Der tödliche Cyberwar der Geheimdienste

http://kattascha.de/?p=3081
Veröffentlicht am 13. Mai 2017   
Da kommt man nichts ahnend aus dem Kino und in der Zwischenzeit hat eine Ransomware Systeme auf der ganzen Welt als Geisel genommen. Darunter Krankenhäuser und Systeme der Deutschen Bahn. Die Nachrichten erinnern an einen dieser billigen „OMG, ein Hackerangriff wird uns alle töten!“ Bestseller aus der Bahnhofsbuchhandlung. Das Problem ist nur: Es ist echt.

Sicherheitsrisiko Geheimdienste
Wenn die bisherigen Einschätzungen stimmen, dann ist die Wurzel des Übels eine Sicherheitslücke aus dem Giftschrank der NSA, die ins Netz gestellt wurde. Windows-Systeme, die nicht rechtzeitig ein Update Weiterlesen Der tödliche Cyberwar der Geheimdienste

Werbeanzeigen

Freie Software und Commons

http://keimform.de/2016/freie-software-und-commons/
Titelbild „Navigationen“Digitale Ausnahme oder Beginn einer postkapitalistischen Produktionsweise?
[Artikel aus der Ausgabe 2/2016 der Zeitschrift Navigationen (S. 37–53). Die gesamte Ausgabe zum Thema „Medienwissenschaft und Kapitalismuskritik“ kann frei heruntergeladen werden.]
Zusammenfassung
Eben Moglen sieht mit der Freien Software das Ende des »geistigen Eigentums« heraufdämmern. Digital repräsentierbare Informationen widersetzen sich der Eigentumsform, weil sie frei kopierbar sind. Deshalb sieht Moglen in diesem »anarchistischen« Ansatz, bei dem jeder die Werke anderer nicht nur nutzen, sondern auch verbessern darf, die einzig angemessene Produktionsweise – allerdings nur für Informationsgüter. Yochai Benkler verallgemeinert den Ansatz zur »commons-based peer production« und identifiziert das zugrunde liegende, sehr alte gesellschaftliche Organisationsprinzip: die Commons. Jeremy Rifkin will nichts von einer Begrenzung auf die Informationssphäre wissen, sondern sagt den »kollaborativen Commons« eine große Zukunft voraus, in der sie den Kapitalismus Schritt für Schritt zurückdrängen, bis er in einer »hybriden Wirtschaft« nur noch eine untergeordnete Rolle spielt. Doch Benkler wie Rifkin gehen von einer problematischen Konzeption von »Grenzkosten« aus, die ihre Ergebnisse verzerrt. Warum die Commons trotzdem als Hoffnungsträger gelten können, wird in diesem Text gezeigt.

1 Die Entdeckung einer »anarchistischen« Produktionsweise im digitalen Raum
Kurz vor der Jahrhundertwende sah der US-amerikanische Juraprofessor Eben Moglen mit der Freien-Software-Bewegung das Ende des »geistigen Eigentums« eingeleitet.1 Bekannte Beispiele für Freie Software – die jede_r nicht nur frei verwenden, sondern auch nach Belieben verändern und den eigenen Bedürfnissen anpassen darf – sind das Betriebssystem GNU/Linux, der Webbrowser Firefox, der Webserver Apache und das alternative Office-Paket LibreOffice bzw. OpenOffice.
Moglen argumentiert, dass sich digital repräsentierbare Informationen (Software, Texte, Audio, Video und letztlich jede Art von Wissen) der Eigentumsform widersetzen, weil sie frei kopiert werden können. Digitale Daten sind nichts weiter als Sequenzen von vielen Nullen und Einsen – sie sind also selber Zahlen. Es sei aber nicht einzusehen, warum eine Zahl, nur weil sie etwa die digitale Form eines Musikstücks darstellt, urheberrechtlich geschützt sein sollte, während eine andere Zahl einen patentierten Softwarealgorithmus darstellt und damit unter das Patentrecht fällt, und eine dritte Zahl das Ergebnis einer mathematischen Operation enthält (x mal y) und überhaupt nicht »geschützt« ist.
Die Verteidiger_innen des »geistigen Eigentums« halten es dagegen für einen unverzichtbaren »Anreiz«: Wer, fragen sie, würde noch Musik machen, Software entwickeln oder Texte schreiben, wenn man diese nicht mehr verkaufen und so Geld verdienen könnte? Moglen hält dem entgegen, dass das Internet solche Anreize als unnötig entlarvt hat. Da die Menschen inhärent kreativ seien, müsse man ihnen nur eine Gelegenheit geben, Gleichgesinnte zu finden – und das Internet tut das – und schon tun sie sich mit diesen zusammen, um Wissensgüter aller Art zu erschaffen und zu verbessern. Moglen verweist darauf, dass die Motivation unter diesen Umständen der Lust am Tun und der Befriedigung über ein Ergebnis, das auch bei anderen Gefallen und Verwendung findet, entspringt – auch ohne Bezahlung.
Auch das »geistige Eigentum« erweist sich laut Moglen als nicht nur unnötig, sondern sogar schädlich – weil es die kreative Kooperation oft erschwert oder unmöglich macht. Ohne Urheberrechte können Werke »evolutionär« weiterentwickelt werden: Ich nehme ein von anderen erschaffenes Werk und verbessere es, indem ich Fehler beseitige, es an eine andere Sprache oder eine andere Umgebung anpasse, es erweitere oder sonst meinen Bedürfnissen gemäß verändere.
Da ich dafür niemanden um Erlaubnis fragen muss, sieht Moglen eine »anarchistische« Produktionsweise am Werk. Neben dem Internet selbst erachtet er einen »Hack des Rechts« als elementar für das Erblühen dieser dezentralen, erlaubnisfreien Zusammenarbeit, nämlich die GPL (GNU General Public License). Diese von Linux und zahlreichen anderen freien Softwareprogrammen verwendete Lizenz basiert selbst auf dem Urheberrecht, dreht dieses aber quasi um: Sie gestattet allen die Software zu verändern und veränderte Versionen weiterzuverbreiten, erlaubt letzteres aber nur unter der Bedingung, dass auch die Veränderungen unter die GPL gestellt werden – was anderen das Verbreiten und Verändern auch der neuen Fassung ermöglicht.
Moglen verwendet hier den Begriff commons, der für die spätere Debatte sehr bedeutend werden sollte: Die GPL »creates a commons, to which anyone may add but from which no one may subtract.«2
Anders als bei Weiterlesen Freie Software und Commons

Gericht bestätigt Haftung für Urheberrechtsverletzungen auf verlinkten Seiten

http://m.heise.de/newsticker/meldung/Gericht-bestaetigt-Haftung-fuer-Urheberrechtsverletzungen-auf-verlinkten-Seiten-3566919.html
vor 12 Stunden
Joerg Heidrich

Hammer auf Richterbank

Bild: dpa, Uli Deck

Nach einer Entscheidung des Landgerichts Hamburg haftet der Betreiber einer gewerblich betriebenen Website auch ohne Kenntnis für urheberrechtsverletzende Inhalte, die er verlinkt.
Für viel Unverständnis und Verärgerung hatte im September 2016 ein Urteil des Europäischen Gerichtshofs (EuGH) gesorgt. Danach haftet nicht nur der Betreiber einer Website für Urheberrechtsverletzungen auf der eigenen Seite, sondern auch derjenige, der einen Link zu den rechtswidrigen Inhalten setzt. Dies gilt zumindest dann, wenn der Verlinkende im weiteren Sinne „mit Gewinnerzielungsabsicht“ handelt. Von diesem Personenkreis kann nach Ansicht des EuGH erwartet werden, dass er „die erforderlichen Nachprüfungen vornimmt, um sich zu vergewissern, dass das betroffene Werk nicht unbefugt veröffentlicht wurde“. Wie dies praktisch möglich sein soll, ließ der EuGH offen.
De facto ergibt sich aus dem Urteil Weiterlesen Gericht bestätigt Haftung für Urheberrechtsverletzungen auf verlinkten Seiten

Großstörung bei der Telekom: Was wirklich geschah

http://m.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Was-wirklich-geschah-3520212.html
Mittwoch, 14:12

Jürgen Schmidt

Telekom-Router-Ausfall: Speedports nicht anfällig für TR-069-Exploit

Der geöffnete Speedport W921V

Bild: Comsecuris, Ralf-Philipp Weinmann

Ein Sicherheitsexperte hat die Reaktion eines der anfälligen Speedport-Modelle analysiert und kommt zu einer überraschenden Erkenntnis: Die Geräte waren gar nicht anfällig für die TR-069-Sicherheitslücke.
Direkt nach dem Ausfall vieler DSL-Anschlüsse stellte sich heraus, dass diese in direktem Zusammenhang mit den gleichzeitig beobachteten, massiven Angriffen auf den Fernwartungs-Port TR-069 standen. Viele Experten – und auch heise Security – gingen davon aus, dass die Geräte im Prinzip ebenfalls für diese Angriffe anfällig wären und die Ursache der Ausfälle eine fehlerhafte Infektionsroutine war. Ralf-Philipp Weinmann ging der Sache auf den Grund und kam zu der überraschenden Erkenntnis, dass das Problem ganz anders lag.
Hackerangriff auf Telekom-Router
heise Security bietet TR069-Test

Kommentar: Tauscht marode Plasterouter endlich aus!

Telekom-Chef: Aufruf zu den Cyber-Waffen

Schneier: „Die Ära von Spaß und Spielen ist vorbei“

Großstörung bei der Telekom: Was wirklich geschah

Angreifer nutzten Lücke und Botnetz-Code

BSI warnt vor weltweitem Hackerangriff auf DSL-Modems

Die Telekom prüft Hinweise auf Hackerangriff

Derzeit werden alle Systeme im Internet im Minutentakt mit TR-069-Anfragen auf Port 7547 bombardiert. Diese versuchen, eine Sicherheitslücke auszunutzen, die ein Nutzer namens „kenzo2017“ am 7. November 2016 in einem Blog veröffentlichte. Sie bezog sich auf Zyxel-Router, die der irische Provider Eir an seine Kunden verteilte. Deren Linux-Betriebssystem ließ sich durch einen Befehl zum Hinzufügen eines Zeit-Servers (NewNTPServer) dazu bewegen, ein Programm aus dem Internet herunterzuladen und auszuführen. Die derzeit grassierenden TR-069-Angriffe sind zum Großteil auf ein Mirai-ähnliches Bot-Netz aus infizierten Linux-Routern dieses Providers zurückzuführen.
Speedport ohne Linux
Nun handelt es sich bei den betroffenen Speedports der Telekom nicht um Zyxel-Router, ja nicht einmal um Router auf Linux-Basis. Vielmehr setzt der taiwanische Hersteller Arcadyan ein eigenes Echtzeitbetriebssystem ein, das gerüchteweise den Namen „SuperTask“ trägt. Und dessen TR-069-Implementierung ist auch nicht für den NewNTPServer-Fehler anfällig, wie Weinmann herausfand. Als er sein Testgerät mit diesem Angriff attackierte, geschah – gar nichts. Erst als Weinmann das Gerät wiederholten Angriffen aussetzte, verweigerte es irgendwann den Dienst und stellte alle Netzwerk-Aktivitäten ein.
Das ist genau das, was viele hunderttausend Telekom-Kunden am letzten Wochenende bei sich beobachteten: Sie hatten kein Internet mehr und nach einem Neustart des Routers funktionierte es kurzzeitig wieder – bis die regelmäßigen TR-069-Angriffe das Gerät erneut lahm legten. Eine wie auch immer geartete Infektion gab es dabei nicht. Die Angriffe hätten also die Telekom-Router gar nicht infizieren können, weil diese die TR-069-Lücke gar nicht aufwiesen. Es handelt sich lediglich um ein Denial-of-Service-Problem, das erst durch massenhafte Anfragen ausgelöst wurde.
Versäumnis der Telekom
Fehler kann man der Telekom natürlich trotzdem vorwerfen: Der Fernwartungs-Port TR-069 hätte nicht offen aus dem Internet erreichbar sein dürfen. Auch wenn die Router für die aktuellen Angriffe nicht anfällig waren, kann man gerade bei einem solchen selbstgestrickten Betriebssystem mit proprietärer TR-069-Implentierung getrost davon ausgehen, dass es andere Sicherheitslücken aufweist, die sich missbrauchen lassen. Weinmann deutet auch bereits an, weitere Fehler gefunden und der Telekom gemeldet zu haben.
Ob Ihr Router von außen für TR069-Anfragen erreichbar ist, verrät Ihnen der
Netzwerk-Check von heise Security

(ju) 

Themen:
Router

Deutsche Telekom

DSL

Mach den Test: Bist Du eingeloggt?

https://netzpolitik.org/2016/mach-den-test-bist-du-eingeloggt/
Constanze
am 14. Oktober 2016, 18:26 in Kurzmeldungen / 18 Kommentare

Wer ist wo eingeloggt

Wer ist wo eingeloggt?
Wenn man mal wieder bei fünfzig Tabs in drei verschiedenen Browsern den Überblick verloren hat, hilft eine praktische Website: Your Social Media Fingerprint von Robin Linus demonstriert, wie jede beliebige Website, die ein Nutzer anklickt, herausfinden kann, wo man überall eingeloggt ist. Für manche dürfte das Ergebnis überraschend sein, denn nicht immer ist sich der Nutzer dessen bewusst.
Man bekommt ein übersichtliches Ergebnis, bei welchen Diensten man momentan eingeloggt ist, Voraussetzung ist allerdings JavaScript. Es ist schon seit vielen Jahren bekannt, dass der Eingeloggt-Status bei aktiviertem JavaScript sehr einfach detektierbar („cross-domain information leakage“) und auch böswillig ausnutzbar ist.
Abhilfe gibt es natürlich auch schon lange, beispielsweise für den Mozilla-Browser als Firefox-Extension. Beliebt ist auch der Privacy Badger.
Wer bei der Gelegenheit gleich noch wissen möchte, was die eigenen Browser an Daten herausgeben, kann auf panopticlick oder auf webkay klicken.

Silicon Valley: Der große Lauschangriff | Blätter für deutsche und internationale Politik

https://www.blaetter.de/archiv/jahrgaenge/2016/juli/silicon-valley-der-grosse-lauschangriff
von Daniel Leisegang

Der Wettstreit um einen gigantischen Zukunftsmarkt tritt in die heiße Phase ein: Mitte Juni kündigte Apple auf der firmeneigenen Entwicklerkonferenz an, seinen sprachgesteuerten Assistenten „Siri“ erstmals für andere Anbieter zu öffnen. Siri soll so zu einer umfassenden Software-Plattform für unterschiedlichste digitale Dienstleistungen werden.[1]
Amazon, Google und Facebook haben ebenfalls ähnliche Systeme angekündigt oder bereits im Angebot. Die jeweiligen Assistenten verfolgen dasselbe Ziel: Unter Zuhilfenahme „künstlicher Intelligenz“ sollen sie uns bei den alltäglichsten Erledigungen unterstützen – Termine planen, Licht regeln oder Taxis bestellen.
Die Verrichtung solcher Aufgaben erscheint auf den ersten Blick banal. Tatsächlich aber dürften die sprachgesteuerten Diener eine neue digitale Ära einläuten: In den 1990er Jahren revolutionierte das World Wide Web unsere Kommunikation und unser Medienverhalten; eine Dekade später gelang dies Smartphones und Apps. In den kommenden Jahre soll nun die sprachgesteuerte Computernutzung die Apps ablösen – und uns gleichzeitig die Tür zu einer neuen, digitalen Dienstleistungswelt aufstoßen.
Allerdings hat diese Vision zwei gewaltige Haken: Denn zum einen versorgen uns die Assistenten nur mit ausgewählten Diensten. Die Konzerne legen fest, welche Tür sich ihren Kunden öffnet – und welche nicht. Sie werden damit endgültig zu den Einlassern – Gatekeepern – die das Internet einst eigentlich überflüssig machen sollte. Zum anderen müssen die digitalen Diener, um ihre Aufgaben zu erfüllen, uns nicht nur in- und auswendig kennen, sondern auch Weiterlesen Silicon Valley: Der große Lauschangriff | Blätter für deutsche und internationale Politik

Digitale Verwaltung Kontrolle unmöglich

http://www.sueddeutsche.de/wirtschaft/digitale-verwaltung-kontrolle-unmoeglich-1.3038572

In der Offline-Welt füllt der Steuerzahler die Formulare mit dem Stift aus und bekommt den Bescheid per Post.
(Foto: Thomas Lehmann/dpa)

Das Finanzamt wird modern, soweit so gut. Allerdings scheint die Behörde von der Digitalisierung überfordert zu sein: Sie kann nicht nachweisen, dass der Bescheid per E-Mail auch wirklich beim Steuerzahler ankam.
Von Guido Bohsem, Berlin

Es sieht nicht gut aus für die deutsche Verwaltung. In Europa belegt sie in Sachen Digitalisierung lediglich Platz 19, hinter Italien und vor Zypern. Der Normenkontrollrat hat sie gerade eben heftig kritisiert. Grund: Der Unterschied zwischen dem, was Wirtschaft und Bürger im Alltag als digitale Dienstleistung gewohnt seien und dem, was die Ämter und Behörden ihnen böten, sei enorm und werde immer größer.
Im Finanzministerium konnte man gelassen reagieren. Die Finanzverwaltung wähnt sich beim E-Government weiter als andere Behörden. Und überhaupt, mit dem „Gesetz zur Modernisierung des Besteuerungsverfahrens“ hatte man doch gerade die Grundlage für die elektronische Zukunft der Finanzämter gelegt.
Mag sein. Doch gerade dieses Gesetz zeigt nun sehr deutlich, dass auch in der schönen neuen Welt der vernetzten Verwaltung und interaktiven Bürger das ein oder andere nicht richtig funktioniert. So hatten sich die Finanzbeamten überlegt, künftig die Mitteilungen an den Steuerzahler elektronisch zu verbreiten. Zum Beispiel den Einkommensteuerbescheid, in dem das Finanzamt mitteilt, ob man durch seine Steuererklärung Geld zurück-bekommt oder noch was zahlen muss.
Im nicht-digitalen Leben verschickt das Finanzamt seine Briefe mit der Post und geht davon aus, dass sie den Adressaten innerhalb von drei Tagen erreicht hat. Danach, so heißt es in der Fachsprache, gilt der Verwaltungsakt als bekannt gegeben. Der Steuerpflichtige gilt also nach drei Tagen als informiert. Zugangsfiktion, heißt das in der Fachsprache. Im Zweifel hat die Behörde den Zugang der Benachrichtigung nachzuweisen.
Wie soll die Behörde dem Bürger nachweisen, dass die E-Mail auch angekommen ist?
Genau so soll es auch in der digitalen Welt sein: Der Bürger erhält eine E-Mail und kann den Bescheid dann abrufen. So weit, so modern, so einfach. Als Termin gelten entweder der Zeitpunkt, zu dem die Mail gesendet wurde. Ober aber das Datum, an dem Weiterlesen Digitale Verwaltung Kontrolle unmöglich