174. Newsletter - sicherheitskultur.at - 31.07.2021
von Philipp Schaumann
Hier die aktuellen Meldungen:
1. Gegenwind bei Surveillance-Based Advertising
Der norwegische Konsumentenrat hat einen Report veröffentlicht: TIME TO BAN SURVEILLANCE-BASED ADVERTISING - The case against commercial surveillance online.
Es geht darum, ob es erlaubt sein soll, Internetnutzer in Kategorien nach ihren Interessen, aber auch ihren Schwächen und Problemen einzuteilen, um ihnen dann gezielt Werbung zu zeigen. Ich habe dazu bereits früher geschrieben: Facebook und die anderen Datensammler klassifizieren ihre Nutzer. Dort berichte ich, wie tief diese Klassifizierung, z.B. auf Facebook, in die Schwächen der Internet-Nutzer gehen können.
Die Alternative dazu ist übrigens "Contextual Advertising", d.h. die Werbung orientiert sich am Inhalt eines Artikels. Mein Text dazu Contextual Advertising. "Nachteil" für die Werbetreibenden ist natürlich, dass dann eine gezielte Werbung für Glücksspiel nur dann möglich ist, wenn es auch Artikel dazu gibt. Derzeitiger Stand ist, dass wenn ein Mensch als "Suchtkandidat Glücksspiel" eingestuft ist, er/sie bei jeden Artikel Glücksspielwerbung sieht.
Hier eine Presseerklärung zu dem Report. Viele kritische Organisationen haben sich der Forderung angeschlossen.
2. Mal wieder ein kostenloses Lehrbuch: Paul van Oorschot - Computer Security and the Internet
Sein neues Lehrbuch ist kompakt (400 Seiten) und derzeit kostenlos als eBook verfügbar: /Computer Security and the Internet: Tools and Jewels/.
Die Kapitel:
- Chapter 1: Basic Concepts and Principles
- Chapter 2: Cryptographic Building Blocks
- Chapter 3: User Authentication
- Chapter 4: Authentication Protocols and Key Establishment
- Chapter 5: Operating Systems Security and Access Control
- Chapter 6: Software Security - Exploits and Privilege Escalation
- Chapter 7: Malicious Software
- Chapter 8: Public-Key Certificate Management and Use Cases
- Chapter 9: Web and Browser Security
- Chapter 10: Firewalls and Tunnels
- Chapter 11: Intrusion Detection and Network-Based Attacks
- Chapter 12: Wireless LAN Security: 802.11 and Fi
- Chapter 13: Bitcoin, Blockchains and Ethereum
Die letzten beiden Kapitel gibt es kostenlos nur in der vorigen Ausgabe (einige Zeilen weiter unten auf seiner Website). Vor- und Nachteil dieses Buches ist, dass es "nur" 400 Seiten Umfang hat.
Hier ein ausführliches Review.
Auch empfehlenswert ist natürlich das deutlich umfangreichere Buch 'Ross Anderson, Security Engineering', dessen aktuelle Ausgabe aber nur noch teilweise kostenlos zur Verfügung steht.
3. Warum Konsumverzicht das Klima nicht rettet sondern nur ein Umbau der (Energie-)Industrie
Interview mit Sighard Neckel im Falter-Radio. Wichtig sind die ersten 20 Min.
TL;DR:
Sein Hauptpunkt: Wer heute bei uns ohne Auto, ohne Flugreisen, ohne Fleischkonsum in einer 1-Zimmerwohnung lebt hat immer noch den ca. doppelten Fußabdruck der für die Paris-Ziele OK wäre. Grund sind die Grund-Energien wie Heizung, Strom und die Ernährung (auch Gemüse aus der industriellen Landwirtschaft hat zuviel Ausstoß). Daher: Knackpunkt ist der ökologische Umbau der Industrie - ohne den geht gar nichts. Und das geht nur von oben mit strengen, einheitlichen und transparenten Regeln.
4. Pegasus - Der Staatstrojaner-Skandal von NSO
Für alle, die bei Pegasus - Der Staatstrojaner-Skandal den Überblick verloren haben, hier gibt es ein zusammenfassendes FAQ zu Pegasus.
100 Organisationen fordern Verkaufsstopp für Spyware.
Zum Thema Infektion eines Smartphones: Neue Empfehlung 'Handy öfter mal ein- und ausschalten'. Auf den ersten Blick auch für mich überraschend, aber die Logik dahinter ist, dass die Sicherheit der Smartphones heute so hoch ist, dass es für Angreifer schwerer ist, eine "böse Datei" auf dem Gerät abzulegen. Auch NSO verwendet 'zero-click' exploits, d.h. Infektionen die kein "OK" des Users brauchen. Und solche Infektionen sind typischerweise rein speicher-resident. Neustart kann da helfen.
5. Letzte Oktoberwoche: Privacyweek vom CCC Wien
Wieder 100% online, wir haben schon viele interessante Einreichungen, aber der Call for Participation ist noch offen. Vorschläge für Beiträge/Einreichungen sind herzlich willkommen.
6. Videos mit Shoshana Zuboff und Max Schrems
Die ersten beiden der 3 Videos sind "nur" mit Max Schrems:
a) 3 Min. kurze Zusammenfassung des Status der sog. "Schrems II"-Entscheidung zum Datentransfer in die USA und was das nun konkret für die Transfer bedeudet.
b) Privacy Rights and Data Flows - A Conversation with Max Schrems
Max Schrems sprach und diskutierte auf Einladung des Wilson Center u.a. zu europäischen vs. US-amerikanischen Ansätzen im Datenschutz, Datentransfers und Herausforderungen die sich in diesem Zusammenhang stellen. Dauer 1 Std.
Ich finde den Vortrag und die Diskussion interessant, sehr lang wurde darüber gesprochen, welche möglichen Lösungen es geben könnte und wie (un)realistisch die unter Umständen sind, dabei werden oft auch die Rechtsphilosophie-Unterschiede zwischen dem US-Recht und europäischen Ansätzen berührt.
c)Shoshana Zuboff, Max Schrems: Diskussion über "Überwachungskapitalismus"
Dies ist ein längerer Vortrag: 2,5 Std. Für alle denen das zu lang ist gebe ich einige "Einspringpunkte".
Wer keine 2,5 Std. Zeit hat, der/die sollte trotzdem die ersten ca. 12 Minuten bei Shoshana Zuboff zuhören, sie erklärt ihr Ideen und Konzepte sehr eindringlich am Beispiel der Wahlbeeinflussung durch Cambridge Analytica in 2016. Dann erläutert sie die Kernthemen ihres Buches (das extrem lesenwert ist, aber deutlich mehr Zeit benötigt). Hier meine Zusammenfassung ihrer Thesen in der Sicherheitskultur.
Für die "Eiligen" empfehle ich dann einen Sprung zu 1 Std. 12 Min. wo Max Schrems über die grundsätzlichen Probleme der Durchsetzung der DSGVO spricht (ein gutes Gesetz, ziemlich schwach bei der Durchsetzung, z.B. weil diese nationalen Behörden mit unterschiedlichen Motivationen überlassen werden - Stichwort Irland). Interessant auch die Positionen zu "Einwilligung zu Datennutzung", Open Source, etc. bis 1 Std. 41.
Ab 1 Std. 41. ging es um von Beiträge von EU-Politkern wie Jan Philipp Albrecht, Andreas Schwab die bei der Datenschutzdurchsetzung und den neuen EU Verordnungen DMA und DSA aktiv sind (siehe meine früheren Beiträge dazu).
7. Ransomware, eine unendliche Geschichte, wie es derzeit scheint
Ransomware-Familien: 'The Most Prolific Ransomware Families: A Defenders Guide' |
Zum Start ein sehr empfehlenswertes 30 Min. Video das viel grundlegendes zum Geschäftsmodell und den Abläufen im Ransomware-Business erklärt.
Dann einige Zahlen zur Entwicklung der Zahl der Angriffe in den USA (aufgeschlüsselt nach Kliniken, Behörden, etc.)
Von mir zwischenzeitlich überarbeitet und ergänzt: Was kann ein Ransomware-Opfer nach dem Angriff tun und wie sollten sich Firmen und Private schützen?
Die "schöne" Graphik rechts zu den Ransomware-Familien findet sich in 'The Most Prolific Ransomware Families: A Defenders Guide'
Mit Ransomware-Familien sind die 'Brands' gemeint, die Anbieter von Angriffssoftware und anderen Dienstleistungen, mit sog. Ailliates als Ausführende. Der Begriff 'Brand' ist nicht unangebracht, denn Ransomware-Business beruht auf Reputation. Ohne die Reputation dass das Opfer bei Zahlung auch Hilfe bekommt, funktioniert Erpressungs-Business nicht. REvil, Ryuk, Maze sind einige der Brandnamen.
Noch ein Beitrag zu Ransomware-Familien, wieder mit guten Graphiken und Übersichten (für alle, die evt. ihren Chef etwas Angst machen müssen ;-) ).
Jetzt zum Thema: Law Enforcement gegen Ransomware-Kriminelle
Technology Report berichtet über eine Aktion des FBI in der Ukraine in 2008, wo damals mit Hilfe des russischen Geheimdienstes versucht wurde, Cyberkriminelle zu verhaften. Spoiler: es zog sich endlos hin und scheiterte dann.
Sehr nahe an diesem Thema ist der aktuelle Artikel 'Empty Threats and Warnings' in Lawfare Blog.
Der Punkt der Autoren ist: Derzeit droht Biden Russland Konsequenzen für den Fall an, dass Russland die Ransomware-Gruppen weiter unbehelligt die US-Firmen in die Knie zwingen darf ohne dass Putin einschreitet. Der Artikel sagt, dass solche Drohungen ins Leere zielen oder kontraproduktiv sind, solange sie nicht glaubhaft sind. Und die USA haben zwar kräftige Angriffskapazitäten was Cyber-Angriffe betrifft, sind aber wohl auch eines der verwundbarsten Ländern mit sehr weitgehend ungeschützter Infrastruktur. Die Details im Artikel.
Dabei gäbe es gute Gründe für die Politik, beunruhigt zu sein. Die Abhängigkeit unserer Wirtschaft von funktionierenden Lieferketten haben wir ja in den letzten 12 Monaten sehr gut demonstriert bekommen (z.B. das Schiff im Suez-Kanal, die Abhängigkeit von China bei simplen Dingen wie der Maskenproduktion, die Knappheit von 'simplen' und billigen Chips für den Automobilbau, Container-Knappheit, etc.)
Wenn Putin da hört, welche riesigen Schadensketten die russischen Cyberkriminellen (vor allem) im Westen anrichten, so bezweifle ich eine Begeisterung für "hartes Durchgreifen" seinerseits. Im Gegenteil, seine Cyberkrieger sind bestimmt dabei eifrig von den Erfahrungen der Kriminellen zu lernen.
Der Artikel in heise: Experten sehen "zunehmende Bedrohungslage" durch Cyberangriffe
Derzeit liest man an auch einiges über den Zusammenhang zwischen Cyber-Versicherungen und dem Ransomware-Businessmodell. Einerseits hilft es den Kriminellen sehr, wenn das Geld bei den Opfern durch die Versicherung lockerer sitzt, dies zeigen einige der spektakulären Fälle aus den USA, wo zum Teil hohe Beträge gezahlt wurden ohne dass Erfolg eintrat: "aber die Versicherung zahlt ja eh".
Aber auch für die Versicherungen ist das Geschäftsmodell wenn das so weitergeht und weiterboomt nicht nachhaltig, denn Versicherungen sind ja grundsätzlich nur sinnvoll, wenn der Schaden im Einzelfall zwar hoch ist, aber der Einzelfall selten eintritt.
Anderseits könnten Versicherungen in einer optimalen Welt eine positive Rolle bei der Vermeidung von Ransomware-Fällen spielen, vorausgesetzt dass die Höhe der Prämie an den Grad der Sicherheitsmaßnahmen der Unternehmen gebunden würde.
Hier der Anfang dieser Serie in einem meiner früheren Newsletter. Und hier die traurige Fortsetzung im nächsten Monat.
Für alle, denen das Ausmaß der Dominanz der Tech-Giganten nicht ganz klar ist, hier die Liste der weltgrößten Aktiengesellschaften. Das war übrigens nicht immer so. Noch 2000 haben die weltgrößten Firmen richtig "etwas produziert", nicht nur "Bits verschoben und Daten über die Weltbürger gesammelt". Die Reihenfolge in 2000 war: General Electric, Exxon Mobile, Pfizer, Cisco, Wal-Mart, Vodafone, Microsoft, Citygroup. AIG, Merck.
Bis auf Microsoft sind alle aus den oberen Rängen verschwunden, jetzt zählen (finanziell) nur noch die Bits.
Ein Artikel in Technology Review 'What does breaking up Big Tech really mean?' differenziert zwischen den 4 Firmen Apple, Amazon, Facebook und Google. Dabei geht es darum, dass jede dieser Firmen eine ganz andere Monopolproblematik aufreißt und dass eine "Zerschlagung" dieser Firmen sehr unterschiedliche Aspekte haben würde, d.h. diese 4 Firmen lassen sich mit 1 einzelnen Gesetzespunkt nicht behandeln. Bei Apple geht es vor allem um dem App-Store, bei Amazon um den Marketplace.
Facebook und Google sind eher traditionelle Monopolisten. Facebook dominiert den Social Media Bereich und gemeinsam mit Google den Online-Werbemarkt.
Und in den Corona-Zeiten sind die Riesen, ihre Macht und Finanzen noch mehr gewachsen: Milliarden-Geldregen für Apple, Microsoft und Google und Tech giants' profits soar as pandemic boom continues.
Google wird (aus Antitrust-Perspektive) angegriffen wegen seiner Praxis, bei den Suchergebnissen eigene Unternehmungen zu prioritiesieren und mittels der Suchergebnisse, auch bei Youtube, zu viel Macht auszuüben. Der Artikel argumentiert, dass ein Zerschlagen von Google in diesem Sinne wenig ändern würde. Die eigentliche Macht von Google und Facebook liegt in den riesigen und umfassenden Datensammlungen über alle Bürger. Und diese Sammlungen würden bei der Aufteilung in Einzelfirmen nur wenig eingeschränkt. Dazu argumentiert der Artikel, dass dafür evt andere Regelungen, wie z.B. die Idee dass große Firmen zum Teilen von Daten gezwungen werden könnten. Dies ist eine der Ideen im Entwurf des Digital Markets Act (auch AI Act) der EU - der aber in dem Artikel nicht erwähnt wird.
Ein anderer Artikel Inside the fight to reclaim AI from Big Tech's control
berichtet, dass 2018 to 2019, 58% of the most cited papers at the top two AI conferences had at least one author affiliated mit einer der 4 Firmen plus Microsoft. D.h. hier sehen wir den Aufbau eines ganz anderen Monopols, nämlich bei dem Know-How der Entwicklung und des Einsatzes von AI. Diese AI-Systeme sind es, die diesen Firmen erlauben, möglichst viel Nutzen aus diesen monopolistischen Datensammlungen zu ziehen.
Hier jetzt ein anderer Aspekt dieses Kampfes: FTC verspricht strenge Durchsetzung des "Rechts auf Reparatur". Dabei geht es nicht nur darum, dass viele Geräte aus technischen Gründen schlecht zu reparieren sind, z.B. 'verlötete' statt 'gesteckte' Batterien und andere Bauteile, sondern darum, dass Firmen juristisch dagegen vorgehen, dass jemand anders als sie selbst Geräte öffnen und fixen. Das Beispiel das auch die FTC erwähnt sind Prozesse von John Deere gegen Bauern, die ihre Traktoren reparieren lassen und dabei angeblich das Urheberrecht verletzen, weil ihr "geistiges Eigentum" dadurch verletzt würde. Reparatur bedeutet heute nun mal oft auch "Eingriff in die Software oder Firmware". Solche Verbote will die FTC jetzt abstellen.
Sehr empfehlenswert zu diesem Thema ist der Vortrag vom S-F Autor Cory Doctorow: WE USED TO HAVE CAKE, NOW WE'VE BARELY GOT ICING. Das war Privacyweek 2020 und er erklärt, wie 'copyright' und 'software patents' verhindern, dass wir die Teile, die wir gekauft haben, auch so nutzen können wie wir wollen. Ein Zitat:
"This makes a huge difference because software has eaten the world and shit out a dystopia: a place where Abbot Labs uses copyright claims to stop people with diabetes from taking control over their insulin dispensing and where BMW is providing seat-heaters as an-over-the-air upgrade that you have to pay for by the month. Companies have tried this bullshit since the year dot, but Thomas Edison couldn't send a patent enforcer to your house to make sure you honored the license agreement on your cylinder by only playing it on an Edison phonograph. Today, digital systems offer perfect enforcement for the pettiest, most bullshitty, greediest grifts imaginable."
Und noch ein Link, diesmal literarisch "Un-Paired": ein Science Fiction Short Story über eine Welt/Stadt in der einige Monopolisten (die wir alle kennen) eigenes Krypto-Geld herausgeben und alle Geschäfte, Lokale, Vermieter, Firmen mit einem der Monopolisten assoziiert sind. Und wenn du Ubergeld bei einem Amazon-Vermieter nutzen willst, so zahlst du einen deutlich höheren Preis, Praktiken die wir heute nur als Rabatte für weitere Einkäufe beim gleichen Händler kennen, und z.B. bei Amazon Prime, wenn man das mal investiert hat, gibt es viele Gründe, nur noch dort zu kaufen. Die Stadt verfällt in Unter-Städte der jeweiligen Associates.
Dies alles sind Ergänzungen zu meinem früheren Beitragzu diesem Thema 'Kampf gegen die Oligopole/Monopole'.
Es gab im letzten Monat einige prägnante kritische Äußerungen von Insidern der Krypto-Szene, z.B. Jackson Palmer, dem 'Vater' der Dogecoin cryptocurrency (die eigentlich als Witz gedacht war).
Er schrieb auf Twitter:
"After years of studying it, I believe that cryptocurrency is an inherently right-wing, hyper-capitalistic technology built primarily to amplify the wealth of its proponents through a combination of tax avoidance, diminished regulatory oversight and artificially enforced scarcity."
Und weiter: Trotz der Behauptung, man schaffe Dezentralität, habe die Kryptogeld-Industrie, die von einem "mächtigen Kartell" reicher Personen kontrolliert werde, im Laufe der Zeit nur die bereits bestehende Finanzwelt nachgebaut. Zugleich profitiere sie auch von einem Netzwerk käuflicher Influencer und Medien, die sektenartig Möglichkeiten schnellen Reichtums propagierten und so Verzweifelten und Naiven das Geld aus der Tasche zögen.
Die Details auf heise.de
Und weiter mit Absurditäten: eine Segnung auf einer Kryptocurrency-Konferenz in Florida.
In den letzten Tagen reingekommen:8. Antitrust - der Kampf gegen die BigTech-Monopole
9. Kurioses zu Bitcoin und anderen Kryptowährungen
Allerletzte Meldungen
APT trends report Q2 2021. Der Bericht unterscheidet zwischen "Russian-speaking activity", "Chinese-speaking activity", "Middle East", "Southeast Asia and Korean Peninsula" und "Other interesting discoveries".