cpunk - the cypherblog

Zwei Tage, nachdem die Antwortschreiben des Bundesinnenministeriums bzgl. des Bundestrojaners veröffentlicht wurden, bekam nun der Chaos Computer Club den Gesetzentwurf des BKA zugespielt - und der beinhaltet wahrlich ein paar Horrorvorhaben...
Der CCC schreibt in seiner Presseerklärung:

Darin ist u. a. vorgesehen, dass der Einsatz des Bundestrojaners auch ohne die Genehmigung eines Richters erfolgen soll, der normalerweise bei einem Grundrechtseingriff dieser Art obligatorisch ist. Durch die weitgehenden Befugnisse für die Ermittler entsteht der Eindruck, der Bundesinnenminister ignoriere die Vorgaben des Grundgesetzes vollständig.

Auch die Pflicht der Behörde, nach dem Ende von Überwachungsmaßnahmen die betroffenen Bürger zu benachrichtigen, wird durch den Gesetzentwurf weiter eingeschränkt.
[...]
Das BKA soll zudem personenbezogene Daten auch aus den Datenbeständen von Unternehmen erheben, speichern und verstärkt auf die erkennungsdienstliche Behandlung zurückgreifen dürfen. Für Ermittlungen ist der praktisch unregulierte Einsatz von Observationen auch mit Hilfe technischer Mittel vorgesehen. Dies beinhaltet die akustische und optische Überwachung der Betroffenen sowie den Einsatz von V-Leuten und verdeckten Ermittlern auch innerhalb von Wohnungen.

Eigentlich fand ich die Aktion �Stasi 2.0� bisher ja immer ein wenig unpassend... Aber wer obiges liest, muss so langsam wohl ins grübeln kommen, ob sie nicht doch genau den Punkt trifft.

Google ist ja längst als große Datenkrake bekannt... Heute allerdings las ich im Blog von Joshua Greenbaum doch tatsächlich: �The Content in Google Apps Belongs to Google�. Er zitiert in dem Beitrag eine erschreckende Passage aus den Nutzungsbedingungen der Google-Apps, die genau so auch in den deutschen Bedingungen stehen:

11. Von Ihnen gew�hrte Lizenz f�r Inhalte
11.1 Ihre Urheberrechte sowie alle anderen Rechte, die Sie bezüglich der von Ihnen in den oder über die Services übermittelten, eingestellten oder dargestellten Inhalte innehaben, verbleiben bei Ihnen. Durch Übermittlung, Einstellung oder Darstellung der Inhalte gewähren Sie Google eine dauerhafte, unwiderrufliche, weltweite, kostenlose und nicht exklusive Lizenz zur Reproduktion, Anpassung, Modifikation, Übersetzung, Veröffentlichung, öffentlichen Wiedergabe oder öffentlichen Zugänglichmachung und Verbreitung der von Ihnen in oder durch die Services übermittelten, eingestellten oder dargestellten Inhalte.

Ich bin ja kein Jurist, aber auch die finden das äußerst bedenklich, so z.B. Matt Asay: �Does Google own your content?� Er stellt in seinem Beitrag auch fest, dass diese Klausel nicht durch Googles Datenschutzbestimmungen abgeschwächt wird.

For the purpose of �promoting Google services� is too broad--it gives Google way too much wiggle room. And then the follow-on sentence, reserving the right for Google to use one's content for other Google services...I like that even less.
Reading the company's data privacy policy doesn't remediate the above. It leaves a gaping hole for Google to drive its privacy invasion "truck" through.

Über den sogenannten Bundestrojaner (jetzt also RFS: Remote Forensic Software) wird ja in allen möglichen Blogs und Nachrichtenseiten im Netz eine ganze Menge geschrieben und gelästert - daher habe ich mich da bisher nicht auch noch sonderlich eingemischt...

Nun aber wurden auf netzpolitik.org die Antworten des Bundesinnenministeriums auf Fragen des Bundesjustizministeriums und der SPD-Fraktion zu Schäubles Lieblingsspielzeug dokumentiert und kommentiert. Allein das ist alles schon sehr lustig und lesenswert.

Ein heute veröffentlichter kleiner Verriss von Felix von Leitner in seinem Blog veranlasste mich dann aber doch zu diesem Beitrag - da hat man nämlich schon gleich den zweiten Lacher gefunden. Fefe schreibt u.a. zu der Annahme des BMI, Reverse Engineering sei bei dem RFS wegen der verwendeten Verschlüsselung nicht möglich:

Dieser eine Satz reicht, um ihnen sämtliche auch nur in Resten von Fetzen vorhandene Sachkenntnis pauschal abzusprechen. Das ist so grotesk falsch, daß man sich ab dieser Stelle gar nicht mehr inhaltlich mit ihrem Geschreibsel beschäftigen muß, man kann sich auf den Stil beschränken.

Das ist im übrigen eine ähnliche Feststellung, wie sie schon der ChaosComputerClub in seiner Pressemitteilung zu den peinlichen Trojanerbefällen auf Regierungsrechnern veröffentlichte. Andy Müller-Maguhn, der Sprecher des CCC wird darin zitiert:

Die Behauptung des BMI, die Sicherheitsbehörden und das Bundesministerium des Innern (BMI) verfügten �grundsätzlich über genügenden Sachverstand�, erscheint angesichts der Unfähigkeit, Spionage-Trojaner selbst in sensibelsten Bereichen wie im Kanzleramt zu verhindern, als Pfeifen im dunklen Wald.

Sehr schön, wie sich die Schäuble-Leute gerade blamieren... :D
Das verspricht noch sagenhaften Spaß!

Wer auch desöfteren einmal mit dem Laptop im Zug unterwegs ist, aber nicht aufs Internet verzichten mag, findet in Ganneffs little Blog einen interressanten Beitrag. Ganneff beschreibt hier kurz, wie man komfortabel eine stabile Internet-Verbindung über UMTS (3G) hinbekommt.
Er schreibt:

And from what I could read about the windows software that comes with the card - I am glad to have Linux. After all the only thing I had to figure out was the fact that everything just works and I just have to point my dialup app at the right interface... In Windows you have to install tons of megabytes of bullshit, possibly with ten reboots. Ha.

Ich hatte vor drei Tagen über den Ausfall der Microsoft-WGA-Server berichtet, die inzwischen wieder zu laufen scheinen. Wie golem meldet, waren die Server, die die Echtheit der Software-Lizenzen während der Installation von Windows XP und Vista überprüfen, nicht tagelang, aber doch ganze 19 Stunden nicht erreichbar. Weltweit waren daraufhin nach Angaben von Microsoft 12.000 Windows-Systeme quasi als Raubkopien eingestuft worden, da sie sich nicht dieser Online-Prüfung stellen konnten.

Die Folge war, dass diese Installationen nur im �reduced functionality mode� liefen, d.h. einige Funktionen wurden einfach deaktiviert:

Neben der Aero-Oberfläche betrifft dies die Funktionen ReadyBoost sowie Windows Defender. Letzterer erkennt dann zwar alle Schadensroutinen weiterhin, bereinigt aber nur noch die schwerwiegenden Fälle. Zudem können Programm-Updates über Windows Update nicht mehr bezogen werden. Einzige Ausnahme sind hier Sicherheits-Updates.
golem.de

Warum benutzt das nochmal jemand?!

Auf dem OpenMoko lässt sich so einiges installieren - unter anderem natürlich auch Debian.

Jan Lübbe stellte vor zwei Tagen einen tarball seines chroot zur Verfügung. In seinem Blog erläutert er, dass es sich dabei um einen Debian ARM EABI port handelt, und er nun via Aptitude im Prinzip alle verfügbaren Debian-Pakete auf das Mobiltelefon installieren könnte... :)

Wolfgang Lonien nahm einen Beitrag Jabari Zakiyas (�Beware of Skype�) zum Anlaß, ein starkes Plädoyer (�Why proprietary code is bad for security�) für die Nutzung von Open-Source-Produkten zu verfassen.

Zakiya hatte in seinem Beitrag die Möglichkeit nicht ausgeschlossen, dass der Skype-Crash vom 16. August etwas mit einem neuen Gesetz in den USA zu tun haben könnte, das den Behörden dort die Überwachung elektronischer Kommunikation erlaubt. Er schreibt daher:

�Since Skype is a proprietary commercial enterprise, it doesn't allow for open source auditing of their code; so they can tell us anything without providing any independent means of verification. And I put nothing past the people in the government to deliberately compromise it.�

Lonien weist nun noch einmal darauf hin, dass keinE NutzerIn wirklich wissen könne, was die proprietäre Software auf ihren Rechnern überhaupt genau mache:

�How often have I heard users claiming that they �don't know what that PC is trying to do� - they don't trust their own machines, and have a reason not to. That reason is called �proprietary code� - a black box which does magic, and no one knows how. No one except the makers, of course.

[...] Say no to companies, or even governments who treat you like this. Start using open sourced products and protocols wherever you can. Even if *you* could still never understand the code used in these systems, there are still lots of people who can, and who will examine it.�

Bleibt also nur eins: Endlich einmal ein vernünftiges OS installieren!

Das kann auch nur der großen Firma mit ihrem proprietären Angebot passieren:
Seit heute sind offensichtlich die WGA-Server von Microsoft down - was für Leute, die in diesen Tagen Windows XP oder Vista installieren wollten, unangenehme Folgen hat. Bei jeder Installation dieser Betriebssysteme funken diese Angaben zu Big Brother Microsoft, um die �Echtheit� der Installationssoftware zu überprüfen. Scheitert dieser Test, schaltet Windows in einen �reduced functionality mode� um, d.h. einige Features funktionieren einfach nicht - DirectX beispielsweise wird in diesem Modus abgeschaltet.

Hinzu kommt noch, dass die Microsoft-Leute ihre installierwilligen Kunden sogar auf den 28.08. vertrösten - erst dann sollen diese einen neuen Versuch starten. :)
Bleiben also genau drei Tage Zeit, sich vom überlegenen Betriebssystem zu überzeugen! Da gibt's dann auch kein Leid mit beklopptem DRM...

In einem Interview mit dem apcmag erzählt Linus Torvalds ein wenig aus dem Nähkästchen, und erklärt uns doch tatsächlich, dass er noch nie Debian ausprobiert habe:

�Before Fedora had PowerPC support, I ran YDL for a while, and before that I had SuSE. Funnily enough, the only distributions I tend to refuse to touch are the "technical" ones, so I've never run Debian, because as far as I'm concerned, the whole and only point of a distribution is to make it easy to install (so that I can then get to the part I care about, namely the kernel), so Debian or one of the "compile everything by hand" ones simply weren't interesting to me.�

Der Mann hat wohl schon seit längerem keine entsprechenden Images mehr in der Hand gehabt...
Ausgerechnet SuSE... ojeoje!

Dumme Fehlermeldungen gibt es unter Windows eine ganze Menge...
Ein wenig zu genau nehmen die Redmonter es hier mit der Sicherheit des zu wählenden Passworts:

Ihr Kennwort muss aus mindestens 18870 Zeichen bestehen und darf mit keinem der vorherigen 30689 Kennwörter identisch sein. Bitte geben Sie ein anderes Kennwort ein. Geben Sie ein Kennwort ein, das die Anforderungen für beide Textfelder erfüllt.

Die Meldung entstammt Microsofts Support-Seiten. Gefunden habe ich das auf aptgetupdate.de