Schnipsel

Jeder von uns ist auf geheimer Mission. Wo andere nur träumen können und je nach Veranlagung Lara Croft oder James Bond anhimmeln, kann man in grossen Wirtschaftsbetrieben echte Abenteuer bestehen. Falls er zum Beispiel bei der Telekom arbeitet und den Auftrag erhält, den Maulwurf im Aufsichtsrat zu enttarnen, lässt jeder Manager gerne seinen inneren Innenminister raus und zeigt seinem Chef, was man mit Verbindungsnachweisen eines Jahres so anstellen kann.

Und natürlich braucht sowas einen Namen. "Operation" klingt gut, klingt nach Kartentisch, Decknamen, chiffrierten Nachrichten. Jetzt braucht die Operation nur noch einen Namen, irgendwas mit Geld, Gold, fiesen Zwergen, Geheimnis, Tarnung... Und ein Held sollte dabei sein.

Aus der Wahl des Namens lässt sich der Schuldige leicht ermitteln, "Rheingold" ist entweder die Erfindung eines Wagner-Fans oder eines Wolfenstein-Spielers. Ich tippe auf WolfenDOOM:

Vom ersten Moment an als Du die Lobby betrittst, weisst Du, das hier irgendwas nicht stimmt. Du kannst es fühlen, aber Du versuchst, das flaue Gefühl im Magen zu ignorieren als Du die Treppe hochgehst.

In der Nacht zuvor hast Du eine verschlüsselte Nachricht des alliierten Agenten 17 erhalten, die Dich auffordert, ihn im Raum 123 des Hotel de la Mort in Paris zu treffen....

Episode 1: Hotel des Todes
Episode 2: Das Hauptquartier der Gestapo
Episode 3: Finde den Maquis
Episode 4: In die Schweiz
...

Ja, ich glaube, das wars. Wie sie auf den zweiten Teil der Operation kommen, weiss ich nicht. "Operation Clipper" ist entweder ein alliierter Vorstoss auf den Westwall im November 44 oder ein schlecht gewählter Deckname, der auf die Programmiersprache hindeutet, in der die T-Spitzel die Daten auswerten. Vielleicht segelt der Leiter der Operation auch einfach nur gerne.

Übrigens wird nichts grosses bei der Aufdeckung rauskommen. Ich hab mich ja auch gefreut, als ich in der Süddeutschen las, dass im Aufsichtsrat "Gewerkschaftler, Bundesminister und Unternehmer" sitzen. Endlich mal ein abgehörter Minister, könnte ja im Kabinett für eine gewisse Sensibilisierung sorgen. In Wirklichkeit sitzt aber lediglich ein Staatssekretär aus dem Finanzministerium im Gremium, der vielleicht sauer ist, aber sicher nicht viel Wind machen wird.

Bestenfalls ist ein Minister oder Journalist erbost, weil er als Kontaktperson der potentiellen Konzernverräter mit erfasst wurde, und natürlich seine Kontakte und deren Verbindungen... Angeblich gehts ja um "mehrerer hunderttausend Verbindungen", da wird man bei einem 20-köpfigen Kreis der Verdächtigen schon relativ grosse Kreise gezogen haben. Vielleicht kommt sogar ein Schulbeispiel raus, warum Speicherung grosser persönlicher Datenmengen falsch ist. Datenhaufen korrumpieren ihre Besitzer. Liegt sowas erstmal auf Halde, wird es auch missbraucht.

Aus dem Flyer, mit dem die Shell zur Zeit versucht, Stammkunden zu gewinnen:

Veranstalter: Shell Deutschland Oil GmbH,
Suhrenkamp 71-77, 22284 Hamburg

Bitte richten Sie keinerlei Post an die obige Adresse

Ich versteh ja, dass man sich mit den blöden Kunden nicht so gerne abgeben will, aber wenn ich sowas veranstalte, nehm ich doch nicht meine richtige Firmenanschrift her, die ich auch im Impressum verwende, und verbiete den Leuten dann, mir Briefe zu schreiben.

"Die Ausgabe der Rucksäcke erfolgt, solange der Vorrat reicht", macht mich auch ein bisschen stutzig. Vielleicht ist mein Rucksack ja schon weg, wenn ich am 2. Juli die vierte Tankung abgestempelt bekomme.

War übrigens eine Premiere gestern an der Tankstelle. Das erste mal ein dreistelliger Betrag.

[gallery]

Ich hab mal wieder bei der Piratenpartei vorbeigeschaut, die suchen noch Leute, die einen Zettel ausfüllen, damit sie zur Landtagswahl im Herbst 2008 antreten dürfen. Für Oberbayern und Schwaben haben sie nämlich Kandidaten. Sie brauchen nur noch 2000 Oberbayern und 1297 Schwaben, die eine Bewerbung der Piraten befürworten.

Ich füll das Ding mal aus und schicks ihnen, obwohl ich lieber hätte, dass einer der Piraten mit der hübschen Sammelbox vorbeischaut, wenn sie schon extra kleine Schiffchen dafür basteln.

Ob ich sie dann wähle ist eine andere Frage. Das Forum wirkt ja ein wenig verwirrend, ungewohnt, basisdemokratisch, aber so haben andere auch mal angefangen, nur dass man woanders zu den Sitzungen gehn muss um das mitzubekommen. Bei den Piraten kann mans bequem im Forum nachlesen.

Da ich ja trotz anderslautender Umfragen immer noch an die absolute Mehrheit der Union glaube, könnte es eigentlich egal sein. Ob die SPD da mit 40 oder mit 35 und die Grünen mit 15 oder 12 Abgeordneten rumsitzt, ist wurst, da kann man ruhig auch mal eine Stimme an die Chancenlosen als Beweis der Wertschätzung verschenken. Das Argument, dass man nur wählen soll wenn man sich die Erwählten auch in der Regierung vorstellen kann, zählt auch nicht viel. In der SPD kann ich mir ja auch nur den Maget als Ministerpräsident vorstellen bei den Ministern beissts dann schon aus. Der Ude will ja sicher nicht Minister werden und alle anderen Posten müsste man mit (Re)Importen besetzen.

Andererseits, wenns dann an den 0,3% scheitert, dass der Beckstein stürzt, beiss ich mich .... Also mal sehn.

Bei Heise lese ich, dass der Vorsitzende der Gewerkschaft der Polizei gegen das Übermitteln von Daten an die Amerikaner wettert. Er findet nämlich, dass Teile dieser Daten die hiesige Polizei legalerweise garnicht haben dürfte:

Nicht nachvollziehbar seien, so der GdP-Bundesvorsitzende Konrad Freiberg, vor allem die Regelungen zur Übermittlung von Daten, aus denen "Rasse oder ethnische Herkunft, politische Anschauungen, religiöse oder sonstige Überzeugungen oder die Mitgliedschaft in Gewerkschaften" hervorgehe oder "die Gesundheit und das Sexualleben" beträfen.

Konrad Freiberg: "Wozu gerade diese Daten bei der Bekämpfung schwerwiegender Kriminalität wie Terrorismus benötigt werden, ist mir schleierhaft. Ebenso unklar ist, warum und auf welcher Rechtsgrundlage deutsche Sicherheitsbehörden solche datenschutzrechtlich hoch sensiblen Daten überhaupt erhoben und gespeichert haben sollen."

Lustigerweise teilt er dabei die Meinung des Bayerischen Datenschutzbeauftragten, der in wirklich jedem seiner Tätigkeitsberichte meckert, dass die Polizei solche Dinge eben schon speichert. Unsere Polizei hat nämlich eine unüberschaubare Anzahl von Dateien mit tollen Namen angelegt, die unter dem Oberbegriff GAST ("Gefahrenabwehr und Verfolgung von Straftaten und Ordnungswidrigkeiten") alle möglichen Dinge speichern, die noch nicht für den Eintrag ins Führungszeugnis langen.

Ich verstehe das ja auch ein bisschern, die modernen Polizisten brauchen einen Ersatz für den guten alten Schutzmann zu Fuss, der im Gedächtnis hatte, wer in seinem Revier mit welchen finsteren Gestalten rumhängt und wo demnächst ein Eifersuchtsdelikt zu erwarten ist. Solche Informationen über Szenezugehörigkeit, weltanschauliche Überzeugung und sexuelle Vorlieben will man halt jetzt auch noch haben, am besten nicht nur im Stadtviertel, sondern ganz global. Nur sollen die Oberpolizisten bitte nicht so tun, als hätten sie garnichts über uns gespeichert ausser Name und Geburtsdatum.

Ein paar Beispiele aus den Tätigkeitsberichten der letzten Jahre, der Einfachheit halber nur aus Bayern:

• Drei Leute halten bei der Sicherheitskonferenz Transparente mit "Rumsfeld Massenmörder" hoch, einer davon 14 Jahre alt. Das Strafverfahren gegen sie wird eingestellt, weil weder die Staatsanwaltschaft noch Herr Rumsfeld einen Prozess wünschen. Dennoch landen alle drei unter der Rubrik "Antiamerikanismus" in ISIS ("Staatsschutzdatei"). (TB 2006)


• "Bei meiner Prüfung der Speicherungen [in der Datei "Gruppentypische Aggressionsdelikte / kriminogene Gruppierungen / Skinheads] bei einem Polizeipräsidium habe ich festgestellt, dass fünf Personen gespeichert waren, die von der Polizei der sog. Punkerszene zugeordnet wurden. Nach den Erkenntnissen aus der Datei selbst und der mir zu den Personen vorgelegten Unterlagen waren die von der Errichtungsanordnung vorgegebenen Speicherungskriterien nicht erfüllt. Beispielsweise war eine junge Frau gespeichert, zu der als einzige Erkenntnis ihre Eigenschaft als Geschädigte eines Diebstahls vorlag. Auch bei den anderen "Punkern" gab es nach meiner Feststellung keine polizeilichen Erkennisse dafür, dass gegen diese wegen jugend- oder gruppentypischer Aggressionsdelikte ermittelt wurde oder dass sie gewalttätigen Gruppierungen oder deren engerem Umfeld zuzuordnen sind." (TB 2000)


• Zur Datei "Sittlichkeitsdelikte" (SITTE): "Bei meiner datenschutzrechtlichen Prüfung der Polizeidirektion habe ich insbesondere diese Speicherungen auf ihre Zulässigkeit hin überprüft. Dabei stellte ich aber auch eine Speicherung zu einer männlichen Person fest, die allein deshalb in der Datei erfaßt worden war, weil sie bei einer polizeilichen Verkehrskontrolle mit Frauenkleidern in ihrem Pkw angetroffen wurde. Nachdem weder Anhaltspunkte für die Begehung von Straftaten zu der Person vorlagen, noch ein Gefährdungspotential aus dieser Neigung erkennbar war, war ihre Speicherung alleine aufgrund ihrer offenkundigen straflosen sexuellen Neigung unzulässig." (TB 1998)


• Im Tätigkeitsbericht 2002 bemängelt der Datenschutzbeauftragte, dass die Datei "Rasterfahndung BAO-USA", die im September 2001 angelegt wurde um Terroristen zu fangen auch nach der Fahndung immer noch in den Behörden rumgammelt. Das Landeskriminalamt hat die Datei zwar gesperrt, aber nicht gelöscht, weil vielleicht weitere Rasterfahndungen angeordnet werden könnten. Die Datei enthält 94000 Datensätze, wovon ca 1900 manuell überprüft wurden. Die 94000 sind "muslimische Männer zwischen 18 und 40 mit technischem Studium, die sich legal hier aufhalten, keine Sozialhilfe beziehen und aus bestimmten Ländern stammen". Die Daten wurden bei Sozialämtern, Meldebehörden, Ausländerbehörden und Unis angefordert und zusammengeführt.

Das mögen alles Einzelfälle sein, aber zumindest in diesen ist es möglich, einen Datensatz "Muslimischer, antiamerikanischer Punk, der gerne Frauenkleider trägt" an die transatlantischen Freunde zu liefern. Sie haben jedenfalls die Daten und an der Legalität der Erhebung und Speicherung sollte ein deutscher Kriminalhauptkomissar keinen Zweifel haben.

Vielleicht geben unsere Polizisten den Gewerkschaftlern ja keinen Zugriff auf all die schönen Datensätze, was ich aber andererseits nicht glaube, weil der DSB fast mantraartig wiederholt, dass ihn vor allem der breit gestreute Zugriff auf die Daten stört. Es würde aber auch reichen, einfach nur die amtlichen Veröffentlichungen über unsere Polizei zu lesen.

Das wird noch lustig in nächster Zeit mit den schwachen Schlüsseln bei Debians. Werden ja sicher nicht alle umgestellt haben und es wird noch genügend Server geben, die nur darauf warten, einem Botnetz beizutreten.

Inzwischen gibts auch schon Leute, die ihre Rechner über Nacht damit beschäftigt haben, sämtliche möglichen Schlüsselpaare zu berechnen. Ist auch nicht so schwer, sind ja nur 32000 Stück (!) bei bekannter Schlüssegrösse.

Bisher hiess es ja immer "Passwort-Authentifikation ist zu leicht mit Ausprobieren zu knacken, also nimm ein private-public-key-Verfahren, dann bist Du sicher und hast Deine Ruhe". Das stimmt halt auf den verwundbaren Systemen nicht mehr. 32000 Schlüssel sind genauso gut auszuprobieren wie 32000 Passwörter. Und brute-force-Ausprobierer mit ein paar Tausend Versuchen sind nicht selten.

Mal sehn, wann die ersten im Logfile auftauchen, ich glaub ich schau da die nächsten Tage intensiver drüber...

Bei den Passwortausprobierern gibts hier übrigens auch einen Trend hin zu breiter gestreuten und langsameren Angriffen. Statt einer IP-Adresse, die innerhalb weniger Minuten massig ausprobiert, kommen jetzt tröpfchenweise im Minutentakt die Anfragen. Anscheinend zentral gesteuert, sämtliche Teilnehmer des Botnetzes arbeiten sich systematisch durchs Alphabet: Einer probiert den Usernamen "barrett", der nächste "brittney", der dritte "cale". Die Standorte der Botnetz-Mitspieler decken dabei so ziemlich den von Computern bewohnten Teil der Erde ab:

(die Karte zeigt die missglückten ssh-Anmeldungen auf diesem Server der letzten 3 Tage, unabhängig davon, ob das ein einzelner Versuch, ein brute force oder ein Vertipper von mir war)

Link gefunden bei Fefe