#schwachstellen

aktionfsa@diasp.eu

12.01.2023 Schwachstellen in Threema werden behoben

Jammern auf hohem Niveau

Als Alternative zu der Datenkrake WhatsApp haben wir neben Briar, Session, Conversation u.v.a. auch oft den Schweizer Messenger Threema empfohlen - und das tun wir trotz dieses Artikels auch weiterhin.

Eine Gruppe Schweizer Forscher um den ETH-Professor Kenneth Paterson hat sich die Sicherheitsfeatures von Threema einmal genauer angesehen und festgestellt, dass sich das Unternehmen sehr wohl um die Datensicherheit kümmert, aber die Anwendung doch in die Jahre gekommen ist.

Weiterhin wird die Ende-zu-Ende Verschlüsselung, die Threema damals 2012 als einer der ersten Messenger einführte, als wegweisend anerkannt. Für bestimmte Angriffszenarien können die Forscher jedoch zeigen, dass für die Sicherheit bei Threema "noch Luft nach oben besteht".

  • So könnten Angreifer auf die Metadaten der Kommunikation zugreifen.
  • Bei Zugriff auf die Chat-Server von Threema könnten sie Nachrichten löschen oder deren Reihenfolge ändern.
  • Grenzbeamte oder Lebenspartner, die Zugriff auf das Smartphone und die Threema-App haben, könnten unbemerkt die Threema-ID exportieren und damit den Account klonen. (Grenzbeamte nur wenn man so blöd ist, den Ausweis auf dem Handy zu nutzen!)

Bei allen 6 von den Forschern benannten Schwachpunkten ist es jedoch nicht möglich, die Inhalte der Kommunikation zu lesen. Dies kann nur passieren, wenn der Nutzer seinen privaten Schlüssel gegenüber einem Angreifer offenbart. Für solche Fälle empfehlen die Forscher eine inzwischen gängige Methode der Absicherung der einzelnen Nachricht mit einem für jede Nachricht oder zumindest in regelmässigen Abständen erneuerten Private Key. Fällt in so einem Fall der Private Key in die Hände eines Angreifers, so können damit keine älteren Nachrichten entschlüsselt werden (Perfect Forward Secrecy).

Bei Threema läuft nun seit einige Monaten eine Überprüfung der eigenen Sicherheit und einige Beanstandungen wurde auch bereits behoben. Das ging in jedem Fall viel schneller als Verbesserungen in die Verschlüsselung von normaler E-Mail einzuführen. So hat da die Einbeziehung der Verschlüsselung der Betreffzeile Jahre gedauert und ist immer noch "optional". Das ist der Nachteil, wenn kein Unternehmen um seinen Geschäftserfolg bangt, sondern die Open Source Gemeinde sich auf Erweiterungen in einen 40 Jahre alten Standard einigen will.

Mehr dazu bei https://www.nzz.ch/technologie/threema-schweizer-messenger-hatte-schwaechen-bei-verschluesselung-ld.1719543
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3rS
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8271-20230112-schwachstellen-in-threema-werden-behoben.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8271-20230112-schwachstellen-in-threema-werden-behoben.htm
Tags: #Schwachstellen #Threema #Datensicherheit #Transparenz #Informationsfreiheit #Anonymisierung #Datenpannen #Verbraucherdatenschutz #Datenschutz #Privatsphäre #Verschlüsselung #Smartphone #Handy #Cyberwar #Hacking #Identitätsdiebstahl

aktionfsa@diasp.eu

Sicherheitslücken sind zu schließen, nicht auszunutzen!

BVerfG drückt sich um Entscheidung

Der Chaos Computer Club Stuttgart hatte Beschwerde gegen das Polizei-Gesetz in Baden-Württemberg eingelegt, um mit dieser Verfassungsbeschwerde die Quellen-Telekommunikationsüberwachung zu kippen. Nach Meinung des CCCs kann es nicht sein, dass staatliche Stellen Schwachstellen in Software ausnutzen, um Überwachungsmaßnahmen durchzuführen.

Doch die Karlsruher Richter wiesen die Klage im Juni zurück, da "sie nicht hinreichend begründet sei". In ihrer Begründung machten sie jedoch deutlich, dass sie vom Staat erwarteten, dass er nicht einfach "Weiter so" beim Ausnutzen von IT-Schwachstellen handeln würde.

Im Beschluss des Gerichts mit dem Aktenzeichen 1 BvR 2771/18 steht dazu: "Die grundrechtliche Schutzpflicht" verlange eine Regelung, wie der "Zielkonflikt zwischen dem Schutz informationstechnischer Informationssysteme vor Angriffen Dritter mittels unbekannter IT-Sicherheitslücken einerseits und der Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Quellen-TKÜ andererseits grundrechtskonform aufzulösen" sei.

Diese Forderung wird bei den anstehenden Koalitionsverhandlungen nach der Bundestagswahl von der jetzigen Oppositionsparteien auf die Agenda gesetzt werden. In den letzten Jahren hatte sich die Regierung immer wieder um eine Festlegung zum Verfahren bei Sicherheitslücken in Computersystemen gedrückt. Dabei ist die Rechtslage eigentlich klar. Das BSI ist in Deutschland dafür zuständig Lücken zu registrieren und für ihre Schließung zu sorgen. Dafür wurden die Unternehmen verpflichtet sicherheitsrelevante Vorfälle ans BSI zu melden.

Eine Weitergabe solcher Informationen an Geheimdienste oder Polizei, um damit das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" (das ist ein Grundrecht für alle Menschen in Deutschland) zu gefährden, muss eine Straftat sein. Es darf nicht sein, dass Geheimdienste darüber entscheiden, welche IT-Schwachstellen "verantwortungsvoll" für Überwachungsmaßnahmen ausgenutzt werden dürfen und welche sollen schnellstmöglich geschlossen werden. Alle Sicherheitslücken stellen eine Gefahr für die Allgemeinheit dar!

Mehr dazu bei https://www.tagesschau.de/investigativ/ndr-wdr/spionagesoftware-nso-bka-105.html
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7767-20210913-sicherheitsluecken-sind-zu-schliessen-nicht-auszunutzen.htm
Link im Tor-Netzwerk: nnksciarbrfsg3ud.onion/de/articles/7767-20210913-sicherheitsluecken-sind-zu-schliessen-nicht-auszunutzen.htm
Tags: #Klage #CCC #BVerfG #Schwachstellen #Lücken #Cyberwar #Hacking #Trojaner #BSI #Polizei #Geheimdienste #Videoüberwachung #Lauschangriff #Überwachung #Vorratsdatenspeicherung #Videoüberwachung #Rasterfahndung #Freizügigkeit #Unschuldsvermutung #Verhaltensänderung

aktionfsa@diasp.eu

11.09.2021 Tageszeitung klagt gegen Bundesrepublik

Freie Meinungsbildung wird verfolgt

Wieviel freie Presse darf es denn sein? Geht es nach dem Grundgesetz, so darf die Pressefreiheit nicht eingeschränkt werden. Trotzdem wird die linke Tageszeitung "Junge Welt" vom Verfassungsschutz beobachtet - wie wahrscheinlich einige Presseorgane in der Bundesrepublik - aber nun sogar in deren Jahresbericht als "linksextremistische Gruppierung" genannt, was die Erreichbarkeit und Verbreitung ihrer Inhalte stark behindert und die wirtschaftlichen Grundlagen des Verlags bedroht.

Dagegen wehrt sich die Redaktion mit einer Klage.

Tageszeitung junge Welt wehrt sich gegen Beobachtung durch Verfassungsschutz.
Klage gegen Bundesrepublik Deutschland eingereicht

Pressemitteilung, Fr., 10.9.2021, 11 Uhr: Berlin. Die Verlag 8. Mai GmbH, in der die überregionale Tageszeitung junge Welt erscheint, hat Klage gegen die Bundesrepublik Deutschland eingereicht. Dies teilt die Zeitung in ihrer Wochenendausgabe (11./12.9.2021) mit. Klage und Antrag auf Erlass einer einstweiligen Verfügung richten sich gegen die Erwähnung in den jährlichen Berichten des Bundesamtes für Verfassungsschutz seit 1998. Verlag und Zeitung werden seitdem, mit wenigen Jahren Unterbrechung, als "linksextremistische Gruppierungen" eingestuft.

Der linke, aber unabhängige Verlag 8. Mai sieht in der geheimdienstlichen Beobachtung und Kriminalisierung ihrer Presseerzeugnisse einen erheblichen Angriff auf ihre Grundrechte, insbesondere auf Pressefreiheit, Berufsfreiheit und allgemeines Persönlichkeitsrecht. Dies führt zu Einschränkungen im Bereich Marketing (z. B. Werbeboykott), in der Verfügbarkeit der Zeitung (z. B. Sperrung der Webseite jungewelt.de) sowie Auslistungen im Einzelhandel und Behinderungen der redaktionellen Arbeit. Die Erwähnungen im Verfassungsschutzbericht stellten erhebliche Beeinträchtigungen der redaktionellen Arbeit und im Wettbewerb dar, erklärt Chefredakteur Stefan Huth: Der Verfassungsschutz verletze "in unverantwortlicher Weise das Grundgesetz, indem die Tageszeitung massiv in der Ausübung ihrer demokratischen Rechte behindert" werde, so Huth. "Die Rechtswidrigkeit dieses Vorgehens wollen wir nun feststellen lassen."

Im März 2021 hatten sich Redaktion und Verlag mit einem offenen Brief an alle Fraktionen im Deutschen Bundestag gewandt. Sie wiesen auf "erhebliche Nachteile im Wettbewerb" hin, die der jungen Welt aus der geheimdienstlichen Nennung erwachsen. Als Reaktion auf den offenen Brief stellte die Bundestagsfraktion der Partei Die Linke eine Kleine Anfrage (BT-Drucksache 19/28956) an die Bundesregierung, um sich nach den Gründen für dieses Vorgehen zu erkundigen. Das Bundesinnenministerium, für Beobachtung und Nennung der Zeitung und des Verlages im Verfassungsschutzbericht verantwortlich, antwortete im Namen der Bundesregierung. Das Vorgehen gegen die junge Welt wird mit deren weltanschaulichen Orientierung begründet.

In der Klageschrift wird verlangt, dass jede weitere Verbreitung der Verfassungsschutzberichte, in denen diskriminierende Passagen über Verlag und Redaktion enthalten sind, unterlassen wird. Es wird zudem eine Richtigstellung und Anerkenntnis der Rechtswidrigkeit des bisherigen Vorgehens verlangt. Auf dem Wege einer einstweiligen Verfügung soll eine weitere Verbreitung bis zur endgültigen Gerichtsentscheidung unterbunden werden. Prozessbevollmächtigt für den Verlag ist die Rechtsanwältin Anja Heinrich aus Berlin.

Verlag 8. Mai GmbH
Tageszeitung "junge Welt"
Torstraße 6, 10119 Berlin

"neue Cyberstrategie"

Wie wichtig die Berichterstattung der "Jungen Welt" in Zeiten der Einschränkung der Meinungs- und Pressefreiheit ist, wird schon in der Ausgabe von gestern deutlich, in der die "neue Cyberstrategie" der Bundesrepublik untersucht wird. Auch hier geht neben der wirklichen Abwehr von Cyberangriffen darum, mißliebige Äußerungen im Internet kontrollieren und ahnden zu können.
Restriktiv im "Cyberraum" - Noch mehr Überwachung und zentralisierte Kompetenzen

Die Leitlinien werden in 44 "strategischen Zielen" ausformuliert, was bei genauer Betrachtung auf ein Sammelsurium für noch mehr Überwachung und zentralisierte Kompetenzen hinausläuft. Dazu soll das Bundeskriminalamt seine "Strafverfolgung im Cyberraum" intensivieren und zum zentralen Dienstleister auch für die Bundesländer werden - was mal wieder die Kompetenzen der Länderpolizeibehörden einschränkt.

Ein Kernpunkt liegt in dem Ausspionieren sicherer Kommunikation. Die "Junge Welt" schreibt:

Maßnahmen gegen sichere Kommunikation
Damit Polizeien und Geheimdienste auch bei Messengerdiensten mitlesen können, sollen Anbieter wie Signal, Telegram oder Whats-App ihre Verschlüsselung schwächen und Inhalte auf Anforderung herausgeben. Schließlich regelt das Dokument auch das Ausnutzen fehlerhafter Software. Für den Einsatz von Staatstrojanern benötigen die Behörden sogenannte Zero-Day-Schwachstellen, die dann als Hintertür zu Rechnern oder Telefonen von Zielpersonen fungieren. Erstmals beschreitet die "Cybersicherheitsstrategie" hierzu einen bundesweit einheitlichen Ansatz ...

Abgesehen von dem Irrsinn Zero-Day-Schwachstellen auszunutzen, anstatt sie schnellstmöglich zu veröffentlichen und schließen zu lassen, denn auch die staatliche Software besitzt solche Schwachstellen, mal ganz abgesehen von den Schäden, die bei Wirtschaftsunternehmen dadurch auftreten können - dieses ganze Szenario kann nur in einen Polizei- und Überwachungsstaat führen.

Mehr dazu bei https://www.jungewelt.de/offener_brief
und https://www.jungewelt.de/artikel/410030.%C3%BCberwachung-restriktiv-im-cyberraum.html
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7765-20210911-tageszeitung-klagt-gegen-bundesrepublik.htm
Link im Tor-Netzwerk: nnksciarbrfsg3ud.onion/de/articles/7765-20210911-tageszeitung-klagt-gegen-bundesrepublik.htm
Tags: #Cyberwar #Cyberraum #Hacking #JungeWelt #Klage #BRD #Bundesrepublik #BKA #Polizei #Verschlüsselung #Zensur #Transparenz #Informationsfreiheit #Anonymisierung #Freizügigkeit #Unschuldsvermutung #Verhaltensänderung #Videoüberwachung #Lauschangriff #Überwachung #Schwachstellen #Exploits