182. Newsletter - sicherheitskultur.at - 31.03.2022
von Philipp Schaumann
Hier die aktuellen Meldungen:
1. Ethereum versucht, den Stromverbrauch zu reduzieren: 'Proof-of-Stake'
Der gigantische Stromverbrauch der Proof-of-Work-Kryptowährungen war hier schon öfters ein Thema.
Verursacht wird der Stromverbrauch durch das 'Proof-of-Work'-Konzept bei der Konsens-Herstellung zur Erzeugung von 'Trust' bei Teilnehmern, die keinen Grund haben, allen anderen zu trauen. Ethereum bemüht sich seit spätestens 2013 auf 'Proof-of-Stake' umzustellen, was den Stromverbrauch deutlich reduzieren wurde. Hier die Details: Why Ethereum is switching to proof of stake and how it will work.
Derzeit läuft ein Testbetrieb und dieses Jahr soll die Umstellung gelingen. Dabei werden die sog. 'Miner' durch sog. 'Validator' ersetzt. Statt Strom zu verbrauchen liegt der 'Stake' darin, dass die Validator eine große Menge der Währung besitzen müssen (derzeit einen Wert von 100 000 US$), die dann im System blockiert wird (ein 'Einsatz'). Wer diesen Wert nicht selbst besitzt kann mit einem kleineren Betrag einem 'staking service' beitreten und auf diese Weise mitmachen.
Wie bei 'Proof-of-Work' werden Blöcke validiert. Diese Validierung wird durch ein Kommitté von 'attestors' geprüft und wenn nicht betrogen wurde, so gibt es eine Belohnung. Wenn betrogen wurde ist der Einsatz in Gefahr.
Meine Beschreibung basiert auf dem oben verlinkten Artikel von technologyreview, hier noch der Link zur Wikipedia 'Proof-of-Stake'.
Wie es mit Ethereum und Proof-of-Stake weitergeht im August Newsletter.
2. Angedrohte EU-Regulierung: Chatcontrol, bzw. Client-side Scanning
Ein Thema vom August-Newsletter, das leider durch (aus meiner Sicht traurige) EU-Aktivitäten sehr aktuell wird. Es geht um die Ende-zu-Ende Verschlüsselung bei Messaging Apps, die vielen Menschen nicht passt, denn die würde verhindern, dass der Missbrauch von Kindern aktiv bekämpft werden kann. Wenn Menschen in der Lage sind, sich Fotos und Nachrichten zu senden ohne dass diese auf einem zentralen Server ausgewertet werden können, dann müssten sie eben auf den Geräten selbst gesucht werden. D.h. unsere Geräte sollen eine Software bekommen, die kontinuierlich nach 'unerwünschten Inhalten' scannt.
Damals im August hatte ich bereits über die Bedenken von Experten geschrieben, die meinen dass wenn so eine Software mal auf den Geräten ist, schwer zu verhindern ist, nach welchen Inhalten alles gescannt werden soll - alle Diktatoren der Welt haben dazu eigene Ideen.
Nun hat die EU beschlossen, dass so etwas verpflichtend werden soll, es wird nun Chatkontrolle genannt. In einem gemeinsamen offenen Brief protestieren eine große Gruppe von Bürgerrechtsorganisationen gegen diese Forderung. Die EU sagt nicht, dass Client-side Scanning durchgeführt werden muss, sondern dass es eine Möglichkeit geben muss, auf Inhalte in Chats zu scannen, wie auch immer. Für Messaging Systeme, die zentral zwischenspeichern wie Telegram (wo die Zwischenspeicherung nur bei 2 Teilnehmern aktiv abgeschaltet werden kann). Der Status bei Skype ist nicht gut bekannt, es gibt eine chinesische Variante die Scanning durchführt.
Wenn die Inhalte jedoch sauber verschlüsselt von App zu App fließen, so kann ein Scannen nur auf dem Endgerät erfolgen. Dies würde nicht nur Smartphones, sondern vermutlich auch PCs und Laptops betreffen.
Hier ein ausführlicher Hintergrundartikel zum EU-Vorhaben Chatkontrolle und hier mein Mai-Newsletter mit Aktualisierungen.
3. Update zur (geplanten) EU-Regulierung Digital Markets Act (DMA)
Die gute Nachricht: Es geht was weiter beim DMA. (Hier der Newsletter mit den grundlegenden Infos.) Es werden jetzt erste Details veröffentlicht, die bereits mit Kommission, Rat und Parlament geklärt sind, der formelle Beschluss ist angeblich nur noch Formsache.
Ziel dieser Verordnung ist es, einige der Monopole im Web aufzulockern. Die Kommentare sind gemischt und kritisch. Der Standard schreibt: "Zahnloser Tiger oder revolutionäres EU-Gesetz?" Netzpolitik.org: "Bei der Interoperabilität wäre mehr möglich gewesen".
Interoperable Messenger
Bei der Interoperabilität geht es um eine Vorschrift, dass in 3 Jahren bei den Messengern (Whatsapp, etc, aber nur die, die inder EU einen großen Marktanteil haben) eine Interoperabilität möglich sein muss, d.h. z.B. auch Menschen ohne Whatsapp-Account könnten von anderen Messengern an Whatsapp-Gruppen teilnehmen. Ob die Betreiber von Signal, Threema das wirklich möchten (und damit ihr stringentes Ende-zu-Ende-Konzept teilweise aufweichen) bleibt abzuwarten.
Update Mai 2023: eine ausführliche Diskussion über mögliche Konzepe und Probleme: Interoperable Messenger: Ganz einfache Herkulesaufgabe.
Keinen Zwang zu Interoperabilität soll es hingegen bei Sozialen Netzwerken geben. D.h. Instagram, Facebook, TikTok, Twitter können nicht gezwungen werden, sich für andere Dienste, wie z.B. das alternative föderierte open-source Mikroblogging-Netzwerk Mastodon zu öffnen. Hier eine Anleitung für einen Mastodon-Einstieg zum Ausprobieren. Hier noch ein Link für den Einstieg: joinmastodon.org.
Update Juli 2022- Es ist vollbracht: Digital Markets Act: Gesetz gegen große Techkonzerne abschließend beschlossen. So weit so gut. :-) Das Gesetz tritt automatisch in Kraft, ohne weiteres Mitwirken der Mitgliedstaaten. Es tritt 6 Monate ab Verkündigung in Kraft und dann haben die betroffenen Unternehmen noch mal 6 Monate für die Umsetzung.
Die erzwingbare Kompatibilität zwischen den großen Messengern wie WhatsApp, Facebook oder Apple iMessage wird wohl ohne Wirkung bleiben, denn Signal und Threema haben bereits abgewunken. Aber die Öffnung der App-Stores wird Auswirkungen haben und die Einschränkungen der vorinstallierten Software auf Geräten. Außerdem ändert sich (hoffentlich) viel für Händler, die auf Plattformen wie Amazon ihre Waren anbieten. Auch Empfehlungslisten müssen neutraler werden.
Es zeigen sich bereits erste Wirkungen: Play Store: Google ermöglicht alternative In-App-Zahlungen. Google hat angekündigt, App-Entwicklern künftig die Verwendung alternativer Zahlungssysteme zu ermöglichen. Dies betrifft In-App-Zahlungen, bei denen bislang Googles eigenes Zahlungssystem verwendet werden musste. Die neue Regelung gilt für alle Apps, außer Spiele.
Fortsetzung im Juli 2022.
4. Snowflake hilft TOR, staatliche Zensur zu umgehen
Eines der Themen bei den Vorträgen des CCC-Kongress Ende 2021 (siehe Newsletter 179) waren die steigenden Zensur-Aktivitäten und was dagegen unternommen werden kann. Das neue ist, dass nun ein Browser-Tab ausreicht um einen TOR-Proxy zu etablieren, über den Menschen in Gebieten mit (staatlicher) Internet-Zensur einen offenen Zugang zum Internet bekommen können (weil diese privaten Adressen ein 'moving target' für die Behörden sind). Hier die Details zu TOR-Snowflake.
5. Ransomware-Update
Im Oktober war nach den Angriffen auf US-Infrastruktur eine härtere Gangart durch die amerikanischen Behörden angedroht worden und Biden sprach mit Putin. Ich war schon damals skeptisch.
Im letzten Monat sind nun interne Chats der Ransomwaregruppe Conti gehackt und veröffentlicht worden. Die legen nahe, dass es wohl wirklich sehr enge Verbindungen zum russischen Staat und seinen Sicherheitsbehörden gibt.
Aus dem Artikel:
-
"Wenn die russischen Behörden der Meinung sind, dass die Anführer von Conti nicht mehr von Nutzen sind, werden Maßnahmen ergriffen, aber wenn Conti in der Lage ist, weiterzumachen oder sich umzubenennen, wird es wahrscheinlich keine Maßnahmen geben". . . . "Wenn Maßnahmen ergriffen werden, dann wahrscheinlich ähnlich wie gegen die Mitglieder von Revil, mit einer Reihe von auffälligen Verhaftungen, nur um die meisten der Verhafteten etwa einen Monat später wieder freizulassen."
Noch mal in der futurezone: Hackergruppe schließt sich Putin an, wird von Racheaktion getroffen. Zitat:
- "Seit Tagen werden Chats und Interna der Conti-Gang im Netz veröffentlicht. In den Daten sind unter anderem Details über die technische Infrastruktur, Spezifikationen verschiedener Tools und Verhandlungsprotokolle der Cyberkriminellen enthalten. Auch Verbindungen zwischen dem russischen Geheimdienst FSB und Conti gehen aus den Daten hervor."
Daneben fand auch die zentrale Bitcoin-Adresse der Gang den Weg an die Öffentlichkeit. Darin sollen sich laut den Leaks 65.550 Bitcoins befinden, die nach aktuellem Kurs mehr als 2,5 Milliarden Euro wert sind.
Und aus dem großen Cyber-Angriff auf die Ukraine mit sog. 'Wipern' von dem im vorigen Newsletter die Rede war ist nichts mehr zu hören, die Gründe sind unklar.
Im Oktober 2023 gibt es gute und schlechte Nachrichten aus der Welt der Ransomware.
6. arte.tv: Chinas neue Cybermacht
90 Min Hintergrund, Geschichte und Motivation der überwiegend patriotischen Hackerbewegung in China: Chinas neue Cybermacht. Mit Interviews auch mit Hackern.