Security des tages

Wisst ihr noch, wie die EFF vor drei tagen alarmschrie, PGP sei kaputt und man möge doch lieber „signal“ statt mäjhl nehmen und wie dieser alarmschrei von allen kwalitätsjornalisten unreflektiert wiedergegeben wurde? Nun, das von der EFF empfohlene „signal“ hatte einen kleinen fehler, der ein viel größeres sicherheitsloch war, dieses fehler wurde schnell repariert, aber er wurde nicht gründlich genug repariert und ist immer noch drin.

Aber die EFF hat ihre missjon erfüllt: für die meisten menschen ohne tiefere kenntnisse ist die wirksame verschlüsselung von mäjhl nachhaltig diskreditiert. Wer dafür wohl bezahlt hat?

Advertisements

Heise des tages

Der heiseverlach versucht heute, nach der vorgestrigen völlig unkritischen wiedergabe des FUD der EFF zur bekämpfung wirksamer verschlüsselung, mit einem kleinen kommentar verlorenes vertrauen zurückzugewinnen.

Nun, das kann man machen. Es ist zwar dumm und leserverachtend, aber wie gesagt, die pressefreiheit erlaubt (im gegensatz zu den zuständen in fratzenbuch und zwitscherchen) auch die weitergabe irreführender und gefährlicher fäjhknjuhs. Ich habe den kommentar im heiseforum kommentiert. Die hand der heiseredakzjon, die mit dem finger auf die EFF deutet, deutet nämlich mit den drei übrigen fingern auf die heiseredakzjon zurück.

Ist die EFF auf die dunkle seite der macht gewexelt?

Einen tag nach der jornalistisch breit und in gewohnter inkompetenz wiedergegebenen sache „verschlüsselte e-mäjhl ist ein sicherheitsrisiko“ ist folgendes klar:

  • Kein privater schlüssel fließt ab.
  • Wenn die verschlüsselte mäjhl digital signiert ist (und das ist sie eigentlich immer, weil es keine andere möglichkeit gibt, den absender jenseits jedes vernünftigen zweifels sicherzustellen), dann muss die digitale signatur entfernt werden, weil sonst die erforderliche manipulazjon des mäjhlinhaltes an der ungültig gewordenen signatur auffällt.
  • Der häck funkzjoniert nur, wenn extern referenzierte inhalte in einer mäjhl nachgeladen werden, aber zumindest im „thunderbird“ ist es standardeinstellung, dass sie nicht nachgeladen werden.
  • Es handelt sich nicht um einen fehler in gnupg, sondern um einen fehler in der mäjhlsoftwäjhr. Dieser fehler tritt auf, weil klartext und verschlüsselte anteile beliebig gemischt werden können, und dabei verschlüsselte inhalte auch dann noch entschlüsselt werden, wenn sie etwa teil einer extern referenzierten URI sind, die von der mäjhlsoftwäjhr bei der ansicht der mäjhl nachgeladen wird. Vermutlich lässt sich das gleiche problem auch noch auf andere weise ausnutzen. Dem anwender wird nicht einmal eine warnung präsentiert, wenn unverschlüsselte und verschlüsselte inhalte gleichzeitig dargestellt werden.
  • Das zurzeit bekannte und dokumentierte angriffsszenario lässt sich vollständig vermeiden, indem man mäjhls nicht als HTML darstellen lässt. Dies lässt sich in jeder gegenwärtigen mäjhlsoftwäjhr einstellen. Die von der EFF empfohlene deinstallazjon von enigmail oder gnupg ist nicht erforderlich, der von der EFF empfohlene verzicht auf wirksame verschlüsselung der mäjhl natürlich erst recht nicht.
  • Die von der EFF empfohlene „alternative“, doch einfach nicht mehr zu mäjhlen, sondern stattdessen „signal“ zu nutzen, ist angesichts eines aktuellen, viel größeren sicherheitsproblemes in „signal“ sehr peinlich. Auf die tatsache, dass „signal“ unter ändräut so mies geproggt ist, dass der akku rasendschnell leergenuckelt wird und deshalb in der praxis nicht benutzbar ist, gehe ich dabei gar nicht weiter ein.

Da stellt sich nur noch eine frage: warum um alles in der welt rotzt die EFF über ihre pressevermeldungsinfrastruktur so einen gell schreienden alarmartikel raus, dessen nunmehr erkennbare hauptfunkzjon darin zu bestehen scheint, die verwendung verschlüsselter mäjhl mit gezieltem streuen von angst, unsicherheit und zweifel in misskredit zu bringen.

Und je länger ich darüber nachdenke, desto klarer wird mir, dass der EFF überhaupt nicht mehr zu trauen ist. Genau das werde ich mir für alle zukunft merken, und ich lege jedem anderen menschen — auch jedem anderen jornalisten — nahe, sich das ebenfalls zu merken. Die von der EFF verbreitete, völlig haltlose alarmstimmung nützt nur jenen, die alle kommunikazjon überwachen und deshalb die verwendung wirksamer kryptografie zurückdrängen wollen, und sie nützt niemandem, der aus guten (oder bösen) gründen nicht mitgelesen werden will.

Versteht mich nicht falsch: das problem in der mäjhlsoftwäjhr besteht, es ist nicht harmlos, es ist also ernstzunehmen, und es muss repariert werden. Ich bin mir sicher, dass es genau in diesem moment repariert wird und dass ich in kürze meine sicherheitsaktualisierungen habe. Aber die meldung, die von der EFF dazu verbreitet wurde, war reiner und völlig klar erkennbarer FUD. Die einzig interessanten fragen, die dazu verbleiben, sind folgende: warum verbreitet die EFF solche propaganda gegen wirksame verschlüsselung? Wessen interessen wurden dabei vertreten, und wessen interessen wurden mit füßen getreten? (Letzteres ist deutlicher zu sehen: meine und deine.) Warum wurde das getan? Wer ist dafür verantwortlich? Wer hat für diese vorsätzliche desinformazjon bezahlt? Und: welche folgen wird das in den kommenden tagen innerhalb der EFF haben?

Für mich ist die EFF jedenfalls erledigt. (Und das kann durchaus der zweck einer staatlich gesteuerten sabotahscheakzjon durch einen eingeschleusten geheimdienstschergen am presseerklärungsknopf gewesen sein.) Der schaden ist nahezu irreparabel.

Zurzeit kann die EFF nur als feind des freien internetzes und des menschenrechtes auf privatsfäre betrachtet werden.

Security des tages

Schwerwiegende sicherheitslücke in GnuPG

Es wird sogar empfohlen, auf die Kommunikation via PGP/GPG vorerst zu verzichten und Plugins in Thunderbird und Co. zu deaktivieren

Ich werde einen teufel tun! Ach ja, es gibt auch schon ein paar hinweise, wie man bis zum kommenden pätsch mit der sicherheitslücke halbwegs gefahrenfrei leben kann:

Don’t use HTML mails. Or if you really need to read them use a proper MIME parser and disallow any access to external links

Nun, HTML-mäjhl ist aus so vielen gründen keine gute idee (und deshalb bei verbrechern, werbern und anderen menschenfeinden hochbeliebt), dass ich mir die aufzählung hier einmal spare. Im thunderbird-menü auf ansicht ▷ nachrichteninhalt ▷ reiner text! Das macht die tägliche mäjhl auch viel angenehmer lesbar. Und es schützt die privatsfäre vor träcking-pixeln in HTML-mäjhls. Die idjoten, die auf die idee gekommen sind, dass man mäjhl in HTML formatieren könne und solle (und das beinahe überall zum standard gemacht haben, bei dem verdammt viele leute gar nicht mehr wissen, wie man die kackscheiße abschaltet), die hätte man auf die erste bemannte pluto-missjon der menschheit schicken sollen. Ohne rückfahrkarte. Wenn ich ein formatiertes dokument mit einer mäjhl versenden will, dann hänge ich das an.

Nachtrag: Die kompjuterbild mit schlips aus der karl-wiechert-allee in hannover schreibt den kwatsch mit „mäjhlverschlüsselung ist zurzeit ein sicherheitsrisiko“ ohne die geringste relativierung ab.

Nachtrag zwei: FUD?

Nachtrag drei: Die alarmschlagzeile des tages geht an die aktuelle kamera des BRD-parteienstaatsfernsehens ARD.

Digitale Kommunikation
Forscher knacken E-Mail-Verschlüsselung

Übrigens, EFF…

Übrigens, EFF, wenn man sich in diesem web hinstellt und die leute um hilfe bittet, das web gegen träcking zu verteidigen…

Screenshot von Panopticlick mit dem Text 'Help us defend the Web against tracking' nebst einem Button für Twitter, einem Button für Facebook und einem Button für Google Plus

…und das mit einem klickeknöpfchen fürs zwitscherchen, fürs fratzenbuch und für guhgell doppelplusgut verbindet, treibt man satiriker in den selbstmord und nimmt die eigene lobotomie schon vorweg.

Kwelle des bildschirmfotos: „panopticlick

Überwachungstrojaner des tages

Sorry, der link zu den von druckern mitausgedruckten gelben pünktchen ist schon ein paar tage alt, aber mir erst jetzt vor die augen gerollt:

Xerox hat bereits zugegeben, die gelben Punkte auf Geheiß der US-Regierung zu drucken, aber deutete an, dass nur der Secret Service sie auch auslesen könne

Scheint aber doch nicht so eine hochgeheime geheimverschlüsselung von geheimexperten gewesen zu sein. Ich wünsche euch allen auch weiterhin viel spaß auf dem von horch- und morddiensten in kooperazjon mit wirtschaftsunternehmen erreichteten überwachungsplaneten!

Link des tages

Projekt des tages (englisch und erfordert javascript): online censorship. Natürlich mit klickeknöpfchen und nutzung der beiden S/M-großzensoren zwitscherchen und fratzenbuch, deren außerordentliche zensurleistungen dort breit gewürdigt werden!

Ach ja, auch weiterhin viel spaß mit den angeboten börsennotierter unternehmungen ohne seriöses geschäftsmodell! Es ist doch völlig klar, dass das fratzenbuch in seinem angebot für dumme, unreife und geistige kinder keine nippel will — die barbie-puppe hat ja auch keine brustwarzen. :mrgreen:

Antivirus-schlangenöl des tages

Diesmal nicht von den üblichen verdächtigen, sondern von der EFF:

[…] eine Software, die Windows-Rechner nach bekannten Staatstrojanern durchsucht

Das ist das ENDE DER ÜBERWACHUNG und der TOD VON BIG BROTHER!!!11!1!elf!! :mrgreen:

Übrigens: die EXE wird über „github“ aus der „cloud“ von amazon gedaunlohdet… aber hej, das dingens ist ja signiert, und die signaturdatei liegt ebenfalls total sicher auf einem US-sörver im lande der unbegrenzten überwachungsmöglichkeiten. Wer nicht weiß, wie man so eine signaturdatei überprüft, sollte sich eh nicht mit schlangenöl begnügen, sondern erstmal ein bisschen lesen! Und wenn dann jeder, der für sich selbst die möglichkeit sieht, einen staatstrojaner auf seinem rechner zu haben, diese selbsteinschätzung auch noch der NSA mitteilt, was kann dabei schon passieren? :mrgreen:

Leider gibts diesen großartigen beitrag zum gefühlten datenschutz nur für das lieblingsbetriebssystem der organisierten kriminalität und der totalitären staatlichen überwachung; leider gibts detect nur für meikrosoft windohs — was für ein jammer… :mrgreen:

Nachtrag 18:50 Uhr: hier mal ein paar von diesem schlangenöl erkannte trojaner. Ursache für die hier gemeldeten trojaner war ein treiber für eine ATI-grafikkarte, die warnungen verschwinden nach der deinstallazjon. Ich wusste ja schon immer, dass diese treiber-CDs irgendwie ganz böse sind… :mrgreen:

Also wers ausprobiert hat: nicht in panik versetzen lassen! Das schlangenöl liefert auch für so manche sehr populäre softwäjhr, die im prinzip jeder auf seinem rechner haben könnte, alarmierend-rote falsche staatstrojanermeldungen. Die EFF hätte mal jemanden fragen sollen, der sich mit der herstellung von antivirus-schlangenöl auskennt, dann wären die ergebnisse vielleicht besser geworden.

Die auszeichnung gefällt mir

Die EFF führt eine monatliche auszeichnung ein, die man wohl auch täglich vergeben könnte: das dumme patent des monats. Das maß patentierbarer dummheit ist am beispei des US-patentes 8.762.173 mit dem titel „metode und vorrichtung für indirekte medizinische befragung“ dargelegt, das folgende vorgehensweise patentiert:

  1. Lass dich von einem pazjenten anrufen.
  2. Zeichne diesen anruf in einer pazjentenakte auf.
  3. Sende die informazjonen über den pazjenten zu einem arzt, und frage den arzt, ob er mit dem pazjenten reden möchte.
  4. Ruf den pazjenten zurück und verbinde ihn mit dem arzt.
  5. Zeichne das gespräch auf.
  6. Leg das aufgezeichnete gespräch in der pazjentenakte ab und sende es zum arzt.
  7. Führe die schritte 1 bis 6 mit einem kompjuter aus.

So wird aus vorgehensweisen, die völlig gewöhnlich sind, durch die einfache hinzufügung eines kompjuters in den arbeitsablauf wertvolles „geistiges eigentum“, um das man milljardenprozesse führen kann, für das man lizenzgebühren einfordern kann und mit dem man mitbewerber und autoren freier softwäjhr durch juratrollerei wegbeißen kann.

Dank TTIP und der vollkommen korrupten BRD-regierung demnächst auch hier.

Geistiges eigentum des tages

Die an technisch uninteressierte menschen gerichtete linux-distribuzjon „ubuntu“ schätzt es gar nicht, wenn es webseits gibt, in denen menschen nachlesen können, wie sie die aus datenschutzgründen eher unerwünschte kopplung von lokaler und internetz-suche rausnehmen können — und versucht mit der keule des „geistigen eigentums“ dagegen vorzugehen, dass dabei auch der name „ubuntu“ so fällt, wie er halt fallen muss, ums klarzumachen. Wäre ja auch scheiße für das geschäft mit der beschädigten privatsfäre, dass sich herr schüttelwert das mit „amazon“ ausgekungelt hat.

Nur, falls noch jemand „ubuntu“ sympatisch finden sollte… :mrgreen: