Bloghttps://hoi-polloi.org/~brf/blog/2014-11-03T16:33:00+01:00Steinzeit-Malware2014-11-03T16:33:00+01:00Bernd Fixtag:hoi-polloi.org,2014-11-03:~brf/blog/cbm-trojan.html<div style="float:left; margin-right:2em; margin-bottom:1em;">
<p><img alt="CBM_Trojan Logo" src="https://hoi-polloi.org/~brf/blog/images/cbm-trojan.png" /></p>
</div>
<p>Schon im letzten Blogeintrag »<a href="https://hoi-polloi.org/~brf/blog/cbm-crypto.html">Steinzeit-Crypto</a>« habe
ich davon berichtet, wie ich alte PET Tapes wiedergefunden und unter VICE zu neuem Leben erwecken konnte.
Leider war das Programm, das ich besonders gerne zurück gehabt hätte, nicht unter den Fundstücken.
Deshalb blieb mir nur die daten-archäologische Rekonstruktion...</p>
<p>Als Ausgangsmaterial gab es nur meine Erinnerung an das Programm und was es getan hat. An viele technische
Details konnte ich mich nicht mehr erinnern - aber sehr wohl an die Umstände, unter denen es entstanden ist:</p>
<h2>Die Geschichte hinter dem Programm</h2>
<p>Während meines letzten Schuljahres vor dem Abitur entschloss sich mein Mathematik-Lehrer nicht nur, meiner
Klasse im neuen Computerlabor das Programmieren von PET 8032 zu zeigen, sondern uns auch durch Vorträge
und Diskussionen über den Nutzen und die Gefahren der Datenverarbeitung aufzuklären. Ich bin meinem
damaligen Lehrer (Eckhard Lotze) so dankbar, weil er und seine Diskussionen mit mir es waren, die mich
endgültig über die Klippe ins Reich des Hackens gestossen hat...</p>
<p>In diesem Jahr musste jeder Schüler einen Vortrag nach eigener Wahl über ein nicht-technisches Thema
aus dem Bereich "Computer" halten. Einige nahmen Bücher wie "Die Macht der Computer und die Ohnmacht der
Vernunft" von Joseph Weizenbaum (1977), "1984" von George Orwell (1984) oder "SAGA vom grossen computer" von
Olof Johannesson1 (1968); andere suchten sich andere Themen.</p>
<p>Ich entschied mich dafür, kein Buch zu besprechen sondern etwas Selbstständiges zu machen. In früheren
Diskussionen hatten wir schon über die "Macht der Programmierer" gesprochen, Computersysteme auch so
manipulieren zu können - sei es aus Sabotage oder um sich einen Vorteil zu verschaffen -, dass es nicht
bemerkt wird. Das liegt unter anderem auch daran, dass Menschen sich oftmals eher selbst misstrauen als
den Ergebnissen eines Rechners. </p>
<h2>Die Demonstration</h2>
<p>Um diesen Punkt praktisch zu verdeutlichen entwickelte ich ein "verborgenes Programm", das sozusagen im
Hintergrund lief und die Ausführung von anderen laufenden Programme beeinflussen konnte. Zusammen mit
dem Lehrer arrangierte ich für den Tag meines Vortrags eine praktische Demonstration: Vor der Stunde
installierte ich auf allen Rechner das "verborgene Programm" und liess die Rechner laufen.</p>
<p>Zu Beginn der Stunde teile mein Lehrer der Klasse mit, dass aus welchem Grund auch immer mein Vortrag
heute ausfällt und stattdessen praktische Programmierübungen in BASIC stattfinden. Er stellte eine
einfache Aufgabe und die Schüler konnten (in Gruppen) ihr BASIC-Programm an den laufenden Rechnern schreiben. </p>
<p>Einige Gruppen waren nach kurzer Zeit fertig und präsentierten ihre BASIC-Lösung, während andere
Gruppen schnell der Verzeifelung nahe waren: Obwohl das einfache Programm (weniger als 10 Zeilen) eigentlich
hätte funktionieren müssen, lieferte es ständig falsche Ergebnisse - und bei gleichen Eingabewerten
sogar verschiedene falsche Ergebnisse. Der Fehler wurde in allen Gruppen immer zuerst bei sich selbst
(und seinen Programmierkünsten) gesucht, was zu hecktischen Code-Änderungen führte. Und manchmal
passierte es wie durch ein Wunder, dass eine kleine und unbedeutende Änderung am Code plötzlich dazu
führte, dass alles ordentlich lief und korrekte Resultate lieferte. Einige Gruppen hatten aber auch
kein solches Glück...</p>
<p>Jetzt war es an der Zeit, die Sache aufzuklären und begann meinen Vortrag mit einer Erklärung. Das
"verborgene Programm" machte unbemerkt folgendes: bei jedem PRINT-Befehl (und den muss es ja mindestens
einmal in jedem Programm geben, um das Ergebnis auszugeben) wird der Wert der zuletzt benutzten
numerischen Variable ein zufälliger Wert zugewiesen. Je nach Konstruktion des Programmes kann eine
solche Änderung "ohne Einfluss" sein - oder aber wichtige Werte in der Berechnung verändern und
dadurch falsche Ergebnisse liefern.</p>
<p>Da ich damals von "Malware" oder "Trojanischen Pferden" in Programmen und Computern noch nichts
gehört habe, hatte das Programm damals wohl auch einen ganz profanen Namen - an den ich mich aber
nicht mehr erinnern kann. In der Rekonstruktion hat es den Namen "TROJAN" erhalten.</p>
<p>Am Schluss des Vortrags gab es aber auch noch einen Sicherheitshinweis: Bevor man an einem Rechner
arbeitet und er ist bereits eingeschaltet, sollte man ihn aus- und dann wieder einschalten. Das
Überleben diese "verborgenen Programme" nämlich nicht.</p>
<h2>Downloads</h2>
<p>Wen es näher interessiert: Der Quellcode und die Beschreibung zum Programm kann als PDF (English!)
<a href="../download/Trojan-8032.pdf" target="_blank">heruntergeladen (~100k)</a> werden.
Ein 1541 Floppy-Image mit dem Programm und einigen BASIC Testprogrammen aus der Doku steht ebenfalls zum
<a href="../download/Trojan-8032.d64" target="_blank">Download (~180k)</a> bereit.</p>Steinzeit-Crypto2014-09-11T11:49:00+02:00Bernd Fixtag:hoi-polloi.org,2014-09-11:~brf/blog/cbm-crypto.html<div style="float:left; margin-right:2em; margin-bottom:1em;">
<p><img alt="CBM-Crypto Logo" src="https://hoi-polloi.org/~brf/blog/images/cbm-crypto.png" /></p>
</div>
<p>Mehr oder weniger durch Zufall habe ich vor einiger Zeit zwei alte Audiokassetten wiedergefunden, die nicht wie
erwartet irgendwelche Radio-Aufnahmen aus den späten 70'ern oder frühen 80'ern enthielten, sondern auf denen
<a href="../download/Cipher-8032.wav" target="_blank">merkwürdige Pieps-Geräusche (600k WAV)</a> aufgezeichnet waren,
die entfernt an die Töne von Akustikkopplern und Modems erinnern...</p>
<p>Welch ein unerwarteter Fund! Es war mir sofort klar, daß es sich hier nur um
<a href="https://en.wikipedia.org/wiki/Commodore_PET" target="_blank">Commodore PET2001 / CBM 8032</a>-Datenkassetten
handeln konnte. Dies frühen Commodore-Rechner waren die Maschinen, mit denen meine Computerkarriere um 1978
begonnen hatte; leider hatte ich nie selbst einen solchen Computer besessen (ich konnte nur die Rechner in der
Schule benutzen) und wußte somit erst einmal nichts mit meinem Fund anzufangen.</p>
<p>Recherchen im Internet führten mich dann aber schnell zu
<a href="https://en.wikipedia.org/wiki/VICE" target="_blank">VICE</a>, einem universellen Commodore-Emulator, der
nicht nur die alten Maschinen emuliert, sondern auch die Speichermedien nachbildet. So konnte ich die "Datasetten"
in den Emulator einlesen und sehen, was ich da wiedergefunden habe...</p>
<p>Die Überraschung war groß, dass unter den Programmen auf den Kassetten auch mein allererstes
Verschlüsselungsprogramm war, das um 1980 herum entstanden sein muß. Es war aus der (finanziellen) Not
heraus geboren, daß ich mir keine Disketten (5.25 Zoll) für den 8032 leisten konnte. Die Schule stellte
aber jedem (interessierten) Schüler eine Diskette (Wert: ~30 DM) kostenlos zur Verfügung unter der Auflage,
das diese mit dem Namen des Schülers beschriftet in einer unverschlossen Box im Klassenzimmer aufbewahrt wird.
Das hieß übersetzt: Alle - vor allem aber Lehrer - hatten freien Zugriff auf alle meine BASIC-Programme (oder
anderen Dinge), die auf der Diskette gespeichert waren — ein unerträglicher Gedanke.</p>
<p>Also habe ich ein kleines Programm geschrieben, das (persistent) im zweiten Kasettenbuffer geladen wurde und das
den BASIC-Speicherbereich ver- und entschlüsseln konnte. Das Programm selbst war auf einer Kasette gespeichert
(die ich mit nach Hause nehmen konnte) und somit gegen Einsicht geschützt. Das war auch nötig, da die
Verschlüsselung eher schwach war (31 Bit langer Schlüssel) und leicht hätte gebrochen werden
können (nicht das mir das alles damals schon vollständig bewußt war). </p>
<p>Wen es näher interessiert: ich habe den Quellcode und das "Handbuch" zum Programm re-konstruiert und
<a href="../download/Cipher-8032.pdf" target="_blank">dokumentiert (75k PDF, English)</a>.</p>Projekt Rahab -- Reloaded2014-07-14T16:12:00+02:00Bernd Fixtag:hoi-polloi.org,2014-07-14:~brf/blog/rahab.html<div style="float:left; margin-right:2em; margin-bottom:1em;">
<p><img alt="BND Logo" src="https://hoi-polloi.org/~brf/blog/images/bnd.png" /></p>
</div>
<p>Die USA zeigen sich angesichts der weltweiten, speziell aber der deutschen Empörung über die
totale Daten-Abschnorchelei im Internet wenig betroffen; bestenfalls reicht es noch zu einem "aber die
anderen Kinder im Sandkasten wollen uns doch auch die Formen klauen..."</p>
<p>So wundert es auch nicht, dass vor allem in amerikanischen Medien die alte Rahab-Story wieder in Position
gebracht wird, nach der der deutsche Bundenachrichtendienst (BND) im sogenannten "Projekt Rahab" andere
Länder ausspioniert haben soll (und es vermutlich auch immer noch tut). Um es ganz klar zu sagen:
Natürlich ist der BND wie jeder Geheimdienst in jedem anderen Land der Welt auch eine Bedrohung
der Freiheit der Menschen und gehöhrt schnellstmöglichst abgeschafft — und zwar ersatzlos.</p>
<p>Allerdings führt dies auch dazu, dass ich momentan vermehrt Anfragen zu der Geschichte um den
gestohlenen Mainframe-Virus von mir erhalte, den der BND ohne mein Wissen für ihre Zwecke missbraucht
haben soll. Ich kann mir nur wünschen, dass dies zu neuen (und wirklich nachprüfbaren)
Informationen führt, was damals wirklich passiert ist — aber vermutlich ist das eine naive
Hoffnung...</p>
<p>In jedem Fall habe ich den <a href="../rahab.html">alten Artikel</a> von mir mal mit neuen Quellen und
Artikel-Referenzen ergänzt.</p>Kriegsmaterialver(un)ordnung2014-03-07T00:00:00+01:00Bernd Fixtag:hoi-polloi.org,2014-03-07:~brf/blog/kmv2014.html<div style="float:left; margin-right:2em; margin-bottom:1em;">
<p><img alt="NoPeace" src="https://hoi-polloi.org/~brf/blog/images/NoPeace.png" /></p>
</div>
<p>Anfang März sah sich das schweizerische Parlament genötigt, sich zum "Handlanger der
Schurkenstaaten" zu machen (wie es die
<a href="http://www.sonntagszeitung.ch/fokus/artikel-detailseite/?newsid=266253">Sonntagszeitung</a> beschreibt)
und die Exportbeschränkungen für die helvetische Waffenindustrie praktisch aufzuheben.
Es sind zwar nur minimale Änderungen, aber die sind so geschickt eingefädelt, dass die ganze
Kontrolle ausser Kraft gesetzt wird. Die entsprechenden Punkte <i>a</i> bis <i>d</i> in Abschnitt 3,
Artikel 5 Punkt 2 der bisherigen
<a href="http://www.admin.ch/opc/de/classified-compilation/19980112/">Kriegsmaterialverordnung</a> wurde kreativ
ergänzt und manipuliert:</p>
<div style="clear: both">
<ol type="a">
<li>
Das Bestimmungsland <b>widerrechtlich</b> an einem internationalen bewaffneten
Konflikt beteiligt ist oder im Bestimmungsland ein interner bewaffneter Konflikt
vorherrscht;
</li>
<li>
Im Bestimmungsland <b>ein hohes Risiko besteht, dass das auszuführende Kriegsmaterial
für die Begehung von schwerwiegenden Menschenrechtsverletzungen eingesetzt
wird</b> <strike>Menschenrechte systematisch und schwerwiegend verletzt
werden</strike>;
</li>
<li>
Die Beschaffung des auszuführenden Kriegsmaterials die <b>sozioökonomische
Entwicklung des Bestimmungslands massgeblich beeinträchtigen
könnte</b> <strike>das Bestimmungsland auf der jeweils geltenden OECD-DAC-Liste
der Empfängerländer öffentlicher Entwicklungshilfe unter den am wenigsten
entwickelten Ländern aufgeführt ist</strike>;
</li>
<li>
Im Bestimmungsland ein hohes Risiko besteht, dass das auszuführende Kriegsmaterial
<b>unter Verletzung des humanitären Völkerrechts oder der Menschenrechte</b>
gegen die Zivilbevölkerung eingesetzt wird;
</li>
</ol>
Da sich wohl niemand verbindlich - und schon gar nicht der National-, Stände- oder Bundesrat - dazu
ässern wird, wann ein bewaffneter Konflikt <u>widerrechtlich</u> ist, wann <u>schwerwiegende
Menschenrechtsverletzungen</u> durch die Waffen erfolgen, wann Waffenkäufe die Ökonomie eines
Landes <u>massgeblich beeinträchtigen</u> oder sogar wann Waffen <u>unter Verletzung der
Menschenrechte</u> gegen eine Zivilbevökerung eingesetzt werden, kann die schweizerische
Waffenindustrie frohlocken und auf kräftige Gewinne hoffen. Dies ist ein guter Tag für
diese "Handlanger" - und ein wirklich schlechter Tag für den Frieden in dieser Welt.
</div>Datensammelwut ist scheinbar angeboren2014-02-24T00:00:00+01:00Bernd Fixtag:hoi-polloi.org,2014-02-24:~brf/blog/datensammelwut.html<div style="float:left; margin-right:2em; margin-bottom:1em;">
<p><img alt="YBTI" src="https://hoi-polloi.org/~brf/blog/images/Youbroketheinternet.png" /></p>
</div>
<p><b><i>Wie können wir sinnvoll gegen die Date<u>NSA</u>mmelwut von Geheimdiensten und Unternehmen vorgehen?
Ist es möglich, diese gemeinschädliche Rechtsbeschädigung durch Gesetze zu regeln, zu
kontrollieren und damit effektiv abzuschaffen? Ich glaube das eher nicht...</i></b></p>
<p>Viele Leute - darunter auch viele der sogenannten "Digital Natives" - beginnen erst seit der Veröffentlichung
der Snowden-Dokumente an die totalitäre Überwachung des Internets zu glauben; vorher war das einfach nur
die Spinnerei von Verschwörungstheoretikern. Daraus wird aber vielerorts der falsche Schluss gezogen, dass
diese Datensammelwut und Überwachung der Kommunikation eine eher neuzeitliche Erfindung ist; das früher
alles besser war und durch gesetzliche Regelung alles wieder so werden soll wie damals.</p>
<p>Eine solche Einstellung verkennt die historische Realität: die Gelüste, die Kommunikation anderer zu seinem
eigenen Vorteil (wie immer das auch definiert wird) zu überwachen, sind so alt wie die Fern-Kommunikation an sich
- also verdammt alt. Ein Beispiel dafür? Schon Mitte des 16. Jahrhunderts kaufte ein gewisser
<a href="https://de.wikipedia.org/wiki/Thurn-und-Taxis-Post">Taxis</a> das Amt des Generalpostmeister von Kaiser Karl V, um diesem
die Hurerei und Völlerei zu finanzieren. Als erste Amtshandlung richtete er die "<i>Schwarzen Kammern</i>" ein, um
Briefe während der Beförderung zu öffen und zu lesen. Diesen Informationsvorteil wusste er gewinnbringend
zu nutzen und legte so die Grundlage für die Dynastie der Thurn und Taxis, die bis heute andauert.</p>
<p><b>Wirklich neu ist nur, dass der technologische Fortschritt den "Take All"-Ansatz (die Vollüberwachung und
-Speicherung) heute möglich gemacht hat:</b></p>
<p>Zum einen kommunizieren wir heute zu einem grossen Teil über elektronische Wege, die viel einfacher abzuschnorcheln
sind als damals die Briefe in den <i>Schwarzen Kammern</i>. Diese Einfachheit liegt oft auch darin begründet, dass
die Protokolle des Internets, die wir jetzt zu Beginn des 21ten Jahrhunderts benutzten, zu einem grossen Teil schon in
den 60er Jahren des letzten Jahrtausends von bekifften Hippies an kalifornischen Universitäten entwicklet wurde,
die "Sicherheit" bestenfalls als "Safety" begriffen haben, aber nur ganz selten als "Security".</p>
<p>Zum anderen ist die Speicherung von Massendaten so billig wie nie zuvor. Heute baut die NSA in Utah einen Datenspeicher,
der geschätzt ein
<a href="https://de.wikipedia.org/wiki/Yottabyte#Bedeutungen_von_Dezimal-_und_Bin.C3.A4rpr.C3.A4fixen_f.C3.BCr_gro.C3.9Fe_Anzahlen_von_Bytes">Yottabyte</a>
umfasst - das sind ein Tera mal ein Terabyte. Mitte der 80er Jahre habe ich eine 80MB-Fetsplatte für 3000 DM gekauft;
ein Yottabyte hätte damals deshalb so etwa 35 Billionen Mark gekostet - das 40fache des BIP der BRD zu der Zeit.
Heute ist ein Yottabyte für die USA unglaublich viel günstiger; billig geradezu im Vergleich zur
imperialistischen Fremdbespassung anderer Länder mittels Bomben, Soldaten und Drohnen.</p>
<p>Wenn wir wirklich dieser Überwachung etwas entgegen setzen wollen, sollten wir unsere begrenzte Kraft und
Aufmerksamkeit nicht auf Gesetzesaktivitäten verschwenden - das hat die letzten Jahrhunderte schon nicht
funktioniert. Statt dessen bleibt uns nur der Weg, den Datenkraken mittels Technik den Weg zu unseren Daten zu
versperren. Das erfordert zum einen, dasss jeder von uns gewillt ist, sein Online-Verhalten zu ändern und
anfängliche Unbequemlichkeiten beim Erlernen von digitaler Selbstverteidigung in Kauf zu nehmen. Zum anderen
müssen wir die Protokolle im Internet, die unrettbar kaputt sind (wie zum Beispiel EMail), durch neue Varianten
ersetzen; diese zu erforschen, zu testen und zu verbreiten erscheint mir sehr viel sinnvoller als der Versuch
einer gesetzlichen Regelung von Überwachung.</p>
<p>Wer sich hier einbringen kann, findet mit dem Projekt <a href="http://youbroketheinternet.org">YouBrokeTheInternet</a> einen
guten Einstiegspunkt...</p>Post-Quantum Crypto2013-10-14T00:00:00+02:00Bernd Fixtag:hoi-polloi.org,2013-10-14:~brf/blog/pqcrypto.html<div style="float:left; margin-right:2em; margin-bottom:1em;">
<p><img alt="PQCrypto" src="https://hoi-polloi.org/~brf/blog/images/PQCrypto.png" /></p>
</div>
<p>Die Sicherheit der heute gebräuchlichen asymmetrischen Krypto-Verfahren wie <strong>RSA</strong> und <strong>ECC</strong> (<em>Elliptic Curve Crypto</em>)
basiert auf folgendem Prinzip: Die Grundlage der Schlüsselgenerierung bilden mathematische Operationen,
für die es keine (einfache) Umkehrfunktion gibt:</p>
<ul>
<li>
<p>RSA basiert darauf, dass es einfach ist, das Produkt zweier (großer) Primzahlen zu berechnen, es aber praktisch
unmöglich ist, nur aus dem Produkt wieder die zwei Primzahlen zu bestimmen.</p>
</li>
<li>
<p>ECC basiert darauf, daß es einfach ist, die Potenzfunktion über einem endlichen Körper (<em>modulo p</em>) zu berechnen,
es aber praktisch unmöglich ist, aus dem Ergebnis den diskreten Logarithmus zu bestimmen.</p>
</li>
</ul>
<p>Allerdings muß an dieser Stelle angemerkt werden, daß "<em>praktisch nicht zu berechnen</em>" in beiden Fällen
nur für die klassischen mathematischen Ansätze gilt – der Zeitaufwand / die Komplexität der
Lösungsalgorithmen ist so hoch, daß sie innert sinnvoller Zeit keine Ergebnisse liefern können.</p>
<p>Es gibt aber alternative Lösungsansätze: Seit den Arbeiten von Shor<sup>[1]</sup> aus dem Jahr 1994 ist nämlich
bekannt, daß beide Probleme durch den Einsatz von Quantencomputern lösbar wären.</p>
<p>Allerdings haben in den letzten 20 Jahren viele Kryptologen diesen Ansatz als "reine Science-Fiction" ignoriert – und
tatsächlich ist es alles andere als trivial, eine ausreichende Anzahl von Quanten-Bits zu verschränken, um
Schlüssel mit heute gebräuchlichen Längen zu knacken. Aber die Entwicklung auf diesem Gebiet hat in den letzten
Jahren rasant zugenommen; kommerzielle System arbeiten schon mit mehr als 100 QBits für bestimmte Probleme
(<em>Quantum Annealing</em> <sup>[2]</sup>).</p>
<p>Es ist aber nicht nur der Fortschritt der Quantentechnologie; die Sicherheit von RSA und speziell ECC wird zusätzlich
durch weitere Faktoren geschwächt:</p>
<ol>
<li>
<p>Auf dem Gebiet der klassischen Ansätze werden weiterhin Fortschritte gemacht, die speziell im Bereich Faktorisierung
die Sicherheit von RSA-Schlüsseln mit kürzerer Länge (1024 Bit) in Frage stellen.</p>
<p><strong>⇒ Neue RSA-Schlüssel immer mit 4096 Bit anlegen; alte RSA-2048-Schlüssel müssen nicht revoked werden,
sondern können einfach auslaufen. RSA-1024 auf keinen Fall mehr verwenden und ggf. revoken.</strong></p>
</li>
<li>
<p>Der Einfluss von Geheimdiensten wie der NSA auf die Definition von Krypto-Algorithmen hat seit den Zeiten von DES (der damals
von der NSA vor der Standadisierung von sicheren 128 Bit auf verkrüppelte 56 Bit zurückgestutzt wurde) nicht abgenommen:
Die aktuellen NSA-Dokumente von Snowden legen den Schluss nahe, den ECC-Kurven, wie sie von der NIST standardisiert sind, nicht
mehr zu vertrauen.</p>
<p><strong>⇒ Keine NIST-ECC-Kurven (mehr) verwenden<sup>[3]</sup>. Wenn ECC eingesetzt wird, dann entweder mit Kurven
wie <em>Curve25519</em> von Bernstein<sup>[4]</sup> oder der Kurve <em>Secp256p1</em>, wie sie in Bitcoin verwendet wird.</strong></p>
</li>
</ol>
<p>Deshalb wird es langsam Zeit, sich mit neuen Post-Quantum Krypto-Verfahren zu beschäftigen, deren Sicherheit nicht durch
Quantencomputer gefährdet wird und die zudem von unabhängigen Kryptologen mit offenen Karten entwickelt
und begutachtet werden. Auch wenn wir sie heute vielleicht noch nicht brauchen: aus Erfahrung wissen wir, daß es
viel Zeit kostet, gute Verfahren zu entwickeln und zu begutachten – und noch mehr Zeit, um diese Verfahren in Software
fehlerfrei und ohne Angriffsfäche zu implementieren. Und wenn wir nicht heute damit anfangen, sind wir vermutlich nicht
fertig, wenn wir die neuen Verfahren wirklich brauchen...</p>
<p><hr/>
<ol>
<li markdown> <a href="https://de.wikipedia.org/wiki/Shor-Algorithmus">https://de.wikipedia.org/wiki/Shor-Algorithmus</a> </li>
<li markdown> <a href="http://arxiv.org/abs/1304.4595">http://arxiv.org/abs/1304.4595</a> </li>
<li markdown> <a href="http://crypto.stackexchange.com/questions/10263/should-we-trust-the-nist-recommended-ecc-parameters">http://crypto.stackexchange.com/questions/10263/should-we-trust-the-nist-recommended-ecc-parameters</a> </>
<li markdown> <a href="http://cr.yp.to/djb.html">http://cr.yp.to/djb.html</a> </li>
</ol></p>Swisscom sperrt automatisiert Internetzugänge2013-08-27T17:52:00+02:00Bernd Fixtag:hoi-polloi.org,2013-08-27:~brf/blog/swisscom.html<div style="float:left; margin-right:2em; margin-bottom:1em;">
<p><img alt="Beschisscom" src="https://hoi-polloi.org/~brf/blog/images/Swisscom.png" /></p>
</div>
<p>Gestern ist es dann das zweite Mal passiert - mein Internetzugang bei der Swisscom war blockiert und jeder Webaufruf
landete bei einer Swisscom-Internetseite mit dem Hinweis, der Zugang sei wegen "administrativer Probleme" zur Zeit nicht
möglich und man solle sich doch mal melden.</p>
<p>Im Customer Support wurde mir dann mitgeteilt, dass man jetzt wiederholt (zum zweiten Mal) festgestellt habe,
dass von meinem Rechner aus Spam verschickt würde und deshalb der Internetzugang erst wieder freigeschaltet werden
könne, wenn ein Swisscom-Partner meinen Rechner inspiziert habe und schriftlich bestätigen würde,
dass der Rechner jetzt wieder "sauber" ist...</p>
<p>Leider verstehen die Mitarbeiter und Abteilungsleiter des Customer Support vom Internet so wenig wie eine Kuh
vom Fahrrad-fahren: auf die Frage, ob sie die angebliche Spamming-Mail vorliegen haben und woran sie erkennen
können, das es sich um Spam handelt, wurde immer mit der Aussage quittiert, dass sie die EMail zwar sehen,
aber nicht selbst einschätzen können, ob es sich um Spam handelt. Aber ihr Server hat das als Spam
klassifiziert und deshalb wird das schon stimmem.</p>
<p>Meine mehrmaligen Versuche zu erklären, dass es sich (wie schon beim ersten Mal) vermutlich um einen
Abuse-Fall wegen meines Mixmaster-Exits handelt, scheiterten kläglich am Unverstand der Gesprächspartner,
die das technisch nicht verstehen konnten oder wollten. Im übrigen wurde mir Einsicht in weitere Einzelheiten
des Falles "aus Datenschutzgründen" verweigert, wie Phillip Gauss, Leiter im Customer Support mir mitteilte.
Man schaltete einfach auf stur, verwies auf die notwendige Säuberung meines Rechners durch einen Swisscom-Partner
und weigerte sich, den Internetzugang wiederherzustellen.</p>
<p>Selbst wenn Spam von meinem Rechner aus verschickt worden wäre (was definitiv nicht der Fall ist), stellt sich
mir hier die Frage der Zulässigkeit eines automatischen Sperren des Internetzugangs - des gesamten Internetzugangs
und nicht nicht nur des Mailverkehrs (was ja Spamming von diesem Rechner aus verhindern würde). Selbst unter den
rigerosen HADOPI-Regel in Frankreich gilt die "Three-Strike"-Regelung und ein beschuldigter Raubkopierer kann sich
zumindest mal rechtfertigen. In der Schweiz scheint "Spamming" (so es denn überhaupt welches ist) schwerer
und schneller geahndet zu werden als Raubkopieren. Und dabei ist Spamming noch nicht mal strafrechtlich relevant.</p>
<p>Wer ähnliche Erfahrungen mit der Swisscom gemacht hat (oder jemanden kennt, der das hat), dann meldet Euch doch
mal beim CCCZH. So etwas sollte man der Beschisscom eigentlich nicht durchgehen lassen.</p>Wer nichts zu verbergen hat, hat auch nichts zu befürchten!2012-02-15T14:16:00+01:00Bernd Fixtag:hoi-polloi.org,2012-02-15:~brf/blog/whistle.html<div style="float:left; margin-right:2em; margin-bottom:1em;">
<p><img alt="Whistleblower" src="https://hoi-polloi.org/~brf/blog/images/Whistleblower.png" /></p>
</div>
<p>Im SF1 Club wurde am 14.Februar 2012 mal wieder über das Thema „Whistleblowing in der Schweiz“ diskutiert.
Allerdings hatte ich den Eindruck, dass sich die Diskussion seit der ersten Club-Sendung zu diesem Thema vor gut
einem Jahr kaum weiterentwickelt hat.</p>
<p>Besonders die "Argumentationslinie“ von Vogt, dem Präsidenten des schweizerischen Arbeitgeberverbandes, hat es
mir in dieser Sendung angetan: wie schon Thür (Eidgenössischer Datenschutzbeauftragter) und Büttiker
(Politiker) in der Sendung vor einem Jahr will er es verhindert sehen, dass sich Whistleblower an die Medien
wenden und Probleme so an die Öffentlichkeit bringen. Er glaubt tatsächlich, es hätte etwas mit "Transparenz"
zu tun, wenn Whistleblowing nur firmenintern zulässig ist - und im alleräussersten Extremfall auch noch durch
Meldung an die Behörden, die aber bitte schön auch nichts an die Öffentlichkeit dringen lassen dürfen.
Sorry, aber mit Transparenz hat das doch wenig zu tun - es bleibt zumindest bei mir der Eindruck bestehen, dass interne
Meldestellen bei einem solchen Mindset vor allem die Aufgabe haben, Probleme zu vertuschen - nicht sie zu lösen oder
gar in der Öffentlichkeit dazu zu stehen.</p>
<p>Auch wenn eine solche Einstellung bei mir auf wenig Gegenliebe trifft, so ist es doch irgendwo verständlich,
woher sie kommt und vor allem warum sie tatsächlich in den meisten Unternehmen der Schweiz auch so gelebt wird:
Firmen und Firmenpolitik werden von Menschen gemacht und die leben auch ihr berufliches Umfeld so, wie ihre Sozialisation
es ihnen mitgegeben hat. Und die Generation 40+, die heute die Führungs- und Entscheidungsriege in Unternehmen stellt,
ist eben in ihrer Sozialisation offensichtlich selten zu Werten wie Offenheit, Ehrlichkeit und Transparenz angeleitet worden.
Vor etwa 10 Jahren galt es in der Schweiz tatsächlich noch als "out-en", wenn Männer ihren Ehefrauen gesagt haben,
wieviel Geld sie verdienen - soviel zur Offenheit...</p>
<p>Damit wird sich wohl leider auch in den Firmen (und der Gesellschaft allgemein) erst etwas ändern, wenn die
gesellschaftliche Realität die Werte Offenheit, Ehrlichkeit und Transparenz in die Köpfe der Kinder und
Jugendlichen bringt und fördert, die dann später dies auch im Beruf tatsächlich ausleben können.</p>
<p>Bis dahin dürfen wir denjenigen, die wie Vogt immer alles unter der Decke und in der Familie - äh, Firma
- halten wollen, um den Schein der Problemlosigkeit zu wahren, zum Thema Whistleblowing entgegnen: "Wer nichts zu
verbergen hat, hat auch nichts zu befürchten!"</p>Ausgeträumt2011-12-08T18:30:00+01:00Bernd Fixtag:hoi-polloi.org,2011-12-08:~brf/blog/dreamlab.html<div style="float:left; margin-right:2em; margin-bottom:1em;">
<p><img alt="Game Over!" src="https://hoi-polloi.org/~brf/blog/images/Gameover.png" /></p>
</div>
<p>Wer bei DreamLab was träumt, ist für Aussenstehende schwer zu erkennen - aber was schläft, das weiss die Welt
seit einer NDR-Reportage nun aber wenigstens: das Gewissen.</p>
<p>Was ich in den Blog-Beiträgen zum Staatstrojaner und zur Verwicklung des Vizepräsidenten der schweizerischen
Piratenpartei in Überwachungssoftware-Einsatz nur andeuten konnte, ist jetzt durch WikiLeaks in Zusammenarbeit mit
dem NDR an die Öffentlichkeit gekommen: Die schweizerische Firma DreamLab hat zusammen mit der deutsch-englischen
Firma Gamma Überwachungssoftware und Trojaner an Unrechtsregime in verschiedenen Ländern geliefert.</p>
<p>Traurig ist daran vor allem, dass sich DreamLab nach aussen immer als "Hacker-kompatibel" darstellt und sogar Hacker-Events
wie die "0sec" veranstaltet. Ich hoffe, dass alle Chaoten in der Schweiz den Knall jetzt gehört haben und nicht mehr
verträumt den falschen Leuten vertrauen...</p>
<p>Update #1: Die NZZ berichtet am 9.12.2011 in einem Artikel "Dreamlab am Pranger" über diesen Fall.</p>
<p>Update #2: Der NZZ-Artikel aus Update #1 ist über "Google News" nicht mehr auffindbar - ein Schelm, der Böses
dabei denkt... Ob jetzt wohl noch damit zu rechnen ist, dass sich Medien an die Aufklärung der Vorgänge
wagen? Insgesamt gibt es sicherlich noch einigen Erklärungsbedarf in Bezug auf Dreamlab Techologies AG: Zum
einen scheint es eine Ausgründung der amerikanischen Firma Dreamlab Inc., Dover/Delaware zu sein; zum anderen gibt
eine Public-Private-Partnership zwischen Dreamlab und der Berner Fachhochschule names CSW Certified Secure Web GmbH.</p>Klar zum Kentern?2011-10-28T16:37:00+02:00Bernd Fixtag:hoi-polloi.org,2011-10-28:~brf/blog/priates.html<div style="float:left; margin-right:2em; margin-bottom:1em;">
<p><img alt="Piraten kentern" src="https://hoi-polloi.org/~brf/blog/images/Kentern.png" /></p>
</div>
<p>Nachdem am letzten Sonntag die Nationalratswahlen stattgefunden haben, mag so manchen das doch relativ schlechte Abschneiden
der Piratenpartei in der Schweiz mit nur 0.48% der Stimmen gewundert haben - gerade nach dem sensationellen Erfolg der Piraten
in Berlin.</p>
<p>Natürlich ist die Schweiz nicht Berlin. Aber trotzdem dürften sich einige digital natives geärgert haben, dass
die in ihren Augen einzigen Vertreter einer vernünftigen Netzpolitik bei den Wahlen nicht mehr Beachtung gefunden haben.</p>
<p>Aber ist das wirklich so schlimm mit dem Wahlergebnis? Sind die Piraten wirklich noch unsere Verbündeten im Kampf
gegen den Überwachungsstaat? Ich persönlich habe da mittlerweile meine starken Zweifel...</p>
<p>Angefangen hat alles mit der Veröffentlichung des CCCs zum Staatstrojaner in Deutschland. Nachdem dann klar wurde,
dass es auch Trojaner in der Schweiz gibt (und gab), wurde auch ein Statement der Schweizer Piratenpartei öffentlich,
in der die Partei eine sofortige Untersuchung forderte. Aber irgendwie war nach meinem Eindruck die Empörung nicht so
stark, wie ich sie eigentlich erwartet habe - schon deshalb erwartet habe, weil man ein paar Tage vor der Wahl doch gar keine
bessere Munition vor die Füsse gelegt bekommen kann. Und dann macht man nichts daraus - peinlich!</p>
<p>Aber schon ein paar Tage später dämmerte mir, warum die Piratenpartei möglicherweise so zurückhaltend agiert.
Am 11.Oktober - gerade mal drei Tage nach der Veröffentlichung zum Staatstrojaner durch den CCC - gibt es Kommentare zu
einem NZZ-Artikel, die den Vizepräsidenten der Piratenpartei mit seiner beruflichen Tätigkeit im Bereich "Lawful
Interception (LI)" konfrontieren. Die Antwort von Herrn Gloor fand ich ziemlich verwirrend und vernebelnd - auch wenn er
zugibt, dass Deutsch nicht seine Muttersprache ist.</p>
<p>Aber auch im Forum der Piratenpartei wird diese unglückliche Verbindung zwischen dem Vize der Piratenpartei und seinem
Arbeitsfeld "Lawful Interception"“ bei einer Firma, von der die Spatzen von den Dächern pfeifen, dass sie Trojaner im
Behördenauftrag entwickelt, diskutiert.</p>
<p>Die Diskussionsbeiträge der Piraten dazu in diesem Forum haben mich aber ehrlich gesagt schockiert. Eine Aussage
wie "Wenn die Nachfrage da ist, wird es sowieso von jemandem erledigt. Ist mir auf jeden Fall sympatischer, wenn das
'einer von uns' macht, als irgendwelche 'Stümper'. macht mir sogar Angst. Wenn so etwas bei den Piraten Konsens
sein kann, dann ist in meinen Augen ein K.O.-Kriterium für diese Partei. Ich frage mich sogar, ob es überhaupt
akzeptabel für eine Piratenpartei ist, „Lawful Interception inklusive Trojaner“ gutzuheissen und sich weiterhin "Piraten"
nennen zu dürfen. Immerhin sollten man nicht vergessen, dass auch der Trojanereinsatz in Bayern in den Augen der dortigen
Behörden und des Innenministers nur ein Fall von "Lawful Interception" war - "lawfuller" geht gar nicht!</p>
<p>Ist das alles ein Zeichen, dass die Piraten in der Schweiz mittlerweile nur ganz normale Politiker-Fuzzis sind? Das
aktuelle Verhalten in der LI-Angelegenheit (aussitzen und Gras über die Sache wachsen lassen) lässt zumindest
vermuten, dass hier über die eigene moralische Verpflichtung als Pirat nicht mehr ernsthaft nachgedacht wird - genauso wie Pascal Gloor selbst in einer Mail von 2003 feststellt: "Syntax Error: You cannot use the --politicians and the --brain option at the same time, they are incompatible." Man könnte hier jetzt anfügen, dass das für die Option "--moral" offensichtlich auch gilt.</p>
<p>Insofern geht das mit den 0.48% bei der Nationalratswahl schon in Ordnung - mehr hätten diese als Piraten verkleideten
Karnevalisten auch irgendwo nicht wirklich verdient...</p>'... but better to rip it off if you can!'2011-10-20T12:12:00+02:00Bernd Fixtag:hoi-polloi.org,2011-10-20:~brf/blog/ripper.html<div style="float:left; margin-right:2em; margin-bottom:1em;">
<p><img alt="Gong" src="https://hoi-polloi.org/~brf/blog/images/Gong-fa1977.png" /></p>
</div>
<p>Im Hintergrund dreht sich bei mir gerade ein Vinyl-Datenträger - eine Langspielplatte der Band Gong mit dem
Titel "Planet Gong - Live floating anarchy 1977". Auf dem Plattencover steht am unteren Rand:</p>
<ul>
<li>Listen! Don't pay more than / 17F £2.25 $3.50 / but better to rip it off if you can! </li>
</ul>
<p>Schon ein wenig ungewöhnlich, dass eine Band dazu auffordert, ihre Platte am besten zu stehlen - aber bei
dem anarchistischen Titel vielleicht durchaus angemessen. Heute erscheint eine solche Aufforderung natürlich
anachronistisch, denn wer stiehlt schon noch Musikdatenträger - geschweige denn, kauft noch welche? In Zeiten
des Internets müsste wohl eher auf dem Cover stehen: "... but better to download it from a torrent if you can!"</p>
<p>Für die Schweiz mit ihrer liberalen Interpretation von Privatkopie mag ein solcher Ratschlag noch angemessen sein;
aber in vielen anderen Ländern ist die Ermutigung zum freien Download aus dem Netz vielleicht doch keine so gute Idee
- zumindest nicht bei der momentanen Rechtsauslegung, die die Handlungen im Real- und Digitalraum völlig unterschiedlich
be- und verurteilt:</p>
<ul>
<li>
<p>Wenn jemand im Laden eine CD klaut, so ist das juristisch gesehen ein Diebstahl von geringwertigen Sachen;
solche Fälle werden nur auf Anzeige hin von der Staatsanwaltschaft überhaupt verfolgt (Bagatelldelikt,
[1]). Bei Jugendlichen werden solche Delikte (in Deutschland) meist noch nicht einmal vor Gericht gebracht,
sondern nach §45 JGG eingestellt und nur mit einigen Sozialstunden und/oder einer sehr geringen Geldstrafe
geahndet. Auch bei Älteren werden Verfahren üblicherweise eingestellt, wenn sie ansonsten nicht auffällig
geworden sind. </p>
</li>
<li>
<p>Wer die zwölf Lieder der CD per Torrent frei downloaded, muss da mit ganz anderen Sanktionen rechnen:
In den USA schickt ihm die RIAA mal schnell eine Rechnung über $100'000+; in Frankreich (und vielleicht
auch bald in Deutschland) wird ihm das Internet abstellt. </p>
</li>
</ul>
<p>Diese Ungleichbehandlung ist vermutlich auch der Tatsache geschuldet, dass die verantwortlichen Politiker und
Juristen oft willfährige Büttel der Content-Mafia sind - oder schlicht und ergreifend vom digitalen
Kulturaustausch nichts verstehen. Auf Dauer ist so etwas natürlich untragbar, aber bis dahin gilt wohl
weiterhin: "[you] better rip it off if you can!"</p>
<p>[1] An dieser Stelle noch eine Randbemerkung: Der Diebstahl geringwertiger Sachen wird aber in der realen Welt
vermehrt von Arbeitgebern missbraucht, um alte oder unliebsame Arbeitnehmer auf die Strasse zu setzen; Handys
am Stromnetz der Firma aufzuladen oder drei Maultaschen aus den Küchenresten mitzunehmen, hat schon zu
gerichtlich bestätigten Kündigungen geführt.</p>Trojanische Pferde2011-10-18T22:44:00+02:00Bernd Fixtag:hoi-polloi.org,2011-10-18:~brf/blog/trojan.html<div style="float:left; margin-right:2em; margin-bottom:1em;">
<p><img alt="Trojanisches Pferd" src="https://hoi-polloi.org/~brf/blog/images/Bundestrojaner.jpg" /></p>
</div>
<p>Am letzten Wochenende ging der Chaos Computer Club mit einer Pressemitteilung an die Öffentlichkeit, in der der Club
die Analyse und die Binaries eines in Deutschland eingesetzten Staatstrojaners zur Quellen-TKÜ vorstellte.</p>
<p>Es war immer klar gewesen, dass es letztendlich nur eine Frage der Zeit ist, bis einer der vielen staatlichen Trojaner
beim CCC landet und dort ausgiebig und kompetent analysiert wird – aber das es dann doch so lange gedauert hat, ist
schon fast erstaunlich. Auch dass der Trojaner wohl aus Bayern kommt - oder zumindest dort primär eingesetzt wurde
- passt gut in die politische Landkarte Deutschlands und wundert ausser den bayrischen Politikern, die jede unkorrekte
Verwendung der Schnüffelsoftware bestreiten, eigentlich niemanden wirklich. Aber gibt es hier für uns in der
Schweiz Anlass zur Häme? Sind Bundestrojaner ein deutsches Problem und hier in der Schweiz so undenkbar?</p>
<p>Tatsächlich ist es so, dass die zur Zeit aktuelle Strafprozessordnung im Kapitel 8, Geheime Überwachungsmassnahmen
den Einsatz von Trojaner noch nicht explizit erlaubt – was sich mit der anstehenden Totalrevision der BÜPF (Bundesgesetz
zur Überwachung des Post- und Fernmeldeverkehrs) und der VÜPF (Verordnung über die Überwachung des Post-
und Fernmeldeverkehrs) im nächsten Jahr sicherlich ändern wird. Aber bedeutet das tatsächlich, dass Trojaner
von staatlichen Behörden in der Schweiz bisher nicht eingesetzt wurden, sondern dass deren Einsatz erst in Zukunft geplant ist,
wie die WOZ im Artikel "Der Staat in deinem Computer" behauptet?</p>
<p>Komisch – haben die Menschen tatsächlich ein so kurzes Gedächtnis? Schon seit 2006 gab es Berichte über
einen Staatstrojaner in der Schweiz, der vornehmlich Skype- und andere VoIP-Gespräche abhören sollte (also auch
Quellen-TKÜ wie jetzt in Deutschland) und dann von einem frustrierten Entwickler der Firma ERA IT im Jahr 2008
als Open-Source veröffentlicht wurde – und so als Trojaner für die Behörden nutzlos wurde.</p>
<p>Wer kann aber ernsthaft glauben, dass dies der einzige Fall war, in dem eine Firma mit der Entwicklung von
eidgenössischer Malware beauftragt war? Und wer glaubt ernsthaft, dass Schnüffelsoftware aus der Schweiz nicht auch
eingesetzt wird? Wenn dieser Einsatz vornehmlich nicht auf Rechnern von Zielpersonen in der Schweiz selbst geschieht, macht
die Sache doch auch nicht besser...</p>
<p>Apropos Ausland: Interessant ist in diesem Zusammenhang auch die Tatsache, dass die Rechner, auf denen der Trojaner
die gesammelten Informationen ablegt, in den USA steht: irgendwie klingt das nach einem mächtig schlechtem Gewissen
der Behörden, dass man für die Bespitzelung auf Rechtsräume ausserhalb der eigenen Jurisdiktion
zurückgreifen muss. Aber das machen einige schweizer Trojaner ja auch nicht anders: vielleicht verstehen einige
Leute jetzt besser, warum ich seit Jahr und Tag dafür plädiere, ausgehenden Netzwerkverkehr zu Adressen von
Dropbox auf der eigenen Firewall komplett wegzufiltern...</p>
<p>Update 12.10.2011: Der Anwalt von Digitask (der deustchen Firma, die den Staatstrojaner entwickelt hat) gibt in einem
Interview zu, dass die Software auch an schweizerische Behörden verkauft wurde...</p>
<p>Update 13.10.2011: Das EJPD hat jetzt gegenüber der Tagesschau zugegeben, dass sie Trojaner einsetzen. Mehr dazu hier
- und alles im vollen Bewusstsein, dass es dafür keine Rechtsgrundlage gibt!</p>Dicke Leitungen2011-10-07T15:09:00+02:00Bernd Fixtag:hoi-polloi.org,2011-10-07:~brf/blog/svalbard.html<div style="float:left; margin-right:2em; margin-bottom:1em;">
<p><img alt="Wired" src="https://hoi-polloi.org/~brf/blog/images/Wired-4.12.png" /></p>
</div>
<p>In der wired 4.12 vom Dezember 1996 hatte ich einen langen, aber unglaublich faszinierenden Artikel von Neal Stephenson gelesen;
ich war so begeistert, dass diese wired-Ausgabe die einzige ist, die ich bis heute aufgehoben habe. Unter dem Titel "The Hacker
Tourist Travels the World to Bring Back the Epic Story of Wiring the Planet" beschreibt er darin die Geschichte und Technik der
Unterseeverkabelung, deren Leitungen heute die wichtigsten Backbones des Internets bilden.</p>
<p>Vor kurzem bin ich dann auch über die Webseite "Greg's Cable Map" gestolpert, in der diese (und natürlich neuere)
Unterseekabel auf einer Weltkarte eingezeichnet und klickbar sind: Alle Infos zu diesen Kabeln (Bandbreite, seit wann in
Betrieb und Links zum Beschrieb u.v.m.) sind direkt abrufbar – vor allem auch die Anlandepunkte der Kabel an den Küsten!
Ich kann jedem nur empfehlen, mal auf dieser Seite herum zu stöbern – aber Vorsicht: Suchtgefahr!</p>
<p>Und beim herum stöbern bin ich auf ein paar sehr interessante "dicke Leitungen" gestossen, auf die ich mir keinen rechten
Reim machen kann, zum Beispiel das Svalbard Undersea Cable System. Das verbindet in zwei Strängen das norwegische Festland
mit Spitzbergen und hat eine maximale Kapazität von 5 Tb/s, von der angeblich aber nur 1/8 (also rund 625 Gb/s) in Betrieb
sein soll. Da auf Spitzbergen nur rund 2'500 Einwohner wohnen, wären das rechnerisch pro Einwohner bis zu 2 Gb/s Bandbreite:
Spitzbergen ist zwar ziemlich kalt, aber das sollte für echte Netzjunkies kein Hindernis sein, dort wohnen zu wollen. Aber
das Kabel dürfte kaum dafür da sein, Nerds anzubinden...</p>
<p>Laut Wikipedia dient das Kabel zwei Zwecken: Erstens und primär der Raumfahrt und zweitens auch ein wenig dem
amerikanischen Militär. Das mit der Raumfahrt macht Sinn, weil Spitzbergen ziemlich weit nördlich liegt
und deshalb Satelliten im polaren Orbit fast alle 90 Minuten im Sichtfeld von Bodenstationen sind und dann ihre
Daten übertragen könnten. Eine kleine Abschätzung sollte helfen, den Bandbreitenbedarf einer solchen
Nutzung zu bestimmen:</p>
<ol>
<li>Anzahl der Satelliten im polaren Orbit: ∼550</li>
<li>Gesamte Dauer der Sichtbarkeit pro Tag und Satellit: ∼2300 s</li>
<li>Bandbreite der Satelliten-Kommunikation: ∼500 Mb/s</li>
</ol>
<p>Das täglich anfallende Datenvolumen beläuft sich so schätzungsweise auf etwa 75 TB, was einer benötigten
Bandbreite von etwas mehr als 7 Gb/s entspricht - und das unter der Annahme, das praktisch alle Satelliten mit polarem Orbit
abgehört werden, optimal sichtbar sind und auch entsprechend genügend Daten zu senden haben!</p>
<p>Da bleiben also zwischen 618 Gb/s und 4.99 Tb/s für eine andere Nutzung übrig; selbst wenn unsere Abschätzung
um den Faktor 10 falsch wäre, bliebe noch immer eine enorme Bandbreiten-Reserve. Was zum Teufel machen die da wirklich,
das eine so hohe Bandbreite erfordert?</p>
<p><hr/>
<small>
<ol>
<li>Bestimmt aus den öffentlichen Bahnelementen von rund 1'500 Satelliten im TLE-Format; Kriterium: Inklination 90° ± 10°.</li>
<li>Bei einer Umlaufhöhe von 600km und ignorieren der Atmosphäre; tatsächlich wohl geringer.</li>
<li>Kommunikationssatelliten haben eine höhere Bandbreite (∼80Gbit/s), aber "datensammelnde" Satelliten benötigen keine so hohe Bandbreite, da sie gar nicht genügend Daten sammeln können, die eine solche Bandbreite erforderlich machen würde.</li>
</ol>
</small></p>Digital Direct Actions2011-10-02T11:19:00+02:00Bernd Fixtag:hoi-polloi.org,2011-10-02:~brf/blog/dda.html<div style="float:left; margin-right:2em; margin-bottom:1em;">
<p><img alt="Cyber Rights Now!" src="https://hoi-polloi.org/~brf/blog/images/CyberRightsNow.png" /></p>
</div>
<p>Spätestens seit das Internet zu einem Mainstream-Medium und damit zu einem Spiegelbild der gesellschaftlichen
Realität geworden ist, versuchen uns selbsternannte Moralapostel verschiedenster Couleur vorzuschreiben, wie
und wo wir uns im Internet zu bewegen haben und was wir dort tun dürfen und was nicht. Besondere Empfindlichkeiten
gibt es vor allem immer dann, wenn es um politische Proteste und Aktionen im Netz geht; solche Formen der
Unmutsäusserung werden vorzugsweise als "Cyberterrorismus" diffamiert und das Internet als rechtsfreier
Raum hingestellt, der mit allen zur Verfügung stehenden Mitteln überwacht werden muss.</p>
<p>Dem gilt es entgegen zu wirken. Hier soll es aber nicht darum gehen, das 42. Internet-Manifest zu verfassen, in dem
die Grundrechte im Internet wie Anonymität, Informationsfreiheit oder informationelle Selbstbestimmung formuliert
werden -- dies haben schon ausreichend Organisationen und Einzelpersonen vom CCC über die EFF mit John Perry Barlow
bis hin zum Internationalen Verband der Bibliothekarischen Vereine gemacht. Dass das Internet in dieser Hinsicht kein
rechtefreier Raum sein darf, darüber sind wir uns wohl alle einig.</p>
<p>Stattdessen sollten wir jetzt ernsthaft anfangen darüber zu diskutieren, welche Formen und Mittel der
politischen Aktion wir im Internet für legtim halten, um diese Rechte auch aktiv einzufordern, um das
öffentliche Bewusstsein für die Notwendigkeit einer Veränderung zu sensibilisieren und die
Rahmenbedingungen zu schaffen, in denen diese (neuen) Grundrechte garantiert und geschützt werden können.
Genau genommen geht es also um das Recht, sich durch Proteste und Aktionen im Internet politisch zu artikulieren -
auch hier darf das Internet kein rechtefreier Raum sein. Dabei sollte sich die Diskussion nicht auf Internet-Themen
beschränken; Proteste im Internet können und sollten auch Anliegen betreffen, die nicht die digitale Welt
an sich zum Gegenstand haben.</p>
<p>Deshalb werde ich zu diesem Thema auf den Datenspuren 2011 in Dresden (15./16. Oktober) eine Keynote halten.
Zusammen mit Jens ist auch ein weiterführender Vortrag auf dem 28C3 in Berlin (Ende Dezember) geplant.</p>
<hr/>
<p>
<img src="../images/pdf.png" border="0" align="middle"/>
<a href="../media/2011-10-15_Datenspuren-Vortrag.pdf" target="_blank">Vortrag(105k)</a>,
<a href="../media/2011-10-15_Datenspuren-Folien.pdf" target="_blank">Folien(4M)</a><br/>
<img src="../images/video.png" border="0" align="middle"/>
<a href="http://ftp.c3d2.de/datenspuren/2011/ds11_4641_dasinternetdarfkeinrechtefreierraumsein.mp4" target="_blank">Video (mp4, 208M)</a>
</p>Daten-GAU bei WikiLeaks?2011-09-22T13:49:00+02:00Bernd Fixtag:hoi-polloi.org,2011-09-22:~brf/blog/daten-gau-bei-wl.html<div style="float:left; margin-right:2em; margin-bottom:1em;">
<p><img alt="WikiLeaks" src="https://hoi-polloi.org/~brf/blog/images/WikiLeaks.png" /></p>
</div>
<p>In den letzten Wochen - genauer gesagt seit der Veröffentlichung der unredigierten Diplomaten-Depeschen
- ist WikiLeaks mal wieder zur Zielscheibe für die Transparenz-Kritiker geworden, die es schon immer
gewusst haben: "WikiLeaks hat Blut an den Händen!".</p>
<p>Dies ist im übrigen das gleiche "Argument", mit dem WikiLeaks-Kritiker auch schon die Veröffentlichung
der Afghan War Logs und der Iraq War Logs kommentiert haben - und am Ende kleinlaut eingestehen mussten,
dass wohl doch niemand durch die Veröffentlichung zu Schaden kam.</p>
<p>Die Aufregung um den angeblichen "Daten-GAU bei WikiLeaks" wird aus meiner Sicht durch Medien mit
verstecktem Eigeninteresse befördert und steht in keiner Relation zu den tatsächlichen Fakten und Vorgängen:</p>
<ul>
<li>
<p>WikiLeaks ist mit dem Vorsatz angetreten, Whistleblower den Schutz der Anonymität zu gewährleisten.
Dieses Prinzip ist durch die Veröffentlichung der unredigierten Cables auch in keinster Weise verletzt
worden; dass die unredigierten Depeschen die Namen von US-Informaten enthalten, ist nicht Sache von WikiLeaks. </p>
</li>
<li>
<p>Wenn jemand für den Schutz und die Anonymität der in den Cables erwähnten Personen zuständig ist, dann
doch wohl das State Department der US-Regierung und nicht WikiLeaks. Warum wurden in der gespeicherten
Form die Klartextnamen beibehalten? Welche Relevanz sollte das haben? </p>
</li>
<li>
<p>Es gehörte zu den ursprünglichen Prinzipien von WikiLeaks, geleakte Dokumente immer unredigiert
zu veröffentlichen, um das Vertrauen der Whistleblower zu erhalten. Denn was soll ein Whistleblower
mit einer Plattform, von der er nicht sicher sein kann, ob und in welcher Form das geleakte Dokument
letztendlich veröffentlicht wird. Mit dem Release der unredigierten Cables kehrt WikiLeaks zu diesem
Prinzip zurück. </p>
</li>
<li>
<p>Die Cables waren fast 10 Jahre lang im SPIRnet von über 2.5 Millionen Amerikanern unredigiert einsehbar.
Unter dieser grossen Anzahl von Menschen gibt es schon statistisch gesehen genügend Menschen mit Drogen-
oder Geld-Problemen, die erpressbar sind. Es ist doch naiv anzunehmen, dass Geheimdienste repressiver
Staaten WikiLeaks brauchen, um an dieses Cables zu kommen und darin zitierte Informanten zu verfolgen. </p>
</li>
<li>
<p>WikiLeaks hat die Klartext-Depeschen nicht als Erste veröffentlicht; diese waren schon vorher auf der
CRYPTOME-Webseite abrufbar. WikiLeaks musste damit ebenfalls veröffentlichen, um die Integrität der
kursierenden Depeschen sicherzustellen. Dass CRYPTOME (und eine ganzer Reiher anderer pfiffiger Leute,
die das auf dem Web und in der Presse mitverfolgt haben auch) die Klartext-Depeschen hatte, liegt an drei Gründen:</p>
<ol>
<li>
<p>ein Guardian-Journalist hatte das Passwort in seinem WikiLeaks-Buch veröffentlicht</p>
</li>
<li>
<p>WikiLeaks hatte die verschlüsselte Datei länger als notwendig auf dem Server belassen, der dann
tausendfach gemirrored wurde</p>
</li>
<li>
<p>Ein Dritter kannte die URL dieser zugehörigen verschlüsselten Datei und das Passwort aus dem Buch
und hat diese Informationen an die Presse weitergegeben </p>
</li>
</ol>
</li>
</ul>
<p>WikiLeaks hat in diesem Zusammenhang sicherlich ein bischen geschlampt und geschludert, aber das war
nicht ursächlich für die Veröffentlichung der Klartext-Depeschen. Es gibt also keinen wirklichen Grund,
beim allgemeine WikiLeaks-Bashing mitzumachen.</p>