c0t0d0s0.org

Man braucht sich keine teure Kombination aus iPod und Nike zu kaufen, um verfolgbar zu sein. Man braucht nur Schuhe bei Reno zu kaufen. Ja, genau ... diese Marke ultrabilliger nach Plastik stinkender Schuhe fürs Prekariat. Sorry, wenn ich in einer Stadt an einem Reno-Laden vorbeilaufe, bekomme ich jedes mal einen Schlag von diesem gestank. Aber bei anderen Billigläden siehts auch nicht besser aus. Und Schuhläden für qualitativ hochwertige Schuhe riechen anders als jene mit billigem Schuhwerk.

Mein einziger Gedanke, als ich diesen Bericht gelesen habe: Jetzt dreht Schäuble durch. Wenn der Moment gekommen ist, das nicht mal mehr intimste Dinge vor dem unbeobachteten staatlichen Zugriff sicher sind, dann sollten wir uns fragen, ob wir die Freiheit wert waren, die wir einmal gehabt haben. Oder ob sie an uns verschwendet war.

Ein Glück, das man sich immer noch darauf verlassen kann, das in Karlsruhe Personen sitzen, die noch mit beiden Beinen auf dem Boden des Rechtsstaates sitzen. Hat sich übrigens jemand mal gefragt, ob ein Opfer eines Gewaltverbrechens nicht zu befangen ist, um als Innenminister die innere Sicherheit zu verantworten?

The accumulation of data about a person at one place under control of one organisation is the single biggest threat to privacy. Thus in many countries exist a data protection law to inhibit the existence of such large data silos. But many of us give their private data voluntary to one organisation: Google. What´s the plan behind this data collection? What are the implications? The movie of two students at the University of Ulm points to this topic.

When you think about this topic, it looks pretty scary. Is Googles mantra "don´t be evil" sufficient to allow a single organisation to collect such amounts of data?

(found via: juergen-luebeck.de)

Es scheint mittlerweile in Deutschland alles möglich zu sein, wenn es darum geht verfassungsmässige Rechte in den Dreck zu stampfen: Millionen von Kreditkartendaten bei Aktion gegen Kinderpornografie überprüft. Dahinter steckt nichts anderes als das für kurze Zeit jeder kreditkartenbesitzende Bundesbürger unter Verdacht stand, Kinderpornographie zu beziehen. Deswegen wurde jedes Kreditkartenkonto darauf untersucht, ob ein verdächtiges Muster vorlag. 22.000.000 mal in die Privatsphäre eindringen um 322 Perverse dingfest zu machen.

Was ist bitte aus den herkömmlichen Ermittlungsmethoden geworden? Den Server nebst Kreditkartendaten hochnehmen ? Kinderpornographie ist glaube ich überall strafbar. Und warum wurde nicht das eine Konto übermittelt? Soweit ich weiss, gehen Kreditkartentransaktionen über zentrale Clearingstellen. Wenn das so weiter geht, werden wohl in Zukunft die Kreditkartendaten und Maestrotransaktion von Deutschen, die aus dem Zollausland einreisen, routinemässig auf den Erwerb von zu verzollenden Gütern geprüft. Wie wahr das noch: Wehret den Anfängen!

PS: Mir war klar, das eine solche Rasterfahndung erstmals bei Kinderpornos gemacht wird. Es ist weniger Gegenwehr zu erwarten, da einen die Totschlagkeule des Sympathisierens mit Persversen erwischen könnte.

Ich verwende gerne Anonymisierungsnetzwerke, um beispielweise in Patentdatenbanken zu recherchien Ein solches Netz ist The onion routing oder kurz einfach Tor. Über eine Vielzahl von Zwischenstation werden dabei Requests vom eigentlichen Nutzer bis zum Server und wieder zurück geführt. Man muss sich das Vorstellen, wie in diesem Filmen, in denen eine Telephonrückverfolgung durchgeführt wird: "Er steht Ecke sowieso, nein in Oslo, nein in Singapur, nein in Los Angles. Ach Mist, er vera.... uns".

Die Logfiles sind dann absolut wertlos, und ich kann meinetwegen als Sun Mitarbeiter auf Patentwebseiten bei IBM recherchieren, ohne das die mich interessierenden Dokumente mit Sun in Verbindung gebracht werden.

Nun, ich nutze das wie gesagt, recht häufig und damit kann ich dieser Gruppe auch mal was zurück geben. Insofern beteilige ich mich nun auch als Node im Tor-Netz. Allerdings nur als Zwischenstation, und nicht als sogenannter Exit Node

Herr Schäuble, was für ein Land wollen Sie eigentlich hinterlassen, wenn sie irgendwann einmal Ihre politische Laufbahn beenden. Jetzt wollen sie auch noch Computeruntersuchungen via Internet. Sind wir denn letztlich nur noch ein Staat, der nur noch von Politikern, Juristen, Beamten und Präventionsbeauftragten gelenkt wird?

Wieviel Privatsphäre darf der Staat zu seinem Zwecke verwenden? Sind Fingerabdrücke Privatsphäre? Vielleicht weil sie eine Geschichte erzaehlen? Ist es eine Freiheit, unerkannt mit in Deutschland zu leben? Um unerkannt in Deutschland Leben zu können, brauche ich unter Umständen auch eine andere Identität. Wie freiheitlich ist mittlerweile noch die freiheitlich, demokratische Grundordnung?

Und sind solche Verfahren wirklich sicher? Das Brechen der kryptographischen Verfahren auf unseren Ausweisen käme einem Homerun gleich. Auf einen Schlag muesste man sämtlichen Ausweisen misstrauen. Wo endet dann das Misstrauen? Kann es irgendwann einen misstrauensfreien Identitätsnachweis geben. Ist Identität nicht zum groessten Teil eine Frage von Vertrauen und nicht Vertrauen. Und ist es nicht egal, welche Identität eine Person hat, solange ich der Person vertraue? Spricht so der Staat ein grundsätzliches Misstrauen seinen Bürgern gegenüber aus?

Muss man Angst vor einem Staat haben, dessen groesste Sorge es zu sein scheint, seine Belange zweifelsfrei an eine Identität zu hängen, und diese zweifelsfrei an eine Person zu binden? Wie weit wird der Staat gehen, um diese Identitätssucht zu befriedigen? Wie weit wird er gehen?

Wovor schützt sich der Staat damit? Es kann nur eine Gefahr von Innen sein, denn die Gefahr von Aussen hat keine deutschen Ausweise. Aber worin besteht die Gefahr von Innen? Oder macht sich Deutschland gerade der Hysterie eines einzelnen Landes Untertan, das auch dem ineffizientesten Mittel nachrennt, um eine wohlige Sphäre der Pseudosicherheit zu schaffen? Hat überhaupt einer der Terroristen vom 11. September falsche Papiere?

(Gedanken beim Lesen von Meine Fingerabdrücke gehören mir in der Welt)

So langsam solltet ihr den Laden wirklich dicht machen. Es gibt wieder eine neue Lücke:Superfrischer Privacy Gau bei StudiVZ. Ihr braucht mehr als nur fünf Tage Pause. Ihr braucht ein komplettes Redesign eurer Software.

Wenn ich meine Kreditkarte benutze, dann hinterlasse ich Spuren. Nutze ich das Internet, hinterlasse ich Spuren. Verreise ich hinterlasse ich Spuren. Fahre ich mit dem Kraftfahrzeug über eine Autobahn, dann hinterlasse ich Spuren. An allen Ecken und Enden meines Lebens werden Informationsfragmente entzogen.

Andreas und der Spreeblickende schreiben schon von "Dicht machen!". Und ich mag da auch mit in den Chor einfallen.

Was macht man mit einer derart ramponierten Marke. Was passiert, wenn das in die alten Medien rueberschwappt. Muss man jetzt nur noch warten, bis StudiVZ das Geld ausgeht? Denn nach den ganzen ohnmachtsanfallwürdigen (beim VC) Ausfällen, wird sich wohl niemand mehr finden, der da noch Geld investiert. Das heisst in (RestCash/BurnRateproTag) Tagen ist das Problem StudiVZ erledigt.

Und jede Wette, das dann irgendjemand einen Datenbankdump aus der Konkursmasse kauft, und mit den EMailAddressen die Leute auf ein neues Portal, das dem alten recht ähnlich Sieht. Auf neuer technischer Basis. Mit old-economy/old-media-gestähltem Management.

Aber vielleicht wird auch alles ganz anders.

Einer meiner noch studierenden Brüder meinte mal sinngemäss zu StudiVZ: "Find ich klasse, ist billiger als irgendsone Dating Community". Ist ja noch nichts gegen einzuwenden. Jeder Dienst wird irgendwie so verwendet, wie es die User wollen, und nicht wie es sich die Gruender gedacht haben. Flickr war ja am Anfang auch mal was ganz anderes.
Aber die Ausnutzung von Sicherheitslücken in StudiVZ, um private Photos von Frauen in Foren zu tauschen werden dürfte der Genickbruch sein. Mehr dazu bei Don Alphonso.

Wenn man Daten von seinem Kunden einsammelt, dann muss man damit sorgsam umgehen. Es sollte allen klar sein, die ihre Daten dort abgeben, das diese im Datawarehouse landen, und dann ausgewertet werden, bis sie kein Geld mehr hergeben. Aber das ist mit Kreditkarte oder Paybackkarte ebenso. Es ist eben ein Deal: Ich nutze die Funktion eines System und Teil meiner Bezahlung sind meine Daten. Das ist okay.

Was nicht geht, ist die Verletzung meiner Privatsphäre über meine Einwilligung hinaus. Stellt ein Nutzer ein Bild in einen privaten Bereich, kann regelmässig davon ausgegangen werden, das er oder sie nicht möchte, das andere darauf zugreifen koennen, schlussendlich sogar in einem Forum den Bruch der Privatsphäre noch ausweiten. Die Schuld kann man nicht dem Nutzer zuweisen. Den die sollten davon ausgehen können, das privat auch wirklich privat ist. Wer die Privatsphäre nicht gewährleisten kann, sollte diese nicht anbieten. Bildlich gesprochen: Wer Ungeziefer im eigenen Haus hat, sollte vielleicht den Kammerjäger rufen, und nicht selber zum Ungeziefer werden.

Klar das man erst mal Beweise sichern will, aber mit ein bisschen Wissen über die Materie sollte eigentlich klar sein, das das bei einem Tor-Node nichts bringt. Selbst wenn irgendwelche Logfiles vorliegen sollten, dann findet man darüber nur einen weiteren Node, den man wiederum beschlagnahmen müsste. Der mit hoher wahrscheinlich der Justiz eines anderen Landes unterliegt. Tor wurde ja gerade dazu entwickelt, das man die darüber stattfindende Kommunikation nicht zurückverfolgen kann. Man darf also gespannt sein, wie dieser Fall einer angeblich durch eine Staatsanwaltschaft beschlagnahmten Festplatte ausgehen wird.

Eine Million Sozialversicherungsnummern. Eine Millionen Identitäten. Eine Million Privatsphären. Für so einen Diebstahl braucht man ja nicht mal mehr irgendwelche Computerkenntnisse. Ach was, ein gutes Brecheisen reicht vollkommen. Oder nicht mal das, viele Leute bringen es ja fertig, sich ein Notebook irgendwo klauen zu lassen. Und nicht nur das, sie schaffen das sogar dann, wenn sie wissen das sie eine Art Abzug einer HR-Datenbank auf ihrem Notebook haben.

Es ist ja nun nicht so, als waere das zwangsweise so. Die Menschheit hat schon seit Anbeginn Geheimnisse und seit dem arbeiten intelligente Menschen daran, die Geheimnisse auch geheim bleiben zu lassen. Und ganz ehrlich: Meine persönlichen Daten würde ich schon gern geheim halten, es sei denn ich entschliesse mich selber dazu das zu aendern. Nungut, es gibt also Legionen von Verfahren um Geheimnisse zu wahren. Manche sind mies und koennen von einem kleinen Kind geloest werden, viele sind brauchbar, wenige sehr gut und ein Verfahren ist beweisbar unbrechbar.

Es mangelt also nicht an Verfahren, um die Privatsphäre zu schützen. Nur am Willen anscheinend. Obwohl es durchaus nicht nur einmal passiert ist, das die Privatsphäre vieler Menschen verletzt ist. Es passiert wiederholt. Man muss sich nur die "related Links" beim obigen Register-Artikel angucken:



Als viele Menschen Geld verloren haben, hat man danach SOX eingefuehrt. Auch wenn viele Personen SOX für eine Erfindung prozesssexueller Menschen halten, so heisst es nichts anderes, das CEO dafuer haften muessen, wenn ihre Finanzbuchhaltung Mist reportet oder der Bilanz einige Kreativität angedeihen lässt.

Vielleicht waere es mal eine Idee die CEOs für Identitätsdiebstahl haften zu lassen. Einmal im Jahr unterschreiben, das alles getan wird, um die überantworteten Privatsphären privat zu halten. Dann würden sehr schnell keine Laptops mehr ohne Verschluesselung arbeiten. Tapes würden verschluesselt werden. Server würden verschluesselt arbeiten.

Die Technik, um das zu realisieren ist da oder absehbar verfügbar: Das T10000-Tapelaufwerk kann verschluesseln, ZFS wird auch bald verschluesseln koennen. IPsec ist in vielen Betriebsystemen eingebaut. MacOS X verfügt über den FileVault. Seit Windows 2000 gibt es in den Professional-Varianten das Encrypted Filesystem. Und wenn das alles noch nicht reicht, gibt es ein ganzes Ecosystem von Firmen, die ihr Geld nur damit verdienen, Tools für diese Problemstellung zu schreiben.

Es ist alles da, nur jetzt muss man die Firmen, denen wir unsere Privatsphäre geben, auch dazu zu zwingen, diese Schutzmassnahmen zu nutzen.

Warum wir in Zukunft keine Probleme haben werden, Personal fuer die Personenkontrolle am Flughafen zu finden: "Backscatter" X-Ray Screening Technology
Wenn das in Deutschland kommt, werde ich nicht mehr fliegen, und das haengt nicht mit der Flugangst zusammen (gefunden bei: Schneier to Security)