30.12.2023 Data Mining auf US Telefondaten

Wozu können Telefondaten genutzt werden?

Nach 15 Jahren in unserem Verein - wir feiern am 18.1.24 den 15 Gründungsgeburtstag - ist das eine unnötige Frage. Jahrelang haben wir bis zum Verbot durch BVerfG und EuGH gegen die Gesetze zur Vorratsdatenspeicherung (VDS) gekämpft. Die Speicherung allein von Metadaten - wer hat wann, wie oft, wie lange mit wem telefoniert - macht uns alle gläsern. Aus solchen Daten können auch leicht falsche Schlüsse gezogen werden und wir müssen dann als sogenannte False Positives "beweisen". dass wir etwas nicht getan haben. Das führt zu einer Umkehr der Unschuldvermutung, die eigentlich ein Grundpfeiler unseres Rechtsstaats sein sollte.

Nun berichtet Heise.de, dass ein geheimes Programm US-Strafverfolgungsbehörden auf Bundes-, Landes- und Kommunalebene ermöglicht auf die Telefondaten Millionen Unverdächtiger zuzugreifen.

• Erstens: Wie kann es für normale Polizeibehörden überhaupt ein geheimes Programm geben?
• Zweitens: Warum bringen die Telefonprovider solche Programme nicht sofort an die Öffentlichkeit, wenn sie dazu angefragt werden?

Denn heraus kam das Vorgehen nur durch die Analyse von durchgesickerten Polizeidokumenten durch das US-Magazin Wired. Man hatte mit der Hilfe des Telekommunikationsunternehmens AT&T eine Analyse von Anrufdetails durchgeführt. Solche Kettenanalysen sollten helfen, Kontaktnetzwerke aufzudecken, die über direkte Verbindungen zu Verdächtigen hinausgehen. Das ist weit mehr als nur die Speicherung von VDS-Daten, das ist Data Mining also die bei uns weitgehend verbotene Rasterfahnung.

So hat auch US-Senator Ron Wyden in einem von Wired veröffentlichten Brief an das Justizministerium "ernsthafte Bedenken hinsichtlich der Rechtmäßigkeit", schreibt Heise.de. Dabei ist das DAS genannte Programm (Data Analytical Services) nicht neu, sondern wurde bereits erstmals von der New York Times im Jahr 2013 öffentlich gemacht. In diesem Programm werden täglich vier Milliarden Einträge gespeichert. Skandalös ist, dass dieses Programm seit Jahren verdeckt finanziert wird und auch Präsident Joe Biden dafür erneut eine finanzielle Unterstützung in Höhe von 6 Millionen US-Dollar zur Verfügung gestellt hat.

Mehr dazu bei https://www.heise.de/news/US-Polizei-hatte-Zugriff-auf-Telefondaten-Millionen-Unverdaechtiger-9539654.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3y8
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8634-20231230-data-mining-auf-us-telefondaten.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8634-20231230-data-mining-auf-us-telefondaten.html
Tags: #DataMining #Rasterfahndung #Telefondaten #VDS #USA #AT&T #FalsePositives #Unschuldvermutung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenskandale #Datenverluste #Wired #Biden #NYT #FBI #Polizei #Rechtsstaats #geheim #Cyberwar #Hacking #Transparenz #Informationsfreiheit

29.12.2023 Gesundheitsdaten nur bedingt sicher

KIM = Kaos in der Medizin

Eigentlich sollte KIM ein sicherer E-Mail Service für die Medizin, also die Kommunikation zwischen Krankenkassen und Ärzten sein. Etwas ähnliches gibt es auch seit Jahren im Bereich der Justiz für Gerichte und Anwälte. Insofern handelt es sich nicht um die grandiosiste Innovation.

Trotzem ging es schief. Wie auf dem 37. CCC Kongress in Hamburg von dem Münsteraner Sicherheitsforscher Christoph Saatjohann vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Münster und Sebastian Schinzel berichtet wurde, haben insgesamt acht Krankenkassen durch die Gematik den gleichen S/MIME-Key erhalten. Sichere E-Mail beruht auf dem seit den 80-iger Jahren von Phil Zimmermann entwickelten Public-Private-Key Verfahren. In öffentlichen Einrichtungen geschieht das nach dem Standard X.509, während im privaten Umfeld Jede/r seine Schlüsselpaare selbst generieren kann.

Wenn jedoch die Zertifizierungsstellen (CAs) für verschiedene Akteure die gleichen Schlüssel verteilen, dann war es das mit der Sicherheit sensibler medizinischer Daten. Das ist der GAU in der PKI - der Public Key Infrastructure.

Laut den Sicherheitsforschern hatten, wie Heise.de schreibt, einmal drei Krankenkassen denselben im September 2021 ausgestellten Schlüssel, bei einem zweiten Schlüssel fünf. 28% der Bürgerinnen und Bürger seien über diese acht Krankenkassen versichert gewesen. Dieser Vorfall war nicht der erste mit KIM. 2022 wurde eine Log4J-Schwachstelle im KIM-Clientmodul von T-Systems gefunden.

Künftig werden die Schlüssel nun monatlich auf Dopplungen geprüft.

Mehr dazu bei https://www.heise.de/news/37C3-Schluessel-fuer-E-Mail-Dienst-KIM-fuer-das-Medizinwesen-mehrfach-vergeben-9583275.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3y7
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8633-20231229-gesundheitsdaten-nur-bedingt-sicher.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8633-20231229-gesundheitsdaten-nur-bedingt-sicher.html
Tags: #KIM #Gematik #Telekom #Scheinsicherheit #CCC #X.509 #Zertifizierungsstellen #doppelt #Keys #Schlüssel #Email #PP #GPG #Verbraucherdatenschutz #Datensicherheit #Datenpannen #Datenskandale #eGK #ePA #Datenverluste #Anwaltspostfach

18.12.2023 Angreifer können Tastenanschläge einschleusen

Bluetooth besser ausschalten

... oder zumindest kontrollieren ob alle aktuellen Patche installiert wurden. Das betrifft fast alle Smartphones und Desktop Rechner stellt der IT-Sicherheitsforscher Marc Newlin fest, der sich nach dem Entdecken des Fehlers in Android Geräten auch auf anderen Plattformen umgesehen hat.

Auch dort hat er festgestellt, dass sich ohne Authentifizierung auf den Geräten Tastenanschläge einschleusen lassen. Damit können Angreifer Nachrichten weiterleiten, Apps installieren, beliebige Befehle ausführen - also praktisch das Gerät übernehmen.

Jede/r kann zum False Positive werden

Dieser Vorfall macht auch wieder deutlich, wie gefährlich Gesetze für die Betroffenen werden können, die die Unschuldsvermutung umkehren, denn wie beweise ich, dass ich etwas nicht getan habe, wenn es von oder auf meinem Gerät passiert ist?

Ursache noch unklar

Der IT-Sicherheitsforscher wird seine Erkenntnisse demnächst öffentlich vorstellen. Bis dahin ist es noch unklar, ob der Fehler grundsätzlich im Bluetooth Protokoll steckt oder ob es lediglich Fehler in den Implementierungen sind. Heise.de vermutet die "Schuld" auf beiden Seiten und führt eine Reihe von Patches für die verschiedenen Betriebssysteme auf, die mehr Sicherheit bringen können. Diese werden jedoch auf einigen Architekturen nicht standardmäßig bei Updates installiert. Bei den neuesten macOS- und iOS-Updates ist die Lücke wohl geschlossen.

Mehr dazu bei https://www.heise.de/news/Bluetooth-Luecke-erlaubt-Einschleusen-von-Tastenanschlaegen-9570583.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xV
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8622-20231218-angreifer-koennen-tastenanschlaege-einschleusen.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8622-20231218-angreifer-koennen-tastenanschlaege-einschleusen.html
Tags: #Bluetooth #Tastaturen #Cyberwar #Hacking #Trojaner #Authentifizierung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #FalsePositives #Unschuldsvermutung #Verhaltensänderung #MacOS #Linux #Android #iOS #Windows #Datenverluste