Monday, 28. May 2007Freies Tibet, Freie Pornos und Freie Rede
Spiegel Online widmet sich dem Problem der Zensur im Internet. Das finde ich gut.
Besonders schön finde ich, dass dieses Mal nicht der Wunsch hiesiger Regierungen aufgegriffen wird, Seiten zu sperren, die hiesigen Gesetzen widersprechen. Es ist nämlich schon schwierig, Argumente zu finden, warum Kinderpornos nicht zensiert werden sollten. Bei Seiten mit Hakenkreuzen kann man bestenfalls auf die regional sehr unterschiedliche Befindlichkeit bei der Abwägung zwischen Meinungsfreiheit und Volksverhetzung hinweisen. Und bei Bombenbauanleitung lediglich auf die Nutzlosigkeit der Zensur angesichts des weit verbreiteten Wissens um die Herstellung von Sprengstoff. Nein, dieses Mal gehts um die bei uns wirklich allgemein als verwerflich angesehene Zensur der Chinesen, Iraner und anderer Diktaturen, die ihre Leute nicht auf regierungskritische Medien zugreifen lassen. Schade ist allerdings, dass sie beim Spiegel nicht schreiben, dass das alles zusammenhängt. Dass sämtliche Bemühungen, den Chinesen beim Anonymisieren zu helfen darauf angewiesen sind, dass man sich auch hier anonym im Netz bewegen darf. Sobald man die Möglichkeit hat, im Anonymisierungssystem "Free Tibet" von "Free Porn" zu unterscheiden und das ganze auch noch regional dem Konsumenten zuordnen soll, haut das ganze halt nicht mehr hin. Ausserdem kranken Zensurversuche in internationalen Netzen immer daran, "moralisch Verwerfliches" übereinstimmend zu definieren. So sind also die Chinesen darauf angewiesen, dass im freieren Westen genügend Anonymisierungsdienste angeboten werden. Irgendjemand muss ja den ganzen regierungskritischen Verkehr routen. Bei der derzeitigen Situation in Europa ist dieses Angebot allerdings stark gefährdet. Zum einen wird jetzt schon jeder Anbieter von Anonymisierung vom deutschen Staat kritisch beäugt und sobald irgendwas Verbotenes aus seinem Rechner kommt auch gerne Mal heimgesucht. Zum anderen wird der Betrieb von Anonymisierern durch die bevorstehende Vorratsdatenspeicherung ziemlich erschwert, vermutlich sogar unmöglich gemacht. Man braucht schon viel Speicherplatz, um jede Zuordnung von Quell-IP und Ziel-IP ein halbes Jahr aufzuheben. Die Glaubwürdigkeit eines Anonymisierungsnetzes wird sicher auch darunter leiden, wenn der User damit dem deutschen Staat vertrauen muss, dass er niemals Daten an die Chinesen übermittelt und ihn damit ans Messer liefert. Nichtmal wenn die uns dafür eine Magnetschwebebahn abkaufen oder einen Terroristen dafür ausliefern oder so... Und so macht unser Bedürfnis nach Sicherheit und Kontrolle des Internets, das natürlich auch in gewissem Umfang berechtigt ist, die Möglichkeit der Chinesen auf freie Meinungsbildung kaputt. Diesen Umstand kann man sehen wie man will, egal wie man entscheidet, man opfert immer irgendein berechtigtes Anliegen. Aber den Zusammenhang sollte man einfach häufiger und deutlicher erwähnen und vor allem bei der Abwägung von Nutzen und Schaden der Sicherheitsmassnahmen mit einkalkulieren. In der Darstellung des Tor-Netzwerkes irrt der Spiegel übrigens. Die träge Geschwindigkeit ist nicht die systembedingte Folge der "indirekten Versendung der Datenpakete" sondern liegt einfach daran, dass zu viele Nutzer zu wenigen Serverbetreibern gegenüberstehen. Ob die sich dort alle wegen der Freiheit für Tibet tummeln oder eher auf der Suche nach Freien Downloads sind, sei mal dahingestellt... Der Satz "Der Eingangsknoten verwaltet alle verwendeten Server, er ist sozusagen das Telefonbuch von Tor" muss ein Verständnisfehler sein, der Eingangsknoten ist nicht das "Telefonbuch", was allerdings nichts an der Tatsache ändert, dass Tor relativ leicht zu blocken ist. Ein Staat, der tausende von Webseiten sperrt, hat auch mit tausend Tor-Nodes sicher kein Problem. Eigentlich komisch, dass er davon keinen Gebrauch macht. Nur noch Profis dürfen hacken
Seit Donnerstag Nacht ist es beschlossen:
§ 202c Vorbereiten des Ausspähens und Abfangens von Daten Hackertools sind also illegal geworden, das schreiben, verbreiten und runterladen der Tools wird mit bis zu einem Jahr Knast bestraft. In diesem Preis ist der Einsatz übrigens noch nicht vorgesehen, allein das Schreiben reicht. Natürlich hat der Bundestag fleissig Rücksicht auf die IT-Branche genommen und so stellt jeder Beteiligte klar, dass damit niemals der beauftragte Sicherheitscheck eines Unternehmens oder die Selbstüberprüfung der eigenen Rechner gemeint ist. Deshalb steht "unbefugt" im § 202a und ausserdem ist das Ganze ein Antragsdelikt, der Geschädigte muss also die Strafverfolgung wünschen. So richtig glücklich ist allerdings die Branche nicht damit, anscheinend trauen die dem Frieden auch nicht wirklich. Was anscheinend völlig vergessen oder verdrängt wurde, oder auch absichtlich unterdrückt wurde ist, dass Netzwerksicherheit vor allem von unprofessionellen Hackern vorangetrieben wird. Wenn ich als Privatmann z.B. darauf hinweisen möchte, dass wirklich jeder, der Zugang zum Netzwerk hat mit einfachsen Mitteln Passwörter ausspähen kann, tu ich mir schwer. Ich würde dann gerne anhand eines Beispiels zeigen, wie ungeschützt normale Passwörter im http-Protokoll rumschwirren und zeigen, wie leicht die rauszubekommen sind:
Auf so ein anschauliches Beispiel, wie einfach das ist, würde ich da nur ungern verzichten. Alternativ könnte ich natürlich auch Tools wie "dsniff" empfehlen, oder statt "tcpdump" auch "etherreal" mit schon eingebautem base64-decoder, aber gerade die Einfachheit des Selberbastelns macht die Unsicherheit des Protokolls deutlich. Ich finde soetwas sollte jeder der mit Computern und Netzwerken zu tun hat, ruhig ausprobieren. Auch wenn er nicht im Sicherheitsbereich arbeitet und das ganze nur als Hobby betreibt, sollte er sein eigenes Passwort schonmal auf dem Bildschirm im Klartext gesehen haben. Das bringt ihn zu ganz neuen Ansichten in Bezug auf Sicherheit im Datenverkehr und ist vielleicht zumindest langfristig auch der Sicherheit im Internet insgesamt zuträglich. Das funktioniert aber nur, wenn wir die Nicht-Sicherheitsprofis nicht von den Informationen abschneiden, die ja in Zukunft nur noch von Druidenmund zu Druidenohr weitergegeben werden. Es haut nur hin, wenn auch irgendwelche Schüler sich mal ein Hackertool runterladen können, noch besser selberschreiben, und ausprobieren. Berichte über entdeckte Sicherheitslücken in Programmen, Online-Shops und Banken werden wir auch nicht mehr viele bekommen (ausser vielleicht im Ausland). Die könnten ja nur noch beauftrage Unternehmen veröffentlichen und in deren Auftrag wird sicher irgend eine Klausel dem entgegenstehen. Für die Bank ist das natürlich eine feine Sache, wenn Störenfriede die die Sicherheit des Online-Bankens in Frage stellen automatisch straffällig werden. Für den Kunden ist das eher ein Verlust, langfristig auch für das ganze System, wenn Lücken nicht mehr veröffentlicht werden, sondern erst die Schäden. Interessant sind auch die Augenzeugenberichte über die letzte Lesung des Gesetzes. Ich dachte ja bisher immer, die Vorarbeit würde im verborgenen stattfinden, die Plenarsitzungen aber live. Ist aber garnicht so. Einige Beschlüsse werden nachts in kleiner Besetzung in einer Art Simulation mit vorher zu Protokoll gegebenen Reden einfach durchgespielt. War aber auch leicht. CDU, CSU, FTP, Grüne waren einer Meinung. SPD ausser Jörg Tauss (seine Gründe) ebenfalls. Die Linke war dagegen. In so klaren Fällen gilt es sicher als unkollegial, nachzählen zu lassen, wie viele so spät noch da sind. Nachtrag: Ab 11.8. ist das Gesetz gültig. Sunday, 20. May 2007Online-Durchsuchung geht schon, glaube ich...
Jedes Mal, wenn ich Texte über Schäubles Online-Durchsuchungspläne lese und besonders die daran anschliessenden Diskussionen, frage ich mich, warum alle so sicher sind, dass das nicht funktionieren soll...
Als das Thema das erste Mal auftauchte, hab ich auch erstmal gelacht über die Typen vom BKA, die glauben, mit 2 Planstellen und ein bisschen Kohle eine ordentliche Abhörtechnik etablieren zu können. Aber inzwischen fürchte ich, sie könnens doch. Ich halte auch den Begriff "Bundestrojaner" für irreführend. Es mag sein, dass es auch Schadprogramme im Sinne der üblichen Trojaner geben wird, die von Organen der Sicherheit aufs Netz losgelassen werden. Aber zunächst gehts denen erstmal um die allgemeine Möglichkeit, fremder Leute Computer zu hacken, eben um "heimlichen Zugriff auf IT Systeme unter Einsatz technischer Mittel". Das muss also kein Trojaner sein im Sinne von "ich schick der Zielperson eine Mail mit nem Anhang 'nackte_terroristin.exe' und hoffe, dass der Depp draufklickt". Das Spektrum reicht vom Ausnützen altbekannter Sicherheitslücken im Betriebssystem bis zum einfachen Nachschaun, ob der Betreffende vielleicht eine ungeschützte Windowsfreigabe hat oder vielleicht einen dieser modernen Drucker mit eingebauter Festplatte, Webinterface und Druckvorschau per Browser. Potential dafür ist da auf Seiten der Beobachteten. Vint Cerf behauptet, dass von 600 Millionen Rechnern am Internet 100 bis 150 Millionen mit Trojanischen Pferden infiziert seien und Teil eines Bot-Netzes. Auch wenn man 25% für zu hoch gegriffen hält, einzelne Botnetze mit 400000 und 1500000 "Teilnehmern" sind hinreichend dokumentiert und anscheinend stehen genügend PCs bereit, falls irgendjemand Attacken gegen prominente Ziele des estländischen Internets durchführen möchte. Auch im kleinen merkt man diese Masse an Zombie-Rechnern. Wenn ich meinen DSL-Router 3 Minuten lang loggen lasse, finde ich 3 IP-Adressen von Rechnern, die gerade versuchen auf meine IP-Adresse zuzugreifen. Pro Tag versuchen 100 Rechner auf diesem Server Windows-Freigaben zu nutzen und 2-5 versuchen, sich per ssh anzumelden. Das sind ja nun alles keine "Hacker", die sich meinen Rechner als Ziel aussuchen und mir etwas antun wollen, ein gezielter Angriff würde ja nicht die Windows-Freigaben eines Linux-Rechners als Ansatzpunkt nehmen. Das sind einfach Rechner von ahnungslosen Opfern, die irgendwann mal ein Attachment zu viel angeklickt haben, ein falsches Tool installiert haben, einen Servicepatch nicht eingespielt haben oder sonst irgendwie reingefallen sind. Einige davon sind natürlich wirklich sehr einfach begabte Menschen, die halt auf alles klicken, was nicht schnell genug unter der Maus wegkriechen kann. 0.16% der Internetnutzer würden z.B. auf die Google-Anzeige "Is your PC virus-free? Get it infected here!" klicken. Auch im "halbprofessionellen" Bereich der Betreiber eigener Server scheint ein erobertes Betriebssystem oder wenigstens ein hackbares Forum nicht selten zu sein. Anfällige Rechner und anfällige Nutzer gibt es also genug da draussen. Wäre ich ein Schnüffler, würde es mich schon enorm wurmen, diese wunderbare Quelle nicht anzapfen zu dürfen. Allein die Vorstellung, das da draussen 10-25% aller Dokumente am offenen Fenster liegen und 10-25% aller Gespräche in ordentlicher bequem abhörbarer Lautstärke geführt werden, wäre eine traumhafte Vorstellung für mich. Und zwar unabhängig davon, ob das für mich interessante Dokumente und Gespräche sind. Einfach die Vorstellung, bei Verdacht nur hingehn zu müssen und mit einer Chance von 1/10 oder 1/4 einfach so zuhören und lesen zu können... Der eine oder andere EDV-Leiter der Terrorzentralen und gewiefte Kinderpornosammler mag vielleicht Vorkehrungen treffen und vermutlich ist dann das Ende der Fahnenstange für die Staatshacker wirklich ganz schnell erreicht. Aber selbst denen würde ich nicht allzuviel Kompetenz in Computerdingen zutrauen, ganz zu schweigen von kleineren Kallibern, die vermutlich auch schnell in den Anwendungsbereich der Online-Durchsuchung kommen werden. Im Wesentlichen zeichnet sich der Terrorist ja nicht durch technisches Fachwissen, sondern durch Motivation aus. Die Kofferbomber, die im Juli 2006 versucht haben, Züge zu sprengen, waren ja auch hochmotiviert, aber zu ungeschickt eine wirklich funktionierende Bombe zu basteln. Solchen Leuten vor dem Attentat noch schnell einen Crashkurs in Computersicherheit und richtiger Nutzung von Kommunikationsmitteln zu geben, wäre vermutlich auch zu mühsam. Da könnte der alte Osama auch gleich selbst anreisen und den Koffer zünden. Auserdem schadet es aus dessen Sicht ja nicht, wenn der eine oder andere Fall schon im Versuchsstadium auffliegt: "Terror" heisst ja "Schrecken" und nicht "Explosion"... Alles in allem also schon eine tolle Sache, diese Online-Durchsuchung. Wäre ich Polizist, würde ich sowas unbedingt dürfen wollen. Übrigens soll das hier nicht heissen, dass ich die Wünsche unserer Innenminister gut finde. Auch die technisch unwissenden haben ein Recht auf Informationelle Selbstbestimmung und die Unverletzlichkeit der Wohnung. Nur weil 25% aller Türen ungesichert sind gegen Einbrecher heisst das nicht, dass auch der Verfassungsschutz reindarf. (Verwendete Wikipedia und Google-Suchbegriffe für diesen Beitrag: "Trojaner" "Botnetz" "Vint Cerf Botnetz" "Botnetz Verurteilung" "Mein Server wurde gehackt" "Bahn Bombe Koblenz" "Kofferbomber" "Terror" "GG Art 13". Das kann ja heiter werden...) Saturday, 19. May 2007Verdächtig
Die taz schreibt über die eher eigenartige Vorgehensweise der Polizei bei den terrorverdächtigen G8-Gegnern
Hanebüchen auch die Argumentationskette bei einem vierten Durchsuchungsbefehl. Darin wird dem Beschuldigten vorgeworfen, an einem vor wenigen Monaten verübten Brandanschlag auf das Berliner Unternehmen Dussmann beteiligt gewesen zu sein. Das Indiz für diese Annahme: Der Beschuldigte hätte im Internet mal nach "Dussmann" recherchiert. Dussmann unterhält unter dem gleichen Namen eines der größten Bücherkaufhäuser der Stadt. Bei mir dürften sie da aber auch fündig werden, bei einem kurzer Blick in meine Google-History tun sich Abgründe auf: (Ich weiss nicht, wie dieses "dutzend" da reinkam und "eat the rich" ist eine Kneipe in München und ein Lied von Aerosmith und ein Film auch, ehrlich!) Den Link hab ich bei Florian Holzhauer gefunden, der dagegen ein Tool namens TrackMeNot empfiehlt. Das sucht im Hintergrund nebenbei immer nach harmlosen Dingen und verschleiert so die wahren Suchbegriffe. Aber was ist schon harmlos, heutzutage... Tuesday, 15. May 2007Auslaufen
Unser Urheberrecht ist wirklich viel zu kompliziert. Gut dass es den Netzwelt-Ticker bei Spiegel Online gibt.
Die schreiben: Die Songs, die Udo Jürgens kurz nach dem Zweiten Weltkrieg schrieb, verlieren 50 Jahre nach Veröffentlichung ihren Schutz. Das wundert ein paar Leser und der Autor schafft nochmal in einem Update Klarheit: Udo Jürgens Rechte an seinen Kompositionen und Texten laufen aus, so lange er lebt. Auslaufen werden hingegen die Rechte an den Aufnahmen der entsprechenden Lieder und zwar 50 Jahre nach Erscheinen. klar, oder? Ich probiers einfach auch nochmal: Geschrieben/Komponiert: 70 Jahre nach seinem Tod kann man damit machen was man will. Ich finde es ok. Wer Anfang der 50er Jahre Platten des jungen Jürgens (damals hiess er noch "Udo Bolàn" mit Künstlernamen, sagt Wikipedia) gesammelt hat, ein halbes Jahrhundert lang die Dinger abgestaubt, gehegt und gepflegt hat, soll davon ruhig MP3s machen dürfen. Solls der Künstler halt als Kulturgut, Volksmusik oder so sehn, dessen Tradierung über 70 Jahre + Lebenszeit des Künstlers vielleicht an technischen Hürden scheitern würde. Falls alle Künstler so jung schreiben und so alt werden wie Udo Jürgens, müsste man sonst Aufnahmen über einen Zeitraum von vielleicht 130 Jahren aufbewahren und mehrmals auf neue Medien überspielen. Dazu ist allerdings kein einzelner Sammler mehr in der Lage, sondern bestenfalls Institutionen wie Bibliotheken oder Mönchsorden. Selbst Musiklabels traue ich nicht zu, diese Arbeit zuverlässig zu übernehmen, Gewinn springt da ja nur selten dabei raus. Da ist die Hoffnung dass irgendwer aus dem Netz das Zeug aufhebt, verbreitet und in 20 Jahren in das dann übliche Format überspielt schon grösser. Vielleicht würde ihm ein gewerbliches Nutzungsverbot helfen. Falls einer mit seiner Komposition von 1950 "Je t’aime" Unterwäsche bewirbt ohne zu fragen und ohne zahlen zu müssen, ärgert er sich zurecht. Nachtrag 17.5.: Inzwischen steht im Netzwelt-Ticker "Udo Jürgens Rechte an seinen Kompositionen und Texten laufen nicht aus, so lange er lebt."
(Seite 1 von 2, insgesamt 10 Einträge)
» nächste Seite
|
KategorienVerwaltung des Blogs |