RC4 is broken in real time by the #NSA - stop using it.

Heise.de hat alles wichtige dazu dokumentiert, lies dort weiter.

Das Ticket, meinen Webserver entsprechend zu aktualisieren ist bereits geschrieben.

Es war klar dass das früher oder später kommen würde, die Kritiker haben schon vor der Einführung des Mautsystems davor gewarnt. Damals wurde das System trozdem eingeführt mit der Einschränkung Ermittlungsbhörden keinen Zugriff auf diese Daten zu geben. Nur unter dieser Vorraussetzung wurde damals die Einführung des Mautsystems überhaupt zugelassen.

Sicherheitsbehörden (und damit auch Geheimdiensten die ihre Daten direkt mit ihren Partnern wie der NSA und dem GCHQ teilen) Zugriff zu gewähren birgt die folgenden ganz konkreten Gefahren:

• Obwohl für das Mautsystem nur LKW relevant sind, wird jedes Fahrzeug mit Kennzeichen erfasst und fotografiert. Erst in einem nachgelagerten Schritt überprüft das System ob es die Daten für die Mauterhebung braucht, und löscht angeblich nicht benötigte Daten.

Das heißt dass mit dem Mautsystem nicht nur LKW überwacht werden können, sondern Grundsätzlich alle Verkehrsteilnehmer auf Mautpflichtigen Strecken (Autobahnen und einige Bundesstraßen). Die Geheimdienste, Polizei und Zoll können mit Zugriff auf diese Daten:

• Bewegungsprofile aller Autobahnnutzer erstellen
• Alle Fahrzeuginsassen auf den vordern Plätzen werden hochauflösend fotografiert, auch nachts. Dass heißt die Behörden können nachvollziehen wann und mit wem ich von wo nach wo gefahren bin.
• Da das System automatisch die Kennzeichen ausliest, und in Maschinenlesbare Formate umwandelt kann man mit dem System automatisch nach bestimmten Fahrzeugen suchen und diese gezielt überwachen. Nimmt man Gesichtserkennung dazu kann man so auch Personenn zu Personen, zu Strecken und zu Fahrzeugen zusammenführen.
• Kombiniert mit weiteren Sensoren und/oder Überwachungsmaßnahmen (wie z.B. einer Funkzellen abfrage oder eines IMSI Catchers) kann man dann auch Mobiltelefone einzelnen Fahrzeugen und Personen zuordnen.

Mit derlei Maßnahmen macht man Leute transparent und möglicherweise auch erpressbar. Die Geheimdienste wissen dann ganz genau wann dieser und jener Politiker mit dieser oder jener Dame sich wann und wo trifft bzw. hingefahren ist.

Bei Zugriff ausländischer Dienste kann so jeder Entscheindungsträger überwacht, ausspioniert und möglicherweise erpresst werden. Man kann damit Wirtschaftsspionage betreiben, da es relativ einfach ist wichtige Personen aus der Wirtschaft anhand ihrer Kennzeichen und mit Hilfe von Gesichtserkennung zu überwachen um zu sehen wann sie sich wo mit wem treffen.

Wir wissen dass derlei Daten, werden sie erstmal gesammelt nicht mehr gelöscht werden. Vielleicht bei uns, aber nicht bei den Partnern. Darin liegt auch die exorbitante Gefahr derlei Datensammlungen. Wir wissen nicht wie die Zukunft aussieht, wer in Zukunft Zugriff auf diese Daten bekommt und wie diese dann genutzt werden. Da das Missbrauchspotential dieser Daten ebenso hoch ist wie der Schaden im Falle eines Missbrauchs sollten wir derlei Daten gar nciht erst erheben. Nur Daten die nicht da sind sind sicher. Mehr Daten machen uns nicht sicherer, sondern weniger Daten über uns machen uns sicherer.

Ich habe ein wunderschönes Beispiel aus der Geschichte warum man derlei Daten nicht sammeln sollte. Kurz vor dem zweiten Weltkrieg gab es in den Niederlanden eine Volkszählung, wobei z.B. auch die Religion der Einwohner abgefragt und gespeichert wurde. Offiziell wollte man damit den Städtebau optimieren, damit man weiß wo man Synagogen, Kirchen und andere Einrichtungen bauen muss. Als dann die Nazis die Niederlande besetzt hatten, haben sie mit hilfer dieser gesammelten Daten alle Juden, Sinti, Roma,… abgeholt, deportiert, gefoltert und ermordet. Das war nur möglich weil ein paar Idioten gutes tun wollten und die Konsequenzen ihres handelns nicht annähernd überblickt haben. Ich befürchte das ist damals wie heute.

Im Lichte des NSA Skandals derlei gefährliche Überwachungsmaßnahmen zu fordern, die offensichtlich nicht benötigt werden - bisher ging es ja auch ohne - zeigt klar wo die Prioritäten der Regierung liegen. Der Schutz des Rechtsstaates, der Unschuldsvermutung, und die Privatsphäre der eigenen Bürger ist es sicher nicht!

Verdachtsunabhängige Rasterfahndung und Vorratsdatenspeicherung aller deutscher Verkehrsteilnehmer ist unverhältnismäßig, grob fahrlässig, macht uns alle unsicherer, untergräbt die Demokratie und den Rechtsstaat und gibt den Geheimdiensten noch mehr Daten und Missbrauchspotential.

Update Nov 7th 2013

Jemand scheint dem Friedrich und dem Krings ein neues Memo geschickt zu haben, jetzt wird öffentlich zurück gerudert. Schöner Versuch.

Gestern meldete heise.de CDU und CSU wollen Internet im NSA-Stil überwachen, heute rudert die Union bereits zurück. Heise.de meldet dazu CDU und CSU rudern zurück bei Überwachung von Internetknoten. Ist ja schön wenn die Flackpfeiffen bei der Union verstanden haben was sie da anrichten würden. Allerdings sind zweifel angebracht ob dem so ist und es sich nicht viel mehr um einen taktischen Rückzug handelt.

Wie auch immer, die Wunschliste der Union finde ich interessant und würde sie hier gerne für die Nachwelt dokumentieren. Ich bin gespannt wieviel davon in der kommenden Legislatirperiode wieder ausgegraben wird.

CDU / CSU wünschen sich:

• Strafverfolgungsbehörden (Polizei der Länder, des Bundes, das BKA, der Zoll) aber auch Geheimdienste sollen an zentralen Deutschen Netzknoten einfach alles abhören mitlesen, aufzeichnen und ausleiten dürfen.

• Dieselben Behörden sollen anfallende IP und Standortdaten erheben und speichern dürfen. Das heißt auch die Union will hier alle Bürger anlass und ohne Verdacht auf Vorrat überwachen lassen, ohne irgendeine Kontrolle, ohne Wissen und auch ohne Rechtsschutz. Das heißt im Grunde nichts anderes als dass die rechtsfreien Räume (bei den Behörden) weiter ausgebaut werden sollen. Deutsche Behörden sollen wie ihre Kollegen in den USA Profile über jeden anlegen dürfen.

• Nutzung der Mautdaten zur Strafverfolgung. Das wird am Ende des Tages auf eine Verdachts- und Anlasslose-Vorratsdatenspeicherung für alle Autofahrer die in Deutschland Autobahnen benutzen hinauslaufen. Noch ein riesen Datenberg für die NSA und ihre Freunde.

Diese Vorschläge sind alle Verfassungsrechtlich mindestens bedenklich, und sie haben mit Rechtsstaat und Demokratie nichts mehr zu tun. Das sind die feuchten Träume von orwellschen Überwachungsfanatikern mit Diktatoren-Allüren.

Alleine solche Dinge zu fordern zeigt deutlich wie wenig Rechtstaatlichkeit und Demokratie bei der Union wert ist, das sind alles nur leere Worte um die Leute zu in (falscher) Sicherheit zu wiegen.

Meiner Meinung nach versucht die Union mit derlei Vorstößen die demokratische Grundordunung und den Rechtsstaat auszuhebeln. Das darf nicht passieren, leider sind die SPDler so verpeilt dass sie derlei Politik noch mittragen.

Ich frage mich wirklich ob unsere Politiker wirklich so dämlich sind dass sie nciht sehen was sie tun, oder ob die Geheimdienste so viel dreckige Wäsche der Politiker gesammelt haben dass sie diese einfach erpressen.

Wie auch immer, all diese Maßnahmen machen uns nicht sicherer, sondern machen uns leichter Angreifbar und unsicherer.

They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety.

The memory forensic tool Volatility was released in version 2.3, just a couple of days ago.

Downloads can be found at: https://code.google.com/p/volatility/downloads/list

New Features are:

Mac OS X: * New MachO address space for 32-bit and 64-bit Mac memory samples * Over 30+ plugins for Mac memory forensics

Linux/Android * New ARM address space to support memory dumps from Linux and Android devices on ARM hardware * Plugins to scan Linux process and kernel memory with yara signatures, dump LKMs to disk, and check TTY devices for rootkit hooks * Plugins to check the ARM system call and exception vector tables for hooks

Windows * New plugins: - Parse IE history/index.dat URLs - Recover shellbags data - Dump cached files (exe/pdf/doc/etc) - Extract the MBR and MFT records - Explore recently unloaded kernel modules - Dump SSL private and public keys/certs - Display details on process privileges - Detect poison ivy infections - Find and decrypt configurations in memory for poison ivy, zeus v1, zeus v2 and citadelscan 1.3.4.5

* Plugin Enhancements:
     - Apihooks detects duqu style instruction modifications
     - Crashinfo displays uptime, systemtime, and dump type
     - Psxview plugin adds two new sources of process listings from the GUI APIs
     - Screenshots plugin shows text for window titles
     - Svcscan automatically queries the cached registry for service dlls
     - Dlllist shows load count to distinguish between static and dynamic loaded dlls

New Address Spaces * VirtualBox ELF64 core dumps * VMware saved state (vmss) * VMware snapshot (vmsn) files * FDPro’s non-standard HPAK format * New plugins: vboxinfo, vmwareinfo, hpakinfo, hpakextract

Kenn White und Matthew Green, haben ein Projekt gegründet um Truecrypt einem öffentlichen Sicherheitsaudit zu unterziehen. Inspiriert von einer twitter Diskussion zwischen the grugq und Eleanor Saitta.

Die Projektseite, welche erklärt um was es geht und warum das eine gute Idee ist steht unter http://istruecryptauditedyet.com/.

Das nötige Geld für solch ein Projekt wird mit Hilfe von Crowdfunding über die Platformen FundFill und IndieGoGo gesammelt.

Ich finde das Projekt gut und wichtig und hab erstmal 120 USD gespendet. Ich hoffe der ein oder andere meiner Leser beteiligt sich auch. Damit wir in Zukunft TrueCrypt wirklich vertrauen können.

Nach einem Bericht auf Russia today (RT) haben die US Streikräfte in Vilseck (Bayern) zwei Hunter Drohnen stationiert. Ab nächstem Montag (14.10.2013) sollen diese dann durch den deutschen Luftraum fliegen.

Wahrscheinlich soll geübt werden wie man Menschen anhand von elektronischen Signaturen aufspürt um sie zu überwachen und/oder zu töten. Ich mein das ist was die Militärs so machen mit ihren Drohnen. Jetzt also auch in Deutschland.

Selbstverständlich besteht keinerlei Gefahr. Das ist wie bei Atom-Unfällen, ihr kennt das. Die fliegenden Tötungsmaschienen dienen selbstverständlich nur zu Übungszwecken und werden nicht bewaffnet sein, behaupten die amerikanischen Freunde. Daten würden auch keine aufgezeichnet, ich frag mich nur wie die das Training nachbesprechen und bewerten wollen wenn sie keine Daten aufzeichnen? Betont wird auch man würde damit nicht spionieren (wahrscheinlich so wenig wie mit Bad Aibling). Ihr seht schon, geht alles mit mit rechten Dingen zu, lupenrein rechtsstaatlich - wie in Guantanamo.

Unsere Regierung hat wahrscheinlich mal wieder keine Ahnung von nichts und eh nicht vor irgendetwas dagegen zu tun. So werden unsere amerikanischen Freunde uns alles erzählen können, kontrollieren kann es eh niemand.

Update

Der Bayrische Rundfunk hat dazu auch einen Artikel online und viele Bilder