zweitaktpirat

2 Takte bewegen die Welt – Blog von @Maltis

12 November
12Comments

Snowden muss weg!

Seit dem 01.07.2013, dem Tag an den wir Edward Snowden für das Bundesverdienstkreuz vorgeschlagen haben, hängt ein Snowden Gesicht bei mir im Büro des Landtags NRW.

Bild by @derSchepp

Heute wurde ich von der Landtagsverwaltung aufgefordert, dieses Gesicht von meinem Bürofenster zu entfernen. Begründet wurde das mit der Hausordnung des Landtags. Ich vermute, es handelt sich dabei um folgenden Passus:

§ 6 Verhalten in den Gebäuden und Sitzungsräumen
(1) In den Gebäuden des Landtags ist Ruhe und Ordnung zu wahren. Flugblätter,
Spruchbänder und sonstiges Informationsmaterial dürfen nicht verteilt oder gezeigt
werden. Es ist die Würde des Hauses zu achten und auf die Arbeit im Hause
Rücksicht zu nehmen. Insbesondere hat sich jede Person so zu verhalten, dass die
Funktionsfähigkeit des Parlaments nicht gestört oder gefährdet wird.
Fazit: Hausordnung geht vor.
08 November
15Comments

Unsichere RC4 Verschlüsselung aus seinem Browser entfernen

Info: Dieser Text ist absichtlich in möglichst einfacher Sprache gehalten.

Viele Sicherheitsexperten ahnten es schon, jetzt wurde es ein weiteres mal bestätigt. Eine der häufigsten Verschlüsselungsarten für Webbrowser, der sogenannte RC4 Algorithmus ist geknackt und ermöglicht Geheimdiensten, wie der amerikanischen NSA euren Internetverkehr mitzulesen und auszuwerten.

Das heißt für euch, ein grünes Schloss in eurer Browser Adressleiste zu sehen, bedeutet nicht zwangsläufig Sicherheit.

Das Einzige was wir dagegen tun können, ist diese kaputte Verschlüsselung aus unserem Browser rauszuwerfen. Das geht relativ einfach mit dieser kleinen Schritt für Schritt Anleitung für den Firefox Webbrowser.

1. Schritt:

Einfach mal den Text about:config in eure Adresszeile eingeben und Enter drücken.

Ihr solltet nun eine Warnmeldung sehen, die in etwa so aussieht. Habt keine Angst davor, ihr könnt nichts kaputt machen.

2. Schritt

In der Suchspalte oben neben der kleinen Lupe einfach “RC4″ eingeben, schon solltet ihr folgende Einträge sehen:

3. Schritt

Am Ende jeder Zeile soltet ihr in der Spalte “Wert” eine “true” Angabe stehen haben. Das bedeutet, dass euer Browser die kaputte RC4 Verschlüsselung akzeptiert. Klickt nun mit der “rechten Maustaste” auf das “true” und wählt den Eintrag “Umschalten” aus. Aus dem “true” sollte nun ein “false” geworden sein, sprich es wurde deaktiviert. Führt diesen Schritt in allen angezeigten  Zeilen durch.

Das wars! Ihr hab nun erfolgreich eurem Firefox abgewöhnt, eure Daten mit RC4 zu verschlüsseln. Jetzt einfach den Browser neu starten und ihr seid ein bisschen sicherer. Wenn ihr jetzt noch Lust habt, könnt ihr die Schritte nochmal mit “MD5” anstatt “RC4″ wiederholen. Das ist nämlich ebenso seit langer Zeit unsicher, wird aber manchmal noch eingesetzt.

Zur Sicherheit könnt ihr nach den Neustart einfach folgende Seite der Uni Hannover ansurfen: https://cc.dcsec.uni-hannover.de/ – solltet ihr auf dieser Seite unter “Cipher Suite Name” irgendwo etwas mit “RC4″ finden, hat irgendwas nicht geklappt und ihr könnt euch bei mir melden.

Solltet ihr den Microsoft Internet Explorer nutzen, kann ich euch an dieser Stelle nur empfehlen, es sein zu lasen. Der Internet Explorer ist ein riesengroßes Einfallstor für Viren und andere Computerschädlinge, auch hält Microsoft vermutlich spezielle Hintertüren für Geheimdienste und Behörden bereit. Dem Webbrowser Chrome von Google würde ich übrigens genau so wenig vertrauen.

Für erfahrenere Menschen oder gar Betreiber von Webservern, empfehle ich den Artikel im Blog des Neusser Hackerspace fNordeingang e.V: https://fnordeingang.de/321

Solltet ihr noch Fragen haben meldet euch einfach bei mir oder schreibt hier in die Kommentare.

08 November
1Comment

Spionageeinrichtungen auf Dächern von Botschaften in NRW?

cc-by-nc Chris-Havard Berge

Die Enthüllungen des Whistleblowers Edward Snowden haben zu Tage gebracht, dass Mobiltelefone von deutschen Politikern, darunter das von Angela Merkel, vom US-amerikanischen Nachrichtendienst NSA abgehört worden sind. Laut „Der Spiegel“ wurde dazu auch Abhörequipment verwendet, das auf dem Dach der US-amerikanischen Botschaft unweit des Reichstages in Berlin untergebracht ist.

Die Abhörungen betreffen dabei keineswegs nur Mobiltelefone einzelner Politiker, sondern die Spionagetechnik erfasst die Kommunikation aller Bürger und Unternehmen in Reichweite.
In internen NSA-Dokumenten ist von sogenannten „stateroom sites“ die Rede, es handelt sich dabei um kleine, mit wenig Personal besetzte Abhöreinrichtungen innerhalb von Botschaften und Konsulaten, die der Auslandsgeheimdienst nutzen kann.

Auf dem Dach der US-Botschaft in Berlin sind Aufbauten mit synthetischen Fassaden erkennbar, hinter der Überwachungstechnik vermutet wird. Auch auf der britischen Botschaft existieren Aufbauten, die Überwachungstechnologie vermuten lassen.

In Frankfurt hat der Verfassungsschutz mittels Hubschrauber US-amerikanische Vertretungen überflogen und aus der Luft fotografiert, um eventuelle Überwachungstechnologie festzustellen. Dort sollen sich Abhörposten des US-Geheimdienstes NSA befinden. Das Bundesamt für Verfassungsschutz teilte überdies mit, dass diplomatische Vertretungen in seinem Auftrag „in unregelmäßigen Abständen“ überflogen würden.

Konsulate und diplomatische Vertretungen verschiedener Nationen befinden sich auch in Nordrhein-Westfalen, darunter auch Konsulate der sogenannten „Five Eyes“-Allianz (USA, Kanada, Vereinigtes Königreich, Australien und Neuseeland). So befinden sich in Düsseldorf unter anderem das Amerikanische Generalkonsulat, das Britische Konsulat sowie das Konsulat von Kanada.

Die folgenden Fragen habe ich zusammen mit meinem Kollegen Daniel Schwerd der Landesregierung gestellt. Die Landesregierung muss nun innerhalb von vier Wochen schriftlich antworten. Wir sind sehr gespannt auf die Antworten!.

  1. Welche Konsulate und diplomatische Vertretungen der „Five Eyes“-Allianz in Nordrhein-Westfalen wurden im Auftrag von Behörden des Landes NRW in den letzten 10 Jahren bereits durch Überflug oder andere Maßnahmen auf Abhör- und Spionagetechnologie untersucht
  2. Welche Konsulate und diplomatische Vertretungen anderer Nationen in Nordrhein-Westfalen wurden im Auftrag von Behörden des Landes NRW in den letzten 10 Jahren bereits durch Überflug oder andere Maßnahmen auf Abhör- und Spionagetechnologie untersucht?
  3. Welche Erkenntnisse haben die Maßnahmen aus 1. und 2. jeweils gebracht? Führen Sie jede einzelne Erkenntnis unter Angabe des Datums der Maßnahme auf.
  4. Sind solche bzw. weitere Untersuchungen im Auftrag von Behörden des Landes NRW vorgesehen?
  5. Welche Vorkehrungen trifft die Landesregierung, um Bürger und Unternehmen in NRW vor Spionage durch Abhöreinrichtungen auf Dächern diplomatischer Vertretungen zu schützen?
Zu Archivzwecken:
Kleine Anfrage auf den Server des Landtags: Drucksache 16/4328 (PDF)
Kleine Anfrage auf den Server der Fraktion: Drucksache 16/4328 (PDF)
01 August
1Comment

Ist das Handy von Hannelore Kraft abhörsicher?

CC BY-NC 2.0 Campact

Frank Rieger (CCC) hat in seinem Blog beschrieben wie Blackberry Smartphones  unverschlüsselte Passwörter zu E-Mail-Konten über Amerikanische und Britische Server schicken. Diese Passwörter fallen dann folgerichtig den In- und ausländischen Geheimdiensten in die Hände.

Zusammen mit Daniel, Grumpy und Frank habe ich eine kleine Anfrage gestellt mit dem Ziel, herauszufinden welche Diensthandys von NRW Minister_innen, den Mitarbeitern der Ministerien sowie Ministerpräsidentin Hannelore Kraft genutzt werden. Die kleine Anfrage hat die Drucksachennummer 16/3690 und ist ab heute in den Parlamentspapieren zu finden. Für die Antwort hat die Landesregierung vier Wochen. Hier ist der genaue Wortlaut:

Kleine Anfrage XXX

Der Abgeordneten Lukas Lamla, Daniel Schwerd, Marc Olejak und Frank Herrmann PIRATEN

Haben ausländische Geheimdienste ihr Ohr an Diensthandys der nordrhein-westfälischen Regierung?

Aktuelle Medienberichte legen die Überwachung der elektronischen Kommunikation durch britische und US-Geheimdienste in ungeahnten Ausmaßen offen. Im Rahmen des Projektes PRISM kann der US-amerikanische Militärnachrichtendienst National Security Agency (NSA) Zugriff auf nahezu jegliche elektronische Kommunikation erlangen, die über US-amerikanische Unternehmen abgewickelt wird. Auch Hersteller von Smartphones (bspw. Apple, Google/Motorola) und Smartphone-Betriebssystemen (bspw. Apple, Google, Microsoft), sowie Hersteller von Verschlüsselungs- und Sicherungssystemen unterliegen diesem Zugriff.

Die überproportional starke Präsenz von Unternehmen auf dem Markt der elektronischen Kommunikation, die US-amerikanischer Jurisdiktion unterliegen, sorgt dafür, dass faktisch alle Nutzer von dieser Überwachung betroffen sind.

Aktuellen Berichten zufolge übertragen Geräte des kanadischen Herstellers Blackberry alle Passwörter zu E-Mail-Konten unverschlüsselt über US-amerikanische und britische Server.[1]

Smartphones mit dem Betriebssystem Android geben die gespeicherten Passwörter von WLAN-Netzwerken an den Hersteller Google weiter und ermöglichen, bspw. beim Einsatz von sogenanntem Single-Sign-On, Geheimdiensten den Zugriff.[2]

Microsoft hat laut einem Bericht der britischen Tageszeitung „The Guardian“ dem US-Geheimdienst NSA aktiv geholfen, die Daten-Verschlüsselung bei Diensten wie Outlook.com, SkyDrive oder Skype zu umgehen.[3]

Neben Bürgen und privatwirtschaftlichen Unternehmen sind auch alle öffentlichen Stellen, und damit die Regierungen und sämtliche Leitungsebenen der Ministerien und Landesbehörden, Nutzer digitaler Kommunikation. In allen Fällen müssen die Kommunikationsteilnehmer sich auf die Vertraulichkeit ihrer Kommunikation verlassen können.

Dokumente und Kommunikation von Regierungen und anderen Verfassungsorganen gehören traditionell zu den begehrtesten Zielen ausländischer Geheimdienste.

Wir fragen die Landesregierung:

  1. Welche Mobiltelefone/Smartphones – unter Angabe von Hersteller, Modell und Betriebssystem/Version – werden von der Ministerpräsidentin, den Ministerinnen und Ministern, den Staatsekretärinnen und Staatssekretären, den Mitarbeiterinnen und Mitarbeitern der Ministerbüros sowie den Mitgliedern der mittleren Leitungsebene in den Ministerien (Abteilungs- und Unterabteilungsleiter und -leiterinnen) für dienstliche Zwecke genutzt?
  1. Über welche Systeme zur Verschlüsselung und Sicherung von Gesprächen und Daten verfügen die Mobiltelefone/Smartphones der in Frage 1 genannten Personengruppen jeweils?
  1. Welche Instant-Messaging-Dienste nutzen die in Frage 1 genannten Personengruppen auf dienstlichen Mobiltelefonen/Smartphones?
  1. Über welche Dienstleister wird der dienstliche Mobilfunk der Ministerpräsidentin, der Ministerinnen und Minister, der Staatsekretärinnen und Staatssekretäre sowie der Mitarbeiterinnen und Mitarbeiter der Ministerien abgewickelt?
  1. Wie wird die Vertraulichkeit der telefonischen Kommunikation der Landesregierung gewährleistet vor dem Hintergrund der in den letzten Wochen öffentlich gewordenen Abhörmöglichkeiten ausländischer Geheimdienste sowie der berichteten Sicherheitslücken und Backdoors bei Android- und Blackberry-Mobiltelefonen?

[1] http://frank.geekheim.de/?p=2379 /

http://www.heise.de/newsticker/meldung/BlackBerry-spaeht-Mail-Login-aus-1919718.html

[2] http://www.heise.de/newsticker/meldung/Android-und-die-Passwoerter-Offene-Tueren-fuer-Spionage-1917386.html

[3] http://www.guardian.co.uk/world/2013/jul/11/microsoft-nsa-collaboration-user-data

24 Juli
15Comments

Piraten bei gamescom 2013 unerwünscht?

Heute landete folgende E-Mail in meinem Abgeordnetenpostfach:

Sehr geehrter Herr Abgeordneter,

mit über 275.000 Besuchern und 600 Ausstellern aus 40 Ländern war die gamescom 2012 das weltweit größte Messe- und Eventhighlight für Computer- und Videospiele. Im Rahmen der gamescom 2013, die in diesem Jahr im unmittelbaren Vorfeld der Bundestagswahl liegen wird, plant der BIU unterschiedliche Formate für politische Mandatsträger.

Es wäre uns eine große Ehre, wenn wir Sie an dieser für die Branche so wichtigen Veranstaltungen als Gast begrüßen zu können.

Boah! Toll! …dachte ich mir. Die gamescom läd ein – schön! Aber es sollte noch besser werden:

Politisches Rahmenprogramm gamescom (21. August 2013, Köln ):

  • Moderierte Podiumsdiskussion „Politics meets Gamer“: 16:15 bis 17:15 Uhr, Ort: wird noch bekannt gegeben

o   Thomas Jarzombek, MdB (CDU / CSU-Bundestagsfraktion)

o   Jimmy Schulz, MdB (FDP-Bundestagsfraktion)

o   Malte Spitz (Bundesvorstand Bündnis 90 / Die Grünen)

o   Alexander Vogt, MdL (SPD-Landtagsfraktion Nordrhein-Westfalen)

Äh…ja… Da findet in NRW die weltweit größte Computer und Videospiele Messe statt und Vertreter der Piratenpartei sind auf der Podiumsdiskussion nicht eingeladen. Zur Erinnerung, in NRW selbst ist die Piratenpartei mit einer 20-köpfigen Fraktion im Landtag vertreten. Und es ist ja nicht so, dass die Piraten nichts zum Thema zu sagen hätten… wir möchten, dass Spiele jeglicher Art als Kulturgut anerkannt werden, wir möchten eine Förderung von E-Sports als moderne Form des sportlichen Wettkampfs und zum Thema Urheberrecht haben wir ebenfalls einiges zu sagen! Unter den Piraten gibt es ebenfalls einige Experten, die zusammen die fachpolitische Plattform www.pirate-gaming.de betreiben.

Ich finde es sehr bedauerlich, dass sich die Veranstalter der gamescom 2013 so von den etablierten Parteien für den parteipolitischen Wahlkampf instrumentalisieren lassen. Nein, das ist kein mimimi – das ist eine Dokumentation eines dreckigen Wahlkampfs. Die gesamte Einladungsmail im Wortlaut gibt es hier: http://pastebin.com/KWZ1FnB0

Update 1

Der Organisator des “politischen Rahmenprogramms” auf der gamescom2013 ist der BIU – Bundesverband Interaktive Unterhaltungssoftware e.V.

Die Ziele des Vereins werden bei Wikipedia so beschrieben:

Als grundlegende Ziele nennt der BIU die Kommunikation über Computer- und Videospiele mit der Öffentlichkeit, die Maßnahmenentwicklung zur Förderung von Medienkompetenz sowie des Kinder- und Jugendschutzes und den Kampf gegen Softwarepiraterie. Außerdem sollen andere Institutionen im Kampf gegen Softwarepiraterie, wie die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) oder die Business Software Alliance (BSA) aktiv unterstützt werden.

Update 2

Natürlich habe ich den Veranstalter angeschrieben, auf die Programminhalte der Piraten sowie alle anderen Details freundlich hingewiesen. Eine Antwort liegt mir allerdings noch nicht vor. Ich werde sie umgehend hier veröffentlichen, sofern ich eine Antwort bekomme.