ScusiBlog

background emmission of scusi.

Gamma Group Lügt!

| Comments

Die Gamma Group, Hersteller von Überwachungs- und Intrusion-Lösungen hat in der Vergangenheit wohl gelogen. Als durch das CitizenLab nachgewiesen wurde dass die Software der Gamma-Group genutzt wird um in Bahrain Menschenrechtsaktivisten auszuspionieren wurde noch eifrig dementiert dass Bahrain zu den eigenen Kunden zählt. Die eingesetzte Software sei der Gamma-Group gestohlen worden hieß es von seiten der Firma.

Nachdem nun mindestens ein Server der Firma gehackt wurde und 40 Gigabyte Daten ihren Weg ans Licht der Öffentlichkeit gefunden haben wird immer klarer das die Gamma-Group damals wohl gelogen hat. Netzpolitik hat das schön zusammengefasst, ich möchte das nicht nochmal wiederholen, lest einfach bei NP weiter.

Mit den veröffentlichten Daten aus dem Hack ist klar, die Gamma-Group hat Bahrain mehrere verschiedene Produkte zum zum infiltrieren von Computern verkauft und dem Regime aktiv dabei geholfen die Rechner von Rechtsanwälten und Menschenrechtsaktivisten zu hacken. Dabei wurden nicht nur Rechner von Bürgern Bahrains in Bahrain infiltriert, sondern auch die Rechner von Staatsbürgern anderer Staaten während diese sich im Ausland (also nicht in Bahrain) aufgehalten haben.

Hier hat eine deutsch-britische Firma einem Unrechtsregim aktiv und im vollen Wissen geholfen die Rechner von Menschen in anderen Ländern zu hacken. Unfassbar!

Ganz nebenbei ist übrigens noch raus gekommen das Vupen auch gelogen hat. Wie den veröffentlichten Daten aus dem Gamma Hack zu entnehmen ist beziehen sie ihre 0day Exploits für ihre Intrusion Produkte von trommelwirbel - wer hätte es gedacht - Vupen. Vupen hat in der vergangenheit immer zu Protokoll gegeben dass sie nur an staatliche Behörden von NATO und NATO-freundlichen Ländern verkaufen. Anscheinend verkaufen sie auch an Firmen wie Gamma.

Der Hacker hinter dem Gamma Hack hat übrigens ein paar Tipps zum selber nachmachen hinterlassen, finden sich auf pastebin.

scusiblog meint: Vupen, Gamma und Co das Handwerk legen! Jetzt!!!

Stille SMS

| Comments

Ich habe heute morgen dem RBB Inforadio ein kurzes Interview zu Stillen SMS gegeben. Daher hier nochmal eine kurze Zusammenfassung.

Was sind Stille SMS?

Im GSM (Mobilfunk) Standard sind SMS Nachrichten Typen beschrieben die standardmäßig nicht am Empfangsgerät angezeigt werden. Dazu wird in der SMS Nachricht der SMS Typ auf den Wert 0 gesetzt. Derlei SMS Nachrichten (Typ 0) bezeichnet man als Stille-SMS.

Kann ich festellen ob mir jemand Stille-SMS schickt?

Ja grundsätzlich kann man das feststellen, aber nicht so ohne weiteres.

Manche Mobiltelefone haben einen Netzwerkmonitor über den man auch Stille-SMS ‘sehen’ kann. Diese Netzwerkmonitore sind zur Fehlersuche gedacht und standrdmäßig nicht freigeschaltet. Man findet aber im Internet für einige ältere Handy Modelle Anleitungen wie man den Netzwerkmonitor aktivieren kann. Das geschieht meist durch die Eingabe eines Freischalt-Codes über die Tastatur.

Grundsätzlich ist es auch möglich Smartphones entsprechend einzustellen, wenn man einen sog. CustomRom aufspielt der derlei unterstützt. Dazu muss das Smartphone allerdings gerootet werden, was im Normalfall die Gewährleistung des Herstellers erlöschen lässt.

Mit entsprechender Spezialsoft- und Hardware kann man ebenso Stille-SMS erkennen.

Wie kann ich mich gegen Stille-SMS wehren?

Gar nicht. Man kann mit etwas Aufwand festellen ob man Stille-SMS geschickt bekommt, aber verhindern dass man sie bekommt kann man nicht. Zumindest nicht sollange man ein Mobiltelefon nutzen möchte. Man kann natürlich einfach keines nutzen, oder das eigene Mobiltelefon öfters mal zuhause lassen.

Wer kann Stille-SMS verschicken?

Im Prinzip jederman. Die Geheimdienste und Sicherheitsbehörden können das natürlich, diese machen das aber auch nicht unbedingt selber, sondern bedienen sich Dienstleistern die das für sie tun oder ihnen entsprechende Systeme zur Verfügung stellen.

Es gibt auch sog. Handy-Ortungsdienste im Internet die ebenfalls auf Stiller-SMS basieren. Dort kann jederman gegen Geld Stille-SMS an bekannte Mobilfunknummern verschicken.

Wieviele Sitlle-SMS werden denn durch Behörden verschickt?

Viele, die aktuellen Zahlen stehen unter anderem in der Wikipedia unter http://de.wikipedia.org/wiki/Stille_SMS. Die Dunkelziffer dürfte nochmal um einiges höher liegen, da auch ausländische Behörden und Geheimdienste Stille-SMS an deutsche Mobilfunknutzer verschicken können und - wie oben schon erwähnt - auch Privatpersonen.

Bei deutschen Behörden erfreuen sich diese Überwachungmethode anscheinend größter und weiter steigender Beliebtheit. Die Zahlen steigen seit Jahren an. Für die Behörden ist das halt eine sehr Kostengünstige und bequeme Art und Weise eine große Menge von Menschen zu überwachen und Bewegungsprofile zu erstellen, indem man über lange Zeiträume einzelnen Geräten immer wieder Stille-SMS schickt. So entsteht mit der Zeit ein sehr genaues Bewegungsprofil ohne dass man Personal- und Kostenintensiv Leute observieren muss.

FinFisher Fischt Nicht Mehr - Sondern Hängt Am Haken

| Comments

Die digitalen Waffenhändler der Gamma Group, besser bekannt unter dem Markennamen FinFisher sind gehackt worden. Schon seit einigen Tagen tauchen im Netz internas der Firma auf. Seit heute ist es offiziell ein unbekannter Hacker ist auf mindestens einen Server der Firma vorgedrungen, hat 40 Gigabyte Daten gesichert und ins Netz gestellt.

Das ganze Archiv ist 40 GB groß und unter folgendem Link als torrent verfügbar.

Der Twitter Account @GammaGroupPR ist auch ganz unterhaltsam. Hier postet jemand mit offensichtlichem Insiderwissen eine Menge Details. Kostprobe gefällig?

Help us develop FinFly Web on github https://github.com/FinFisher/FinFly-Web

Gut finde ich auch:

Here at Gamma International, we’ve run out of governments to sell to, so we’re opening up sales to the general public!

oder:

It’s been a little while since we last published some of our marketing materials on @wikileaks https://wikileaks.org/spyfiles/list/

Das ist dann wohl der nächste Totalschaden für Gamma. Mein Mitleid hält sich in Grenzen.

MagnetLink für den oben erwähnten Torrent.

Style Wie Früher

| Comments

Ich hab das Aussehen wieder dem früheren Stil angepasst - wie man sehen kann.

Deutschland Und Der NSA Skandal - a Digital Failed State

| Comments

Sascha Lobo bringt es in seiner Spiegel Kolumne auf den Punkt. Deutschland ist ein digital filed state das wurde besonders deutlich am Umgang mit dem Snowden Leaks.

Anlässlich des ersten Jahrestages seit Beginn der Snowden Enthüllungen findet morgen auch eine Demo der Digitalen Gesellschaft vor dem Kanzleramt statt. Wenn ihr in Berlin oder nahe dran wohnt, kommt doch vorbei.

Die genauen Daten sind wie folgt:

1
2
3
Wann? Donnerstag, den 5.6.2014, um 9:00 Uhr
Wo? Bundeskanzleramt
Was? Kundgebung zu 1 Jahr Snowden-Enthüllungen – Stoppt die Totalüberwachung!

EU Kommission - Keinen Neuen Vorstoß Zur Vorratsdatenspeicherung

| Comments

Laut einem Artikel bei heise.de plant die EU Kommission, nachdem sie das Urteil des Europäischen Gerichtshofes zur Vorratsdatenspeicherung gelesen hat nicht die Vorratsdatenspeicherung in Europa nochmal anzupacken.

Ich werde nach dem Urteil des Europäischen Gerichtshofes keinen neuen Gesetzentwurf mehr zur Vorratsdatenspeicherung vorlegen.

Allerdings lässt sich Frau Malmström eine Hintertür für die Zukunft offen. Zitat:

Wenn es überhaupt noch irgendwann zu einer neuen EU-Richtlinie kommen sollte, dann erst, wenn die Gesetzgebung zum Datenschutz verabschiedet ist.

Eine weitere Sache lässt noch aufmerken. So heißt es in dem Artikel unter anderem:

Malmström verwies darauf, dass alle Mitgliedsstaaten mit Ausnahme Deutschlands derzeit eigene Vorgaben zur Vorratsdatenspeicherung hätten. Damit sei sichergestellt, dass es auch künftig möglich ist, “Verkehrsdaten” zur Verbrechensaufklärung in den einzelnen Ländern der Union aufzubewahren und zu nutzen.

http://heise.de/-2215883

Man will also anscheinend in Brüssel nicht darauf hinwirken dass die Mitgliedsstaaten ihre nationalen Regelungen, die gegen europäiasches Recht verstoßen aufheben, man will sie einfach beibehalten. So setzt man sich über die Entscheidung des Europäischen Gerichtshofes einfach hinweg.

NSA Skandal - Noch Fragen?

| Comments

Diese gute und hervorragende Zusammenarbeit werden wir, wenn es nach uns geht, uneingeschränkt fortsetzen und intensivieren.

Innenminister Thomas de Maizière (CDU) über die Zusammenarbeit deutsche und amerikanischer Geheimdienste

Noch fragen?

Quelle: http://www.heise.de/-2185450

Posteo Legt Transparenzbericht Vor

| Comments

Der kleine Email-Anbieter Posteo hat heute seinen ersten Transparenzbericht zu Datenabfragen staatlicher Behörden veröffentlicht. Der Bericht ist hier einsehbar. In dem Transparenzbericht von Posteo ist auch eine versuchte Nötigung, sowie Anstiftung zum Rechtsbruch durch Beamte des Staatsschutzes dokumentiert.

Alle anderen deutschen Email und Internet-Provider haben sich bisher nicht getraut derlei Berichte zu veröffentlichen. Umso erfreulicher ist es das nun Posteo den ersten Schritt gemacht hat und damit Standards für die Branche setzt. Die anderen Anbieter werden jetzt hoffentlich nachziehen.

Als erstes hat die Telekom einen ähnlichen Bericht veröffentlicht und dabei schonmal gezeigt wie man es nicht machen sollte. Der Telkombericht enthält zwar Angaben über die beantworteten verschiedenen Gesuche (Bestandsdatenauskunft, IP Auskunft, Komplett-Überwachung,…) jedoch keinerlei Angaben darüber wieviel Gesuche gestellt wurden, vieviele davon Abgelehnt wurden und aus welchen Gründen. Gerade diese Daten geben aber Indizien darüber wie sehr ein Anbieter versucht die Daten seiner Kunden zu schützen (oder eben wie willfährig man Anfragen abnickt und beantwortet auch wenn die Anfrage formal nicht korrekt gestellt wurde oder die Abgefragten Daten schlicht weg illegal erhoben werden sollen, weil z.B. ein Richterlicher Beschluß fehlt.

Die Daten von Posteo legen nahe dass die deutschen Behörden in den meisten Fällen noch nicht mal in der Lage sind korrekte Anfragen an die Provider zu übermitteln. Bei Poste waren zwei drittel aller Anfragen schlicht weg illegal (fehlender Richterbeschluß) oder formal nicht korrekt gestellt oder übermittelt worden.

Ich wünsche mir dass möglichst viele Anbieter dem Beispoiel von Posteo folgen und ihrerseits ähnlich detailierte Berichte regelmäßig veröffentlichen. Wer als Kunde bei einem Provider ist der das nicht macht sollte mit nachdruck einen solchen Bericht verlangen. Verweigert der Anbieter einen derartigen Bericht sollte man sich nach einem neuen Anbieter umsehen und mit seinem Geldbeutel abstimmen.

Dank an Patrik und Sabrina Löhr von Posteo für ihren mutigen Schritt einen derartigen Report zu veröffentlichen.