24e9 Passwörter

https://netzpalaver.de/2022/06/15/24-000-000-000-benutzernamen-und-passwoerter-im-darkweb/

Ein neuer Report des Cyber-Threat-Intelligence-Anbieters Digital Shadows legt das Ausmaß von weltweit geleakten Logindaten im Zusammenhang mit Kontoübernahmen (Account Take Over, kurz: ATO) offen. So sind im Darknet mehr als 24 Milliarden Benutzer-Passwort-Kombinationen im Umlauf. Bezogen auf die Weltbevölkerung entspricht das vier exponierten Accounts pro Internet-User. Die Zahl der gestohlenen und offengelegten Zugangsdaten ist damit seit 2020 um rund 65% gestiegen.

Zieht man diejenigen Menschen ab, die keinen Zugang zum Internet haben, sind das sogar noch mehr exponierte Accounts pro User. Sind das eigentlich für einen User mehrere Accounts mit jeweils dem gleichen Passwort? Das ist ja ein beliebter Fehler, wird dann ein Account gehackt, sind gleich alle platt.

Neue Seitenkanal-Attacke erlaubt den Diebstahl von Kryptoschlüsseln

https://www.tomshardware.com/news/intel-amd-hertzbleed-cpu-vulnerability-boost-clock-speed-steal-crypto-keys

Intel and researchers from UT Austin, UIUC, and UW published papers today outlining the ‚Hertzbleed‘ chip vulnerability that allows side-channel attacks that can steal secret AES cryptographic keys by observing the CPU’s boost frequency/power mechanisms. According to external researchers, both Intel and AMD CPUs are impacted, but AMD hasn’t issued an advisory yet.

Via der Auswertung der Boost Clock Frequency ist es möglich, kryptographische Schlüssel zu stehlen. Es handelt sich um einen Seitenkanalangriff ähnlich den Spectre-Verwundbarkeiten, aber er ist auch aus der Ferne ausnutzbar, weil durch geeignete Rechenaufgaben Rückschlüsse auf die verwendete Prozessorfrequenz gezogen werden können. Intel hält den Angriff jedoch für wenig praktikabel, da es Tage dauern würde, die notwendigen Daten zusammenzubekommen, und wer wird schon im Browser ein und dieselbe Seite so lange offen und herumrechnen lassen. Aber wer weiß, vielleicht findet sich noch eine Abkürzung … der Angriff geht gegen AES, wenn das fällt, dann wars das mit dem Onlinebanking …

Unter falscher Flagge

https://www.golem.de/news/nordvpn-expressvpn-mullvad-co-die-qual-der-vpn-wahl-2205-165409.html

Mit wenigen Klicks das Internet sicher und privat nutzen, vor Hackern geschützt und anonym, das versprechen etliche VPN-Anbieter auf ihren Webseiten. Denn alle Daten würden durch eine moderne Verschlüsselung geschützt, wirbt etwa der Anbieter NordVPN. Dabei sind die Versprechen aber meist die Pixel nicht wert, mit denen sie auf unseren Bildschirmen ausgegeben werden.

Golem.de mit einer sehr interessante Übersicht für die VPN-Technologie und deren Anbieter. Als Fazit wird gesagt, zum Schutz der Privatsphäre eignen sich VPNs kaum bis gar nicht, zum Umgehen von Zensur oder Geo-Blocking aber sehr wohl.

Die Empfehlungen der Golem-Reaktion sind ansonsten insofern überraschend, als die „Platzhirsche“ sämtlich durchfallen, eher unbekannte Alternativen aber den strengen Kriterien der Redaktion genügen. Die Aussage jedoch, dass Tor die beste Alternative wäre, mag aus datenschutztechnischer Sicht richtig sein, nur ist die Performance von Tor so mau, dass es für die meisten modernen Anwendungen sowie Videos trotzdem ausscheidet.

Es kommt eben immer darauf an, was man daraus macht

https://www.heise.de/news/Deutsche-Unternehmen-wollen-sich-mit-Daten-nicht-die-Finger-verbrennen-7074486.html

Beim Stichwort datengetriebene Geschäftsmodelle denken viele Menschen in Deutschland zuerst an die vielfach umstrittenen Datensammlungen der großen Internetkonzerne Google und Facebook im Netz. Diese kritische Grundstimmung in Politik und Gesellschaft hält offenbar auch zwei von drei Unternehmen ab, sich an der Datenökonomie (Data-Sharing-Economy) zu beteiligen, fand der IT-Branchenverband Bitkom in einer Umfrage heraus.

Ob in der Produktion, in der Finanzplanung oder in der Verwaltung, sinnvolle Erfassung und Auswertung der anfallenden Daten kann enorme Produktivitätsfortschritte ermöglichen und das Leben der Menschen verbessern. Schade, dass durch die invasiven und rücksichtslosen Geschäftspraktiken der Werbeindustrie eine großartige Möglichkeit, IT zum Wohl der Menschen anzuwenden, in Verruf geraten ist.

VMM ohne Root-Rechte

https://www.codingblatt.de/virt-manager-qemu-kvm-ohne-root/

Standardmäßig verbindet sich Virtual Machine Manager (VMM) über die URI qemu:///system mit dem lokalen libvirt-Dienst, der wiederum zur Kommunikation mit QEMU/ KVM dient. Der libvirt-Dienst wird bereits beim Systemstart gestartet und läuft mit Root-Rechten. Alle virtuellen Maschinen (VMs) die unter dieser VMM-Verbindung ausgeführt werden, laufen somit mit Root-Rechten. Aus Sicherheitsgründen ist es empfehlenswert, VMs bevorzugt ohne Root-Rechte und nur mit Benutzerechten auszuführen.

Sehr detaillierte Erläuterung, wie und mit welchen Einschränkungen sich der libvirt-Dienst im Benutzer-Kontext verwenden lässt. Häufig dient eine VM ja zur Abschottung des Host-Systems von potenziell gefährlichen oder sensiblen Daten, es kann also geboten sein, einen etwaigen Ausbruch aus einer solchen VM zu erschweren.

(Das Beitragsbild zeigt ein Emu – falls Sie sich wundern, was es hier zu suchen hat :))

Gewissensfragen

Vor über 30 Jahren, mein Unternehmen war noch sehr klein, nur eine Ein-Mann-GbR, und es hieß noch gar nicht Cephei, arbeitete ich dies und das. Fahrschulsoftware, Datenbank-Auswertungen, Telefonanlagen programmieren und dergleichen. Mir ging es ganz ordentlich damit, aber natürlich hätte es besser sein können.

Dann erhielt ich eine Anfrage. Die ersten Jagdflieger mit Joystick-Steuerung wurden gebaut, und man suchte Auftragnehmer für die Kodierung der nachträglichen Auswertung der beim Flug anfallenden Steuerungsdaten. Mir wurde ein, für meine damaligen Verhältnisse, geradezu märchenhafter Verdienst angeboten.

Ich habe mich schwer getan. Das schien ein Sprungbrett in eine großartige Zukunft zu sein. Und, wenn ich ablehnen würde, würde vielleicht mein gerade erst gegründetes Unternehmen gleich wieder versterben? So nach dem Motto, den braucht man gar nicht erst zu fragen, der ist so eingebildet und meint, er kann es sich aussuchen, für wen er arbeitet.

Ich lehnte ab. Ich dachte mir, wenn nur ein Kind an einer Bombe stirbt, die ein Flieger mit einer von mir mitentwickelten Steuerung abgeworfen hat, dann könnte ich mir das niemals mehr verzeihen.

Und heute also ist wieder Krieg in Europa, Russland hat die Ukraine überfallen, und keiner kann sagen, wohin das gehen wird. Ich aber habe zumindest mit den Waffen dafür nichts zu tun. Und ich weiß, meine Entscheidung von damals war richtig, und ist es immer noch.

Bei den vielen großartigen technischen Fortschritten ist unweigerlich alles in immer größerem Ausmaß von Software abhängig geworden. Ich denke, wir Programmierer sollten uns immer fragen, ob wir noch ruhig schlafen können, wenn dieses oder jenes Projekt mit unserer Denkleistung verwirklicht und auf die Menschen losgelassen wird. Ob es Waffen sind, Überwachung oder auch Big Data. All diese Dinge kommen – noch – nirgends hin ohne Programmierer, die die Software dafür schreiben.

Es läuft alles auf die eine Frage hinaus: Haben wir unseren Beruf ergriffen, um die Welt ein kleines bisschen besser zu machen? Oder interessiert uns nur der eigene Vorteil, und alle anderen sind uns egal?

„Was nützt es die ganze Welt zu gewinnen und dabei seine Seele zu verlieren?“ Matthäus 16,26

Im Dunkeln ists gut Munkeln

https://www.tomshardware.com/news/quantum-computing-researchers-achieve-100-million-quantum-operations

Researchers … have achieved a new record in maintaining quantum bits (qubits) in a coherent quantum state for more than five seconds. The research … is hailed as an important new step in extracting useful work from quantum computers – one that should scale quantum computing’s performance towards the much-sought-after quantum supremacy moment.

Während symmetrische Verschlüsselung wohl auch nach der Serienreife von Quantencomputern sicher bleiben wird (wobei die Meinungen der Fachwelt dazu auseinandergehen), sind vermutlich sämtliche aktuellen digitalen Geschäftsmodelle der Finanzindustrie, wesentlich beruhend auf asymmetrischer Verschlüsselung, Kuchenkrümel auf einer Müllhalde sobald Primzahlen nicht mehr sicher sind. Quantencomputer können eine Primzahlzerlegung drastisch schneller ausführen, als herkömmliche Hardware.

Aber egal, bis die Script-Kiddies sich einen Quantencomputer leisten können, wird die Public-Key-Transaktionssicherheit hoffentlich auf neue Füße gestellt sein. Ansätze für auf Quantentechnik beruhende derartige Verschlüsselungsverfahren gibt es längst.

Was mir jedoch mehr Sorge bereitet, ist das immer größere Auseinanderklaffen der Potenziale zwischen den (viel) Besitzenden und den immer zahlreicher werdenden Anderen. Dass das Weltwirtschaftsforum offenbar mit großen Medienkonzernen Stillhalteabkommen durchsetzt, damit ein global einheitliches Narrativ die Öffentlichkeit sowohl über den Fortgang als auch die Möglichkeiten der Quantencomputerforschung im Dunkeln hält, macht meine Sorgen bestimmt nicht kleiner.

Katastrophales Urteil aus München

https://www.golem.de/news/landgericht-muenchen-einbindung-von-google-fonts-ist-rechtswidrig-2202-162826.html

Die Einbindung von dynamischen Webinhalten wie Google Fonts von US-Webdiensten ist ohne Einwilligung der Besucher rechtswidrig. Das hat das Landgericht München in einem Urteil (Az. 3 O 17493/20) entschieden. Webseitenbetreiber können auf Unterlassung und Schadensersatz verklagt werden.

Die deutschen Gerichte mal wieder mit voller Fahrt zurück in die Steinzeit. Irgendjemand muss doch etwas gegen die Misere der Hochschulen und das Vergraulen hochqualifizierter Fachkräfte durch extreme Steuern und Abgaben tun! Am besten die ganze IT-Industrie zerstören, dann merkt das erbärmliche Politikversagen keiner mehr. Oder ist das gar ein extra hinterhältiger Trick, um endlich die chinesische „Great Firewall“ um Europa hochziehen zu können?

Wenn Sie als Seitenbetreiber Google Fonts, oder sonst irgendwelchen externen Content nachladen, reicht ein Klick auf Ihre Seite, um Sie mit Schadensersatzklagen überziehen zu können. Wie üblich sucht man sich dabei den leichtesten Gegner, man stellt sich nicht etwa gegen Google, um denen die missbräuchliche Datensammelei auszutreiben, nein, der harmlose Webshop um die Ecke soll büßen.

Falls Ihre Seite mit Standard-Themes arbeitet (z.B. für WordPress: Twentyseventeen, Twentynineteen, Twentytwenty und so weiter Update: Auch diese Themes verwenden Google Fonts!), sind Sie vermutlich auf der sicheren Seite gefährdet. Falls Sie ein professionelles Theme einbinden, z.B. Avada, achten Sie in den Einstellungen auf die Möglichkeit, die Google Fonts lokal zu hosten und aktivieren Sie diese Option, falls möglich – wenn die Google Fonts vom lokalen Server kommen, sind Sie vor Abmahnungen geschützt.

Falls das verwendete Theme eine solche Option nicht anbietet, gibt es Plugins für das automatische lokale Zwischenspeichern der Google Fonts, z.B. OMGF | Host Google Fonts Locally. Es ist außerdem möglich, CSS und Theme manuell zu patchen, hier ist eine Anleitung dafür.

Es gibt aber auch Themes, die ihren eigenen Font mitbringen und den sowieso lokal laden. Bei solchen Themes ist kein Handlungsbedarf.

(Um zu überprüfen, welchen Font ein Text auf einer Seite hat, klicken Sie eine betreffende Textstelle rechts, und dann auf „Inspect“ bzw. „Untersuchen“. Im sich daraufhin öffnenden Debugger-Fenster ist weiter unten ein Abschnitt mit diversen Textformatangaben, den nach unten scrollen, dort steht dann der verwendete Font. Oder Sie nehmen die Lasche „Netzwerk“, drücken auf Reload und können dann in der Liste alle nachgeladenen Ressourcen prüfen; falls Fonts von Google nachgeladen werden, sehen Sie die URL dazu.)

Von der anderen im Artikel genannten Möglichkeit, nämlich der zwangsweisen Einwilligung (als „notwendig für den Betrieb der Seite“) im Cookie-Consent, würde ich abraten. Man wird damit nämlich kaum verhindern können, dass bereits externer Content geladen wird, bevor der Nutzer zustimmen kann, und daraus wird Ihnen genauso ein Strick gedreht. Ich hatte kürzlich im Support einen ganz ähnlich gelagerten Fall, und kann Ihnen deshalb aus eigener Erfahrung versichern, der Bundesdatenschutzbeauftragte kennt da kein Pardon.

Ergänzung: Inzwischen kristallisiert sich heraus, dass viele Websites gar nicht konform gestaltet werden KÖNNEN. Wer z.B. Youtube-Videos einbindet, bekommt die Fonts quasi als Zählpixel automatisch mit aufgedrückt, und Google schließt es in seinen Bedingungen sogar aus, das zu umgehen. Vielleicht lässt sich das zwar mit einem speziell gestalteten Youtube-Embedder umgehen, der zunächst nur ein Vorschaubild anzeigt, und bei Klick auf Play erst eine Einwilligung anfordert, aber ich habe noch keinen solchen gefunden.

2. Ergänzung: Eine sehr gute Übersicht, wie Google Fonts in einer WordPress-Installation ohne Plugin, sondern per CSS lokal gehostet werden können, bietet dieser Artikel von perun.net. Auch dort gibt es aber keine Lösung für dynamisch per API erzeugte nachgeladene Font-Adressen (welche nicht nur Youtube betreffen, sondern auch andere Google-Dienste). Für diese Problematik scheint es bisher keine Umgehung zu geben.

Licet Jovi

https://www.zerohedge.com/technology/scared-elon-musk-asks-college-kid-remove-twitter-bot-tracking-private-jet

[Sweeneys Twitter account] has 88k followers and uses bots programmed to track every time Musk departs and arrives at airports worldwide … The account is becoming so popular that Musk is getting nervous. He told Sweeney, “I don’t love the idea of being shot by a nutcase.”

Es ist schon lustig, immer wenn genau die Leute, die die ganze Welt gläsern machen wollen, damit niemandem mehr auch nur ein Fitzelchen Privatsphäre bleibt das den Profitzielen im Wege stehen könnte; immer wenn diese Leute auch nur ein wenig der eigenen Medizin zu schmecken bekommen, machen sie sich sofort in die Hose.

Anmerkung: „Quod licet Jovi, non licet bovi“ – Lateinisches Sprichwort: Was dem Jupiter gebührt, gebührt nicht dem Ochsen. Die Herkunft des Spruchs ist ungeklärt, aber er ist leider nach wie vor brandaktuell – was dem Jupiter Musk unzumutbar ist, soll die Nutzherde der Ochsen aber gefälligst klaglos hinnehmen. Man möchte jedoch hoffen, dass dieses Denken, wie der Jupiter-Tempel im Beitragsbild, bald zerfallen sein wird. Denn die Digitalrevolution wird auch deren überhebliche Schöpfer fressen, frisst sie längst, die ganze „philanthropische“ Menschenverachtung (Kopie) wird öffentlich (lesen Sie insbesondere die Kommentare; und es ist faszinierend, dass Gates nicht mal merkt, wie krass er sich mit solchen Sprüchen demaskiert – oder ist das „Stiftungs“-Verhöhnung an die dummen Steuerzahler?)

Hehre Ziele und dunkle Absichten

https://www.timesnownews.com/auto/features/article/cars-in-europe-to-get-a-black-box-and-other-new-safety-technologies-from/389820

EU has agreed to make it mandatory for all new vehicles in the continent to come fitted with a variety of new safety technologies from 2022. Aimed at protecting not only passengers, but also pedestrians and cyclists, the list of new technologies will include accident data recorder (black box), alcohol interlock installation facilitation, advanced emergency braking, intelligent speed assistance, etc … The new safety features will be made compulsory from 2022.

Das Problem an Black Boxes im Auto ist meiner Ansicht nach nicht, dass die zulässige Höchstgeschwindigkeit überwacht wird. Denn auch die EU will nicht vorschreiben, dass sie nicht überschritten werden dürfte, und es gibt ja durchaus Situationen, in denen das geboten und sogar von der STVO vorgegeben ist.

(Stellen Sie sich vor, Sie überholen auf der Landstraße mit 100 km/h einen Laster mit 80 km/h. Völlig legitimes Verhalten, Sie überschreiten nicht die zulässige Geschwindigkeit und die Geschwindigkeitsdifferenz ist ausreichend für einen Überholvorgang. Doch nun kommt Ihnen ein Irrer mit 180 km/h entgegen, womit Sie weder rechnen konnten noch mussten. Und dazu sagt auch die STVO klipp und klar, dass Sie in solch einer Situation selbstverständlich die Höchstgeschwindigkeit überschreiten dürften, um einen Unfall zu vermeiden. (Jedoch, ob aber Bremsen, Beschleunigen oder Ausweichen in die Wiese das Richtige wäre in irgendeiner gegebenen Situation wie beschrieben, kann nur im Einzelfall beurteilt werden.))

Also, dass Ihr Auto Ihnen nachweisen kann, wenn Sie zu schnell gefahren sind… nun ja. Zwingt Sie doch niemand dazu, und ohnehin können Gutachter in den meisten Fällen das auch mittels anderer Methoden. Abgesehen davon haben die meisten einigermaßen modernen Autos (seit 2013) sowieso einen Datenspeicher an Bord (Stichwort OBU), und wenn das Gericht es ernst meint, kann es diesen auch gutachterlich auslesen lassen. Kommt hin und wieder vor.

Nein, die Aufzeichnung der gefahrenen Geschwindigkeit stört mich nicht. Wer rumrast und andere damit gefährdet, soll, meiner Meinung, im Fall des Falles auch zur Verantwortung gezogen werden können… Meine Sorgen bei diesen Plänen liegen woanders. Im Zusammenhang mit einerseits den Grüne-Energie-Vorhaben, sowie andererseits den Emergency-Call-Gesetzen der EU wäre es mit Black Boxes mühelos möglich, ein System zu etablieren, das Ihren Bewegungsradius einschränkt. Sie sind ein Lohnsklave? Ihr Auto versagt an den Stadtgrenzen seinen Dienst. Sie sind ein Bonze? Natürlich dürfen Sie überall hin und sich an leeren Autobahnen erfreuen.

Sie verstehen. Man fragt sich schon, mit welchen Absichten im Hintergrund hier eigentlich gehandelt wird. Falls es tatsächlich darum geht, Kinder im Straßenverkehr zu sichern, prima, bin ich voll dafür. Aber die Erfahrung lehrt leider, die Kinder werden weiterhin gar nicht geschützt, aber jedes Missbrauchspotenzial wird voll ausgeschöpft. Wessen Interessen vertreten Politiker?

 

Unser Vertrauen wird mit immer mehr Misstrauen erwidert

https://www.danisch.de/blog/2022/01/09/die-polizei-und-ihr-zugriff-auf-die-luca-app-daten/

Wenn’s mal wieder anders läuft als versprochen.

Ursprünglich hieß es ja mal, dass die Daten aus der Corona-Kontaktverfolgung natürlich zu gar nichts anderem verwendet werden als eben zur Nachverfolgung.

Verschiedene Quellen … berichten … dass die Mainzer Polizei in einem Todesfall rechtswidrig auf die Daten der Luca-App zugegriffen hätte.

Sehr interessante Überlegungen des Datenschutzexperten Hadmut Danisch zum Skandal in Köln um die Luca-App. Der Rechtsbruch liegt gar nicht bei der Polizei, sondern beim Gesundheitsamt, schreibt er, mit durchaus sehr einleuchtenden Argumenten.

Tja, der Überwachungsstaat nimmt immer mehr Fahrt auf. Falls Sie wissen möchten, was uns da blüht, lesen Sie dieses ausführliche Interview mit dem deutschen Journalisten Christoph Giesen, der aus China berichtet. Einfach nur gruselig. „Keine Minute, in der du nicht auf einem Bildschirm bist“.

Gewissensfrage

https://www.konjunktion.info/2021/12/schweden-impfstatus-per-mikrochip/

Der Impfchip ist keineswegs „Verschwörungstheorie“, sondern längst Realität. Oder was dachten Sie, was der Hintergrund der Kampagne zur Jagd auf gefälschte Impfpässe ist?

Implantierbare Chips sind allerdings schon überholt und höchstens ein Zwischenschritt. Das tatsächliche aktuelle Ziel ist die subkutane „Quantum Dots“-Markierung von Gates.

Es gibt ja sehr viele Programmierer, die sich aus ethischen Gründen weigern in der Kriegswaffen-Industrie zu arbeiten. Wird es langsam Zeit, diese ethischen Gründe auch auf die Mitarbeit in „Big Data“-Projekten auszudehnen?

Auf das Wesentliche fokussiert

https://ubports.volla.online/

Basierend auf Ubuntu Touch fertigt das deutsche Unternehmen „Hallo Welt Systeme“ Mobiltelefone, die besonderes Augenmerk auf Privatsphäre und das Vermeiden von überflüssiger und störender Bloatware legen.

Wer eine sehr gute Kamera benötigt, oder unterwegs spielen möchte, wird mit diesem Gerät wohl eher nicht glücklich werden. Für diejenigen, die ihr Handy für die Arbeit einsetzen, und Wert auf Datenschutz legen, vielleicht dennoch interessant.

Und abgesehen davon ist Ubuntu Touch auch ein durchaus spannender Versuch, die Mobilbetriebssystem-Dominanz der „Großen Zwei“ mit einer quelloffenen Technologie zu ergänzen.

Segen oder Fluch

https://br.atsit.in/de/?p=134303

Die zur Ortung beliebiger Gegenstände genutzten Airtags von Apple sind bestimmt ein Segen für Alzheimer-Patienten. Oder ist es anders herum, und sie belegen Manfred Spitzers provokante Thesen von der digitalen Demenz?

So oder so, die Digitalisierung geht ganz sicher nicht mehr weg, und wir müssen lernen, damit zurecht zu kommen. Übertriebene Bequemlichkeit schadet aber generell, darin würde ich Spitzer zustimmen. „WALL-E Der letzte räumt die Erde auf“ zeigt es ja recht eindrücklich, wenn das Leben zu gemütlich wird, dann hocken wir alle irgendwann nur noch im Elektroscooter und starren auf Bildschirme, so wie auf dem Raumschiff „Axiom“ im Film.

Jedenfalls, das Missbrauchspotential der Airtags scheint ziemlich hoch zu sein – es gibt außerdem ein massives Stalking-Problem damit. Apple hat aber inzwischen die Gefahren der Technologie erkannt und bringt mit iOS 15.2 einen Scanner, der unbemerkt untergeschobene Airtags aufspüren kann.

Android-Nutzer bleiben aber den Problemen weiterhin ausgeliefert, sie haben nahezu keine Chance ein Tag zu finden, wenn dessen Lautsprecher deaktiviert wurde.

Wo ein Trog ist

https://www.wochenblick.at/corona/mit-elga-daten-zum-zwangs-impftermin-ueberwachungsstaat-im-ausbau/

Es könnte durchaus hilfreich sein, eine zentrale Datenbank für die Gesundheitsvorsorge aufzubauen. Im Koma nach einem Autounfall tut man sich einigermaßen schwer, seine Blutgruppe mitzuteilen.

Und so wird es uns ja auch verkauft. Nur leider fallen dabei regelmäßig Datenschutz und Privatsphäre ins Koma, während hingegen die tatsächliche Nutzung für den Bürger immer an eben jenen scheitert.