist die Regierung dann auch aktiv geworden. § 41a TKG gibt dem Bund die Möglichkeit eine Rechtsverordnung zum Thema Netzneutralität zu erlassen. Einen Entwurf (PDF) hat das Wirtschaftsministerium auch bereits veröffentlicht. Der Entwurf legt eine Gleichbehandlung aller Datenpakete fest, damit wäre beispielsweise der Telekom-Spotify Deal nicht mehr möglich. Sogenannte „Managed Services“ wären aber weiterhin erlaubt.

Im folgenden Vortrag ging es dann wieder um etwas ganz anderes: „E-Mobility as Privacy Game Changer“. An der normalen Tankstelle kann man ja noch bar zahlen (zwei Drittel aller Deutschen machen das) und dadurch anonym bleiben. Bei Ladestationen ist das aus verschiedenen Gründen (dezentrale verteilte Lage, Vandalismusgefahr, …) nicht wirklich praktikabel. Dazu kommt noch, dass es so etwas wie „range anxiety“ gibt, also BesitzerInnen von E-Fahrzeugen lieber einmal mehr ihr Auto aufladen, statt in Gefahr zu laufen mit leerem Akku dazustehen.

Es besteht also die Gefahr, dass durch die Anmeldung an den Ladestationen ein neues Überwachungsnetzwerk entsteht. Der Vortragende hatte dann natürlich eine irrsinnig komplexe Lösung, aber statt mir da die Erklärung anzuhören bin ich lieber raus in die Sonne…

Written by Peter

Juli 6, 2013 at 8:43 pm

#sigint Tag 1: Mit Linked Data raus aus dem Datensilo, EFF und NSA und das Internet ist schuld!

with one comment

Kann Tschunk-bedingt hohe Mengen an „natürlich“, „eben“ und „etwa“ enthalten…

Der nächste Vortrag war Let’s tear down these walls: „Mit Links“ die Mauern Sozialer Netzwerke überwinden.

Thema waren die durch soziale Netzwerke geschaffenen Datensilos und deren Überwindung. Das Problem ist ja bekannt: Poste ich meine tollen Urlaubsfotos auf Facebook oder doch lieber auf Google+ oder muss ich eh immer crossposten um alle meine FreundInnen zu erreichen? Der Content lässt sich eben nicht einfach zwischen sozialen Netzwerken transferieren.

Bei offenen Infrastrukturen wie etwa Blogs ist das anders: man muss eben nicht bei Blogger oder WordPress angemeldet sein um Inhalte zu sehen, kommentieren zu können oder um darauf zu verlinken.

Die Lösung ist – wieder einmal – Linked Data. URIs können ja nicht nur auf Dokumente verweisen sondern, etwa auch auf Personen. Die eigene Person wird damit ein verlinkbarer Teil des Web und die eigene Identität kann damit auf verschiedenen Plattformen verwendet werden. Über WebID kann das dann auch zur Authentifizierung genutzt werden.

Wer das Ganze ausprobieren will und keinen eigenen Server zur Verfügung hat kann z.B. MyProfile benutzen.

Der nächste Talk war dann brandaktuell: „The Politics of Surveillance: Understanding the National Security Agency“Rainey Reitman erzählte darin etwas zur politischen Arbeit der EFF gegen die Überwachungsaktivitäten der NSA. Durch einen Whistleblower von AT&T war dort die NSA Überwachung schon seit Jahren bekannt und die EFF führt auch einen Prozess gegen die Verantwortlichen. Die Klage wurde aber nicht vom Supreme Court zugelassen.

Interessant waren die Berichte über die „Mühen der Ebene“ in der politischen Arbeit: welche Ausschüsse sind überhaupt zuständig und in welchen besteht eine Chance politisch etwas zu erreichen. Außerdem ist es nur durch mühsame FOIA Anfragen möglich zu erfahren, wie die Regierung den PATRIOT Act interpretiert und erst mit diesem Wissen können erst Gesetzesänderungen erreicht werden.

Eine wichtige Klage ist derzeit „Jewel vs. NSA“, bei dem die NSA Verantwortlichen direkt belangt werden sollen. Bisher konnte sich der Staat auf das „states secret  privilege“ berufen, da aber jetzt durch die Whistleblower die Vorgänge öffentlich wurden, ist diese Argumentation so nicht mehr haltbar. Es bleibt also spannend…

Praktische Hinweise um der Überwachung zu entgehen gibt es auch von der EFF, etwa das „Surveillance Self Defense Project“ und ein White Paper der Freedom of the Press Foundation.

Beim letzten Vortrag des Abends ging es dann wieder um Netzkultur: „Why we fight (each other)“. mspr0 hat darin ein paar Thesen aufgestellt, warum „die Netzgemeinde“ im Moment so zerstritten ist.

  • These 1: Das Internet ist schuld
    vgl. auch diesen xkcd. Anatol Stefanowitsch hat einmal zum Internet und zu den Piraten getwittert: „Wir haben uns Strukturen fürs Streiten geschaffen, aber nicht fürs Arbeiten.“ Wobei die „Shitstormerei“ durchaus Avantgarde ist und sich noch verstärken wird, wenn auch der Rest der Gesellschaft das Internet stärker nutzt.
  • These 2: Twitter ist schuld
    Twitter unterstützt stark das Verkürzen von Gedanken, was einer ausgewogenen Diskussion natürlich nicht wirklich zuträglich ist. Christopher Lauer hat ja beispielsweise auch einmal in der FAZ exzessiv gegen Twitter „geranted“.
  • These 3: Das Wachstum ist schuld
    Die Skalierung hat dazu geführt dass marginalisierte Gruppen eine kritische Masse erreicht haben und jetzt eben auch ihre Stimme erheben.
  • These 4: Post Privacy ist schuld
    Wir wissen immer mehr von anderen Leuten, durch Last.fm z.B. auch von deren schrecklichem Musikgeschmack. Dazu gibt es auch einen schönen Blogpost von Kübra Gümüsay: „Liebe Piraten, ihr wisst genug voneinander, um euch nicht zu mögen. Und sprecht, twittert, simst und screenshottet laufend darüber. So wird das nix. Ein bisschen weniger Miteinandersein! Feiert die Unwissenheit, die Illusion! Gönnt euch ne Pause voneinander!“
  • These 5: Der Awareness Diskurs ist schuld
    Für mspr0 gibt es verschiedene „Beobachtungsschemata“ („rape culture“, „lookism“, „critical whiteness“, „mansplaining“). Das sind abstrakte theoretische Konzepte, die Ungerechtigkeiten aufzeigen können, mit denen man sich aber erst einmal beschäftigen muss, um sie zu verstehen. (Wenn man – fiktives Beispiel – einem alternden CDU-Abgeordneten vorwirft, dass seine „Herrenwitze“ sexistisch sind, wird er das aus seiner Sicht erstmal nicht verstehen und mit Abwehr und Ignoranz reagieren und so eine Situation eskaliert dann schnell einmal, Stichwort „Tugendfuror“)

Auch wenn das alles jetzt schlimm klingt, sah das mspr0 gar nicht so dramatisch sondern als „gesellschaftlicher Fortschritt at work“. Ein neues Medium ist eingetreten und wie bei allen anderen finden nun gewisse „gesellschaftliche Aushandlungsprozesse“ statt um einen allgemein praktikablen Umgang damit zu finden.

Welche Lösungsstrategien gibt es nun? Zuerst einmal eine gewisse Gelassenheit: man sollte sich seine Kämpfe sehr genau aussuchen. Oder um aus „War Games“ zu zitieren: „The only winning move is not to play“. Dabei hilft auch ein gewisses Maß an Filtersouveränität. Ein interessanter Ansatz ist auch Plomlompoms Konzept der „Dramakosten“. Ein letzter Ratschlag war noch „sich selbst / die Gesellschaft verbessern“. Na dann…

Written by Peter

Juli 6, 2013 at 12:55 am

Veröffentlicht in Konferenzen

Tagged with , , , ,

#sigint Tag 1: Etwas Selbstgeißelung, unverständliche Magie und freier Funk für freie BürgerInnen

leave a comment »

Die Rakete ist wieder gelandet

Die Rakete ist wieder gelandet

Nun denn, ab heute beginnt wieder die Zeit der schnell heruntergetippten Konferenzpostings. Stil und korrekte Rechtschreibung wird ja eh überbewertet…

So, wie bereits angekündigt ist die SIGINT nun gestartet. Das Vortragsprogramm begann für mich mit „Cryptocat: The Social and Technical Challenges of Making Crypto Accessible to Everyone“. Cryptocat ist ein Browser-Addon, das verschlüsselten Chat ermöglichen soll, allerdings wurde einen Tag vor dem Vortrag eine ziemlich schwerwiegende Sicherheitslücke in dem Programm entdeckt.

Also begann der Talk gleich einmal mit einer ziemlich ausgiebigen Selbstgeißelung des Chefentwicklers und dem Aufruf zur Mitarbeit.

Im Endeffekt ist Cryptocat ein ziemlich gutes Beispiel für den Spagat zwischen Nutzerfreundlichkeit und sicherer Kryptographie. Die Entscheidung das Programm als Browsererweiterung zu konzipieren, erleichtert zwar die einfache Installation und die Verfügbarkeit auf unterschiedlichen Plattformen. Dadurch entstehen aber auch Einschränkungen und Abhängigkeiten.  Auf die Frage, ob es das alles wert ist, hat der Entwickler inzwischen nur mehr sehr selbstkritische Antworten („more no than yes“). Nichtsdestotrotz hat die Cryptocat aber ihr Anwendungspotential und wird auch aktiv weiterentwickelt.

Im nächsten Vortrag ging es dann um die Programmiersprache Ruby: „Ruby is Magic!“  Ich finde es ja immer ganz spannend, etwas über neue Programmiersprachen zu erfahren, dieser Vortrag war mir aber dann doch etwas zu hoch. Vielleicht sollte ich morgen lieber zu dem Workshop „Spiele programmieren in Ruby für Kinder“ schauen…

Der nächste Talk war wieder sehr inspirierend: „Aufbau freier Netze, Erfahrungen von den Dächern der Stadt“. Hier ging es um Freifunk, also das Aufbauen freier Internetinfrastruktur. Im Prinzip teilt man dabei seinen Internetanschluss mit anderen. Das Problem der Störerhaftung umgeht man dabei elegant, in dem die Uplinks per VPN angebunden werden. Nach außen ist also nur der Freifunk Verein sichtbar und nicht der einzelne private Anbieter (und der Freifunk Rheinland sammelt gerade Geld für eine Musterklage).

Was aber in dem Vortrag schön herauskam ist, dass der Aufbau eines Freifunk-Netzwerkes weniger eine rein technische Angelegenheit ist, sonder stark auch ein soziales Projekt. Es braucht viel Kommunikation um unterschiedliche Motivationen (gratis Internet, freie Infrastruktur für alle, Freude am Basteln…) unter einen Hut zu bringen und gemeinsam etwas aufzubauen.

Die technische Einstiegshürde ist dabei gar nicht so hoch: ca. 20 Euro für einen Router und etwas Wissen, das man sich bei den regelmäßigen Treffen der FreifunkerInnen holen kann.

Was habe ich versäumt: Wie kann die Briefwahl gehackt werden?, Datenjournalismus zu den Offshoreleaks und den Trollfeminismus 3.

Written by Peter

Juli 5, 2013 at 7:14 pm

Veröffentlicht in Konferenzen

Tagged with , , , ,