ScusiBlog

background emmission of scusi

Sep 23, 2014 - 2 minute read - octopress Ubuntu 14.04.1 LTS Ruby rbenv In eigener Sache just for the record

Octopress auf Ubuntu 14.04.1 LTS installieren

Ich habe meine VM - mit der ich u.a. dieses Blog hier aktualisiere - neu aufgesetzt. Das nehme ich zum Anlass für mich selber, und für alle anderen die es interessiert zu dokumentiert wie man octopress sowie die Abhängigkeiten unter Ubuntu 14.04.1 LTS installiert.

git installieren

Git installieren wir einfach aus den Ubuntu Paketquellen

sudo apt-get install git

rbenv installieren

rbenv ermöglicht die paralelle installation von verschiedenen Ruby Versionen, unbedingt angeraten zu nutzen. rbenv und ruby-build gibt es zwar auch als in den Ubuntu Packetquellen ich habe aber mit der Ubuntu Version schlechte Erfahrungen gemacht und installiere lieber von der Quelle.

cd
git clone git://github.com/sstephenson/rbenv.git .rbenv
echo 'export PATH="$HOME/.rbenv/bin:$PATH"' >> ~/.bashrc
echo 'eval "$(rbenv init -)"' >> ~/.bashrc
exec $SHELL

git clone git://github.com/sstephenson/ruby-build.git ~/.rbenv/plugins/ruby-build
echo 'export PATH="$HOME/.rbenv/plugins/ruby-build/bin:$PATH"' >> ~/.bashrc
exec $SHELL

octopress installieren

Octopress per git auf den eigenen Rechner klonen. Ich habe meine octopress webseiten unterhalb des Verzeichnis ~/sources.

cd ~/sources
git clone git://github.com/imathis/octopress.git octopress
cd octopress 

Einmal alle Ruby Pakete installieren die Octopress benötigt.

gem install bundler
rbenv rehash
bundle install 

Octopress Vorlagen installieren. Diesen Schritt sollte man nur bei der allerersten Installation machen. Hat man bereits eine eigene Vorlage sollte man diesen Schritt auslassen da die eigenen Änderungen an der Vorlage (Theme) ansonsten verloren gehen.

rake install

Jetzt sollte man noch die Dateien Rakefile und _config.yml an die eigenen Bedürfnisse anpassen.

Sep 15, 2014 - 3 minute read - BPjM gameinferno.de Zwischenstand

Zwischenstand gameinferno.de

Ich hab heute nochmal bei der BPjM Nachgefragt, sie haben mir daraufhin die Entscheidung zur Streichung von gameinferno.de als PDF zukommen lassen. Habe ich auf gameinferno.de dokumentiert. Ausserdem wollte ich von der BPjM wissen ob sie den nun auch bei den Suchmaschienen und Filterhersteller dafür sorgen dass die Einträge für `gameinferno.de*Wieder gelöscht werden. Ja wollen sie, Zitat:

Ein Update des BPjM-Moduls, in dem die o.g. URL nicht mehr enthalten ist, wurde am 3.9.2014 an die Nutzer des Moduls versandt; das Update wird nunmehr in die dortigen Systemen eingearbeitet.

Ich bin gespannt wann dieses Update meine Firtzbox erreicht.

Bei google habe ich beantragt die domain gameinferno.de wieder in den Suchergebnissen anzuzeigen. Das richtige Formular dafür ist übrigens hier.

Es bleiben noch eine Reihe juristischer und anderer Fragen zu klären. Thomas Stadler hat in seinem Blog auch schon einige Fragen aufgeworfen.

Mir fallen vorerst die folgenden Fragen ein, auf die ich gerne eine Antwort hätte.

  • Warum wurde die domain gameinferno.de überhaupt an Hersteller von Filterprogrammen übermittelt? Im Gesetz ist dies nur für den Fall vorgesehen dass die Tat im Ausland begangen wurde, vgl. JuSchG §24 Abs. 5. Das trifft in meinem Fall mit einer de Domain sowie dem Server und Domaininhaber in Deutschland sicher nicht zu.

  • Warum wurde die domain gameinferno.de an Suchmaschienen wie Google und Yahoo gemeldet? Meiner Meinung nach gibt es dazu keine Rechtsgrundlage, da es sich bei den implementierungen der Suchmaschienen nicht um nutzerautonome Filter handelt.

  • Warum wurde nicht mit dem erlöschen der Domainregistrierung des Vorbesitzers die Domain bereits aus den Zensurlisten gestrichen? Bereits damals war der Grund für eine Aufnahme in die Liste entfallen und die Tatsache öffentlich bekannt. In diesem Fall sieht das Gesetz vor die Eintragungen von Amts wegen unverzöglich zu streichen. Vgl. JuSchG §21 Abs. 5.

  • Warum stehen auf den Zensurlisten der BPjM haufenweise (mehrere hundert) Einträge die dort nicht hingehören? Unter anderem stehen da bis zum heutigen Tage Domains die es nicht mehr gibt, URLs deren Inhalte nicht mehr indizierungswürdig sind, falsch geschriebenen URLs die nie einen Treffer erzeugen werden.

  • Warum wird die BPjM nicht von Amts wegen tätig wie es das Gesetz verlangt?

  • Warum prüft die BPjM die Einträge auf ihren Zensurlisten nicht regelmäßig, ob der Grund zur Indizierung überhaupt noch besteht?

  • Warum kann die BPjM gegen geltendes Recht verstoßen ohne das es zu irgendwelchen Konsequenzen kommt?

Update | Fr 19. Sep 13:59:53 CEST 2014

Gestern habe ich bemerkt, dass meine FritzBox ein Update für das BPjM Modul erhalten hat. Zumindest auf FritzBoxen ist damit gameinferno.de im BPjM-Modul wieder freigeschaltet. Google hat leider noch nicht auf meine Beschwerde reagiert.

Ein paar Zahlen zur aktuellen BPjM-Zensurliste

Aktuell befinden sich 3472 Einträge auf der Liste. Im vergleich zur vorher gültigen Liste wurden 72 Einträge entfernt und 361 Einträge hinzugefügt. Unter den 72 entfernten Einträgen war auch der Eintrag für gameinferno.de.

Sep 9, 2014 - 7 minute read - gameinferno.de BPjM

Neue Domain und alte Zensurlisten

Ich hab mir am 15.07.2014 eine neue Domain gameinferno.de geklickt. Recht schnell musste ich feststellen, dass gameinferno.de auf dem Index steht - wie es landläufig so schön heißt.

Wenn man bei google.de nach gameinferno.de sucht, bekommt man unter den Suchergebnissen eine Meldung wie die folgende eingeblendet.

Klickt man auf den Link Information über diese Rechtsgründe steht dort:

Ihre Suche hätte in den Suchergebnissen einen Treffer generiert, den wir Ihnen nicht anzeigen, da uns von einer zuständigen Stelle in Deutschland mitgeteilt wurde, dass die entsprechende URL unrechtmäßig ist.

Hinter der zuständigen Stelle in Deutschland verbirgt sich in diesem Fall die Bundesprüfstelle für jugendgefährdende Medien - abgekürzt BPjM - so vermutete ich.

Diese BPjM führt eine Liste jugendgefährdender Medien. Eine Liste ist nicht ganz korrekt es sind gleich mehrere Listen. Details zu den einzelnen Listen stehen in der wikipedia.

Für Onlinemedien - Telemedien heißt das im Gesetz - gibt es zwei Listen die relevant sind. Im Gesetzestext werden diese als Liste C und Liste D bezeichnet. Dazu heißt es:

Liste C: (Nichtöffentliche Liste der Medien) die jugendgefährdenden Trägermedien, die nur deshalb nicht in Liste A aufzunehmen sind, weil bei ihnen von einer Bekanntmachung der Aufnahme in die Liste gemäß § 24 Abs. 3 Satz 2 JuSchG abzusehen ist, sowie alle Telemedien die jugendgefährdend sind und bestimmten Verbreitungsverboten des § 4 Jugendmedienschutz-Staatsvertrag (JMStV) unterliegen, soweit sie nicht Liste D zuzuordnen sind

Liste D: (Nichtöffentliche Liste der Medien mit nach Ansicht der BPjM absolutem Verbreitungsverbot) die Trägermedien, die nur deshalb nicht in Liste B aufzunehmen sind, weil bei ihnen von einer Bekanntmachung der Aufnahme in die Liste gemäß § 24 Abs. 3 Satz 2 JuSchG abzusehen ist, sowie alle Telemedien, die möglicherweise strafrechtsrelevanten Inhalt haben und für die nach der für Gerichte allerdings unverbindlichen Ansicht der BPjM weitergehende Verbreitungsverbote nach StGB gelten.

Ich habe daraufhin - um meine Vermutung zu bestätigen - am 28.07.2014 erstmal eine Anfrage an die BPjM gestellt. Diese Anfrage ist hier dokumentiert.

Eine Woche später - Behörden in Deutschland sind anscheinend vorallem immer noch eines, Langsam - bekam ich die Bestätigung von der BPjM, dass meine gameinferno.de in der Tat auf der Liste C geführt wird.

Sehr geehrter Herr Walther,

vielen Dank für Ihre Mail. Die Domain “gameinferno” wird in der Liste geführt. Die URL wird in Listenteil C geführt. Die Entscheidung mit der Begründung ist angehängt. Nein das darf die BPjM von Gesetzes wegen nicht prüfen. Die BPjM darf hier nur auf Antrag des Anbieters tätig werden, der von dem Verfahren in Kenntnis gesetzt wurde. Siehe Antwort zu Frage 5.

Mit freundlichen Grüßen

Die erwähnte angehängte Entscheidung als PDF. Diese Entscheidung ist auch nochmal so eine Geschichte, mir standen die Haare zu Berge als ich die gelesen habe.

Was mir noch direkt auffiel an der Antwort: Die BPjM hat keine Ahnung von Telemedien und hat mit so Konzepten wie URL und FQDN anscheinend arge Verständnisprobleme.

Die Domain “gameinferno” wird in der Liste geführt.

aus der oben zieteirten Antwort der BPjM

Die Domain gameinferno gibt es gar nicht. Die Domain heißt gameinferno.de. An derlei Schnitzern sieht man sehr schön dass die Mitarbeiter der BPjM zwar gerne das Internet zensieren wollen, aber selbst einfache und grundlegende Konzepte wie fully qualified domain names (FQDN) nicht verstanden haben.

Was mich an der Antwort auch stutzig gemacht hat ist die Antwort auf meine Frage 5:

Frage: #5 Überprüfen sie bei Telemedien regelmäßig ob die Gründe welche zur Indizierung geführt haben noch fortbestehen? Antwort: Nein das darf die BPjM von Gesetzes wegen nicht prüfen. Die BPjM darf hier nur auf Antrag des Anbieters tätig werden, der von dem Verfahren in Kenntnis gesetzt wurde.

Dass es ein Gesetz gibt, welches Bundesbehörden die Benutzung des Befehls whois verbietet ist mir neu. Ich hab auch gleich zurück geschrieben und nach der gesetzlichen Grundlage gefragt. Antwort der BPjM ist hier dokumentiert. Kurz gesagt glaubt man bei der BPjM dass es Bundesbehörden verboten ist den Befehl whois zu nutzen. Unglaublich, aber leider wahr.

Wie auch immer, nach langem hin und her, nach einigen Telefonaten und Emails mit der BPJM habe ich am 3. September 2014 endlich die Ankündigung bekommen, dass die BPjM beschlossen hat meine neu erworbene Domain von der Liste zu streichen.

Leider ist die Streichung bis heute nicht erfolgt, oder die Zensurlisten sind noch nicht aktualisiert worden. Die Domain ist auf jeden Fall immer noch auf dieser BPjM Zensurliste enthalten und wird von allen Filterrogrammen die ein sog. BPjM-Modul integrieren gesperrt.

Sperrseite der Fritzbox bei aktiviertem BPjM-Modul vom 10.09.2014

Ich finde es - offen gestanden - absolut unakzeptabel was die BPjM hier macht und wie langsam, schlampig und anscheinend unter Abwsenheit jeglichen Sachverstand hier gehandelt wird. Selbst wenn man davon abgeseht dass die Konzepte des Jugendschutzgesetztes und des Jugendschutzstaatsvertrag im Bezug auf Onlinemedien sowieso vollkommen irre sind und an der Lebensrealität komplett vorbei laufen muss man feststellen dass die Arbeit der BPjM in dieser Hinsicht eine vollkommenes Versagen darstellen.

Ich fasse im folgenden mal zusammen was mir so bisher alles aufgefallen ist:

  • Die BPjM hat das Konzept Domain und FQDN augenscheinlich nicht verstanden. Obwohl sie per Gesetzt dazu beauftragt sind Listen mit Domain und FQDN Namen zu führen. Immer wenn man mit der BPjM redet oder schreibt wird dass offensichtlich wenn BPjM Mitarbeiter von der Domain gameinferno reden (oder eben schreiben).
  • Die BPjM führt auf ihrer Liste knapp 500 Domains die überhaupt nicht registriert sind. Ein glatter Gesetzesverstoß, vgl. JushG §18 Abs. 7 und §21 Abs. 5.
  • Die BPjM hat nicht verstanden was Browser tun, wie URLs normalisiert werden und dass es keine Groß- und Kleinschreibung bei Domainnamen gibt. Was zu Einträgen auf ihren Listen führt die niemals irgendetwas filtern werden, weil URLs wie http://FooBar.org niemals in ihrem tollen BPjM-Modul ankommen werden.
  • Die Implementierung des BPjM-Moduls ist einfach Schrott. Technisch völlig unbrauchbar. Wenn sie zum Beispiel die ganze Domain foobar.org sperren wollen, also alles unterhalb des root Verzeichnis (/) dann steht in ihrer tollen Sperrliste als Pfad die MD5summe d41d8cd98f00b204e9800998ecf8427e. Das ist nicht die MD5summe für / sondern die für einen leeren String. Hier hat wohl jemand das Konzept von Pfaden und dem Wurzelverzeichnis nicht verstanden. Einmal mit Profis arbeiten, nur einmal.
  • Die Listen sind in keiner Weise gepflegt. Es finden sich haufenweise Domains die es nicht gibt, Domains die geparkt sind, Domains die mittlerweile andere Besitzer haben und auch völlig andere Inhalte als die die ursprünglich mal auf die Liste gesetzt wurden. Dabei steht im Gesetz dass Angebote für welche die Vorraussetzung nach denen diese ursprünglich auf die Liste gesetzt wurden von selbiger zu löschen sind. JuschG §18 Abs. 7. Ferner ist ebenfalls im JuschG in §21 Abs. 5 festgelegt dass die BPjM von Amts wegen tätig wird wenn bekannt wird, dass die Voraussetzungen für die Aufnahme eines Mediums in die Liste nach § 18 Abs. 7 Satz 1 nicht mehr vorliegen. Das ist meiner Meinung nach ein glatter Gesetzesverstoß, sehenden Auges - durch eine Bundesbehörde.
  • Die BPjM ist langsam. Anscheinend ist es nicht möglich einen Eintrag auf ihren Zensurlisten innerhalb von 4 Wochen zu Löschen. Mit viel Glück schaffen sie 6 Wochen. Da is nix mit Datenautobahn die sind eher so die Kategorie mit einem Rollator auf dem Standstreifen.
  • Die BPjM legt die Gesetzte welche ihre Arbeit betreffen besonders krude aus. So sind sie z.B. der Meinung Bundesgesetzte würden ihnen verbieten whois zu nutzen um zu prüfen ob domains noch vergeben sind. Ferner geht man bei der BPjM davon aus dass nur der ehemalige Besitzer der Domain die Streichung von der Liste veranlassen kann. Völlige geistige Umnachtung, auf ganzer Linie.

Wer selber mal eine Domain befreien will, dem empfehle ich eine der zahlreichen nicht registrierten Domains welche auf den Zensurlisten der BPjM stehen zu registrieren und das dann mal selber zu versuchen. Viel Glück!

Ich würde mich freuen von entsprechenden Experimenten, dem Verlauf und Ausgang zu hören.

Sep 3, 2014 - 1 minute read - hack US HomeDepot

HomeDepot hacked

Wie Brian Krebs verlauten lässt ist eine große Baumarktkette - HomeDepot - in den USA anscheinend breitflächig gehackt worden. Man weiß noch nicht viel aber es gibt Hinweise dass es noch schlimmer wird als bei der Supermarktkette Target (siehe hier).

Several banks contacted by this reporter said they believe this breach may extend back to late April or early May 2014. If that is accurate — and if even a majority of Home Depot stores were compromised — this breach could be many times larger than Target, which had 40 million credit and debit cards stolen over a three-week period.

Update | Mi 3 Sep 2014 21:24:05 CEST

Es hat wohl sogut wie alle Läden der Kette getroffen.

Ooops - it happend again.

Aug 11, 2014 - 2 minute read - FinFisher GammaGroup Bahrain

Gamma Group lügt!

Die Gamma Group, Hersteller von Überwachungs- und Intrusion-Lösungen hat in der Vergangenheit wohl gelogen. Als durch das CitizenLab nachgewiesen wurde dass die Software der Gamma-Group genutzt wird um in Bahrain Menschenrechtsaktivisten auszuspionieren wurde noch eifrig dementiert dass Bahrain zu den eigenen Kunden zählt. Die eingesetzte Software sei der Gamma-Group gestohlen worden hieß es von seiten der Firma.

Nachdem nun mindestens ein Server der Firma gehackt wurde und 40 Gigabyte Daten ihren Weg ans Licht der Öffentlichkeit gefunden haben wird immer klarer das die Gamma-Group damals wohl gelogen hat. Netzpolitik hat das schön zusammengefasst, ich möchte das nicht nochmal wiederholen, lest einfach bei NP weiter.

Mit den veröffentlichten Daten aus dem Hack ist klar, die Gamma-Group hat Bahrain mehrere verschiedene Produkte zum infiltrieren von Computern verkauft und dem Regime aktiv dabei geholfen die Rechner von Rechtsanwälten und Menschenrechtsaktivisten zu hacken. Dabei wurden nicht nur Rechner von Bürgern Bahrains in Bahrain infiltriert, sondern auch die Rechner von Staatsbürgern anderer Staaten während diese sich im Ausland (also nicht in Bahrain) aufgehalten haben.

Hier hat eine deutsch-britische Firma einem Unrechtsregim aktiv und im vollen Wissen geholfen die Rechner von Menschen in anderen Ländern zu hacken. Unfassbar!

Ganz nebenbei ist übrigens noch raus gekommen das Vupen auch gelogen hat. Wie den veröffentlichten Daten aus dem Gamma Hack zu entnehmen ist beziehen sie ihre 0day Exploits für ihre Intrusion Produkte von trommelwirbel - wer hätte es gedacht - Vupen. Vupen hat in der Vergangenheit immer zu Protokoll gegeben dass sie nur an staatliche Behörden von NATO und NATO-freundlichen Ländern verkaufen. Anscheinend verkaufen sie auch an Firmen wie Gamma.

Der Hacker hinter dem Gamma Hack hat übrigens ein paar Tipps zum selber nachmachen hinterlassen, finden sich auf pastebin.

scusiblog meint: Vupen, Gamma und Co das Handwerk legen! Jetzt!!!

Aug 7, 2014 - 2 minute read - privacy Überwachung Stille_SMS Inforadio

Stille SMS

Ich habe heute morgen dem RBB Inforadio ein kurzes Interview zu Stillen SMS gegeben. Daher hier nochmal eine kurze Zusammenfassung.

Was sind Stille SMS?

Im GSM (Mobilfunk) Standard sind SMS Nachrichten Typen beschrieben die standardmäßig nicht am Empfangsgerät angezeigt werden. Dazu wird in der SMS Nachricht der SMS Typ auf den Wert 0 gesetzt. Derlei SMS Nachrichten (Typ 0) bezeichnet man als Stille-SMS.

Kann ich festellen ob mir jemand Stille-SMS schickt?

Ja grundsätzlich kann man das feststellen, aber nicht so ohne weiteres.

Manche Mobiltelefone haben einen Netzwerkmonitor über den man auch Stille-SMS ‘sehen’ kann. Diese Netzwerkmonitore sind zur Fehlersuche gedacht und standrdmäßig nicht freigeschaltet. Man findet aber im Internet für einige ältere Handy Modelle Anleitungen wie man den Netzwerkmonitor aktivieren kann. Das geschieht meist durch die Eingabe eines Freischalt-Codes über die Tastatur.

Grundsätzlich ist es auch möglich Smartphones entsprechend einzustellen, wenn man einen sog. CustomRom aufspielt der derlei unterstützt. Dazu muss das Smartphone allerdings gerootet werden, was im Normalfall die Gewährleistung des Herstellers erlöschen lässt.

Mit entsprechender Spezialsoft- und Hardware kann man ebenso Stille-SMS erkennen.

Wie kann ich mich gegen Stille-SMS wehren?

Gar nicht. Man kann mit etwas Aufwand festellen ob man Stille-SMS geschickt bekommt, aber verhindern dass man sie bekommt kann man nicht. Zumindest nicht sollange man ein Mobiltelefon nutzen möchte. Man kann natürlich einfach keines nutzen, oder das eigene Mobiltelefon öfters mal zuhause lassen.

Wer kann Stille-SMS verschicken?

Im Prinzip jederman. Die Geheimdienste und Sicherheitsbehörden können das natürlich, diese machen das aber auch nicht unbedingt selber, sondern bedienen sich Dienstleistern die das für sie tun oder ihnen entsprechende Systeme zur Verfügung stellen.

Es gibt auch sog. Handy-Ortungsdienste im Internet die ebenfalls auf Stiller-SMS basieren. Dort kann jederman gegen Geld Stille-SMS an bekannte Mobilfunknummern verschicken.

Wieviele Sitlle-SMS werden denn durch Behörden verschickt?

Viele, die aktuellen Zahlen stehen unter anderem in der Wikipedia unter http://de.wikipedia.org/wiki/Stille_SMS. Die Dunkelziffer dürfte nochmal um einiges höher liegen, da auch ausländische Behörden und Geheimdienste Stille-SMS an deutsche Mobilfunknutzer verschicken können und - wie oben schon erwähnt - auch Privatpersonen.

Bei deutschen Behörden erfreuen sich diese Überwachungmethode anscheinend größter und weiter steigender Beliebtheit. Die Zahlen steigen seit Jahren an. Für die Behörden ist das halt eine sehr Kostengünstige und bequeme Art und Weise eine große Menge von Menschen zu überwachen und Bewegungsprofile zu erstellen, indem man über lange Zeiträume einzelnen Geräten immer wieder Stille-SMS schickt. So entsteht mit der Zeit ein sehr genaues Bewegungsprofil ohne dass man Personal- und Kostenintensiv Leute observieren muss.