http://www.philly.com/philly/news/local ... _gate.html
Überwachungsstaat
-
mastastefant
- Schnapsbar
- Beiträge: 3856
- Registriert: Sa Dez 04, 2004 1:00 pm
- Kontaktdaten:
-
mastastefant
- Schnapsbar
- Beiträge: 3856
- Registriert: Sa Dez 04, 2004 1:00 pm
- Kontaktdaten:
Haha, Bumm, Zack ... Hat ja wirklich nicht lang gedauert, das war von Anfang an eh klar:
Für den Google-Gmail-Account-Hack haben die Chinesen einfach ein Backdoor genutzt, dass die Amis Google per Gesetz vorgeschrieben haben zwecks staatlicher Überwachung von Emails..
http://edition.cnn.com/2010/OPINION/01/ ... e.hacking/
Dieser Bruce Schneier ist im übrigen nicht irgendwer, das ist der Donald Knuth der IT-Security, einer der bekanntesten Persönlichkeiten auf dem Gebiet -> lesenswert..
So ist das halt mal .. Wenn man ein sicheres System absichtlich (per Gesetz) unsicher macht, um mitlauschen zu können, dann ist es unsicher und jeder kann mitlauschen ..
Lustiges Detail am Rande: Die Technologie zum Überwachen in China kommt von US-Firmen, die Technologie im Iran von Siemens + Nokia
Für den Google-Gmail-Account-Hack haben die Chinesen einfach ein Backdoor genutzt, dass die Amis Google per Gesetz vorgeschrieben haben zwecks staatlicher Überwachung von Emails..
http://edition.cnn.com/2010/OPINION/01/ ... e.hacking/
Dieser Bruce Schneier ist im übrigen nicht irgendwer, das ist der Donald Knuth der IT-Security, einer der bekanntesten Persönlichkeiten auf dem Gebiet -> lesenswert..
So ist das halt mal .. Wenn man ein sicheres System absichtlich (per Gesetz) unsicher macht, um mitlauschen zu können, dann ist es unsicher und jeder kann mitlauschen ..
Lustiges Detail am Rande: Die Technologie zum Überwachen in China kommt von US-Firmen, die Technologie im Iran von Siemens + Nokia
-
mastastefant
- Schnapsbar
- Beiträge: 3856
- Registriert: Sa Dez 04, 2004 1:00 pm
- Kontaktdaten:
Sendung Quarks+Co über Überwachung+Co:
http://gffstream-3.vo.llnwd.net/c1/m/12 ... 100309.mp4
In der Sendung ist einer dabei, der kam einer in Terrorverdacht, weil er in einer Publikation die selben 2 Begriffe verwendet hat, wie in irgendeiner Terrorbotschaft, gefunden per Googlesuche. Effekt: 9 Monate verdeckte Komplettüberwachung, danach 3 Wochen U-Haft und Prozess.
Mal ein paar Best-Ofs aus der Sendung:
- Opfer im Straßenverkehr in Deutschland: ~5100 pro Jahr
Todesopfer beim Fliegen in De: 55 pro Jahr
Terroropfer in UK: 56 pro Jahr
Terroropfer in De: 0 pro Jahr
- Nur etwa 15% der Nachrichten gehen auch auf Ursachen+Hintergründe von Anschlägen ein, der Rest zeigt nur Anschläge selbst, Folgen und mögliche Sicherheitsmaßnahmen
- Nach dem 11.Sept. halbierten sich die Anzahl der zurückgelegten Flugmeilen in den USA. Da die Leute tw. auf Autos umgestiegen sind, sind durch den erhöhten Verkehr in den nachfolgenden Monaten etwa 1500 mehr als durchschnittlich im Verkehr gestorben.
- Kosten für Entsorgung der in Flughafen abgegebenen/abgenommenen Flaschen/Flüssigkeiten in Deutschland: 2Mio € .. pro Woche!
- In der Sendung erzeugt ein Spezialeffekt-Typ eine Explosion mit 100ml handelsüblicher Flüssigkeit, sprengt 2-3 Sitze in die Luft.
-
- Man zeigt einer Gruppe von Leuten 5min Bilder von Terroranschlägen, der anderen Bilder von Landschaften und Tieren. Danach beurteilen sie ein Video von einem Auto-Diebstahl, die erste Gruppe mit mehr als dem doppelten Strafmaß.
- In Deutschland wollens ein Gesetz einführen, um von Terroristen entführte Passagierflugzeuge abschießen zu dürfen. Die erste Version wurde vom Verfassungsgericht abgewiesen, es wird an einer 2. Version gearbeitet. Notfalls muss man halt die Grundgesetze ändern ... (wie bei vielen anderen ähnlichen Gesetzen auch)
-
http://gffstream-3.vo.llnwd.net/c1/m/12 ... 100309.mp4
In der Sendung ist einer dabei, der kam einer in Terrorverdacht, weil er in einer Publikation die selben 2 Begriffe verwendet hat, wie in irgendeiner Terrorbotschaft, gefunden per Googlesuche. Effekt: 9 Monate verdeckte Komplettüberwachung, danach 3 Wochen U-Haft und Prozess.
Mal ein paar Best-Ofs aus der Sendung:
- Opfer im Straßenverkehr in Deutschland: ~5100 pro Jahr
Todesopfer beim Fliegen in De: 55 pro Jahr
Terroropfer in UK: 56 pro Jahr
Terroropfer in De: 0 pro Jahr
- Nur etwa 15% der Nachrichten gehen auch auf Ursachen+Hintergründe von Anschlägen ein, der Rest zeigt nur Anschläge selbst, Folgen und mögliche Sicherheitsmaßnahmen
- Nach dem 11.Sept. halbierten sich die Anzahl der zurückgelegten Flugmeilen in den USA. Da die Leute tw. auf Autos umgestiegen sind, sind durch den erhöhten Verkehr in den nachfolgenden Monaten etwa 1500 mehr als durchschnittlich im Verkehr gestorben.
- Kosten für Entsorgung der in Flughafen abgegebenen/abgenommenen Flaschen/Flüssigkeiten in Deutschland: 2Mio € .. pro Woche!
- In der Sendung erzeugt ein Spezialeffekt-Typ eine Explosion mit 100ml handelsüblicher Flüssigkeit, sprengt 2-3 Sitze in die Luft.
-
-Bei harmlosen Fluggästen sind die Kontrollen unnötig, bei Terroristen sind sie zu knapp.
- Ein Video in der Sendung, wo sie eine Waffe vor einem aktiven Nacktscanner verstecken, indem sie sie in ein Schnitzel mit Körpertemp. einwickelnKurzfristig beruhigt es [die Sicherheitsmaßnahmen], langfristig schührt es die Angst. .. Kameras zB. nützen an manchen Orten etwas, an vielen nützen sie gar nichts, aber v.a. muss bekannt und deutlich und sichtbar sein dass sie da stehen.
- Man zeigt einer Gruppe von Leuten 5min Bilder von Terroranschlägen, der anderen Bilder von Landschaften und Tieren. Danach beurteilen sie ein Video von einem Auto-Diebstahl, die erste Gruppe mit mehr als dem doppelten Strafmaß.
- In Deutschland wollens ein Gesetz einführen, um von Terroristen entführte Passagierflugzeuge abschießen zu dürfen. Die erste Version wurde vom Verfassungsgericht abgewiesen, es wird an einer 2. Version gearbeitet. Notfalls muss man halt die Grundgesetze ändern ... (wie bei vielen anderen ähnlichen Gesetzen auch)
-
.. 40 Mrd pro Jahr für Homeland-Security. Dieses Geld in Afganistan oder Pakistan investiert würde dort zu einem Wirtschaftsboom führen, sodass Al-kaida wahrscheinlich eine lächerliche Randnote der Geschichte wäre.
-
mastastefant
- Schnapsbar
- Beiträge: 3856
- Registriert: Sa Dez 04, 2004 1:00 pm
- Kontaktdaten:
Da gehts ja zu http://www.wikileaks.org/
-
mastastefant
- Schnapsbar
- Beiträge: 3856
- Registriert: Sa Dez 04, 2004 1:00 pm
- Kontaktdaten:
Jetz geht der ganze Schmonzes wieder von Vorne los .. Ächts ..
http://christianengstrom.wordpress.com/ ... -strategy/
http://christianengstrom.wordpress.com/ ... -strategy/
-
mastastefant
- Schnapsbar
- Beiträge: 3856
- Registriert: Sa Dez 04, 2004 1:00 pm
- Kontaktdaten:
Österreich erteilt anlässlich des WiFi-Security-Bugs Google Streetview eine Abfuhr, zumindest bis die Rechtslage verbessert wurde und die Sammel-Systeme von einem Dritten überprüft wurden.
Ich finde, eine Überprüfung durch Dritte sollte bei (datenschutz)relevanten Systemen verpflichtend sein (eine Art Zertifizierung), und zusätzlich sollten aber auch die relevanten Komponenten offen sein (nicht notwendigerweise im Sinne von Open-Source, also frei wiederverwendbar, nur offen im Sinne von öffentlich einsehbar ohne NDA oder großartige Kosten).
Denn:
1) eine Überprüfung durch einen Einzelnen (oder eine kleine Gruppe) von einem komplexen System ist zwangsweise unvollständig, sonst würden die nie fertig werden, und daher können da Fehler in Details übersehen werden, und grad diese kleinen Schlampigkeits-Fehler sind immer die, die zu großen Sicherheitslöchern werden. (Wenn der Alg. noch so sicher ist, ein falscher sudo Eintrag und die Dose ist offen wie ein Scheunentor)
2) Software die unter NDAs sind, bzw. nur von den Entwicklern gesehn wird, will man normalerweise gar nicht sehn, weil der Code dann irre grausig ist.
Wenn man ein System baut und von Beginn weiß, dass a) jemand Dritter den Code sehen wird und b) der erst das OK gibt, wenn er den Code versteht, entsteht plötzlich viel sauberer, strukturierter und einfacher gestrickter Code, der damit auch automatisch weniger 'komplexe' Fehler hat, die nur in Spezialfällen auftreten und schwer zu finden sind.
Zu einem sicheren System gehört aber auch ein sicheres 'soziales Umfeld', vom korrekten Umgang mit Passwörtern bis hin zur Zufriedenheit der Angestellten (die meisten Angriffe auf ein System kommen von innen, entweder indirekt durch schlampige Mitarbeiter die Ramsch am PC installieren oder durch unzufriedene, die z.B. die Firma wechseln und dem neuen Auftraggeber noch ein 'Geschenk' mitbringen..), sowie dass nicht was anderes verwendet wird als offengelegt ist (absichtlich oder unabsichtlich), und das kann nur einer vor Ort.
Wenn die Software auch wirklich sicher gebaut ist, gibt es keinen Grund warum z.B. die Software zum Provider-Traffik loggen, zum Kunden- und Rechnungsdaten speichern, Webclick-Logger, etc. nicht offen sein sollte, außer dass sich die Programmierer für den Code schämen müssen.
Klingt zwar unlogisch, aber ein offenes System ist einfach sicherer als ein proprietäres. Zwar kann dann ein N00b leichter Fehler finden, aber solche trivialen Fehler sollten gar nicht erst drin sein, und ein Profi kommt auch ohne Quellcode zum Ziel (bei closed source gibts oft weit mehr unentdeckte Angriffsmöglichkeiten, das gleicht das wieder aus).
Ich finde, eine Überprüfung durch Dritte sollte bei (datenschutz)relevanten Systemen verpflichtend sein (eine Art Zertifizierung), und zusätzlich sollten aber auch die relevanten Komponenten offen sein (nicht notwendigerweise im Sinne von Open-Source, also frei wiederverwendbar, nur offen im Sinne von öffentlich einsehbar ohne NDA oder großartige Kosten).
Denn:
1) eine Überprüfung durch einen Einzelnen (oder eine kleine Gruppe) von einem komplexen System ist zwangsweise unvollständig, sonst würden die nie fertig werden, und daher können da Fehler in Details übersehen werden, und grad diese kleinen Schlampigkeits-Fehler sind immer die, die zu großen Sicherheitslöchern werden. (Wenn der Alg. noch so sicher ist, ein falscher sudo Eintrag und die Dose ist offen wie ein Scheunentor)
2) Software die unter NDAs sind, bzw. nur von den Entwicklern gesehn wird, will man normalerweise gar nicht sehn, weil der Code dann irre grausig ist.
Wenn man ein System baut und von Beginn weiß, dass a) jemand Dritter den Code sehen wird und b) der erst das OK gibt, wenn er den Code versteht, entsteht plötzlich viel sauberer, strukturierter und einfacher gestrickter Code, der damit auch automatisch weniger 'komplexe' Fehler hat, die nur in Spezialfällen auftreten und schwer zu finden sind.
Zu einem sicheren System gehört aber auch ein sicheres 'soziales Umfeld', vom korrekten Umgang mit Passwörtern bis hin zur Zufriedenheit der Angestellten (die meisten Angriffe auf ein System kommen von innen, entweder indirekt durch schlampige Mitarbeiter die Ramsch am PC installieren oder durch unzufriedene, die z.B. die Firma wechseln und dem neuen Auftraggeber noch ein 'Geschenk' mitbringen..), sowie dass nicht was anderes verwendet wird als offengelegt ist (absichtlich oder unabsichtlich), und das kann nur einer vor Ort.
Wenn die Software auch wirklich sicher gebaut ist, gibt es keinen Grund warum z.B. die Software zum Provider-Traffik loggen, zum Kunden- und Rechnungsdaten speichern, Webclick-Logger, etc. nicht offen sein sollte, außer dass sich die Programmierer für den Code schämen müssen.
Klingt zwar unlogisch, aber ein offenes System ist einfach sicherer als ein proprietäres. Zwar kann dann ein N00b leichter Fehler finden, aber solche trivialen Fehler sollten gar nicht erst drin sein, und ein Profi kommt auch ohne Quellcode zum Ziel (bei closed source gibts oft weit mehr unentdeckte Angriffsmöglichkeiten, das gleicht das wieder aus).
-
mastastefant
- Schnapsbar
- Beiträge: 3856
- Registriert: Sa Dez 04, 2004 1:00 pm
- Kontaktdaten:
Waahnsinn, Vernunft gesichtet: ÖVP spricht sich gegen Internetsperren aus, und tritt den USA (ein wenig) in den Hintern:
http://futurezone.orf.at/stories/1653845/
Bleibt zu hoffen, dass sie sich da auf EU-Ebene durchsetzen, sonst nutzt das wenig wenn sich Zensilia mit ner Richtlinie durchsetzt..
http://futurezone.orf.at/stories/1653845/
Bleibt zu hoffen, dass sie sich da auf EU-Ebene durchsetzen, sonst nutzt das wenig wenn sich Zensilia mit ner Richtlinie durchsetzt..
-
mastastefant
- Schnapsbar
- Beiträge: 3856
- Registriert: Sa Dez 04, 2004 1:00 pm
- Kontaktdaten:
Löschen ist jetzt bereits vollkommen legal, und wird auch schon gemacht. Und im Regelfall geht das auch ziemlich fix. Irgendwo habens das mal 'ausprobiert' quasi bzw. mal nachgeschaut wie lang es dauert, und in den meisten Fällen war ein paar Stunden nach dem Report die Seite auch schon weg. Wenn man den Provider drauf aufmerksam macht, kann der selbst auch recht flott einfach den betreffenden Server killen, und tut das normalerweise anscheinend auch.
Und auch wenn der Server irgendwo in Indien oder sonst wo steht, dürfte das normalerweise kein Problem sein, denn dann drehen halt die dort Zuständigen den Server ab, wenn man sie drauf aufmerksam macht.
Nur komischerweise dürft grad die USA Probleme machen bei Reports, und grad dort steht auch das Meiste, nicht China oder Russland interessanterweise.
Das is ja auch das praktische, ob Serverumzug oder sonst was: man braucht genau bei Bekanntwerden nur rausfinden, wo im Moment gerade der Server steht, und dreht genau den dann ab, und braucht nicht ein weltweites, lückenloses Filtersystem, für vllt 1000 Seiten pro Jahr weltweit.
Und gehackte Server, PCs zu haus, Botnets so was dürft net so vorkommen, das ist eher bei Spam- und Warez-Servern, das sind allerdings auch andere Maßstäbe und eine andere 'Zielgruppe'.
Und die richtig harten Sachen wie Redirection über mehrere Hops über gehackte Server oder so was, das düfte ohnehin in der Praxis nur Botnets und professionellen Angreifen vorbehalten sein, für Server und irgendeinen lächerlichen Privat-Server sowieso macht sich wohl kaum wer den Aufwand.
Und auch wenn der Server irgendwo in Indien oder sonst wo steht, dürfte das normalerweise kein Problem sein, denn dann drehen halt die dort Zuständigen den Server ab, wenn man sie drauf aufmerksam macht.
Nur komischerweise dürft grad die USA Probleme machen bei Reports, und grad dort steht auch das Meiste, nicht China oder Russland interessanterweise.
Das is ja auch das praktische, ob Serverumzug oder sonst was: man braucht genau bei Bekanntwerden nur rausfinden, wo im Moment gerade der Server steht, und dreht genau den dann ab, und braucht nicht ein weltweites, lückenloses Filtersystem, für vllt 1000 Seiten pro Jahr weltweit.
Und gehackte Server, PCs zu haus, Botnets so was dürft net so vorkommen, das ist eher bei Spam- und Warez-Servern, das sind allerdings auch andere Maßstäbe und eine andere 'Zielgruppe'.
Und die richtig harten Sachen wie Redirection über mehrere Hops über gehackte Server oder so was, das düfte ohnehin in der Praxis nur Botnets und professionellen Angreifen vorbehalten sein, für Server und irgendeinen lächerlichen Privat-Server sowieso macht sich wohl kaum wer den Aufwand.